Worm Blaster dan Sobig.F menjangkiti pengguna internet Indonesia     10 September 2003

Jika tahun 2001 di nobatkan sebagai The Year of Living Dangerously bagi pengguna internet karena serangan “duet” dua worm CodeRed dan Nimda, dimana CodeRed menyebabkan server internet Microsoft IIS Server saling melakukan scanning dengan masif dan sempat menyebabkan lumpuhnya infrastruktur internet Indonesia dan Nimda yang spesialis menyerang email dan jaringan lokal pengguna internet.

Maka pada bulan Agustus 2003 ditemui duet serupa dengan munculnya Worm Blaster dan dan Sobig.F dimana Blastermenyebabkan semua komputer yang menggunakan sistem operasi (terutama) Windows XP / 2000 dan NT / 2003 saling melakukan scanning untuk menyebarkan dirinya dan Sobig.F menimbulkan dua masalah baru, yaitu bomb email bervirus dan spam peringatan virus pada mailserver.

Worm Blaster yang muncul perdana pada tanggal 12 Agustus 2003 dan variannya menyebabkan semua komputer Windows NT / 2000 / XP / 2003 saling melakukan scanning untuk menyebarkan dirinya. Beberapa pelanggan ISP yang menggunakan koneksi broadband cable modem paling merasakan penurunan performa bandwidth yang signifikan. Jika kasus CodeRed dapat diatasi dengan melakukan patching atas komputer server yang notabene mudah diakses oleh ISP, Blaster cukup sulit diatasi dan memerlukan usaha dan waktu yang sangat besar karena yang harus di patch adalah komputer pelanggan internet, baik pelanggan dial up maupun pelanggan broadband yang jumlahnya sangat banyak. Beberapa ISP bahkan sampai melakukan tindakan tegas untuk mematikan koneksi internet bagi pelanggan kabel modem yang tidak melakukan patching komputernya guna mencegah Blaster. Sedangkan Sobig.F yang muncul pada tanggal 19 Agustus 2003, menyebar melalui email dan memiliki kemampuan melakukan bom email. Sobig.F membawa korban mailserver korporat berguguran karena tidak mampu menangani datangnya email dalam jumlah yang sangat besar dan jumlahnya mencapai ribuan email dalam waktu singkat. Selain itu, program antivirus yang terinstal di mailserver yang secara otomatis mengirimkan peringatan atas adanya virus kepada email pengirim virus justru menimbulkan masalah baru karena email pengirim virus tersebut dipalsukan (forging) oleh Sobig.F dan menambahi bandwidth yang sudah penuh dengan spam email dan alamat email yang dipalsukan oleh Sobig.F tersebut aka n menerima bom email peringatan bahwa komputernya mengirimkan email bervirus.

Semua koneksi ISP Indonesia tercemar Blaster.

Menurut pemantauan yang dilakukan penulis pada hari awal September 2003, dimana penulis melakukan koneksi dial up ke 5 ISP di Jakarta CBN, Telkom, Indosat, Indonet dan Centrin. Setiap kali koneksi dial up dilakukan komputer yang kami gunakan selalu mendapatkan serangan pada port 135 dengan ukuran paket sebesar 48 dan dapat disimpulkan bahwa serangan dilakukan oleh Worm Blaster yang mengeksploitasi celah keamanan RPC Dcom (lihat gambar).

Selain itu, menurut scanning yang dilakukan pada saat yang sama pada IP dial up, terlihat bahwa s/d 40 % dari komputer dial up yang terkoneksi ke internet belum melakukan patching atas celah keamanan RPC Dcom dan kemungkinan besar sudah terinfeksi Blaster dan variannya. (lihat gambar)

RPC Dcom exploit adalah celah keamanan yang baru ditemukan pertengahan Juli 2003 pada produk Sistem Operasi Microsoft Windows NT / 2000 / XP / 2003 dimana celah keamanan ini memungkinkan penyusup dapat mengakses komputer yang mengandung celah keamanan tersebut tanpa perlu mengetahui Username atau Password yang biasa digunakan sebagai alat identifikasi untuk mengakses komputer. Yang dibutuhkan hanya program kecil dengan kode tertentu dan dengan mudah di dapatkan di internet. Sekali penyusup dapat mengakses komputer tersebut, banyak hal merugikan yang dapat dilakukan seperti mengkopi, merubah, menambahkan program backdoor sampai dengan menghapus isi harddisk.

Blaster adalah worm baru yang  menyebar melalui internet / jaringan komputer dan memiliki kemampuan memanfaatkan celah keamanan RPC Dcom untuk menyebarkan dirinya. Setiap komputer yang terhubung ke internet / jaringan dan belum melakukan patching (membenahi celah keamanan) RPC Dcom akan langsung terinfeksi oleh Blaster dan menjadi agen penyebaran Blaster itu sendiri. Salah satu gejala komputer terinfeksi Blaster adalah komputer meminta restart sendiri sewaktu terkoneksi ke internet.

Kebiasaan berkomputer yang aman masih belum dimiliki oleh pengguna internet Indonesia.

Apa yang menyebabkan Sobig.F dan Blaster dapat mengganas dan sampai saat ini bercokol sebagai virus nomor satu di kalangan pengguna internet dan menyedot bandwidth yang seharusnya dapat dipergunakan untuk hal-hal produktif hanya untuk menyebarkan dirinya. Sobig.F sebenarnya dapat diidentifikasi oleh program antivirus yang terupdate, Blaster dan variannya tidak akan dapat menginfeksi komputer yang secara teratur melakukan patch dan patch tersedia secara Gratis sejak pertengahan Juli 2003. Dengan kata lain, kedua virus ini dapat diatasi jika pengguna komputer menerapkan tindakan yang tepat pada komputernya dengan menginstal antivirus yang mengupdate secara otomatis ke internet dan melakukan patching otomatis pada komputernya.

Berbicara memang mudah, tetapi dalam kenyataannya jangankan komputer user yang menggunakan dial up, menurut pemantauan kami bahkan komputer server yang terkoneksi ke internet banyak yang tidak dilindungi dengna baik seperti tidak disiplin melakukan patch dan beberapa bahkan tidak dilindungi dengan firewall yang memungkinkan penyusup dengan mudah dapat mengidentifikasi dan menguasai komputer tersebut. Sampai saat artikel ini di buat, beberapa website milik pemerintah dan perusahaan besar seperti www.depkes.go.id dan www.disctarra.com masih belum melakukan patching atas RPC Dcom Exploit.

Solusi masalah ini tidak semudah menginstal antivirus dan menjalankan patch yang ukurannya 1 MB. Kebanyakan pengguna komputer tidak menyadari adanya masalah pada komputernya dan kalaupun menyadari masalah pada komputernya masih ada beberapa hambatan teknis seperti pada beberapa daerah di Indonesia dimana kecepatan koneksi internet sangat rendah sehingga memerlukan biaya dan usaha yang sangat besar untuk menginstall patch atau mengupdate program antivirus atau hambatan non teknis seperti takut menginstall patch karena menggunakan program bajakan dan kurangnya disiplin pengguna komputer untuk mengamankan komputernya secara reguler karena celah keamanan baru akan selalu ditemukan dan virus baru akan selalu bermunculan.

Solusi

Apapun kendalanya, yang jelas kerugian yang ditimbulkan oleh virus ini sudah sangat besar. Karena itu tindakan yang preventif dan kuratif untuk masalah virus dan sekuriti harus dilakukan. Tindakan kuratif yang dapat dilakukan untuk mengatasi Blaster dan Sobig.F saat ini adalah memberikan akses patch dan antivirus semudah mungkin bagi semua pengguna internet antara lain di setiap server ISP atau dalam bentuk CD yang harganya relatif murah tanpa perlu mendownload.

Sedangkan tindakan preventif yang perlu dilakukan adalah kampanye penggunaan internet yang aman seperti menggunakan program antivirus yang tepat dan memiliki kemampuan update ke internet secara otomatis, pengguna internet selalu mengikuti perkembangan ancaman terakhir. Hal ini perlu dilakukan secara berkesinambungan dan di dukung oleh semua pihak yang baik ISP, pengguna internet, vendor pemilik software, pers dan pemerintah.

Alfons Tanujaya

Antivirus Specialist PT. Vaksincom

Bulan Worm 2003     16 September 2003

Para pengguna komputer panik. ISP lumpuh. Mungkin ini adalah salah satu berita terbesar yang pernah dialami oleh kita semua para pengguna komputer di tahun 2003.  Dalam 1 minggu dari tanggal 12 Agustus sampai dengan 19 Agustus 2003 seluruh jaringan internet dunia hampir lumpuh total. Akses menjadi sangat lambat karena virus-virus worm yang mengganas. Adapun virus-virus tersebut adalah, W32/Blaster.A, W32/Nachi.A dan W32/Sobig.F@mm. Blaster dan Nachi menyerang para pengguna komputer dengan memanfaatkan celah keamanan yang ada di dalam Windows NT 4, Windows 2000, Windows XP dan Windows 2003. Pertama-tama virus ini akan memeriksa port 135 apakah dapat ditembus atau tidak. Dengan pengertian, apakah para pemakai komputer sudah melakukan penginstallan patch yang telah diberitahukan dan diberikan oleh Microsoft jauh-jauh hari sebelum hal ini tejadi. Kalau belum dengan mudahnya virus ini masuk ke dalam komputer yang belum dipatch. Jika virus ini sudah masuk ke dalam komputer anda, maka ada kejadian-kejadian yang tidak menyenangkan akan anda alami. Ketika anda sedang mengetik sesuatu komputer anda tiba-tiba akan meminta untuk direstart atau merestart dirinya sendiri. Cukup menjengkelkan bukan. Kejadian ini banyak sekali terjadi dan hampir seluruh para pengguna komputer dengan menggunakan system operasi windows NT4, 2K, XP dan 2K3 dan terhubung dengan sebuah jaringan internet. Ada sebuah kejadian yang dialami oleh para pengguna notebook. Ketika mereka terhubung dengan internet dan menggunakan dial-up langsung diserang oleh virus-virus tersebut. Dan pernah ada yang melapor ke Vaksin, notebooknya sampai tidak bisa lagi digunakan, karena terlalu seringnya virus itu meminta restart.

Bagaimana dengan virus W32/Sobig.F. Mungkin ini yang membuat lebih parahnya lagi para pengguna jaringan internet. Setelah seminggu penuh disibukkan oleh ulah Blaster, para pengguna internet tidak mendapatkan kesempatan bernafas lega, karena pada tanggal 18 Agustus 2003 telah muncul satu worm baru lagi. Kalau Blaster menyebar melalui jaringan antar komputer dengan sasaran utama sistem operasi Windows 2000 dan XP (Windows NT dan 2003 tidak terlalu dituju oleh Blaster) dan aktivitasnya dapat dipantau melalui Wormwatch, maka Sobig.F menyebar menggunakan cara lama, yaitu Email dan dapat dipantau melalui MessageLabs. Pada siang hari ketika PT. Vaksincom mendapatkan peringatan akan adanya worm ini, Sobig.F langsung menduduki peringkat 4 dalam Top 10 virus yang paling banyak dihentikan oleh MessageLabs, pelan tapi pasti Sobig.F menduduki peringkat 3 dan pada malam hari pukul 20.40 WIB telah menempati posisi pertama sebagai virus yang paling banyak dihentikan oleh MessageLabs. Uniknya, Sobig.F hanya aktif sampai tanggal 10 September 2003. Setelah tanggal 10 September 2003 jika kita menjalankan attach file yang terlampir maka Sobig.F ini tidak akan bereaksi. Apakah pembuatnya sudah mempersiapkan varian baru menjelang tanggal 10 September 2003 atau memang ada tujuan lain hanya waktu yang akan memberitahukan. Worm ini didisain untuk menyebarkan dirinya melalui jaringan dan mass-mail dengan menggunakan Simple Mail Transfer Protocol (SMTP) engine miliknya sendiri.

Pada bulan Agustus ini, mungkin telah menjadi trend para pembuat virus yang difokuskan untuk menyerang celah keamanan windows (RPC DCOM). Sebut saja virus Kelar.A and Kelar.B. yang adalah 2 buah virus yang mengandung kode jahat yang ikut meramaikan penyerang celah keamanan yang ada pada Microsof. Seperti virus-virus lainnya ia mengikuti cara kerja dari virus-virus Blaster yang menembus melalui prot 135. Perbedaannya adalah ia memanfatkan server IRC dalam penyebarannya.

Ada sebagian orang berpendapat, bahwa virus semacam Blaster dapat dimanfaatkan oleh seseorang untuk menyerang sebuah alamat domain. Pertama-tama orang tersebut memastikan bahwa alamat domain yang akan diserang belum dipatch celah keamanannya, setelah itu ia akan membuat sebuah virus semacam Blaster (atau varian dari Blaster) untuk menyerang alamat domain tersebut. Contohnya adalah virus Blaster.E. Virus ini akan menyerang sebuah alamat domain http://www. kimble.org.

Dan bagaimana di Indonesia ?

Di Indonesia pada setelah adanya penyerang oleh Blaster dan Sobig hampir menimbulkan kepanikan. Banyak para pengguna internet mengeluh karena susahnya membuka sebuah web site, atau mail servernya menjadi penuh. Hal ini terjadi, jika sebuah komputer terinfeksi oleh virus Sobig.F, maka ia akan mengirimkan secara massal keberbagai alamat email dirinya sendiri. Pengiriman ini terjadi 10 detik sekali. Dapat dibayangkan, bahwa kalau dalam sebuah kantor yang mempunyai client 10 saja, maka dalam waktu kurang dari 5 menit mail server dari perusahaan tersebut akan menjadi hang. Ini terjadi pada sebuah instasi pemerintah yang ada di Gatot Subroto. Mail server perusahaan tersebut tidak dapat menampung lagi pengiriman yang beribu-ribu email yang akan dikirim. Kemudian bandwith akan habis dipakai dalam pengiriman tersebut. Akhirnya, koneksi ke internet dan antar jaringan terasa lambat sekali.

Sebenarnya masalah-masalah tersebut dapat diminimalkan, karena jauh-jauh hari, Microsoft sudah mengeluarkan warning bahwa ada celah keamanan baru telah ditemukan. Ini diumumkan pada bulan Juli 2003. Kemudian ramai-ramainya pada bulan 11 Agustus 2003. Kalau kita mengikuti anjuran dari Microsoft untuk melakukan patch pada komputer kita, mungkin hal ini tidak akan terjadi serangan dari virus Blaster. Kemungkinan besar para pengguna komputer agak sungkan untuk mendownload patch tersebut. Karena untuk menjalankannya, windows 2000 harus sudah terinstall Service Pack 3 yang berukuran 130 mega lebih. Sebagai seorang pemakai Internet dengan menggunakan dailup, perlu waktu dan biaya yang besar untuk mendowload file yang berukuran besar. Oleh sebab itu, serangan dari virus Blaster sukses terjadi di Indonesia.

Banyak ISP di Indonesia menerima keluhan-keluhan, yang menyatakan bahwa jaringan internet yang mereka sediakan tidak berfungsi. Dalam hal ini mungkin mereka tidak dapat disalahkan juga 100%, yang menjadi masalah adalah client yang menggunakan jasa ISP tersebut telah menyerang komputer-komputer di dalam jaringan yang luas sekali. Pemakaian bandwith meningkat tajam, jadi banyak pemakai jasa internet tidak dapat login.

Dan untuk menjadi catatan bulan Agustus, virus yang banyak sekali menyebar adalah Redlof, Mimail, Lovelorn, Sobig.F dan Blaster. Mungkin untuk yang kesekian kalinya Redlof kami terima sebagai sebuah virus yang cukup sulit dibasmi. Setiap kali penanganan yang tuntas telah dilakukan, tetapi ada beberapa komputer yang benar-benar sulit sekali virus tersebut dibasmi. Memang ada cara yang cukup cepat untuk menghapus virus tersebut adalah dengan memformat harddisk anda, dan menginstall kembali dari awal. Tetapi ini bukan sebuah cara yang praktis. Banyak cara yang dapat dilakukan untuk menghapus virus tersebut, misalnya dengan memeriksa komputer anda dalam system SAFE MODE, kemudian matikan opsi Windows Script Host, lalu scan komputer anda dengan menggunakan antivirus yang terupdate data definisinya. Atau kalau anda gemar mengutak-atik file registri anda dapat melakukannya sesuai dengan petunjuk yang ada pada alamat web site ini : http://www.vaksin.com/virusnews/2002/1002/cure_redlof.htm dan

http://www.vaksin.com/virusnews/2002/1102/cure_redlof2.htm

Mimail adalah sebuah worm yang cukup unik dalam mencari alamat email di dalam sebuah komputer yang terinfeksi. Mengapa dikatakan cukup unik, kalau anda membaca artikel di bawah ini baru anda merasakan bahwa banyak sekali cara-cara yang dilakukan oleh para pembuat virus untuk mendapatkan sebuah alamat email untuk sarana penyebarannya. Anda perlu berhati-hati karena pada hari ini, Mimail bercokol di peringkat ke tiga sebagai worm yang paling banyak dihentikan oleh MessageLabs, tetapi pada sore hari waktu Indonesia Mimail langsung menempati peringkat pertama sebagai virus yang paling banyak dihentikan oleh MessageLabs. Virus ini menyebar melalui SMTP miliknya sendiri, dan selalu membawa sebuah file attach di dalam sebuah file MESSAGE.ZIP yang sebenarnya adalah sebuah file MESSAGE.HTML yang dikompres menggunakan UPX. Tetapi file HTML tersebut mengandung sebuah file Win32.EXE yang dikenal dengan nama FOO.EXE. Ketika file .ZIP tersebut dibuka,  virus ini akan menyerang celah keamanan yang ada di dalam program Internet Explorer, yang menginzinkan sebuah script dapat dijalankan pada komputer lokal. Adapun produk Microsoft yang diserang adalah : IE dan OE 5.x serta 6.0 (berita lengkapnya ada di http://www.vaksin.com/mimail.htm

Lovelorn adalah salah satu virus worm yang penyebarannya melalui email secara massal dan dibuat dengan menggunakan bahasa programing tingkat tinggi yaitu Borland C++. Sebagai saranan penyebarannya, virus ini akan membawa sebuah file attach dengan 2 versi sebagai file .HTML atau .EXE. Setelah salah satu file tersebut dijalankan, maka ia akan menambahkan 4 buah file pada direktori C:\Windows\System : explorer.exe, kernel32.exe, netdll.dll, sercscg.dll.  

Kemudian, virus ini akan membuat autorun registry entry untuk secara otomatis dijalankan setiap kali system startup:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

explorer = %System%\explorer.exe

Ia juga mencoba untuk mengcopykan dirinya sebagai sebuah file yang bernama FINDFAST.EXE pada folder di mana berisi string startup, misalnya pada C:\Windows\Start Menu\Programs\ Startup. Virus ini akan meletakkan sebuah file yang merupakan copy dari dirinya sendiri pada semua folder yang mengandung file-file .HTM, file yang bervirus akan bernama sesuai dengan nama asli dari file .HTM kemudian ditambahkan dengan ektensi "KISS.ok.exe. Worm ini mengumpulkan list alamat penerima dari file-file yang mengandung alamat email pada file-file: .EML, .ITEM, .BOX, .DBX, .HTM. Email yang diterima akan berciri seperti berikut :

From: (acak)

. <nama komputer yang terinfeksi>

. lovelorn@...

