W32/Bagle.AK        1 September 2004

Jangan klik file HTML dalam .zip

     Setelah Bagle.AI dan MyDoom.S yang mengandung trojan downloader, sekarang muncul worm baru W32/Bagle.AK yang juga mengandung downloader. Kalau MyDoom.S hanya memiliki 4 website yang berbeda untuk download, maka Bagle.AK memiliki daftar 131 website untuk mengupdate dirinya. Bagle.AK di sebarkan secara masif ke internet pada tanggal 1 September 2004 dengan lampiran terkompres .zip dan file di dalamnya berisi file HTML yang jika dijalankan akan secara otomatis mengeksploitasi celah keamanan Microsoft Java Machine untuk menjalankan virus secara otomatis. Unikya, ke 131 website yang terkandung dalam Bagle.AK pada saat ini tidak ada satupun yang aktif. Apakah pembuat virus menunggu waktu yang tepat untuk mengupload file tersebut atau ini hanya tipuan, waktu yang akan memberitahu kita.

Lampiran .zip dengan file HTML yang mengekspoitasi Microsoft VX Activex Components vulnerability

Email yang mengandung Bagle.AK akan datang dalam lampiran .zip dan menurut pengamatan Vaksincom, alamat pengirim dipalsukan oleh virus (forging). Adapun subjeknya adalah foto dengan lampiran fotos.zip. Untuk detilnya silahkan lihat gambar 1.

Gambar 1, email yang mengandung virus Bagle,AK akan datang dalam lampiran fotos.zip

Jika anda memekarkan lampiran ini, anda akan mendapatkan satu file "foto.htm" dan satu direktori dengan nama "1" (Lihat gambar 2).

Gambar 2, hasil unzip lampiran fotos.zip

 Di dalam direktori inilah virus Bagle.AK tersimpan dengan nama "foto1.exe" atau "calc.exe". Adapun rekayasa sosial yang terkandung dalam lampiran ini ada pada file foto.htm, yang seharusnya merupakan file html (hypertext markup language) yang tidak memiliki kemampuan menjalankan kode berbahaya tanpa sepengetahuan pengguna komputer. Tetapi karena file html yang terkandung dalam Bagle.AK ini berisi kode program yang mengeksploitasi celah keamanan Microsoft VX Activex Components vulnerability http://www.microsoft.com/technet/security/bulletin/MS00-075.mspx maka secara otomatis, jika kita mengklik file foto.htm maka file foto.exe / calc.exe akan dijalankan secara otomatis oleh windows sekaligus mengaktifkan virus. Kami sertakan capture dari kode eksploitasi yang terkandung di dalam file foto.htm (gambar 2)

Gambar 2, kode html untuk mengeksploitasi celah keamanan Microsoft VX Activex components

Memiliki daftar 131 website untuk mendownload file b.jpg

Bagle.AK yang dalam keadaan terkompresi ukurannya 5 KB ini juga memiliki Trojan Downloader yang setiap 6 jam sekali berusaha mendownload file ke 131 website yang telah ditentukan dalam codingnya, seperti trik yang digunakan oleh MyDoom.S file yang di download adalah file dengan ekstensi .jpg yang setelah di download akan dirubah ekstensinya untuk dijalankan. Jadi secara teknis Bagle.AK memiliki kemampuan untuk mengupgrade dirinya karena secara otomatis akan menjalankan file yang di download dan perintah apapun dapat dimasukkan ke dalam perintah tersebut dari yang tidak destruktif seperti melakukan spamming, Ddos sampai ke hal yang destruktif seperti menghancurkan file atau memformat harddisk.

Menurut pengamatan Vaksincom, pada pukul 16.00, 1 September 2004 ke 131 website tersebut masih belum mengandung file yang dicari oleh Bagle.AK, sehingga tidak akan terjadi update. Tetapi karena setiap 6 jam sekali proses pengecekan akan dilakukan maka tidak tertutup kemungkinan file dengan nama b.jpg tersebut akan diuploadkan ke beberapa dari ke 131 daftar website tersebut sehingga proses update worm akan terjadi. Jika anda bertanya mengapa hanya beberapa website saja yang di update oleh pembuat worm, alasannya adalah untuk menghindari pelacakan oleh pihak berwenang. Selain itu, kemungkinan kedua adalah pembuat Bagle.AK ini melakukan "testing the water", untuk melihat bagaimana pemantauan yang dilakukan dan bagaimana kemungkinan serangan yang efektif di masa depan. Jadi para pengguna internet, bersiaplah untuk serangan berikut yang lebih canggih lagi di masa depan.

Selain itu, Bagle.AK yang dapat menginfeksi Windows 95 / 98 / ME / NT / 2000 / XP dan 2003 ini juga melakukan Pe-Er nya yang lain seperti :

1. Menghapus beberapa program sekuriti dan antivirus antara lain :
    

   ATUPDATER.EXE
   AUPDATE.EXE
   AUTOTRACE.EXE
   AUTOUPDATE.EXE
   FIREWALL.EXE
   ATUPDATER.EXE
   LUALL.EXE
   DRWEBUPW.EXE
   AUTODOWN.EXE
   NUPGRADE.EXE
   OUTPOST.EXE
   ICSSUPPNT.EXE
   ICSUPP95.EXE
   ESCANH95.EXE
   AVXQUAR.EXE
   ESCANHNT.EXE
   UPGRADER.EXE
   AVXQUAR.EXE
   AVWUPD32.EXE
   AVPUPD.EXE
   CFIAUDIT.EXE
   UPDATE.EXE
   NUPGRADE.EXE
   MCUPDATE.EXE

   Vaksincom menyarankan anda untuk berhati-hati atas aksi ini karena antivirus yang dilumpuhkan akan berakibat fatal, karena komputer anda akan terbuka terhadap serangan virus yang paling primitif sekalipun, namun berbahaya seperti CIH atau Magister.

2. Mematikan Internet Connection Sharing dan Internet Connection Firewall pada windows 2000, Windows XP dan Windows 2003.
   Jika anda menggunakan program firewall lain seperti Norman Personal Firewall, Zonealarm atau Blackice akan terhindar dari aksi ini.

Norman Virus Control dengan teknologi Sandbox secara proaktif tanpa memerlukan update dapat mengenali Bagle.AK sebagai W32/Malware. Namun kami tetap menyarankan para pelanggan Vaksincom untuk selalu mengupdate program antivirus anda agar selalu terlindung dari virus baru yang selalu bertambah setiap hari.

salam,

Alfons Tanujaya

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

W32/MyWife.E@mm       11 September 2004

Giliran pengguna Winzip yang "dikerjai"

Alias : Nyxem.C (Sophos), Blackmal.C (Symantec), Blueworm.F (TrendMicro),

     Hai para pengguna Winzip, berhati-hatilah atas rekayasa sosial dari W32/Mywife.E@mm pada komputer anda dan jangan sekali-kali mengklik lampiran email mencurigakan yang datang disertai dengan gambar JPG porno dan Icon lucu Yahoo Messenger sebelum membaca habis artikel ini. Jika anda lakukan hal diatas, maka dijamin anda akan menjadi korban Mywife.E yang salah satu aksinya adalah melumpuhkan program antivirus dikomputer anda dan akan berusaha mengirimkan dirinya ke alamat email yang didapatkan dari komputer anda, termasuk kontak Yahoo dan MSN Messenger. MyWife.E sudah sampai ke Indonesia sejak tanggal 9 September 2004.

