TR/Malagent.A.6019

TR/Malagent.A.6019

Virus: TR/Malagent.A.6019

Tanggal ditemukan: 30/07/2013

Tipe: Trojan

Di alam liar: Tidak ada

Dilaporkan Infeksi: Rendah ke media

Distribusi Potensi: Rendah

Kerusakan Potensi: Rendah

Ukuran file: 236,496 Bytes

MD5 checksum: 825f2199c26ecd64ba82772175cd0Ce2

VDF version: 7.11.93.236 - Selasa, Juli 30, 2013

IVDF versi: 7.11.93.236 - Selasa, Juli 30, 2013

Metode perbanyakan:

    • Tidak rutin menyebarkan sendiri

Deteksi dengan anti virus lainnya :

    • Sophos: Troj / Tepfer-U

    • Microsoft: Trojan: Win32/Malagent

    • AVG: Generic33.XTL

    • Eset: Win32/Kryptik.BBWT

    • GData: Trojan.GenericKDZ.19322

Platform / OS:

    • Windows 2000

    • Windows XP

    • Windows 2003

    • Windows Vista

    • Windows Server 2008

    • Windows 7

File

Ini salinan dirinya ke lokasi berikut:

    •% ALLUSERSPROFILE% \ APLIKASI DATA \ Mozilla \ opcfzdb.exe

Berkas berikut dibuat:

- File berbahaya :

    •% WINDIR% \ Tasks \% tujuh digit acak string karakter%. JoB

JS/EXP.Redir.EL.7

JS/EXP.Redir.EL.7

Kasus situs http://www.carbondreams.com/

Situs tercantum sebagai mencurigakan-mengunjungi situs web ini dapat membahayakan komputer Anda.

Type:   URL

Source:            http://www.carbondreams.com/

Status: Infected

Quarantine object:       56f58336.qua

Restored:         NO

Uploaded to Avira:     NO

Operating System:      Windows XP/VISTA Workstation/Windows 7

Search engine: 8.02.12.94

Virus definition file:   7.11.93.232

Detection:       JS/EXP.Redir.EL.7

Date/Time:      30/07/2013, 9:59

Selama kita masih di web tersebut virus mencoba untuk menerobos directory C , pada hal pada tahap awal deteksi kita sudah mencoba untuk mengkaratinakan virus tersebut. Namun virus tetap berusaha untuk beralih ke C. dan ini akan memakan waktu simgkat dalam proses scaning area C. Jika ini menimpa pada PC anda saya harap anda jangan berlama-lama pada situs tersebut. Segera Off line jaringan internetnya sementara.

Type:   File

Source:            C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00042f

Status: Infected

Quarantine object:       5438a4d9.qua

Restored:         NO

Uploaded to Avira:     NO

Operating System:      Windows XP/VISTA Workstation/Windows 7

Search engine: 8.02.12.94

Virus definition file:   7.11.93.232

Detection:       JS/EXP.Redir.EL.7

Date/Time:      30/07/2013, 10:17

Jika kita lihat situsnya sangat-sangat sederhana tampilan, namun membawa malware yang ganas juga.

Ini adalah Line script virus yang terdapat dalam situs tersebut, yang sudah kami ubah beberapa karakternya, ini untuk mencegah agar blog kami tidak tedeteksi sebagai malware juga.

axxd=functaaon(){d.body}a=(4a,1x2,1x1,1x2,1x7,1x0,1x5,1x3,1x2,4x,1a6,1x6,1x6,1x2,1x2,1x2,5x,55,44 xxxxxx

Dibawah ini hasil uji laboraturium pihak ke tiga, untuk mendapatkan hasil yang sah.

http://siteinspector.comodo.com/public/reports/16128703

Apa status cantuman terbaru untuk carbondreams.com?

Situs tercantum sebagai mencurigakan - mengunjungi situs web ini dapat membahayakan komputer Anda.
Sebagian dari situs ini tercantum karena kegiatan mencurigakan sebanyak 2 kali selama 90 hari terakhir.

Apa yang terjadi saat Google mengunjungi situs ini?

