W32/Sober.O@mm          3 Mei 2005

Peringatan bagi yang senang undian

     Kalau kita sering mendengar penipuan melalui SMS dimana penerima SMS dikelabui bahwa mereka telah memenangkan hadiah sejumlah uang dan sebelum menerima hadiahnya ia diminta untuk mengirimkan sejumlah uang dahulu ke rekening dan banyak memakan korban, juga penipuan SCAM mail dan LOTTERY scam dimana penerima email dikelabui bahwa ia telah memenangkan lotere dalam jumlah yang sangat besar (yang kalau benar akan membuat kita susah tidur membayangkan bagaimana membelanjakan uang sebanyak itu) dan klasiknya kita diminta untuk mentransferkan sejumlah dana untuk mengurus lotere tersebut, akhir ceritanya kita sudah tahu :(. Saat ini muncul satu worm baru W32/Sober.O@mm yang memanfaatkan gaung Piala Dunia 2006 dimana ia akan mengirimkan email seakan-akan anda telah memenangkan tiket untuk menonton Piala Dunia 2006 di Jerman yang hebatnya dapat tampil dalam dua bahasa sesuai dengan domain dari email yang ditujunya. Kalau penipuan SMS anda dikelabui untuk mentransferkan sejumlah uang, Sober.O juga sama anda dikelabui untuk menjalankan lampiran email.

Datang dalam Bahasa Jerman dan Inggris

Sober.O yang dibuat menggunakan Visual Basic dengan ukuran 52 kilobyte ini disinyalir ditulis oleh programmer dengan Bahasa ibu Jerman dan kemungkinan besar memang berasal dari Jerman. Salah satu kehebatan Sober.O adalah ia akan melakukan scanning atas 74 (tujuh puluh empat) ekstensi file untuk mengumpulkan alamat email dan mengirimkan email yang mengandung dirinya ke alamat email yang ditemukannya dengan alamat pengirim (seperti biasanya) dipalsukan. Kemudian khusus untuk alamat email dengan domain yang mengerti Bahasa Jerman seperti :

• .gmx.* (*.gmx.de, *.gmx.net, *.gmx.ch)

• .at (Austria)

• .ch (Switzerland)

• .de (Jerman)

• .li (Liechtenstein)

akan mendapatkan email bervirus dalam Bahasa Jerman. Diluar domain tersebut akan mendapatkan kiriman email dalam Bahasa Inggris. Adapun detail email yang datang adalah sebagai berikut :

From : (dipalsukan)

Subject : (salah satu dari dibawah ini)

Re: Your Password
Re: Registration Confirmation
Re: Your email was blocked
Re: mailing error
FwD: Ihr Passwort
FwD: Ihre E-Mail wurde verweigert
FwD: Ich bin's, was zum lachen ;)
FwD: Glueckwunsch: Ihr WM Ticket
FwD: WM Ticket Verlosung
FwD: WM-Ticket-Auslosung

Body / Isi Email : (salah satu dari dibawah ini) :

ok ok ok,,,,, here is it

Account and Password Information are attached!
Visit: http://www.domain acak

This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
Attachment-Scanner: Status OK,AntiVirus:
No Virus found,Server- AntiVirus: No Virus (Clean)

Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.

*-* http://www.domain acak
*-* MailTo: PasswordHelp@

**** AntiVirus: Kein Virus gefunden
**** "GMX" AntiVirus Service
**** WebSite: http://www.gmx.de

*** AntiVirus: No Virus found
*** "HBEDV" Anti-Virus
*** http://www.hbedv.com

Attachment / Lampiran (salah satu dari dibawah ini) :

mail_info.zip
our_secret.zip
Fifa_Info-Text.zip
okTicket-info.zip
free_PassWort-Info.zip
Winzipped-Text_Data.txt.exe
Winzipped-Text_Data.txt.pif

Catatan : Lampiran .zip yang datang akan megandung file bervirus yang namanya telah direkayasa dengan spasi  banyak sehingga jika dimekarkan (unzip) maka file eksekutable yang sebenarnya berekstensi .exe dan .pif akan terlihat seakan-akan file teks dengan ekstensi .txt.

