Messages: Show Message Summaries Sort by Date

#228 From: "Vaksin.com" <vaksin@...>
Date: Fri Apr 19, 2002 10:18 am
Subject: Mohon maaf webhosting kami di Techscape down vaksincom
Send Email

Kami mohon maaf kepada semua pelanggan dan relasi karena website
www.vaksin.com tidak dapat diakses beberapa hari ini. Kami sedang
memindahkan hosting kami ke hosting lain yang lebih reliable.

salam,
Alfons

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Kaspersky Antivirus
  Norman  Antivirus

by : vaksin.com
Call 021-526-9434
Antivirus Solution
-- www.vaksin.com --




[Non-text portions of this message have been removed]

Reply | Messages in this Topic (1)

#229 From: "Vaksin.com" <vaksin@...>
Date: Mon Apr 22, 2002 3:34 am
Subject: Klez.G mengganas di Indonesia vaksincom
Send Email

Pada hari sabtu 20 JAnuari 2002 s/d Senin 22 April 2002 Vaksin.com
menerima ratusan virus Klez.G dan Vaksin.com mendapatkan laporan dari
mayoritas pengguna komputer yang mengeluhkan adanya email mencurigakan
yang mengandung virus.

Klez.G memanfaatkan fasilitas auto preview dari OE seperti Nimda (lihat
artikel mengenai Nimda) dimana anda hanya cukup melakukan preview akan
mengaktifkan worm tersebut.

Worm tersebut dalam beberapa kasus langsung menghancurkan file .exe
sehingga komputer anda menjadi kacau dan juga mengincar beberapa
software antivirus.

Kasus terakhir yang kami terima adalah worm ini mempunyai kemampuan
mengirimkan diri menggunakan ICQ, karena itu pengguna ICQ JANGAN sekali
kali mengaktifkan attachment yang datang karena kemungkinan besar
mengandung Klez.G.

Untuk informasi mengenai Klez, silahkan lihat selengkapnya di Vaksin.com


salam,
Alfons


-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Kaspersky Antivirus
  Norman  Antivirus

by : vaksin.com
Call 021-526-9434
Antivirus Solution
-- www.vaksin.com --




[Non-text portions of this message have been removed]

Reply | Messages in this Topic (1)

#230 From: "Vaksin.com" <vaksin@...>
Date: Mon Apr 29, 2002 1:57 am
Subject: (No subject) vaksincom
Send Email

Devide et Impera ala Klez

28 April 2002

Klez dan variannya, terutama Klez.E yang muncul pada pertengahan Januari
2002 dan Klez.H pada minggu ke tiga bulan April 2002 memulai kembali
pertempuran klasik antara pembuat virus dan antivirus di kuartal pertama
tahun 2002 dimana cukup banyak orang awam mencurigai hal ini adalah
perbuatan pembuat software antivirus agar softwarenya laku. Tetapi untuk
sampai pada kesimpulan seperti ini, tentunya tidak bisa dengan
memberikan hipotesa dan tuduhan tersebut merupakan hal yang serius dan
harus ada bukti yang kuat dan sampai hari ini dari pembuat virus yang
tertangkap tidak terbukti ada yang mempunyai hubungan langsung dengan
pembuat software antivirus. Yang ada malahan pembuat virus yang memusuhi
pembuat antivirus dan membuat program untuk menghancurkan software
antivirus tersebut (seperti kasus Klez).
Terlepas dari polemik tersebut di atas, dari pengamatan yang kami
lakukan sampai saat ini, memang mudah untuk mengacungkan telunjuk untuk
menunjuk orang lain tetapi si pengacung telunjuk tidak sadar bahwa empat
jari lainnya menunjuk kepada dirinya sendiri. Pengguna komputer yang
terinfeksi komputer pada umumnya tidak menerapkan kebiasaan berkomputer
yang baik dan aman, pada satu kasus kami menemukan bahwa username
Administrator dipakai untuk semua orang dengan password di kosongkan
sehingga virus yang menginfeksi anggota jaringan yang manapun akan
mempunyai hak sebagai administrator. Pada kasus lainnya diketahui bahwa
user tidak mengupdate softwarenya sehingga virus dapat memanfaatkan
celah keamanan software sehingga virus dapat mengaktifkan dirinya dari
email tanpa memerlukan penerima email mengklik attachment. Kasus yang
paling umum ditemui adalah kebiasaan berbagi direktori (sharing) yang
sangat buruk dan "sangat membantu" virus jaringan seperti Klez, Nimda
dan Sircam untuk menyebarkan dirinya dengan sangat cepat dan sulit di
basmi dimana sharing direktori berikan sebagai "Full Access" sehingga
jika satu komputer di dalam jaringan terinfeksi virus sudah cukup untuk
menyebabkan seluruh komputer di dalam jaringan terinfeksi virus
"walaupun" komputer lainnya sudah terinstal antivirus yang terupdate.

Kembali ke kasus Klez yang sekarang sangat memusingkan pengguna komputer
di Indonesia dimana Klez.E menyebabkan ribuan komputer di Indonesia
mengalami kerusakan permanen dalam file tertentu terutama file Excel dan
MS Word dan dapat diselamatkan hanya dengan proses data recovery tingkat
tinggi yang hanya dimiliki oleh perusahaan recovery sekelas Ontrack.
Disusul oleh Klez.G yang kemudian secara resmi mendapatkan nama Klez.H
meneruskan kembali penyebaran ini dengan menambahkan kemampuan
penyebaran di jaringan yang lebih agresif serta variasi pesan dalam
email yang sangat banyak dan atraktif. Ada fenomena menarik dari Klez.H
ini dimana virus ini mempunyai kemampuan untuk memanipulasi email
pengirim sehingga jika kita menerima email yang berisi virus, akan cukup
sulit untuk melacak komputer yang sebenarnya terinfeksi virus karena
alamat pengirim akan diisi oleh alamat email lain yang secara acak
dipilih oleh Klez.H. Hal ini dialami oleh Sophos dimana pada
pemberitahuan tanggal 26 April 2002
http://www.sophos.com/virusinfo/articles/klezh2.html diinformasikan
bahwa beberapa pelanggan Sophos menerima email yang "seakan-akan"
berasal dari Sophos padahal isinya adalah Klez.H. Vaksin.com juga
menerima beberapa email sejenis seperti gambar dibawah ini :



dimana email yang datang akan datang "on behalf" atau Atas Nama.
Sehingga jika anda melakukan relpy langsung ke pada email tersebut,
balasan email anda akan langsung diberikan kepada alamat email yang di
dimanipulasi (dalam contoh di atas adalah alfons@...). Karena
itu, jika menerima email bervirus dari suatu alamat email, anda jangan
buru-buru mencap alamat email yang tercantum di bagian sender sebagai
pengirim virus dan langsung marah-marah ke alamat email tersebut,
apalagi jika hal tersebut dilakukan di milis. Bisa-bisa anda malahan
terjadi flamming dan anda menghabiskan waktu untuk hal-hal tidak
produktif. Sebaiknya selidiki dengan teliti catatan rinci dari email
tersebut, dari mail server mana email tersebut dikirim dan dengan
melihat IP dari pengirim anda dapat memperkirakan apakah email tersebut
dikirimkan oleh alamat email yang tercantum di sender atau anda sedang
di cobai untuk menjadi korban "Devide et Impera" ala Klez.H.

Menyembuhkan Klez.H
Jika komputer anda terinfeksi oleh Klez.H dan komputer anda stand alone,
anda hanya perlu melakukan dua hal :

1.
Bersihkan registri dari rutin yang mengandung Klez.H banyak tools
seperti CLRav, Fixklez
<file:///C:/antivirus/virus%20removal/fixklez/norman/klezfix2.zip> .

2.
Scan komputer anda dengan antivirus terakhir, sebagai catatan Norman
Virus Control pada hari Sabtu tanggal 27 April 2002 telah dapat
mendeteksi varian Klez yang terakhir, yaitu Klez.I.

Tetapi jika komputer anda terhubung ke jaringan, maka pekerjaan rumah
yang banyak menanti anda, karena anda harus membereskan beberapa hal
tambahan Open Share dan infeksi ulang dari jaringan. Adapun
langkah-langkah yang perlu anda lakukan adalah :

1.
Tutup semua openshare dalam jaringan.

2.
Sebarkan program antivirus dengan update terakhir ke seluruh komputer
dalam jaringan. Jika antivirus anda dirusak oleh Klez, benahi dahulu
kerusakan tersebut atau nonaktifkan dan install program antivirus lain.

3.
Matikan Switch atau hub anda sehingga semua komputer tidak terhubung ke
jaringan.

4.
Jalankan FixKlez
<file:///C:/antivirus/virus%20removal/fixklez/norman/klezfix2.zip>  di
setiap komputer untuk membasmi Klez yang ada di dalam memori dan
membetulkan registri yang di rubah oleh Klez.

5.
Scan komputer dengan antivirus dan bersihkan semua virus yang
terdeteksi.

6.
Setelah virus dibersihkan "RESTART" dan "scan sekali lagi". Hasil scan
harus tidak ada virus, kalau ada harus diselidiki dengan teliti dan
diselesaikan sampai tuntas sebelum menjalankan menghubungkan komputer
dengan jaringan. Jika menggunakan Windows ME atau XP jangan lupa untuk
nonaktifkan System Restore sebelum melakukan scanning.

Jika anda membutuhkan layanan antivirus untuk perusahaan anda, silahkan
hubungi Vaksin.com guna mendapatkan perlindungan antivirus lengkap dari
Vaksin.com. Vaksin.com tidak menjual software antivirus saja tetapi kami
memberikan instalasi dan support semua masalah virus di jaringan anda.

salam,

Vaksin.com



-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Kaspersky Antivirus
  Norman  Antivirus

by : vaksin.com
Call 021-526-9434
Antivirus Solution
-- www.vaksin.com --




[Non-text portions of this message have been removed]

Reply | Messages in this Topic (1)

#231 From: "Vaksin.com" <vaksin@...>
Date: Tue May 7, 2002 4:25 am
Subject: RE: [AntivirusClub] OE vaksincom
Send Email

Informasi praktis untuk mencegah virus :

Dulu (beberapa bulan yang lalu) ada beberapa informasi yang diberikan
oleh komunitas internet mengenai cara mencegah virus :
1. Non aktifkan automatic send and recieve. Guna mencegah kalau virus
mau mengirimkan dirinya dia tidak otomatis terkirim sehingga antri dulu
di outbox dan kita setiap mau klik send/recieve lihat outbox dulu. Hal
ini terbukti membantu ketika saya sempat terinfeksi satu virus lokal
yang ngantri (resiko usaha... harus cobain semua virus :(  ) di outbox
dan sempat saya cegah .... untungnya virus lokal tersebut attachmentnya
besar sehingga ngga sempat terkirim dan membuat malu.
Tetapi sekarang virus baru seperti Klez menggunakan setingan mailserver
sendiri dan kalau gagal dia bisa cari mailserver diluar sehingga hampir
tidak mungkin untuk dicegah dan kiat di atas jadi ngga laku ....
2. Ada juga yang memberikan saran buat satu username dummy dengan awalan
! dan kosongkan sehingga kalau virus cari ke address book akan gagal.
Tetapi sekarang virus udah canggih, selain cari ke addressbook dia cari
di temporary internet files atau sluruh file di komputer untuk dapatkan
email.
3. WSH, nonaktifkan windows scripting host agar virus yang manfaatkan
WSH (waktu itu) tidak otomatis jalan.
Resep ini cukup manjur untuk mencegah Sircam tetapi virus baru sekarang
juga ngga perlu WSH untuk menyebarkan dirinya.

Begitulah perkembangan virus yang sangat dinamis ini sehingga metode
yang hari ini laku untuk mencegah virus akan dihindari / diakali oleh
pembuat virus lain sehingga anda harus selalu keep updated, salah
satunya ikuti berita terakhir mengenai virus.

Dua saran yang sampai saat ini masih laku (belum basi) adalah :
1. Update selalu software anda secara teratur dari security hole.
Security hole akan selalu ditemukan, karena itu anda perlu secara
teratur mengupdate security hole dengan patch yang disediakan oleh
vendor anda.
Menurut pendapat saya, software MS mungkin diklaim paling banyak SHnya
tetapi tidak bisa dipungkiri merupakan software yang friendly user dan
paling banyak dipakai, disamping itu walau ada SHnya yang penting kan
dari MS cepat dan tanggap segera memberikan update jika ditemukan
security hole. Saran menggunakan  eudora atau mail client yang lain
menggantikan Outlook saya pikir kurang valid karena sekarang virus juga
menyerang dari Browser dan jaringan :(.
2. Install antivirus dan update secara teratur.
Ini hal yang selalu disebutkan tapi yah memang itu hal terbaik yang
dapat dilakukan karena vendor antivirus khan selalu mengikuti
perkembangan virus terakhir dan segera memberikan update pengenal setiap
kali ada virus baru yang datang. Ibaratnya kalau musuh kita menyerang
setiap saat, kita harus punya pertahanan yang bertahan setiap saat.
Karena itu saya juga condong menyerankan agar menggunakan antivirus yang
melakukan update secara otomatis, jangan manual. Jangan gunakan
antivirus bajakan karena update otomatisnya kemungkinan besar tidak akan
berhasil karena SN antivirus yang dibajak dengan mudah dapat
diidentifikasi oleh vendor antivirus (kecuali anda download manual) ...
tapi pertanyaannya .. apakah virus menyerang ketika anda ingat update ??
Tidak, virus akan menyerang ketika anda lupa / alpa update.

salam,
Alfons

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Kaspersky Antivirus
  Norman  Antivirus

by : vaksin.com
Call 021-526-9434
Antivirus Solution
-- www.vaksin.com --

-----Original Message-----
From: oscaranwar [mailto:oscaranwar@...]
Sent: 07 Mei 2002 20:30
To: AntivirusClub@yahoogroups.com
Subject: [AntivirusClub] OE


Cara atur supaya pada OE ver 5,0 auto pareview nya ngak muncul otomatis
bagaiamana? Saya cari ke bagian option kok ngak ada ?
Thanks

----- Original Message -----
From: Sapto Kushardi <kxsapto@...>
To: <AntivirusClub@yahoogroups.com>
Sent: Sunday, May 05, 2002 8:13 PM
Subject: Re: [AntivirusClub]


> Nyambung diskusinya, ..kalau user kita tetap hobi dgn Outlook express,
> apakah ada options yang hrs diset spy tidak mudah terkena virus ?




Yahoo! Groups Sponsor

ADVERTISEMENT

<http://rd.yahoo.com/M=194081.2021092.3499911.1829184/D=egroupweb/S=1705
195068:HM/A=1036972/R=0/*http://www.ediets.com/start.cfm?code=3466>
Click Here!

<http://us.adserver.yahoo.com/l?M=194081.2021092.3499911.1829184/D=egrou
pmail/S=1705195068:HM/A=1036972/rand=436182963>

Virus Information and Updated News

*Subscribe: send blank email to :
AntivirusClub-subscribe@yahoogroups.com
*Unsubscribe (You Need To Reply):
AntivirusClub-unsubscribe@yahoogroups.com
*Unsubscribe (No Need To Reply): AntivirusClub-NOMAIL@yahoogroups.com
*Switch to Digest Format        : AntivirusClub-digest@yahoogroups.com

*Return to single messages      : AntivirusClub-normal@yahoogroups.com

*Post a message to the list     : AntivirusClub@yahoogroups.com
*Send Message to the Owner      : AntivirusClub-owner@yahoogroups.com

Your use of Yahoo! Groups is subject to the Yahoo! Terms of Service
<http://docs.yahoo.com/info/terms/> .