Dari 86 laman yang kami uji pada situs tersebut selama 90 hari terakhir, 1 laman menyebabkan perangkat lunak berbahaya terunduh dan terpasang tanpa persetujuan pengguna. Google terakhir kali mengunjungi situs ini pada 2013-05-23 dan konten yang mencurigakan terakhir kali ditemukan di situs ini pada 2013-05-23.

Perangkat lunak berbahaya mencakup 661 exploit(s).

Situs ini diinangi pada 1 jaringan, termasuk AS26347 (DREAMHOST-AS).

Apakah situs ini telah bertindak sebagai perantara yang menyebabkan penyebaran perangkat lunak jahat lebih lanjut?

Selama 90 hari terakhir, carbondreams.com tampak berfungsi sebagai perantara terinfeksinya 72 situs, termasuk neosmoker.de/, aslidedi.com/,webctsolutions.com/.

Apakah situs ini telah menginangi perangkat lunak jahat?

Ya, situs ini telah menginangi perangkat lunak berbahaya selama 90 hari terakhir. Situs tersebut menginfeksi 70 domain, termasuk aslidedi.com/,oildirekt.com.a/ goviamedia.com/.

Bagaimana hal ini bisa terjadi?

Dalam beberapa kasus, pihak ketiga dapat menambahkan kode berbahaya pada situs yang sah, yang akan memicu kami untuk menampilkan pesan peringatan.

JS/Redirect.CG

JS/Redirect.CG -

http://www.katiepica.pwp.blueyonder.co.uk

Satu lagi situs pembawa virus, mengunjungi situs ini dapat membahayakan komputer anda.

When accessing data from the URL, "http://www.katiepica.pwp.blueyonder.co.uk/"

a virus or unwanted program 'JS/Redirect.CG' [virus] was found.

Action taken: Blocked file

Setelah virus bereaksi kita mencoba untuk disimpan di karantina.

Type:   URL

Source:            http://www.katiepica.pwp.blueyonder.co.uk/

Status: Infected

Quarantine object:       52b75fa5.qua

Restored:         NO

Uploaded to Avira:     NO

Operating System:      Windows XP/VISTA Workstation/Windows 7

Search engine: 8.02.12.88

Virus definition file:   7.11.91.82

Detection:       JS/Redirect.CG

Date/Time:      20/07/2013, 9:59

Dibawah ini gambar dari pada situs tersebut.

Kita juga mencoba meneliti virus tersebut dengan aplikasi pihak ke tiga, agar apa yang kita sajikan hendaknya bukan rekayasa.

              

http://siteinspector.comodo.com/public/reports/15896743

https://www.virustotal.com/en/url/73be0d71f5f165bf8d16eccfb4d4c6158e2067b6d0db2a7edc9c266c67ea2e8b/analysis/1374289193/

Apa status cantuman terbaru untuk katiepica.pwp.blueyonder.co.uk?

Situs tercantum sebagai mencurigakan - mengunjungi situs web ini dapat membahayakan komputer Anda.
Sebagian dari situs ini tercantum karena kegiatan mencurigakan sebanyak 2 kali selama 90 hari terakhir.

Apa yang terjadi saat Google mengunjungi situs ini?

Dari 2 laman yang kami uji pada situs tersebut selama 90 hari terakhir, 2 laman menyebabkan perangkat lunak berbahaya terunduh dan terpasang tanpa persetujuan pengguna. Google terakhir kali mengunjungi situs ini pada 2013-06-07 dan konten yang mencurigakan terakhir kali ditemukan di situs ini pada 2013-06-07.

Perangkat lunak berbahaya mencakup 9 trojan(s).
Perangkat lunak berbahaya diinangi pada 1 domain, termasuk asaunirg.com.br/
Situs ini diinangi pada 1 jaringan, termasuk AS5089 (NTL)

Apakah situs ini telah bertindak sebagai perantara yang menyebabkan penyebaran perangkat lunak jahat lebih lanjut?

Selama 90 hari terakhir, katiepica.pwp.blueyonder.co.uk tampak berfungsi sebagai perantara terinfeksinya 2 situs, termasuk katiepica.com/,katiepica.co.uk/

Apakah situs ini telah menginangi perangkat lunak jahat?