Subject: (acak)

. Re:baby!your friend send this file to you !

. Re:Get Password mail...

. HELP??-

. Help

Message Body: (acak)

. Souvenir for you from file attach...

. See the Greeting-card .

. Play the game from file attach

. Help...

. Enjoy

Attachment: (acak)

. %a.Kiss.ok.exe

. %a.htm

- %a could be any of the following:

Keterangan lebih lanjut anda dapat melihat nya di : www.vaksin.com/remove_lovelorn.htm

Sobig dan Blaster, banyak sekali kali menerima email, terutama para pengguna Windows 2000 dan Windows XP. Mereka pada umumnya mengeluh, setiap kali komputernya minta restart terus menerus. Sampai-sampai kami memberikan secara gratis Service Pack dan Patch Dcom untuk Windows 2000 dan XP kepada para customer yang membeli produk antivirus Norman Antivirus Control pada kami. Jadi masalah pengudaptetan security di Windows sangatlah penting. Acapkali para pemakai komputer baru menyadari betapa pentingnya masalah tersebut. Oleh sebab itu, untuk mengetahui lebih awal berita apa saja mengenai Microsoft, khususnya masalah Security anda dapat berlangganan newsletter Microsoft dengan mendaftarkan diri anda pada alamat web site ini :

http://www.microsoft.com/security/security_bulletins/decision.asp

Setelah ini, apakah akan adakah virus-virus yang lebih kompleks cara penularannya ?

Jawabannya adalah YA !!. Karena beberapa hari yang lalu sebuah perusahaan yang bergerak dalam bidang security jaringan, telah menemukan sebuah celah keamanan yang baru lagi. Perusahaan tersebut adalah Eeye Digital Security (http://www.eeye.com). Bisa dikatakan ini adalah Microsoft RPC Heap Corruption Vulnerability - Part II.  Belum hilang dari ingatan kita dengan berjangkitnya virus-virus worm yang baru yang meyerang celah keamanan RPC DCOM seperti Nachi, Blaster, Microsoft telah mengeluarkan sebuah pengumuman bahwa telah ditemukannya celah keamanan yang baru dan ini mendapat perioritas yang sangat mendesak (kritis).  Celah keamanan ini dapat dibuka dan mengizinkan sebuah malicious user yang menyebabkan sebuah serangan Denial of Service atau mengesekusi code yang berubah-ubah pada sebuah komputer yang terinfeksi. Seperti diketahui bahwa celah keamanan yang terdahulu (yang ditemukan pada bulan 20 Juli 2003), telah dapat mengekploit  code untuk menjadi serangan Denial of Service. Celah keamanan adalah baru dan menunjukkan sebuah perbedaan RPC vulnerability dengan yang ditemukan pada bulan Juli. Dikatakan oleh perusahan eEye, bahwa ada 3 celah keamanan yang baru. Dan system windows yang berpotensi untuk diserang adalah Windows NT4, Windows 2000, Windows XP dan Windows Server 2003 - anda dapat membaca pada alamat web site eEye -(http://www.eeye.com/html/Research/Advisories/AD20030910.html). 2 dari 3 celah keamanan ini terutama sekali bersifat sangat berbahaya dan dapat mengizinan serangan secara remote untuk mengesekusi code yang bermacam-macam pada komputer yang terinfeksi. Microsoft menginstruksikan untuk mendownload path yang telah tersedia. Anda dapat mendownloadnya melalui alamat link di bawah ini sesuai dengan system komputer yang anda gunakan.

Windows NT Workstation:
<http://www.microsoft.com/downloads/details.aspx?FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=en>

Windows NT Server 4.0:
<http://www.microsoft.com/downloads/details.aspx?FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=en>

Windows NT Server 4.0, Terminal Server Edition:
<http://www.microsoft.com/downloads/details.aspx?FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F&displaylang=en>

Windows 2000:
<http://www.microsoft.com/downloads/details.aspx?FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=en>

Windows XP:
<http://www.microsoft.com/downloads/details.aspx?FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=en>

Windows Server 2003:
<http://www.microsoft.com/downloads/details.aspx?FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=en>

Artikel mengenai hal ini akan kami sajikan pada kesempatan yang akan datang.

Statistik Kasus Virus pada bulan Agustus 2003

Geminiman

W32/Swen.A@mm memalsukan update Microsoft    19 September 2003

Sekali terjerat korban sulit lepas

Pengguna internet Indonesia harap berhati-hati jika menerima email dari Microsoft yang mengaku sebagai update patch, karena isinya bukan patch tetapi Worm baru yang bernama Swen.

Setelah di dera oleh Blaster yang hanya dapat diatasi dengan melakukan update patch, pengguna internet Indonesia mendapatkan ancaman dari worm baru pada tanggal 19 September 2003 yang dengan kreatif memalsukan diri sebagai kiriman Update Patch dari Microsoft lengkap dengan logo dan gambar yang sangat meyakinkan sehingga pengguna awam akan dengan mudah percaya dan menjalankan file tersebut.

Worm baru yang datang dengan nama Swen worm ini langsung menduduki peringkat pertama sebagai virus yang paling banyak dihentikan di internet pada tanggal 19 September 2003 dan banyak hal-hal menarik yang dapat digali dari Swen ini karena melakukan beberapa rekayasa tampilan guna mengelabui pengguna internet. Adapun beberapa catatan penting yang kami lihat pada Swen adalah sebagai berikut :

• Memiliki kemampuan menyebar menggunakan banyak media.

Swen mampu menyebarkan dirinya melalui Email, Kazaa (peer to peer sharing), IRC, Newsgroup dan LAN (Local Area Network).

• Memiliki kemampuan menjalankan dirinya sendiri meskipun lampiran tidak di klik oleh penerima email

Swen mengeksploit Imime exploit sehingga pengguna Outlook yang belum melakukan patching atas softwarenya tetap akan terinfeksi oleh worm ini sekalipun ia tidak pernah menjalankan lampiran. Cukup dengan preview / membaca email yang datang maka worm ini akan langsung beraksi menginfeksi komputer anda.

• Memalsukan dirinya sebagai update Microsoft dengan tipuan tampilan yang nyaris sempurna.

  Jika anda tertipu dengan tampilan email yang cantik dan percaya bahwa email ini datang dari Microsoft, ini merupakan awal dari tampilan tipuan lain yang akan anda alami. Anda akan ditanya apakah ingin melakukan install update patch (yang sebenarnya virus) atau tidak dengan tampilan :

Jika anda mengklik "Yes", Swen akan menginstal dirinya dan memberikan tampilan seakan-akan dari Microsoft sebagai berikut :

     

Jika anda mengklik "No" Swen tetap akan menginstalkan dirinya di background tanpa anda ketahui :(.

• Memiliki daftar smtp dan nntp server sendiri dan (sekali lagi) mengelabui pengguna dengan tampilan palsu jika tidak berhasil mendapatkan smtp server dari registri.

Swen memiliki daftar smtp dan nntp server sendiri, selain itu ia memiliki kemampuan mendeteksi smtp server komputer korbannya dari file registri. Jika tidak berhasil menemukan smtp server dari registri Swen akan menampilkan layar palsu lagi dan meminta pengguna komputer untuk memasukkan smtp servernya.

• Melumpuhkan Registry Editor

Dalam rangka emlindungi dirinya dari pembersihan, Swen memblokir akses ke registri editor dengan menambahkan string :

 [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 "DisableRegistryTools" = dword:00000001
 

dan jika komputer yang terinfeksi menjalankan Registri Editor akan mendapatkan pesan eror palsu :

• Menguasai semua file executable

Swen memanipulasi registri sehingga semua akses ke file executable seperti .bat .scr .exe .reg dan .pif dikausai olehnya dan jika anda menjalankan semua file dengan akhiran tersebut di atas akan berakibat mengaktifkan dirinya

• Melumpuhkan firewall dan antivirus

Swen akan melengkapi aksinya dengan melumpuhkan firewall dan program antivirus dan MEMBLOK AKSES semua program dengan nama file sebagai berikut :

Azonealarm
zapro
wfindv32
webtrap
vsstat
vshwin32
vsecomr
vscan
vettray
vet98
vet95
vet32
vcontrol
vcleaner
tds2
tca
sweep
sphinx
serv95
safeweb
rescue
regedit
rav
pview
pop3trap
persfw
pcfwallicon
pccwin98
pccmain
pcciomon
pavw
pavsched
pavcl
padmin
outpost
nvc95
nupgrade
nupdate
normist
nmain
nisum
navw
navsched
navnt
navlu32
navapw32
nai_vs_stat
msconfig
mpftray
moolive
luall
lookout
lockdown2000
kpfw32
jedi
iomon98
iface
icsupp
icssuppnt
icmoon
icmon
icloadnt
icload95
ibmavsp
ibmasn
iamserv
iamapp
gibe
f-stopw
frw
fp-win
f-prot95
fprot95
f-prot
fprot
findviru
f-agnt95
espwatch
esafe
efinet32
ecengine
dv95
claw95
cfinet
cfind
cfiaudit
cfiadmin
ccshtdwn
ccapp
bootwarn
blackice
blackd
avwupd32
avwin95
avsched32
avp
avnt
avkserv
avgw
avgctrl
avgcc32
ave32
avconsol
autodown
apvxdwin
aplica32
anti-trojan
ackwin32
_avp

Cara untuk membersihkan Swen akan kami berikan dalam artikel yang berikut. Tentunya anda bertanya-tanya, bagaimana dapat membersihkan komputer yang telah terinfeksi Swen dimana Registri Editor telah dilumpuhkan dan semua file executable juga telah dikuasai oleh virus. Sehingga tidak memungkinkan untuk menjalankan virus removal tools yang umumnya berekstensi .exe dan .com. Jika anda tidak sabar menunggu jawabannya, silahkan hubungi kami atau akses website www.vaksin.com/clean_swen.htm .

salam dan selamat libur panjang,

PT. Vaksincom

Bermain catur dengan Swen     19 September 2003

Bagaimana menguasai kembali komputer yang dikuasai Swen

Berdasarkan pemantauan yang dilakukan oleh PT. Vaksincom, Worm Swen ternyata memakan cukup banyak korban di Indonesia. Terbukti dari banyakanya permintaan informasi mengembalikan perubahan registri yang dilakukan oleh Swen. Swen memang secara cerdik merubah semua registri dan melumpuhkan "regedit" yang biasanya digunakan sebagai alat untuk mengedit registri. Namun resiko dari kesalahan editing atas registri cukup besar dan tidak mudah dilakukan oleh pengguna komputer awam. Karena itu, PT. Vaksincom menyarankan anda untuk menggunakan tools yang diciptakan oleh Norman dan dapat anda download secara Gratis dari www.norman.com.

Untuk semua pelanggan PT. Vaksincom dan kontributor Gerakan Virus Indonesia akan mendapatkan kiriman tools secara otomatis.

Cara mengatasi Worm W32/Swen.A@mm

 Salah satu aksi yang akan dilakukan oleh worm ini adalah men-disable Registry Editor agar tidak dapat dijalankan. Untuk mengatasi masalah ini Norman Virus Control telah membuat Removal Tools yang akan mengatasi worm W32/Swen.A@mm.

Beberapa hal yang akan dilakukan oleh tools ini adalah:

1. Menghentikan proses dari worm

2. Menghapus file-file yang diciptakan oleh Worm W32/Swen.A@mm
3. Membersihkan file-file yang terinfeksi Wom W32/Swen.A@mm
4. Menghapus value registry yang dirubah oleh Swen :
   1. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
   2. HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32
   3. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\karakter acak
5. Melakukan set ulang pada registry yang telah dimodofikasi oleh virus
   1. HKCR\exefile\shell\open\command to "%1" %*
   2. HKCR\regfile\shell\open\command to regedit "%1"
   3. HKCR\scrfile\shell\open\command to "%1" /S
   4. HKCR\scrfile\shell\config\command to %1
   5. HKCR\piffile\shell\open\command to "%1" %*
   6. HKCR\batfile\shell\open\command to "%1" %*
   7. HKCR\comfile\shell\open\command to "%1" %*

Langkah-langkah untuk menjalankan tools :

v             Download Removal Tools "Swenfix.com" dari situs www.norman.com

v             Double klik file "Swenfix.com", akan muncul layar konfirmasi dibawah ini (gambar 1) :

                                                Gambar 1

Klik [Setup] untuk melanjutkan. Anda akan mendapatkan layar dibawah ini (gambar 2). Tekan [sembarang tombol] untuk memulai proses pengecekan:

                                                            Gambar 2

 v     Hasil Scanning dapat dilihat pada layar dibawah ini :

                                                                        Gambar 3

v     Sekarang  Registry Editor telah dapat dijalankan.

PT. Vaksincom

AJT

Evaluasi virus September 2003     3 Oktober 2003

Mungkin untuk bulan September 2003 ini, tidak terlalu sibuk kita menghadapi virus-virus worm yang akhir-akhir ini merajalela seperti Blaster dan Sobig.F. Serangan mereka yang bertubi-tubi mungkin terasa sampai ke perusahaan atau para pemakai komputer pribadi. Yang mereka rasakan adalah betapa lambatnya koneksi internet, ini diakibatkan oleh trafik yang begitu padat yang diciptakan oleh virus-virus tersebut di atas. Pemakaian bandwith begitu tinggi sehingga menjadikan ISP/Server menjadi sangat-sangat sibuk dibuatnya.

Kita bisa bernafas sedikit sampai pada pertengahan bulan September 2003, karena pada tanggal 19 September 2003, muncul sebuah virus worm baru yang cukup merepotkan para pemakai komputer dan sudah pasti yang menggunakan jasa internet sebagai penghubung antar jaringan komputer. Worm tersebut dikenal sebagai W32/Swen atau dikenal juga sebagai varian virus Gibe.F. Virus dengan kreatif memalsukan diri sebagai kiriman Update Patch dari Microsoft lengkap dengan logo dan gambar yang sangat meyakinkan sehingga pengguna awam akan dengan mudah percaya dan menjalankan file tersebut.

Ada beberapa hal yang cukup menarik dari virus ini antara lain :

1. Memiliki kemampuan menyebar menggunakan banyak media.

2. Memiliki kemampuan menjalankan dirinya sendiri meskipun lampiran tidak di klik oleh penerima email.

3. Memalsukan dirinya sebagai update Microsoft dengan tipuan tampilan yang nyaris sempurna.

4. Memiliki daftar smtp dan nntp server sendiri dan (sekali lagi) mengelabui pengguna dengan tampilan palsu jika tidak berhasil mendapatkan smtp server dari registri.
   Melumpuhkan Registry Editor. Dalam rangka melindungi dirinya dari pembersihan, Swen memblokir akses ke registri editor dengan menambahkan string :
   [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableRegistryTools" = dword:00000001

5. Menguasai semua file executable. Swen memanipulasi registri sehingga semua akses ke file executable seperti .bat .scr .exe .reg dan .pif dikausai olehnya dan jika anda menjalankan semua file dengan akhiran tersebut di atas akan berakibat mengaktifkan dirinya

6. Melumpuhkan firewall dan antivirus. Virus ini akan mematikan semua program antivirus dan firewall.

Kalau dilihat pada point 5 dan 6, adalah sebuah kemajuan cara berpikir dari seorang pembuat virus. Ia sudah memikirkan bahwa kalau virus sudah menyerang komputer pasti akan membuat value pada registry. Oleh sebab itu ia memblok akses dalam penggunaan seluruh program executable dan khususnya progam Registry Editor (Regedit.exe). Bisa dibayangkan betapa sulitnya kalau anda pemakai komputer yang menggunakan system operasi Windows 2000 dan XP yang tidak mempunyai fasilitas MS DOS. Karena kalau tidak dapat menggunakan regedit.exe, bagaimana caranya agar dapat menggunakan komputer tersebut. Kalau kita menggunakan system operasi Windows 9.x, kita dapat menjalankan perbaikan melalui dos prompt. Dengan cara merestore sebuah file registry yang telah kita buat atas petunjuk dari beberapa vendor antivirus. Dengan cara :

1.       Masuk ke C:\cd\windows (tekan enter)

2.       C:\Windows\Regedit C:\temp\benar.reg (ini jika file benar.reg yang berisi string perbaikan terletak pada folder C:\temp)

Perintah tersebut akan memasukkan file benar.reg (yang telah kita buat sebelumya) ke dalam registry). Dengan cara ini data registry telah kita pulihkan. Kemudian kita dapat menjalankan pembersihan dengan menggunakan antivirus dengan update definisi terakhir.

Memang ini adalah salah satu cara untuk mengatasi keadaan demikian, mungkin dengan cara kita merestore registry lama kita dengan menggunakan scanreg. Scanreg kita jalankan  dan tambahkan sebuah parameter  /restore. Program scanreg akan me-restore data registry dari file CAB yang sudah dibentuk sebelumnya. Dan cara-cara lainnya. Ini berlaku untuk Window 9x

Untuk cara perbaikan lainnya anda dapat membaca artikel yang disajikan oleh Tim Technical Support VaksinCom pada alamat link http://www.vaksin.com/clean_swen.htm

Virus lainnya yang menjadi perhatian dari kami adalah YAHA dan DUMARU

WORM YAHA.W

W32/Yaha-W adalah salah satu virus worm yang penyebarannya melalui email dan menggunakan SMTP miliknya sendiri ke semua alamat email yang didapatnya dari komputer yang telah terinfeksi misalnay dari the Windows Address Book dan mencoba mengcopykan dirinya pada komputer yang terhubung dalam sebuah jaringan, pada folder yang memakai nama \Windows, \Win9x, \WinNT, \WIN, \WINME, \WINXP.

Worm ini mengcopykan dirinya pada folder C:\Windows sebagai sebuah file yang bernama REGE32.EXE dan pada folder C:\Windows\System sebagai sebuah file yang bernama EXELD32.EXE dan EXPLORERE.EXE. worm ini juga membuat 2 value registri yang baru yang selalu akan mengaktfkan dirinya setiap kali windows di startup :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MicrosoftServiceManager = \EXPLORERE.EXE

dan

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
MicrosoftServiceManager = \EXPLORERE.EXE

Dan virus ini juga menambahkan sebuah command line pada file WIN.INI

[WINDOWS]
run=REGE32.EXE

yang membuat virus ini semakin rumit di dalam komputer yang sudah terinfeksi adalah, ia mematikan semua proses yang diperlukan, misalnya :

1. Mencari dan memantau pada window yang sedang aktif, dan jika ada nama yang berisi nama sebuah proses yang sudah disiapkan maka tidak lama kemudian proses ini akan dimatikan, contohnya adalah :

   Windows Task Manager

   System Configuration Utility

   Registry Editor

   Process Viewer

2. Mencoba untuk menghapus file-file di bawah ini :

   %System%\WinServices.exe

   %System%\nav32_loader.exe

   %System%\tcpsvs32.exe

   %System%\syshelp.exe

   %System%\WinGate.exe

   %System%\WinRpcsrv.exe

   %System%\winmgm32.exe

   %Windir%\SNTMLS.DAT

3. Menghapus values pada file registry :
   
   WinServices
   syshelp
   WinGate initialize
   Module Call initialize
   WindowsMGM
   
   Dari registry key:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Menghapus value: WinServices
   
   Dari registry key:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Virus ini juga memblok semua program yang dijalankan menggunakan file executable EXE, dengan cara, mengaturnya melalui registry key  

HKEY_CLASSES_ROOT\exefile\shell\open\command    menjadi

"%System%\EXELD32.EXE""%1"%*

Jadi semua file EXE akan diblok dan hanya menjalankan file EXELD32.EXE yang ada pada folder C:\Windows\System.