Email dengan gambar porno dan icon Messenger

Email yang mengandung virus MyWife.E akan datang dalam rekayasa yang cukup menarik. Pada Body email, akan diselipkan beberapa Icon lucu (smiley) baik dari MSN Messenger atau dari Yahoo Messenger . Kemungkinan besar harapan dari pembuat MyWife.E ini agar pada pengguna messenger merasa familiar dengan icon-icon tersebut dan tidak curiga pada email tersebut. Icon lucu tersebut dimasukkan ke body email dengan melakukan link langsung ke website Hotmail dan Yahoo Instant Messenger. Sedangkan lampiran yang pada email akan mengandung dua file, file pertama adalah file terkompres yang mengandung virus dan file kedua adalah file JPG dengan nama video1.jpg yang merupakan gambar porno dengan resolusi rendah dan ukuran 8kb.

Alamat email pengirim dipalsukan sehingga anda tidak dapat melacak pengirim email yang asli. Satu hal yang cukup menarik dan perlu menjadi perhatian anda adalah lampiran yang mengandung virus akan datang dalam bentuk file *.zip, *.z, *.gz dan *.tgz. Menurut pemantauan Vaksin.com, MyWife.E ini merupakan virus pertama yang mengirimkan dirinya dengan memanfaatkan Icon MSN & Yahoo Messenger pada bagian Body email (secara online) serta lampiran yang datang dalam format *.z. Hal ini cukup unik mengingat umumnya administrator mailserver memblok semua eksekutable pada mailservernya dan hanya meloloskan *.zip. Jika administrator meloloskan semua lampiran yang terkompres *.zip, *.tgz, *.z atau *.gz maka kemungkinan besar MyWife.E akan berhasil lolos sampai ke mailbox enduser.

MyWife.E akan berusaha mengirimkan dirinya secara massif melalui email ke alamat kontak yang didapatkan dari kontak Yahoo Messenger, MSN Messenger dan file pada komputer lokal yang mengandung alamat email. Adapun sMTP yang digunakan untuk mengirimkan virus akan diambil dari SMTP Outlook (dari registri), jika tidak ada akan dicoba SMTP dari Hotmail dan sebagai cadangan terakhir MyWife.E memiliki daftar SMTP server sendiri untuk mengirimkan dirinya. Adapun teknik yang digunakan untuk memanfaatkan SMTP ini cukup canggih, yaitu dengan cara mendrop "OSSMTP.DLL" yang merupakan komponen Visual Basic untuk mengirimkan email.

Rekayasa lampiran

Lampiran yang mengandung virus MyWife.E memanfaatkan settingan default windows XP yang secara default tidak menampilkan ekstensi file yang sudah dikenali (lihat Gambar)

sehingga file yang sebenarnya file Unix Compress "Nokia6600zip.z" akan terlihat sebagai "Nokia6600zip". Pada sample email yang lain, rekayasa dilakukan dengan teknik spasi panjang, dimana file yang mengandung virus diberi nama "Video_Live.zip  <spasi banyak>  .z" akan ditampilkan pada windows XP sebagai "Video_Live.zip". Setelah dimekarkan, file yang terkompres akan terpecah menjadi empat file dimana salah satunya akan kembali mengandung ekstensi ganda dengan spasi banyak sebagai berikut :

Pada settingan default Windows XP, file dengan ekstensi ganda tersebut akan terlihat seperti file DVD "File-04-Music.DVD" yang jika dijalankan akan membuka Windows Media Player namun tidak ada file yang dijalankan, melainkan malahan akan mengaktifkan virusnya untuk menginfeksi komputer anda.

Menghapus program antivirus baik dari registri dan eksekutable

Hal yang perlu diwaspadai dari MyWife.E ini adalah aksinya melumpuhkan program antivirus dan utilitas sehingga komputer anda menjadi rentan terhadap serangan virus yang paling primitif sekalipun. Adapun software yang dilumpuhkan adalah sebagai berikut :

• TrendMicro / PC Cilin

• McAfee

• Symantec

• Kaspersky

• Deep Freeze

Teknik yang digunakan oleh MyWife.E dalam melumpuhkan aplikasi sekuriti adalah dengan dua metode, yang pertama menghapus kunci registri windows :

_Hazafibb
au.exe
ccApp
defwatch
Explorer
erthgdr
gigabit.exe
JavaVM
KasperskyAv
key
MCUpdateExe
MCAgentExe
McRegWiz
McVsRte
McAfeeVirusScanService
msgsvr32
NPROTECT
NAV Agent
Norton Antivirus AV
OLE
PCClient.exe
PCCIOMON.exe
pccguide.exe
PccPfw
PCCClient.exe
rtvscn95
reg_key
ScriptBlocking
SSDPSRV
system.
Sentry
ssate.exe
Services
tmproxy
Taskmon
Traybar
Task
VirusScan Online
VSOCheckTask
vptray
Windows Services Host
winupd.exe
Windows Update
win_upd.exe
winupdt
wersds.exe

pada alamat registri :

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Yang secara tidak langsung juga mengakibatkan MyWife.E berbuat kebaikan karena kunci registri di atas juga mengaktifkan virus MyDoom.A, Mimail.T dan Bagle.

dan yang kedua menghapus semua file *.exe pada direktori instalasi software antivirus dan sekuriti sebagai berikut :

C:\Program Files\Norton AntiVirus\*.exe
C:\Program Files\McAfee\McAfee VirusScan\Vso\*.*
C:\Program Files\McAfee\McAfee VirusScan\Vso
C:\Program Files\McAfee\McAfee VirusScan\Vs
C:\Program Files\Trend Micro\PC-cillin 2002\*.exe
C:\Program Files\Trend Micro\PC-cillin 2003\*.exe
C:\Program Files\Trend Micro\Internet Security\*.exe
C:\Program Files\NavNT\*.exe
C:\Program Files\HyperTechnologies\Deep Freeze\*.exe

Selain itu, MyWife.E juga akan mengubah registrasi software Winzip pada komputer yang terinfeksi dengan mendaftarkan nama "BlackWorm" sebagai pemilik software dengan nomor SN+2AD00ED*"

Selain kemampuan melumpuhkan program sekuriti, coding MyWife.E diketahui mengandung rutin untuk menghapus file doc, jpg, mdb, psd dan xls. Karena itu, segeralah back up data anda yang penting guna berjaga dari kemungkinan terburuk.

Apa yang harus dilakukan jika komputer anda terinfeksi MyWife.E?

Jika komputer anda sudah terinfeksi MyDoom.O, kami sarankan anda lakukan langkah berikut :

1. Jika Anda menggunakan Windows ME/XP, nonaktifkan system restore selama masa pembersihan

2. Update antivirus yang anda gunakan, jika tidak menggunakan Norman Virus Control dengan teknologi Sandbox anda harus menggunakan update definisi minimal 9 September 2004 untuk mengenali MyWife.E.