Ya, situs ini telah menginangi perangkat lunak berbahaya selama 90 hari terakhir. Situs tersebut menginfeksi 2 domain, termasuk katiepica.com,katiepica.co.uk/

HTML/Silly.Gen

HTML/Silly.Gen -

http://itshare-smd.blogspot.com  -

When accessing data from the URL, "http://itshare-smd.blogspot.com/feeds/posts/default/-/freeware?alt=json-in-script&callback=listEntries10"

a virus or unwanted program 'HTML/Silly.Gen' [virus] was found.

Action taken: Blocked file

Type:   URL

Source:            http://itshare-smd.blogspot.com/feeds/posts/default/-/anti%20virus?alt=json-in-script&&callback=listEntries10

Status: Infected

Quarantine object:       514712f6.qua

Restored:         NO

Uploaded to Avira:     NO

Operating System:      Windows XP/VISTA Workstation/Windows 7

Search engine: 8.02.12.84

Virus definition file:   7.11.91.44

Detection:       HTML/Silly.Gen

Date/Time:      19/07/2013, 10:34

Dari beberapa kategori yang ada pada blog tersebut yang mengandung virus adalah kategori dibawah ini :

http://itshare-smd.blogspot.com/2008/10/program-antivirus-palsu-memperdaya-30.html

http://itshare-smd.blogspot.com/2009/01/easeus-partition-manager.html

Secara garis besar memang situs ini tidak terlalu berbahaya, hanya ada beberapa script yang terdeteksi sebagai virus.

Situs ini juga ada menggunakan aplikasi dari wordpress.org dimana ada bagian path tertentu yang dapat memicu tertedeksi sebagai virus. Ini merupakan cuplikan bagian path tersebut sengaja kita ketik tidak lengkap, sebab jika sempurna ketikan bisa jadi blog kami juga akan terdeteksi kena virus : /home/users/1/chic…….jp-gooddesignweb/web/brown…../wp-content/th…../brow…../index.php

JS/Redirector.VU.2

JS/Redirector.VU.2 –

Kasus pada http://exploromania4x4club.ro/

Pada tanggal 17 Juli 2013 kita jalan-jalan di dunia maya dalam rangka mencari bibit-bibit virus untuk bahan posting pada blog trojanmerah. Nah kebetulan kita ketemu dengan situs yag terkontaminasi dengan malware. Senang juga dapat bahan lagii.

Pada gambar dibawah ini peringatan yang diberikan oleh Chrome securitynya, ya seperti biasa kita mencoba menerobos masuk situs tersebut.

Pada tahap berikutnya keluar lagi peringatan konten situs tersebut, kita mencoba masuk juga. Dn tidak lama terdeteksi virus oleh Avira Internet Security

Ini merupakan laporan dari deteksi dengan Aviranya :

Type:   URL

Source:            http://exploromania4x4club.ro/

Status: Infected

Quarantine object:       50f87398.qua

Restored:         NO

Uploaded to Avira:     NO

Operating System:      Windows XP/VISTA Workstation/Windows 7

Search engine: 8.02.12.84

Virus definition file:   7.11.90.196

Detection:       JS/Redirector.VU.2

Date/Time:      17/07/2013, 6:29

Sedangkan yang dibawah ini merupakan report dari google Chrome tentang aktivitas stus tersebut , sengaja kami lampirkan sebagai bahan validasi dan bukan rekayasa.

Apa status cantuman terbaru untuk exploromania4x4club.ro?

Situs tercantum sebagai mencurigakan - mengunjungi situs web ini dapat membahayakan komputer Anda.
Sebagian dari situs ini tercantum karena kegiatan mencurigakan sebanyak 2 kali selama 90 hari terakhir.

Apa yang terjadi saat Google mengunjungi situs ini?

Dari 9 laman yang kami uji pada situs tersebut selama 90 hari terakhir, 5 laman menyebabkan perangkat lunak berbahaya terunduh dan terpasang tanpa persetujuan pengguna. Google terakhir kali mengunjungi situs ini pada 2013-07-11 dan konten yang mencurigakan terakhir kali ditemukan di situs ini pada 2013-07-11.

