Proteksi mailserver RAV Antivirus

dari Vaksin.com

RAV (Reliable Antivirus), perusahaan antivirus dari Rumania www.ravantivirus.com yang merupakan salah satu pemimpin produk antivirus untuk mailserver multiplatform resmi menunjuk Vaksin.com untuk memasarkan produknya di Indonesia.

RAV merupakan produk antivirus yang dibangun menggunakan bahasa pengembangan ZETA, dimana ZETA memiliki keunggulan seperti Java dimana engine antivirus yang dikembangkan menggunakan ZETA dapat dikembangkan pada platform lain tanpa mempengaruhi kinerja dan kapabilitasnya. Karena itulah RAV mempunyai kemampuan untuk mendukung platform Palm OS sampai dengan Linux dan Windows 2000 Professional. Sedangkan aplikasi mailserver yang didukung oleh RAV dan merupakan produk andalan RAV yang digunakan oleh mayoritas ISP dunia adalah :

• Sendmail
• Sendmail Libmailter
• Postfix
• Communigate Pro
• Exim
• MS Exchange
• Dmail
• Courier

Sedangkan operating system yang didukung oleh RAV adalah :

• Linux (Linux i386)
• Linux S/390
• FreeBSD
• OpenBSD 2.8 / 2.9 / 3.0
• Solaris i386
• Solaris Sparc
• Unixware 7.11
• NetBSD
• Win NT / 2000 / XP

Kualitas RAV tidak saja secara de facto diakui dengan adanya kenyataan bahwa mailserver ISP mayoritas menggunakan RAV, tetapi RAV juga merupakan mailserver Linux pertama dan satu-satunya di dunia (sampai berita ini dibuat) yang mendapatkan sertifikasi Checkmark level 1  dan Checkmark level 2

Checkmark Level One mensyaratkan program antivirus harus mampu mendeteksi semua virus yang sedang aktif dan biasanya dikenal dengan istilah In The Wild (ITW). Daftar virus ITW dikeluarkan oleh Wildlist Organization.

Checkmark Level Two mensyaratkan program antivirus sudah memenuhi syarat untuk Checkmark Level One ditambah dengan kemampuan mendisinfeksi file yang terinfeksi semua virus ITW (In The Wild) yang mungkin dibersihkan.

Vaksin.com menawarkan solusi terbaik bagi para pemilik mailserver, khususnya ISP, akademisi dan korporat. Dalam aplikasinya, mailserver dengan platform non windows jarang yang menjadi sasaran virus namun mailserver perlu dilengkapi dengan program antivirus untuk memproteksi mailboxnya karena email dikirimkan ke user yang pada umumnya menggunakan operating sistem windows yang sangat sering menjadi sasaran virus. Jika ada pesan bervirus masuk ke mailbox, secara otomatis RAV akan melakukan tindakan yang diperlukan seperti membersihkan atau menghapus virus yang terkandung di dalam email sesuai dengan pengaturan oleh administrator. Disamping itu, RAV Antivirus for mailserver juga dilengkapi dengan Anti Spam, sehingga mailbox dapat diamankan dari Spam tanpa tambahan biaya.

Harga paket yang ditawarkan RAV for mailserver tergolong sangat fantastis, sebagai gambaran, untuk melindungi 2 domain dan 5.000 mailbox hanya dikenakan biaya Rp. 3.000.000,- setahun termasuk software dan manual dalam CD, atau hanya Rp. 600,- untuk melindungi satu buah mailbox per tahun. Untuk informasi lebih jauh silahkan hubungi sales@...

salam,

Vaksin.com

Worm Chet, hindari attachment September11.exe (Low risk)

14 Agustus 2002

Alias : W32.Chet@mm, W32/Chet@MM, WORM_CHET.A, W32/Anniv911.A-mm

Momen satu tahun serangan ke WTC ternyata dimanfaatkan juga oleh pembuat virus, yang memanfaatkan issue anyar seperti rencana serangan Amerika Serikat dan Inggris ke Irak, Al Qaeda, konspirasi CIA dan FBI (mirip dengan cerita fiksi dalam film-film Hollywood) dengan tujuan hanya satu, penerima email menjadi tertarik dan menjalankan lampiran yang datang bersama virus dengan nama "11september.exe". Chet tidak tergolong ke dalam virus yang canggih dan dengan mudah dapat diidentifikasi oleh mailserver karena karakteristik email dan lampiran yang dikirimkan hanya satu macam. Hal ini terbukti dari pengamatan Vaksin.com dimana pada saat kemunculannya Chet tidak masuk ke dalam 10 besar virus yang paling banyak menyebar, karena itu para vendor antivirus sepakat memasukkan Chet ke dalam golongan worm dengan resiko rendah. Tetapi peringatan atas Chet tetap dikeluarkan karena dikhawatirkan penerima virus tertarik atas propaganda Chet dan mengaktifkan lampiran "11september.exe".

Worm ini ditulis menggunakan bahasa C dengan ukuran 26.628 byte. Worm Chet sendiri merupakan program yang kurang sempurna, karena mengandung banyak bug yang menyebabkan penyebarannya tidak sempurna. Ada hal yang cukup menarik dimana setelah berhasil menyebarkan dirinya, Chet akan mengirimkan informasi rahasi dari komputer yang terinfeksi ke beberapa alamat email di Rusia (hal ini yang menimbulkan dugaan bahwa Chet dibuat oleh programer di Rusia). Selain itu, ketikan aktif untuk kedua kalinya (setelah restart windows), Chet akan mencari modem di komputer yang terinfeksi, menonaktifkan suara modem lalu menghubungi nomor telepon di Rusia (090617XXXXX).

Secara lebih mendetil, Chet akan datang dengan perincian sebagai berikut :

Subject: All people!!

Body:
Dear ladies and gentlemen!

The given letter does not contain viruses, and is not Spam. We ask you to be in earnest to this letter. As you know America and England have begun bombardment of Iraq, cause of its threat for all the world. It isn't the truth. The real reason is in money laundering and also to cover up traces after acts of terrorism September, 11, 2001. Are real proofs of connection between Bush and Al-Qaeda necessary for you? Please! There is a friendly dialogue between Bin Laden and the secretary of a state security of USA in the given photos. In the following photo you'll see, how FBI discusses how to strike over New York to lose people as much as possible. And the document representing the super confidential agreement between CIA and Al-Qaeda is submitted to your attention. All this circus was specially played to powder brains!! You'll find out the truth. Naked truth, instead of TV showed.
_________________________________________________________
For your convenience, and to make letter less, all documentary materials (photos and MS Word documents) are located in one EXE file. Open it, and all materials will be installed on your computer. You will receive the freshest and classified documents automatically from our site. It isn't a virus! You can trust us absolutely. We hope, that it will open your eyes on many things occurring in this world.

Attachment: 11september.exe

 Dibawah ini kami lampirkan contoh email yang datang dan mengandung Chet.

Gambar diambil dari Sophos (www.sophos.com)

• Type: Worm
• Alias: W32/Anniv911, Win32/Chet
• Spreading mechanism: Email
• Email characteristics:
  • Subject: All people!!
  • Body:
    Dear ladies and gentlemen!
    The given letter does not contain viruses and is not Spam.
    We ask you to be in earnest to this letter. As you know America and England have begun bombardment of Iraq, cause of its threat for all the world.
    It isn't the truth. The real reason is in money laundering and also to cover up traces
    after acts of terrorism on September, 11, 2001. Are real proofs of connection between Bush and Al-Qaeda necessary for you? Please! There is a friendly dialogue between Bin Laden and the secretary of a state security of USA in the given photos.

    (much more text omitted)
     

  • Attachment: 11september.exe
• Destructivity: None
• Detected by virus detection files published: 11 Sep 2002
• Virus characteristics first published: 11 Sep 2002 00:22 (CET)
• Virus characteristics latest update: 11 Sep 2002 16:01 (CET)

Additional description of malicious program

Type

This is an email worm written in C, file size 26628 bytes.

Spreading mechanism

The worm sends itself over email to addresses found from the Windows address book and other sources.

The mail will appear to come from a Russian sender; these sender addresses are picked at random from a list.

When run, the worm will copy itself to the Windows System directory under the name SYNCHOST1.EXE, and will add a registry entry to load the file during startup.

It will also create an empty file called boot.txt in the root directory.

Further comments

The worm does not work in many conditions because of bugs.

There is nothing apart from the selection of topic to connect this worm with the terrorist acts of Sept. 11th 2001

salam,

Vaksin.com

Online version available at www.vaksin.com

Jaminan 100 % bebas virus bagi email anda !!

18 September 2002

Rangkuman

Para pelaku bisnis sekarang ini telah menumbuhkan ketergantungan yang tinggi kepada email. Email menyediakan kecepatan, kemampuan untuk dikirimkan kebeberapa tempat sekaligus, dan pertanggungjawaban yang diperlukan untuk melaksanakan komunikasi-komunikasi bisnis sehari-hari didalam segala aspek perusahaan, termasuk rangkaian negosiasi-negosiasi kontrak penyediaan barang, pemberitahuan-pemberitahuan penyelesaian produk, komunikasi internal antar karyawan, dan hubungan timbal balik dengan pelanggan. Memang benar, email adalah “killer application” dalam dunia usaha sekarang ini. Tetapi kekuatan email itu sendiri dapat juga dijadikan sebagai ancaman bagi penggunanya, email menyediakan mekanisme paling cepat dan paling mudah bagi penjangkitan dan penginfeksian virus dalam perkembangan saat ini. Semakin banyak orang dengan berbagai latar belakang menggunakan email dengan berbagai macam cara berbeda mengakibatkan bahkan email yang jelas-jelas mengandung virus bisa disalah artikan sebagai email yang tidak bervirus dan mengakibatkan penerimanya terinfeksi virus.

Solusi-solusi anti-virus tradisonal seperti menginstall antivirus di jaringan dan mengupdate secara teratur tidaklah cukup, ketergantungan akan “signatures virus” dan implementasi software klien menciptakan celah  bahaya infeksi virus antara antara waktu sebuah virus dilepaskan oleh pembuatnya dan saat server antivirus atau komputer dalam jaringan memperbaharui file signaturenya. Celah ini sangat penting dan memaksa perusahaan untuk melakukan usaha ekstra (bagian IT) teristimewa saat setiap virus baru dilepaskan yang seringkali terjadi secara mendadak dan tidak terduga.

Makalah Hurwitz Group ini menyelediki tantangan-tantangan anti-virus email melawan manager-manager IT sekarang ini, mengkaji sebuah pendekatan alternatif dalam keberhasilan layanan MessageLabs’ SkyScan AV, dan membandingkan keuntungan-keuntungan yang diharapkan dengan studi kasus aktual. Para peserta dalam studi kasus ini mengalami kedua keuntungan kuantitas dan kualitas sebagai hasil dari penggunaan SkyScan AV, dan semua melaporkan rasa kepuasan yang besar dari performa layanan yang sangat baik.

-----oOo-----

Pendahuluan

Dengan terus berkembangnya popularitas e-mail, begitu juga dengan kepentingan operasional bisnis, pada tahun 2000 hampir 1,6 milyar e-mail dikirim di Amerika Utara. Tahun 2004, jumlah ini akan meningkat 3 kali lipat, mencapai kira2 4,3 milyar pesan setiap tahunnya. Pada saat yang sama, jumlah total dari bisnis pengguna e-mail meningkat dari 222 juta menjadi lebih dari 327 juta.

