W32/Bagle.DU       22 September 2005

Flu Bagle, balas dendam Bagle terhadap Sekuriti Windows XP

     Para pengguna internet Indonesia, selain harus waspada terhadap Flu Burung ternyata juga harus waspada terhadap Flu Bagle yang sekarang sedang marak menyebar di jagad internet. Setelah meredupnya virus "Robinhood" Netsky yang berusaha membasmi Bagle (karena penyebarnya tertangkap), praktis tinggal Bagle sendiri dan beberapa gang pembuat virus Bot yang saat ini merajalela menjalankan aksinya. Dalam sepekan terakhir, aksi Bagle ini sangat terasa dan cukup membuat panik pengguna internet, khususnya pengguna email. Selain itu, pembuat antiviruspun dibuat tidak tidur oleh aksi Bagle ini. Mengapa ? Pernah dalam sehari (19 September 2005) Bagle "menetaskan" 11 varian. Seperti kita ketahui paling banter program antivirus melakukan update sehari sekali dan menghadapi 11 varian Bagle dalam sehari berarti program antivirus perlu mengeluarkan 11 kali update definisi  untuk mendeteksi semua varian Bagle yang muncul. Dan hebatnya, penyebar Bagle ini mampu menyembunyikan dirinya dengan baik, walaupun diamati secara seksama tingkah lakunya di internet. Namun disinyalir penyebar Bagle ini berasal dari negara Eropa Timur atau Rusia. Varian Bagle.DU ini sudah sampai di Indonesia sejak tanggal 19 September 2005 dan menurut statistik yang didapatkan oleh Vaksincom, korban virus Bagle.DU di Indonesia sudah mencapai ratusan komputer dan puncaknya akan terjadi pada tanggal 23 September 2005 (tanggal "jatuh tempo") dan setelah itu mereda (kerena Bagle.DU secara otomatis menonaktifkan dirinya setelah tanggal tersebut). Tetapi anda jangan berlega hati, karena varian Bagle yang lain sudah siap menerkan dan dengan mudah disebarkan dengan tanggal "jatuh tempo" yang berbeda.

Menyebar menggunakan lampiran *price*.zip

Bagle akan datang dalam email dengan lampiran terkompres (.zip) dengan alamat email pengirim yang dipalsukan. Adapun nama lampiran yang digunakan oleh Bagle adalah :

• 09_price.zip

• new__price.zip

• new_price.zip

• newprice.zip

• price2.zip

• price_09.zip

• price_new.zip

Karena itu Vaksincom menyarankan para pengguna internet untuk berhati-hati jika menerima email dengan lampiran *price*.zip dengan ukuran file 21-25 kb. (lihat Gambar 1).

Gambar 1, Contoh email yang mengandung Bagle

Selain itu,  Bagle juga memanfaatkan rekayasa sosial untuk menipu penerima email untuk mengklik file yang mengandung dirinya dengan memalsukan dirinya sebagai file .txt (Notepad) sehingga jika lampiran di mekarkan (unzip) maka akan terlihat seakan-akan sebagai file teks yang tidak berbahaya dan aman untuk dijalankan (di klik) karena menggunakan Icon file Notepad, apalagi jika menggunakan settingan default dari Windows XP, maka executable .exe akan dihilangkan sehingga file tersebut terlihat sebagai file "price" dengan icon Notepad. Padahal file tersebut adalah "price.exe" yang memalsukan Icon Notepad untuk mengelabui pengguna komputer. Norman Virus Control dengan update terakhir sudah mengenali dan secara otomatis akan membasmi semua virus Bagle ini dan mengidentifikasinya sebagai W32/Bagle.DU (lihat Gambar 2)

Gambar 2, Norman Virus Control update 21 September 2005 mampu mendeteksi file Bagle yang dipalsukan sebagai file Teks.

Jika file ini dijalankan, Bagle akan menyembunyikan aksinya dengan menjalankan program Notepad padahal di belakang layar, Bagle sudah menjalankan rutinnya menginfeksi komputer yang bersangkutan.