3. Jika komputer Anda terhubung ke jaringan, lepaskan terlebih dahulu.

4. Restart komputer di safe mode (pada saat start komputer tekan tombol [F5])

5. Scan dan delete semua file yang terdeteksi sebagai W32/MyWife.E@mm.

6. Balikkan registri yang telah dirubah sebagai berikut :

   Klik [Start] pilih Run dan ketik "regedit" dan tekan [Enter] anda akan membuka Registry Editor

    

   Navigasi pada alamat registri :

   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     Pada panel kanan, hapus :

   "(default)" = "C:\winnt\volume\[twunk_32.exe]"
   "(default)" = "C:\winnt\volume\[winhelp.exe]"

   • HKEY_KEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\caution
     Pada panel kanan hapus :
     
     "NoBetaMessage"="1"

    

   • HKEY_KEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni
     Pada panel kanan hapus :
     
     Name = "BlackWorm"
     SN = "2AD00ED6"

   Keluar dari Registri Editor

PS : Gunakan sarana Forum antivirus Vaksincom untuk mengkonsultasikan masalah virus anda di http://forum.vaksin.com

Alfons Tanujaya

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vakisn.com

Email : info@...

MS 04-028, GDI+ JPEG Vulnerability       23 September 2004

Celah keamanan yang memungkinkan file JPEG menyebarkan virus

       Bulan September tampaknya mempunyai magnit tersendiri untuk munculnya virus baru dan berbahaya, setelah duet Nimda dan CodeRed pada tahun 2001 yang disusul oleh Yahaa dan Bugbear pada tahun 2002 lalu aksi Blaster dan Sobig.F pada September 2003, maka pada tanggal 14 September 2004 muncul kabar "seram" yang mengguncangkan para praktisi keamanan khususnya industri antivirus pengguna internet. Celah keamanan yang memungkinkan virus menginfeksi komputer anda dengan hanya dengan melihat gambar berformat jpeg telah ditemukan, dan tidak tanggung tanggung celah keamanan tersebut terkandung pada OS (Operating System) dan aplikasi Windows. Dimana walaupun anda sudah melakukan patch OS anda dan belum melakukan patch pada aplikasi maka celah keamanan tersebut tetap akan berhasil dieksploitasi. Jika membuat Sasser membutuhkan waktu kurang dari 1 bulan setelah pengumuman celah keamanannya, kami menunggu dengan was-was dan diperkirakan dalam waktu yang sangat dekat virus yang mengeksploitasi celah keamanan ini akan muncul. Para vendor antivirus juga blingsatan setengah mati karena selama ini tidak memasukkan file jpeg sebagai daftar file yang berbahaya dan perlu diwaspadai.

Informasi Teknis

Sumber permasalahan ada pada Microsoft GDI+ (Graphics Device Interface) JPEG (Joint Photographic Experts Group), dimana GDI+ ini merupakan komponen Microsoft yang digunakan untuk memproses gambar dan grafik pada aplikasi dan program. Terjadi kesalahan pada komponen GDI ini dalam memproses file JPEG sehingga file JPEG yang datang dalam bentuk yang telah direkayasa sedemikian rupa akan mengakibatkan Buffer Overflow dan hal ini akan memungkinkan bagi pembuat virus untuk menjalankan kode yang telah dipersiapkan terlebih dahulu pada komputer korban dan sebagai akibatnya, komputer yang menjalankan (membuka) file JPEG tersebut secara teknis akan bisa dikuasai karena kode yang dijalankan bisa apa saja termasuk menghapus data, menambah akses baru atau menjalankan program lain yang telah dipersiapkan terlebih dahulu.

Aplikasi apa saja yang rentan

Jika celah keamanan LSASS dan RPC Dcom yang memungkinkan Sasser dan Blaster "hanya" mampu menyerang OS Windows seperti Win XP, 2000, NT dan 2003 maka celah keamanan GDI+ ini mempunyai cakupan yang jauh lebih besar, boleh dikatakan celah keamanan yang sangat berbahaya dan cakupannya (termasuk) paling luas, dari Operating System seperti Windows 2000, XP dan 2003, sampai aplikasi yang sangat populer seperti Microsoft Office XP, MS Office 2003 dan tidak ketinggalan browser yang paling populer sejagad Internet Explorer 6 SP 1.

Untuk lebih lengkapnya, beberapa OS dan aplikasi yang mengandung celah keamanan GDI +  ini adalah sebagai berikut :

Operating System

• Microsoft Windows XP dan Microsoft Windows XP Service Pack 1

• Microsoft Windows XP 64-Bit Edition Service Pack 1 dan Microsoft Windows XP 64-Bit Edition Version 2003

• Microsoft Windows Server™ 2003 – Download the update

• Microsoft Windows Server 2003 64-Bit Edition – Download the update

Aplikasi

• Internet Explorer 6, SP 1

• Microsoft Office XP Service Pack 3

• Microsoft Office XP Service Pack 3 Software:
  Outlook® 2002
  Word 2002
  Excel 2002
  PowerPoint® 2002
  FrontPage® 2002
  Publisher 2002

• Microsoft Office 2003

• Microsoft Office 2003 Software:
  Outlook® 2003
  Word 2003
  Excel 2003
  PowerPoint® 2003
  FrontPage® 2003
  Publisher 2003
  InfoPath™ 2003
  OneNote™ 2003

• Microsoft Project 2002 Service Pack 1 (semua versi)

• Microsoft Project 2003 (semua versi)

• Microsoft Visio 2002 Service Pack 2 (semua versi)

• Microsoft Visio 2003 (semua versi)

• Microsoft Visual Studio .NET 2002

• Microsoft Visual Studio .NET 2002 Software:
  Visual Basic .NET Standard 2002
  Visual C# .NET Standard 2002
  Visual C++ .NET Standard 2002

• Microsoft Visual Studio .NET 2003

• Microsoft Visual Studio .NET 2003 Software:
  Visual Basic .NET Standard 2003
  Visual C# .NET Standard 2003
  Visual C++ .NET Standard 2003
  Visual J# .NET Standard 2003

• The Microsoft .NET Framework versi 1.0 SDK Service Pack 2

• Microsoft Picture It!® 2002 (semua versi)

• Microsoft Greetings 2002

• Microsoft Picture It! version 7.0 (semua versi)

• Microsoft Digital Image Pro version 7.0

• Microsoft Picture It! version 9 (semua versi, termasuk Picture It! Library)

• Microsoft Digital Image Pro version 9

• Microsoft Digital Image Suite version 9

• Microsoft Producer for Microsoft Office PowerPoint (semua versi)

• Microsoft Platform SDK Redistributable: GDI+

Sedangkan aplikasi yang tidak rentan secara "default" (rentan sejak pertama kali instal) adalah sebagai berikut :

Operating System

• Microsoft Windows NT Server 4.0 Service Pack 6a

• Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

• Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4

• Microsoft Windows XP Service Pack 2

• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)

• Microsoft Windows Millennium Edition (Me)

Aplikasi

• Microsoft Office 2003 Service Pack 1

• Microsoft Office 2000

• Microsoft Visio 2003 Service Pack 1

• Microsoft Visio 2000

• Microsoft Project 2003 Service Pack 1

• Microsoft Project 2000

• Microsoft Digital Image Suite 10, Microsoft Digital Image Pro 10, Picture It! Premium 10

• Internet Explorer 5.01 Service Pack 3 pada Windows 2000 Service Pack 3

• Internet Explorer 5.01 Service Pack 4 pada Windows 2000 Service Pack 4

• Internet Explorer 5.5 Service Pack 2 pada Microsoft Windows Millennium Edition

• The Microsoft .NET Framework version 1.0 Service Pack 3

• The Microsoft .NET Framework version 1.1 Service Pack 1

• The Microsoft .NET Framework version 1.1 Service Pack 1 for Windows Server 2003

PENTING !!