Dan yang membuat semakin parah adalah, virus ini akan menghapus semua antivirus dan system sekurity yang ada di dalam komputer terinfeksi.

Oleh sebab itu kamii sarankan kepada anda untuk berhati-hati dalam menerima semua email yang mengandung lampiran. Kebiasaan kita adalah setiap ada lampiran langsung kita buka/jalankan, tanpa kita tahu apakah file tersebut mengandung virus atau tidak. Kebiasaan ini sering kali ditemukan hampir di semua para pemakai komputer. Dan tidak menyadari bahwa kebiasaan tersebut sangat berbahaya.

Dumaru.A

W32/Dumaru-B adalah sebuah worm yang menyerang melalui email dan mempunyai fungsi sebagai backdoor. Worm ini sampai pada email anda dengan message seperti di bawah ini :

From: security@...
Subject line: Use this patch immediately !
Message text: Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Attached file: patch.exe

Setelah attach file dijalankan ia akan mencopykan dirinya menjadi beberapa buah file yang bernama dllreg.exe pada folder C:\Windows, load32.exe dan vxdmgr.exe pada folder C:\Windows\system dan pada folder startup sebagai rundllw.exe. Worm ini juga membuat sebuah file yang bernama guid32.dll pada folder C:\Windows. File Guid32.dll ini  memonitor program yang dijalankan, hentakan keyboard dan mengumpulkan semua informasi yang didapat mengenai komputer korban di dalam sebuah file yang bernama vxdload.log dan terletak pada folder C:\windows. Worm ini juga mencatat  semua informasi yang ada di dalam file winload.log di folder Windows. Setelah itu log tersebut di upload ke sebuah remote FTP server. Selain itu virus ini juga membuat sebuah value yang baru di registri yang akan membuat dirinya selalu aktif jika windows startup :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load32 = load32.exe

Selain itu ia juga membuat sebuah tanda bahwa komputer ini telah terinfeksi :

HKLM\Software\SARS\kwmfound

Worm ini juga membuat perubahan pada file Win.ini dan System.ini dengan menambahkan sebuah command line (ini hanya dilakukan pada System Windows 95/98/Me :

[windows]

run=%Windir%\dllreg.exe

[boot]

shell=explorer.exe %System%\vxdmgr32.exe

Yang berbahaya adalah virus ini dapat menjadi sebuah virus Trojan/Backdoor yang menaruh sebuah file dan menjalankannya pada folder C:\Windows\windrive.exe. File ini dikenal sebagai sebuah backdoor Trojan - Troj/Small-G. Virus ini juga mematikan beberapa proses yang dibutuhkan untuk menjalankan komputer seperti REGEDIT, SYSEDIT, program security  ZONEALARM.EXE

BAGAIMANA KASUS VIRUS PADA BULAN SEPTEMBER DI INDONESIA ?

Di indonesia ternyata masih dikuasai oleh beberapa virus-virus lama seperti Redlof, Klez, dan Lovelorn. Tidak seperi bulan lalu, Blaster.A, W32/Sobig.F@mm, Nachi.A, Mimail merajarela dan setelah VAKSINCOM melakukan gerakan Kembalikan Bandwidthku Padaku yang bekerja sama dengan ICT Watch, dan penyuluhan yang tidak henti-hentinya dalam menghadapi virus-virus tersebut, maka dampaknya dapat dilihat berkurangnya serangan-serangan dari virus-virus tersebut. Dan yang muncul adalah virus-virus lama yang mengambil alih singasana penyebaran yang terbesar. Dan kenyataannya ketiga virus-virus tersebut memang agak sangat sulit untuk membasminya, jika kita tidak melakukannya dengan prosedur yang benar. Antivirus akan mencegah, tetapi semua kembali lagi kepada para pemakai komputer. Apakah ada kesadaran dalam ikut membasmi virus-virus lama tersebut. Untuk virus Lovelorn, ia datang ke komputer anda melalui email yang mengandung virus tersebut. Kita klik attach langsung virus itu akan berjangkit. Begitu juga dengan virus-virus lainnya. Ada kecenderungan para pengguna komputer akan merasakan bahwa antivirus hanya sebuah program yang tidak berguna. Mereka mematikan On Access Scanner / Vshield yang seharusnya memantau gerakan penginfeksian yang akan dilakukan oleh virus tersebut. Banyak yang mengatakan bahwa antivirus hanya memakan memori saja. Lebih baik dimatikan, kemudian mereka dapat menjalankan aplikasi lain, misalnya game/permainan atau hal-hal yang tidak perlu. Ini adalah kendala yang sering ditemukan pada para pemakai komputer dengan performa yang pas-pasan. Dan kalau anda memakai produk antivirus Norman Virus Control, anda tidak akan merasakan bahwa banyak sekali memori yang dipakai. Karena Norman Virus Control tidak memerlukan memori yang banyak dalam kinerjanya, mungkin anda merasakan kalau memakai produk antivirus lainnya.

Bagaimana dengan bulan Oktober 2003 nanti ? Mungkinkah ada sebuah atau lebih virus yang berbahaya yang melebihi bulan-bulan sebelumnya ? Kemungkinan tersebut mungkin saja terjadi, karena sudah banyak cara yang dipakai dalam menyerang komputer anda, dan kemudian mematikan proses yang sedang berjalan. Yang menjadi trend mungkin adalah pengambil alihan system komputer kita sehingga kita benar-benar tidak dapat menggunakan komputer tersebut sama sekali. Semoga saja hal ini tidak terjadi, karena akan semakin memusingkan para pengguna komputer, terutama kami dari VAKSINCOM J

Marcel Glenn

Technical Support PT VAKSINCOM

(yang sedang mikirin besok ada virus yang ganas ngga yah)

Update Kumulatif untuk IE 5.01, 5.5 dan 6.0    9 Oktober 2003

Microsoft telah mempublikasikan sebuah update kumulatif untuk semua Internet Explorer denagn ver 5.01, 5.5 dan 6.0, dimana termasuk di dalamnya semua patch-patch sebelumnya dan menjawab 2 buah cacat (celah keamanan) baru yang cukup kristis.

Celah keamanan pertama terjadi karena Internet Explorer tidak dengan tepat menentukan sebuah type object datang kembali melalui web server dalam bentuk pop-up window. Cacat ini mengizinkan seorang penyusup untuk menjalankan kode di dalam sebuah system dengan mudah. Celah keamanan ini dapat tereksploit ketika seorang user menerima sebuah kode perusak dalam bentuk HTML-email

Yang kedua terjadi karena Internet Explorer tidak dengan tepat menentukan sebuah type object datang kembali melalui web server dalam bentuk data XML. Sama seperti point pertama, celah keamanan ini dapat tereksploit ketika seorang user menerima sebuah kode perusak dalam bentuk HTML message untuk menjalankan sebuah code pada system yang tersusupi.

Patch ini ditujukan untuk semua para pemakai Internet Explorer dengan persyaratan sebagai berikut:

(anda dapat mendownload file-file tersebut)

Internet Explorer 6 Service Pack 1

- Windows 2000 SP4

- Windows 2000 SP3

- Windows 2000 SP2

- Windows NT® 4.0 SP6A

- Windows Millennium Edition (Windows ME)

- Windows 98 SE

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_6_SP1/q828750.exe

Internet Explorer 6

- Windows XP SP1

- Windows XP

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_6_XP/q828750.exe

Internet Explorer 5.5 Service Pack 2

- Windows 2000 SP4

- Windows 2000 SP3

- Windows 2000 SP2

- Windows NT® 4.0 SP6A

- Windows Millennium Edition (Windows ME)

- Windows 98 SE

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_55_SP2/q828750.exe

Internet Explorer 5.01 Service Pack 3

- Windows 2000 SP3

dan

Internet Explorer 5.01 Service Pack 4

- Windows 2000 SP4

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_501_2K_SP3_SP4/q828750.exe

Berita terkait :

http://www.microsoft.com/security/security_bulletins/ms03-040.asp

PT. Vaksincom menyarankan anda mendownload dan segera menjalankan Service Pack tersebut di atas untuk melindungi komputer anda dari semua serangan yang kemungkinan akan terjadi di masa depan, dimana menurut data yang kami miliki sampai saat ini > 50 % komputer masih belum melakukan update dan rentan terhadap eksploitasi Iframe exploit dimana sebuah virus akan mampu menjalankan dirinya secara otomatis tanpa perlu di klik karena adanya celah keamanan ini.

Bagi para kontributor, kami harapkan untuk mendownload pada link tersebut di atas dan menyebarkan informasi ini ke para pengguna internet. Pelanggan PT. Vaksincom yang mengalami kesulitan mendownload Servicepack ini dapat menghubungi support@... untuk mendapatkan kunjungan langsung dari team Teknikal Support dan Free update Service Pack.

salam,

PT. Vaksincom

W32/Mimail.C dan E @mm     1 November 2003

Hati-hati menerima email dari James dan John

Apa hubungannya antara virus dengan spam ? Trend virus yang mengakibatkan spam dimulai oleh W32/Sobig.F@mm dimana setiap komputer yang terinfeksi oleh virus Sobig.F mengirimkan email dalam jumlah yang luar biasa banyak atau dapat dikatakan bom email ke seluruh alamat email yang didapatkannya. Hal ini sempat mengakibatkan perang spam karena mailserver penerima email yang dapat mengenali virus Sobig.F tersebut secara otomatis (baca "sedikit bego") mengirimkan peringatan virus kepada alamat email pada kolom "From", padahal alamat tersebut telah dipalsukan oleh Sobig.F. Sebagai gambaran, dalam waktu kurang dari satu jam, Sobig.F akan mengirimkan ribuan email "hanya" dari satu komputer yang terinfeksi. Tentunya anda tidak akan heran jika banyak mailserver mengalami down time tinggi karena mendadak load kerjanya meningkat dengan luar biasa.

Awal bulan November ini juga diawali dengan munculnya virus baru Mimail.C yang juga melakukan kegiatan mengumpulkan alamat email dari komputer korbannya dan menyebarkan dirinya dengan memanipulasi kolom [From] sebagai James@domain_korban.com. Hal ini terjadi karena kolom "From" pada pengirim email dapat dirubah / direkayasa. Karena itu PT. Vaksincom mengharapkan anda berhati-hati menerima email dari James atau John "meskipun" domainnya dama dengan domain email anda. Mungkin tujuannya agar user percaya dan menjalankan lampiran .zip yang terkandung di dalamnya.

Untuk lebih jelasnya, email akan datang dengan ciri-ciri sebagai berikut (lihat gambar):

Mimail.C

• From: james@domain_anda.com
• Subject: Re[2]: our private photos                    (huruf acak)
• Body:
  Hello Dear!,

  Finally i've found possibility to right u, my lovely girl :)
  All our photos which i've made at the beach (even when u're without ur bh :))
  photos are great! This evening i'll come and we'll make the best SEX:)

  Right now enjoy the photos.
  Kiss, James.

  (huruf acak)

• Attachment: photos.zip (isinya adalah photos.jpg.exe)

Mimail.E

• From: john@domain_anda.com
• Subject: don't be late!                    (huruf acak)
• Body:
  Will meet tonight as we agreed, because on Wednesday I don't think I'll make it,

  so don't be late. And yes, by the way here is the file you asked for.
  It's all written there. See you.

  (huruf acak)

• Attachment: readnow.zip (isinya adalah readnow.doc.scr)

Untuk melindungi komputer anda dari virus ini, anda harus melakukan update pada definisi antivirus yang anda miliki. Bagi pelanggan Vaksincom yang menggunakan Norman Virus Control segera lakukan update definisi antivirus anda (jika update otomatis belum berjalan). Sebagai informasi definisi yang terakhir (pada saat artikel ini di buat) dan dapat mengenali Mimail.C dan Mimail.E adalah :

Binary Signature Date : 2003/11/01

Macro Signature Date : 2003/10/31

Pelanggan korporat cukup melakukan update otomatis pada server antivirus dan secara semua komputer yang terhubung pada server antivirus akan ikut terupdate secara otomatis. Norman Virus Control dapat mendeteksi Mimail.C sebagai berikut :

Saya sudah terinfeksi !!

Jika anda sudah terinfeksi Mimail.C dan ingin menyembuhkan komputer anda, gunakan tools yang diciptakan oleh programmer Indonesia Sunarto dari Universitas komputer di bilangan Kemanggisan. Tools ini dapat mebersihkan registri yang diciptakan oleh Mimail.C. Gunakan tools ini bersama dengan Norman Virus Control yang terupdate untuk mendapatkan hasil maksimal.

Removal Mimail.C (Thanks to Sunarto for the Speedy and hardwork :)).

Semua saran dan komentar dalam penggunaan tools ini dapat anda kirimkan ke support@.... Kami menunggu dan sangat menghargai siapapun yang merasa memiliki kemampuan untuk ikut berpartisipasi mengatasi masalah virus.

Ddos website

Trend baru yang sebenarnya sudah terkandung dalam virus lama seperti CodeRed yang menDdos Gedung Putih (Whitehouse) juga diikuti oleh Mimail. mimail C akan menDdos :

www.darkprofits.com

www.darkprofits.net

Dimana pada saat artikel ini dibuat, kedua website tersebut sedang down. Kemungkinan besar karena Ddos yang dilakukan oleh Mimail.C.

Sedangkan Mimail.E melakukan Ddos pada :

www.spamcop.net

www.spamhaus.org

www.spews.org

Dimana ketiga website yang diserang oleh email yang mengaku datang dari John ini adalah website yang bergerak dalam bidang memerangi Spam. Pada saat kami akses, Spamcop dan Spews masih dapat diakses, namun Spamhaus.com tidak dapat diakses. Jika anda adalah webmaster, tentunya anda dapat merasakan "penderitaan" di Ddos oleh ribuan komputer. Jangankan website biasa atau website korporate, website sekelas Yahoo.com saja kelimpungan jika di Ddos. Jika hal ini berlanjut pada varian Mimail yang berikut, kemungkinan hal ini akan menjadi senjata dalam peperangan bisnis dimana salah satu cara untuk mematikan kompetitor adalah menciptakan virus yang melakukan Ddos pada website kompetitor. Hal ini sudah terlihat gejalanya dimana salah satu varian Mimail yang lain menyerang salah satu website yang bergerak dalam bidang finansial.

salam,

AAT

Evaluasi Virus Oktober 2003     4 November 2003

Virus berbasis VBS merajalela ????

VBS/Redlof dan W32/Funlove menduduki rangking teratas dari penyebaran virus di Indonesia pada bulan Oktober 2003. Terlihat jumlah persentasi yang cukup tinggi 37,80% dan 42,89% dari jumlah seluruh penyebaran virus di Indonesia.

Kalau kita perhatikan pada bulan-bulan sebelumnya virus VBS/Redlof selalu menduduki rangking 10 besar dalam penyebarannya. Kali ini ia dapat menduduki rangking ke-2. Banyak sekali pertanyaan yang datang ke mailinglist kami, mengapa virus ini sukar sekali dibasmi. Selalu saja ada setiap kali dibersihkan. Menurut pengamatan kami, dari hasil dari pertanyaan dan jawaban yang kami lakukan kepada para pengguna komputer yang terserang virus tersebut tidak membersihkan secara menyeluruh. Menyeluruh maksudnya tidak membersihkan setiap perubahan pada registry yang telah diciptakan oleh virus-virus tersebut. Sebagai salah satu solusi yang dapat dilakukan oleh user dalam membasmi Redlof ini, Vaksincom dibantu oleh seorang sukarelawan dari Binus membuatkan satu tools untuk membersihkan registri yang dirubah oleh Redlof. Tools tersebut dapat di download di Redlof Removal Tools pada website www.vaksin.com.

Virus Redlof selalu membuat perubahan sampai pada signature di Outlook Express, file yang menjadi signature tersebutlah yang akan mengirimkan virus tersebut melalui email yang kita kirimkan.

Bagaimana pernyebaran virus dibulan Oktober 2003?

Win32/Holar.H@mm

Virus ini  dtemukan pada akhir bulan Mei 2003 tepatnya pada tanggal 28 Mei. Virus ini menyebar melalui e-mail dan Kazaa P2P networks. Worm ini dibuat dengan menggunakan bahasa pemrograman Visual Basic 6 dan dicompres dengan menggunakan UPX. Virus ini mencari alamat-alamat email dari seluruh file-file *.HTML, *.HTM, *.txt dan *.dbx  dan menggunakan engine SMTP kita, ia mengirimkan message yang mengandung virus ke seluruh alamat email yang dapat dikumpulkannya.

Holar menyimpan sebuah angka perhitungan pada registry value 'HKEY_CURRENT_USER\DeathTime'. Setiap penambahan pada perhitungan yang dicatat setiap kali worm tersebut dijalankan ketika system startup. Jika mencapai angka 30, virus ini akan mendelete seluruh files yang ada di drive C:\  dan akan menunjukan sebuah dialog

LOVE

PEACE

HOME

HAPPINESS

These things Can't be Found as long as Bush & Jews Are aLive :)

Made By ZaCker In  2003-03-30 :)

Setelah itu, komputer akan restart.

W32.Pesin.A

Kami mendapatkan contoh virus ini pada bulan Agustus 2003. Setelah kami periksa dengan menggunakan antivirus Norman Virus Control, ternyata sudah dapat mendeteksi dan menghapus virus tersebut. Tetapi kalau memakai antivirus lain tidak terdeteksi sama sekali. Menurut pantauan kami, banyak sekali warnet-warnet yang komputernya terinfeksi virus tersebut. Virus ini menggunakan fasilitas disket sebagai medium penyebarannya. Mungkin kita menganggap ini sudah ketinggalan zaman, tetapi kenyataannya demikian. Pembuat virus ini menggunakan kelengahan dari para pemakai komputer bahwa mereka tidak menyadari bahwa masih banyak pengguna disket di Indonesia sebagai medium penyimpanan data. Hal yang berbahaya yang dikandung oleh Pesin adalah ia akan mencoba untuk mengubah "Autoexec.bat" untuk menghapus folder Windows dan Program Files. Melihat yang di incar adalah direktori dan data program yang tidak memiliki nilai ekonomis dan dapat di install ulang kembali maka dapat disimpulkan bahwa pembuat Pesin ini tidak bermaksud jahat seperti pembuat Explorezip atau Kelz.E yang menghancurkan semua data MS Office dari pengguna komputer yang terinfeksi. (berita terkait dapat dibaca di http://www.vaksin.com/pesin_a.htm.

Win32/Sober.A@mm

Virus berjenis worm ini menyebar melalui email dengan menggunakan variable subject dan message body dalam bahasa Inggris atau Jerman, dan penyebarannya yang tinggi terjadi di negara English, Jerman, Austria, dan Switzerland. Worm ini mengirimkan dirinya sendiri ke semua alamat email yang didapat dari berbagai macam file htt, rtf, doc, xls, ini, mdb, txt, htm, html, wab, pst, fdb, cfg, ldb, eml, abc, ldif, nab, adp, mdw, mda, mde, ade, sln, dsw, dsp, vap, php, asp, shtml dengan menggunakan SMTP engine miliknya sendiri. Email yang dikirimkan mengandung attachment bervirus dan ketika dijalankan akan menampakkan sebuah false error message.