[Non-text portions of this message have been removed]

Reply | Messages in this Topic (1)

#232 From: "Vaksin.com" <vaksin@...>
Date: Tue May 7, 2002 4:38 am
Subject: RE: [AntivirusClub] nanya vaksincom
Send Email

mau tanya nii
antivirus apa yang cocok
dan ampuh untuk di pakai
OS UNIX dan LINUX
[Vaksin.com] Virus yang menyerang Unix dan Linux masih sangat sedikit
dan jarang orang membeli antivirus "khusus" untuk memproteksi ke dua os
tersebut. Yang sering terjadi adalah orang membeli antivirus dipasang di
Server / mail server Linux / Unix guna mencegah virus yang menyerang
workstationnya .. yang notabene umumnya menggunakan windows. Jadi yang
rentan terhadap virus bukan server Linux / Unixnya tetapi workstation
dan server windows.
Karena itu jika anda install antivirus di Linux misalnya Sendmail itu
akan mengamankan anda dari serangan virus "tetapi" ingat hanya Email.
Jaringan anda akan tetap rentan terhadap serangan virus dari browsing
atau openshare. Hal ini terbukti dari beberapa klien kami yang
menggunakan Sendmail tetapi jaringannya tetapi terinfeksi Klez dan
Nimda.
Karena itu, menurut pandangan kami cara terbaik melindungi jaringan
adalah "Lindungi Workstationnya" karena anda tidak bisa mengontrol
seluruh user anda seperti anda mengontrol server anda dan sekali "satu"
saja workstation anda terinfeksi virus sudah cukup untuk mengakibatkan
seluruh komputer dalam jaringan terinfeksi virus walaupun komputer
tersebut sudah terinstal antivirus yang terupdate.

salam,
Alfons


[Non-text portions of this message have been removed]

Reply | Messages in this Topic (1)

#233 From: "Vaksin.com" <vaksin@...>
Date: Fri May 10, 2002 2:28 am
Subject: JDBGMGR.EXE HOAX; Keledai tidak terperosok pada lubang yang sama dua kali vaksincom
Send Email

JDBGMGR.EXE HOAX

Keledai tidak terperosok pada lubang yang sama dua kali

8 Mei 2002



Pembuat virus selalu belajar dari sejarah dan selalu mengikuti
perkembangan teknologi terakhir dan cenderung untuk mengulangi metode
yang digunakan oleh virus yang pernah sukses seperti Klez yang meniru
cara Nimda memanfaatkan security hole di IE 5.01 dan 5.5. Hal tersebut
berusaha dicounter oleh pembuat antivirus dengan melakukan monitoring 1
X 24 jam terhadap varian virus baru yang setiap harinya rata-rata
berjumlah 33 buah (1.000 virus per bulan) sehingga jika hari ini
mengepidemi satu virus baru yang berbahaya, dalam waktu beberapa jam
sudah muncul definisi yang dapat mengenali virus tersebut, termasuk
informasi detail mengenai virus dan cara removal bagi komputer yang
sempat terinfeksi.

Hal yang sama rupanya berlaku juga untuk pembuat HOAX (berita bohong
mengenai virus). Setelah HOAX Sulfnbk yang menyarankan para pengguna
komputer untuk meghapus file Sulfnbk.exe di windows karena di klaim
merupakan virus yang berbahaya (dimana nama file tersebut memang aneh
dan mencurigakan) dan saran tersebut dipatuhi oleh para pengguna
komputer awam dengan "sedikit" rasa terimakasih kepada orang yang telah
"berbaik hati" memforwardkan informasi berharga kepadanya. Setelah
diselidiki ternyata file sulfnbk.exe adalah asli dari windows dan
dibutuhkan untuk mengenali Long file name (nama file panjang) dan kalau
dihapus akan mengganggu kerja windows, maka rasa terimakasih tadi
berubah menjadi rasa dongkol dan kesal karena sudah menghapus file
tersebut sampai keakar-akarnya (setelah di hapus dibersihkan juga dari
Recycle Bin). Konyolnya, virus Magistr dengan cerdik memanfaatkan
peluang ini dengan memanipulasi dirinya dan datang dalam email dengan
attachment file sulfnbk.exe yang bila dijalankan bukan menyembuhkan
penyakit pilek di komputer anda tetapi menjadi tertular virus Magistr.

Sekarang, HOAX dengan trik yang sama muncul dan meminta pengguna
komputer untuk mencari file dengan nama JDBGMGR.EXE karena di vonis
sebagai virus baru yang tidak terdeteksi oleh Norton maupun Mc Afee dan
jika menemukan file tersebut harus segera dihapus sampai ke akar akarnya
(kosongkan Recycle Bin juga). Padahal file tersebut adalah asli milik
Internet Explorer. Jika anda termasuk orang yang "beruntung" telah
menerima email tersebut dan sudah menghapus file JDBGMGR.EXE sampai ke
akar akarnya :), instal ulang Internet Explorer dapat memecahkan masalah
anda.

Adapun HOAX tersebut akan datang dengan perincian sebagai berikut :

Hi, everybody:
I just received a message today from one of my friends in my Address
Book. Their Address Book had been infected by a virus and it was passed
on to my computer. My Address Book, in turn, has been infected. The
virus is called jdbgmgr.exe and it propagates automatically through
Messenger and through the address book. The virus is not detected by
McAfee or Norton and it stays dormant for 14 days before wipe out the
whole system. It can be deleted before it erase your computer files. To
delete it, you just have to do the following:

1) Go to Start, click on "Find"

2) At "files or folders" write the name jdbgmgr.exe

3) Be sure to search drive "C"

4) Click on "find now"

5) If you find the virus (the icon is a little bear with the name
jdbgmgr.exe) DO NOT OPEN IT FOR ANY REASON

6) Right click on it and delete the file (it will go to the recycle bin)


7) Go to the recycle bin and delete the file definitivelly or empty the
recycle bin.


Ada hal penting yang kami informasikan dimana anda harus selalu
berhati-hati jika menerima email dengan attachment, apalagi JDBGMGR.EXE
walaupun sampai saat ini Vaksin.com tidak menerima konfirmasi adanya
virus dengan attachment tersebut tetapi tidak ada salahnya belajar dari
pengalaman Magistr yang memanfaatkan issue sulfnbk tahun lalu. Ingat
kata pepatah "Keledai tidak terperosok ke dalam lubang yang sama dua
kali".

salam,

Alfons



-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
  Norman  Antivirus

by : vaksin.com
Call 021-526-9434
Antivirus Solution
-- www.vaksin.com --




[Non-text portions of this message have been removed]

Reply | Messages in this Topic (1)

#234 From: "Vaksin.com" <vaksin@...>
Date: Mon May 13, 2002 3:30 am
Subject: Habis-habisan dengan Klez.H (Final) vaksincom
Send Email

Habis-habisan dengan Klez.H

13 Mei 2002



Karakteristik Umum :

Tipe : Worm

Alias : W32.Klez.G

Mekanisme Penyebaran : Email, jaringan, infeksi file

Karakteristik Email

Judul : bervariasi

Isi : bervariasi

Attachment : bervariasi

Tingkat Kerusakan : rendah

Isi/muatan : programs penghancur antivirus

Tanggal terdeteksi : 17 Apr 2002

Diumumkan ke publik : 17 Apr 2002 14:58 (CET)

Update terakhir : 10 May 2002 10:38 (CET)

Deskripsi Lengkap dari Virus ini :

Tipe

Deteksi dan Pembersihan -  informasi khusus

Kami merekomendasikan anda untuk mendownload tool khusus untuk virus
ini. Tool ini akan membersihkan Klez.E, Klez.H (yang sebelumnya dikenal
dengan nama Klez.G), dan Elkern.C pada sistem lokal yang terinfeksi.
Jika Klez telah melumpuhkan NVC5, tool ini akan memperbaikinya lagi.
Download tool tersebut di website norman http://www.norman.no
<http://www.norman.no/>  dan bacalah petunjuk penggunaannya.

Tanggapan Umum

Klez.H adalah worm email baru dalam keluarga Klez. Dalam beberapa hal,
Klez.H hampir sama dengan varian Klez sebelumnya, tetapi beberapa
efeknya telah dihilangkan.

Klez.H menyebar melalui email dengan menggunakan alamat email yang
diambil dari beberapa sumber dari komputer yang terinfeksi - halaman
web, address book windows, dan ICQ contact lists. Perhatikan pula bahwa
ia akan memilih alamat pengirim secara acak, sehingga mail ini
seolah-olah berasal dari seorang pengirim tertentu padahal ia tidak
pernah mengirimkannya. Email tersebut dirancang sedemikian rupa sehingga
virus ini dapat berjalan  meskipun user tidak perlu membuka attachment
apapun.

Virus ini mengkopi-kan dirinya ke mesin lokal dan pada jaringan dalam
bentuk executable file (.exe) dan dalam ekstensi RAR (.rar).

Mekanisme Penyebaran

Ketika worm ini masuk ia akan mengkopi dirinya ke system directory
menggunakan nama "Wink*.exe" dimana tanda where tanda *.menunjukkan
kombinasi yang acak. Hal ini akan menambah sebuah entry di dalam
Registry, sehingga akan dapat di-loaded pada saat startup.

Pada  Win9x/ME:

HLKM\Software\Microsoft\Windows\CurrentVersion\Run\Wink* =
%SystemDir%\Wink*.exe

Pada Win NT/2000/XP:
HKLM\System\CurrentControlset\Services\Wink* = %SystemDir%\Wink*.exe


Tahap-tahap kerja Klez.H :

Tahap Pertama:

Hal pertama yang dilakukan virus ini ketika mereka masuk ke sistem
adalah mencari apakah sistem berisi nama tertentu (dalam suatu daftar
yang disebut WL01) dalam 512 kilobit pertama dari proses! Mereka
memiliki ruang memori sendiri. Jika nama ini ditemukan, ia akan mencoba
untuk menghentikan proses, dan program file yang ada bersamanya akan
dihapus.

Tetapi harus diingat ingat bahwa daftar nama (WL01) yang berisi nama
virus tersebut tidak selalu sama  dengan nama virus itu sendiri, karena
beberapa virus malah tidak pernah memakai nama mereka sendiri dalam
registri. Namun yang pasti, hal ini akan menghilangkan program antivirus
atau fixup tool,  dan program-program lain yang mengandung kata-kata
tersebut.

Selanjutnya, ia akan memeriksa jika nama-nama yang terdapat pada proses
yang sedang berjalan mengandung kata tertentu dari daftar kata yang lain
(Ref WL02). Jika ada, program ini akan dihilangkan/dihapus seperti
sebelumnya.

Kunci Registri (registry keys)
HLKM\Software\Microsoft\Windows\CurrentVersion\Run dan
HLKM\Software\Microsoft\Windows\CurrentVersion\RunServices akan
diperiksa apakah ada program antivirus dalam daftar yang disebut WL02
list. Jika ada, mereka akan dihapus dari registry.

Pada Win9x/ME langkah ini akan membangkitkan Run key Klez.H sendiri
dalam Registry secara kountinu.

Tahap Kedua:

Ini adalah tahap pengiriman email. Ia akan memeriksa apakah komputer
yang terinfeksi tersebut terhubung ke internet atau tidak. Jika
terhubung, ia akan men-scan Address Book Windows, databases ICQ (jika
ada) dan file .txt, .htm and .html files pada drive lokal. Ia akan
berusaha menggunakan mail server lokal untuk mengirim mail, atau jika
tidak berhasil, szecara cerdik sekali ia akan mencoba untuk menebak mail
server yang dapat digunakan dengan menambahkan 'smtp.' ke nama domain
yang ditemukannya dalam mail address.

Jika mail server ini bekerja, worm ini akan menggunakan alamat email
yang digunakannya sebagai basis untuk alamat mail server pada daftar
internal. Jika mail server tebakan ini juga tidak berhasil, ia akan
mencari pada daftar internalnya dan berusaha untuk menggunakan secara
acak sampai dengan 6 server yang disimpannya  pada koneksi sebelumnya.
Jika tidak ada satupun yang berhasil, ia masih memiliki daftar
(hard-coded list - WL22) dari mail server yang akan digunakannya. (WL22)
.. Ck.ck.ck.

Mail-mail tersebut dibuat secara semi-random, berdasarkan pada sejumlah
daftar kata dan kondisi :

Judul:<optional WL 14><WL08>
Isi: kosong

Contoh :

Judul:FW:some questions

Atau :

Judul: A <WL18><WL06><WL15>
Isi :<optional WL14>This is a <optional WL18><WL06><WL15>
I <WL20> you would <WL19> it.

Contoh :

Judul: A very new website
Isi:
Hello,This is a special new website
I hope you would enjoy it.

Atau :

Judul: <WL07> removal tools
Isi:
<WL07> is a <WL18>dangerous virus that <WL21>
<WL09>give you the <WL07> removal tools
For more information,please visit http://www.<WL09>.com

Contoh :.

Judul: W32.Klez.E removal tools
Isi:
W32.Klez.E is a dangerous virus that spread through email.
F-Secure give you the W32.Klez.E removal tools
For more information,please visit http://www.F-Secure.com

Atau :

Judul: Worm Klez.E immunity
isi:
Klez.E is the most common world-wide spreading worm.It's very dangerous
by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most
common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into
your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some
AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'
If you have any question,please mail to me (link to email address)

Atau :

Judul: <WL12><WL08>
Isi:
The following mail can't be sent to <random address>
From: <email address>
To: <random address>
Subject: <WL08>
<WL13> is the original mail

Email yang seperti ini akan seolah-olah  berasal dari 'postmaster'.

Atau :

Judul: A random set of words and/or letters found in local files
Isi: Kosong

Atau :

Tidak ada judul atau isi.

Adakalanya worm ini akan memeriksa tanggal dan mencatat tanggal yang
terdapat pada mail tersebut, jika tanggal tersebut termasuk didalam
suatu daftar tertentu. Email jenis ini akan memiliki format seperti
berikut ini :

judul: <WL11> <optional WL06> <WL10>
Isi: kosong

Contoh.
Judul: Have a nice April Fools' Day

Attachment yang berisi virus akan dinamai secara acak berdasarkan nama
file atau isi dari file yang diinfeksi oleh worm ini, atau hanya suatu
kombinasi acak dari surat-surat. File extensi akan berakhiran .exe,
.pif, .scr atau .bat. dalam banyak kasus, nama file akan memiliki
extensi ganda - dalam kasus ini extensi kedua dapat ditemukan dalam
daftar yang disebut WL03.

Bahkan, email ini memiliki kemungkinan mengandung attachment file lain
dari salah satu jenis yang ditemukan dalam daftar WL03. File ini adalah
file sembarang yang ditemukan worm ini pada hardisk, dan dapat
mengandung informasi rahasia atau penting.Jika ukuran file 51200 bytes
atau kurang, kemungkinannya 50% untuk ikut terkirim bersama worm ini,
Jika ukuran file antara 51200 dan 512000 bytes, kemungkinannya 25%. Jika
ukuran filenya lebih besar dari ini maka tidak akan disertakan ....
sekali lagi kecerdasan pembuat Klez.H yang mengerti sekali tentang dasar
penyebaran virus dimana ukuran attachment harus dibuat sekecil mungkin.