1. Anda harus melakukan Path pada "semua" komponen yang rentan, baik Operating System DAN Aplikasi. Sebagai contoh, jika anda menggunakan Windows 98 yang secara teknis tidak rentan atas GDI+ Exploit ini namun anda menggunakan Microsoft Office XP Service Pack 3 yang rentan atas GDI Exploit, maka jika aplikasi Office anda membuka file JPEG yang mengeksploitasi celah keamanan ini komputer anda akan berhasil ditaklukkan.

2. Demikian pula sebaliknya, jika anda menggunakan Microsoft Office Service Pack 1 yang tidak rentan namun dijalankan pada WIndows XP Service Pack 1 yang rentan, maka sistem anda tetap akan berhasil dieksploitasi jika membuka file JPEG karena OS Windows XP memiliki kemampuan untuk menjalankan GDI+ sendiri.

3. Meskipun Operating system anda dan Aplikasi yang disebutkan di atas sudah di patch, hal ini "tidak menjamin" sistem anda bebas dari eksploitasi GDI+ JPEG ini karena jika anda menjalankan aplikasi pihak ke tiga yang menggunakan GDI+ ini dan belum di patch, maka sistem anda akan berhasil dieksploitasi :(.

Bagaimana cara mengatasinya

Bagi anda yang menggunakan aplikasi dan OS yang kami sebutkan di atas, kami "sangat" sarankan untuk mengupdate sistem anda segera. Untuk informasi detail silahkan akses ke :

http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx dan lakukan download sesuai dnegan konfigurasi sitem yang anda miliki.

Bagi semua pelanggan Vaksincom, patching akan diberikan secara gratis oleh PT. Vaksincom pada kunjungan rutin bulanan dan untuk mendapatkan kunjungan patching Gratis "segera" oleh teknisi Vaksincom silahkan melakukan koordinasi dengan bagian Customer Service ibu Dewi.

PT. Vaksincom mengeluarkan peringatan kepada seluruh pengguna internet Indonesia untuk berhati-hati karena menurut pemantauan kami, POC (Proof of Concept) atas eksploitasi GDI+ ini sudah berhasil dan beredar di internet. Diperkirakan dalam waktu yang tidak terlalu lama virsus yang berhasil mengeksploitasi celah keamanan ini akan beredar.

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

W32/Netsky.AD@mm          15 Oktober 2004

Varian Netsky berbahasa Portugis dengan icon bendera Brazil

Alias : WORM_NETSKY.AF, I-Worm.NetSky.b, W32/Netsky.ag@MM, W32.Netsky.AF@mm

     Seperti film mafia dimana walaupun boss mafianya sudah tertangkap dan dipenjara namun organisasi mafia tersebut tetap berjalan, demikian halnya dengan virus Netsky. Cukup mengherankan ada varian Netsky baru yang keluar lagi setelah tertangkapnya "boss" pembuat Netsky (Sven Jaschan) yang seharusnya mengakibatkan terhentinya produksi varian baru dari Netsky. Pertanyaannya adalah siapa yang menyebarkan varian baru ini ? Menurut pengamatan Vaksincom, varian Netsky.AD ini sangat mirip dengan Netsky.B dimana beberapa vendor antivirus bahkan mendeteksinya sebagai Netsky.B karena kharakteristiknya memang sangat mirip dengan Netsky.B kecuali ciri khas Netsky.AD yang berbahasa Portugis.

Penyebarannya cukup meluas dengan ciri khas icon mirip bendera Brazil

Meskipun email yang mengandung Netsky.AD ini datang dalam lampiran dan subjek yang berbahasa Portugis, tetapi penyebarannya cukup meluas di seluruh dunia, termasuk Indonesia. Vaksincom menerima konfirmasi serangan Netsky.AD yang pertama pada tanggal 14 Oktober 2004 dan meningkat pada hari berikutnya tanggal 15 Oktober 2004 sehingga memasukkan virus ini pada kategori yang perlu diwaspadai dengan tingkat resiko rendah. Adapun email yang mengandung Netsky.AD akan datang dengan perincian sebagai berikut (lihat gambar 1) :

Email Pengirim : dipalsukan

Subjek dan Bodi email dalam bahasa Portugis. Adapun beberapa contoh subjek, isi email dan lampiran yang mengandung Netsky.AD adalah sebagai berikut :

0123456789
war3!
AIDS!
jogo!
vips!
email
:(
brasil!
docs
:D
voce
:-)
???
Sua saude esta bem?
morto
:)

Isi Email :

sinto voce!!
Hackers do Brasil
Medical Labs Exames!!!
Surto :(
Policia SP
arquivo zipado PGP???
ve ai logo ta
AMA!
Abra rapido isso!!!!
veja detalhes!!!
PizzaVeneza!

Lampiran :

AIDS!
LINUSTOR
bingos!
brasil!
circular
contas!!
docs
email
loterias
voce
war3!

dengan ekstensi :

.bat
.com
.pif
.scr
.zip

jika memiliki ekstensi .zip, isi dari lampiran .zip tersebut akan mengandung virus dan ekstensi yang dikandungnya bisa tunggal atau ekstensi ganda :

.doc
.htm
.rtf
.txt

diikuti :

.bat
.com
.pif
.scr

Jika penerima email menjalankan lampiran yang diterimanya, ia akan menerima pesan error (lihat gambar 2) :

dan tanpa disadarinya virus Netsky.AD sudah menginfeksi komputernya dan menjalankan aksinya dengan mengubah beberapa registri untuk menjalankan dirinya secara otomatis serta tidak lupa mematikan beberapa aplikasi windows (Task Monitor dan Explorer) serta satu program antivirus (Kaspersky) dengan menghapus registrinya dan menempatkan dirinya pada direktori windows dengan nama MsnMsgrs.exe (memalsukan diri sebagai aplikasi MSN Messenger) dengan icon unik mirip bendera Brazil . Selain itu, guna mendukung penyebarannya yang massal lewat email, seperti varian Netsky yang lainnya maka penyebaran melalui jaringan juga dilakukan dengan sangat aktif. Semua direktori pada drive c: s/d z: (kecuali drive CD Rom)  yang mengandung kata "share" atau "sharing" akan dikopikan virus Netsky.AD yang berukuran 31 KB dengan nama file sebagai berikut :

aninha gatinha!.zip.scr
barrio.scr
cafe!!.zip.scr
Canaval2004!.jpg.pif
Carnaval em Salvador!!.zip.scr
caspa.scr
celulares!!.zip.scr
clica ai logo meu.scr
comoserrico!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
MulataDandoOcujpg.scr
multas.pif
paula!.scr
puteiros!!.scr
receitas de bolo!!.zip.scr
rede globo tv!.zip.scr
ResidentEvil2.zip.scr
rocha.scr
traficoemSP!.scr
vadias peladas!!.scr
vida!!.zip.scr
VivaNaBaia!.scr
vota!.zip.scr

Akibat dari aksinya ini adalah ancaman terhadap pengguna komputer lain dalam jaringan yang tertarik dan mengklik file yang disharing dan juga pengguna P2P seperti Kazaa sehingga Netsky.AD juga memiliki kemampuan menyebarkan dirinya melalui email dan P2P / jaringan lokal. Menurut pengetesan yang dilakukan oleh Vaksincom, copy dari file yang dimasukkan dalam satu insiden sangat banyak, mencapai > 4.000 copy worm per komputer sehingga dapat dikatakan worm ini sangat produktif dan kemungkinan pengguna jaringan lain untuk terinfeksi melalui file sharing cukup besar, apalagi icon dari file tersebut juga cukup menarik, mirip bendera Brazil dengan warna dasar hijau dan kuning (lihat gambar 3).