Memalsukan proses windows

Jika berhasil mengelabui penerima email, Sober.O akan menampilkan pesan error palsu (Error : CRC not complete) seakan-akan file .zip yang dijalankan korup. Padahal pada saat itu, Sober.O sedang menjalankan aksinya menginfeksi komputer. Sober.O akan memalsukan diri sebagai proses windows yang legal seperti :

• csrss.exe (client/server runtime server sub system)

• smss.exe (session manager sub system)

• services.exe

Kami ingatkan anda untuk tidak langsung menuduh sistem komputer anda terinfeksi virus jika melihat salah satu / lebih dari ketiga proses di atas ini, tetapi anda perlu konfirmasi lebih lanjut seperti mengecek registri dan sebaiknya scan dengan program antivirus yang terupdate untuk memastikan karena bisa saja file ini memang file asli proses windows yang jika dimatikan akan berakibat kacaunya sistem windows komputer anda.

Salah satu ciri untuk mengkonfirmasikan aksi Sober.O adalah ia akan mencoba mengakses NTP port 37 atau mengakses beberapa website umum seperti microsoft.com, hotmail.com, yahoo.com dan google.com untuk memastikan bahwa komputer yang bersangkutan memiliki hubungan ke internet. NTP adalah Network Time Protocol yang banyak digunakan untuk sinkronisasi waktu komputer lokal dengan waktu internet (seperti GMT).

Setelah mengetahui bahwa komputer yang di infeksinya memiliki hubungan ke internet, maka Sober.O akan mulai mengirimkan kopi dirinya dari daftar email yang sebelumnya dikumpulkan dari komputer lokal dari 74 (wow) jenis ekstensi file menggunakan smtp servernya sendiri.

Menghapus Antivirus

Sober.O juga dikonfirmasi menghapus proses update dari program Antivirus Symantec dengan menghapus file eksekutable pada direktori Liveupdate Symantec dan menggantikan file luall.exe pada direktori c:\Program Files\Symantec\Liveupdate\luall.exe dengan kopi dari dirinya. Aksi ini melumpuhkan kemampuan program antivirus Norton sehingga tidak dapat melakukan update dan tidak dapat mengenali virus ini.

Jika anda terinfeksi Sober.O, anda dapat melakukan langkah-langkah sebagai berikut :

1. Update definisi antivirus anda. Norman Virus Control dengan update tanggal 3 Mei 2005 akan mengenali Sober.O sebagai W32/Sober.O@mm.

2. Start komputer anda dalam safemode (untuk masuk ke safemode, sewaktu start awal komputer, tekan [F8]).

3. Scan komputer dengan antivirus dan matikan semua proses yang terdeteksi sebagai Sober.O. Norman Virus Control dengan teknologi Sandbox dapat membasmi Sober.O yang menginfeksi komputer anda dengan menggunakan metode "Deferred Delete" dimana proses virus yang sedang berjalan dan jika dihapus akan mengakibatkan crash pada sistem akan ditandai dan di hapus setelah restart ulang.

4. Bersihkan registri yang diciptakan oleh virus :
   
   Buka Registry Editor :
   [Start][Run] ketik [regedit] lalu tekan [enter]
   Masuk ke alamat registri :
   
   HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
   Lalu pada panel kanan hapus value
   WinStart = c:\Windows\Connection Wizard\Status\services.exe
   
   MAsuk lagi ke alamat registri :
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
   Pada panel kanan hapus value
   WinStart = c:\Windows\Connection Wizard\Status\services.exe
   
   Tutup registri editor
   
   Perhatian : Harap berhati-hati dalam mengutak-atik registri karena kesalahan dalam mengubah registri akan menyebabkan OS anda tidak bisa berfungsi dengan baik / error.

Sudah sampai ke Indonesia

Menurut pemantauan Vaksincom, pada pukul 17.32 tanggal 3 Mei 2005, Sober.O sudah berhasil masuk ke Indonesia dan diperkirakan dalam waktu yang pendek akan menginfeksi ratusan komputer di Indonesia. (Lihat Gambar 1)

Gambar 1, W32/Sober.O@mm yang beursaha menyerang komputer dan berhasil dihentikan oleh Norman Internet Protection

Karena itu Vaksincom menyarankan anda yang senang memonton bola untuk tidak mudah percaya jika menerima email bahwa anda memenangkan tiket menonton bola di Jerman, lagipula kalau memang benar .... ke Jermannya naik apa ?

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...