Ketika virus ini menginfeksi komputer ia akan membuat 2 buah copy memory resident yang selalu dijalankan. Jika salah satu memori residen tersebut dimatikan, maka memori residen yang lainnya akan menggantikan. Dan ini akan berlangsung terus menerus, jadi saling menggantikan.

JS/Fortnight.D

Dan yang terakhir adalah varian dari virus JS/Fortnight.A. Ternyata diam-diam virus ini telah muncul varian terbarunya yaitu D. JS.Fortnight.D adalah sebuah Trojan Horse yang menaruh sebuah file, yang mana kemudian menyisip pada default signature dari Microsoft Outlook Express. Setelah itu,  setiap kali anda mengirimkan sebuah email dengan menggunakan Outlook Express, email tersebut akan mengandung sebuah code yang akan mencoba untuk mengunjungi sebuah website tertentu ketika si penerima membuka email tersebut. JS.Fortnight.D mengeksploit celah keamanan Microsoft VM yang menggunakan IFRAME tag, dengan SRC field yang diset ke sebuah alamat dari pembuat Trojan itu sendiri. Setelah beberapa rangkaian pengalihan, sebuah encoded JavaScript akan meload sebuah applet yang mengandung exploit. Pada sebuah system yang belum di-patch, akan terjadi beberapa modifikasi pada registry keys dan setting Web browser.  Kalau menurut para pembuat virus inilah yang paling baik, karena kita harus melakukan perbaikan secara menyeluruh di setiap perubahan yang telah dilakukan oleh virus JS_FORTNIGHT.D ini. Dengan ukuran 577 byte (pada file signature htm file), 3,248 byte (link pada signature file), 8,677 byte (pada php file yang akan meload htm file linked pada signature file)

Perlahan tapi pasti virus ini akan berkembang menjadi sebuah virus yang mengganggu, seperti pada varian yang terdahulu perlahan tapi pasti akhirnya menjadi sebuah virus yang mengganggu.

Bagaimana penyebaran virus di bulan November 2003?

Pada bulan-bulan ini mungkin adalah bulan-bulan yang menentukan untuk menuju bulan Desember 2003. Microsoft telah mengumumkan ada celah keamanan yang baru telah ditemukan. Celah keamanan ini terdapat pada system Windows yang menyerang para pemakai  Messenger (AOL, ICQ, YM). Dikatakan bahwa virus akan dapat masuk melalui celah keamanan ini. Jadi kita tinggal menunggu beberapa saat lagi bahwa akan ada virus yang khusus dibuat untuk menyerang AOL, ICQ, YM dan yang sejenis lainnya. Dan kalau kami pantau, banyak sekali perusahaan-perusahaan di Indonesia menggunakan sarana chating tersebut sebagai alat komunikasi antar sesamanya. Mereka tidak menyadari bahwa dengan memakai software-software tersebut berapa banyak bandwidth yang terpakai, dan betapa rentannya windows terhadap virus yang akan masuk ke dalam komputer kita.

Kemudian, kalau anda perhatikan banyak sekali virus-virus yang mengandung resiko tinggi terjadi penyebarannya pada hari-hari Jumat (week end). Sepertinya sudah merupakan trend bagi para pembuat virus, akan melepas virus-virusnya pada hari-hari Jumat, menjelang week-end. Dan ketika hari Senin, kita mulai bekerja virus telah menyerang komputer anda sekalian. Ini diakibatkan karena kita belum sempat mengupdate file definisi antivirus kita. Jadi waspadalah karena akan banyak sekali virus-virus yang ganas menjelang Idul Fitri, Natal dan Tahun Baru. Jadi jangan lupa sering-sering membaca ulasan-ulasan dari vendor-vendor antivirus dalam menghadapi tutup tahun 2003 ini.

Marcel "Gemini Man" Glenn Latupeirissa
Antivirus Specialist - Technical Support

PT VAKSINCOM
Rifa Building 4th floor
Prof. Dr. Satrio Block C4/6-7
Jakarta 12950
Indonesia

Phone     : 021-526 0787

Fax         : 021-526 0752

Email      : teknisi2@...

Web Site :  http://www.vaksin.com

W32.Pesin dan AntiPesin    6 November 2003

Virus patah hati made in Indonesia

Jika anda sering menggunakan disket dan termasuk pelanggan setia warnet atau sering bertukar data dengan rekan pengguna warnet, coba teliti apakah disket anda mengandung file :

My Love.exe

Kenangan.exe

Hallo.exe

Puisi Cinta.exe

My Heart.exe

Jangan Dibuka.exe

Mistery.exe

Dengan logo seperti dokumen MS Word(lihat gambar)

Jika ada artinya disket anda sudah terinfeksi virus Pesin yang sedang merambah warnet-warnet di Indonesia sejak bulan September 2003. Laporan infeksi kami dapatkan terutama dari warnet di pulau Jawa dan Sumatera. Meskipun Norman Virus Control sudah mendeteksi virus ini sejak bulan September 2003, namun karena ketidak tahuan pengguna internet yang menggunakan program antivirus yang tidak terupdate / bajakan dan tidak melakukan update dengan baik maka Pesin dapat dengan leluasa menyebarkan dirinya.

Sederhana tapi Efektif

Sebenarnya teknik penyebaran Pesin sangat sederhana, bahkan boleh dibilang kuno. Tetapi rupanya metode tersebut sangat cocok dengan kondisi pengguna komputer (warnet) di Indonesia yang pemanfaatan disketnya masih cukup tinggi. Pesin menyebar melalui perantaraan disket yang dimasukkan ke komputer yang terinfeksi untuk kemudian menginfeksi komputer lain yang bersih jika disket yang terinfeksi diakses oleh komputer lain. Metode ini sama seperti virus awal di tahun 1986an seperti Brain atau virus lokal Denzuko yang menyebarkan dirinya hanya melaui disket, tetapi saat itu media internet belum berkembang seperti hari ini sehingga penyebarannya tidak fenomenal seperti Lovebug atau Klez. Sebagai informasi tambahan, tidak seperti virus yang banyak menyebar sekarang, Pesin bahkan tidak dienkripsi. Boleh jadi penciptanya menganut pandangan "Untuk apa di enkrip, toh cepat atau lambat pasti akan berhasil di dekrip oleh vendor antivirus". Dan pandangan tersebut ada benarnya atau boleh dikatakan tepat karena enkripsi tidak akan membuat virus bertahan hidup lebih lama, hanya membuat lebih sulit untuk di oprek saja. Yang membuat satu virus bertahan hidup lebih lama adalah kejelian pembuat virus memanfaatkan situasi dan kondisi yang ada dan virus yang berhasil menyebar dengan luas tidak harus memiliki pemrograman yang canggih atau enjelimet. Salah satu bukti adalah virus Annakournikova dimana virus yang berhasil menggegerkan para pengguna internet di tahun 2001 diciptakan oleh remaja Belanda yang tidak memiliki pengetahuan yang luar biasa dalam pemrograman dengan menggunakan program pembuat virus Kalamar, tetapi virus ini berhasil mengelabui pengguna internet untuk mengklik lampiran ekstensi ganda yang datang karena menjanjikan gambar petenis cantik Anna Kournikova.

Cara Kerja

Pertama kali dijalankan, Pesin akan "menyamar" sebagai proses windows dengan nama SysTask.exe (dan bukan aplikasi) sehingga tidak akan terlihat di aplikasi pada Task Manager. Selain itu, Pesin akan mengkopikan dirinya ke direktori C:\MyDocuments dengan nama MyHeart.exe. Setelah berhasil mengaktifkan dirinya pada memori komputer, Pesin akan  membuka pesan pada MS Word dalam bahasa Indonesia / Inggris sebagai berikut :

Agar windows menjalankan dirinya secara otomatis setiap kali start, Pesin akan mengubah registri sebagai berikut :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
LoadService="%System%\Systask.exe /run"

Dimana "%System% adalah direktori sistem pada OS Windows seperti :

C:\Windows\System (Win 95/98/ME), C:\Windows\System32 (Win XP) dan C:\WINNT\System32 (Win NT/2000).

Jika berhasil aktif di memori, Pesin akan berusaha menginfeksi disket yang ada dengan mengkopikan dirinya dengan salah satu nama di bawah ini :

• My Love.exe
• Kenangan.exe
• Hallo.exe
• Puisi Cinta.exe
• My Heart.exe
• Jangan Dibuka.exe
• Mistery.exe

Sedikit menyerupai Swen, Pesin berusaha menghalangi akses ke aplikasi :

• Registry Editor
• System Configuration
• System Configuration Utility

Sehingga komputer yang terinfeksi akan kesulitan menjalankan ke tiga aplikasi di atas karena akses Mouse dan Keyboard untuk ke tiga aplikasi ini di blok. Hal ini cukup cerdik dan tentunya membingungkan pengguna komputer dengan kemampuan menengah sekalipun :).

Hal yang berbahaya yang dikandung oleh Pesin adalah ia akan mencoba untuk mengubah "Autoexec.bat" untuk menghapus folder Windows dan Program Files. Melihat yang di incar adalah direktori dan data program yang tidak memiliki nilai ekonomis dan dapat di install ulang kembali maka dapat disimpulkan bahwa pembuat Pesin ini tidak bermaksud jahat seperti pembuat Explorezip atau Kelz.E yang menghancurkan semua data MS Office dari pengguna komputer yang terinfeksi.

Disinfeksi

Untuk mendisinfeksi Pesin, langkah yang perlu dilakukan adalah sebagai berikut :

1.      Untuk Windows ME dan Windows XP non aktifkan dahulu System Restore.

2.      (Windows 95/98/ME), jalankan Windows dalam Safe Mode

atau

(Windows NT/2000/XP), masuk ke Task Manager [Ctrl][Shift][Esc], Klik tabulasi [Processes], klik [Image Name] untuk mengurutkan proses secara abjad dan cari proses dengan nama "SysTask.exe", lalu klik sekali pada proses "Systask.exe" dan klik [End Process] untuk mematikan Pesin.

3.      Scan komputer dengan program antivirus yang terupdate dan telah dapat mengenali Pesin, kami menggunakan Norman Virus Control yang dapat di download di ftp.cbn.net.id/vaksin dan bersihkan semua file yang terdeteksi sebagai Pesin.

4.      Bersihkan registri yang dirubah oleh Pesin dengan cara (jangan lupa back up dahulu registri anda, segala kesalahan dalam mengubah registri akan menyebabkan kerusakan OS menjadi tanggung jawab anda) :

o        Jalankan registry editor dengan cara [Start][Run] ketik [Regedit] dan tekan [Enter] anda akan mendapatkan menu Registry Editor

o        Masuk ke registri :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
dan pada kolom kanan hapus registri

"LoadService"="%System%\SysTask.exe /run"

dengan cara klik kanan dan pilih delete.

o        Simpan kembali registri anda dan restart komputer.

Komputer anda sudah bersih dari Pesin.

Tools Pesin

Bagi anda yang mengalami kesulitan dalam mengutak atik registri, ternyata ada mahasiswa komputer yang baik hati dari Universitas di bilangan Kemanggisan yang membuatkan tools pembersih Pesin. Setelah kami coba, ternyata tools AntiPesin tersebut dapat berfungsi dengan cukup baik dengan beberapa catatan :

·        AntiPesin harus dikopikan dulu ke root c:\ baru dijalankan, jika tidak tools tersebut tidak dapat berfungsi dengan sempurna.

·        Setelah melakukan pembersihan Pesin, jika komputer tidak melakukan restart (karena satu dan lain hal), “sangat disarankan” untuk melakukan restart secara manual supaya perubahan registri dan penghapusan file virus dapat berjalan dengan sempurna.

·        Tools yang kami coba AntiPesin.B tidak dapat menghapus file SysTask.Exe (yang mengandung Pesin) di disket yang kami kopikan secara sengaja. Karena itu, untuk menjamin sistem anda bersih dari Pesin, kami merekomendasikan untuk tetap menggunakan program antivirus yang terupdate dan dapat mengenali Pesin dengan baik seperti Norman Virus Control, Kaspersky Antivirus atau TrendMicro.

Tools AntiPesin dapat di download di antipesin

Informasi terakhir dari salah satu korban Pesin adalah :

Selain dalam format Word, Pesin dengan cerdik memalsukan dirinya sesuai dengan file asli milik kita (contoh: "Laporan Akhir") sehingga kita terjebak untuk membuka file virus tersebut, sedangkan file asli milik kita yang berisi data-data direname menjadi "~Temp45". Nama file asli selalu terganti seperti itu dan untuk orang awam tentu mengira bahwa itu adalah file temporary word dan biasanya dihapus. Walhasil semua hasil kerja jadi hilang, kalau tidak hati-hati semua file bisa lenyap seketika karena virus tersebut (akibat tidak langsung).

Sebelum saya menemukan antivirus yang bisa melenyapkan virus menyebalkan itu, satu-satunya cara mendeteksi hanyalah ketika akan membuka file di window explorer, setting view files saya set Details agar terlihat jelas format file serta besarnya kapasitas file. Virus Pesin ini selalu muncul dalam bentuk Application dan besarnya selalu 256Kb. Kalau file virus dihapus, dia akan muncul lagi bahkan "berkembang biak".

PT. Vaksincom mengucapkan terimakasih kepada Sdr. Angga ang****@... dan Sdri. Sari Indah sari******@... atas kontribusinya memberikan informasi virus Pesin. Anda berdua berhak mendapatkan NVC for workstation dan update 1 tahun secara Gratis.

Dapatkan Norman Virus Control for workstation + Update Engine dan Definisi 1 tahun OEM (bitPROTECT) seharga Rp. 50.000,- **  setiap anda membeli hardware komputer bundling di kota Jakarta (Mangga Dua - Vaksincom 62303900 & Glodok Plaza - DMM Komputer 6230 2828), Bandung (Harrisma   421 0800), Surabaya (Ronar Komputer 8419841), Jogjakarta (Wirabuana Komputer 586 613 / 522 077) dan Medan (NusaMega Komptuer 734 9800)

** Ketentuan OEM berlaku.

AAT

W32.Mimail.H@mm    17 November 2003

Kali ini mengincar pelanggan Paypal

W32.Mimail.H@mm adalah sebuah virus jenis worm yang menyebar dan menyerang menggunakan vasilitas email. Virus ini dibuat untuk mencuri semua informasi kartu kredit. Worm ini ditampakkan sebagai sebuah web page yang mana akan menanyakan kepada user untuk mengisi  informasi credit card-nya. Semua informasi yang didapat (password, UserID, No.PIN)  akan disimpan dan kemudian akan dikirim ke beberapa email addresses yang telah ditentukan dengan menggunakan SMTP kita. Virus ini dikemas dalam sebuah paket UPX yang dikompres dan berukuran 12,832-byte. File attach tersebut biasanya bernama :

- PAYPAL.ASP.SCR atau

- WWW.PAYPAL.COM.SCR

Bagaimana virus itu bisa sampai di komputer anda?:

Pertama kali worm ini akan mengambil informasi dari sebuah web site www.akamai.com untuk mengecek Internet connection. Jika ada sebuah komputer calon korban terkoneksi dalam internet, maka proses rutin dari virus tersebut akan dijalankan, kalau tidak  ia akan kembali lagi dan menetap di memori.

Ada 3 tahapan yang digunakan oleh W32.Mimail.H@mm

Tahap I : Capture Informasi Kartu Kredit anda

Petama virus ini mengumpulkan dan menyimpan semua input informasi kartu kredit anda pada sebuah file yang benama C:\PPINFO.SYS. Setelah mendapatkan semua informasi yang diperlukan, ia mencoba untuk mengirimkan data tersebut ke alamat-alamat email di bawah ini :

- mekayamo@...

- xacash@...

- faisuck@...

- iostics@...

- mced4cc@...

Tahap II : Mengumpulkan Email Address :

Tahap kedua adalah virus ini akan diam sejenak selama 1 jam sebelum melakukan proses berikutnya. Pada tahap ini virus ini akan mengumpulkan alamat email pada system Internet cache dengan mencari semua file dari semua folder target, yang diarahkan melalui registry key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders

Semua alamat email yang didapat akan disimpan pada sebuah file yang bernama C:\Windows\EL388.TMP.

Virus ini mempunyai kemampuan untuk tidak memeriksa beberapa file yang tidak mengandung alamat email. Usaha ini dilakukan agar pencarian akan lebih cepat. File-file tersebut adalah :

-          AVI

-          BMP

-          CAB

-          COM

-          DLL

-          EXE

-          GIF

-          JPG

-          MP3

-          MPG

-          OCX

-          PDF

-          PSD

-          RAR

-          TIF

-          VXD

-          WAV

-          ZIP

Tahap III : Penyebaran

Dengan menggunakan email dalam bentuk propaganda virus ini berusaha menyebar di dalam komputer anda.  Setelah anda jalankan, maka pertama kali virus ini tidak akan mengeluarkan reaksi apa-apa. Ia akan berdiam diri selama 1 jam sebelum melakukan routin yang lainnya.

Perhatikan kalau anda menerima sebuah email dengan ciri-ciri sebagai berikut :

maka sudah dapat dipastikan bahwa ini adalah sebuah email yang bervirus.

Norman Virus Control dengan update tanggal 14 November 2003 sudah dapat mengenali Mimail.i dengan baik. Bila anda belum mengupdate program antivirus anda, kami sarankan segera melakukan update karena Mimail.i sudah banyak beredar di Indonesia dan PT. Vaksincom sudah mendapatkan banyak kiriman Mimail.i. Untuk pelanggan PT. Vaksincom, lakukan update dengan klik [Start][All Programs][Norman Virus Control][Internet Update].

Ketika seorang user menjalankan file attach, maka virus tersebut akan mendrop beberapa buah file seperti :

C:\PP.GIF - 902 byte

C:\PP.HTA - 3,396 byte

C:\PPINFO.SYS

C:\Windows\SVCHOST32.EXE

C:\Windows\ZP3891.TMP -

C:\Windows\EE98AF.TMP – salinan dari virus

C:\Windows\EL388.TMP – hasil dari pengumpulan alamat email

(Folder dari Windows bisa berbeda, bisa C:\Windows atau C:\WINNT.)

Keterangan :

File SVCHOST32.EXE adalah copy dari worm tersebutis, dan file PP.GIF adalah sebuah file GIF yang tidak mengandung virus dan merupakan logo dari Paypal. 2 file lainnya adalah fie-fiel pendukung dari virus tersebut. File EL388.TMP berisi kumpulan dari alamat email yang ditemukan, dan file EE98AF.TMP adalah copy dari virus tersebut. File ZP3891.TMP, akan dihapus karena tidak digunakan.