Sayangnya, ancaman dari e-mail yang mengandung virus disebarkan melalui sebuah organisasi yang nyata, dengan kelemahan-kelemahan pada system terus di identifikasi dan di exploitasi dimana manusia secara alami berperan penting dalam penyebaran virus ini. Makalah ini melihat pada masalah2 kritikal sekitar akibat virus-virus e-mail dalam operasinonal bisnis, menyelediki mengapa solusi pengembalian tradisional tidak memadai untuk menjamin ketersediaan dan membahas sebuah solusi untuk anti virus e-mail dari pihak luar – Message Labs’ SkyScan AV service. Melihat dari sejarah kasus yang benar-benar terjadi, Hurwitz Group menganalisa apa yang diharapkan dari suatu investasi dalam anti-virus e-mail dari pihak luar dan membandingkannya dengan hasil-hasil yang nyata.

Ancaman-ancaman Virus E-mail dan Contohnya.

Sejalan dengan makin meningkatnya kepercayaan kalangan bisnis kepada e-mail untuk komunikasi-komunikasi penting, keahlian mereka untuk menyediakan jasa-jasa yang tidak terhenti juga meningkat dalam resiko perkembangbiakan dikarenakan oleh e-mail yang mengandung virus. Bahkan e-mail yang mengandung virus berjumlah lebih dari 90% daripada perjangkitan virus-virus diluar e-mail, karena e-mail mewakili  distribusi yang paling efektif dan berkembang sangat pesat.

PricewaterhouseCoopers memperkirakan virus2 bisa menyebabkan kerugian bisnis lebih dari $1,3 milyar pada akhir tahun 2003. Contoh2 dari sebagian besar virus2 didunia, sbb :

• Melissa
• Love Bug (atau I Love You)
• Anna Kournikova
• SirCam
• Nimda
• Goner
• Klez

E-mail ada dimana-mana dan perkembangannya menunjukkan bahwa e-mail yang mengandung virus akan terus berlanjut untuk mewakili beragam ancaman virus yang dapat diduga baik untuk sekarang dan masa depan.

Jaringan sebagai Target virus-virus E-mail

Sangatlah jelas bahwa e-mail adalah penggunaan penting dalam komunikasi bisnis dan mematikan mailserver karenakan virus berdampak sangat siginifikan pada produktivitas. Selain itu, email memainkan peranan lain dalam komputer, inbox email memberi virus suatu tumpuan dalam PC dimana dapat menyerang setting registri, file-file individual, dan fungsi-fungsi sistem, diantara kemungkinan-kemungkinan lainnya. Bahkan, virus dan worms secara keji sering kali bekerja kedalam network, menginfeksi server dan pc-pc lainnya, dengan tujuan menginfeksi seluruh jaringan komputer.

Kerugian-kerugian  akibat dari Virus

Dampak dari virus didalam sebuah misi – penting bisnis dalam sebuah perusahaan dapat datang dari berbagai jenis berbeda-beda. Kerugian-kerugian yang tampak dengan jelas terlihat melalui pencegahan dan infeksi dari virus. Tentu saja, infeksi-infeksi menghasilkan skenario terburuk, hal ini dijelaskan lebih detail dibawah ini.

Kerugian yang diakibatkan oleh Infeksi-infeksi Virus.

Kerugian yang paling nyata dari virus yang terdapat didalam pc klien yang kemudian terinfeksi dan membutuhkan pembersihan dan pemulihan aktivitas. Aktivitas-aktivitas ini dapat dijelaskan dibawah ini bersama dengan beberapa estimasi harga.

Help Desk Call

Hal pertama yang harus dilakukan seorang user (mudah2an) pada saat ia mengidentifikasi adanya virus adalah memanggil meminta bantuan. Biaya kira-kira dari bantuan ini berkisar dari $20 - $ 40 setiap panggilan, tergantung pada jenis dan besarnya masalah. Secara umum, suatu panggilan bantuan akan berada diurutan paling bawah pada spektrum untuk support help desk.

System Clean-up

System clean-up biasanya mencakup upgrading software anti-virus dan menjalankan software pemulihan virus. Kadang-kadang pemulihan harus dilakukan secara manual, yang biasanya memakan waktu lebih lama. Waktu yang dihabiskan dalam mengupgrade software dan memulihkannya dari virus akan beragam, berkisar dari satu setengah jam sampai setengah hari. Biaya-biaya dari system clean-up dapat dikalkulasi dengan mengambil biaya perjam dari personil support IT dan dikalikan dengan jumlah waktu yang dibutuhkan untuk menyelesaikan aktivitas tersebut hingga selesai. Diperkirakan biayanya antara $50 dan $80/jam.

Kehilangan Produktivitas dari User yang TerInfeksi

Ketika sebuah pc terinfeksi, user harus mematikan segala kegiatan komputer yang berhubungan. Biaya-biaya yang terhubung dengan hilangnya produktivitas dapat dikalkulasikan dengan mengambil gaji jam kerja dan dikalikan dengan persentase waktu yang dihabiskan pada saat menggunakan pc lalu dikalikan dengan jumlah waktu banyaknya pc yang tidak bisa digunakan.

Akibat-akibat Infeksi-infeksi lainnya.

Ø      Hilangnya informasi. Kerugian-kerugian yang disebabkan oleh virus dapat sangat beragam pada kemampuan virus itu sendiri. Sebuah virus yang menghapus file-file, sebagai contoh, akan menyebabkan kerugian yang berhubungan dengan pemulihan dari file-file dan/atau membuat file-file itu kembali dari awal. Kerugian ini bisa berkisar dari sangat kecil hingga tak terhingga (luar biasa besar).

Ø      Forensic dan pemulihan. Pada beberapa kasus, kerja forensic dapat dibutuhkan untuk mengetahui aksi-aksi legal atau melakukan sebuah analisa penyebab.

Ø      Merusak nama perusahaan. Mengirimkan sebuah email yang terinfeksi virus kepada klien atau pelanggan2 adalah buruk bagi bisnis. Virus2 seperti SirCam dapat mengirimkan informasi2 yang sensitive kepada tujuan2 yang tidak sesuai. Contoh2 ini dapat menghasilkan kerusakan serius kepada nama perusahaan.

 Akibat-akibat yang Berhubungan dengan Pertimbangan Pencegahan Anti-Virus.

Ketika sebuah virus mengancam, perusahaan bisa saja mengambil pertimbangan yang drastis untuk memproteksi diri melawan virus itu. Dikarenakan waktu yang  terbatas dan prioritas yang bersaing, biaya-biaya untuk mencegah serangan virus yang akan datang tidak terlalu menonjol. Sebagai tambahan, proses dari rutinitas dan updates darurat dapat ditambahkan dengan cepat.

Hilangnya Produktivitas dari Seluruh Pengguna Email

Sebagai tempat komunikasi terpenting dalam perusahaan, kehilangan pengunaan email kadang-kadang merupakan elemen paling beresiko dalam serangan virus. Bahkan ketika server dimatikan sebagai sebuah langkah pencegahan, tanpa infeksi yang actual, hilangnya produktivitas berpengaruh pada seluruh pengguna email. Karena komunikasi email cenderung interaktif, ada sebuah efek akordion untuk pemulihan. Hal yang baik adalah, pekerja tetap idle pada saat email mengantri di server, hanya membutuhkan penanganan pada saat email dikembalikan ke operasional normal. Untuk mengkalkulasi hilangnya produktivitas pada sebuah perusahaan, kalikan biaya rata-rata jam pegawai dengan jumlah waktu email tetap mati, lalu di kurangi  dalam persentase dari waktu rata-rata pekerja menggunakan email.

Akibat-akibat lainnya berhubungan dengan Pencegahan Virus

Sangatlah penting untuk mempertimbangkan akibat-akibat lainnya yang berhubungan dengan aktivitas antivirus. Hal ini termasuk update file yang tidak direncanakan, kemungkinan-kemungkinan biaya kerja yang harus digantikan, aktivitas aktivitas pemberitahuan virus dan admintrasi umum.

Dasar Kebenaran dari Pembelian Anti-Virus untuk E-mail

Setelah diberikan resiko-resiko finasial dari infeksi e-mail yang mengandung virus, pendorong untuk investasi didalam solusi anti-virus untuk e-mail cukup mendesak. Memang, anti-virus dikabarkan telah digunakan oleh 95% respondent Hurwitz Group study, menjadikannya penggunaan aplikasi paling populer digunakan pada saat ini.

Dan masalah-masalah dengan e-mail yang mengandung virus masih terus mewabah bisnis-bisnis diseluruh dunia. Bab selanjutnya akan membahas beberapa alasan mengapa ada solusi anti-virus e-mail yang tidak didesain secara baik untuk memenuhi dan mungkin sangat penting dalam mengatasi keturunan virus masa depan.

Pencakupan Virus yang tidak Mencukupi dari Pemecahan secara Tradisional

Solusi anti-virus tradisional terdapat dalam dua kategori dasar : desktop-based dan gateway-based, dimana keduanya terdapat batasan. Kedua solusi desktop dan gateway-based bergantung pada file signature yang berisi suatu database dari virus-virus dikenal. Vendor anti-virus harus mengupdate file-file ini sesering mungkin untuk mengatasi tanda-tanda virus terbaru. Juga harus diinstall kedalam setiap e-mail gateway untuk solusi gateway-based, atau setiap desktop untuk setiap solusi desktop-based. Akhirnya, pencipta virus akan menciptakan virus yang polymorphic untuk menghindari pendeteksian.

Tidak di Desain untuk jenis E-mail mengandung Virus baru.

Solusi anti-virus tradisional, apakah itu gateway-based atau desktop-based, disusun dan di desain untuk dunia pra-internet. Dimana kebanyakan virus disebarkan melalui floppy disk, bukan melalu e-mail attachment atau file trojan lainnya yang ditambahkan pada halaman-halaman web. Sebuah tanda file dasar system sendiri telah cukup. Sekarang, e-mail massal sudah menjadi hal umum dengan virus yang bisa disebarkan keseluruh dunia dalam hitungan jam.

Tidak ada Satupun Program yang Dapat menyediakan 100 % Perlindungan Efektif.

Bahkan software terbaikpun tidak bisa secara efektif menyediakan 100% perlindungan melawan segala type virus. Beberapa pelanggan telah menanggapi dengan menggunakan sebuah gabungan dari solusi anti-virus gateway-based dan desktop-based dari vendor yang berbeda-beda untuk meningkatkan perlindungan. Walaupun secara teori hal ini meningkatkan level proteksi, batasan penerapan dari downloading dan update file virus yang sering sama dengan meningkatkan biaya yang berhubungan dengan memiliki dua solusi anti-virus membuat pendekatan ini kurang menarik bagi banyak perusahaan.

Model-model update definisi antivirus menciptakan kelemahan-kelemahan Selama Penjangkitan Virus

Setelah suatu penjangkitan terjadi, suatu lomba dua pihak dimulai :

Ø      Identifikasi dan definisi signature. Untuk virus apa saja, vendor software anti-virus menanggapi dengan memperoleh suatu file yang terinfeksi, menciptakan sebuah signature virus, dan memperbaharui file signature yang berisikan signature ini. File signature yang diperbaharui kemudian ditempatkan di sebuah website atau dikirim secara elekronik ke system administrasi perusahaan.

Ø      Distribusi file signature. Administrator harus menyebarkan file signature yang baru ini ke gateway atau servernya dan kemudian ke ribuan atau puluhan ribu desktop, kemungkinan besar diseluruh dunia  dan dalam lingkungan yang aktif dan sedikit. Rasa kaget dari virus bisa terjadi beberapa hari kemudian ketika karyawan yang lebih sering diluar akhirnya berada didekat komputer mereka untuk memperbaharui software mereka.