Karena itulah Vaksincom menyarankan para pengguna internet untuk berhati-hati dan tidak sembarangan menjalankan file khususnya dari Peer to Peer sharing seperti Kazaa, Morpheus. Termasuk berhati-hati untuk tidak menjalankan sembarang file dari jaringan. Selain itu, jagalah selalu agar komputer anda selalu menggunakan program antivirus yang terupdate agar dapat mengenali ancaman virus terakhir seperti Netsky.AD. Norman Virus Control dengan update per tanggal 14 Oktober 2004 dapat mengenali Netsky.AD ini dengan baik.

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

W32/Bagle.AQ - Bagle.AR@mm              30 Oktober 2004

Hati-hati dengan attachment .cpl

       Setelah cukup lama tidak membuat kehebohan, pembuat Bagle kembali menjalankan aksinya dengan menyebarkan varian baru pada hari Jum'at, 29 Oktober 2004. Hari Jum'at merupakan waktu favorit bagi pembuat virus untuk menyebarkan "ciptaannya" karena merupakan awal weekend, sehingga virus mempunyai waktu yang cukup panjang untuk menyebarkan dirinya (khususnya melalui komputer yang menyala terus dan terhubung menggunakan broadband) dan akan mendapatkan dampak maksimal penyebarannya pada saat semua orang mulai bekerja pada hari Senin. Virus ini menyebar tidak memanfaatkan lampiran .zip tetapi memanfaatkan 4 lampiran salah satunya adalah .cpl yang kemungkinan besar akan diloloskan dari lampiran yang diblok mailserver. Karena itu harap anda berhati-hati khususnya jika menerima email dengan lampiran .cpl (Control Panel).

Detail email

Email yang mengandung Bagle.AQ dan AR akan datang dengan alamat pengirim yang dipalsukan, sehingga kami tidak menyarankan anda untuk mengabaikan alamat pengirim email tersebut. Selain itu, anda juga akan mengalami kesulitan mengenali virus ini dari ukurannya karena sangat bervariasi. Yang perlu anda perhatikan adalah Subjek, Isi email dan lampiran. Karena variasinya sedikit, anda dapat mengenali email Bagle ini sebagai berikut (lihat gambar 1) :

Gambar 1. Contoh Virus Bagle.AQ / AR

Nama Pengirim / From  : Dipalsukan

Ukuran Lam

Subjek :

Re:
Re: Hello
Re: Thank you!
Re: Thanks :)
Re: Hi

Isi Email :

:)
:))

Lampiran :

Price
price
Joke

dengan ekstensi :

.exe
.scr
.com
.cpl

Yang perlu diperhatikan adalah lampiran yang datang dalam format .cpl, karena kemungkinan besar lampiran dalam format .exe, .scr dan .com sudah diblok oleh administrator di mailserver. .cpl adalah file untuk komponen sistem windows Control Panel (lihat gambar 2).

Gambar 2, Control Panel Windows

Menyebarkan diri melalui Sharing

Satu hal yang sangat cerdik dimanfaatkan oleh Netsky dan Bagle dalam menyebarkan dirinya melalui jaringan / Peer to Peer adalah dengan mengkopikan dirinya ke semua direktori yang mengandung nama "shar". Kami katakan cerdik karena pembuat virus tidak perlu memeras otaknya untuk mengirimkan virus ke komputer lain di jaringan seperti Opaserv, tetapi cukup mengkopikan diri ke direktori yang selalu digunakan untuk sharing dalam jaringan dan dan digunakan oleh aplikasi Peer to Peer yang sangat populer. Direktori lokal yang mengandung kata "shar" tersebut antara lain "Shared", "Microsoft Shared", "Shared Dir" atau "AVP Shared".

Sedangkan program Peer to Peer yang menggunakan kata "shar" dalam direktorynya antara lain Kazaa dan Morpheus dengan nama "My Shared Folder".

Untuk menarik perhatian orang menjalanak dirinya, Bagle.AQ memberikan nama yang menarik pada file yang mengandung virus dan diletakkan pada folder yang kami sebutkan di atas. Adapun nama file tersebut adalah sebagai berikut :

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
KAV 5.0
Kaspersky Antivirus 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno Screensaver.scr
Porno pics arhive, xxx.exe
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Melumpuhkan program sekuriti dan membuka port TCP 81.

Aksi Bagle.AQ yang cukup berbahaya adalah ia akan berusaha melumpuhkan beberapa program sekuriti seperti Zone Labs, Panda, Norton Antivirus, Kaspersky, TinyAV dan SkynetRevenge (virus Netsky) dengan cara menghapus string aplikasi dari registri. Selain itu, proses aplikasi yang sedang berjalan seperti :

APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVENGINE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
Avconsol.exe
Avsynmgr.exe
CFIAUDIT.EXE
DRWEBUPW.EXE
DefWatch.exe
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
MCUPDATE.EXE
NISUM.EXE
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
UPDATE.EXE
UpdaterUI.exe
VsStat.exe
VsTskMgr.exe
Vshwin32.exe
alogserv.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
mcagent.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
pavProxy.exe
pavsrv50.exe
symlcsvc.exe

juga akan dimatikan. Bagle.AQ juga akan membuka port TCP 81 untuk mengaktifkan backdoor. Pada varian Bagle yang sebelumnya, pembukaan port ini dimanfaatkan oleh pembuat Bagle untuk menyebarkan vairan yang berikutnya dan terkadang mengambil alih komputer yang terinfeksi virus dan menggunakannya untuk kegiatan spamming (spam server).

Berusaha mendownload file G.jpg

Ada aktivitas menarik dari Bagle.AQ dimana ia akan berusaha mendownload file jpg dari 146 website. Pada saat pembuatan artikel ini, ke 146 link website tersebut tidak aktif. Jik pada varian sebelumnya kegiatan download file ini digunakan untuk mengupdate dirinya (seperti antivirus) maka dikhawatirkan jika website tersebut aktif, maka Bagle.AQ memiliki kemampuan mengupdate dirinya.

Apa Beda Bagle.AQ dan AR

Bagle.AQ dan AR ini sama 99 %, perbedaannya adalah pada saat proses infeksi ke komputer korban, Bagle.AR akan berusaha menghapus virus Netsky pada komputer yang terinfeksi. Seperti kita ketahui, pembuat Bagle dan Netsky saling menyerang dan melumpuhkan dan pertempuran dimenangkan oleh Netsky yang mampu menyebarkan dirinya secara luarbiasa dan mengakibatkan lebih dari 50 % bandwidth email mengandung virus Netsky. Namun dengan tertangkapnya pembuat Netsky, otomatis tidak ada lagi yang membasmi Bagle dan jika hal ini berjalan terus siperkirakan dlaam waktu yang tidak terlalu lama virus Bagle yang akan merajai dalam Top 10 virus dunia.