Perhatikan bahwa alamat email yang digunakan sebagai pengirim oleh virus
ini berdasarkan pada alamat email yang ditemukannya pada file lokal dan
biasanya bukanlah pengirim aslinya.

Ketika virus menyebar melalui email, pengguna dapat terinfeksi hanya
dengan membaca atau  melihat mail tersebut. Hal ini dapat dilakukan
dengan memanfaatkan lubang keamanan yang dikenal dengan isitilah
"Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" (MIME
header yang keliru dapat menyebabkan IE mengeksekusi e-mail attachment).
Informasi lebih lengkap tentang hal ini dapat dilihat pada:


<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/secu
rity/bulletin/MS01-020.asp>
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/secur
ity/bulletin/MS01-020.asp

Lubang keamanan ini terdapat pada Internet Explorer (IE) versi 5.01 and
5.5 tanpa SP2. Pengguna yang masih menggunakan IE versi ini harus segera
mengupgrade IE-nya.

Tahap Ketiga :

Tahap ini biasanya terjadi setiap dua jam sekali, dimana worm ini akan
berusaha untuk membuka dan menghitung sumber daya yang dapat digunakan,
dan jika sumber daya tersebut adalah sebuah disk, worm ini akan
mengkopikan dirinya pada komputer tersebut.

Pada komputer yang menggunakan Windows NT/2000/XP ia akan berusaha untuk
menginstal copy dari dirinya menjadi sebuah layanan pada komputer
tersebut. Ia juga akan berusaha untuk menginstal dirinya pada database
registry dari komputer tersebut dengan menggunakan key
HKLM\Software\Microsoft\Windows\Currentversion\RunOnce. Hal ini akan
berakibat worm ini akan berjalan setiap kali proses booting berlangsung.


Setelah itu, worm ini akan menggandakan lagi copy dari dirinya yang akan
disimpan dalam suatu arsip RAR. Nama file dalam arsip tersebut akan
mengandung huruf/karakter yang diambil dari daftar WL16 dan WL04 -
misalnyaf : snoopy.exe atau install.pif.

Tahap Keempat :

Tahap ini adalah tahap penginfeksian file. Setiap jam, Klez akan mencari
program-program yang disebutkan dalam 'App Paths' key pada Registry, dan
mencoba untuk menginfesinya jika program-program tersebut memenuhi
kriteria seperti yang telah disebutkan. Infeksi ini juga disebut
'companion style' - dimana file asli dikopikan ke sebuah file hidden
dengan nama file yang sama, tetapi dengan extensi yang berbeda.
Selanjutnya Klez akan mengambil alihnya, menggunakan nama yang sama
dengan ukuran file yang sama dan informasi sumber daya yang sama
sehingga manipulasi ini tidak mudah terlihat. Bahkan, jika suatu program
file dirubah ke suatu nama file yang berbeda, program aslinya akan
dikompres sehingga tidak dapat dijalankan bahkan jika namanya
dikembalikan ke nama aslinya.

Program yang akan dipilih untuk penginfeksian ialah program yang tidak
diproteksi oleh Pemeriksa File System (System File Checker) pada Win2000
atau XP, atau jika nama file tidak mengandung sejumlah nama yang
disebutkan oada daftar WL05, dan jika file berukuran antara 86016 and
3145728 bytes.

Ketika program yang terinfeksi ini berjalan, worm ini akan menemukan dan
meng-extracts file aslinya, dan mengeksekusinya. File ini diekstrak ke
sebuah file dengan menggunakan nama 'path' yang sama dengan File yang
terinfeksi, hanya saja ia menghilangkan tanda garis miring (backslash)
dan waktunya, dan akhirnya menambahkan sebuah '.EXE'. Misalnya jika
program yang terinfeksi ialah C:\Setup\Setup.exe, dan kompresi aslinya
ialah C:\Setup\Setup.gfr, worm ini akan meng-extract program aslinya ke
sebuah file yang bernama 'csetupsetupgfr.exe' dan menjalankannya.
Program yang telah dijalankan tersebut tidak akan terlihat  telah
terinfeksi oleh virus.

Tahap Kelima:

Tahap ini akan menciptakan sebuah file dengan nama sembarang pada
direktori Program Files, dan akan menjalankannya. Ukuran file ini adalah
10240 bytes dan akan menginstalls virus W32/ElKern.C.

Tahap Keenam:

Pada tahap ini, worm akan mencari dan menghapus database antiviral
checksum (dalam daftar WL17) pada direktori Internet Explorer cache.

Tahap ke 7 sampai ke 32 :

Tahap ke 7 sampi ke 32 akan mencari dan menghilangkan database antiviral
checksum  (dalam daftar WL17) pada semua drive lokal yang ada (drive A:
sampai drive Z:).

Tingkat Kerusakan dan Muatan

Worm ini akan menyerang dan menghapus program antivirus secara aktif dan
kadang-kadang juga akan menghapus program lainnya yang tidak berhubungan
dengan antivirus !

Daftar Kata Yang Digunakan Oleh Klez.H :

WL01:
Sircam
Nimda
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32

WL02:
_AVP32
_AVPCC
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
_AVMP
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR

WL03:
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.c
.pas
.mpg
.mpeg
.bak
.mp3
.pdf

WL04:
.exe
.scr
.pif
.bat

WL05:
EXPLORER
CMMGR
msimn
icwconn
winzip

WL06:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0

WL07:
W32.Elkern
W32.Klez.E

WL08:
how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures

WL09:
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky

WL10:
Christmas
New year
Saint Valentine's Day
Allhallowmas
April Fools' Day
Lady Day
Assumption
Candlemas
All Souls' Day
Epiphany

WL11:
Happy
Have a

WL12:
Undeliverable mail--
Returned mail-

WL13:
The attachment
The file

WL14:
Hi,
Hello,
Re:
Fw:

WL15:
game
tool
website
patch

WL16:
setup
install
demo
snoopy
picacu
kitty
play
rock

WL17:
ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT

WL18:
very
special

WL19:
enjoy
like

WL20:
wish
hope
expect

WL21:
spread through email.
can infect on Win98/Me/2000/XP.

WL22:
wb-japan.co.jp
verizon.net
arquired.es
difac.com

Worm ini juga mengandung  tulisan seperti berikut :

Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
Main mission is to release the new baby PE virus,Win32 Foroux
No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
Full compatible Win32 PE virus on Win9X/2K/NT/XP
With very interesting feature.Check it!
No any payload.No any optimization
Not bug free,because of a hurry work.No more than three weeks from
having such idea to accomplishing coding and testing

Nama worm ini telah berubah dari Klez.G menjadi Klez.H. Hal ini untuk
mengikuti Konsensus penamaan yang ada.

Pendeteksian dan Pembersihan

Kami merekomendasikan anda untuk mendownload tool khusus untuk virus
ini. Tool ini akan membersihkan Klez.E, (yang versi sebelumnya disebut
Klez.G) dan Elkern.C dari sistem lokal yang terinfeksi. Jika Klez telah
melumpuhkan NVC5, maka tool ini akan memperbaikinya lagi. Download tool
ini dengan click disini <http://www.norman.no/public/klezfix5.zip>  dan
baca petunjuk penggunaannya.

Salam,
analisa@...

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --




[Non-text portions of this message have been removed]

Reply | Messages in this Topic (1)

#235 From: "Vaksin.com" <alfons@...>
Date: Fri May 31, 2002 2:09 pm
Subject: Prediksi Juni 2002, Virus Bola / WorldCup mungkin akan muncul vaksincom
Send Email

Evaluasi Mei 2002 dan prediksi Juni 2002

Virus bola

31 Mei 2002



Menurut pengamatan Vaksin.com, dalam bulan Mei 2002 tidak ditemukan
virus baru yang menggemparkan dan merusak. Yang tercatat perlu
mendapatkan perhatian adalah Worm baru yang menyerang SQLserver dengan
nama SQLSpida dan Worm Benjamin atau Kazaa Worm yang menyerang program
Kazaa P2P (yang merupakan program pertukaran file paling populer saat
ini di jagad internet). Sedangkan dari negeri sendiri, Vaksin.com
menemukan varian Toraja yang menginfeksi file Excel dan dapat
diidentifikasi dan dibersihkan dengan baik dalam waktu 24 jam dari saat
virus pertama kali sampai ke tangan Vaksin.com. Tidak lupa juga JDBGMGR
HOAX yang meniru HOAX Sulfnbk sehingga mengakibatkan penerima email
menghapus file tersebut, padahal file tersebut ASLI milik Internet
Explorer.

SQLSpida adalah worm yang menyebar melalui Microsoft SQL Server dengan
memanfaatkan account dan password default dimana passwordnya seharusnya
sudah dirubah oleh admin. Sekali lagi worm ini menunjukkan bahwa virus
dapat menyebar bukan karena suatu produk jelek atau berbahaya tetapi
karena kecerobohan dari adminnya yang tidak merubah account dan password
default. Dengan merubah account default dan password yang baik, anda
dapat terhindar dari worm ini. Pada saat laporan ini dibuat, worm ini
sudah mempunyai dua varian yaitu SQLspida.A dan SQLSpida.B.

Benjamin adalah worm yang memanfaatkan kepopuleran software Kazaa untuk
menyebarkan dirinya. Ia akan menyebarkan dirinya sebagai file .exe atau
.scr lewat Kazaa dan menampilkan website benjamin.xww.de.

Toraja adalah virus Macro asli buatan Indonesia, virus ini cukup
merepotkan karena ia akan menampilkan pesan yang menjengkelkan setiap
kali melakukan pencetakan dan dengan cerdik virus ini menyembunyikan
dirinya ke dalam file lain di system Excel sehingga dijalankan setiap
kali Excel berjalan tetapi tidak dapat dicari / di basmi.



Jika anda ingin mengetahui virus apa yang paling banyak terdeteksi oleh
Vaksin.com di bulan Mei 2002, jawabannya masih sama dengan bulan April,
Klez.H dan sampai saat ini masih membingungkan banyak pengguna komputer
karena kemampuannya memanipulasi alamat pengirim email.



Untuk ancaman virus di bulan Juni, Vaksin.com mengingatkan para pengguna
komputer untuk berhati-hati jika menerima email yang berhubungan dengan
world Cup / Piala Dunia. Kemungkinan besar para pembuat virus amatiran
akan memanfaatkan event World Cup sebagai trik untuk menarik perhatian
korbannya mengaktifkan lampiran / attachment karena itu anda perlu extra
hati-hati jika menerima email yang berbau bola, kami maksudkan pembuat
virus amatiran karena menurut data statistik, virus yang memanfaatkan
satu even tertentu saja tidak akan berumur panjang dan pembuat virus
yang berpengalaman tidak akan memilih alternatif ini.



Ale .. ale ..ale

Vaksin.com



-- www.vaksin.com <http://www.vaksin.com/>  --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com <http://www.vaksin.com/>  --




[Non-text portions of this message have been removed]

Reply | Messages in this Topic (1)

#236 From: "Vaksin.com" <alfons@...>
Date: Fri Jun 7, 2002 4:48 am
Subject: Hati-hati jangan mengklik email dengan attachment Shakira.jpg !!! vaksincom
Send Email

VBSWG.AQ

7 Juni 2002

Hati-hati jika anda menerima email dengan attachment ShakiraPics.jpg karena isinya bukan gambar Shakira, tetapi virus VBSWG.AQ. Virus ini diciptakan dengan menggunakan tools yang sama dengan virus Annakournikova yaitu VBSWG. Ia tidak mengandung kemampuan yang merusak file tetapi akan mnegirimkan dirinya menggunakan email dan memanfaatkan IRC untuk menyebarkan dirinya. Pembuat virus ini dapat digolongkan Script Kiddies karena tidak memiliki latar belakang programming yang kuat, tetapi karena berhasil memanfaatkan momentum yang benar dan menampilkan attachment yang menarik sehingga mengundang minat orang untuk mengklik lampiran / attachment email.

Sampai dengan saat pembuatan berita ini, virus ini berhasil menempati peringkat ke 3 (tiga) dari Top 10 virus yang paling banyak ditemukan menyebar oleh MessageLabs, dibawah Klez.H dan Klez.E yang masih tetap menduduki peringkat 1 dan 2.

Karakteristik Umum

· Tipe: Worm

· Mekanisme Penyebaran : Email, jaringan, IRC

· Karakteristik Email :

· judul : Shakira's Pics

· Isi :
Hi :
i have sent the photos via attachment
have funn...

· Attachment: ShakiraPics.jpg.vbs

· Tingkat kerusakan : rendah (low)

· Muatan : menampilkan pesan

· Pertama kali terdeteksi tanggal : 29 May 2002

· Pertama kali di umumkan : 06 Jun 2002 16:46 (CET)

· Update terakhir : 06 Jun 2002 18:10 (CET)

Deskripsi tentang Virus ini :

Tipe

Ia berbentuk worm email, jaringan dan IRC yang di-enkripsi. Ditulis dalam bahasa VB script. Ia diciptakan oleh tool pembuat worm yang disebut Visual Basic Script Worm Generator (VBSWG).

Mekanisme Penyebaran

Worm ini adalah sebuah program pengirim pesan standard.

Ketika berjalan, ia akan mengkopi dirinya ke direktori Windows, dan menambah sebuah registry entry untuk memastikan bahwa ia bisa berjalan dari startup.

registry entry yang ditambahkan ialah : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Registry = wscript.exe <WindowsDir>\ShakiraPics.jpg.vbs %

Ia akan memanggil program Outlook dan mengirim dirinya ke semua alamat yang ada di Outlook address book. Selanjutnya, ia akan mencari instalasi mIRC, dan menciptakan sebuah file pada direktori MIRC, yang akan langsung mengirimkan worm kepada pemakai IRC lainnya. File ini biasanya dideteksi oleh NVC sebagai "mIRC/Gen_VBS".

Ia juga akan membuat registry keys “HKCU\software\ShakiraPics\mailed”
dan “HKCU\software\ShakiraPics\Mirqued” untuk menghindari penyebaran ganda melalui mail dan IRC sekaligus.

Setelah itu, ia akan melewati drive lokal dan remote yang telah diaksesnya dan akan meng-overwrite semua file *.VBS and *.VBE dengan dirinya sendiri.

Tingkat Kerusakan dan Muatan

Worm ini akan menampilkan sebuah pesan setelah menginfeksi : "You have been infected by the ShakiraPics worm".

Deteksi dan Penghilangan

Worm ini berhasil dideteksi dan di-removed sejak 29 May 2002 dengan NVC5.

salam,

analisa@...