Setiap langkah-langkah ini menuju ke penundaan yang bisa berakibat pada operasional bisnis. Kadar dari virus e-mail yang utama seperti Love Bug dan Goner dapat berkembang biak adalah lebih cepat daripada kadar dimana file signature bisa dikembangkan dan didistribusikan. Dalam persaingan antara perkembangbiakan virus dan antivirus, virus selalu menang. Bahkan perusahaan-perusahaan yang sudah cukup rajin untuk mematikan e-mail server mereka sebelum suatu infeksi besar-besaran dapat tersebar mempunyai tugas menantang untuk mendapatkan akses ke file signature yang telah diperbaharui ketika telah tersedia. Tambahan, kerusakan telah terjadi- operasional bisnis telah dihancurkan atau dimatikan.

Tingginya Biaya yang berhubungan dengan Pelaksanaan dan Pemeliharaan Updated File AntiVirus.

Walaupun diduga bahwa file anti-virus bisa di pelihara dan didistribusikan ke hubungan biaya dan pekerja menjadi penghalang. Kebanyakan organisasi tidak mampu menyediakan kemewahan dari seorang spesialis anti-virus yang semata-mata bertugas untuk bertanggung jawab atas downloading file virus terbaru dan mendistribusikannya kepada users.

Sebagai tambahan, disepakati bahwa e-business yang meningkat secara alami mendunia, kewaspadaan atau penjagaan harus dijalankan dalam sebuah basis 24x7, setiap harinya disetiap tahun. Hal ini sangat sulit dilakukan dan suatu penggunaan sumber daya IT yang mahal yang dapat digunakan untuk proyek-proyek yang lebih penting.

Kesimpulan : Proteksi Virus yang tidak Mencukupi Berakibat pada Kerugian Downtime yang Kritis dan Hubungan Bisnis.

Kombinasi dari kelemahan-kelemahan dalam solusi pemulihan software, biaya dan waktu yang dibutuhkan untuk mempertahankan file virus ter-update dan terdistribusi, dan tekanan tanpa belas kasihan yang diberikan kepada staff IT yang telah kelebihan beban kerja untuk meningkatkan produktivitas membuat kasus ini  lebih sulit untuk dibenarkan.

Apa yang dibutuhkan adalah layanan anti-virus dari pihak ketiga yang menggunakan beberapa scanner antivirus terbaik yang digabungkan dengan deteksi heuristic virus. Sekarang kita beralih pandangan pada suatu layanan dari pihak luar yaitu MessageLabs yang disebut SkyScan AV, analisalah keuntungan-keuntungan yang didapat dari membeli pembenaran pendapat, dan laporan dalam penyelidikan analisa dari Hurwitz Group case study dari tiga pelanggan yang menggunakan layanan MessageLabs.

Memperkenalkan Layanan MessageLabs dan SkyScan AV

Tentang MessageLabs

MessageLabs adalah sebuah penyedia layanan keamanan e-mail dari tingkat Internet yang terkemuka. Melalui Layanan portfolio SkyScan, pelanggan MessageLabs dilindungi dari ancaman-ancaman e-mail yang mengandung virus, surat yang tidak dikehendaki (spam), isi yang sangat sensitif dan penuh dendam dan pornography (porn), jauh sebelum email tersebut datang ke dalam mailbox.

Merupakan bagian dari Star Technology Group, MessageLabs didirikan pada Januari 2002 dan mempekerjakan 350 karyawan dengan kantor-kantor di Amerika, Inggris dan HongKong. MessageLabs melindungi lebih dari 900.000 pemakai diseluruh dunia dan telah berkembang dalam sejarah rata-rata melebihi 10% perbulan (200% setiap tahunnya).

Gambaran tentang Layanan SkyScan AV

SkyScan AV berbasis Internet, mengendalikan penyampaian layanan anti-virus melalui jaringan dari “menara pengontrol” yang terletak pada titik utama pertukaran diseluruh dunia. Tidak seperti metode in-house, SkyScan AV menggabungkan kemampuan membaca dari tiga anti-virus scanner (McAfee, F-Secure dan V-find) dengan heuristic dan rules-based scanner yang dimiliki secara eksklusif oleh MessageLabs yang disebut Skeptic. Menggunakan intelegensia buatan untuk melihat pola-pola dan karakteristik yang tidak biasa didalam e-mail, Skeptic mendeteksi penjangkitan virus baru sebelum signature diciptakan atau di upload dalam software tradisional. Skeptic bekerja secara simultan pengenalan karakter virus yang diperoleh dari e-mail melalui jaringan MessageLabs setiap hari. Penandaan download dilakukan oleh SkyScan AV setiap 10 menit sehingga selalu up to date dan update otomatis dapat dilakukan disemua jaringan.

Lalu lintas e-mail dipantau selama 24 jam sehari, 365 hari dalam setahun dari pusat operasi global MessageLabs’ Co. di Inggris. Interface manajemen online/insight menyediakan serangkaian perangkat dan informasi. Pelaporan Insight disediakan secara berjenjang dan detail untuk menyediakan data statistik tentang aktivitas virus dan pemakaian e-mail, dan untuk menginformasikan kepada senior management dan membantu staff IT untuk meningkatkan keamanan sistem. Layanan ini sangat sederhana untuk dilakukan dan aktivasinya memakan waktu tidak lebih dari beberapa jam. Pengaruh untuk staff IT juga sangat minimal. Pengguna tidak akan melihat penurunan performa rata-rata e-mail yang digunakan hanya memerlukan 1,2 detik untuk di proses.

Kegunaan Hurwitz

Pada penelitian yang dilakukan untuk makalah ini Hurwitz Group telah menyelidki kemungkinan keuntungan dan yang diharapkan dari layanan SkyScan AV dengan MessageLabs dan 3 macam pelanggan, dengan studi kasus detail yang khusus yang tersusun dalam apendix. Keuntungan-keuntungan yang diharapkan yang diperlihatkan dibawah ini adalah berdasarkan pada penelitian dan analisa dari Hurwitz Group, dan dibenarkan untuk pesediaan pengalaman pelanggan dalam studi kasus.

Layanan SkyScan AV : Keuntungan-keuntungan yang Diharapkan.

Mengurangi Kerugian Waktu e-Business

Sejak layanan SkyScan AV menghadang berbagai macam virus sebelum mereka sempat mencapai suatu batas jaringan perusahaan, Hurwitz Group mengharapkan perusahaan-perusahan untuk menggunakan layanan SkyScan AV untuk mengalami pengurangan kerugian waktu yang berarti yang diakibatkan oleh virus e-mail.

Mengurangi Biaya-Biaya Administrasi dan Perawatan Anti-Virus

Sebagai tambahan dalam pengurangan kerugian waktu yang sangat penting, Hurwitz Group mengharapkan perawatan anti-virus  dan ditribusi file virus dan biaya-biaya administrasi bisa lebih dikurangi. Hal ini akan membebaskan karyawan IT yang berharga untuk ditempatkan dalam proyek yang bernilai tinggi yang bisa disumbangkan untuk perkembangan pendapatan, perolehan dan daya simpan pelanggan, dan keuntungan besar IT lainnya.

Melindungi Reputasi dan Citra Perusahaan

Resiko yang nyata atas matinya mailserver pada era elektronik akan mempertaruhkan citra dan reputasi perusahaan. Hal ini tidak hanya terbatas bagi perusahaan dot.com saja; perusahaan-perusahaan tradisional pun meningkat dalam interaksi online mereka dengan pelanggan, rekan-rekan, dan supplier. Mematikan e-mail pada saat serangan virus sudah tidak bisa diterima lagi, namun yang lebih buruk adalah dampak negatif dalam suatu reputasi merek perusahaan dengan memalukan diri sendiri melalui pengembangbiakan virus lewat server dan email account. Hruwitz Group mengharapkan perusahaan-perusahaan yang telah menginvestasikan dirinya dalam SkyScan AV akan lebih terlindung dan maka dari itu akan kurang mengkhawatirkan tipe-tipe resiko ini.

Melindungi dari Kecenderungan Tuntutan Legal.

Dengan banyaknya perusahaan-perusahaan bertukar informasi secara elektronik, resiko pengungkapan informasi rahasia secara tidak sengaja akan meningkat. Amerika Serikat dan Eropa memiliki aturan ketat tentang privasi yang harus diikuti dalam beberapa macam industri seperti pusat kesehatan dan layanan finansial.  Penyingkapan rahasia informasi pelanggan secara tak sengaja melalui serangan e-mail yang mengandung virus dapat membuka pintu ke denda-denda sipil dan/atau kriminal. Virus juga bisa berdampak pada rekan-rekan e-Business dan berdampak serius pada produktivitas bisnis dengan kerugian waktu yang memerlukan pembersihan setelah suatu virus menyerang. Dengan tingkat layanan perjanjian bisnis-ke-bisnis yang tidak bisa dipungkiri, perusahaan-perusahaan  yang tidak terlindungi secara cukup dari serangan virus akan mendapatkan resiko dari pelanggaran perjanjian-perjanjian ini.

Keuntungan-Keuntungan Lainnya.

Hurwitz Group mengharapkan perusahaan-perusahaan yang memanfaatkan suatu solusi anti-virus yang luas disesuaikan secara mendalam dengan kebijakan keamanan bersama. Mereka yang memanfaatkan solusi berbasis internet dalam hubungan dengan anti-virus berbasis desktop atau server harus memiliki pengertian yang mendalam dari sumber-sumber infeksi virus dan bisa lebih cepat menargetkan “hot spots” melalui organisasi-organisasi untuk membawa perusahaan kedalam penyesuaian kebijaksanaan keamanan lebih cepat.

Studi Kasus :

Conde Nast Publications

Memperkenalkan Conde Nast Publications

Conde Nast adalah sebuah penerbit tingkat dunia yang menerbitkan majalah-majalah bergengsi seperti Vouge, Elle dan GQ. Sebagai media konglomerat. Conde Nast berurusan dengan semua jenis media elektronik, dari disket floppy, tape dan CD-ROMs. Mick Booth, kepala system dari Conde Nast, bertanggung jawab untuk melindungi  kira-kira 600 desktop di kantor London. “ Tiga tahun lalu kami menginvestasikan pada sebuah solusi anti-virus desktop dan agak puas”, kata Mick, “tetapi bagaimanapun juga sangatlah jelas bahwa kami tidak dapat untuk terus menahan [catat:bertambah] e-mail-e-mail yang mengandung virus.”

“Cerita Horor” Conde Nast.

Apa yang dibutuhkan adalah sebuah kecelakaan kecil dengan tingkat infeksi rendah pada sekitar 20 Macs untuk membuat Mick menyadari bahwa solusi desktop sendiri tidak akan bisa memecahkan masalah. “Kami menghabiskan  banyak waktu frustasi akan penurunan performa dari perkembangan Mac kami sebelum kami menyadari bahwa sebuah virus telah menginfeksi mesin itu”. Walaupun mendownload file signature desktop tebaru memecahkan masalah, sangatlah jelas bagi Mick bahwa solusi lainnya harus ditemukan.