Infeksi Bagle di Indonesia dan penaggulangannya

Satu hal yang cukup mengkhawatirkan adalah kecepatan penyebaran virus kini sudah sampai pada tingkat yang sangat tinggi. Menurut pemantauan Vaksincom, sample pertama Bagle,AQ dihentikan oleh MessageLabs pada tanggal 29 Oktober 2004 Pukul 07.00 GMT http://messagelabs.com/news/virusnews/detail/default.asp?contentItemId=1198&region=. Yang mengejutkan adalah virus Bagle.AQ yang pertama idterima oleh Vaksincom pada tanggal 29 Oktober 2004 Pukul 10.00 GMT atau hanya berselang 3 jam dari saat Bagle pertama kali terdeteksi. PT. Vaksincom menyarankan anda untuk selalu mengupdate program antivirus anda secara disiplin setiap hari, instal aplikasi tambahan yang diperlukan seperti anti Adware / anti Spyware karena > 95 % komputer yang terkoneksi ke internet pasti terinfeksi spyware dan jangan lupa update selalu patch dan security pack pada seluruh OS komputer pada jaringan anda. Jika anda mengalami kesulitan dan membutuhkan tenaga profesional untuk menghadapi semua masalah virus anda, PT. Vaksincom di Jakarta dan perwakilannya di Bandung, Jogjakarta, Surabaya, Kediri, Solo, Medan, Palembang, Samarinda, Denpasar dan Makasar siap memberikan layanan profesional untuk melindungi jaringan perusahaan anda dari ancamana virus. Setiap pembelian antivirus Norman Virus control for Corporate dari PT. Vaksincom sudah termasuk Instalasi ke setiap komputer, pembersihan virus dan patching OS, kunjungan rutin setiap bulan dan support on site unlimited tanpa biaya tambahan (GRATIS).

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

W32/Sober.I@mm       21 November 2004

Kalau pencuri mengaku semua, penjara penuh

       Kalau pencuri mengaku semuanya, penjara penuh. Ungkapan ini sering kali kita dengar dalam percakapan sehari-hari. Demikian pula dengan virus baru Sober.I yang sedang beredar sejak 19 November 2004 dan menghebohkan dunia, terutama Eropa. Virus ini cukup merepotkan pakar sekuriti Eropa karena memiliki kemampuan mengirimkan dirinya dalam Bahasa Jerman dan Inggris. Hebatnya lagi, hanya negara tertentu saja yang dikirimi email pengantar Bahasa jerman dan sisanya dalam email pengantar Bahasa Inggris. Sampai dengan hari Minggu 21 November 2004 penyebaran Sober.I belum terdeteksi oleh Vaksincom di Indonesia, namun mengingat penyebaran Sober di dunia yang sangat tinggi (lebih tinggi dari Bofra) dan salah satu karakteristik Sober yang hanya dapat berjalan jika dijalankan oleh penerima email dan Indonesia sedang libur panjang sehingga penerima email yang "iseng/ingin tahu/tidak sengaja" mengklik attachment belum masuk kerja, maka diperkirakan dampak maksimal Sober baru akan terlihat pada minggu ke empat November 2004.

Menggunakan dua trik untuk mengelabui korban

Sober.I menggunakan dua hal untuk "meyakinkan" penerimanya bahwa dia bukan virus :

1. Sober.I akan menyertakan pesan bahwa email yang datang telah bebas virus dengan menyertakan footer (penutup) :

*-*-* Mail_Scanner: No Virus
*-*-* <domain-anda>- Anti_Virus Service
*-*-* http://www.<domain-anda>

2. Sober.I akan menampilkan pesan error Winzip palsu pada saat dijalankan :
   
   yang tujuannya adalah supaya korban mengira bahwa file yang dikliknya rusak dan tidak ada perubahan pada sistem komputernya. Padahal tepat pada saat itulah Sober.I langsung menginfeksi komputernya dan menjalankan semua rutin aksinya.

Detail Email Sober.I

Sober.I menggunakan SMTP server sendiri untuk menyebarkan dirinya, seperti yang telah kami utarakan di atas Sober.I memiliki kemampuan untuk mengirimkan dirinya dengan dua alternatif bahasa, yaitu Bahasa Inggris dan Bahasa Jerman. Hebatnya lagi, pemilihan bahasa tidak dilakukan secara acak atau membabi buta tetapi sudah terencana dengan matang. Khusus untuk email korban dengan domain .at, .ch, .de dan .li serta alamat email dengan ekstensi gmx, misalnya gmx.de, gmx.or atau gmx.net akan dikirimi email bervirus dengan bodi email dalam Bahasa Jerman. Hal ini kemungkinan besar dilakukan supaya penerima email tidak curiga dan langsung menjalankan lampiran yang terkandung dalam email. Karena itulah Vaksincom menyarankan agar para pengguna internet yang banyak berhubungan dengan email dari Eropa untuk lebih berhati-hati jika menerima email yang mengandung lampiran, jangan langsung / tidak sengaja dibuka melainkan scan dulu dengan program antivirus terupdate (Norman Virus Control dengan update tanggal 19 november 2004 sudah dapat mengindentifikasi Sober.I dengan baik).

Adapun informasi lebih mendetail mengenai email yang mengandung Sober.I adalah sebagai berikut :

From / Dari : dipalsukan atau daftar nama + domain penerima email :

Daftar nama :

Info
FehlerMail
Webmaster
ReMailer
Lisa
Peter
Michael
Thomas
Elke
Susi
Nadine
Benutzer-Daten
Information
Service
Hilfe
Webmaster
Hostmaster
Postmaster
User-Info

 

Jika domain alamat penerima email bervirus adalah oneng@... maka alamat domain sendernya akan mengambil domain yang sama bajaj-bajuri.com dengan pengirim diambilkan secara acak dari salah satu daftar nama di atas, misalnya webmaster@...

Subject / Subjek : salah satu dari alternatif dibawah ini

FwD:
Re:
Oh God
Registration Confirmation
Confirmation
Your Password
Your mail password
Delivery_failure_notice
Faulty_mail delivery
Mail delivery_failed
Mail Error
illegal signs in your mail
invalid mail
Mail_Delivery_failure
mail delivery system
Key:
SMTP:
ESMTP:
Info von
Mailzustellung fehlgeschlagen
Fehler in E-Mail
Ihre E-Mail wurde verweigert
Mailer Error
Ungueltige Zeichen in Ihrer E-Mail
Mail- Verbindung wurde abgebrochen
Mailer-Fehler
Betr.-Ihr Account
Ihre neuen Account-Daten
Auftragsbestaetigung
Lieferung-Bescheid

Body / Isi email :

Salah satu ciri khas dari Sober.I adalah ia akan menggunakan domain korbannya secara ekstensif, kemungkinan besar untuk meyakinkan penerima email bahwa email yang diterimanya aman. Karena itu anda harus berhati-hati jika menerima email sebagai berikut :

(Vaksincom hanya memberikan contoh email dalam Bahasa Inggris karena pertimbangan kepraktisan dan probabilitas email Sober.I yang datang ke Indonesia dalam Bahasa Jerman sangat kecil).

• I was surprised, too!

• Who_could_suspect_something_like_that? shityiiiii

• Your password was changed successfully!

• Protected message is attached!