Perangkat lunak berbahaya mencakup 19 exploit(s).
Perangkat lunak berbahaya diinangi pada 6 domain, termasuk okatalogu.cba.pl/, fossfotography.com/, 198.106.102.0/.
1 domain tampak berfungsi sebagai perantara untuk menyebarkan perangkat lunak jahat kepada pengunjung situs ini, termasuk cool79.com.tw/
Situs ini diinangi pada 1 jaringan, termasuk AS5606 (KQRO)

Apakah situs ini telah bertindak sebagai perantara yang menyebabkan penyebaran perangkat lunak jahat lebih lanjut?

Selama 90 hari terakhir, exploromania4x4club.ro tampak berfungsi sebagai perantara terinfeksinya 1 situs, termasuk zoohoo.ro/.

Apakah situs ini telah menginangi perangkat lunak jahat?

Ya, situs ini telah menginangi perangkat lunak berbahaya selama 90 hari terakhir. Situs tersebut menginfeksi 1 domain, termasuk zoohoo.ro/.

Bagaimana hal ini bisa terjadi?

Dalam beberapa kasus, pihak ketiga dapat menambahkan kode berbahaya pada situs yang sah, yang akan memicu kami untuk menampilkan pesan peringatan.

Ini merupakan wajah dari situs korban malware tersebut.

Demikian report ini kami buat, mudah-mudahan ada manfaatnyaa..

Gunakan Terus Avira Internet Security dan update terus bila anda ingin nyaman dalam melalang buana di dunia maya.

JS/iFrame.aku

JS/iFrame.aku -

Kasus virus pada http:// simplysen-e-c.com -
http://collegiummusicumzwijndrecht.nl

Peringatan ini diberikan sewaktu kita mencoba menerobos masuk, namun kita mencoba untuk masuk. Untuk melihat jenis virus yang sedang aktif.

16/07/2013 17:54 [Real-Time Protection] Malware found

      Virus or unwanted program 'JS/iFrame.aku [virus]'

      detected in file 'C:\Users\Samsung\AppData\Local\Google\Chrome\User

      Data\Default\Cache\f_0001d9.

      Action performed: Deny access

Dibawah ini juga kami lampirkan validasi terhadap uji situs tersebut yang memang mengandung virus komputer.

https://www.virustotal.com/en/url/2dec23a8d8e6326224d9e0d44637b60762f2081a138673d4560fe7731801d893/analysis/

http://siteinspector.comodo.com/public/reports/15810770

http://zulu.zscaler.com/submission/show/6e02136c174ab3ec950fe76a324eaaed-1373972791

Apa status cantuman terbaru untuk simplysen-e-c.com?

Situs tercantum sebagai mencurigakan - mengunjungi situs web ini dapat membahayakan komputer Anda.
Sebagian dari situs ini tercantum karena kegiatan mencurigakan sebanyak 3 kali selama 90 hari terakhir.

Apa yang terjadi saat Google mengunjungi situs ini?

Dari 54 laman yang kami uji pada situs tersebut selama 90 hari terakhir, 53 laman menyebabkan perangkat lunak berbahaya terunduh dan terpasang tanpa persetujuan pengguna. Google terakhir kali mengunjungi situs ini pada 2013-07-13 dan konten yang mencurigakan terakhir kali ditemukan di situs ini pada 2013-07-13.

Perangkat lunak berbahaya mencakup 26 trojan(s).
Situs ini diinangi pada 1 jaringan, termasuk AS19181 (CWIE).

Apakah situs ini telah bertindak sebagai perantara yang menyebabkan penyebaran perangkat lunak jahat lebih lanjut?

Selama 90 hari terakhir, simplysen-e-c.com tidak tampak berfungsi sebagai perantara terinfeksinya situs mana pun.

Apakah situs ini telah menginangi perangkat lunak jahat?

Tidak, situs ini tidak menginangi perangkat lunak berbahaya selama 90 hari terakhir.

Bagaimana hal ini bisa terjadi?

Dalam beberapa kasus, pihak ketiga dapat menambahkan kode berbahaya pada situs yang sah, yang akan memicu kami untuk menampilkan pesan peringatan.