Tekhnik Penyebaran :

Untuk memastikan bahwa virus ini akan selalu diesekusi setiap kali windows startup, worm ini akan membuat sebuah autorun registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
SvcHost32 = "%Windows%\svchost32.exe"

Informasi Pencurian :

Untuk mencuri informasi sebuah kartu kredit, worm ini menggunakan file PP.HTA, dan sebuah file file executable HTML yang membuka sebuah form yang mana menanyakan user user untuk memasukan secara benar Nomor Kartu Kredit, PIN dan CVV code yang dapat dipercaya, dan masa berlakunya kartu kredit tersebut. Contohnya dapat anda lihat di bawah ini :

Jika semua sudah diisi dengan benar dan user yang sudah terinfeksi oleh virus ini meng-klik tombol Next, virus ini akan menampakan sebuah message yang mengatakan bahwa account anda sudah sukses diupdate, seperti contoh di bawah ini :

Worm ini kemudian akan membuat log dari semua informasi yang didapatnya pada sebuah file PPINFO.SYS. dan kemudian akan mengirimkan semuanya ke alamat email yang sudah disediakan :

- mekayamo@...

- xacash@...

- faisuck@...

- iostics@...

- mced4cc@...

Cara menghapusnya :

1.       Hapus file EE98AF.TMP, EL388.TMP, ZP3891.TMP dari Folder Windows  

2.       Hapus file PP.GIF, PP.HTA, C:\PPINFO.SYS dari C:\root

3.       Open Registry Editor remove key:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SvcHost32]

4.       Buka Task Manager tekan tombol [CTRL]+[ALT]+[DEL] atau [CTRL]+[SHIFT]+[ESCAPE] untuk Win2000/XP gunakan "End Process" pada svchost32.exe (bukan svchost.exe)

5.       Jalankan antivirus yang terupdate data definisinya.

Gemini Man

Teknisi2@...

Serangan Virus November 2003 di Indonesia      2 Desember 2003

Bulan Varian Virus

Sebelumnya atas nama PT VAKSINCOM kami mengucapkan Selamat Hari Raya Idul Fitri 1 Syawal 1424 H. Mohon maaf kepada seluruh rekan-rekan sekalian jika kami pernah membuat sesuatu kekeliruan dan penjelasan-penjelasan yang kurang lengkap di dalam menghadapi penanggulangan virus.

Mungkin anda pernah mendengar virus VBS.Loveletter atau dapat dikenal juga sebagai virus VBS.IloveYou??? Virus tersebut adalah salah satu virus yang menyebar dengan banyak sekali varian-variannya. Sempat kami membuka sebuah web site antivirus dan mencari nama virus tersebut, ternyata varian dari virus tersebut sudah mencapai tidak kurang dari 50 varian. Angka ini cukup siknifikan. Untuk diketahui virus ini menyebar pertama kali pada tanggal 12 Juli 2001. VBS.ILoveYou.A adalah sebuah virus worm yang menginfeksi dengan cepat sekali. Virus ini mengandung sebuah file VBS dan kalau menyebar ia menggunakan email sebagai mediumnya. Karena cepatnya sebuah mail server dapat dibuat menjadi overload. Virus ini dibuat dengan menggunakan bahasa pemograman Microsoft's Visual Basic Script. Virus ini cukup berbahaya karena ia mengandung sebuah muatan yang akan mencari direktori dan subdirektori di seluruh lokal dan drive yang ditemukan dan akan menghapus file-file yang berekstensi VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP3, dan MP2. Akibatnya file-file tersebut sekarang sudah berisi skrip dari virus tersebut serta ekstensinya akan ditambah dengan VBS (double ekstensi). Setiap kali sebuah file yang terinfeksi dibuka, maka virus akan segera aktif. Sebagai contoh, sebuah file yang bernama gemini.MP3 akan menjadi gemini.MP3.VBS. Untuk file-file MP2 dan MP3 ekstensinya aslinya akan disembunyikan (MP2.VBS dan MP3.VBS).

Evaluasi Serangan Virus Bulan November 2003

Dan untuk bulan ini (November 2003), muncul lagi beberapa varian virus dengan nama W32.Randex dan W32.Mimail. Sejauh ini, untuk virus Randex selama bulan November 2003 muncul dengan 6 buah varian. Dan untuk virus Mimail muncul dengan 9 buah varian. Khususnya Virus Mimail ini pertama kali muncul pada tanggal 4 Agustus 2003.  Mimail adalah sebuah worm yang cukup unik dalam mencari alamat email di dalam sebuah komputer yang terinfeksi. Virus ini menyebar melalui SMTP miliknya sendiri, dan selalu membawa sebuah file attach di dalam sebuah file MESSAGE.ZIP yang sebenarnya adalah sebuah file MESSAGE.HTML yang dikompres menggunakan UPX. Tetapi file HTML tersebut mengandung sebuah file Win32.EXE yang dikenal dengan nama FOO.EXE. Ketika file .ZIP tersebut dibuka,  virus ini akan menyerang celah keamanan yang ada di dalam program Internet Explorer, yang menginzinkan sebuah script dapat dijalankan pada komputer lokal. Adapun produk Microsoft yang diserang adalah :

-          Microsoft Outlook Express 5.5

-          Microsoft Outlook Express 6.0

-          icrosoft Internet Explorer 5.01

-          Microsoft Internet Explorer 5.5

-          Microsoft Internet Explorer 6.0

Pertama-tama, virus ini akan memeriksa apakah komputer kita terhubung dengan ke internet dengan mencoba menghubungi sebuah web site http://www.google.com. Jika berhasil, virus ini mencoba untuk mencari alamat email dari komputer kita. Alamat email yang didapat kali ini bukan hanya dari file-file .HTML, .DBF dan lain sebagainya, tetapi kali ini semua file yang berekstensi seperti : bmp, avi, cab, com, dll, exe, gif, jpg, mp3, mpg, ocx, pdf, psd, rar, tif, vxd, wav, dan zip. Setelah semua alamat email didapat, virus ini akan mengkoleksikan di dalam sebuah file yang bernama eml.tmp dan diletakkan di dalam direktory C:\WINDOWS. Bisa jadi virus worm ini mempunyai sifat spam, karena ia akan mengirim ke ribuan alamat email yang ditemukan.

Berita terkait :

W32.Mimail.A@mm   

http://www.vaksin.com/virusnews/2003/0803/mimail.htm

W32.Mimail.I@mm

http://www.vaksin.com/mimail_i1.htm

Bagaimana dengan di Indonesia ?

Untuk kasus virus di Indonesia selama bulan November 2003 ini tidak banyak mengalami perubahan yang cukup berarti. Virus VBS/Redlof.A@m, W32/Funlove.4099, W32/Klez.H@mm dan JS/Kak@m masih tetap mendominasi.

Yang harus diperhatikan dan diwaspadai ada sebuah virus yang cukup mengganggu selama akhir bulan November ini. Dan pihak Vaksin.com telah banyak menerima keluhan terhadap virus ini. Mungkin para pembaca telah mendengar atau mengalami dengan virus yang diberi nama Trojan.Redro. Virus ini menurut kabar burung adalah hasil ‘karya Anak Bangsa’ sendiri. Kami belum tahu kebenaran akan berita tersebut. Tapi yang pasti bahwa virus ini sedang mewabah di Indonesia seperti halnya dengan virus Pesin. Virus ini dapat dikatagorikan cukup berbahaya, karena kalau dia benar-benar aktif menjalankan aksinya maka ia akan menghapus seluruh direktori C:\Program Files dan C:\Windows ketika anda pertama kali booting komputer anda. Mengapa demikian ? Karena file Autoexec.bat telah dimodifikasi menjadi :

@echo off

Echo Windows is updating file(s) Please wait....

SMARTDRV > nul

DELTREE /Y C:\PROGRA~1 > nul

DELTREE /Y C:\WINDOWS > nul

DEL C:\AUTOEXEC.BAT > nul

Virus tersebut mempunyai ciri khas ada file yang bernama hallo.roro.htt

Dan ada sebuah varian baru dari virus JS/Fortnight yang dikenal sebagai JS/Flea.E@m. Virus ini

Menurut laporan yang kami terima, agak susah untuk membasminya. Karena setelah virus tersebut diremove dari komputer, tidak lama lagi ia akan datang kembali. Mungkin ada yang terlewatkan di dalam membasmi virus ini. Menurut Microsoft virus JS/Fortnight bisa masuk ke dalam sebuah komputer disebabkan oleh karena ada celah keamanan yang terbuka. Dan celah keamanan inilah yang dimanfaatkan oleh si pembuat virus untuk menjalankan aksinya.

Dari pengalaman yang terdahulu, Microsoft menganjurkan untuk menginstall Microsoft Virtual Machine versi 3810. Anda dapat mendownloadnya di

ftp://ftp.cbn.net.id/vaksin/Patch/Java_Script/msjavwu_8073687b82d41db93f4c2a04af2b34d.exe

Untuk mencegah virus ini jangan sampai masuk kembali ke dalam komputer anda, diharapkan anda dapat menginstall Internet Explorer versi 6.0 SP1 dan menginstall patch yang disediakan oleh Microsoft. Atau anda dapat mendownload dari ftp-nya Vaksin.com di CBN (hasil kerjasama dengan ISP CBN)  dengan alamat :

Internet Explorer 6 Service Pack 1

- Windows 2000 SP4

- Windows 2000 SP3

- Windows 2000 SP2

- Windows NT® 4.0 SP6A

- Windows Millennium Edition (Windows ME)

- Windows 98 SE

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_6_SP1/q828750.exe

Internet Explorer 6

- Windows XP SP1

- Windows XP

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_6_XP/q828750.exe

Internet Explorer 5.5 Service Pack 2

- Windows 2000 SP4

- Windows 2000 SP3

- Windows 2000 SP2

- Windows NT® 4.0 SP6A

- Windows Millennium Edition (Windows ME)

- Windows 98 SE

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_55_SP2/q828750.exe

Internet Explorer 5.01 Service Pack 3

- Windows 2000 SP3

dan

Internet Explorer 5.01 Service Pack 4

- Windows 2000 SP4

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_501_2K_SP3_SP4/q828750.exe

Setelah anda menginstall patch tersebut anda bisa melakukan permbersihan dengan menggunakan antivirus yang terupdate data definisi virusnya.

Marcel Glenn

teknisi2@...

Evaluasi Serangan Virus 2003     15 Desember 2003

Badai virus di awal tahun

January 2003, Yaha.M dan Klez.H menutup akhir tahun  2002 dan menjadi bingkisan tahun baru yang tidak menyenangkan di awal tahun 2003. Klez menunjukkan kehebatannya sebagai salah satu virus paling panjang umur sepanjang masa karena dapat bertahan di peringkat satu lebih dari 1 tahun. Menurut catatan Vaksincom Klez.A muncul pertama kali di bulan Oktober 2001, dan sampai tahun 2003 variannya terutama Klez.H mampu menduduki singgasana sebagai virus yang paling banyak terdeteksi menyebar di internet. Tercatat juga pembuat virus yang mendompleng ketenaran penyanyi Avril Lavigne dengan mengeluarkan virus Lirva (kebalikan dari Avril). Selain itu, para pembuat virus tidak mau kalah dengan Chrisye dan Sofia Latjuba yang menyanyikan kembali lagu “Kangen” milik group musik Dewa. Pada tanggal 8 Januari 2003, Explorezip.N sebuah worm yang pernah sangat ngetop di jamannya 3,5 tahun yang lalu tepatnya awal Juni 1999 dikompres dengan teknik baru dan disebarkan kembali ke internet. Dengan teknik kompresi baru, Explorezip.N merupakan tamparan bagi para vendor antivirus karena mampu mengelabui banyak program antivirus yang mengklaim memiliki kemampuan heuristic dan update definisi < 9 Januari 2003 terbukti tidak dapat mengenali virus Explorezip.N. Celakanya, Explorezip.N ini menghancurkan semua data MS Office dan hanya dapat direcover kembali dengan menggunakan teknik data recovery tingkat tinggi.

Seakan tidak cukup membuat pengguna komputer menderita, pada tanggal 27 Januari muncul satu virus baru sejenis CodeRed dengan nama Slammer yang menyerang SQL Server 2000. Di Indonesia 3 perusahaan webhosting yang cukup ternama yang terkoneksi ke IDC mengalami kondisi down servernya karena serangan DDos. Traffic yang dihasilkan oleh Slammer bukan main-main, router seklas Cisco 3600 yang termasuk middle class switch tidak mampu menampung bandwidth yang dihasilkan Slammer sehingga mau tidak mau hubungan server ke router harus di cabut dan baru dikoneksikan kembali setelah Slammer dibasmi dan SQL Server dipatch. Lain lagi cerita yang didapatkan oleh Vaksin.com pada hari Senin tanggal 27 Januari 2003, beberapa pelanggan dial- up ISP yang berkantor pusat di Bandung mendadak mengirimkan paket dalam jumlah luar biasa dan mengakibatkan gangguan koneksi pada ISP yang besangkutan. Sampai dengan dua hari setelah serangan Slammer, beberapa ISP masih sulit bernafas karena bandwidth yang sedianya digunakan oleh pelanggannya dihabiskan oleh Slammer. Virus ini bukan merupakan mass mailer dan hanya menyebarkan dirinya melalui scanning port 1434.

Opaserv.K Hukuman BSA untuk pembajak

Setelah mengalami badai serangan virus di awal tahun, bulan February diwarnai dengan munculnya Opaserv.K, varian Opaserv yang menyebar hanya melalui jaringan, baik jaringan internet maupun jaringan komputer lokal dengan penambahan kemampuan menghancurkan harddisk komputer yang terinfeksi. Opaserv akan melakukan scanning atas port 137 dan jika berhasil ia akan menginfeksi melalui port 139. Serangan Opaserv.K yang menghancurkan harddisk korbannya dan memunculkan pesan “seolah-olah” dari BSA (Business Software Alliance) yang menghukum pengguna komputer karena menggunakan program bajakan. Hal ini sempat membuat BSA kebakaran jenggot sehingga mengeluarkan sanggahan. (gambar 1)

Gambar 1

Jangan lupa dengan Sobig.C yang pada tanggal 8 Juni 2003 membuat printer anda kerja bakti menghasilkan banyak sekali print-out dengan karakter-karakter aneh.

Bugbear Reloaded, demikianlah Sophos menggambarkan aksi Bugbear.B yang pada hari pertama kemunculannya langsung menggeser semua virus top termasuk Sobig.C yang barusan mengganas dari singgasananya. Serangan Bugbear.B ini termasuk kategori dashyat, sebagai perbandingan, perhatikan bahwa jumlah Bugbear.B diperingkat satu yang dihentikan adalah 95.000an email, bandingkan dengan Sobig.C yang menempati peringkat dua dengan jumlah email yang dihentikan 25.000an. Hal ini menunjukkan perbedaan kasus yang sangat signifikan (4 kali lipat).

Tambahan Icon baru pada Internet Explorer anda

Bulan Juli 2003, Fortnight.D secara diam-diam mengganas di pengguna komputer Indonesia. Vaksincom mendapatkan banyak keluhan dari aksi fortnight yang diperkirakan Fortnight.D. Cirinya adalah browser IE anda akan mendapatkan 4 icon baru yaitu Antivirus, Entertaintment, Security dan Search (lihat gambar). Fortnight memanfaatkan celah keamanan Microsoft Virtual Machine ActiveX Component yang sebenarnya sejak Oktober 2000 sudah tersedia patchnya, tapi seperti biasanya pengguna tidak ada yang melakukan patch pada program IE nya sehingga setiap kali menerima email yang mengandung Fortnight, kode virus akan berjalan secara otomatis tanpa perlu klik pada pesan email tersebut. (Gambar 2)

Gambar 2

Bencana Besar setelah Codered

Pada tanggal 30 Juli 2003 RPC Dcom vulnerability sudah tersedia patchnya dan PT. Vaksincom sudah mengeluarkan peringatan akan pentingnya patch ini, tetapi “seperti biasa”, pengguna komputer belum merasa perlu melakukan update security patch. Tanggal 13 Agustus 2003 celah keamanan RPC Dcom yang sangat berpotensi menimbulkan masalah ini berhasil di eksploitasi oleh virus Blaster guna menyebarkan dirinya. Hebatnya Blaster memiliki ukuran yang sangat kecil, 6 KB sehingga sangat cepat dan efektif untuk disebarkan melalui internet. Varian Blaster yang berikutnya, MSBlast.D atau Nachi melambatkan koneksi internet semua ISP di Indonesia secara signifikan sehingga selama berbulan-bulan dan beberapa ISP memutuskan untuk memblok pengguna internet yang tidak melakukan update patch RPC Dcom.

Mailserver Kerja Bakti

Setelah seminggu penuh disibukkan oleh ulah Blaster, para pengguna internet tidak mendapatkan kesempatan benafas lega, karena pada tanggal 18 Agustus 2003 telah muncul satu worm baru lagi. Kalau Blaster menyebar melalui jaringan antar komputer dengan sasaran utama sistem operasi Windows 2000 dan XP (windows NT dan 2003 tidak terlalu “diincar” oleh Blaster), maka Sobig.F menyebar menggunakan cara lama, yaitu Email. Hal ini mengingatkan pada duet maut Nimda dan CodeRed di tahun 2001. Pada siang hari ketika PT. Vaksincom mendapatkan peringatan akan adanya worm ini, Sobig.F langsung menduduki peringkat 4 dalam Top 10 virus yang paling banyak dihentikan oleh MessageLabs, pelan tapi pasti Sobig.F menduduki peringkat 3 dan pada malam hari pukul 20.40 WIB telah menempati posisi pertama sebagai virus yang paling banyak dihentikan oleh MessageLabs.Jangan lupa dengan Mimail, yang menyebar melalui SMTP miliknya sendiri, dan selalu membawa sebuah file attach di dalam sebuah file MESSAGE.ZIP yang bertujuan untuk mengelabui bloking executable yang banyak dilakukan oleh mailserver korporat.

Bulan Worm 2003

Agustus - September 2003 dinobatkan sebagai bulan worm. Para pengguna komputer panik. ISP lumpuh. Mungkin ini adalah salah satu berita terbesar yang pernah dialami oleh para pengguna komputer di tahun 2003. Dalam 1 minggu dari tanggal 12 Agustus sampai dengan 19 Agustus 2003 seluruh jaringan internet dunia hampir lumpuh total. Akses menjadi sangat lambat karena virus-virus worm yang mengganas. Adapun virus-virus tersebut adalah, W32/Blaster.A, W32/Nachi.A dan W32/Sobig.F@mm. Blaster dan Nachi menyerang para pengguna komputer dengan memanfaatkan celah keamanan yang ada di dalam Windows NT 4, Windows 2000, Windows XP dan Windows 2003. Pertama-tama virus ini akan memeriksa port 135 apakah dapat ditembus atau tidak. Dengan pengertian, apakah para pemakai komputer sudah melakukan penginstalan patch yang telah diberitahukan dan diberikan oleh Microsoft jauh-jauh hari sebelum hal ini tejadi. Kalau belum dengan mudahnya virus ini masuk ke dalam komputer yang belum dipatch. Jika virus ini sudah masuk ke dalam komputer anda, maka ada kejadian-kejadian yang tidak menyenangkan akan anda alami. Ketika anda sedang mengetik sesuatu komputer anda tiba-tiba akan meminta untuk direstart atau merestart dirinya sendiri. Cukup menjengkelkan bukan. Kejadian ini banyak sekali terjadi dan hampir seluruh para pengguna komputer dengan menggunakan system operasi windows NT4, 2K, XP dan 2K3 dan terhubung dengan sebuah jaringan internet. Ada sebuah kejadian yang dialami oleh para pengguna notebook. Ketika mereka terhubung dengan internet dan menggunakan dial-up langsung diserang oleh virus-virus tersebut. Dan pernah ada yang melapor ke Vaksin, notebooknya sampai tidak bisa lagi digunakan, karena terlalu seringnya virus itu meminta restart.

