Virus FontPorn: Menyamar Sebagai File Font

FontPorn. Sample virusnya pertama kali kami dapatkan dari user yang berada di daerah Jember, Jawa Timur. Sampai saat ini laporan akan adanya malware lokal semakin berkurang. Justru malware yang berasal dari luar negeri yang cukup banyak menyebar.
Contohnya seperti FakeAV-Downloader yang didapatkan dari email. Atau malware yang masih menggunakan shortcut sebagai jalan pintas menjalankan file malwarenya seperti FontPorn. Malware ini mencoba mengakses IP yang setelah ditelusuri berasal dari Ukraina/Ukraine.

A. Info Malware
Nama: FontPorn
Asal: Ukraina (dugaan)
Ukuran File: 58.0 KB (59,392 bytes)
Packer: -
Pemrograman: Microsoft Visual C++
Icon: Font File
Tipe: Worm

Namanya di ambil dari iconnya yang seperti file Font dan selalu membuat shortcut dengan nama yang mengandung kata “Porn”. Dengan merubah ekstensi suatu file adalah cara lain untuk menyamar sehingga tidak dicurigai sebagai executable file. Seperti halnya Stuxnet, Delph-Shortcut, Fanny yang sebenarya adalah file DLL (Dynamic-link library). Untuk bisa aktif di memory, malware memanggil Rundll32.exe terlebih dahulu. Maka dari itu, shortcut dibuat untuk menjalankan file DLL dengan menggunakan Rundll32.exe. Contohnya adalah sebagai berikut:

C:\WINDOWS\system32\rundll32.exe [nama malware].*,[parameter dari malware sendiri]

Dengan begitu, apapun extensi file DLLnya tetap saja bisa dijalankan asalkan menggunakan perintah di atas. Shortcut dengan berbagai Icon dan nama yang mengandung unsur social engineering dapat juga digunakan sebagai media pemanggil pengganti autorun.

Membuat 2 buah file di folder:
C:\Documents and Settings\[nama user]\Local Settings\Temp\

Membuat 5 Buah file di flash disk.
1. autorun.inf
2. pornmovs.lnk (icon folder)
3. myporno.avi.lnk (icon file video)
4. setup50045.lnk (icon shortcut)
5. setup50045.fon (host dengan icon font file)

Semua shortcut yang dibuat, jika di jalankan akan mengaktifkan FontPorn. Seperti yang terlihat pada isi dari shortcutnya.

Ciri dari FontPorn, selalu membuat file host dengan nama yang diawali kata “srv”, seperti gambar di atas. Setelah akif di memory, proses worm FontPorn menempel pada proses spoolsv.exe atau pada svchost.exe.

Fontporn juga akan melakukan koneksi ke beberapa IP, dan mencoba mengakses sebuah url yang disisipkan pada file DLL yang lain.

http://195.14.xxx.xxx/service/scripts/files/aff_50045.dll

http://195.14.xxx.xxx/service/scripts/files/aff_50046.dll

Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.1 Update Build2 ini berikut ini.

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.1 Update Build2 telah hadir dengan penambahan 75 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

sumber : www.virusindonesia.com