Keuntungan dari SkyScan AV

“MessageLabs memiliki solusi anti-virus email yang paling efektif,  sebuah pemesanan mudah yang lebih murah ketika anda menghitung biaya pemeliharaan dari solusi anti-virus email lainnya.” Mick mengestimasikan bahwa Conde Nast menghindari biaya dari menyewa satu, atau tidak lebih, staff IT yang berdedikasi untuk mengurus sebuah solusi anti-virus e-mail in-house. Tetapi keuntungan terbesar bagi manajemen lingkungan bebas virus bahwa perusahaan telah memilikinya selama tiga tahun dan akan terus menggunakannya di masa depan. “ Ini adalah perasaan yang hebat untuk bisa berdiri didepan manajer senior dan berkata tidak ada virus yang datang atau pergi dari perusahaan kita dalam tiga tahun terakhir ini. Tetapi keuntungan terbesar bagi saya adalah sebagai manager IT, saya telah selesai menyingkirkan satu sumber resiko utama bagi perusahaan. Bahkan jika sebuah virus menyerang hal ini tidak akan membuat kita jatuh, rasa malu perusahaan untuk menyebarkan virus ke rekan-rekan penting akan sangat sulit dilakukan.” Keuntungan tambahannya mencakup manajemen nol sebagai aspek dari layanan SkyScan dan kemampuannya utnuk berperan sebagai sebuah alat peringatan dini untuk mail server.

Paper ini ditulis oleh Hurwitz Group untuk :

Message Labs Inc.

www.messagelabs.com

Dipublikasikan oleh :

Hurwitz Group, Inc.

111 Speen Street, Framingham, MA 01701

www.hurwitz.com

Diterjemahkan oleh Vaksin.com.

W32/Bugbear@mm / Tanatos

1 Oktober 2002

Alias : Tanat, W32/Tanat, I-Worm.Tanatos

Setelah lebih dari setengah tahun dikuasai oleh Klez, pada tanggal 30 September 2002 pukul 3:00 pagi muncul worm baru dengan

nama Tanat dan pertamakali terdeteksi datang dari Malaysia. Menurut MessageLabs, Tanat sudah menyebar dengan kecepatan

cukup tinggi dan mencapai 1.200 copy sampai dengan pukul 8:00 pagi tanggal 30 September 2002.

Sampai dengan saat berita ini dibuat, Tanat / Bugbear menempati posisi ke tiga setelah Klez.H dan Yahaa. Tanat dikategorikan

oleh para vendor antivirus sebagai virus dengan resiko sedang, tetapi menurut pengamatan Vaksincom dan pengalaman selama ini, dalam bilangan jam virus dengan resiko sedang akan menjadi resiko tinggi.

Apalagi Tanat mempunyai beberapa karakteristik virus beresiko tinggi antara lain :

• Menyerang dan menghancurkan program antivirus.

• Mengandung backdoor dan keylogger

• Mengandung banyak variasi sehingga email yang datang tidak dapat dikenali dari subyeknya.

• Mempunyai kemampuan menyebar melalui jaringan.

• Memanfaatkan Iframe exploit sehingga Tanat akan aktif secara otomatis walaupun attachmentnya tidak di klik.

Tanat akan datang ke mailbox anda dengan email :

Subject:             bervariasi; tergantung dari email yang ada di komputer anda.

Text:                  bervariasi; tergantung email yang ada di komputer anda.

Attachment:       bervariasi, tetapi dengan ukuran file 50688 byte.

Bugbear menginfeksi 1.000 komputer di Indonesia

2 Oktober 2002

Setelah berhasil menggeser Klez.H dari singgasananya sebagai virus yang paling banyak menyebar di jagad internet dalam waktu 1 hari, Bugbear meneruskan aksinya dan mulai mengincar pengguna komputer di Indonesia, pada hari Senin malam tanggal 1 Oktober 2002 Vaksin.com menerima "kiriman" Bugbear yang pertama. Worm yang diterima Vaksincom memalsukan dirinya sebagai file Excel dan mengandung ekstensi ganda, dan dari analisa lebih jauh memang pengirim email tersebut dipalsukan oleh worm dan sebenarnya email tersebut dikirimkan dari satu ISP Jakarta yang berkantor pusat di Bandung. Walaupun isinya jelas-jelas executable, tetapi Bugbear berusaha memanipulasi penerimanya dengan memberikan ekstensi ganda dan merubah content type manjadi audio/x-midi.

Content-Type: audio/x-midi;

name=Pengurus KAA 02-03.xls.exe

Content-Transfer-Encoding: base64

Content-ID: <qefVzUN3mXXNU>

Sampai dengan pukul tanggal 2 Oktober 2002 19:00 WIB, diperkirakan Bugbear berhasil menginfeksi lebih dari 1.000 komputer, dimana gejala utama dari komputer yang terinfeksi adalah "tidak bisa mencetak atau printer jaringan mencetak karakter aneh". Komputer yang pertamakali diserang Bugbear di dalam jaringan adalah komputer yang mempunyai hubungan dengan printer jaringan, setelah itu baru komputer lain dalam jaringan. Vaksincom mendapatkan contoh file yang terinfeksi Bugbear dari satu perusahaan swasta nasional dan beberapa hotel International di Jakarta juga positif terinfeksi Bugbear.

Salah satu hal yang menjadi sebab komputer yang terhubung ke jaringan terinfeksi oleh Bugbear walaupun sudah dilindungi oleh antivirus adalah karena lambatnya definisi antivirus yang dapat mengenali Bugbear, berdasarkan data yang dihimpun oleh Vaksincom, dari saat munculnya Bugbear 29 September 2002 pkl 20:23 GMT dan langsung terdeteksi oleh MessageLabs dengan teknologi Skepticnya tanpa memerlukan update, Sophos baru berhasil memberikan update pada tanggal 30 September pkl 16:03, disusul Symantec pkl 16:05 dan TrendMicro 18:37.

Rentang waktu antara pertamakali munculnya virus dengan saat pertama kali update antivirus dapat mengenalinya yang merupakan saat-saat kritis dimana pengguna antivirus terbuka terhadap serangan virus dan satu-satunya cara untuk mengatasinya adalah menggunakan layanan outsourcing antivirus pada internet level seperti yang diberikan oleh MessageLabs yang sampai saat ini mempunyai rekor melindungi email pelanggannya 100 % dari semua serangan virus.

Cure VBS.Redlof step by step

2 November 2002

Seperti yang telah kami janjikan terlebih dahulu, pada artikel ini kami akan membahas cara menyingkirkan VBS.Redlof yang membandel di komputer anda beserta beberapa screen capture untuk memudahkan anda. Artikel kali ini merupakan penyempurnaan dari artikel membasmi VBS/Redlof-A pada tanggal 19 Oktober 2002.

Sebelum mencoba membasmi virus, anda HARUS memback up date penting anda di komputer yang ingin dibersihkan virusnya. Vaksincom tidak bertanggung jawab atas segala kehilangan / kerugian yang timbul karena kerusakan registri / komputer yang timbul karena mengikuti petunjuk ini.

1. Tutup celah keamanan dari software anda dengan mendownload update VM ActiveX component vulnerability di http://www.microsoft.com/technet/security/bulletin/MS00-075.asp

2. Hapus semua Temporary Internet Files dari Internet Explorer [Tools] [Internet Options] dan pastikan sudah bersih dengan mengosongkan Recycle Bin. Disarankan hapus juga semua file dari Temporary / Temp guna mempercepat proses scanning harddrive oleh antivirus pada langkah berikut.

3. Scan komputer anda menggunakan antivirus dengan update terbaru, kami menggunakan Norman Virus Control. (Lihat gambar)

 

PENTING :Jika anda menggunakan Windows ME / XP, sebelumnya jangan lupa nonaktifkan Sistem Restore.

4. Balikkan semua perubahan registri yang dilakukan oleh virus :

Hapus registri di :

• HKEY_CURRENT_USER :

HKCU\Identities\<DefaultId>\Software\Microsoft\Outlook Express\<OutlookVersion>\Mail\Compose Use Stationery

HKCU\Identities\<DefaultId>\Software\Microsoft\Outlook Express\<OutlookVersion>\Mail\Stationery Name

HKCU\Identities\<DefaultId>\Software\Microsoft\Outlook Express\<OutlookVersion>\Mail\Wide Stationery Name (lihat gambar)

HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail dan hapus EditorPreference dengan value "0X00020000" karena merupakan value yang dibuat oleh Redlof (lihat gambar)

HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail

dan hapus EditorPreference dengan value "0X00020000" karena merupakan value yang dibuat oleh Redlof (lihat gambar)

• Hapus registri di :

HKEY_CLASSES_ROOT\dllFile\Shell
HKEY_CLASSES_ROOT\dllFile\ShellEx
HKEY_CLASSES_ROOT\dllFile\ScriptEngine
HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode (lihat gambar)

• Cari area registri dengan nama HKEY_USERS\Default\ dan hapus registri :

HKU\Default\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360

HKU\Default\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem

\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046\001e0360

HKU\Default\Software\Microsoft\Office\10.0\Common\MailSettings\NewStationery (lihat gambar)

HKU\"kode nomor"\Software\Microsoft\Windows\CurrentVersion\Run\.dll

HKU\"kode nomor"\Software\Microsoft\Windows\CurrentVersion\Run\dllfile

• Temukan juga registri di HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32

dan hapus jika anda temukan.

Simpan Registry Editor dan restart komputer anda.

5. Hapus file HTT dan Kjwall.gif.

Cari di direktori c:\windows\web file dengan nama *.htt dan Kjwal.gif, lalu hapus. (seharusnya semua file ini sudah dihapuskan oleh program antivirus anda pada saat scan).

6. Megembalikan setting Outlook Express.

Jalankan Outlook Express, klik [Tools] [Options] klik tabulasi [Compose], pada bagian Stationary, non aktifkan pilihan Mail dengan menghilangkan tanda centang atau pilih stationary yang anda gunakan jika ada. (lihat gambar)

7. Untuk windows 98 hapus file C:\windows\system\kernel.dll

8. Untuk Windows NT hapus file C:\winnt\system\kernel32.dll

Catatan : Jika anda tidak menerima screen capture karena mailing list anda tidak memperbolehkan, silahkan lihat artikel online di http://www.vaksin.com

Salam,

Vaksin.com

Hello, Product Name: Microsoft Windows 98
Product Id: 16802-OEM-0041023-10008         (this Id varies) Product Key: CRP9M-KYACK-AB8JP-QTJF2-PRHAZ  (this Key varies) Process List: #32770 MonsysNT (these lines vary) Monsys32        (these lines vary) Thank you.

salam,

Vaksin.com

W32/Winevar@mm menjadikan .ceo sebagai executable

26 Agustus 2002

Alias :I-Worm.Winevar, WORM_WINEVAR.A, W32/Korvar, Worm/Bride.C, W32.HLLW.Winevar

Akhir tahun merupakan waktu yang sangat riskan bagi para pengguna komputer. Setelah diancam oleh Bugbear dan Opaserv pada bulan Oktober dan pada awal November muncul Brides.A, pada November muncul worm baru yang cukup berbahaya W32/Winevar. Winevar berasal dari Korea Selatan dan diperkirakan muncul karena adanya konferensi AVAR (Antivirus Researcher's Asia) pada tanggal 21 dan 22 November 2002 di Seoul, Korea Selatan.

Walaupun pada dasarnya Winevar serupa dengan Bride dimana Winevar juga menginfeksikan Funlove, namun ada beberapa inovasi baru yang digunakan oleh Winevar dalam menjalankan aksinya, seperti :

• Memanfaatkan vulnerability baru yang terkandung dalam IE Microsoft VM ActiveX Component sehingga menjadikan ekstensi .ceo sebagai executable.