Lem Tikus cap Gajah

Kalau ditanya, virus apa yang di tahun 2003 mampu menjerat komputer anda seperti lem tikus, jawabannya adalah Swen. Jika komputer anda terinfeksi oleh Swen, anda tidak akan mudah membersihkannya karena setiap kali anda ingin menjalankan regedit untuk membersihkan Swen, yang anda jalankan adalah Swen sendiri karena ia mendaftarkan dirinya sebagai semua executable J.

Virus Patah Hati sesudah Linong

Virus lokal (asli Indonesia) yang membuat pusing banyak pengguna warnet adalah W32.Pesin, Virus patah hati made in Indonesia. Virus yang di “klaim” dibuat oleh seorang programmer dari daratan Sumatera ini berhasil menginfeksi warnet-warnet dan pengguna disket di seluruh Indonesia dan sempat memusingkan pengguna warnet untuk waktu yang cukup lama, dari bulan September sampai dengan November 2003. Jika anda sering menggunakan disket dan termasuk pelanggan setia warnet atau sering bertukar data dengan rekan pengguna warnet, coba teliti apakah disket anda mengandung file :

My Love.exe

Kenangan.exe

Hallo.exe

Puisi Cinta.exe

My Heart.exe

Jangan Dibuka.exe

Mistery.exe

Dengan logo seperti dokumen MS Word(lihat gambar 3)

Sekali anda mendapatkan pesan seperti dibawah ini (gambar 4)

(Gambar 4)

artinya komputer anda sudah terinfeksi Pesin. Dan salah satu kemampuan yang dimiliki oleh Pesin adalah memblok akses ke regisrty editor dengan melumpuhkan keyboard dan mouse anda setiap kali membuka regedit.

Veteran

Jangan lupakan juga Funlove, Redlof dan JS/KAK@m yang beberapa kali konsisten menduduki peringkat 5 besar sebagai virus yang paling banyak terdeteksi dihentikan oleh Vaksincom. Ketiga virus ini memiliki kemampuan duplikasi yang sangat tinggi dan sangat membandel sehingga tidak dapat dengan mudah dibersihkan dari komputer, khususnya komputer yang terhubung ke jaringan. Walaupun anda sudah memformat komputer yang terinfeksi, sekali anda menghubungkan kembali komputer ke jaringan, dalam waktu singkat komputer anda akan kembali terinfeksi. Apa yang harus anda lakukan adalah melakukan update atas celah keamanan yang tepat. Dan jika anda merasa hal ini terlalu berat karena setiap hari selalu ditemukan celah keamanan baru untuk semua software, pertimbangkan untuk menggunakan software pendeteksi celah keamanan seperti Retina dari Eeye atau outsource masalah antivirus anda dan serahkan kepada ahlinya. Kecuali anda merasa beban pekerjaan anda masih kurang dan anda siap untuk menghadapi semua serangan virus sendirian. Salam sejahtera dan selamat berlibur.

AAT

Antivirus Specialist

PT. Vaksincom

www.vaksin.com

Virus Incidents Indonesia 2003     December 26, 2003
 (English Version)

http://vaksin.com/virus_2003_english.htm

Virus Storm in the New Year
In January 2003, Yaha.M and Klez.H have closed year 2002 and have become unwanted 2003’s New Year presents. Klez (especially Klez.H) has proven as one of the long lasting virus in history. It stays in the Top 10 virus charts for more than one year. Klez.A made its first appearance in October 2001 and until year 2003, its variant Klez.H consistently hit the number one position on the virus monthly virus chart (MessageLabs, Sophos, Vaksin.com).
Also registered “Celebrities� worm, Lirva that make the infected PC’s to access Avril Lavigne’s website automatically. The 2003’s most succesful refurbished worm award go to Explorezip.N, a very popular worm 3.5 years ago (approximately June 1999) recompressed and distributed through the internet on January 8 and surprisingly undetected by most antivirus vendor (with update less than January 9, 2003), even by the best heuristic engine claimed to be able to detect replication of complicated polymorphic virus. The bad news is Explorezip.N destroy all the MS Office data “completely� and almost impossible to recover (like Klez.E action).

As if “misery� is not enough, on January 27 new generation of CodeRed like virus appear. It was Slammer that attacks Microsoft SQL Server 2000. In Indonesia, 3 big webhosting companies connected to IDC was brought down by Ddos caused by Slammer. Traffic caused by Slammer is really heavy that it could not be handled even by Cisco 3600 router (middle class router) and the only way to overcome this is to unplug the router and reconnected only after Slammer has cleaned from the infected server. Another Slammer story comes from Bandung’s ISP. Its dial up customers suddenly broadcasted data packet in huge quantity and jammed the ISP’s bandwidth. In our record, Slammer scan port 1434 in order to spread itself.

Opaserv.K, “BSA the Punisher�
After January’s storm, February was marked by the appearance of Opaserv.K, Opaserv’s variant that spread “only� through network (not email) including internet network and intranet network. Opaserv.K has additional nasty payload that can destroy harddrive of the infected computer right after showing “fake� message from BSA. It makes user think BSA (Business Software Alliance) punish the user by destroying their harddrive because of piracy. Of course BSA denied this (see attached image 1)


Image 1

Also Sobig.C that made your printer working very hard on June 8 by printing bulk of random characters.
Bugbear Reloaded, as Sophos describe Bugbear.B action, whose in the premier of its appearance climbed straight to the Top list of virus chart as number one virus, throwing Sobig.C to number 2. Speed and quantity of Bugbear.B was categorized as huge. As number one virus it is stopped by Messagelabs in 95.000, email it is 4 times compared to the second rank Sobig.C that “only� stoppped by MessageLabs in 25.000 email.

New Icon in you Internet Explorer
In July 2003, Fortnight.D silently spread in Indonesia’s internet community. Vaksincom received a lot of “virus suspected� question and it has been confirmed to be Fortnight.D. If your IE get “new� button such as “Antivirus�, “Entertaintment�, “Security� and “Search� (Image 2) it means that your PC already infected by Fortnight.D.


Image 2

Fortnight.D exploited Microsoft Virtual Machine ActiveX, a component that should be patched since October 2000. But as usual, because of unpatched system, everytime victims received email containing Fortnight the virus code will automatically be executed without a click.

Disaster after CodeRed
On July 30, patch for RPC Dcom vulnerability was already available and Vaksincom already issue a notification about the importance of this patch. But majority users “again� didn’t take proper action. On August 13, Blaster the first worm which exploited RPC Dcom vulnerability rose and spread in lightning speed. This “only� 6 KB worm spread very fast and efective because of its small size and > 95 % unpatched Windows system. The next variant of Blaster, MSBlast.D / Nachi crippled most ISP in Indonesia for months by consuming valuable bandwitdh to spread itself. Few ISP even comes to a brave decision to block any unpatched system, even if it is their customer.

Hard Days Night for Mailserver
A week after Blaster attack, internet user did not have the opportunity to breath. On August 18, a new worm was coming. If Blaster do its job by attacking network (infrastructure) with Win 2000 and XP as the main target (Win NT and 2003 were not affected “too much� by Blaster), the new worm called Sobig.F crippled mailserver and caused spam. It remind us to deadly duo in 2001, CodeRed and Nimda.
Mark Mimail who has its own SMTP server to spread and always contains one file “MESSAGE.ZIP�, intended to fool corporate mailserver which blocks all executable and allow compressed attachment.

The Worm Month 2003
August and September were nominated as Worm Months of 2003. Computer user panic, ISP crippled. In one week from August 12 to August 19, 2003 internet almost crippled. Internet access become very slow because the bandwidth consumed by worm which are W32/Blaster, W32/Nachi.A and W32/Sobig.F@mm. Blaster and Nachi attack user by exploiting vulnerability in Windows XP, 2000, NT and 2003, the worm will start by scanning port 135 to find out whether it can be exploited or not. If the victims PC hasnot been patched, it will be infected and became the host that do the scanning, looking for another victims again and again. So, when you are doing something online and suddenly your PC restarting or asking for restart, most probably your PC has been infected by Blaster. On extreme case, user cannot use his PC because it keeps asking for restart.

Sticky Virus Award
The Sticky Virus Award 2003 virus goes to Swen. Once your system is infected, it will be difficult to clean because everytime you run regedit.exe in order to remove virus entry, you will run the virus again. It is because Swen register itself as “ALL� executable �.

Broken Heart Virus after Linong
Local virus (made in Indonesia) that infect most cybercafe in Indonesia is W32.Pesin.A. This broken heart themed virus “proudly� claimed that it was made by programmer of Sumatera Island succesfully infected most cybercafe in Indonesia because of its smart payload that infected FDD wihch is “surprisingly� still very popular in Indonesia’s cybercafe community (especially student). Pesin spread widely in September – November and decreasing case still confirmed up to December 2003.
If you are cybercafe user or one of your network member is cybercafe user, please check whether your PC and FDD contains one the following files :

My Love.exe
Kenangan.exe
Hallo.exe
Puisi Cinta.exe
My Heart.exe
Jangan Dibuka.exe
Mistery.exe
With logo like MS Word documents (image 3)
Once you get message like this (image 4)

(Image 4)

it means that your PC is infected by Pesin. One of its payload is its ability to block access to Registry Editor (regedit.com) by disabling your Keyboard and Mouse everytime you open Regedit.exe.

Veteran
The Veteran League still appearing now are Funlove, Redlof and JS/KAK@m. They consistently get in to the Big 5 of the Top 10 virus stopped by Vaksincom. These viruses (especially Redlof) have high ability to duplicate itself over infected system. We usually got report that one PC have thousands of infected file detected as foldet.htt. Also they are very persistent and difficult to remove. Even after you have cleaned and formatted your PC, once you connect it again to the network, the virus will simply go back in a minute. What you have to do is make an update to the correct vulnerability exploited by the viruses. And if you think this routine consume your resource and time, consider do an auto update (Win XP and 2000 only) or outsource it to the expert.

Merry Christmas and Happy Newyear.

Translated by BMB (Bernie) from Original Indonesian article of AAT.

Virus Incidents December 2003    5 Januari 2003

Mengapa Harus Redlof  ?

Mengapa Harus Inul ? Mungkin pertanyaan tersebut paling sering ditanyakan oleh para penggiat Showbiz di tahun 2003. Tidak mau kalah dengan dunia showbiz, dunia virus di bulan Desember 2003 juga diramaikan kembali maraknya Redlof yang kini muncul dengan varian barunya Redlof.A dan Redlof.C. Mengapa Harus Redlof ? Kalau mengapa Inul, kami tidak akan mencoba menjawab, tetapi kalau Mengapa Redlof silahkan baca terus artikel ini.

Mungkin ini adalah salah satu jenis virus VBS yang menyerang dengan lambat namun pasti. Jika anda melihat presentase penyebaran dari virus tersebut, maka anda mungkin bertanya-tanya, mengapa ini sampai terjadi? Redlof adalah virus yang dibuat dengan VBS (Visual Basic Script) yang cukup merepotkan karena agak bandel dan sulit dibasmi. Redlof sebenarnya sudah muncul cukup lama (bulan Mei 2002). Redlof yang dikenal juga dengan nama VBS/Redlof-A menginfeksi HTM, HTML, ASP, PHP, JSP, HTT dan VBS dengan memasukkan VBScript yang mengandung kode virus yang terenkripsi ke dalamnya. Redlof memanfaatkan celah keamanan Microsoft VM ActiveX yang memungkinkan virus ini secara otomatis dijalankan "hanya" dengan membuka halaman HTML yang terinfeksi.

Secara cerdik, Redlof menyembunyikan dirinya dengan menginfeksi folder.htt yang mempunyai attribut hidden (tersembunyi). Redlof juga menyebarkan dirinya melalui email dengan menginfeksi blank.htm, dengan mengubah banyak registri pada windows seperti :

HKCU\Identities\<DefaultId>\Software\Microsoft\Outlook Express\<OutlookVersion>

\Mail\Compose Use Stationery

HKCU\Identities\<DefaultId>\Software\Microsoft\Outlook Express\<OutlookVersion>

\Mail\Stationery Name

HKCU\Identities\<DefaultId>\Software\Microsoft\Outlook Express\<OutlookVersion>

\Mail\Wide Stationery Name

HKCU\Software\Microsoft\Windows Messaging Subsystem\Profiles\

Microsoft Outlook Internet Settings\

0a0d020000000000c000000000000046\001e0360

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging

Subsystem\Profiles\Microsoft Outlook Internet Settings\

0a0d020000000000c000000000000046\001e0360

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\dllfile

Dan seperti yang sudah dijelaskan pada artikel-artikel terdahulu mengenai virus ini, kita harus mematikan fasilitas WSH (Windows Scrip Host) yang ada pada setiap system operasi Windows yang kita gunakan. Ini adalah salah satu jalan dimana virus ini akan menggunakan fasilitas WSH untuk menjalankan script yang ada pada tubuh virus Redlof tersebut.

Virus ini akan membuat banyak sekali file-file folder.htt dan desktop.ini pada setiap folder yang ada pada harddisk anda. Untuk dapat diketahui kata redlof adalah kebalikan dari kata FOLDER.

Anda bisa bayangkan berapa banyak file-file FOLDER.HTT dan DESKTOP.INI yang akan dibuat oleh virus ini. Dan acapkali filenya berukuran 23 Kb. Jadi kalau anda tidak mau pusing-pusing menghapus file tersebut anda jalankan saja SEARCH FILE, masukkan kata FOLDER.HTT, dan cari file yang berukuran 23 Kb, kemudian hapus. Pasti anda akan mendapatkan banyak sekali file tersebut.

Virus ini mempunyai pusat penyebarannya di folder C:\Windows\WEB. Di sinilah terletak sebuah file yang merupakan cikal bakal dari virus ini. Coba anda cari sebuah file yang bernama Kjwall.gif. Dengan menambahkan sebuah file yang bernama KERNEL32.DLL pada folder C:\Windows\System, dan menambahkannya pada file registry agar selalu di jalankan ketika windows startup maka virus ini selalu akan aktif.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
Kernel32 = ”%System%\Kernel.dll”

Demikian juga dengan varian Redlof.C, yang sekarang sedang melanda di Indonesia. Coba anda lihat berapa banyak penyebarannya di Indonesia dalam presentase 27% lebih. Ini adalah sebuah angka yang cukup fantastik, karena kalau digabungkan dengan virus Redlof.A (34%) maka sudah melampai 50% dari kasus virus di bulan Desember 2003 ini.

Untuk versi VBS/Redlof.C, ada perubahan-perubahan yang cukup berarti. Misalnya pada setiap tanggal 30 bulan genap tiap tahunnya (April, Juni, Agustus, Oktober dan Desember) ia akan merubah file-file di bawah ini :

                        File Win.Ini dirubah menjadi Won.chk

                        File System.ini dirubah menjadi System.chk

Jadi apa yang menyebabkan Redlof begitu cepat menyebar di Indonesia? Menurut perkiraan kami adalah :

1. Tidak menon-aktifkan fasilitas Windows Script Host artikelnya dapat anda download di ftp://ftp.cbn.net.id/Vaksin/document/wsh.zip

2. Tidak menginstall patch Microsoft Virtual Machine (karena ukurannya sangat besar 5.1 MB) – dapat di download di ftp://ftp.cbn.net.id/Vaksin/Patch/Java_Script/msjavwu_8073687b82d41db93f4c2a04af2b34d.exe

3. Tidak mengupdate data definisi antivirusnya secara berkala. Karena virus ini sudah ada 1 (satu) tahun yang lalu.

Catatan :

Untuk mengupdate Windows VM pada System Windows 2000, anda diharapkan untuk mengupdatenya melalui web site Microsoft dengan link :

http://windowsupdate.microsoft.com/

Bagaimana Penyebaran Virus di Indonesia selama bulan Desember 2003?

Di Indonesia selain kedua virus Redlof tersebut ada beberapa virus muka-muka lama yang masih merajai penyebarannya di Indonesia. Dan kebanyakan adalah jenis virus yang dapat menyerang di komputer anda melalui kelemahan yang ada pada window itu sendiri. Terlihat ada JS/KAK, Fortnight, JS/Exploit. Kelemahannya pada MS adalah Microsoft Virtual Machine. Jadi mau tidak mau anda harus menginstall patch tersebut agar terhindar dari serangan virus yang berbasis JS dan VBS. Khusus untuk JS (Java Script) ini akan anda dapatkan pada situs-situs XXX, HACKER, CRACK ataupun Underground yang dengan sengaja atau tidak telah memasukkan pada web site mereka virus-virus yang berpotensi mengganggu komputer anda. Jadi kalau anda sering browsing ke situs-situs tersebut di atas, waspadalah karena kalau anda tidak menjalankan antivirus yang terupdate, bahaya mengintai anda senantiasa. Biasanya dengan secara automatis virus tersebut langsung menginfeksi komputer anda.

Virus-virus yang lainnya adalah Nimda, Klez, Bugbear, Funlove dan Pesin yang baru-baru ini cukup merisaukan kalangan warnet dan rental komputer di Indonesia. Virus tersebut juga meramaikan Kasus Virus di Bulan Desember 2003, dan hampir tidak ada virus pada bulan Desember 2003 yang menempati kesulitan yang beresiko tinggi (High Risk).

Tapi jangan anda lalai terhadap serangan-serangan virus pada bulan Januari 2004 ini, biasanya para pembuat virus akan menunggu moment-moment yang tepat untuk melepas virus yang telah mereka buat. Hal ini harus tetap kita waspadai karena kita tidak tahu kapan virus-virus tersebut akan menyerang.

Waspadalah, waspadalah karena virus tidak memandang siapa anda.

Marcel “Gemini Man” Glenn Latupeirissa

Technical Support Vaksin.Com

teknisi2@...

Word dan Excel ngadat ?      9 Januari 2003

Masalah CRL Verisign mengakibatkan komputer pengguna NAV bermasalah

PT. Vaksincom mendapatkan banyak keluhan dari pengguna komputer di Indonesia dimana sejak tanggal 7 Januari 2004 komputernya mengalami masalah dengan gejala aplikasi Word dan Excel akan sulit dibuka. Walaupun sudah di scan dengan program antivirus yang terupdate, tidak ada virus yang ditemukan sehingga kemungkinan karena virus sangat kecil.

Setelah diteliti lebih jauh lagi, komputer yang mengalami hal tersebut semuanya merupakan windows client yang menggunakan program Norton Antivirus. Karena itu perburuan menjadi jelas, kemungkinan besar ada masalah di NAV. Setelah melakukan pengecekan, akhirnya kami mendapatkan jawaban dari masalah ini. Penyebab masalah ini adalah karena server Certificate Revocation List (CRL) Verisign tidak mampu menangani banyaknya permintaan autentifikasi yang sangat tinggi dari pengguna NAV. Seperti kita ketahui, dalam rangka meningkatkan integritas dari software yang di download (untuk mencegah komponen NAV / update yang di download dimasuki oleh virus atau kode berbahaya lain) NAV menggunakan jasa Verisign untuk verifikasi, namun karena satu dan lain hal server Verisign tidak mampu melakukan proses verifikasi tersebut. Hal inilah yang rupanya menjadi penyebab kelambatan dan instabilitas pada komputer yang menggunakan NAV.