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#237 From: "Vaksin.com" <alfons@...>
Date: Sat Jun 8, 2002 6:06 am
Subject: Virus Bulletin Award Win XP June 2002 vaksincom
Send Email

Virus Bulletin Award Win XP

8 Juni 2002

Source : http://toronto.virusbtn.com/vb100/archives/products.xml?table

Virus Bulletin, badan independen dari Inggris yang secara konsisten mengadakan pengetesan atas semua produk antivirus yang populer di dunia pada bulan Juni mengadakan pengetesan atas produk antivirus di Windows XP bulan Juni 2002. Setelah pengetesan di bulan April 2002 pada platform Linux SuSe yang hasilnya sangat mengecewakan karena tidak ada satupun softwarepun yang berhasil mendapatkan VBA untuk antivirus di platform Linux SuSe, maka pada pengetesan untuk platform Win XP, software yang berhasil mendapatkan VBA Award cukup banyak.

Dari 27 vendor yang ditest hasilnay adalah sebagai berikut :

4 perusahaan tidak mengirimkan softwarenya untuk di test
11 perusahaan mengirimkan softwarenya untuk di test dan berhasil mendapatkan VBA Award
12 perusahaan mengirimkan softwarenya untuk di test dan gagal mendapatkan VBA

Adapun software yang beredar di Indonesia dan mendapatkan VBA Juni 2002 adalah :

Sedangkan software yang beredar di Indonesia namun tidak berhasil mendapatkan VBA Juni 2002 adalah :

Pengetesan software antivirus oleh Virus Bulletin ini menjadi parhatian para pengguna IT karena Virus Bulletin adalah badan independen yang secara konsisten mengadakan pengetesan atas software antivirus beberapa kali setiap tahun. Dibandingkan dengan hasil pengetesan dari majalah komputer atau badan independen lain, Virus Bulletin memiliki kompetensi dan obyektivitas yang lebih tinggi karena :

Pengetesan dilakukan pada lebih dari satu platform (Windows ME, NT, 2000, XP, Linus dan Novell)
Koleksi virus yang dapat dipercaya karena didapatkan dari wildlist organization.
Virus Bulletin hanya memfokuskan pada antivirus saja dan tidak seperti majalah komputer yang melakukan pengetesan antivirus sebagai pelengkap dari pengetesan software dan hardware yang lain.
Pengetesan oleh Virus Bulletin diawasi oleh Dewan Kehormatan yang beranggotakan pakar antivirus dunia dari Kaspersky, Symantec, Network Associate, Computer Associate dan lainnnya sehingga kemungkinan untuk rekayasa hasil pengetesan tidak memungkinkan.

Karena perkembangan virus yang sangat cepat, dimana setiap hari muncul 33 virus baru, maka hasil pengetesan yang VBA yang sering dijadikan patokan adalah hasil pengetesan satu tahun terakhir. Menurut data yang kami kumpulkan, hanya 4 perusahaan yang berhasil mendapatkan Virus Bulletin Award terbanyak dari bulan September 2001 s/d Juni 2002, yaitu :

Computer Associates (Vet)
Dialogue Science
Eset
Norman Virus Control

http://toronto.virusbtn.com/vb100/archives/products.xml?table

Introduction

This summary table displays the results of the most recent comparative reviews for each platform tested. For more information on how each product has performed in all previous VB comparative reviews (back to 1998), click on the product name. To see the full results for each of the comparatives listed, click on the date of the test.

Results Table

Key:	Pass	Fail	No entry
Key:

	NetWare Sep 01	Windows NT Nov 01	Windows ME Feb 02	SuSE Linux Apr 02	Windows XP Jun 02
Computer Associates (Vet)
DialogueScience
Eset
Norman
Computer Associates (InoculateIT/eTrust)
Sophos
Symantec
Command Software Systems
Alwil
F-Secure
GeCAD
Trend Micro
VirusBuster
Kaspersky
Frisk
Network Associates (McAfee)
GDATA
Grisoft
Hauri
Panda Software
CAT Quickheal
Leprechaun VirusBuster II
Softwin
Aladdin Knowledge Systems
Ikarus
Proland Software
H+BEDV

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#238 From: "Vaksin.com" <alfons@...>
Date: Tue Jun 11, 2002 9:13 am
Subject: Gerakan Bebas Virus Melanda Surabaya !! vaksincom
Send Email

Press Release

GERAKAN BEBAS VIRUS DI SURABAYA

Mulai Bulan May tahun 2002 ini, PT. Rahajasa Media Internet yang lebih dikenal dengan RADNET Surabaya bekerjasama dengan Vaksin.com memberikan lisensi software Norman Virus Control (PC) secara gratis kepada pelanggan secara bertahap. Software yang dijual bebas seharga US $ 59 di website Norman, www.norman.com diberikan secara cuma-cuma demi kenyamanan penggunaan komputer dan berinternet ria.

Peningkatan pelayanan oleh RADNET ini, mengingat serangan virus pada akhir-akhir ini sangat merajalela baik itu melalui internet khususnya e-mail, juga melalui browsing, chatting maupun penyebaran konvensional lainnya, sebut saja virus WORM_KLEZ.H dimana virus ini mampu menyerang ribuan komputer bahkan server dengan cara menggandakan diri dengan serangan yang sangat dahsyat dalam waktu singkat, belum lagi virus-virus baru yang muncul setiap harinya.

Norman Virus Control adalah software antivirus kelas dunia yang sangat populer di Eropa dan telah mendapatkan penghargaan dari Virus Bulletin www.virusbtn.com untuk kehandalannya mendeteksi semua virus yang ditemukan mengganas (In the wild virus). Untuk mengetahui hasil penilaian Virus Bulletin dari tahun 1998 sampai dengan saat ini dapat dilihat di www.virusbtn.com .

Selain memberikan software NVC secara gratis, agen resmi Norman di Surabaya CV. Ronar juga memberikan support atas software tersebut dengan membentuk mailing list dan memberikan fasilitas pengenalan atas virus lokal / baru dalam waktu kurang dari 48 jam.

Bagi pelanggan RADNET yang menginginkan program anti virus beserta lisensinya dipersilahkan untuk menghubungi RADNET untuk pengaturan installasi.

http://www.sby.rad.net.id/news/

http://www.ronar.co.id

http://www.vaksin.com

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#239 From: "Vaksin.com" <alfons@...>
Date: Wed Jun 12, 2002 3:49 am
Subject: Frethem, virus yang datang sebagai password !! vaksincom
Send Email

W32/Frethem.E@mm

12 Juni 2002

ALias : HTML_IFRMEXP.GEN
Hati-hati jika anda menerima email dengan detail sebagai berikut :

Subject: Re: Your password!

Body:
ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel
Attachment: decrypt-password.exe

Jangan diaktifkan karena isinya adalah Worm baru dengan nama Freethem. Freethem mempunyai kemampuan seperti Klez dimana ia akan dapat aktif tanpa diklik oleh penggunanya, selain itu ia mempunyai kemampuan Mass Mailing "@mm" yang berarti mampu mengirimkan dirinya ke banyak alamat email yang didapatkannya dari address book Outlook dan sumber lainnya di PC anda.

Worm ini menyebar dengan cepat di Amerika dan dikhawatirkan akan menyebar ke Asia dalam waktu dekat. Sejauh ini worm ini tidak diketahui mengandung rutin yang berbahaya seperti menghapus file menghancurkan data.

Informasi selanjutnya akan kami berikan jika ancaman Freethem ini berlanjut.

Catatan :

Resiko dari virus VBSWG.AQ diturunkan dari tinggi menjadi menengah.

salam,

Vaksin.com

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#240 From: "Vaksin.com" <alfons@...>
Date: Wed Jun 19, 2002 4:00 am
Subject: Tettona.A@mm, jangan jalankan attachment Tettona.exe atau Euro.exe atau Tattoo.exe. Low Risk vaksincom
Send Email

Tettona.A@mm

19 Juni 2002

Hati-hati jika anda menerima email dengan attachment Tettona.exe atau Euro.exe atau Tattoo.exe. Jangan diklik karena akan mengaktifkan worm yang terkandung di dalamnya yang dikenal dengan nama Tettona. Worm yang berasal dari Italia dengan ukuran 34761 ini tidak mengandung rutin yang merusak tetapi memiliki engine SMTP sendiri untuk menyebarkan dirinya ke seluruh kontak di address book anda. Menurut pengamatan Vaksin.com, sampai dengan saat dibuatnya berita ini, penyebaran worm ini cukup tinggi tetapi belum sampai tingkat yang mengkhawatirkan dan tetap Klez dan variannya yang menduduki posisi tertinggi di tangga antivirus dunia. Salah satu sebab worm ini tidak menyebar dengan cepat adalah karena pesan yang datang dalam bahasa Italia.

Secara lebih detail, worm Tettona akan datang dengan perincian sebagai berikut :

Subject :

"Incredibile.."
"Urgente! (vedi allegato)"
"Qualsiasi cosa fai,falla al meglio."
"Incredible.."

Body :

"Hello,
see this interesting file.
Bye."

atau

"Ciao,
okkio all' allegato ;-)
A presto..."

atau

"Ciao,
devi assolutamente vedere il file che ti ho allegato.
A presto..."

atau

"Ciao,
apri subito l' allegato,e' molto interessante.
A presto..."

Agar dapat aktif secara otomatis ketika windows aktif, worm ini akan merubah registri :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DLLManager = \dllmgr32.exe

Email yang terinfeksi akan mengandung teks :

X-MimeOLE:Don'tWorry:It'sNotDangerous.ILoveTheWorldAndThePeople.Bye.
X-Mailer: Frali' ViRii v.3 by 4nt4R35 (June2002)

salam,

analisa@...

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#241 From: "Vaksin.com" <alfons@...>
Date: Sat Jun 22, 2002 11:21 am
Subject: Berbahaya, Yaha.E@mm meniru Klez !! vaksincom
Send Email

Yaha.E@mm meniru Klez

22 Juni 2002

Alias : I-Worm.Lentin.g, W32/Yaha.g@MM, I-worm/Yaha.D, W32.Yaha.F@mm, Win32/Yaha.E

Setelah kemunculan Klez yang diikuti dengan variannya pada kuartal pertama tahun 2002 yang sangat merepotkan para pengguna komputer, tidak ditemukan jenis virus baru dengan teknologi yang cukup canggih dan merepotkan sampai dengan 20 Juni 2002 dimana Yaha.E ditemukan. Yaha.E termasuk worm dan digolongkan ke dalam virus dengan resiko tinggi sehingga anda perlu berhati-hati karena :

Worm ini mampu menyebarkan dirinya melalui jaringan
Termasuk golongan worm mass mailer (@mm) yang mampu menyebarkan dirinya dengan cepat dalam jumlah besar.
Memiliki kemampuan mengumpulkan alamat email dari .NET Messenger, Yahoo ! Messenger, ICQ, HTML, DOC dan txt.
Memiliki kemampuan mendeteksi SMTP server dari registri dan kalau gagal memiliki koleksi SMTP sendiri untuk menjaga kemampuannya menyebarkan dirinya.
Worm Yaha.E pada saat pertama kemunculannya sudah bertengger di peringkat atas virus yang paling banyak menyebar, saat ini Yaha.E menempati peringkat ke tiga dari urutan virus yang paling banyak terdeteksi menurut versi Message Labs, www.messagelabs.com.
Memanfaatkan celah keamanan windows IE 5.2 (IFrame exploit) sehingga dapat aktif secara otomatis setiap kali di preview.
Menonaktifkan program antivirus sehingga sistem yang terinfeksi menjadi tidak terlindung lagi.

Worm Yaha.E ditemukan menyebar pada tanggal 20 Juni 2002, pertama kali worm ini terdeteksi menyebar dari India dan diduga kuat dibuat oleh programer India karena worm ini meninggalkan teks dengan keterangan sebagai berikut :

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK sh*tes
bY
sNAkeeYes,c0Bra
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

Worm ini mempunyai ukuran kecil, 27 kb (memenuhi syarat sebagai virus yang baik) dan teks string dari worm ini dienkripsi dengan enkripsi sederhana. Jika anda menjalankan Yaha.E pada komputer yang bersih, anda akan mendapatkan kotak pesan dan atau efek video. Worm ini berusaha menyembunyikan dirinya dengan meletakkan dirinya dengan nama acak (empat karakter) di c:\Recycler atau c:\Recycled dan jika folder ini tidak tersedia, ia akan memilih direktori Windows. Kemudian ia akan mengubah registri agar dijalankan setiap kali program .EXE dieksekusi. Adapun registri yang diubah adalah :

HKCU\exefile\shell\open\command

Worm ini juga mempunyai kemampuan refresh berulangkali untuk mengantisipasi jika ia dibersihkan atau diintervensi dari luar oleh pengguna komputer. Setelah berhasil menginfeksi komputer, Yaha.E akan secara mencari openshare dan berusaha menginfeksi direktori :

 WINXP
WINME
WIN
WINNT
WIN95
WIN98
WINDOWS

Karena itu, kami sarankan anda untuk mengevaluasi kembali kebijaksanaan File Sharing di jaringan komputer perusahaan anda dengan mengurangi Full Sharing dan membatasi dengan meminta password untuk setiap full sharing. Disamping itu, jangan memberikan sharing pada direktori sistem / root seperti : c:\, windows, programfiles. Batasi sharing hanya pada direktori tertentu saja seperti My Documents dan berikan password untuk setiap full sharing.

Worm ini tidak dapat ditemukan dalam Task Manager karena ia menjalankan dirinya sebagai proses service dan seperti diutarakan di atas, selain mengambil alamat email dari Address Book Windows, ia akan mengambil alamat email dari data .NET Messenger, profile Yahoo! Messenger, data file ICQ, HTML, DOC dan TXT.

Guna membantu menyebarkan dirinya, Yaha.E menggunakan komposisi yang sangat rumit dan bervariasi (menyerupai Klez) sehingga agak sulit dideteksi berdasarkan pesan email yang datang. Terkadang Yaha.E memasukkan IFrame exploit ke dalam dirinya sehingga dapat berjalan secara otomatis dengan hanya preview email.

Adapun kombinasi email yang datang adalah dengan subjek salah satu / gabungan dari kalimat di bawah ini :

 searching for true Love
you care ur friend
Who is ur Best Friend
make ur friend happy
True Love
Dont wait for long time
Free Screen saver
Friendship Screen saver
Looking for Friendship
Need a friend?
Find a good friend
Best Friends
I am For u
Life for enjoyment
Nothink to worryy
Ur My Best Friend
Say 'I Like You' To ur friend
Easy Way to revel ur love
Wowwwwwwwwwww check it
Send This to everybody u like
Enjoy Romantic life
Let's Dance and forget pains
war Againest Loneliness
How sweet this Screen saver
Let's Laugh
One Way to Love
Learn How To Love
Are you looking for Love
love speaks from the heart
Enjoy friendship
Shake it baby
Shake ur friends
One Hackers Love
Origin of Friendship
The world of lovers
The world of Friendship
Check ur friends Circle
Friendship
how are you
U r the person?
U realy Want this

Selain itu, ia dapat datang dalam subjek dari 3 atau lebih bagian dibawah ini, terkadang diawali "Fw' (yang menunjukkan seakan-akan email ini merupakan forward dari pengirimnya) :

 Romantic
humour
NewWonderfool
excite
Cool
charming
Idiot
Nice
Bullsh*t
One
Funny
Great
LoveGangs
Shaking
powful
Joke
Interesting

 Screensaver
Friendship
Love
relations
stuff

 to ur friends
to ur lovers
for you
to see
to check
to watch
to enjoy
to share

 :-)
!
!!