• <Kombinasi dari beberapa frasa dibawah ini:>
  _delivery_error
  _does_not_like_
  _failed_after_I_sent_the_message
  _Requested_action_not_taken
  Anti_Virus: No Virus was found
  Attachment: No Virus found
  disabled
  discontinued
  Giving_up_on_
  Mail_Scanner: No Virus
  MAILBOX NOT FOUND
  mailbox_unavailable
  recipient.
  Remote_host_said:
  sender.
  This_account_has_been_
  
  <diikuti dengan> :

   

  *-*-* Mail_Scanner: No Virus
  *-*-* <domain-anda>- Anti_Virus Service
  *-*-* http://www.<domain-anda>

   

  · ++++++ User-Service: http://www.<domain-anda>
  ++++++ MailTo: postmaster <domain-anda>

Attachment / Lampiran : salah satu dari kemungkinan dibawah ini

• <nama domain penerima email>

• auto__mail

• im_shocked

• mail

• oh_nono

• re_mail

• thats_hard

diikuti dengan satu ekstensi dibawah ini :

• .txt

• .doc

• .word

• .xls

• .eml

atau jika berekstensi ganda, maka ekstensi keduanya adalah :

• .zip

• .pif

• .scr

• .bat

• .com

Jika Sober.I datang dalam ekstensi .zip, maka file yang terkandung di dalamnya akan mengandung ekstensi ganda dengan spasi banyak. Seperti yang pernah kami utarakan sebelumnya, tujuan ekstensi dengan spasi banyak ini adalah untuk menyamarkan dirinya agar dikira sebagai file tidak berbahaya (.txt, .doc, .word, .xls dan .eml) padahal sebenarnya jika spasi banyak tersebut diikuti baru ketahuan belangnya bahwa file tersebut berekstensi ganda dan merupakan file eksekutabel yang jika diklik akan langsung mengaktifkan virus Sober.I.

Contoh nama file dengan ekstensi ganda dan spasi banyak adalah :

"message_text.txt                                                                                                                                       .scr"
Jika kita lihat file tersebut seakan-akan file Text dengan nama "message_test.txt", padahal file tesebut adalah file SCR (Screen Saver) dengan nama "message_text.txt<spasi>.scr"
 

Apa yang harus anda lakukan jika sudah terinfeksi Sober.I

Menurut informasi yang kami dapatkan, dalam beberapa kasus, Sober.I dapat berjalan secara tidak sempurna / korup sehingga untuk membersihkannya tidak bisa dengan menggunakan tools, karena itu Vaksincom menyertakan cara pembersihan Sober.I secara manual sebagai berikut :

1. Jika Anda menggunakan Windows ME/XP, nonaktifkan system restore selama masa pembersihan

2. Update antivirus yang anda gunakan, Norman Virus Control dengan teknologi Sandbox dengan update definisi 19 November 2004 akan mendeteksi Sober.I sebagai W32/Sober.I@mm.

3. Jika komputer Anda terhubung ke jaringan, lepaskan terlebih dahulu.

4. Restart komputer di safe mode (pada saat start komputer tekan tombol [F5])

5. Scan dan delete semua file yang terdeteksi sebagai W32/Sober.I@mm.

6. Balikkan registri yang telah dirubah sebagai berikut :

   Klik [Start] pilih Run dan ketik "regedit" dan tekan [Enter] anda akan membuka Registry Editor

    

   Navigasi pada alamat registri :

   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
     Navigasi pada panel sebelah kanan, temukan dan hapus value file yang terdeteksi oleh Norman sebagai virus Sober pada langkah 5 di atas.

   • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

     Navigasi pada panel sebelah kanan, temukan dan hapus value file yang terdeteksi oleh Norman sebagai virus Sober pada langkah 5 di atas.

   tutup Registry Editor.

7. Restart kembali komputer untuk keluar dari Safe Mode dan aktifkan kembali system restore (Win ME dan XP).

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

W32/Zafi.D@mm         15 Desember 2004

Virus cerdas yang menguasai 12 Bahasa

     Jika industri IT dipandang sebagai industri yang sangat dinamis dimana perubahan yang terjadi sangat cepat dimana siapa yang bisa mengantisipasi perubahan tersebut yang akan menang dalam persaingan, maka dunia virus yang merupakan bagian dari industri IT lebih dinamis lagi. Sebagai contoh dapat kita lihat dari perkembangan virus Zafi. Pada awal versinya, Zafi.A hanya "bisa" berbahasa Hungaria, kemudian varian berikutnya Zafi.B pada bulan Juni 2004 datang dalam 3 variasi bahasa yaitu Inggris, Rusia dan Hungaria. Sekarang, Zafi.D yang muncul menyaru sebagai kartu ucapan datang dalam variasi 12 bahasa dan hebatnya ia mampu mengirimkan dirinya dalam email sesuai dengan bahasa yang digunakan penerima email dengan trik yang simple dan efektif. Menurut pemantauan Vaksincom sampai dengan pukul 23.13 WITA, 15 Desember 2004 Zafi.D sudah sampai ke Indonesia dan akibatnya cukup merepotkan pengguna komputer khususnya mailserver yang dibombardir oleh berbagai variasi dari Zafi.D yang jumlahnya mencapai ribuan.

Detail Email

Email yang mengandung Zafi.D ini akan menggunakan gambar / icon berwarna kuning dengan font Comic Sans MS berukuran 14 pt berwarna hijau tua (lihat gambar 1).

Gambar 1, Contoh Email Zafi.D

 Adapun alasan dilakukannya hal ini diduga karena :

1. Untuk mengelabui penerima email agar mengira email yang datang merupakan kartu ucapan.

2. Menggunakan icon berukuran kecil untuk menjaga ukuran email tetap kecil supaya mudah di distribusikan.

Zafi.D menggunakan SMTP server sendiri dalam menyebarkan dirinya dan memalsukan alamat email pengirimnya. Adapun kehebatan dari Zafi.D ini seperti kami kemukakan di atas adalah kemampuannya mengirimkan email bervirus dalam belasan bahasa. Adapun cara yang digunakan untuk menyesuaikan bahasa email dengan calon korban adalah dengan mendeteksi domain dari penerima email, jadi jika domainnya .de (Jerman) maka email akan datang dalam Bahasa Jerman, jika domain korban penerima email berakhiran .es, maka email yang dikirim akan berbahasa Spanyol dst. Adapun daftar domain negara yang terdaftar dalam Zafi.D adalah negara-negara di daratan Eropa, antara lain :

.hu Hungaria
.ru  Rusia
.dk  Denmark
.ro  Rumania
.se Swedia
.no Norwegia
.fi  Finlandia
.lt  Lithuania
.pl  Polandia
.pt Portugal
.de  Jerman
.nl Belanda
.cz Republik Czech
.fr Perancis
.it Italia
.mx Meksiko
.at  Austria
.es  Spanyol

Sedangkan untuk domain di luar daftar seperti domain .com atau .id (Indonesia) akan mendapatkan email dalam Bahasa Inggris. Lampiran yang datang beserta email akan berbentuk eksekutable (.cmd, .bat, .pif, ..com) dan file terkompres .zip yang kemungkinan besar akan berhasil masuk ke mailserver umumnya yang memblok semua eksekutable dan meloloskan lampiran terkompres.