Solusi :

Dari beberapa pengalaman pengguna NAV (terimakasih kepada Kontributor Vaksincom Alexander Pasha atas informasinya), salah satu cara untuk mengatasi masalah ini adalah melakukan update NAV anda.

Langkah lain yang dapat anda lakukan jika anda mengalami kesulitan dalam update adalah :

1. Matikan semua program.

2. Start Internet Explorer.

3. Klik [Tools] [Internet Options]

4. Pilih tabulasi [Advance] dan pilih [Security] (lihat gambar)

5. Hilangkan centang pada [Check for publisher's certificate revocation]

6. Restart komputer

Catatan :

Solusi yang kami berikan adalah solusi sementara agar komputer anda dapat berjalan dengan baik, kami tidak menyarankan anda untuk menonaktifkan  [Check for publisher's certificate revocation] untuk jangka waktu yang lama.

salam,

AAT

PT. Vaksincom

http://service1.symantec.com/SUPPORT/sharedtech.nsf/pfdocs/2004010810205113?Open

After January 7th your computer slows down and Microsoft Word and Excel will not start

Situation:
Symantec is currently investigating reported computer slow downs and instability. This issue appears to be related to VeriSign receiving an unusual number of requests by Windows-based clients to download a certificate revocation list (CRL) on January 7-8, 2004. This increase in traffic resulted in intermittent VeriSign CRL server availability. For security purposes, Symantec products routinely verify the integrity of system components and at times were unable to achieve the authentication they were seeking due to the unavailability of VeriSign's server -- therefore customers experienced delays and instabilities. Symantec and other vendors are cooperatively working with VeriSign to mitigate this situation

Solution:
To temporarily resolve this issue until a permanent solution can be found please do the following:

1. Close all programs.
2. Start Internet Explorer.
3. Click Tools > Internet Options.
4. On the Advanced tab, scroll down through the list box to the Security section.
5. Deselect the "Check for publisher's certificate revocation" option as shown here:
   
   
    
6. Click OK and restart the computer.

 W32.Bagle.A@mm      19 Januari 2004

Angpao menjelang Imlek

Pertengahan bulan Januari 2004 diawali dengan tenang dan tidak ada pemunculan virus baru sehingga para pengguna komputer dapat menjalankan aktivitasnya dengan baik. Namun minggu ke tiga Januari 2004 ditandai dengan munculnya virus baru sebagai hadiah Tahun Baru (angpao) disinyalir berasal dari daratan Eropa (Jerman) pada tanggal 18 Januari 2004. Sehari setelah "dilepaskan" ke internet, Bagle secara mantap menduduki peringkat pertama sebagai virus yang paling banyak dihentikan dengan korban utama negara-negara Asia Pasifik seperti Jepang, Korea, Hongkong dan Australia. Di Indonesia sendiri virus ini sudah mulai menyebar dengan tingkat yang cukup tinggi dan PT. Vaksincom mendapatkan banyak kiriman Bagle pada tanggal 19 Januari 2004 dari beberapa korporasi yang cukup besar.

Terlalu percaya dengan antivirus

Sebenarnya secara teknis, Bagle tidak menjalankan prosedur yang rumit dan tidak melakukan eksploitasi atas celah keamanan Windows yang secara tidak sadar sudah menjadi langganan di eksploitasi oleh virus, seperti Iframe exploit yang dapat membuat virus dijalankan tanpa perlu mengklik attachment atau Java Virtual Machine Exploit yang dieksploitasi oleh Redlof.

Kasus Bagle ini mencerminkan perang klasik antar pembuat virus dengan antivirus dimana virus selalu selangkah lebih maju dari antivirus dan komputer yang program antivirusnya tidak melakukan update pada tanggal 19 Januari 2004 dapat dipastikan tidak dapat mengidentifikasi Bagle dan jika penerima email menjalankan "lampiran" file yang diterima yang notabene merupakan executable maka Bagle akan langsung menginfeksi komputernya dan menjalankan aksinya. Sebenarnya hal ini patut dipertanyakan karena file executable sebenarnya di blok di banyak mailserver dan harusnya pengguna komputer juga memiliki kesadaran untuk tidak menjalankan lampiran yang tidak dikenalnya. Dari pengalaman ini, seharusnya "sekali lagi" para pengguna komputer belajar bahwa sekuriti tidak dapat dibeli, tetapi harus dibiasakan. Antivirus hanya merupakan "salah satu" solusi untuk terhindar dari virus dan untuk mendapatkan perlindungan yang optimal pengguna komputer harus melakukan serangkaian tindakan lain seperti :

- Melakukan back up atas data pentingnya secara teratur.

- Melakukan update antivirus secara teratur.

- Tidak sembarangan menjalankan program yang tidak diketahui dari mana asalnya.

- Selalu mengikuti perkembangan ancaman virus terakhir.

Bagle akan datang dengan perincian sebagai berikut

• Subject: Hi
• Body:
  Test =)
  [some random characters]
  --
  Test, yep
• Attachment: (random)

dan Norman Virus Control dengan update tanggal 19 Januari 2004 ke atas akan dapat mengenali Bagle dengan baik.

(lihat gambar 1)

Word dan Excel ngadat ?      9 Januari 2003

Masalah CRL Verisign mengakibatkan komputer pengguna NAV bermasalah

PT. Vaksincom mendapatkan banyak keluhan dari pengguna komputer di Indonesia dimana sejak tanggal 7 Januari 2004 komputernya mengalami masalah dengan gejala aplikasi Word dan Excel akan sulit dibuka setelah diselidiki lebih jauh. Walaupun sudah di scan dengan program antivirus yang terupdate, tidak ada virus yang ditemukan sehingga kemungkinan karena virus sangat kecil.

Setelah diteliti lebih jauh lagi, komputer yang mengalami hal tersebut semuanya merupakan windows client yang menggunakan program Norton Antivirus. Karena itu perburuan menjadi jelas, kemungkinan besar ada masalah di NAV. Setelah melakukan pengecekan, akhirnya kami mendapatkan jawaban dari masalah ini. Penyebab masalah ini adalah karena server Certificate Revocation List (CRL) Verisign tidak mampu menangani banyaknya permintaan autentifikasi yang sangat tinggi dari pengguna NAV. Seperti kita ketahui, dalam rangka meningkatkan integritas dari software yang di download (untuk mencegah komponen NAV / update yang di download dimasuki oleh virus atau kode berbahaya lain) NAV menggunakan jasa Verisign untuk verifikasi, namun karena satu dan lain hal server Verisign tidak mampu melakukan proses verifikasi tersebut. Hal inilah yang rupanya menjadi penyebab kelambatan dan instabilitas pada komputer yang menggunakan NAV.

Solusi :

Dari beberapa pengalaman pengguna NAV (terimakasih kepada Kontributor Vaksincom Alexander Pasha atas informasinya), salah satu cara untuk mengatasi masalah ini adalah melakukan update NAV anda.

Langkah lain yang dapat anda lakukan jika anda mengalami kesulitan dalam update adalah :

1. Matikan semua program.

2. Start Internet Explorer.

3. Klik [Tools] [Internet Options]

4. Pilih tabulasi [Advance] dan pilih [Security] (lihat gambar)

5. Hilangkan centang pada [Check for publisher's certificate revocation]

6. Restart komputer

Catatan :

Solusi yang kami berikan adalah solusi sementara agar komputer anda dapat berjalan dengan baik, kami tidak menyarankan anda untuk menonaktifkan  [Check for publisher's certificate revocation] untuk jangka waktu yang lama.

salam,

AAT

PT. Vaksincom

http://service1.symantec.com/SUPPORT/sharedtech.nsf/pfdocs/2004010810205113?Open

After January 7th your computer slows down and Microsoft Word and Excel will not start

Situation:
Symantec is currently investigating reported computer slow downs and instability. This issue appears to be related to VeriSign receiving an unusual number of requests by Windows-based clients to download a certificate revocation list (CRL) on January 7-8, 2004. This increase in traffic resulted in intermittent VeriSign CRL server availability. For security purposes, Symantec products routinely verify the integrity of system components and at times were unable to achieve the authentication they were seeking due to the unavailability of VeriSign's server -- therefore customers experienced delays and instabilities. Symantec and other vendors are cooperatively working with VeriSign to mitigate this situation

Solution:
To temporarily resolve this issue until a permanent solution can be found please do the following:

1. Close all programs.
2. Start Internet Explorer.
3. Click Tools > Internet Options.
4. On the Advanced tab, scroll down through the list box to the Security section.
5. Deselect the "Check for publisher's certificate revocation" option as shown here:
   
   
    
6. Click OK and restart the computer.

Menurut catatan terakhir, sampai hari ini tangggal 20 Januari 2004, PT. Vaksincom menerima email 2 kali lipat dibandingkan tanggal 19 Januari 2004. Bersama ini kami sampaikan informasi lebih jauh mengenai Bagle.

 W32.Bagle.A@mm      19 Januari 2004

Angpao menjelang Imlek

Setelah disibukkan dengan mencoba Busway dan perpanjangan waktu 3 in 1, kita dikejutkan lagi dengan sebuah virus baru pada bulan Januari 2004 ini. Virus ini dikenal sebagai virus Beagle. Jadi dengan seiring gonjang-ganjingannya pelaksanaan Busway dan 3 in 1 yang membuat jalanan menjadi tambah macet (menurut banyak pengguna jalan Sudirman – Kota), kita dibuat pusing juga dengan virus baru ini.

Pertengahan bulan Januari 2004 dijalani dengan tenang dan tidak ada pemunculan virus baru sehingga para pengguna komputer dapat menjalankan aktivitasnya dengan aman. Namun minggu ke tiga Januari 2004 ditandai dengan munculnya virus baru sebagai hadiah Tahun Baru (angpao) disinyalir berasal dari daratan Eropa (Jerman) pada tanggal 18 Januari 2004. Sehari setelah "dilepaskan" ke internet, Bagle secara mantap menduduki peringkat pertama sebagai virus yang paling banyak dihentikan dengan korban utama negara-negara Asia Pasifik seperti Jepang, Korea, Hongkong dan Australia. Di Indonesia sendiri virus ini sudah mulai menyebar dengan tingkat yang cukup tinggi dan PT. Vaksincom mendapatkan banyak kiriman Bagle pada tanggal 19 Januari 2004 dari beberapa korporasi yang cukup besar.

Informasi teknis

W32.Beagle.A@Mm adalah sebuah virus worm yang menyebar dengan cepatnya melalui email secara massal, tetapi virus ini aktif hanya sampai pada tanggal 28 Januari 2004. Worm ini akan menyisipkan beberapa file dan beberapa key registry pada system operasi anda  (Windows). Virus ini juga dapat mengakses secara remote beberapa alamat website, dan kontrak email dari semua website tersebut dapat ditemukan.

Dan ada kelebihan lainnya bahwa virus ini mengandung kemampuan virus backdoor yang bernama TrojanProxy.Win32.Mitglieder. Tetapi virus ini juga mempunyai beberapa kelemahan sehingga tidak berfungsi sebagaimana mestinya.

Bagle menyebar melalui email dengan menggunakan SMTP engine miliknya sendiri. Ia akan mengirimkan dirinya sendiri ke semua alamat email yang dikumpulkan dengan mencarinya dari dari file-file .wab, .txt, .htm, dan .html files pada komputer yang terinfeksi. Virus ini akan menghindari alamat email yang mengandung @hotmail.com, @msn.com, @microsoft, dan @avp. Mungkin ini dilakukan untuk menghindari pendeksian lebih awal. Ukuran file attach-nya berukuran 15 Kb.  Engine SMTP-nya menggunakan direct Mail eXchange (MX) lookup pada domain target, jadi tidak tergantung pada setting email pada komputer yang terinfeksi.

Bagaimana virus tersebut sampai di komputer anda ?

Kalau anda menerima sebuah email dengan ciri-ciri seperti di bawah ini :

Subject        :     Hi

Body           :    Test =)

                         <random characters>

                         --

                         Test, yep.

Attachment  :     <random characters>.exe

Ukuran file attach-nya berukuran 15 Kb.

Ketika virus tersebut aktif di dalam komputer anda (setelah anda mengklik file attach), ia akan mengcopykan dirinya sebagai sebuah file yang bernama BBEAGLE.EXE dan diletakkan ada folder Windows System. Dan tidak ketinggalan ia akan menambahkan file registry anda dengan beberapa perubahan yang cukup berarti yang akan memungkinkan virus ini akan selalu dijalankan setiap kali windows restart :

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"

HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\
CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"

 Jika pada registry key ada value HKCU\SOFTWARE\WINDOWS98, sebuah kumpulan angka acak (random) dengan jumlah 9 digit akan disimpan untuk untuk penggunaan berikutnya.

HKEY_USERS\%SystemInfo%\Software\Windows98
Uid = <Random Value>

Registry value lainnya akan diset di dalam HKCU\Software\Windows98\Ffrun dan akan di set sebagai  TRUE.

HKEY_USERS\%SystemInfo%\Software\Windows98
Frun = 1

Jika worm tersebut tidak dijalankan melalui folder Windows System, dan parameter "-upd" tidak ditetapkan (ketika attachment diesekusi) worm tersebut akan menghasilkan sebuah copy file  yang bernama "calc.exe" dan menyerupai aplikasi Windows Calculator.

Worm ini akan membuka port 6777 yang siap untuk menerima koneksi dari seorang pemakai remote, dan memberi akses secara penuh pada komputer yang terinfeksi, tetapi tidak berfungsi dengan baik. Dan mencoba menghubungi lokasi web tertentu. Ini nampaknya untuk mendaftarkan alamat IP dari komputer yang terinfeksi.

http://www.elrasshop.de/1.php
http://www.it-msc.de/1.php
http://www.getyourfree.net/1.php
http://www.dmdesign.de/1.php
http://64.176.228.13/1.php
http://www.leonzernitsky.com/1.php
http://216.98.136.248/1.php
http://216.98.134.247/1.php
http://www.cdromca.com/1.php
http://www.kunst-in-templin.de/1.php
http://vipweb.ru/1.php
http://antol-co.ru/1.php
http://www.bags-dostavka.mags.ru/1.php
http://www.5x12.ru/1.php
http://bose-audio.net/1.php
http://www.sttn.de/1.php
http://wh9.tu-dresden.de/1.php
http://www.micronuke.net/1.php
http://www.stadthagen.org/1.php
http://www.beasty-cars.de/1.php
http://www.polohexe.de/1.php
http://www.bino88.de/1.php
http://www.grefrathpaenz.de/1.php
http://www.bhamidy.de/1.php
http://www.mystic-vws.de/1.php
http://www.auto-hobby-essen.de/1.php
http://www.polozicke.de/1.php
http://www.twr-music.de/1.php
http://www.sc-erbendorf.de/1.php
http://www.montania.de/1.php
http://www.medi-martin.de/1.php
http://vvcgn.de/1.php
http://www.ballonfoto.com/1.php
http://www.marder-gmbh.de/1.php
http://www.dvd-filme.com/1.php
http://www.smeangol.com/1.php

Seperti yang sudah dijelaskan di atas, bahwa virus ini akan berakhir masa aktifnya pada tanggal 28 Januari 2004, dan jika dijalankan pada tanggal tersebut ia akan menjalankan sebuah batch file untuk menghapus dirinya sendiri. (menurut penelitian beberapa vendor antivirus perintah tersebut dinyatakan tidak berfungsi!!!!). Jadi anda harus berhati-hati.

Cara menghilangkan virus ini

1. Reboot komputer anda, dan jalankan dalam system Safe Mode.
2. Jalankan antivirus dengan update data terakhir.
3. Hapus semua file yang berhubungan dengan virus tersebut.
4. Update file registry anda dengan menghapus semua value yang dibuat oleh virus tersebut antara lain :

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

"d3update.exe" = "%system%\bbeagle.exe"

HKCU\Software\Windows98\frun

HKCU\Software\Windows98\uid

MGM Latupeirissa

support@...

Dumaru         26 Januari 2004

Trojan dengan keylogger di awal tahun 2004

Setelah vakum beberapa saat, sebuah worm virus trojan yang mempunyai telah muncul. Dan mungkin ini adalah virus pertama jenis trojan pada tahun 2004 ini yang beresiko sedang. Tetapi jangan kita lengah, karena setiap virus mempunyai potensi untuk menjadi ganas setiap saat, meskipun antivirusnya sudah ada.

Virus ini dikenal sebagai virus W32/Dumaru.Y atau ada juga yang menamakannya sebagai W32/Dumaru.Z. Mungkin ini tidak penting, apalah artinya sebuah nama. Yang terpenting adalah bagaimana virus tersebut dapat masuk, kelemahan apa saja yang digunakan oleh virus tersebut sehingga dapat menular pada komputer kita.

Dumaru dapat masuk ke dalam komputer kita seperti biasa melalui email yang kita terima dan mengandung sebuah attach yang berextention *.ZIP.  Seakan-akan virus ini memberitahukan kepada kita, bahwa attach yang dikirimkan adalah sebuah foto yang telah diminta oleh kita kemarin.

Ciri-ciri lengkapnya adalah sebagai berikut :

Seperti contoh gambar di atas, terlihat bahwa ada sebuah attach yang bernama ‘myphoto.zip’, besarnya kurang lebih 15 Kb. Attach ini berisi sebuah file ‘myphoto.jpg.exe’. File ini mempunyai keunikan, karena jarak antara extention JPG dengan EXE dipisahkan 56 karakter space bar. File ini dikompres dengan menggunakan metode FSG.

Setelah file ZIP tersebut di download maka dengan secara otomatis akan dijalankan, dan akan meletakkan beberapa buah file utamanya pada folder-folder seperti di bawah ini :

• %System%\l32x.exe

• %System%\vxd32v.exe

File-file ini diletakkan sesuai dengan system operasi yang anda gunakan secara default seperti contoh di bawah ini :

Kalau anda menggunakan Windows 95,98 dan ME folder tersebut adalah :

C:\Windows\System

Kalau anda menggunakan Windows 2000 dan NT folder tersebut adalah :

C:\Winnt\System32

Dan untuk Windows XP folder tersebut adalah :

C:\Windows\System32.

Untuk file l32x.exe tersebut di atas virus ini merubah file registry dan menambahkannya beberapa value :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\load32 = "%system%\l32x.exe"

Untuk menjamin dan memastikan bahwa file tersebut di jalankan maka ia menambahkan pada file WIN.INI dan SYSTEM.INI sebuah command line (biasanya ini berlaku pada Windows 9.x) :

pada file WIN.INI :

[windows]
"run" = %WinDir%\RUNDLLX.SYS          

pada file SYSTEM.INI :

[boot]
shell=explorer.exe %System%\vxd32v.exe

dan pada system Windows NT file registrynya ada penambahan value :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon
Shell = explorer.exe %System%\vxd32v.exe

Selain itu, virus ini juga meletakkan sebuah file lainnya, DLLXW.EXE pada Windows Stratup folder dan mengubah value pada file registry windows agar setiap kali windows digunakan selalu dijalankan :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\

Startup

Virus ini akan mengumpulkan semua alamat email yang dicari pada setiap file-file yang berextensi :

• .HTM

• .WAB

• .HTML

• .DBX

• .TBB

• .ABD

dan mengirimkannya dengan menggunakan Simple Mail Transfer Protocol (SMTP) engine, setiap kali alamat email didapat akan dikumpulkan di dalam sebuah file pada folder :

%windows%\winload.log

Dan untuk berjaga-jaga, virus ini juga menyimpan dirinya (*.ZIP) sebagai sebuah file *.TMP di dalam folder :

%windows%\TEMP\zip.tmp

Seperti yang sudah dijelaskan di atas, virus ini mempunyai kemampuan sebagai virus trojan. Untuk melakukan aksinya ia akan membuka port :

• 2283

Port ini sebagai sebuah TCP proxy yang dapat digunakan oleh user lain (jahat) untuk menghubungkannya ke komputer yang terinfeksi.