  Hal ini cukup menarik karena selama ini para administrator mailserver melakukan blokir atas semua attachment executable secara membabi buta seperti .exe, .bat, .vbs, .pif, .tif, .scr dan seterusnya sehingga jika anda mengirimkan file eksekutabel yang tidak bervirus melalui email, jangan harap bisa lewat kecuali anda kompres / zip terlebih dahulu. Sedangkan yang non executable seperti .zip, .jpg, .gif diberikan izin untuk lewat. Pembuat Winevar ini dengan cerdik mendaftarkan .ceo sebagai executable di komputer yang terinfeksi sehingga jika korban Winevar yang tidak membersihkan Winevar secara tuntas mengklik attachment *.ceo, maka akan mengaktifkan Winevar secara otomatis.

  Attachment yang mengubah ekstensi .ceo sebagai executable adalah attachment yang datang dalam bentuk

  WIN****.TXT (12.6 KB) MUSIC_1.HTM dengan harapan jika kemudian komputer menerima attachment .ceo, maka akan dapat dijalankan sebagai executable.

• Mengandung payload untuk men Dos (Denial of Service) www.symantec.com sehingga makin banyak virus ini menyebar, website Symantec akan diserang oleh komputer yang terinfeksi.

  Dalam menjalankan aksinya ini, komputer yang terinfeksi Winevar akan berulang-ulang mengakses halaman pertama website www.symantec.com dan mengkopinya ke dalam temporary file dan kemudian menghapusnya. Hal ini akan menimbulkan Dos bagi symantec.com jika komputer yang terinfeksi Winevar cukup banyak.

Winevar akan datang dalam email sebagai berikut :

Anda perlu berhati-hati dengan Winevar karena ia mengandung rutin yang merusak, selain menghentikan proses yang mengandung huruf :

 view
 debu
 scan
 mon
 vir
 iom
 ice
 anti
 fir
 prot
 secu
 dbg
 avk
 pcc
 spy
 

di windows, Winevar juga akan menghapus direktori / file yang mengandung huruf :

antivirus
cillin
nlab
vacc

Sebagai contoh, jika Winevar mendapatkan file yang mengandung kata "cilin" seperti PC Cilin, maka ia akan langsung berusaha menghapus deluruh direktori dimana file PC Cilin itu berada. Tetapi karena ada kesalahan dalam pemrogramannya, dalam beberapa kasus Winevar malahan menghapus semua file yang terkandung di dalam harddisk. Karena itulah Vaksincom memasukkan Winevar sebagai kategori virus yang berbahaya dan perlu diwaspadai karena kemampuannya menghapus data harddisk dari komputer yang terinfeksi.

Vaksincom sedang mengawasi penyebaran Winevar di Indonesia. Jika anda mendapatkan attachment / lampiran

harap informasikan kepada kami atau forwardkan ke virus@....

salam,

Vaksin.com

W32/Lioten.A

19 Desember 2002

Worm baru yang akan berusaha mengcrack password anda.

Hati-hati jika anda menemukan file dengan nama IRAQ_OIL.EXE di komputer anda, karena komputer anda telah terinfeksi worm baru yang mempunyai kemampuan bruteforce (menebak password dengan kombinasi kata kunci yang telah dipersiapkan terlebih dahulu) password di komputer anda, W32/Lioten.A.

Lioten merupakan worm yang hanya menyebar melalui jaringan (internet), khususnya yang tidak terlindungi oleh firewall dan tidak menggunakan email sebagai sarana penyebarannya, khusus menyerang Windows NT, 2000 dan XP. Lioten, yang kalau dibaca secara terbalik Net oil dibuat menggunakan bahasa pemrograman C ++ dan setiap kali beraksi akan berusaha menghubungkan dirinya ke IP (Internet Protocol) pada port 445/tcp (Server Message Block Service), port yang digunakan oleh Windows NT untuk berkomunikasi dengan jaringan. Sebenarnya dengan perlindungan firewall yang simple saja sudah dapat memblok serangan Lioten ini. Segera update antivirus anda agar dapat mengenali worm ini, Norman Virus Control sudah dapat mengenali W32/Lioten sejak tanggal 18 Desember 2002.

Lioten akan mencoba masuk ke C$, Admin$ atau IPC$ menggunakan password :

"admin"
"root"
"111"
"123"
"1234"
"123456"
"654321"
"1"
"!@#$"
"asdf"
"asdfgh"
"!@#$%"
"!@#$%^"
"!@#$%^&"
"!@#$%^&*"
"server"

dan memanfaatkan Anonymous null session yang terdapat pada windows NT dan windows 2000.

Jika berhasil Lioten mengkopikan dirinya ke dalam komputer dengan nama IRAQ_OIL.EXE pada direktori :

• \c$\winnt\system32\

• \Admin$\system32

serta kembali mengusahakan dirinya untuk dijalankan pada komputer lain.

Bagaimana mengetahui komputer anda telah terinfeksi :

Pada direktori c:\WINNT\SYSTEM#@ dan \ADMIN\SYSTEM32 akan anda temukan file IRAQ_OIL.EXE.

http://www.norman.com/virus_info/w32_lioten_a.shtml?menulang=no

LIOTEN

General characteristics

• Type: Worm
• Alias: W32/HLLW.Lioten
• Spreading mechanism: Network
• Destructivity: None
• Detected by virus detection files published: 18 Dec 2002
• Virus characteristics first published: 17 Dec 2002 14:41 (CET)
• Virus characteristics latest update: 18 Dec 2002 15:31 (CET)

Additional description of malicious program

Type

This is a network crawler that spreads over shares on NT networks. Users on Win9x/ME systems will not be affected.

Spreading mechanism

The worm generates random IP numbers and tries to connect to these on port 445/tcp. This is the port used for NT network sharing. It will try to log in to the C$, Admin$ or IPC$ shares using standard passwords:

"admin"
"root"
"111"
"123"
"1234"
"123456"
"654321"
"1"
"!@#$"
"asdf"
"asdfgh"
"!@#$%"
"!@#$%^"
"!@#$%^&"
"!@#$%^&*"
"server"

If this is succesful, it will copy itself over as iraq_oil.exe, and add the file as a scheduled task to be run on the remote computer.