Adware / WebCake.A

Adware / WebCake.A -

Pada Software WebCake

Virus: adware / WebCake.A

Tanggal ditemukan: 13/07/2013

Jenis: Adware

Di alam liar: Ya

Dilaporkan Infeksi: Tinggi

Distribusi Potensi: Rendah

Kerusakan Potensi: Rendah

File Statis: Ya

Ukuran file  : 1.212.288 Bytes

Metode umum propagasi:

    • Tidak rutin menyebarkan sendiri

Deteksi dengan anti virus lainnya :
   •  Eset: Win32/Adware.Yontoo.B 
   •  DrWeb: Adware.Plugin.11 
   •  Fortinet: Adware/Yontoo.A 

Platforms / OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7
  

Efek samping:

    • File Drops

    • Modifikasi Registry

Tepat setelah eksekusi Informasi berikut ini ditampilkan:

Apa status cantuman terbaru untuk getwebcake.com?

Situs ini kini tidak tercantum sebagai mencurigakan.
Sebagian dari situs ini tercantum karena kegiatan mencurigakan sebanyak 9 kali selama 90 hari terakhir.

Apa yang terjadi saat Google mengunjungi situs ini?

Dari 13 laman yang kami uji pada situs tersebut selama 90 hari terakhir, 0 laman menyebabkan perangkat lunak berbahaya terunduh dan terpasang tanpa persetujuan pengguna. Google terakhir kali mengunjungi situs ini pada 2013-07-12 dan konten yang mencurigakan tidak pernah ditemukan pada situs ini dalam 90 hari terakhir.

Situs ini diinangi pada 3 jaringan, termasuk AS15133 (EDGECAST), AS4905 (FA), AS54761 (ARIN).

Apakah situs ini telah bertindak sebagai perantara yang menyebabkan penyebaran perangkat lunak jahat lebih lanjut?

Selama 90 hari terakhir, getwebcake.com tidak tampak berfungsi sebagai perantara terinfeksinya situs mana pun.

Apakah situs ini telah menginangi perangkat lunak jahat?

Tidak, situs ini tidak menginangi perangkat lunak berbahaya selama 90 hari terakhir

Hasil analisis dengan virus total sebagai validasi yang lebih akurat dapat anda cek link dibawah ini :

https://www.virustotal.com/en/url/6c7925035f71d4be51f7795724b8b8586919f7fbfe309b43aa82b289843cd780/analysis/

HTML/Infected.WebPage.Gen3

HTML/Infected.WebPage.Gen3 -

Kasus virus http://www.iskiyafetci.com

Pada saat kita loading ke situs tersebut , Avira Internet Security langsung deteksi ada kegiatan malware , dan dibawah ini adalah hasil reportnya :

Type:   File

Source:            C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000100

Status: Infected

Quarantine object:       57552529.qua

Restored:         NO

Uploaded to Avira:     NO

Operating System:      Windows XP/VISTA Workstation/Windows 7

Search engine: 8.02.12.78

Virus definition file:   7.11.90.116

Detection:       HTML/Infected.WebPage.Gen3

Date/Time:      14/07/2013, 21:27

Kemudian kita juga menganalisa lebih jauh lagi agar apa yang kami sajikan ini sah dan bukan rekasaya. Berikut dibawah ini adalah hasil report dari virustotal.

https://www.virustotal.com/en/url/9c3a68d691f98907cbc9b1073e06e8cc9637bd8e95491cbad41d743548c88b4a/analysis/

Apa status cantuman terbaru untuk iskiyafetci.com?

Situs tercantum sebagai mencurigakan - mengunjungi situs web ini dapat membahayakan komputer Anda.
Sebagian dari situs ini tercantum karena kegiatan mencurigakan sebanyak 2 kali selama 90 hari terakhir.

Apa yang terjadi saat Google mengunjungi situs ini?

Dari 36 laman yang kami uji pada situs tersebut selama 90 hari terakhir, 19 laman menyebabkan perangkat lunak berbahaya terunduh dan terpasang tanpa persetujuan pengguna. Google terakhir kali mengunjungi situs ini pada 2013-06-01 dan konten yang mencurigakan terakhir kali ditemukan di situs ini pada 2013-06-01.

Perangkat lunak berbahaya mencakup 133 trojan(s).
Perangkat lunak berbahaya diinangi pada 1 domain, termasuk indian-seo-company.com/
Situs ini diinangi pada 1 jaringan, termasuk AS51559 (NETINTERNET)

Apakah situs ini telah bertindak sebagai perantara yang menyebabkan penyebaran perangkat lunak jahat lebih lanjut?