• 10000

Port ini digunakan untuk menyetup sebuah remote File Transfer Protocol (FTP) server yang mengizinkan seseorang dapat mengontrol secara full access ke semua file pada komputer yang terinfeksi.

Virus ini juga mengumpulkan semua data yang kita ketik, jadi setiap kali hentakan tuts keybord akan terekam. Apa lagi yang berhubungan dengan rekening bank, No.PIN, USER ID, PASSWORD seperti E-Gold., WebMoney, Far Manager, PayPal dan eBay

Bagaimana cara membasminya ?

1. Jalankan antivirus yang sudah terupdate data definisi virusnya.

2. Hapus semua file yang berhubungan dengan virus tersebut.

3. Di sarankan untuk menjalankannya pada system Windows SAFE MODE.

4. Hapus semua perubahan yang dilakukan pada file registry, WIN.INI dan SYSTEM.INI

• Jalankan Regedit, masuk pada key :
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

• Pada panel sebelah kanan hapus value
  "load32"="%System%\l32x.exe""

• Masuk pada key :
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ Winlogon

• Pada panel sebelah kanan double-click: Shell, ganti :
  "explorer.exe %Windir%\system32\vxd32v.exe"
  
  menjadi:
  
  "explorer.exe"

• Keluar dari Registry Editor.

pada file WIN.INI :

hapus command line pada “run”

[windows] "run" = %WinDir%\RUNDLLX.SYS          

menjadi

[windows] "run" =

pada file SYSTEM.INI :

hapus kata %System%\vxd32v.exe

[boot]  shell=explorer.exe %System%\vxd32v.exe

menjadi :

[boot] shell=explorer.

MGM Latupeirissa

support@...

W32.MyDoom.A@mm          27 Januari 2004

Kiamat kecil di awal tahun

Sebagai sebuah virus worm yang baru dikenal sebagai Mydoom atau Novarg telah menyerang dan menyebar secara cepat melalui perantara email dan Kazaa network. Pada email, virus  mengandung subject, bodi dan attachment yang bervariasi. Worm ini akan membuka applikasi NOTEPAD dan menampilkan karakter acak di dalamnya. Dan yang menarik, MYDoom akan menyerang sebuah web site yang merupakan salah satu varian UNIX dengan alamat http://www.sco.com dengan DDoS-attack pada tanggal 1 Februari 2004.

Sebenarnya apa saja yang dilakukan oleh MyDoom ?

Virus ini pertama-tama masuk ke dalam komputer anda sebagai sebuah email dengan perincian sebagai berikut (lihat gambar 1) :

Gambar 1

Terlihat di atas bahwa email tersebut sudah di encoding. Yang dapat diketahui bahwa banyak sekali varibel-variabel yang digunakan oleh virus tersebut misalnya :

Subject ditampilkan secara random :

-          Server Report

-          Mail Delivery System

-          Hi

-          status

-          hello

-          HELLO

-          Hi

-          test

-          Test

-          Mail Transaction Failed

-          Server Request

-          Error

Message Body dapat dipilih dari list yang dibawa oleh virus tersebut, bisa kosong, atau terdiri dari sebuah pesan-pesan sampah seperti contoh di atas. Sebagai contoh lainnya dari Message Body digunakan oleh worm tersebut :

-         The message contains Unicode characters and has been sent as a binary attachment.

-         The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

-         Mail transaction failed. Partial message is available.

-         Test

Attach / Lampiran yang dikirimkan juga namanya berubah-rubah dan dikemas dalam bentuk sebuah file ZIP. Dan isinya terkadang merupakan sebuah file double extention. Virus ini seolah-olah menjadi sebuah file TXT yang akan dibuka oleh NOTEPAD. File-file *.TXT tersebut adalah seperti contoh di bawah ini yang akan anda terima:

• body
• message
• test
• data
• file
• text
• doc
• readme
• document

File-file tersebut di atas akan ditambahkan sebuah extention di bawah ini :

-          BAT

-          EXE

-          PIF

-          SCR

-          CMD

Setelah virus tersebut dijalankan maka ia akan menginfeksi komputer anda dan melakukan pekerjaan backdoor. Tugas backdoor ini ditanamkan oleh sebuah file yang bernama SHIMGAPI.DLL pada system32 directory dan dijalankan dengan mudahnya seperti anda menggunakan EXPLORER.EXE. Virus ini akan menjaga dan membuka TCP port 3127 sampai 3198. File tersebut dikompress dengan menggunakan metode UPX

Nama file yang akan digunakan MyDoom dalam System adalah :

• TASKMON.EXE
  Taskmon, adalah task manager yang berfungsi melihat aplikasi apa yang sedang dijalankan oleh sebuah komputer. Jika aplikasi ini diganti, maka file-file yang ditampilkan bukan merupakan aplikasi yang sedang dijalankan oleh komputer itu sendiri tetapi applikasi yang disamarkan seolah-olah dijalankan oleh komputer itu sendiri. Yang berbahaya jika applikasi yang diketahui oleh Taskmon tersebut adalah applikasi yang normal menurut kita, tetapi sebenarnya adalah applikasi yang berbahaya, misalnya applikasi untuk mengirimkan worm (virus), tetapi disamarkan dengan nama applikasi lain misalnya Kazaa.EXE. Kalau kita lihat pada linux ini adalah semacam applikasi rootkit dimana applikasi-applikasi utama dalam server diganti dengan applikasi dengan nama yang sejenis tetapi fungsinya lain.

   

  File asli dari TASKMON.EXE akan didelete dan diganti oleh file dari virus tersebut dan diletakkan pada direktori SYSTEM32, dan akan juga membuat 2 buah value registry yang baru sehingga akan selalu dijalankan setiap kali anda reboot komputer anda :

   

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  "TaskMon" = %sysdir%\taskmon.exe

   

dan untuk menjaga-jaga jika ada kegagalan maka dibuatlah sebuah value lainnya :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

"TaskMon" = %sysdir%\taskmon.exe

• MESSAGE, file ini  diletakan pada direktori %temp%. File ini yang akan melaksanakan penamaan file yang bervirus secara random dan dibaca dengan menggunakan NOTEPAD

Untuk diperhatikan para pengguna applikasi P2P, khususnya KAZAA jangan sekali-kali membuka file-file yang di share dengan nama :

• winamp5

• icq2004-final

• activation_crack

• strip-girl-2.0bdcom_patches

• rootkitXP

• office_crack

• nuke2004

dengan ekstensi

• bat

• exe

• scr

• pif

dan ciri yang sangat jelas adalah ukuran filenya 22 KB, sekali anda mendownload dan menjalankan file ini, maka anda akan terinfeksi MyDoom (lihat gambar 2).

Gambar 2

Bagaimana cara menghapus atau mengatasi MyDoom :

1. Update data definisi virus dari antivirus anda. Untuk pengguna Norman Virus Control, update binary teakhir yang dapat mengenali MyDoom adalah update tanggal 26 Januari 2004.

2. Untuk pengguna Win XP dan Win ME harap nonaktifkan System Restore.

3. Restart komputer dalam Safe Mode.

4. Scan harddisk menggunakan antivirus dan clean semua file yang terdeteksi sebagai MyDoom.

5. Jalankan Regedit untuk menghapus value yang ditambahkan pada file registry :

Buka Registry Editor. Klik [Start] [Run] ketik REGEDIT dan tekan Enter.

Pada panel kiri klik :
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

Pada panel kanan, temukan dan HAPUS :
TaskMon = c:\windows\System\taskmon.exe 
 

Tutup Registri Editor

Tips :

Untuk melindungi komputer dari virus sejenis MyDoom yang menggunakan ekstensi ganda tanpa memerlukan update antivirus, kami sarankan anda menggunakan antivirus yang dapat mendeteksi penerimaan email dengan attach / lampiran yang menggunakan double extention. Norman Virus Control dengan Norman Internet Protection memiliki kemampuan mendeteksi dan memblok ekstensi ganda (lihat gambar 3).

Gambar 3

MGM Latupeirissa

support@...

Insiden Virus Januari 2004         6 Februari 2004

 Kiamat kecil  bagi SCO

Hebat!!!!. Mungkin ini yang dapat kita katakan kepada para pembuat virus dalam bulan Januari 2004 ini. Bayangkan saja dalam waktu singkat 3 buah virus dengan resiko penyebaran yang tinggi, telah menyerang para pemakai komputer di seluruh dunia.

Dibuka dengan munculnya virus W32.Beagle.A@mm yang menyerang dengan cepatnya pada tanggal 19 Januari 2004. Sedang kita ribut-ribut membahas tentang 3 in 1 dan Bus Way serta persiapan untuk menghadapi Imlek, virus ini datang dengan kemampuan yang cukup mengkhawatirkan, tetapi virus ini aktif hanya sampai pada tanggal 28 Januari 2004. Worm ini akan menyisipkan beberapa file dan beberapa key registry pada system operasi anda  (Windows). Virus ini juga dapat mengakses secara remote beberapa alamat website, dan kontak email dari semua website tersebut dapat ditemukan.

Dan ada kelebihan lainnya bahwa virus ini mengandung kemampuan virus backdoor yang bernama TrojanProxy.Win32.Mitglieder. Tetapi virus ini juga mempunyai beberapa kelemahan sehingga tidak berfungsi sebagaimana mestinya.

Bagle menyebar melalui email dengan menggunakan SMTP. Ia akan mengirimkan dirinya sendiri ke semua alamat email yang dikumpulkan dengan mencarinya dari dari file-file .wab, .txt, .htm, dan .html files pada komputer yang terinfeksi. Virus ini akan menghindari alamat email yang mengandung @hotmail.com, @msn.com, @microsoft, dan @avp. Mungkin ini dilakukan untuk menghindari pendeteksian lebih awal. Ukuran file lampirannya 15 Kb.  Engine SMTP-nya menggunakan direct Mail eXchange (MX) lookup pada domain target, jadi tidak tergantung pada setting email pada komputer yang terinfeksi. (lihat gambar 1)

Gambar 1

Contoh di atas adalah sebuah email yang mengandung virus Beagle. Jadi dapat dikatakan kalau anda menerima sebuah email dengan ciri-ciri sebagai berikut :

Subject        :     Hi

Body           :    Test =)

                         <random characters>

                         --

                         Test, yep.

Attachment  :     <random characters>.exe

Ini pasti adalah email yang mengandung virus Beagle, dan attach yang disertai berukuran 15 Kb. Ada orang mengatakan bahwa nama Beagle diambil dari wahana ruang angkasa milik Eropa yang telah mendarat di planet Mars tetapi sampai sekarang tidak ada kontak dengan induknya di bumi. Seperti yang sudah dijelaskan di atas, bahwa virus ini akan berakhir masa aktifnya pada tanggal 28 Januari 2004, dan jika dijalankan pada tanggal tersebut ia akan menjalankan sebuah batch file untuk menghapus dirinya sendiri. (menurut penelitian beberapa vendor antivirus perintah tersebut dinyatakan tidak berfungsi!!!!). Jadi anda harus berhati-hati.

Virus kedua yang tidak kalah serunya adalah pentingnya adalah virus W32/Dumaru.Y@mm. Virus ini menyerang pada tanggal 26 Januari 2004 lalu. Dumaru adalah salah satu virus trojan yang cukup tinggi resikonya. Dumaru dapat masuk ke dalam komputer kita seperti biasa melalui email yang kita terima dan mengandung sebuah attach yang berextention *.ZIP.  Seakan-akan virus ini memberitahukan kepada kita, bahwa attach yang dikirimkan adalah sebuah foto yang telah diminta oleh kita kemarin. (lihat gambar 2)

Gambar 2

Seperti contoh gambar di atas, terlihat bahwa ada sebuah attach yang bernama ‘myphoto.zip’, besarnya kurang lebih 15 Kb. Attach ini berisi sebuah file ‘myphoto.jpg.exe’. File ini mempunyai keunikan, karena jarak antara extention JPG dengan EXE dipisahkan 56 karakter space bar. File ini dikompres dengan menggunakan metode FSG.

Karena virus ini mempunyai sifat trojan, maka ia akan memantau dan membuka port 2283 (Port ini sebagai sebuah TCP proxy yang dapat digunakan oleh user lain (biasanya jahat) untuk menghubungkannya ke komputer yang terinfeksi) dan port 10000 akan digunakan untuk mensetup sebuah remote File Transfer Protocol (FTP) server yang mengizinkan seseorang dapat mengontrol secara full access ke semua file pada komputer yang terinfeksi)

Virus ini juga mengumpulkan semua data yang kita ketik, jadi setiap kali hentakan tuts keybord akan terekam. Apa lagi yang berhubungan dengan rekening bank, No.PIN, USER ID, PASSWORD seperti E-Gold., WebMoney, Far Manager, PayPal dan eBay.

Dan yang terakhir dan sangat beresiko tinggi adalah virus W32.MyDoom.A@mm Sebagai sebuah virus worm yang baru dikenal juga dengan nama Novarg telah menyerang dan menyebar secara cepat melalui perantara email dan Kazaa network. Pada email, virus  mengandung subject, bodi dan attachment yang bervariasi. Worm ini akan membuka applikasi NOTEPAD dan menampilkan karakter acak di dalamnya. Dan yang menarik, MYDoom akan menyerang sebuah web site yang merupakan salah satu varian UNIX dengan alamat http://www.sco.com dengan DDoS-attack pada tanggal 1 Februari 2004. Untuk versi yang terakhir (W32.MyDoom.B@mm), virus ini akan juga menyerang web site dari Microsoft (http://www.microsoft.com) pada tanggal 3 Januari 2004. Dan menurut berita terakhir web site SCO telah lumpuh karena tidak dapat menahan gencarnya serangan DDOS yang dilakukan oleh PC yang telah terinfeksi virus tersebut. Bayangkan saja kalau virus tersebut akan menembak dalam waktu 1024 miliseconds. Dapat anda bayangkan kalau serangan yang begitu gencar, apakah ada sebuah web site yang dapat menahannya. Oleh sebab itu, SCO membuat sebuah web site baru dengan alamat (untuk sementara) http://www.thescogroup.com sampai serangan ini berakhir pada tanggal 12 Febuari 2004 nanti. Kita tidak tahu apakah benar ini akan berakhir atau tidak. (lihat gambar 3)

Gambar 3

Nama Mydoom terjadi sebenarnya karena kebetulan, pembuatnya sebenarnya mengetikkan kata My Domain, tetapi karena satu dan lain hal, huruf "o" terketik dua kali sehingga menjadi MyDoomain. Virus ini datang ke komputer anda dalam sebuah file attach yang berextention *.ZIP yang telah dikompress dengan menggunakan metode UPX. Di dalamnya sebenarnya ada sebuah file yang berekstensi *.TXT tetapi sebenarnya adalah sebuah file yang berekstensi ganda dengan menambahkan extention lainnya seperti *.SCR, *. BAT, *.EXE, *.PIF, *.CMD. Pembuat virus ini telah mempelajari betul kebiasaan admin mail server yang akan memblok file-file yang berpotensi menyebarkan virus seperti contoh di atas. Karena pembuat virus ini menggunakan extention *.ZIP maka lewatlah virus tersebut karena tidak diblok oleh admin tersebut. Virus ini juga akan menggunakan fasilitas KAZAA. Kazaa ini berpotensi besar sekali dalam membantu penyebaran virus. Ia akan menggunakan folder Sharing untuk menempatkan filenya seperti gambar di bawah ini : (lihat gambar 4)

Gambar 4

File-file yang bervirus tersebut adalah :

-          Winamp5,

-          icq2004-final,

-          activation_crack,

-          strip-girl-2.0bdcom_patches,

-          rootkitXP,

-          office_crack, nuke2004

Bagaimana perkembangan virus di Indonesia selama bulan Januari 2004 ini ?

Seperti kejadian penyerangan virus di dunia, Indonesia terkena dampaknya juga. Bukan hanya karena virus flu burung, tetapi kenyataannya kalau anda sekalian melihat betapa banyaknya kasus serangan virus yang terjadi di Indonesia, khususnya pada bulan Januari 2004.

Kita akan membahas beberapa virus yang mempunyai potensi untuk menjadi ganas pada bulan Febuari nanti. Kelihatannya virus KAK, Redlof, Flea, Fortnight, Funlove, Mydoom, Beagle, Startpage masih mendominasi penyebarannya.

Untuk KAK, Redlof, Fortnight, ini adalah muka-muka lama. Virus-virus ini menggunakan kelemahan yang ada di dalam system operasi Windows. Virus ini dibuat dengan menggunakan program Visual Basic dan Java Scrip. Anda bisa meminimalkan penyerang dari virus-virus tersebut dengan menginstall Microsoft Virtual Machine, untuk itu anda bisa mendownload langsung (untuk 9x, ME, XP)

ftp://ftp.cbn.net.id/Vaksin/Patch/Java_Script/for-9x-ME-XP/

untuk di Win2K di ftp://ftp.cbn.net.id/Vaksin/Patch/Java_Script/for-Win2k/

Kemudian anda juga harus mematikan fasilitas Windows Script host (artikel nya bisa di download di ftp://ftp.cbn.net.id/Vaksin/document/wsh.zip. Dan kemudian anda jalankan antivirus yang sudah terupdate.

Dari semuanya ini, anda jangan lengah karena pada bulan Febuari 2004, kita akan ada Valentine Day, bulan Maret ada Kampanye dan tahun ini ada pemilihan presiden USA. Kalau kita lihat ini adalah kejadian-kejadian yang potensi untuk para pembuat virus, sebab ia akan mengelabui anda dengan cara-cara yang tertentu. Jadi waspada saja. Karena tahu-tahu ada virus baru yang lebih ganas dari virus-virus yang terdahulu. Kita tunggu saja.

Dan yang menarik lagi, virus Myheart sekarang sudah sampai pada versi D. Ia akan membuat sebuah timer, kalau anda sampai pada waktu tertentu, biasanya malam hari maka komputer anda tidak dapat digunakan. Ia mengacu pada waktu yang telah di setting pada bios komputer anda. Jadi misalnya setiap Pkl.21.00 komputer anda sudah tidak dapat digunakan lagi. Ini bisa anda setting pada bios jamnya dimundurkan. Tapi ini sebuah langkah yang tidak efesien.

Kesimpulan, jangan anda lengah dengan virus-virus sekarang, kami perkirakan akan ada sebuah virus yang cukup tinggi resikonya akan muncul pada bulan Febuari ini. Jadi sering-seringlah mengunjungi web site vendor antivirus yang terkenal, atau kunjungi web site Vaksin.com :0).

Berita terkait :

http://vaksin.com/bagle.htm

http://vaksin.com/dumaru.htm

http://vaksin.com/mydoom.htm

PT. Vaksincom

Gedung Rifa lt. IV

Jl. Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

MGM Latupeirissa

support@...