Vaksin.com

W32/Avril.A@mm     8 Januari 2003 Worm berbahaya yang dapat menyebar melalui jaringan Tipe                              : Worm Alias                             : W32/Naith.A, WORM_LIRVA.A, W32/Avril.A, W32/Lirva.b@MM Penyebaran                   : Email, jaringan, IRC, Kazaa Sistem yang terinfeksi    : Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me   Setelah Anna Kournikova yang cukup sukses, banyak worm berusaha menyebarkan dirinya dengan menggunakan nama selebritis seperti Britney Spear, Bill Clinton dan Jennifer Lopez tetapi tidak ada yang mampu menyebar dengan meluas menandingi AnnaKournikova karena unsur kejutannya sudah hilang. Tetapi pada hari Rabu, tanggal 8 Januari 2003 pagi (WIB) Vaksincom mengamati munculnya worm baru dengan nama Lirva yang merupakan kebalikan dari Avril dan secara terang-terangan dalam aksinya worm tersebut memaksa browser korbannya mengakses website www.avril-lavigne.com. Menurut analisa Vaksin.com worm ini perlu diwaspadai dan cukup berpotensi menjadi masalah karena memiliki kemampuan menyebar melalui jaringan lokal. Walaupun worm ini memiliki kelemahan attachmentnya mudah di blok, tetapi beberapa sifatnya menyebabkan ia perlu diwaspadai dan berpotensi menginfeksi komputer anda antara lain : Memiliki kemampuan menyebar memanfaatkan email, IRC, ICQ dan Kazaa. Memiliki kemapuan menyebar melalui open share dalam jaringan lokal. Menonaktifkan program antivirus dan firewall sehingga menyebabkan komputer korbannya rentan terhadap serangan. Memanfaatkan Iframe exploit sehingga dapat aktif secara otomatis walaupun lampiran email tidak diklik (khusus untuk pengguna IE 5.5 dan 5.0). Massmailing worm, akan mengirimkan dirinya dalam jumlah yang besar dari tiap komputer yang terinfeksi sehingga berpotensi mengganggu bandwidth dan aktivitas perusahaan. Mampu menyembunyikan aktivitasnya di windows 9X/ME (tidak telihat aktivitasnya di task list). Mencuri password.   W32.Lirva.A merupakan worm yang menyebar melalui aplikasi jaringan seperti IRC, ICQ, Kazaa dan network shares yang ada. Worm ini akan mematikan fungsi kerja dari antivirus dan program-program firewall yang ada dalam suatu komputer. Untuk email yang menggunakan dial-up di Windows 95/98/Me akan menyimpan password dial yang ada. Worm mass-mailing ini ditulis menggunakan bahasa C dan dikompresi menggunakan UPX menjadi file yang berukuran 32766 bytes. Sewaktu sistem operasi dijalankan, worm ini akan mengkopi di direktori system windows dan akan memberikan suatu nama yang acak. Dan hal ini juga akan dikerjakan pula di direktori root dan direktori TEMP. Proses ini tidak bisa terlihat di task list Win9x/ME, karena dikopikan dalam sistem file yang disembunyikan, seperti : %Temporary%\<random string> %Temporary%\<random string>.tft %System%\<random string>.exe %All Drives%\Recycled\<random string>.exe %Kazaa Downloads%\<random string>.exe Dengan segera worm akan mencari local file yang ada di alamat email yang tersimpan di Address Book Windows yang akan dikirimkan balik ke dirinya sendiri. Dan akan ditambahkan pula kopian dari worm ini ke network drive yang di share yang dikirim menggunakan aplikasi IRC dan ICQ. Hal yang sama akan dikerjakan juga apabila suatu direktori di share jika aplikasi Kazaa diinstall. Pengguna Norman Virus Control sudah terlindung dari Lirva pada update tanggal 7 Januari 2003, jangan lupa set Norman virus Control untuk melakukan update secara otomatis setiap hari sehingga definisi antivirus anda selalu terupdate.   Mekanisme penyebarannya :   Penyebaran worm ini biasanya dapat diketahui dari isi email yang terkirim maupun isi dari aplikasi jaringan  yang selalu terkoneksi, seperti IRC, ICQ.   Variasi subyek email yang mengandung worm ini:   Fw:Prohibited customers Re: Brigade Ocho Free membership Re: According to Daos Summit Fw: Avril Lavigne - the best Re: Reply on account for IIS-Security Re: ACTR/ACCELS Transcriptions Re: The real estate plunger Fwd: Re: Admission procedure Re: Reply on account for IFRAME-Security breach Fwd: Re:Reply on account for Incorrect MIME-header   Dan isi pesan yang biasa ditampilkan berupa:   Microsoft has identified a security vulnerability in Microsoft&reg; IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support. Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below   Variasi attachment yang terinfeksi worm:   Resume.exe Download.exe MSO-Patch-0071.exe MSO-Patch-0035.exe Two-Up-Secretly.exe Transcripts.exe Readme.exe AvrilSmiles.exe AvrilLavigne.exe Complicated.exe Singles.exe Sophos.exe Cogito_Ergo_Sum.exe CERT-Vuln-Info.exe Sk8erBoi.exe IAmWiThYoU.exe   Mail body, subyek, dan attachments dari suatu email akan menjadi sebagai variabel dalam penyebarannya dan sebagian diletakkan di option yang ada dalam email. Apabila worm menyebar melalui email, user yang terinfeksi hanya user yang menggunakan aplikasi Outlook/Outlook Express. Hal ini dikarenakan adanya celah keamanan dari MIME header yang akan meyebabkan IE menjalankan E-mail Attachment secara otomatis. Sebagai bagian utama yang digunakan dalam pengiriman email, worm akan membuat sebuah file temporary di %Temporary%\NewBoot.sys, dan akan menghapusnya. Sedangkan untuk aplikasi ICQ file Icqmail.dll akan dikopikan ke folder \Windows\System dan akan mengirimkan ke semua contact list yang ada. Untuk program yang menggunakan mIRC dibuat sebuah file Script.ini di folder program file mIRC. File ini akan menghubungkan channel IRC #avrillavigne dan akan mengirimkan virus kesemua anggota yang ada dalam channel / server tersebut. Apabila dalam suatu jaringan terdapapt drive C yang di share, maka worm akan mengkopi ke file \Recycled\<random string>.exe di system remote  dan akan mengubah file Autoexec.bat untuk dijalankan pada waktu startup dengan menambahkan baris sebagai berikut : @win <random string>.exe, ini hanya dilakukan pada windows 95/98/ME. Atau kalau kita menggunakan aplikasi Kazaaa maka worm akan mengkopikan dirinya sebagai file acak ke folder download Kazaa.   Tingkat perusakan dari worm ini: Worm akan mencari file dan menghentikan proses yang berjalan dari program tersebut. Hampir semua file yang terinfeksi berhubungan dengan aplikasi antivirus yang ada. File-file yang dicari adalah file yang mengandung kata : virus, anti, McAfee, Virus, Anti, AVP, Norton. Dan aplikasi yang berhubungan dengan keamanan yang dimiliki oleh windows, seperti :   KPF.EXE KPFW32.EXE _AVPM.EXE AUTODOWN.EXE AVKSERV.EXE AVPUPD.EXE BLACKD.EXE CFIND.EXE CLEANER.EXE ECENGINE.EXE F-PROT.EXE FP-WIN.EXE IAMSERV.EXE ICLOADNT.EXE IFACE.EXE LOOKOUT.EXE N32SCAN.EXE NAVW32.EXE NORMIST.EXE PADMIN.EXE PCCWIN98.EXE RAV7WIN.EXE SCAN95.EXE SMC.EXE TCA.EXE VETTRAY.EXE VSSTAT.EXE ACKWIN32.EXE AVCONSOL.EXE AVPNT.EXE AVPDOS32.EXE AVSCHED32.EXE BLACKICE.EXE EFINET32.EXE CLEANER3.EXE ESAFE.EXE F-PROT95.EXE FPROT.EXE IBMASN.EXE ICMOON.EXE IOMON98.EXE LUALL.EXE NAVAPW32.EXE NAVWNT.EXE NUPGRADE.EXE PAVCL.EXE PCFWALLICON.EXE RESCUE.EXE SCANPM.EXE SPHINX.EXE TDS2-98.EXE VSSCAN40.EXE WEBSCANX.EXE WEBSCAN.EXE ANTI-TROJAN.EXE AVE32.EXE AVP.EXE AVPM.EXE AVWIN95.EXE CFIADMIN.EXE CLAW95.EXE DVP95.EXE ESPWATCH.EXE F-STOPW.EXE FRW.EXE IBMAVSP.EXE ICSUPP95.EXE JED.EXE MOOLIVE.EXE NAVLU32.EXE NISUM.EXE NVC95.EXE NAVSCHED.EXE PERSFW.EXE SAFEWEB.EXE SCRSCAN.EXE SWEEP95.EXE TDS2-NT.EXE VSECOMR.EXE WFINDV32.EXE AVPCC.EXE _AVPCC.EXE APVXDWIN.EXE AVGCTRL.EXE _AVP32.EXE AVPTC32.EXE AVWUPD32.EXE CFIAUDIT.EXE CLAW95CT.EXE DV95_O.EXE DV95.EXE F-AGNT95.EXE FINDVIRU.EXE IAMAPP.EXE ICLOAD95.EXE ICSSUPPNT.EXE LOCKDOWN2000.EXE MPFTRAY.EXE NAVNT.EXE NMAIN.EXE OUTPOST.EXE NAVW.EXE RAV7.EXE SCAN32.EXE SERV95.EXE TBSCAN.EXE VET95.EXE VSHWIN32.EXE ZONEALARM.EXE AVPMON.EXE AVP32.EXE   Worm ini juga akan dapat menampilkan dirinya dalam sebuah grafik dan mengarahkan web browser ke alamat www.avril-lavigne.com pada setiap tanggal 7, 11, dan 24 setiap bulannya. Grafik yang ditampilkan seperti dibawah ini :      Beberapa saran untuk mengantisipasi worm : Matikan service yang tidak diperlukan, seperti: FTP server, telnet, dan Web server. Karena hal ini membuka peluang celah keamanan yang tidak dijaga. Untuk jaringan dalam jumlah besar sebaiknya lindungi service yang ada, non aktifkan, atau kalau perlu lakukan blok akses. Update patch yang baru dari setiap aplikasi yang digunakan terutama yang menyangkut service dari host umum, seperti : HTTP, FTP, mail, dan DNS service. Amankan password yang anda gunakan, kalau perlu gunakan aplikasi keamanan yang ada di jaringan. Jalankan konfigurasi mail server untuk memblok atau menghapus email yang berisi file attachment yang umum digunakan virus untuk menyebarkannya, seperti : .vbs, .bat, .exe, .pif dan .scr Jauhkan komputer yang terkena virus dari komputer lain, guna menghindari penyebaran lebih lanjut dari worm ini. Scan terlebih dahulu file-file download sebelum file tersebut dijalankan.    Penghapusan virus : Jalankan scan file dengan menggunakan antivirus yang ada untuk menghapus file-file yang terinfeksi. Hapus file Avril Lavigne - Muse from the registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. dengan menjalankan regedit In English General characteristics Type: Worm Alias: W32/Naith.A, WORM_LIRVA.A,W32/Avril.A Spreading mechanism: Email, network, IRC, other Email characteristics: Subject: Variable Body: Variable Attachment: Variable Destructivity: Medium Payload: Disrupts antivirus software Detected by virus detection files published: 07 Jan 2003 Virus characteristics first published: 07 Jan 2003 22:39 (CET) Virus characteristics latest update: 08 Jan 2003 00:18 (CET) Additional description of malicious program Type This is a mass-mailing worm, written in C and compressed using UPX to a file size of 32766 bytes. When run, it copies itself to the Windows System directory, under a random name. It will also make copies of itself in the root directory and in the TEMP directory. It will not be visible in the task list under Win9x/ME. The worm searches local files as well as the Windows Address Book for email addresses to send itself to. In addition it attempts to copy itself over shared network drives, and to send itself over IRC and ICQ. It will also copy itself into the shared files directory if the file sharing software Kazaa is installed. Spreading mechanism The subject of the email varies according to the list below: Fw: Prohibited customers Re: Brigade Ocho Free membership Re: According to Daos Summit Fw: Avril Lavigne - the best Re: Reply on account for IIS-Security Re: ACTR/ACCELS Transcriptions Re: The real estate plunger Fwd: Re: Admission procedure Re: Reply on account for IFRAME-Security breach Fwd: Re:Reply on account for Incorrect MIME-header The attachment name varies according to the list below: Resume.exe Download.exe MSO-Patch-0071.exe MSO-Patch-0035.exe Two-Up-Secretly.exe Transcripts.exe Readme.exe AvrilSmiles.exe AvrilLavigne.exe Complicated.exe Singles.exe Sophos.exe Cogito_Ergo_Sum.exe CERT-Vuln-Info.exe Sk8erBoi.exe IAmWiThYoU.exe Mail body is also variable, put together from a few options. When the worm spreads via email the user(s) may be infected by only previewing or opening the mail in Outlook/Outlook Express. This is accomplished using a known security hole "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment". Information and patch is available from: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp The security hole is a known issue with Internet Explorer versions 5.01 and 5.5 without SP2 . Users who have this configuration should apply the available patch. Destructivity and Payload The worm enumerates and kills processes belonging to these programs: KPF.EXE KPFW32.EXE _AVPM.EXE AUTODOWN.EXE AVKSERV.EXE AVPUPD.EXE BLACKD.EXE CFIND.EXE CLEANER.EXE ECENGINE.EXE F-PROT.EXE FP-WIN.EXE IAMSERV.EXE ICLOADNT.EXE IFACE.EXE LOOKOUT.EXE N32SCAN.EXE NAVW32.EXE NORMIST.EXE PADMIN.EXE PCCWIN98.EXE RAV7WIN.EXE SCAN95.EXE SMC.EXE TCA.EXE VETTRAY.EXE VSSTAT.EXE ACKWIN32.EXE AVCONSOL.EXE AVPNT.EXE AVPDOS32.EXE AVSCHED32.EXE BLACKICE.EXE EFINET32.EXE CLEANER3.EXE ESAFE.EXE F-PROT95.EXE FPROT.EXE IBMASN.EXE ICMOON.EXE IOMON98.EXE LUALL.EXE NAVAPW32.EXE NAVWNT.EXE NUPGRADE.EXE PAVCL.EXE PCFWALLICON.EXE RESCUE.EXE SCANPM.EXE SPHINX.EXE TDS2-98.EXE VSSCAN40.EXE WEBSCANX.EXE WEBSCAN.EXE ANTI-TROJAN.EXE AVE32.EXE AVP.EXE AVPM.EXE AVWIN95.EXE CFIADMIN.EXE CLAW95.EXE DVP95.EXE ESPWATCH.EXE F-STOPW.EXE FRW.EXE IBMAVSP.EXE ICSUPP95.EXE JED.EXE MOOLIVE.EXE NAVLU32.EXE NISUM.EXE NVC95.EXE NAVSCHED.EXE PERSFW.EXE SAFEWEB.EXE SCRSCAN.EXE SWEEP95.EXE TDS2-NT.EXE VSECOMR.EXE WFINDV32.EXE AVPCC.EXE _AVPCC.EXE APVXDWIN.EXE AVGCTRL.EXE _AVP32.EXE AVPTC32.EXE AVWUPD32.EXE CFIAUDIT.EXE CLAW95CT.EXE DV95_O.EXE DV95.EXE F-AGNT95.EXE FINDVIRU.EXE IAMAPP.EXE ICLOAD95.EXE ICSSUPPNT.EXE LOCKDOWN2000.EXE MPFTRAY.EXE NAVNT.EXE NMAIN.EXE OUTPOST.EXE NAVW.EXE RAV7.EXE SCAN32.EXE SERV95.EXE TBSCAN.EXE VET95.EXE VSHWIN32.EXE ZONEALARM.EXE AVPMON.EXE AVP32.EXE The worm may under certain circumstances display a graphical image: Further comments The worm sometimes writes out a small information file, Avril-II.inf, which contains a text statement from the author. Sources : Norman, Norton, Sophos and Avril Lavigne website. This articel is provided by team of : PT. Vaksincom Rifa Building 4th floor Prof. Dr. Satrio block C4 / 6-7 Jakarta 12950 Indonesia Phone : 62 21 526-0787 Fax : 62 21 526-0852 Email : info@...

W32/Explorezip.N@mm  9 Januari 2003

Worm lama dengan kompresi baru, berbahaya !!

Rupanya para pembuat virus tidak mau kalah dengan Chrisye dan Sofia Latjuba yang menyanyikan kembali lagu Kangennya group musik Dewa. Pada tanggal 8 Januari 2003, Explorezip sebuah worm yang pernah sangat ngetop di jamannya 3,5 tahun yang lalu tepatnya awal Juni 1999 dikompres dengan teknik baru dan disebarkan kembali ke internet. Vaksin.com sendiri pada tanggal 9 Januari 2003 menerima puluhan laporan infeksi Explorezip.N di Indonesia dan segera mengeluarkan peringatan pada para pengguna internet agar berhati-hati jika menerima lampiran ZIPPED_FILES.EXE dan jangan sekali-kali mengaktifkan walaupun anda memiliki program antivirus karena kompresi baru teersebut tidak dapat dikenali oleh program antivirus dengan update < 9 Januari 2003.