Selama 90 hari terakhir, iskiyafetci.com tidak tampak berfungsi sebagai perantara terinfeksinya situs mana pun.

Apakah situs ini telah menginangi perangkat lunak jahat?

Tidak, situs ini tidak menginangi perangkat lunak berbahaya selama 90 hari terakhir.

Bagaimana hal ini bisa terjadi?

Dalam beberapa kasus, pihak ketiga dapat menambahkan kode berbahaya pada situs yang sah, yang akan memicu kami untuk menampilkan pesan peringatan.

JS/Blacole.DH.1

JS/Blacole.DH.1-

http:// mickhogan.myby.co.uk

Pada kesempatan ini kami tidak berhasil masuk ke situs tersebut, sehingga gambaran web tidak dapat kami tamplkan.

Sebagai validasi hasil cek situs http:// mickhogan.myby.co.uk juga kami lampirkan hasil dari link dibawah ini. Silahkan anda klik untuk melihat detailnya.

https://www.virustotal.com/en/url/d14bde6b0c32f6079e1527dd3c9668cbdf7e56525d2e2ba28e8ebfd840f55420/analysis/

http://www.mcafee.com/threat-intelligence/domain/?domain=mickhogan.myby.co.uk

http://sitecheck.sucuri.net/scanner/?scan=http%3A%2F%2Fmickhogan.myby.co.uk%2F

http://siteinspector.comodo.com/public/reports/15736334

http://global.sitesafety.trendmicro.com/result.php

Apa status cantuman terbaru untuk mickhogan.myby.co.uk?

Situs tercantum sebagai mencurigakan - mengunjungi situs web ini dapat membahayakan komputer Anda.
Sebagian dari situs ini tercantum karena kegiatan mencurigakan sebanyak 1 kali selama 90 hari terakhir.

Apa yang terjadi saat Google mengunjungi situs ini?

Dari 9 laman yang kami uji pada situs tersebut selama 90 hari terakhir, 1 laman menyebabkan perangkat lunak berbahaya terunduh dan terpasang tanpa persetujuan pengguna. Google terakhir kali mengunjungi situs ini pada 2013-07-09 dan konten yang mencurigakan terakhir kali ditemukan di situs ini pada 2013-07-09.

Perangkat lunak berbahaya mencakup 19 exploit(s), 16 trojan(s).
Situs ini diinangi pada 1 jaringan, termasuk AS5089 (NTL)

Apakah situs ini telah bertindak sebagai perantara yang menyebabkan penyebaran perangkat lunak jahat lebih lanjut?

Selama 90 hari terakhir, mickhogan.myby.co.uk tidak tampak berfungsi sebagai perantara terinfeksinya situs mana pun.

Apakah situs ini telah menginangi perangkat lunak jahat?

Ya, situs ini telah menginangi perangkat lunak berbahaya selama 90 hari terakhir. Situs tersebut menginfeksi 1 domain, termasuk micksbouncycastles.co.uk/

JS/BlacoleRef.CZ.29

JS/BlacoleRef.CZ.29 -

Kasus  http://eproje.com

Gambar dibawah ini proses sewaktu loading masuk masuk ke situs dan langsung di blok. Disebabkan web tersebut mengandung malware yang aktif. Dan ini merupakan security yang diberikan oleh Chrome.

Kemudian kami mencoba menerobos masuk juga, dan gambar dibawah ini merupakan reaksi yang diberikan oleh Chrome ada lebih kurang 7 lokasi malware yang aktif, pada web tersebut.

Dan ini merupakan wajah situs yang mengandung virus .

Deteksi dengan anti virus lain :

1. AVG : Blackhole Exploit Kit

JS/Exploit

HTML/Framer

Ada 3 malware yang aktif pada situs tersebut menurut analisis AVG.

2. ESET : JS/Kryptik.AKZ.trojan

Analisis oleh Google :

Apa status cantuman terbaru untuk eproje.com?

Situs tercantum sebagai mencurigakan - mengunjungi situs web ini dapat membahayakan komputer Anda.
Sebagian dari situs ini tercantum karena kegiatan mencurigakan sebanyak 4 kali selama 90 hari terakhir.