Sebagai contoh, subjek dari email yang terinfeksi datang seperti :

Cool stuff to see

atau

FW: Nice Screensaver for you !!

Sedangkan pesan yang datang akan mengandung satu / lebih string dibawah ini:

 Check the attachment

 See the attachement

 Enjoy the attachement

 More details attached

 Hi
Check the Attachement ..
See u

 Hi
Check the Attachement ..

 Attached one Gift for u..

 wOW CHECK THIS

Attachment yang datang akan dibuat dengan ekstensi ganda (menyerupai virus Annakournikova) dengan nama sebagai berikut :

 loveletter
resume
biodata
dailyreport
mountan
goldfish
weeklyreport
report
love

Ekstensi pertama dari attachment tersebut berupa :

 doc
mp3
xls
wav
txt
jpg
gif
dat
bmp
htm
mpg
mdb
zip

Dan, ekstensi ke dua (yang menyebabkan ia dapat dieksekusi) adalah :

 pif
bat
scr

Sebagai contoh, attachment dapat datang dengan nama LOVELETTER.DOC.PIF dimana secara default windows akan menghilangkan akhiran executable .PIF sehingga penerima email akan melihat attachment ini sebagai LOVELETTER.DOC dan menganggap aman untuk menjalankannya karena .DOC merupakan dokumen. Setelah diaktifkan, ternyata yang dijalankan olehnya adalah file .PIF dengan nama LOVELETTER.DOC.

Seperti Klez juga, Yaha.E akan mencari dan mematikan program antivirus, virus dan beberapa program sekuriti seperti :

 PCCIOMON
PCCMAIN
POP3TRAP
WEBTRAP
AVCONSOL
AVSYNMGR
VSHWIN32
VSSTAT
NAVAPW32
NAVW32
NMAIN
LUALL
LUCOMSERVER
IAMAPP
ATRACK
NISSERV
RESCUE32
SYMPROXYSVC
NISUM
NAVAPSVC
NAVLU32
NAVRUNR
NAVWNT
PVIEW95
F-STOPW
F-PROT95
PCCWIN98
IOMON98
FP-WIN
NVC95
NORTON
MCAFEE
ANTIVIR
WEBSCANX
SAFEWEB
ICMON
CFINET
CFINET32
AVP.EXE
LOCKDOWN2000
AVP32
ZONEALARM
WINK
SIRC32
SCAM32

salam,

analisa@...

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#242 From: "Vaksin.com" <alfons@...>
Date: Mon Jun 24, 2002 2:52 pm
Subject: > 90 % Apache Webserver Indonesia rentan di Eksploit vaksincom
Send Email

> 90 % Apache Webserver Indonesia rentan di Eksploit

24 Juni 2002

http://www.cnn.com/2002/TECH/industry/06/18/computer.security.ap/index.html

http://online.securityfocus.com/archive/1/278288/2002-06-21/2002-06-27/0

http://httpd.apache.org/info/security_bulletin_20020620.txt

http://online.securityfocus.com/archive/1/277830

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0392

Setelah IIS, kini giliran Apache Webserver yang dieksploitasi. Apache webserver, web server paling populer di jagad internet yang digunakan oleh sekitar 60 % dari web server di internet, dan menjadi andalan IBM dan Oracle dipercaya sebagai produk yang sangat handal dan sulit untuk dieksploitasi ternyata mengandung celah keamanan yang berbahaya dan dapat disalahgunakan oleh pihak yang tidak bertanggung jawab untuk mengubah isi website dan serangan denial of service.

Setelah diumumkan oleh Internet Security System http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20502 pada tanggal 17 Juni 2002, baru ketahuan bahwa celah keamanan ini sudah lama diketahui oleh sebagian kecil pihak dan sudah ada beberapa website yang menjadi korban dan disinyalir terkait erat dengan celah keamanan ini. Pada awalnya, banyak pihak / ahli mengklaim bahwa celah keamanan tersebut hanya terjadi jika menggunakan Apache di win32 dan eksploitasi tersebut tidak akan bisa dilakukan diplatform *nix 32 bit dan variannya.

Beberapa hari setelah celah keamanan tersebut diumumkan dan para ahli mengklaim kebalnya varian *nix32 terhadap eksploitasi tersebut, Gobbles Security menyebarkan source code yang dapat digunakan untuk melakukan eksploitasi terhadap web server Apache yang berjalan di platform FreeBSD, NetBSD dan OpenBSD, platform yang diyakini memiliki tingkat keamanan sangat tinggi sehingga mengejutkan para ahli sekuriti. Gobbles bahkan menambahkan bahwa mereka telah berhasil mengekploitasi celah keamanan tersebut pada sistem operasi :

Sun Solaris 6-8 (sparc/x86)
Linux (GNU) 2.4 (x86)

Walaupun sampai hari ini source code untuk platform Sun Solaris dan Linux belum disebarkan, Mandrakesoft mengeluarkan pemberitahuan kepada para penggunanya Mandrake Linux untuk melakukan update atas instalasi Apache secepatnya dan mengakui bahwa celah keamanan tersebut terbukti dapat dieksploitasi termasuk pada platform Mandrake versi 32bit dan 64bit. Dengan memanfaatkan celah ini, bahkan memungkinkan penyusup untuk masuk ke akses root. Secara sportif Mandrake juga mengakui kebenaran Gobbles Security yang membuktikan bahwa oksploitasi atas sistem diluar windows juga berlaku.

Bagi anda pengguna Apache sebelum versi lama sangat disarankan untuk melakukan update ke versi 1.3.26 dan 2.0.37 dengan masuk ke alamat http://www.apache.org/dist/httpd/

Menurut pengamatan Vaksin.com secara acak atas beberapa IP, sampai dengan tanggal 24 Juni 2002 hanya sedikit dari Administrator pengguna Apache Web Server di Indonesia yang melakukan update atas server mereka dan lebih dari 90 % Web Server Apache masih rentan terhadap serangan atas celah keamanan ini. Dikhawatirkan, kejadian yang sama dengan kasus IIS Server terulang dimana server IIS menularkan CodeRed karena Administratornya tidak disiplin melakukan update atas vulnerability yang ditemukan pada IIS server waktu itu, padahal updatenya telah tersedia dan tinggal di download.

Adapun website yang sudah melakukan update atas server Apache mereka adalah :

167.205.23.17 www.itc.ac.id Apache 1.3.26

Sedangkan website yang belum melakukan update sampai dengan saat dibuatnya berita ini (24 Juni 2002 21:35)adalah :

202.159.103.67 www.autocyb*****.com Apache 1.3.14
202.148.3.69 www.Garuda-******.com Apache 1.3.20
202.10.34.67 www.bol**.net Apache 1.3.12
202.155.43.104 www.bour**.com Apache 1.3.20
202.158.49.34 www.indovi***.co.id Apache 1.3.20
202.158.49.116 www.sc**.co.id Apache 1.3.20
202.46.240.10 www.bpp*.go.id Apache 1.3.20

Vaksin.com

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#243 From: "Vaksin.com" <alfons@...>
Date: Thu Jun 27, 2002 9:01 am
Subject: Antivirus Vaksin.com bagi Anggota Indofinanz vaksincom
Send Email

Press Release !!

Antivirus Vaksin.com bagi Anggota Indofinanz

27 Juni 2002

Pada masa globalisasi seperti sekarang ini jasa internet merupakan salah satu komoditi yang sangat dibutuhkan oleh masyarakat untuk memberikan maupun menerima beraneka ragam informasi karena sifatnya yang sangat mudah dan cepat. Indofinanz.com sebagai salah satu perusahaan yang bergerak dalam bisnis keuangan dan investasi melalui internet di Indonesia, memberikan jasa informasi penting mengenai cara mengelola keuangan dan investasi anda melalui internet. Indofinanz.com telah berdiri selama lebih dari 2 tahun telah menunjukkan kinerja yang sangat baik. Hal tersebut dapat dibuktikan dengan banyaknya animo dari masyarakat untuk ikut bermain di dalam pasar modal dengan menjadi nasabah Indofinanz.com.

Untuk melindungi para nasabahnya dan mengingat banyaknya masalah yang telah ditimbulkan dengan bertambah banyaknya jenis virus komputer yang dapat mengganggu aktivitas, Indofinanz.com (http://www.indofinanz.com) bekerjasama dengan Vaksin.com (http://www.vaksin.com) memberikan perlindungan antivirus bagi anggota Indofinanz.com dengan meberikan program anti virus Norman Virus Control (http://www.norman.no) yang di distribusikan oleh Vaksin.com di Indoensia. Norman Virus Control adalah software antivirus yang sangat handal dan populer di Eropa dan Amerika dimana Departemen Pertahanan Amerika (Pentagon) juga merupakan pengguna software Norman Virus Control untuk melindungi 1,2 juta komputernya. Vaksin.com adalah perusahaan yang mengkhususkan diri dalam bidang Antivirus, Security dan Data Recovery. Vaksin.com juga memberikan informasi tentang serangan virus terakhir dan informasi bagaimana mengatasi serangan virus di jaringan anda.

Sehubungan dengan peluncuran Norman Anti Virus, Indofinanz.com mengajak masyarakat untuk lebih mengenali virus yang berkembang sehingga kemungkinan serangan virus dapat diketahui dan dicegah sedini mungkin.

Informasi lebih lanjut hubungi :
Customer Service Indofinanz.com
Jl. Cideng Timur No.86 Jakarta
Telp. 352-2695

Email : rudi@...

salam,

Vaksin.com

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#244 From: "Vaksin.com" <alfons@...>
Date: Mon Jul 1, 2002 11:24 am
Subject: Yaha.E menduduki peringkat 2 vaksincom
Send Email

Hati hati dengan virus Yaha.E. Pada saat ini virus Yaha.E menduduki peringkat 2, menggeser Klez.E dan hanya satu peringkat di bawah Klez.H yang tetap menduduki peringkat satu.

Kami ingatkan juga bagi anda penggua Webserver Apache, harap segera mengupdate versi Apache webserver anda ke versi terbaru karena worm yang menyerang Apache sedang beredar.

Informasi lebih jauh mengenai Yaha.E dan Apache vulnerability sudah kami berikan pada dua email terdahulu, jika anda tertinggal dengan informasinya atau ingin mengetahui informasi diatas silahkan lihat di www.vaksin.com.

salam,

Alfons

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#245 From: "Vaksin.com" <alfons@...>
Date: Sat Jul 6, 2002 6:46 am
Subject: Klez.E akan menghancurkan semua data tanggal 6 Juli 2002 vaksincom
Send Email

Klez.E beraksi 6 Juli

6 Juli 2002

Perhatian bagi seluruh pengguna komputer Indonesia, Klez.E akan beraksi pada tanggal 6 Juli 2002 dan berbeda dengan aksinya pada bulan ganjil lain seperti Maret dan Mei 2002 Klez.E hanya menghancurkan file dengan ekstensi :

txt
htm
html
wab
doc
xls
jpg
cpp
c
pas
mpg
mpeg
bak
mp3

Pada tanggal 6 Juli 2002 Klez.E akan menghancurkan semua file di komputer anda dan direktori yang terhubung ke komputer anda melalui jaringan. Kebetulan tanggal 6 Juli adalah hari Sabtu dan kebanyakan komputer dimatikan, tetapi ada beberapa hal yang perlu menjadi perhatian :

Server yang selalu dinyalakan, sehingga tepat pada tanggal 6 Juni server ini akan menjadi korban Klez.E dan dikhawatirkan semua file di server akan dihancurkan oleh Klez.E.
Mapped Network Drive, walaupun komputer anda tidak terinfeksi virus tetapi terhubung ke komputer lain yang terinfeksi virus, maka seluruh file yang anda share ini akan di hancurkan oleh Klez.E juga.
Klez.E yang tidak aktif pada tanggal 6 Juni 2002 karena komputer tersebut tidak dinyalakan dikhawatirkan aktif pada hari Senin 8 Juli 2002.

Cara kerja Klez.E menghancurkan file juga sangat jahat karena ia tidak mendelete file anda tetapi mengisi file anda dengan karakter acak sehingga file tersebut tidak dapat di undelete atau di restore karena memang tidak dihapus tetapi dirubah isinya. Dalam aksi Klez.E di bulan Maret dan Mei 2002 Vaksin.com dapat merecover data yang dihancurkan oleh Klez.E dengan menggunakan jasa recovery Ontrack, tetapi tingkat keberhasilannya sangat tergantung kepada kerjasama korban Klez.E dimana harddisk yang telah terinfeksi disarankan untuk jangan dicoba untuk direcover sendiri karena akan menurunkan tingkat keberhasilan recovery.

Klez.E perlu mendapatkan perhatian khusus dari Vaksin.com karena ternyata korban Klez.E di Indonesia cukup tinggi, hal ini terbukti pada bulan Maret dan Mei 2002 menurut data Vaksin.com korban aksi amukan klez.E mencapai 2.000 komputer. Sedangkan menurut Trendmicro, http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.E&VSect=S Indonesia masuk dalam 10 besar negara yang menjadi korban Klez.E dan berada diurutan 8 setelah Malaysia dan Portugal.

Klez.E adalah worm terganas di tahun 2002 dan paling banyak memakan menghancurkan dokumen Microsoft Office terutama MS Word (.doc) dan MS Excel (.xls) dan variannya, yaitu Klez.H yang tidak mengandung rutin yang menghancurkan data sampai saat ini menduduki peringkat tertinggi sebagai virus yang paling banyak menyebar di jagad internet. Keluarga Klez sampai pertengahan tahun 2002 berhasil menjadi virus yang paling ganas di tahun 2002, Klez mengadopsi beberapa prinsip virus dari pendahulunya dan menambahkan beberapa variasi baru dalam penyebarannya sehingga sangat sulit dibasmi dari jaringan dan memiliki variasi pesan yang sangat banyak.

Klez.E mempunyai kemampuan yang harus diwaspadai sebagai berikut :

Mematikan program virus dan antivirus. Klez.E yang aktif di komputer korbannya akan menghentikan aksi virus pendahulunya seperti Nimda, funlove, codered dan Sircam. Aksinya menghentikan software antivirus ini yang sangat berbahaya karena akan menyebabkan program antivirus komputer yang terinfeksi menjadi "mandul" dan kehilangan kemampuan mendeteksi virus.
Klez.E tidak memanfaatkan address book saja untuk menyebarkan dirinya. Ia akan melakukan scanning atas semua alamat email tidak hanya dari Address Book MS Outlook saja, tetapi juga dari ICQ dan temporary internet files sehingga saran untuk tidak menggunakan MS Outlook dan menggunakan program antivirus lain seperti Eudora atau Netscape Messenger agar terhindar dari amukan virus sudah tidak berlaku lagi.
Klez.E mempunyai kemampuan mencari SMTP sendiri untuk menyebarkan dirinya dan ia memiliki rencana cadangan yang sangat baik jika SMTP yang ditemukannya tidak berjalan dengan baik. Jika SMTP yang ditemukan dikomputer tidak ada yang berhasil digunakan untuk mengirimkan dirinya, Klez.E mempunyai daftar SMTP sendiri yang akan digunakan untuk mengirimkan dirinya.
Memanfaatkan Iframe exploit. Iframe exploit merupakan celah yang paling sering dimanfaatkan oleh worm terakhir seperti Nimda, Badtrans dan Yaha.E. Dengan memanfaatkan hal ini, virus yang masuk ke komputer anda akan langsung menginfeksi secara otomatis ketika di sorot tanpa perlu diklik attachmentnya. Aplikasi yang mengandung Iframe Exploit adalah Internet Explorer dan Outlook Express versi 5.1 dan 5.5.