Kesaktian Explorezip.N mengelabui program antivirus terbukti di Indonesia karena menurut pengamatan Vaksin.com email tersebut masuk dari mailserver salah satu ISP terbesar di Jakarta yang sudah menggunakan program antivirus. Memang dalam beberapa kasus, virus dapat menyebar lebih cepat dari kemampuan antivirus mengenalinya. Karena itu Vaksin.com menyarankan agar para pengguna komputer bijaksana dalam memilih program antivirus dan tidak terbuai oleh nama besar atau harga yang murah tetapi lebih pada kehandalan program antivirus tersebut untuk melakukan update secara otomatis setiap hari tanpa keterlibatan manusia.

Email yang mengandung Explorezip.N akan datang dengan perincian sebagai berikut :

• Subject: Subject: Hi <recipient name>
• Body:
  I received your email and I shall send you a reply ASAP.
  Till then, take a look at the attached zipped docs.
  bye (or sincerely) <sender name>
  Attachment: ZIPPED_FILES.EXE

Explorezip.N di kompres sehingga ukurannya menjadi 91 kilobite, lebih kecil dari Explorezip yang lama sebesar 230 kilobite. Walaupun payload Explorezip.N sama dengan Explorezip (yang seharusnya dapat dengan mudah di deteksi oleh program antivirus dengan heuristicnya) namun karena kompresi UPX yang digunakan mengakibatkan program antivirus tidak dapat mengenali Explorezip.N tanpa melakukan update terlebih dahulu.

Explorezip.N dapat menyebar melalui jaringan dan dapat menginfeksi Windows NT maupun Windows 9X.

Menghapus data penting

Salah satu aksi Explorezip yang sangat memusingkan adalah kemampuannya untuk menghancurkan data komputer anda. Data komputer tidak dihapus seperti virus lain (karena data yang dihapus dapat dikembalikan dengan mudah melalui proses undelete) tetapi data tersebut dihancurkan dengan perintah CreateFile() dan memberikan nama yang sama dengan file yang ada dan ukurannya 0 (nol) bite.

Adapun data yang "dikerjai" oleh Explorezip.N adalah :

DOC - Microsoft Word
XLS - Microsoft Excel
PPT - Microsoft PowerPoint
ASM - Assembler
CPP - C++
C - file C
H - header C

Bagaimana mengatasinya jika saya telah terinfeksi

Jika komputer anda terinfeksi oleh Explorezip, lakukan langkah-langkah dibawah ini untuk membersihkan komputer anda :

1. Lepaskan hubungan komputer ke jaringan.

2. Matikan proses Explorezip di memory dengan cara buka Task Manage (Ctrl Alt Del) dan nonaktifkan (End Task) proses :

   • zipped_files.exe

   • Explore.exe

   • _setup.exe

   PENTING : Proses yang dinonaktifkan (End Task) adalah Explore.exe dan BUKAN Explorer.exe (yang ini merupakan komponen windows).

3. Hapus file _setup.exe dan Explore.exe dari direktori windows, biasanya c:\windows\system

4. Windows NT.

   Benarkan registri yang dirubah oleh Explorezip dengan menggunakan Regedit (harap back up dulu registri anda sebelum melakukan regedit guna menghindari windows anda crash karena salah mengedit registri). Hapus kata Explore.exe dan _setup.exe dalam registri :

    

   HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run = Explore.exe

   HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run = _setup.exe

    

5. Windows 9X

   Buka file WIN.INI (di c:\windows) dan hapus semua perintah dan referensi ke _setup.exe dan Explore.exe

6. Restart komputer anda.

7. Lakukan langkah 1 - 6 pada semua komputer dalam jaringan untuk menghindari nfeksi ulang.

Jika komputer anda memiliki data yang penting dan telah dihancurkan oleh Explorezip.N, langkah yang dapat anda ambil untuk menyelamatkan data anda adalah :

• Segera matikan komputer anda dan jangan dinyalakan karena dengan menjalankan windows saja, swap file (temporary file) yang diciptakan oleh windows setiap kali aktif akan menempati ruang harddisk dan menghapus data yang dapat diselamatkan.

• Hubungi ahli data recovery untuk mengembalikan data anda.

In English

General characteristics

• Type: Worm
• Spreading mechanism: Email
• Email characteristics:
  • Subject: Hi <recipient name>
  • Body:
    I received your email and I shall send you a reply ASAP.
    Till then, take a look at the attached zipped docs.
    bye (or sincerely) <sender name>
  • Attachment: zipped_files.exe
• Destructivity: Medium
• Detected by virus detection files published: 10 Jun 1999
• Virus characteristics first published: 10 Jun 1999 00:00 (CET)
• Virus characteristics latest update: (CET)

Additional description of malicious program

Spreading mechanism

Attachment size is 210432 bytes.

When the worm is executed, it does the following:

Destructivity and Payload

The worm searches through all drives every time it is executed, also network mapped drives, for files with the extension .h, .c, .cpp, .asm, .doc, .xls, and .ppt. When such a file is found, it corrupts it by making it 0 bytes long. Thus a lot of Microsoft Office documents and source code files for assembler and C programs will be lost.

Detection and removal

Edit the line run= in WIN.INI (default location is C:\WINDOWS) and remove the reference to EXPLORE.EXE or _SETUP.EXE.

Then delete the files EXPLORE.EXE or _SETUP.EXE from Windows' System directory (default is C:\WINDOWS\SYSTEM).

NOTE: These files will probably be running as active tasks. This means that they cannot be removed directly, but that you will have to do a reboot first before trying deletion.

Remove the registry key:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
  CurrentVersion\Windows\Run = Explore.exe

or

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
  CurrentVersion\Windows\Run = _setup.exe

Then remove the files as described for Win95/98.

W32/Sobig.A@mm 13 Januari 2003

Email dari Big Boss, berbahaya !!

Pengantar

Tidak diketahui sebabnya mengapa pada bulan januari 2003 ini banyak virus ganas menyebar. Setelah Yaha.M, Lirva.A dan C, Explorezip.N, hari Sabtu tanggal 11 Januari virus baru dengan nama W32/Sobig.A@mm meningkat penyebarannya dan dalam waktu dua hari pada tanggal 13 Januari 2003 langsung menempati peringkat 3 sebagai virus yang paling banyak dihentikan oleh MessageLabs. Sebenarnya virus ini tidak tergolong virus panjang umur seperti Klez.H atau keluarga Yaha dan Vaksin.com memperkirakan virus ini tidak akan bertahan lama. Tetapi karena unsur barunya dan banyaknya virus baru pada minggu lalu membuat para vendor antivirus kewalahan untuk melakukan update beberapa kali dalam seminggu, minggu penuh lembur untuk vendor antivirus. Padahal biasanya update definisi antivirus terjadi seminggu sekali. Kami sarankan anda segera update software antivirus anda untuk dapat mengenali virus ini dan para admin yang belum memblok attachment .pif agar segera membloknya karena Sobig akan datang dalam bentuk attachment .PIF. Sobig perlu diwaspadai karena :

1. Massmailing worm.

2. Dapat menyebar melalui jaringan.

3. Memiliki smtp sendiri untuk menyebarkan dirinya.

Informasi worm

Tidak seperti worm lainnya worm ini tidak mempunyai alias dalam penyebarannya. Worm ini dibuat menggunakan bahasa C tetapi untuk eksekutable paketnya dikompresi menggunakan eLock, padahal biasanya virus menggunakan UPX untuk kompresi.

Bentuk Email :

From: big@...

Subject: salah satu dari dibawah ini :

Re: Movies
Re: Sample
Re: Document
Re: Here is that sample

Lampiran : 65,536 bytes dengan nama :
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif
 

Worm ini akan mencoba menduplikasikan menjadi sebuah file system yamng bernama winmgm32.exe.

Sobig juga berusaha menyebarkan dirinya ke jaringan dengan mengkopikan dirinya ke :

\Windows\All Users\Start Menu\Programs\StartUp\

atau

\Documents and Settings\All Users\Start Menu\Programs\Startup\

Anehnya worm ini akan meremote ke site

http://www.geocities.com/??????/??teral.txt yang kemungkinan berisi suatu pesan. Worm memanfaatkan addrees list yang ada di aplikasi mail untuk menyebar ke email lain.

Penanganan :

Penganananya seperti biasa dengan mengubah registri yang ada di windows dengan HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Run\WindowsMGM

Atau dapat juga kita mencari file yang bernama reteral.txt di komputer kita kemudian kita menghapusnya.

Jika anda administrator mailserver, anda dapat mencegah Sobig masuk ke mailbox dengan cara :

1. Blok semua lampiran .pif dari mailserver anda.

2. Blok semua email dari big@...

salam,

Vaksincom

Menyelamatkan data Explorezip 17 Januari 2003

Vaksincom membantu menyelamatkan data korban Explorezip

Tenang tapi menghanyutkan, begitulah peribahasa yang pantas untuk worm Explorezip.N yang muncul pada tanggal 9 Januari 2003. Pada awalnya Vaksin.com hanya menerima puluhan laporan komputer korporat yang positif terinfeksi explorezip.N yang memiliki kemampuan menyulap data MS Office di harddisk menjadi 0 KB. Tetapi sampai dengan hari Senin 20 Januari 2003, Vaksin.com menerima konfirmasi bahwa ribuan komputer di Indonesia positif terinfeksi Explorezip.N dan data produktif di harddisknya yang dihancurkan oleh Explorezip terutama adalah file MS Word dan Excel.

Sampai dengan saat berita ini dimuat, jumlah harddisk yang datang ke Vaksin.com untuk di recover terus bertambah. Dari perusahaan konstruksi, peralatan teknik, bumbu masak, kimia sampai perusahaan jasa keuangan. Hal ini menunjukkan keseriusan penyebaran Explorezip.N di Indonesia. Celakanya, pada salah satu perusahaan yang terinfeksi Explorezip.N dan datanya dijadikan 0 (nol), Vaksin.com mendapati bahwa perusahaan tersebut sudah menggunakan program antivirus terkenal di jaringannya yang secara berkala mengupdate definisi antivirusnya ke server di Amerika setiap hari. Tetapi seperti kita ketahui dalam kasus Explorezip.N ini vendor antivirus kecolongan karena Explorezip.N ini menyebar lebih cepat 12 jam daripada definisi antivirus yang tercepat. Vaksin.com sendiri memberikan layanan khusus bagi pelanggannya yang menjadi korban Explorezip.N dengan memberikan diskon khusus sebesar 50 % untuk jasa Data Recovery dan Gratis pembersihan virus di seluruh jaringan komputer perusahaan yang dilakukan oleh teknisi Vaksin.com. Hal ini terbukti sangat membantu bagi perusahaan karena salah satu perusahaan yang menggunakan jasa antivirus tanpa dukungan teknisi membutuhkan waktu 10 hari untuk mengatasi masalah ini dan akhirnya terpaksa memformat beberapa harddisk yang terinfeksi demi kelangsungan jalannya perusahaan.

Tingkat keberhasilan Recovery

Tingkat keberhasilan recovery sangat tergantung pada perlakuan pemilik komputer terhadap komputer yang terinfeksi virus. Makin sering komputer yang mengandung data dinyalakan kembali setelah datanya dihancurkan oleh virus, makin rendah tingkat recoverynya. Sebaliknya makin cepat komputer yang terinfeksi Explorezip.N dimatikan dan dikirimkan ke Vaksin.com, makin tinggi tingkat recovery. Tingkat recovery sangat bervariasi, tergantung dari :

• Ukuran ruang kosong di harddisk, makin besar ruang kosong yang tersisa tingkat recovery makin tinggi.