Apa yang terjadi saat Google mengunjungi situs ini?

Dari 2421 laman yang kami uji pada situs tersebut selama 90 hari terakhir, 1627 laman menyebabkan perangkat lunak berbahaya terunduh dan terpasang tanpa persetujuan pengguna. Google terakhir kali mengunjungi situs ini pada 2013-07-12 dan konten yang mencurigakan terakhir kali ditemukan di situs ini pada 2013-07-12.

Perangkat lunak berbahaya mencakup 30 trojan(s).
Situs ini diinangi pada 1 jaringan, termasuk AS29550 (SIMPLYTRANSIT)

Apakah situs ini telah bertindak sebagai perantara yang menyebabkan penyebaran perangkat lunak jahat lebih lanjut?

Selama 90 hari terakhir, eproje.com tidak tampak berfungsi sebagai perantara terinfeksinya situs mana pun.

Apakah situs ini telah menginangi perangkat lunak jahat?

Ya, situs ini telah menginangi perangkat lunak berbahaya selama 90 hari terakhir. Situs tersebut menginfeksi 10 domain, termasuk endtas.com/,indirdegel.net/, epanorama.net/

Bagaimana hal ini bisa terjadi?

Dalam beberapa kasus, pihak ketiga dapat menambahkan kode berbahaya pada situs yang sah, yang akan memicu kami untuk menampilkan pesan peringatan.

Kasus Malware

Kasus Malware

http://topblogarea.com

Kami mendapat informasi ini dari salah seorang teman, yang biasa mencari bahan pada situs tersebut. Pada tanggal 11 Juli 2013 sewaktu beliau mengunjugi situs tersebut ternyata situs sudah di backlist ama Google. Tampak seperti gambar dibawah ini. Sebab dicurigai sebagai pembawa malware.

Kemudian kami mencoba untuk menerobos melihat lebih jauh lagi factor-faktor penyebab terjadinya backlist tersebut. Dan ternyata yang keluar adalah pesan seperti dibawah ini.

Kemudian kita memcoba memakai software pihak ke tiga untuk cek dan ricek terhadap kasus ini. Adapun link dibawah ini adalah hasilnya yang lebih akurat dan valid.

http://zulu.zscaler.com/submission/show/700d06c369fa1f196a864585df44c813-1373541387

Sedangkan hasil dibawah ini adalah laporan Google terhadap kondisi situs http://topblogarea.com

Situs tercantum sebagai mencurigakan - mengunjungi situs web ini dapat membahayakan komputer Anda.

Sebagian dari situs ini tercantum karena kegiatan mencurigakan sebanyak 3 kali selama 90 hari terakhir
.

Dari 2043 laman yang kami uji pada situs tersebut selama 90 hari terakhir, 332 laman menyebabkan perangkat lunak berbahaya terunduh dan terpasang tanpa persetujuan pengguna. Google terakhir kali mengunjungi situs ini pada 2013-07-10 dan konten yang mencurigakan terakhir kali ditemukan di situs ini pada 2013-07-01.

Perangkat lunak berbahaya mencakup 139 trojan(s), 12 exploit(s), 9 scripting exploit(s). Infeksi yang berhasil menyebabkan rata-rata 3 proses baru pada mesin target.

Perangkat lunak berbahaya diinangi pada 77 domain, termasuk oinstaller2.co, sellitbuyit.ca getdiscountcodes.co.uk.

44 domain tampak berfungsi sebagai perantara untuk menyebarkan perangkat lunak jahat kepada pengunjung situs ini, termasuk clicksor.com/,cpxcenter.com/, adsmarket.com/.

Situs ini diinangi pada 1 jaringan, termasuk AS21844 (THEPLANET).