Serangan balik pada Service Pack 2 Windows XP

Rupanya dugaan bahwa munculnya Service Pack 2 Windows XP menekan penyebaran virus secara signifikan selama tahun 2005 cukup beralasan, karena dalam aksinya kali ini Bagle secara khusus menyerang 3 komponen dalam Service Pack 2 Windows XP. Selain itu, Bagle juga menyerang "musuh tradisionalnya" program sekuriti dan antivirus lain.

• Teknik Bagle menyerang Firewall Windows XP (Internet Connection Firewall / ICF) adalah dengan mengubah nilai registri yang tadinya 3 (aktif) menjadi 4 (tidak aktif) pada registri

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "4"

• Selain itu, Bagle juga menghentikan automatic update dengan mengubah value dword yang seharusnya dword:00000002 menjadi dword:00000004 pada registri :
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
  Services\wuauserv
  Start = "dword:00000004"

• Tidak lupa, Bagle juga melumpuhkan Administrator Alert sehingga pengguna XP tidak akan mendapatkan peringatan atas bobolnya firewall dan update pada komputernya dengan mengubah registri :
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
  Services\Alerter
  Start = "dword:00000004"
  
  Seharusnya "dword:00000003"
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
  Services\wscsvc
  Start = "dword:00000004"
  
  Seharusnya "dword:00000002"

Adapun beberapa musuh "tradisional" yang kali ini menjadi korban dilumpuhkan oleh Bagle adalah program antivirus dan sekuriti seperti Kaspersky Antivirus, Mc Afee, Symantec dan ZoneAlarm dengan teknik penghapusah kunci registri pada

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

Sedangkan program antivirus lain yang dilumpuhkan servicenya adalah :

Ahnlab task Scheduler
alerter
AlertManger
AVExch32Service
avg7alrt
avg7updsvc
AvgCore
AvgFsh
AvgServ
AVPCC
AVUPDService
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
BlackICE
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
DefWatch
dvpapi
dvpinit
F-Secure Gatekeeper Handler Starter
fsbwsys
FSDFWD
KAVMonitorService
kavsvc
KLBLMain
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
MonSvcNT
navapsvc
Network Associates Log Service
NISSERV
NISUM
NOD32ControlCenter
NOD32Service
Norman NJeeves
Norman ZANDA
Norton Antivirus Server
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVFNSVR
Pavkre
PavProt
PavPrSrv
PAVSRV
PCCPFW
PersFW
PREVSRV
PSIMSVC
ravmon8
SAVFMSE
SAVScan
SBService
schscnt
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
Tmntsrv
V3MonNT
V3MonSvc
VexiraAntivirus
VisNetic AntiVirus Plug-in
vsmon
wuauserv
XCOMM

Menghubungi 153 alamat website untuk mengupdate dirinya.

Jika program antivirus mengandalkan update untuk menghadapi virus, ternyata Bagle.DU tidak mau kalah. Ia memiliki kemampuan mengupdate dirinya sendiri dengan berusaha mendownload file dengan nama "osa6.gif" pada 153 alamat website yang telah ditentukan. Jika file "osa6.gif" berhasil di download, Bagle akan mengubahnya menjadi _re_file.exe dan menjalankan dirinya. Satu hal yang cukup mengkhawatirkan adalah dengan kemampuan update ini, Bagle menjadi lawan yang setara dengan antivirus dan memiliki kemampuan update. Termasuk kemampuan mengupdate / mengubah alamat website yang menjadi sumber download karena seperti kita ketahui, vendor antivirus langsung menghubungi pemilik website yang dijadikan sebagai alamat download host bagi Bagle. Namun dengan kemampuan mengubah dirinya, otomatis alamat website download ini dapat berubah dikemudian hari dan seperti kita ketahui, ada jutaan website di internet dan "tidak mungkin" untuk mengawasi semua website tersebut. Jadi bagaimana hasil pertempuran kali ini ?

Hanya waktu yang bisa menjawab.

Alfons Tanujaya AAT

Antivirus Specialist Vaksincom
PT. Vaksincom
Tanah Abang III / 19E
Jakarta 10160