Vaksin.com menyarankan para pengguna komputer untuk menerapkan pola berkomputer yang baik agar terhindar dari kerusakan / kerugian yang diakibatkan oleh virus. Bersama ini kami lampirkan tips dan trik dalam menghadapi ancaman virus.

Tips dan trik dalam menghadapi ancaman virus :

Untuk semua komputer :

Lakukan update security patch secara teratur khususnya pengguna Oultook Express dan Internet Explorer yang sering menjadi sarana dan sasaran dalam penyebaran virus.
Nonaktifkan “automatic send” pada Outlook anda dan biasakan untuk melihat folder outbox di Outlook sebelum anda mengklik “Send/Recieve”, sehingga ketika virus akan mengirimkan dirinya melalui outbox tidak secara otomatis terkirim tetapi mengantri dulu di outbox dan dapat anda cegah sebelum terkirim.
Set zona sekuriti anda ke “Restricted Site” untuk meningkatkan keamanan email dan browser anda. Perlu anda ingat bahwa setting ini mengubah tampilan dari beberapa website yang menggunakan active content.

Berganti program email tidak menjamin anda aman dari ancaman virus, karena virus tetap dapat menginfeksi komputer anda dengan cara lain seperti browser, openshare dan pertukaran file.
Jika anda mendapatkan software dalam CD instalasi yang terinfeksi virus, copy semua data dari CD Rom ke harddisk dan coba bersihkan, jika berhasil lakukan instalasi software dari harddisk. Jika gagal, buang CD tersebut dan cari CD Rom lain yang bebas virus karena file di CD Rom yang terinfeksi virus tidak dapat dirubah lagi.
Berikan password untuk semua dokumen yang anda penting / confidential sehingga tidak akan mudah dibuka orang yang tidak berhak jika dikirimkan keluar oleh virus.
Jika anda ingin melakukan Data Recovery, hindarkan semaksimal mungkin untuk menjalankan harddisk yang terinfeksi virus sebagai “Master Drive” guna menghindari file yang hendak direcovery terhapus oleh swap / temporary files windows. Jadikan harddrive tersebut sebagai “Slave”.
Jika anda mengirimkan contoh virus, kirimkan dalam bentuk file terkompres seperti Winzip dan berikan password sehingga tidak dibersihkan / diblok oleh program antivirus.
Agar antivirus anda dapat mengenali virus dengan baik, lakukan update definisi antivirus sesering mungkin, setidaknya seminggu sekali.
Lakukan scan virus secara menyeluruh atas harddisk anda secara rutin dan berkala khususnya jika anda seing melakukan browsing dan install software baru agar dapat mendeteksi trojan yang sering diselipkan dalam software / website.
Nonaktifkan “System Restore” khususnya pada Windows ME dan Windows XP jika anda ingin membersihkan virus, karena “System Restore” melindungi file yang terinfeksi sehingga tidak dapat dibersihkan oleh antivirus.
Hindari instalasi lebih dari satu antivirus dalam satu komputer karena akan mengakibatkan sistem tidak stabil / hang. Jika anda menggunakan satu antivirus saja dan diupdate secara teratur sudah cukup untuk melindungi komputer anda dari ancaman virus.
Gunakan penilaian pihak ke tiga yang independen, kompeten dan berpengalaman dan diakui oleh para vendor antivirus untuk mengetahui penilaian atas program antivirus. Sebagai contoh, lihat review antivirus di http://www.virusbtn.com/vb100/archives/products.xml?table

Bagi pengguna komputer standalone

Install program antivirus yang original dan jangan gunakan program antivirus bajakan karena program antivirus bajakan tidak menjamin anda mendapatkan update definisi antivirus yang merupakan faktor terpenting dalam program antivirus.
Jika anda mencari antivirus yang gratis dan baik, pertimbangkan untuk menggunakan antivirus dari Antiviral Group (AVG) yang diproduksi oleh Grisoft http://www.grisoft.com atau Avast dari Alwil software http://www.avast.com.
Hati-hati dengan perjanjian antivirus gratis, AVG versi gratisan hanya berlaku di negara tertentu (termasuk Indonesia) tetapi tidak boleh digunakan oleh komputer di dalam jaringan. Sedangkan Avast hanya gratis untuk komputer yang tidak digunakan untuk tujuan komersial.

Lakukan update antivirus secara otomatis dimana program antivirus tersebut akan secara otomatis mencari update baru setiap kali anda terhubung ke internet.

Bagi pengguna komputer jaringan :

Untuk menghemat bandwidth dalam proses update antivirus, gunakan antivirus untuk server yang dapat mengupdate definisi antivirus bagi dirinya dan komputer lain dalam jaringan secara otomatis.
Tertibkan sharing dalam jaringan anda. Hindari pemberian sharing ke jaringan dalam bentuk “Full Sharing”, usahakan hanya memberikan sharing “Read Only” atau berikan password untuk “Write Access”.
Berikan sharing “hanya” direktori yang perlu anda share dan jangan memberikan sharing untuk direktori file system seperti c:\windows atau c:\Program Files apalagi memberikan sharing pada direktori root c:\ karena akan membuka jalan sangat lebar bagi virus jaringan masuk ke komputer anda.
Satu-satunya cara yang paling efektif untuk mencegah masuknya virus ke komputer anda adalah dengan menginstall antivirus ke seluruh komputer dan update definisi dilakukan secara otomatis. Kealpaan menginstall antivirus di satu komputer dalamjaringan saja sudah cukup untuk mengakibatkan semua komputer terinfeksi virus jaringan seperti Nimda, Klez, Funlove, Sircam dan Badtrans walaupun sudah ada antivirus yang terinstall ke komputer tersebut karena sarana penularan yang digunakan adalah openshare.
Usahakan semaksimal mungkin untuk menghindari ketergantungan pada unsur manusia dalam proses update. Gunakan antivirus dengan update yang berjalan secara otomatis baik ke server maupun ke workstation di dalam jaringan.

Untuk menginstall program antivirus ke dalam jaringan dengan banyak komputer, gunakan tools khusus sehingga anda tidak perlu melakukan instalasi secara manual satu persatu yang dapat menghabiskan tenaga dan waktu yang sangat banyak.
Dalam memutuskan untuk memilih antivirus, pertimbangkan yang memberikan Support Lokal dan International karena support international saja tidak memberikan tanggapan secara cepat dan tepat karena adanya perbedaan waktu dan kendala bahasa.

Salam,

Alfons

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#246 From: "Vaksin.com" <alfons@...>
Date: Mon Jul 15, 2002 3:30 am
Subject: Yaha removal Tools vaksincom
Send Email

Cara Penggunaan YAHATOOL

15 Juni 2002

Source : www.f-secure.com

www.kaspersky.com

YahaTool adalah sebuah utiliti yang dibuat oleh Kaspersky Labs untuk menghilangkan infeksi worm Yaha.E (juga dikenal dengan nama Lentin.G) dan mengembalikan file-file dan entri System Registry yang dimodifikasi oleh worm.

Langkah-langkah Prosedur disinfeksi adalah sebagai berikut:

Jika komputer Anda ter-install antivirus, silakan non-aktifkan pilihan on-access scanner untuk mencegahnya memblok akses YahaTool untuk menginfeksi file-file.
Ekstrak utiliti YahaTool.zip dari kompresi ZIP. Versi trial dari WinZip archiver dapat di-download dari situs:

http://www.winzip.com/ddchomea.htm

Jalankan file YAHATOOL.COM dari hard disk untuk menghilangkan infeksi worm Yaha.E dan mengembalikan file-file serta entri System Registry yang dimodifikasi oleh worm. Anda juga dapat menjalankannya utility dengan mengkliknya dua kali dari Windows Explorer atau dari command interpreter (COMMAND.COM atau CMD.EXE) dengan mengetikkan namanya pada command prompt dan tekan 'Enter'.
Reboot system. Setelah me-restart system Anda akan bersih.
Jika komputer Anda ter-install Antivirus, aktifkan lagi pilihan on-access scanner dan scan seluruh hard disk untuk memastikan tidak ada lagi file-file terinfeski yang tertinggal.

CATATAN PENTING

Jika komputer dengan sistem Windows NT, 2000 atau XP ingin melakukan disinfeksi, silakan log in sebagai Administrator atau user dengan hak local admin, jika tidak YahaTool tidak akan melakukan disinfeksi sistem dengan benar.

Jika infeksi Yaha.E terjadi dalam jaringan, maka sebaiknya untuk sementara jaringan harus dimatikan sebelum seluruh workstation dan server melakukan disinfeksi. Sebuah workstation yang terinfeski dapat menjangkiti kembali komputer lain yang telah bersih.

Jika komputer yang terinfeksi di luar jaringan, mungkin belum ada infeksi worm Yaha yang aktif dalam memori. Dalam kasus ini YahaTool tidak akan mulai untuk melakukan scan seluruh hard disk ketika Anda menjalankannya – akan muncul pesan 'Nothing to clean'. Untuk membuat tool melakukan scan seluruh hard disk Anda harus menjalankannya dengan command line '/scanfiles'. Untuk melakukannya, jalankan command interpreter (COMMAND.COM atau CMD.EXE tergantung pada sistem operasi) masuk ke direktori tempat YahaTool berada dan ketik pada command prompt:

yahatool /scanfiles

Lalu tekan 'Enter' untuk menjalankan tool. Harap diperhatikan Jika Anda memiliki Anti-Virus ter-install pada sistem yang terinfeksi, Anda harus menonaktifkan pilihan on-access scanner agar mengijinkan tool untuk menghapus infeksi Yaha.E. Setelah tool selesai scanning, aktifkan kembali pilihan on-access scanner.

Jika Anda memiliki Windows ME atau XP, dianjurkan untuk menoanaktifkan dahulu fitur System Restore dari sistem operasi untuk menghindari komputer terinfeksi kembali oleh worm Yaha.E. Faktanya adalah fitur System Restore dari sistem operasi ini dapat menyimpan file-file terinfeksi ke dalam folder spesial dan mengembalikannya setiap kali telah terhapus oleh YahaTool. Instruksi bagaimana cara menonaktifkan fitur System Restore dapat ditemukan di :

Cara nonaktifkan Sistem Restore Windows ME dan Windows XP

Jika setelah menjalankan tools ini anda tidak bisa menjalankan file .exe, silahkan jalankan YAHA_FIX.REG untuk membenarkan registri yang telah dirubah oleh Yaha.

PENTING :

Vaksin.com tidak bertanggung jawab atas kerugian baik langsung maupun tidak langsung atas pemakaian tools ini. Dengan menggunakan tools ini, anda bertanggung jawab penuh atas semua kerugian baik langsung maupun tidak langsung atas penggunaan semua tools virus removal.

salam,

Vaksin.com

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#247 From: "Vaksin.com" <alfons@...>
Date: Tue Jul 16, 2002 4:48 am
Subject: AWAS, Freethem.L menyerbu Indonesia vaksincom
Send Email

Freethem.L menyerbu Indonesia

16 Juli 2002

Freethem.L menyerbu Indonesia pada tanggal 15 Juli 2002 dan menurut catatan Vaksin.com dalam waktu singkat menduduki peringkat pertama virus yang paling banyak menyebar di Indonesia menggeser Klez.H setidaknya untuk tanggal 15 dan 16 Juli 2002. Worm yang satu ini tidak mengandung rutin yang merusak tetapi mengandung rutin yang membuat malu / menurunkan reputasi korbannya karena akan mengirimkan email dalam jumlah yang banyak ke seluruh kolega dengan perincian sebagai berikut :

Subject: Re: Your password
Body:
ATTENTION!
You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel
Attachment: decrypt-password.exe, password.txt

Attachment yang terkandung di dalam email terdiri dari dua file, yang pertama adalah decrypt-password.exe yang berisi virus itu sendiri dan file ke dua merupakan file password.txt yang jika dibuka isinya adalah :

Your password is W8dqwq8q918213

Sekalipun anda tidak mengklik attachment yang dilampirkan, Freethem.L akan dapat secara otomatis dijalankan oleh komputer anda karena ia memanfaatkan Iframe Exploit.

Hal yang menarik dari virus Freethem.L ini adalah menurut MessageLabs, Freethem.L terdeteksi pertama kali datang dari Indonesia, walaupun menurut pemantauan Vaksin.com tidak ada fakta lain yang mendukung bahwa email ini diciptakan oleh orang Indonesia.

Hal lain yang menarik perhatian adalah mayoritas dari email yang diterima sudah tidak memiliki attachment, sehingga walaupun anda menerima email sesuai dengan keterangan di atas anda dapat merasa aman karena attachment yang berisi virus sudah dihilangkan. Hal ini kemungkinan besar terjadi di mailserver, baik mailserver korporat maupun mailserver ISP dimana salah satu cara yang murah dan sangat efektif untuk melindungi mailbox dari virus adalah dengan memblok semua attachment yang dapat dieksekusi seperti :

.exe

.com

.bat

.pif

.tif

.vbs

dan lainnya

dimana menurut statistik umum, lebih dari 90 % attachment yang isinya executable dikirimkan oleh virus. Walaupun hal ini terkadang menjadikan gangguan yang cukup menjengkelkan karena email tidak akan dapat mengirimkan executable, solusinya adalah dengan mengirimkan file dalam bentuk terkompres .zip atau mailserver menginstall antivirus untuk memproteksi mailbox.

Vaksin.com bekerjasama dengan RAV (Reliable Antivirus) yang merupakan vendor antivirus dunia dari Rumania dan memiliki antivirus untuk mailserver dengan platfor yang sangat lengkap baik platform windows seperti MS Exchange, Dmail, dan Communigate Pro maupun platform Linux, Solaris, Free BSD seperti Sendmail, Sendmail Libmilter, Exim, Qmail, Postfix, Courier dan Dmail memberikan proteksi bagi mailserver anda dengan harga yang sangat kompetitif (mencapai Rp. 600,- per mailbox pertahun) dimana admin mailserver tidak perlu khawatir lagi atas ancaman virus di mailboxnya. Untuk mendapatkan perlindungan antivirus menyeluruh, kami menyarankan anda melakukan instalasi antivirus di seluruh komputer yang terhubung ke jaringan dan gunakan software antivirus yang dapat memberikan update secara otomatis ke komputer dalam jaringan seperti Norman Virus Control for Corporate Network sehingga anda tidak perlu mengalokasikan tenaga khusus untuk menghadapi masalah virus karena semua masalah virus anda akan diatasi oleh teknisi Vaksin.com.