• Komputer tidak dinyalakan, makin sering dinyalakan, tingkat recovery makin rendah.

• Ukuran swap file windows, kamin besar ukuran swap file windows, tingkat recovery makin rendah. (tetapi ukuran swap file yang kecil akan menyebabkan windows menjadi pelan).

Pada satu kasus dimana Vaksin.com diminta untuk merecover semua file MS Office dan My Documents, pada harddisk sebelum direcover ditemukan 342 file MS Excel, dimana 332 file berukuran 0 KB dan 10 file yang belum sempat dihancurkan oleh virus. Setelah proses recovery selama 12 jam, Vaksin.com berhasil mengembalikan 278 file  atau tingkat recovery 83.73 %.

Jika anda menjadi korban Explorezip.N dan ingin mengetahui kemungkinan penyelamatan data anda, silahkan kirimkan fisik harddisk yang mengandung data dan terinfeksi Explorezip.N ke Vaksin.com. Vaksin.com mengenakan biaya Rp. 100.000,- untuk pengecekan dan analisa awal atas harddisk. Setelah mendapatkan kepastian recovery, Vaksin.com akan menginformasikan perkiraan biaya recovery. Untuk informasi lebih lanjut silahkan email ke info@... .

salam,

Vaksin.com

W32/SQL.Slammer.A 27 Januari 2003

Slammer melumpuhkan infrastruktur internet Indonesia

Alias : Sapphire, W32.SQLExp.Worm, DDOS_SQLP1434.A, SQLP1434.A, W32.SQLExp.Worm, Worm.SQL.Helkern, DDOS_SQLP1434.A, Slammer, New SQL Worm.

Sistem yang terancam : Windows 98, Windows ME, Windows NT, Windows 2000 dan Windows XP yang menginstall SQL Server 2000 atau MSDE 2000 (Microsoft Data Engine)

Bulan Januari jelas bukan merupakan bulan yang menyenangkan bagi pada pengguna komputer, setelah pengguna komputer diserang oleh beberapa worm baru secara berurutan minggu lalu. Hari Sabtu 25 Januari 2003 administrator web yang menggunakan server Windows 2000 dan menginstall SQL Server 2000 pada hari Sabtu tanggal 25 Januari 2003 mengalami Ddos pada servernya. Tiga perusahaan webhosting yang cukup ternama di Indonesia yang terkoneksi ke IDC mengalami kondisi down servernya karena serangan DDos yang mengakibatkan ke tiga komputer tersebut menjadi lumpuh. Traffic yang dihasilkan oleh Slammer bukan main-main, router seklas Cisco 3600 yang termasuk middle class switch tidak mampu menampung bandwidth yang dihasilkan Slammer sehingga mau tidak mau hubungan server ke router harus di cabut dan baru dikoneksikan kembali setelah Slammer dibasmi dan SQL Server dipatch. Lain lagi cerita yang didapatkan oleh Vaksin.com pada hari Senin tanggal 27 Januari 2003, beberapa pelanggan dial- up ISP yang berkantor pusat di Bandung mendadak mengirimkan paket dalam jumlah luar biasa dan mengakibatkan gangguan koneksi pada ISP yang besangkutan. Virus ini bukan merupakan mass mailer dan hanya menyebarkan dirinya melalui scanning port 1434. Pada saat berita ini diturunkan, kegiatan scanning Slammer yang terdeteksi sebagai serangan atas port 1434 menduduki peringkat pertama atas semua kegiatan scanning port di internet yang dipantau oleh wormwatch (www.wormwatch.org).

Virus ini menyebar hanya melalui proses yang ada dalam memori Microsoft SQL Server 2000 dan Microsoft SQL Server Desktop Engine (MSDE) yang di tidak di patch. Virus ini hampir sama proses kerjanya dengan CodeRed virus yang pernah terjadi di tahun 2001. Dan juga tidak menggunakan registri sebagai media untuk merusak sistem komputer yang ada. Keamanan terhadap server sangat diperlukan disini.

Slammer memanfaatkan celah keamanan yang ditemukan oleh Next Generation Security Software Limited pada bulan Juli 2002 dimana dengan memanfaatkan celah keamanan ini (buffer overflow), penyerang dapat menguasai SQL Server dan kode pemrograman yang berhasil dimasukkan akan dapat berjalan sebagai SYSTEM karena hak dari MS SQL Server di dalam komputer adalah system. Serangan ini mengakibatkan dampak yang lumayan parah karena SQL Server merupakan program Database andalan Microsoft yang sangat populer. Sampai berita ini diturunkan, dikonfirmasikan sudah lebih dari 50.000 komputer terinfeksi Slammer di 200 negara termasuk Indonesia.

Slammer tidak mengandung kegiatan yang dapat merusak data dan tidak menuliskan dirinya ke harddisk, tetapi kegiatannya menyebarkan dirinya akan mengakibatkan kelumpuhan infrastruktur internet.

Mekanisme penyebaran :

Slammer menyebar dengan cara menghubungkan port  UDP 1434 ke semua komputer secara acak.  Port ini digunakan oleh aplikasi Microsoft SQL Server 2000. Tutup port ini untuk mengamankan diri anda dari serangan Slammer.

Virus ini hanya berjalan menggunakan Microsoft SQL Server 2000 dan juga MSDE 2000 - Microsoft Data Engine 2000.  Sebagai tambahan worm ini akan menyerang aplikasi tambahan lain yang di install di Microsoft SQL Server atau MSDE 2000, seperti:

• Microsoft Biztalk Server
• Microsoft Visual Studio.NET
• Microsoft .NET Framework SDK
• Microsoft Visio 2000
• Microsoft Office XP Developer Edition
• Microsoft Visual FoxPro
• Microsoft Project
• Compaq Insight Manager
• Dell OpenManage
• HP Openview Internet Services Monitor
• Websense
• Veritas Backup Exec
• WebBoard
• Crystal Reports Enterprise
• McAfee Centralized Virus Admin
• McAfee Epolicy Orchestrator

Patching merepotkan :

Vaksin.com yang mencoba melakukan patching atas beberapa komputer dari pelanggan mendapatkan kesan bahwa tugas ini agak merepotkan dan sedikit rumit dibandingkan kegiatan patching biasa. Jika dalam melakukan patching pengguna hanya perlu melakukan double klik atas satu file, maka dalam patching SQL Server ini harus dilakukan tindakan menonaktifkan SQL Server, meletakkan file patching pada direktori tertentu dan baru kemudian mengaktifkan SQL server kembali. Untuk mendapatkan patch silahkan masuk ke  http://www.microsoft.com/technet/security/bulletin/MS02-061.asp besarnya file patch (tidak termasuk Service Pack 2 adalah 164 KB.

Patching atas SQL Server juga "hanya" dapat berjalan jika anda sudah menginstall Service Pack 2 pada SQL Server anda. Jika anda belum menginstall Service Pack 2, lebih baik anda langsung menginstall Service pack 3 dengan melakukan download langsung ke website Microsoft. Ukuran total Service Pack 3 adalah 150 MB. Tindakan darurat yang dapat anda lakukan untuk sementara untuk mengatasi Slammer pada SQL Server anda jika anda belum sempat melakukan update patch adalah dengan melakukan blocking pada UDP port 1434.

Vaksin.com akan dalam artikel yang berikut akan memberikan langkah-langkah menjalankan patching atas SQL Server anda.

salam,

Vaksin.com

Instalasi Patch Microsoft SQL Server 2000 28 Januari 2003

Untuk proses patch yang akan dilakukan di Microsoft SQL Server, pertama-tama yang perlu diketahui adalah Service Pack dari SQL Server itu sendiri. Yang dibutuhkan disini minimal SQL Server Service Pack 2.

Vaksin.com menyarankan anda anda untuk menggunakan Service Pack 3. Jika anda menginstall Service Pack 3, anda tidak perlu melakukan patching lagi karena sudah dimasukkan ke dalam Service Pack 3.

Langkah di bawah ini hanya anda lakukan jika anda mengalami kesulitan mendownload Service Pack 3 yang ukurannya 150 MB dan anda sudah menggunakan Service Pack 2.

Langkah-langkah yang dikerjakan.

• Install SQL Server 2000 Service Pack 2. Jangan jalankan aplikasi lain selama instalasi.
• Matikan service Microsoft SQL Server dan Microsoft SQL Server Agent Lihat gambar).

Gambar matikan service SQL server

Gambar service SQL server agent

• Untuk menghindari terjadinya kesalahan pada waktu instalasi sebaiknya file dibackup dulu, yaitu file : c:\<direktori_instalasi_SQL_server>\Binn\ssnetlib.dll dan file c:\<direktori_instalasi_SQL_server>\Binn\dll\ssnetlib.pdb jika file tersebut ada.

Gambar buat backup file ssnetlib.dll

• Copy file ssnetlib.dll dari file esktrakan ke file c:\<direktori_instalasi_SQL_server>\Binn\

Gambar paste file ssnetlib.dll ke C:\Program Files\Microsoft SQL Server\MSSQL\Binn

• Copy file ssnetlib.pdb dari file ekstrakan ke file c:\<direktori_instalasi_SQL_server>\Exe

Gambar paste ssnetlib.pdb ke C:\Program Files\Microsoft SQL Server\MSSQL\Binn\Exe

• Jalankan ulang Microsoft SQL Server dan SQL Server Agent services.

Gambar matikan service SQL server

• Apabila terjadi kesalahan dalam dalam proses instalasi, jalankan ulang langkah ketiga.

Lokasi download Service Pack dan Patch :

Update Patch untuk SQL Server dapat di download dari (anda tidak perlu menginstall patch lagi jika menjalankan Service Pack 3):

http://download.microsoft.com/download/SQLSVR2000/Patch/Q323875/W98NT42KMeXP/EN-US/Q323875_SQL2000_SP2_en.EXE dengan ukuran file 163.1 Kb.

Sedangkan Service Pack 2 dapat di download di (ada 3 file yang perlu anda downlaod):

http://download.microsoft.com/download/SQLSVR2000/SP/8.00.0534.01/W98NT42KMeXP/EN-US/SQL2KSP2.exe dengan ukuran file 48.8 MB

http://download.microsoft.com/download/SQLSVR2000/SP/8.00.0534.01/W98NT42KMeXP/EN-US/SQL2KASP2.exe dengan ukuran file 38.4 Mb

http://download.microsoft.com/download/SQLSVR2000/SP/8.00.0534.01/W98NT42KMeXP/EN-US/SQL2KDeskSP2.exe dengan ukuran file 26.3 Mb

Service Pack 3 dapat di download dari (ada 3 file yang perlu anda download) :

http://download.microsoft.com/download/e/9/4/e943e32d-1e1c-4700-abd9-4b3df9c9c495/sql2kasp3.exe ukuran file 43.55 Kb

http://download.microsoft.com/download/e/9/4/e943e32d-1e1c-4700-abd9-4b3df9c9c495/SQL2KDeskSP3.exe ukuran file 68.45 Kb

http://download.microsoft.com/download/e/9/4/e943e32d-1e1c-4700-abd9-4b3df9c9c495/sql2ksp3.exe ukuran file 55.11 Kb

Penting :

Jika anda mendownload Service Pack 3, anda tidak perlu lagi melakukan Patch SQL Server lagi karena sudah termasuk dalam Service Pack 3.

salam,

Vaksin.com