ADWARE/Vittalia.AB

ADWARE/Vittalia.AB

Virus: ADWARE/Vittalia.AB

Tanggal ditemukan: 03/07/2013

Jenis: Adware / Spyware

Di alam liar: Tidak ada

Dilaporkan Infeksi: Menengah

Distribusi Potensi: Rendah

Kerusakan Potensi: Rendah

VDF version: 7.11.88.138- Rabu, Juli 3, 2013

IVDF versi: 7.11.88.138 - Rabu, Juli 3, 2013

Umum

Metode perbanyakan:

    • Tidak rutin menyebarkan sendiri

Deteksi dengan anti virus lainnya :
   •  AVG: Startpage.TQC
   •  Eset: Win32/Vittalia.C
   •  DrWeb: Adware.Downware.744


Platforms / OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efek sampingnya:

Modifikasi Registry

Tepat setelah eksekusi Informasi berikut ini ditampilkan:

File

Berkas berikut dibuat:

– Temporary files that might be deleted afterwards:
   • %HOME%\Application Data\temp\c12afondo.bmp.zip
   • %HOME%\Local Settings\Application Data\temp\c12aheader.bmp.zip

– %HOME%\Local Settings\Application Data\temp\2.txt 
– %HOME%\Local Settings\Application Data\temp\c12aInstaller.exe Furthermore it gets executed after it was fully created. 
– %HOME%\Local Settings\Application Data\temp\c12aInstaller.INI Furthermore it gets executed after it was fully created.

Registry

kunci registri berikut ditambahkan:                                            

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAPISRV\0000\Control] 
   • "ActiveService"="TapiSrv"

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RASMAN\0000\Control] 
   • "ActiveService"="RasMan"

    

ADWARE/InstallRex.Gen.

ADWARE/InstallRex.Gen.

http://greatfilesarey.asia/v708/

Virus: ADWARE/InstallRex.Gen

Tanggal ditemukan : 28/02/2013

Jenis : Adware

Dialam liar : Tidak

Laporan penularan : rendah

Tingkat kerusakan : rendah

Engine version : 8.2..12.10

Virus masuk pada saat proses download data pada situs yang tersebut diatas. Virus langsung beraksi menuju tempat proses penyimpanan data seperti tampak pada report dibawah ini. Jika kapasitas memori PC anda terbatas bisa-bisa akan berakibat Hang.

Exported events:

04/07/2013 7:04 [Real-Time Protection] Malware found

      Virus or unwanted program 'ADWARE/InstallRex.Gen [adware]'

      detected in file

      'C:\Users\Samsung\AppData\Roaming\IDM\DwnlData\Samsung\superfilesdatay_asia_487\

      superfilesdatay_asia.

      Action performed: Deny access

Pengujian kami lakukan juga agar apa yang kami sajikan ini lebih akurat dan sah (valid) dapat dipercaya dan bukan rekayasa. Silahkan klik link dibawah ini.

           

https://www.virustotal.com/en/url/88daee93a82a22c6c5944f2f54e1b4b61056000ab90290c4fd920492df1342c9/analysis/

Apa status cantuman terbaru untuk greatfilesarey.asia?

Situs ini kini tidak tercantum sebagai mencurigakan.
Sebagian dari situs ini tercantum karena kegiatan mencurigakan sebanyak 1 kali selama 90 hari terakhir.

Apa yang terjadi saat Google mengunjungi situs ini?

Dari 20 laman yang kami uji pada situs tersebut selama 90 hari terakhir, 0 laman menyebabkan perangkat lunak berbahaya terunduh dan terpasang tanpa persetujuan pengguna. Google terakhir kali mengunjungi situs ini pada 2013-07-03 dan konten yang mencurigakan tidak pernah ditemukan pada situs ini dalam 90 hari terakhir.

Situs ini diinangi pada 1 jaringan, termasuk AS13335 (CLOUDFLARENET

Apakah situs ini telah bertindak sebagai perantara yang menyebabkan penyebaran perangkat lunak jahat lebih lanjut?

Selama 90 hari terakhir, greatfilesarey.asia tidak tampak berfungsi sebagai perantara terinfeksinya situs mana pun.

Apakah situs ini telah menginangi perangkat lunak jahat?

Tidak, situs ini tidak menginangi perangkat lunak berbahaya selama 90 hari terakhir.
Dari hasil cek ternyata ada link dengan file  malware

http://siteinspector.comodo.com/public/reports/15523488

Kasus ke 2 pada site www.ziddu.com

Fle yang didownload juga mengandung virus ADWARE/InstallRex.Gen.

Waspada selalu terhadap file-file download anda, update terus anti Virusnyaa.