Vaksin.com

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#248 From: "Vaksin.com" <alfons@...>
Date: Wed Jul 17, 2002 3:51 am
Subject: Freethem Registry Fix vaksincom
Send Email

Freethem Removal

17 Juli 2002

Norman Virus Control mengeluarkan tools untuk memperbaiki registri yang terinfeksi Freethem. Tools ini sebenarnya pada prinsipnya sama dengan langkah-langkah membalikkan proses Freethem sehingga registri yang telah di rubah oleh Freethem akan dikembalikan lagi. Langkah manual untuk menghilangkan Freethem harus dilakukan dengan mengklik registri, namun resiko mengubah registri khususnya untuk orang yang awam komputer cukup besar dan jika terjadi kesalahan dapat menyebabkan komputer menjadi mogok. Selain itu, merubah registri menyita waktu lebih banyak dibandingkan dengan mengklik file dan sangat membantu IT / EDP dalam memperbaiki komputer dalam jumlah banyak.

Seluruh anggota mailing list vaksin@yahoogroups.com akan mendapatkan kiriman Freethem removal ini sebagai attachment freethemkfix.reg dan untuk menjalankannya tinggal di double klik dan tools ini akan memperbaiki registri secara otomatis. Untuk menjadi anggota mailing list vaksin kirimkan email kosong ke vaksin-subscribe@yahoogroups.com

Perlu anda ingat bahwa tools ini hanya memperbaiki registri yang dirubah oleh virus dimana tidak diperbaiki oleh program antivirus dan anda perlu scan kembali harddisk and dengan program antivirus untuk membasmi virus Freethem di komputer anda.

salam,

support@...

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#249 From: "Vaksin.com" <alfons@...>
Date: Sat Jul 27, 2002 10:06 am
Subject: Forum Konsultasi Virus http://forum.vaksin.com vaksincom
Send Email

Dengan hormat,

Vaksin.com baru saja mengupdate forum antivirus http://forum.vaksin.com dimana forum yang lama agak sulit di akses dan banyak mengandung bug sehingga menyulitkan para pengguna. Kini, Vaksin.com sudah mengupdate forum tersebut menggunakan engine baru yang dikembangkan oleh discus http://www.discusware.com/discus/index.php.

Diharapkan forum baru ini dapat menjadi ajang komunikasi para netter yang menghadapai masalah dengan komputernya, khususnya masalah virus, antivirus, sekurity dan data recovery. Dengan konsep dasar dari kita untuk kita, forum ini diharapkan dapat membantu siapapun yang menghadapi masalah virus secara instan, bahkan lebih cepat dari email karena forum ini mempunyai kemampuan menyimpan pertanyaan netter yang terdahulu sehingga jika anda mengalami masalah yang sama tidak perlu posting lagi masalah anda dan anda langsung mendapatkan jawaban atas masalah anda dengan membaca posting terdahulu.

Menurut pengalaman Vaksin.com, umumnya pertanyaan atas masalah virus pada umumnya sama, tetapi karena pertanyaan dilakukan secara personal melalui email ataupun melalui mailing list, beberapa hari kemudian akan ada netter lain yang mengalami hal yang sama dan kembali menanyakan jawaban atas masalah virus yang sama sehingga menimbulkan kebosanan dan kejengkelan bagi penjawab karena harus menjawab pertanyaan yang sama berulang-ulang, sebaliknya di pihak penanya juga merasa jengkel karena merasa tidak ada yang mau membantu memecahkan masalahnya. Dengan adanya http://forum.vaksin.com ini pertanyaan yang berulang akan dapat dihindari dan jawaban atas masalah yang dihadapi diharapkan akan dapat ditangani secara lebih cepat.

Forum yang diciptakan ini sebenarnya adalah untuk mendukung mailing list vaksin@yahoogroups.com karena mailing list tersebut sifatnya adalah posting searah, khusus mengenai ancaman virus terbaru dan penting saja dengan waktu posting yang sangat cepat dan jumlah message yang sangat terbatas setiap bulannya (10 - 20 email setiap bulan), karena banyak anggota mailing list yang merasa sangat terganggu jika mendapatkan puluhan sampai ratusan email informasi virus masuk ke mailboxnya setiap hari. Tetapi banyak anggota mailing list vaksin yang mencoba melakukan posting ke mailing list menanyakan pemecahan atas masalah virus yang dialaminya namun mengalami kekecewaan karena tidak mendapatkan jawaban langsung, untuk itu, para anggota mailing list vaksin sekarang mendapatkan fasilitas baru http://forum.vaksin.com untuk berdiskusi mengenai segala masalah antivirus dan sekuriti.

Sebenarnya, selain vaksin@yahoogroups.com para netter dapat mencoba beberapa alternatif mailing list lain seperti antivirusclub@yahoogroups.com, mailplus@yahoogroups.com dan milis-komputeraktif@... dimana dikelola dengan cukup baik dan banyak sekali member aktif yang siap memberikan bantuan untuk anggota lain yang membutuhkan.

Bersama ini, kami mengundang para netter untuk bergandengan tangan saling membantu sesama rekan yang menghadapi masalah dan menciptakan suasana saling membantu, saling menolong bagi rekan lain yang membutuhkan.

salam,

Vaksin.com

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#250 From: "Vaksin.com" <alfons@...>
Date: Fri Aug 2, 2002 10:47 am
Subject: Evaluasi serangan virus Juli dan prediksi Agustus 2002 vaksincom
Send Email

Evaluasi Juli 2002 dan prediksi Agustus 2002

2 Agustus 2002

Bulan Juli 2002 dapat dilalui oleh para pengguna komputer dengan relatif aman. Peringkat pertama virus tetap di pegang oleh Klez.H, yang selama dua hari yaitu tanggal 15 dan 16 Juli 2002 sempat diambil alih oleh Freethem.L, tetapi pada tanggal 17 Juli 2002 sampai dengan akhir bulan, Klez.H tetap menunjukkan kedigdayaannya sebagai jawara virus di bulan Juli 2002. Freethem.L yang salah satu penyebaran pertamanya di mulai dari Indonesia cukup memberikan kejutan dimana secara mendadak pada tanggal 15 juli 2002, pengguna internet Indonesia di bombardir dengan email yang menawarkan password yang sekalipun tidak diklik attachmentnya oleh penerima email tetapi Freethem.L tetap akan dapat menginfeksi komputer tersebut karena ia memanfaatkan Iframe Exploit, vulnerability yang berumur hampir satu tahun. Kemungkinan besar hal ini disebabkan karena mayoritas pengguna komputer masih menggunakan Internet Explorer 5.5 dan tidak melakukan update atas Iframe Exploit pada browsernya. Kami sarankan anda mengupgrade browser anda atau menutupi security hole tersebut.

Tiga besar virus yang paling banyak teerdeteksi di Indonesia pada bulan Juli 2002 adalah Klez.h, Yaha.E dan Freethem.L. diikuti oleh sedikit insiden Nimda, Sircam dan Magistr.B. Freethem.L walaupun sempat mengambil alih kedudukan dari Klez.H selama 2 hari, tetapi pada hari ke tiga menjadi lumpuh karena pesan dan attachment yang dikirimkannya sama, sehingga dengan mudah teridentifikasi oleh user atau mailserver dan dapat di tangkal. Sedangkan Klez.H yang mempunyai ratusan variasi email, tidak dapat dikenali dengan mudah oleh user / mailserver, malah sebaliknya Klez.H mempunyai kemampuan menyebarkan fitnah karena mengirimkan emailnya dengan memanipulasi sender sehingga mailserver yang mendeteksi email bervirus yang datang dan secara otomatis mengirimkan balasan otomatis ke pengirim untuk menginformasikan bahwa komputernya terkena virus malahan akan membungingkan penerima email karena sebenarnya bukan dia yang mengirimkan email tersebut. Untuk informasi lebih lengkap mengenai hal ini lihat artikel "Adu Domba Ala Klez" di vaksin.com.

Jika melihat pengalaman tahun lalu, dapat dikatakan bahwa kuartal ke tiga dan ke empat merupakan saat yang sangat berbahaya. Vaksin.com mencatat pemunculan CodeRed, Nimda, Badtrans.B dan Goner semuanya di kuartal ke tiga dan ke empat tahun 2001. Karena itu Vaksin.com menyarankan pengguna komputer agar lebih waspada terhadap pemunculan virus baru di bulan Agustus dan selalu mengupdate program antivirus anda. Bagi anda yang memiliki data penting, harap back up dalam media terpisah secara teratur agar anda tidak kehilangan data jika mendapatkan serangan virus / harddisk anda rusak. Virus yang diperkirakan akan muncul, pada kuartal 3 dan 4 tahun 2002 kemungkinan besar akan mempunyai karakteristik seperti Klez dan Nimda, yang sulit di deteksi dari jenis pesan yang sampai dan jika menginfeksi satu komputer di dalam jaringan maka akan menginfeksi jaringan tersebut dalam waktu yang sangat singkat.

Jika anda ingin berkonsultasi masalah virus dan antivirus, silahkan masuk ke http://forum.vaksin.com, komunitas mailing list dan teknisi dari Vaksin.com siap membantu anda.

salam,

Vaksin.com

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#251 From: "Vaksin.com" <alfons@...>
Date: Thu Aug 15, 2002 3:24 am
Subject: RAV Antivirus Gratis untuk ICQ dan MSN Messenger vaksincom
Send Email

RAV Antivirus Gratis untuk ICQ dan MSN Messenger

15 Agustus 2002

RAV Antivirus, www.rav.ro / www.ravantivirus.com memberikan perlindungan antivirus gratis bagi pengguna ICQ dan MSN Messenger.

ICQ dan MSN Messenger adalah program messenger yang sangat populer digunakan di jagad internet. ICQ merupakan pelopor dan pemimpin pasar dalam messenger, sedangkan MSN Messenger adalah messenger yang dikeluarkan oleh Microsoft dan terintegrasi dengan Hotmail (pelopor web mail gratis yang dibeli oleh Microsoft) menggunakan passport untuk identifikasi. Kedua messenger ini gratis dan sangat bermanfaat dalam memberikan alternatif komunikasi selain email dan penggunanya mendapatkan keuntungan dapat berinteraksi secara Real time (langsung) dengan rekan lain yang sedang terhubung ke internet. Pada awalnya, virus tidak secara langsung memanfaatkan messenger sebagai agen penyebaran tetapi hanya memanfaatkan database yang dimiliki oleh messenger terutama alamat email untuk menyebarkan dirinya (Klez, Yaha), tetapi seiring dengan peningkatan kemampuan messenger, dimana para pengguna messenger juga dapat berbagi file maka pembuat virus tidak ketinggalan juga memanfaatkan popularitas messenger sebagai agen penyebarannya secara langsung. Hal ini terlihat dari banyaknya virus yang dapat menyebar memanfaatkan ICQ dan MSN Messenger seperti :

Subseven Backdoor (Mei 1999)

Subseven memanfaatkan ICQ sebagai sarana untuk memberitahu pembuatnya bahwa komputer korban yang terinfeksi trojan ini sedang online.

Worm Choke (Agustus 2001)

Choke adalah worm yang khusus memanfaatkan MSN Messenger untuk meyebarkan dirinya. Ia akan mengirimkan dirinya dalam file yang bernama "ShootPresidentBUSH.exe" atau "choke.exe". Menurut catatan vaksin.com, pada saat muncul pertama kali, choke sempat merepotkan para pengguna MSN Messenger, khususnya pengguna awam yang jika mendapatkan layar "Yes" or "No" tanpa membaca pesannya akan cenderung klik "Yes".

W32.Goner@mm (4 Desember 2001)

Goner akan menggunakan ICQ sebagai salah satu sarana untuk menyebarkan dirinya jika ia menemukan program ICQ pada komputer yang diinfeksinya. Goner akan mengirimkan file yang berisi dirinya ke seluruh kontak ICQ yang ada sedang online (dalam mode apapun) dan jika kontak menerima file tersebut, ia akan ikut terinfeksi Goner.

JS Coolnow (14 Februari 2002)

Worm ini merupakan javascript pada halaman web dan script ini akan mengaktifkan MSN Messenger dan akan mengirimkan pesan kepada para pengguna di Contact List. Pesannya berupa alamat website yang mengandung virus.

VBS/Districts.A (21 Februari 2002)

Yang satu ini merupakan Visual Basic script yang menyebar menggunakan MSN Messenger. Ia akan mengirimkan file dengan nama FUNNYONE.VBS ke semua Contact List, berikut pesan :

"I've got a cool file for you...
Check it out!"

RAV Antivirus for ICQ

Pengguna ICQ dapat mendownload dan menggunakan RAV for ICQ secara gratis di http://www.ravantivirus.com/pages/showproduct.php?p=130. File yang didownload adalah rav4icq.exe sebesar 2268 KB. Dibawah ini adalah tampilan dari RAV for ICQ.

Icon :

In Action :

RAV Antivirus for MSN Messenger

Sedangkan anda pengguna MSN Messenger dapat mendownload RAV4MSN di http://www.ravantivirus.com/pages/showproduct.php?p=131 file yang didownload adalah sebesar 2.253 KB dengan nama rav4msn.exe. Tampilan RAV for MSN adalah sebagai berikut :

Icon :

In Action :

RAV Antivirus adalah perusahaan software antivirus dari Rumania yang mempunyai keahlian pada mailserver pada berbagai platform. Produk RAV banyak digunakan terutama oleh ISP dan pemilik mailserver karena harganya sangat murah dibandingkan dengan program antivirus lainnya dan secara tidak resmi diakui sebagai salah satu antivirus terbaik untuk platform Linux. MTA (Mail Transfer Agent) yang didukung oleh RAV sangat luas, dari Sendmail, Sendmail Libmeilter , Qmail, Postfix, Communigate Pro, Exim, Dmail, Courier dan Mdaemon. Sedangkan platform yang disupport oleh RAV adalah Linux, FreeBSD, Solaris, Unixware dan Windows. Untuk detail dan trial, silahkan lihat tabel di bawah ini :


Sendmail
Sendmail Libmilter
Qmail
Postfix
CommuniGate Pro
Exim
MS Exchange 5.5
MS Exchange 2000
DMail
Courier

salam,

Vaksin.com

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

by : vaksin.com
Call 021-526-9434
Antivirus Specialist
-- www.vaksin.com --

Reply | Messages in this Topic (1)

#252 From: "vaksincom" <alfons@...>
Date: Tue Aug 20, 2002 2:54 am
Subject: New Address and phone number of Vaksin.com vaksincom
Send Email

Announcement !!

Dear valued customers and business partners,

In order to serve you better, effective August 16, 2002, PT. Vaksincom has moved to :

PT. Vaksincom

Rifa Building 4th floor

Prof. Dr. Satrio Street C4 / 6-7

Jakarta 12950

Indonesia

Phone : 62-21-526-0787

Fax : 62-21-526-0752

Our email remain unchange.

Email :

Sales Dept : sales@...

Support Dept : support@...

regards,

Vaksin.com

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

RAV Antivirus

by : vaksin.com
Antivirus Specialist
Call 62-21-526-0787
suppport@...

-- www.vaksin.com --

Reply | Messages in this Topic (1)

#253 From: "vaksincom" <alfons@...>
Date: Tue Aug 20, 2002 4:34 am
Subject: Undangan bagi .net developer vaksincom
Send Email

Bagi anggota milis vaksin yang ingin mendapatkan undangan resminya via pos silahkan kirimkan email ke info@....

Undangan diberikan secara gratis dan tidak ada biaya.

salam,

Alfons

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

RAV Antivirus

by : vaksin.com
Antivirus Specialist
Call 62-21-526-0787
suppport@...

-- www.vaksin.com --

Reply | Messages in this Topic (1)

#254 From: "vaksincom" <alfons@...>
Date: Wed Aug 28, 2002 3:57 pm
Subject: Vacancy in Vaksin.com vaksincom
Send Email

Vacancy in Vaksin.com

August 28, 2002

Vaksin.com, growing Indonesian based company specializing in Antivirus, Security and Data Recovery services is looking for few young and energetic candidates for positions :

Network Specialists Support Team

Requirements :
- Familiar to Network, MCSE (Microsoft Certified Support Engineer).
- Knowledge in Linux O/S will become a good added value.
- Able to work under pressure.

- Age maximum 30 years.

Account Manager

Requirements :

- Marketing driven person.

- Advance English Language Skill.

- Used to do a presentation.

- Have strong IT background.

Operator

Requirements :

- Female.

- Computer and internet literate

- Age 20 - 25 years old.

This vacant is avaiable for shorlisted candidates only. If you think you are capable enough to fulfill the requirements and ready to take challenge to grow with us, sent your CV and application letter in English to hrd@....

Post mail in English to :

Vaksin.com

Rifa Building 4th floor

Prof. Dr. Satrio block C4 / 6-7

Kuningan

Jakarta 12950

Indonesia

Attn : HRD

Not later than September 11, 2002.

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

RAV Antivirus

by : vaksin.com
Antivirus Specialist
Call 62-21-526-0787
suppport@...

-- www.vaksin.com --

Reply | Messages in this Topic (1)

#255 From: "vaksincom" <alfons@...>
Date: Sat Aug 3, 2002 7:26 am
Subject: Proteksi mailserver RAV Antivirus vaksincom
Send Email

Proteksi mailserver RAV Antivirus

dari Vaksin.com

RAV (Reliable Antivirus), perusahaan antivirus dari Rumania www.ravantivirus.com yang merupakan salah satu pemimpin produk antivirus untuk mailserver multiplatform resmi menunjuk Vaksin.com untuk memasarkan produknya di Indonesia.

RAV merupakan produk antivirus yang dibangun menggunakan bahasa pengembangan ZETA, dimana ZETA memiliki keunggulan seperti Java dimana engine antivirus yang dikembangkan menggunakan ZETA dapat dikembangkan pada platform lain tanpa mempengaruhi kinerja dan kapabilitasnya. Karena itulah RAV mempunyai kemampuan untuk mendukung platform Palm OS sampai dengan Linux dan Windows 2000 Professional. Sedangkan aplikasi mailserver yang didukung oleh RAV dan merupakan produk andalan RAV yang digunakan oleh mayoritas ISP dunia adalah :

Sendmail
Sendmail Libmailter
Postfix
Communigate Pro
Exim
MS Exchange
Dmail
Courier

Sedangkan operating system yang didukung oleh RAV adalah :

Linux (Linux i386)
Linux S/390
FreeBSD
OpenBSD 2.8 / 2.9 / 3.0
Solaris i386
Solaris Sparc
Unixware 7.11
NetBSD
Win NT / 2000 / XP

Kualitas RAV tidak saja secara de facto diakui dengan adanya kenyataan bahwa mailserver ISP mayoritas menggunakan RAV, tetapi RAV juga merupakan mailserver Linux pertama dan satu-satunya di dunia (sampai berita ini dibuat) yang mendapatkan sertifikasi Checkmark level 1 dan Checkmark level 2

Checkmark Level One mensyaratkan program antivirus harus mampu mendeteksi semua virus yang sedang aktif dan biasanya dikenal dengan istilah In The Wild (ITW). Daftar virus ITW dikeluarkan oleh Wildlist Organization.

Checkmark Level Two mensyaratkan program antivirus sudah memenuhi syarat untuk Checkmark Level One ditambah dengan kemampuan mendisinfeksi file yang terinfeksi semua virus ITW (In The Wild) yang mungkin dibersihkan.

Vaksin.com menawarkan solusi terbaik bagi para pemilik mailserver, khususnya ISP, akademisi dan korporat. Dalam aplikasinya, mailserver dengan platform non windows jarang yang menjadi sasaran virus namun mailserver perlu dilengkapi dengan program antivirus untuk memproteksi mailboxnya karena email dikirimkan ke user yang pada umumnya menggunakan operating sistem windows yang sangat sering menjadi sasaran virus. Jika ada pesan bervirus masuk ke mailbox, secara otomatis RAV akan melakukan tindakan yang diperlukan seperti membersihkan atau menghapus virus yang terkandung di dalam email sesuai dengan pengaturan oleh administrator. Disamping itu, RAV Antivirus for mailserver juga dilengkapi dengan Anti Spam, sehingga mailbox dapat diamankan dari Spam tanpa tambahan biaya.

Harga paket yang ditawarkan RAV for mailserver tergolong sangat fantastis, sebagai gambaran, untuk melindungi 2 domain dan 5.000 mailbox hanya dikenakan biaya Rp. 3.000.000,- setahun termasuk software dan manual dalam CD, atau hanya Rp. 600,- untuk melindungi satu buah mailbox per tahun. Untuk informasi lebih jauh silahkan hubungi sales@...

salam,

Vaksin.com

-- www.vaksin.com --
Certified :
~~~~~~~~~~~~~~~~~~~
~~|VIRUS OUTSIDE|~~
~~~~~~~~~~~~~~~~~~~
Norman Virus Control

RAV Antivirus

by : vaksin.com
Antivirus Specialist
Call 62-21-526-0787
suppport@...

-- www.vaksin.com --

Reply | Messages in this Topic (1)

#256 From: "vaksincom" <alfons@...>
Date: Sat Sep 14, 2002 9:16 am
Subject: Worm Chet, hindari attachment September11.exe (Low risk) vaksincom
Send Email

Worm Chet, hindari attachment September11.exe (Low risk)

14 Agustus 2002

Alias : W32.Chet@mm, W32/Chet@MM, WORM_CHET.A, W32/Anniv911.A-mm

Momen satu tahun serangan ke WTC ternyata dimanfaatkan juga oleh pembuat virus, yang memanfaatkan issue anyar seperti rencana serangan Amerika Serikat dan Inggris ke Irak, Al Qaeda, konspirasi CIA dan FBI (mirip dengan cerita fiksi dalam film-film Hollywood) dengan tujuan hanya satu, penerima email menjadi tertarik dan menjalankan lampiran yang datang bersama virus dengan nama "11september.exe". Chet tidak tergolong ke dalam virus yang canggih dan dengan mudah dapat diidentifikasi oleh mailserver karena karakteristik email dan lampiran yang dikirimkan hanya satu macam. Hal ini terbukti dari pengamatan Vaksin.com dimana pada saat kemunculannya Chet tidak masuk ke dalam 10 besar virus yang paling banyak menyebar, karena itu para vendor antivirus sepakat memasukkan Chet ke dalam golongan worm dengan resiko rendah. Tetapi peringatan atas Chet tetap dikeluarkan karena dikhawatirkan penerima virus tertarik atas propaganda Chet dan mengaktifkan lampiran "11september.exe".

Worm ini ditulis menggunakan bahasa C dengan ukuran 26.628 byte. Worm Chet sendiri merupakan program yang kurang sempurna, karena mengandung banyak bug yang menyebabkan penyebarannya tidak sempurna. Ada hal yang cukup menarik dimana setelah berhasil menyebarkan dirinya, Chet akan mengirimkan informasi rahasi dari komputer yang terinfeksi ke beberapa alamat email di Rusia (hal ini yang menimbulkan dugaan bahwa Chet dibuat oleh programer di Rusia). Selain itu, ketikan aktif untuk kedua kalinya (setelah restart windows), Chet akan mencari modem di komputer yang terinfeksi, menonaktifkan suara modem lalu menghubungi nomor telepon di Rusia (090617XXXXX).

Secara lebih mendetil, Chet akan datang dengan perincian sebagai berikut :

Subject: All people!!

Body:
Dear ladies and gentlemen!

The given letter does not contain viruses, and is not Spam. We ask you to be in earnest to this letter. As you know America and England have begun bombardment of Iraq, cause of its threat for all the world. It isn't the truth. The real reason is in money laundering and also to cover up traces after acts of terrorism September, 11, 2001. Are real proofs of connection between Bush and Al-Qaeda necessary for you? Please! There is a friendly dialogue between Bin Laden and the secretary of a state security of USA in the given photos. In the following photo you'll see, how FBI discusses how to strike over New York to lose people as much as possible. And the document representing the super confidential agreement between CIA and Al-Qaeda is submitted to your attention. All this circus was specially played to powder brains!! You'll find out the truth. Naked truth, instead of TV showed.
_________________________________________________________
For your convenience, and to make letter less, all documentary materials (photos and MS Word documents) are located in one EXE file. Open it, and all materials will be installed on your computer. You will receive the freshest and classified documents automatically from our site. It isn't a virus! You can trust us absolutely. We hope, that it will open your eyes on many things occurring in this world.

Attachment: 11september.exe

Dibawah ini kami lampirkan contoh email yang datang dan mengandung Chet.

Gambar diambil dari Sophos (www.sophos.com)

Type: Worm
Alias: W32/Anniv911, Win32/Chet
Spreading mechanism: Email
Email characteristics:
- Subject: All people!!
- Body:
  Dear ladies and gentlemen!
  The given letter does not contain viruses and is not Spam.
  We ask you to be in earnest to this letter. As you know America and England have begun bombardment of Iraq, cause of its threat for all the world.
  It isn't the truth. The real reason is in money laundering and also to cover up traces
  after acts of terrorism on September, 11, 2001. Are real proofs of connection between Bush and Al-Qaeda necessary for you? Please! There is a friendly dialogue between Bin Laden and the secretary of a state security of USA in the given photos.
  (much more text omitted)
- Attachment: 11september.exe
Destructivity: None
Detected by virus detection files published: 11 Sep 2002
Virus characteristics first published: 11 Sep 2002 00:22 (CET)
Virus characteristics latest update: 11 Sep 2002 16:01 (CET)

Additional description of malicious program

Type

This is an email worm written in C, file size 26628 bytes.

Spreading mechanism

The worm sends itself over email to addresses found from the Windows address book and other sources.

The mail will appear to come from a Russian sender; these sender addresses are picked at random from a list.

When run, the worm will copy itself to the Windows System directory under the name SYNCHOST1.EXE, and will add a registry entry to load the file during startup.

It will also create an empty file called boot.txt in the root directory.

Further comments

The worm does not work in many conditions because of bugs.

There is nothing apart from the selection of topic to connect this worm with the terrorist acts of Sept. 11th 2001

salam,

Vaksin.com

~~|VIRUS OUTSIDE|~~

by : vaksin.com , Antivirus Specialist

Call 021-526 0787
suppport@...

-- www.vaksin.com --

Reply | Messages in this Topic (1)

#257 From: "vaksincom" <alfons@...>
Date: Mon Sep 16, 2002 2:44 pm
Subject: Berbahaya !! Worm Slapper menyerang server Linux vaksincom
Send Email

Worm Slapper menyerang server Linux

16 September 2002

Alias : Linux/Slapper.worm, Linux/Slapper-A, Apache/mod_ssl Worm

Setelah IIS server yang diserang oleh CodeRed dan worm Scalper yang menyerang FreeBSD dengan memanfaatkan Apache Chunk vulnerability, sekarang muncul worm Slapper yang memanfaatkan OpenSSL mod_ssl exploit yang baru saja ditemukan bulan Agustus 2002 dan dalam waktu singkat telah berhasil menyebar ke 100 negara. Slapper pertama kali dideteksi muncul di Eropa Timur dan pertama kali dilaporkan di Romania.

Berdasarkan informasi yang didapatkan oleh Vaksin.com, pada hari Minggu 15 September 2002 pukul 24.00 wib Slapper berhasil menginfeksi 5.987 komputer dan hanya dalam waktu kurang dari 24 jam, yaitu pada hari Senin tanggal 16 September 2002 pukul 20.00 menjadi 11.249 komputer.

Slapper menginfeksi komputer Linux yang menjalankan Apache web server yang mengaktifkan OpenSSL. Apache merupakan web server yang paling banyak digunakan di dunia dimana diperkirakan menguasai lebih dari 60 % web site di internet dan diperkirakan sekitar 10 % dari web server ini mengaktifkan SSL. SSL digunakan untuk transaksi online, transaksi perbankan dan aplikasi pengamanan data. Sekali komputer terinfeksi Slapper, ia akan berusaha untuk menyebar ke sistem lain. Selain itu, ia akan melakukan serangan peer-to-peer ke jaringan dimana komputer yang terinfeksi dapat digunakan untuk melakukan DDoS secara remote.

Operating system yang diserang adalah komputer dengan prosesor Intel yang menjalankan distro Linux sebagai berikut :

Red Hat yang menjalankan Apache 1.3.6, 1.3.9, 1.3.12, 1.3.19, 1.3.20, 1.3.22, 1.3.23 dan 1.3.26.

SuSE yang menjalankan Apache 1.3.12, 1.3.17, 1.3.19, 1.3.20, 1.3.23.

Mandrake yang menjalankan Apache 1.3.14, 1.3.19, 1.3.20, 1.3.23.

Slackware yang menjalankan Apache 1.3.26.

Debian yang menjalankan Apache 1.3.26.

Gentoo yang menjalankan semua versi Apache.

dan mengaktifkan OpenSSL versi 0.96d atau sebelumnya.

Pembuat Slapper kelihatannya belajar dari cara worm CodeRed menyebarkan dirinya dimana pada tahun 2001 CodeRed berhasil menginfeksi 350.000 website yang menjalankan Microsoft IIS.

Slapper juga meniru worm Morris dimana tidak seperti worm lainnya yang mengupload paket eksekusi yang telah di compile tetapi yang diupload Slapper adalah source code worm. Setelah terupload semua, Slapper kemudian menggunakan C compiler (gcc) yang secara default diinstall ke Linux untuk memproduksi paket eksekusi worm dan menjalankannya. Cara ini mengakibatkan Slapper akan kompatibel dengan banyak versi Linux, terlepas dari distro dan versi kernelnya. Cara ini juga mengakibatkan Slapper sulit di deteksi oleh antivirus karena versi kompiler yang berbeda akan menghasilkan paket eksekusi yang bervariasi.

Cara menghindari Slapper

Karena Slapper memanfaatkan gcc compiler pada komputer korban dan memerlukan compiler itu untuk dapat dijalankan oleh pengguna Apache, salah satu cara yang cukup efektif untuk melindungi Apache web server dari Slapper (khusus untuk Linux/Slapper-A) adalah dengan menghilangkan atau membatasi akses ke kompiler dari web server.

Cara menghilangkan Slapper

Slapper akan terlihat sebagai proses "bugtraq" dan sistem yang terinfeksi dapat dibersihkan dengan cara mematikan aktivitas worm dan memindahkan file yang dibuatnya ke dalam direktori tmp :

/tmp/.uubugtraq

/tmp/.bugtraq.c

/tmp/.bugtraq

Setelah itu, matikan webserver Apache anda dan upgrade OpenSSL ke versi 0.96e atau sesudahnya untuk menghindari infeksi ulang.

Sumber :

RAV Antivirus

http://www.rav.ro

OpenSSL

http://www.openssl.org/news/secadv_20020730.txt

CERT

http://www.cert.org/advisories/CA-2002-23.html

Debian :