Sambil menyelam minum air

Aksi hebat lain yang dilakukan oleh Zafi.D adalah teknik yang digunakan dalam melumpuhkan program antivirus dan firewall sekaligus menyebarkan dirinya dengan sangat efektif. Adapun teknik tersebut adalah sebagai berikut :

Zafi.D akan mencari direktori yang mengandung nama :

syman
viru
trend
secur
panda
cafee
sopho
kasper
firewall

dan mengganti semua file eksekutable pada direktori yang ditemukan dengan file virus. Aksi ini tentunya akan melumpuhkan program antivirus dan membuat komputer korban Zafi.D tidak terproteksi sama sekali. Disamping itu, setiap kali komputer menjalankan program antivirus yang terjadi malahan menjadi menjalankan virus yang telah menggantikan file semua eksekutable pada direktori antivirus / firewall tersebut.

Sulit dibasmi

Zafi.D akan berusaha untuk menghalangi proses pembasmian dirinya dengan memblok akses ke Registry Editor, MS Config dan Task Manager. Seperti kita ketahui, Registry Editor merupakan daftar registri dimana virus mendaftarkan dirinya agar berjalan secara otomatis sewaktu windows dijalankan pertama kali, sedangkan Task Manager biasanya digunakan untuk terminasi aplikasi virus yang sedang berjalan agar dapat dibasmi. Pemblokan atas tiga file ini dapat diatasi dengan melakukan start Windows dalam Safe Mode.

Zafi.D juga berusaha menyebarkan dirinya melalui Peer to Peer dan jaringan dengan cara mengkopikan dirinya pada semua direktori yang mengandung kata :

• Share

• Upload

• Music

Adapun file yang akan dikopikan ke dalam direktori-direktori tersebut akan diberi nama :

• Winamp 5.7 new!.exe

• ICQ2005a new!.exe

Ketika menjalankan aksinya pertama kali menginfeksi komputer, Zafi.D akan menampilkan pesan error palsu (lihat gambar 2)

Gambar 2, Pesan Error Palsu Zafi.D

Setelah berhasil menginfeksi komputer, Zafi.D akan menyaru sebagai file dengan nama "Norton Update.exe" pada direktori system pada windows. Aksi berbahaya lain yang dilakukan oleh Zafi.D adalah membuka port 8181 sehingga memungkinkan virus ini di update atau komputer korban dikuasai oleh penyusup.

Makassar, 16 Desember 2004

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

Perl/Santy.A       23 Desember 2004

Apakah Google menyelamatkan anda dari "Santy" ?

      "This site is defaced!!!" yang kira-kira berarti "Tamplian website ini berubah"  (tanpa sepengetahuan administrator). Kejutan ini dialami oleh ribuan website yang menjalankan phpBB (Bulletin Board) 2.X yang versinya < 2.0.11. Hal ini terjadi sejak tanggal 21 Desember 2004 namun menurut perkembangan terakhir yang kami dapatkan, penyebaran Santy.A ini sudah dapat dihentikan dengan efektif sejak Google yang sarananya digunakan oleh Santy.A untuk menyebarkan dirinya melakukan bloking sehingga Santy.A tidak dapat meneruskan aksinya walaupun hal ini tidak menjamin penghentian varian berikutnya dari Santy . Sangat menyenangkan melihat keperdulian korporat besar seperti Google atas kepentingan para pengguna internet dunia dimana mereka bersedia melakukan usaha yang signifikan demi kepentingan umum meskipun sebenarnya hal ini bukan tanggungjawabnya dan merupakan tanggungjawab para pengguna phpBB itu sendiri untuk mengupgrade Bulletin Boardnya. Semoga keperdulian atas kepentingan bersama ini dapat diikuti oleh para korporat besar Indonesia juga :), khususnya yang bergerak dibidang IT.

Apa itu phpBB

php adalah bahasa pemrograman OpenSource yang sangat banyak digunakan oleh situs web (server site scripting) untuk memberikan tampilan yang menarik dan proses scripting lain pada situs web. php sendiri pada awalnya merupakan singkatan dari Personal Home Page, namun dalam perkembangannya php digunakan oleh puluhan juta website diseluruh dunia baik perorangan maupun korporat sehingga tidak cocok lagi disebut sebagai Personal Home Page dan banyak yang lebih senang menyebutnya sebagai php saja, beberapa kalangan menguraikan php sebagai singkatan dari Hypertext pre Processor atau Pre Hypertext Processor. phpBB itu sendiri merupakan Buletin Board yang paling banyak digunakan oleh situs web diseluruh dunia. Bulletin Board adalah Forum dalam suatu situs yang digunakan untuk berkomunikasi dua arah bagi para pengakses situs, dapat digunakan sebagai sarana tanya jawab atau menyampaikan informasi dua arah. Salah satu contoh forum adalah http://forum.vaksin.com yang merupakan forum tnaya jawab virus bagi pengakses situs web Vaksin.com.

Higlight Vulnerability

Seperti kita ketahui bersama, software / piranti lunak adalah buatan manusia dan pada dasarnya buatan manusia tidak ada yang sempurna, selalu ditemukan kesalahan pemrograman yang dalam kasus tertentu menyebabkan celah keamanan software tersebut. Celah keamanan dapat memberikan akses kepada pihak yang tidak berhak untuk menjalankan aplikasi / kode pada komputer yang mengandung celah keamanan yang jika dimanfaatkan dengan baik akan berakibat pengambilalihan kendali atas komputer korban.

Dalam kasus phpBB vulnerability ini terjadi kesalahan dalam perintah higlight yang terdapat pada file viewtopic.php yang jika dieksploitasi dengan baik memungkinkan bagi pihak luar untuk menjalankan perintah tertentu, melakukan SQL injection ataupun serangan cross side scripting. Dalam kasus Santy.A ini aksi yang dilakukan adalah merubah tampilan website dengan kalimat : (lihat gambar 1)

Gambar 1, Aksi Santy.A merubah website

Peran positif Google

Bagaimana Santy.A bisa mengetahui situs mana saja yang menggunakan phpBB dalam rimba belantara internet ini ? Jawabannya mudah, Santy.A memanfaatkan Google untuk mencari semua website yang mengandung file viewtopic.php, setelah mendapatkan alamat korbannya maka Santy.A menjalankan aksinya dengan mengirimkan kode tertentu untuk "menaklukkan" website tersebut dan mengganti semua file

.asp, .htm, .jsp, .php, .phtm dan .shtm dengan file html yang telah dipersiapkan terlebih dahulu sehingga tampilannya akan seperti Gambar 1. Untungnya :) aksi yang dilakukan oleh Santy.A hanya deface komputer saja, coba anda bayangkan jika pembuatnya menggunakan semua komputer yang terinfeksi untuk menyerang satu website tertentu seperti varian MyDoom yang menyerang sco.com yang berakibat lumpuhnya website sco.com.

Dari uraian di atas, kita dapat mengetahui bahwa Google tidak memiliki hubungan dengan php dan bukan Google yang bertanggungjawab atas semua website yang terinfeksi Santy.A, namun mereka mau perduli dan pada tanggal 22 Desember (Hari IBU :)) atau 7 jam setelah mendapatkan laporan dari F-Secure mereka melakukan penyaringan atas semua permintaan yang dilakukan oleh Santy.A dan membloknya sehingga secara efektif penyebaran Santy.A berhasil dihentikan, sebagai "bonus" Google juga memberikan listing website mana saja yang berhasil di infeksi oleh Santy.A. Bukannya bangga atau menepuk dada sudah perduli atas kepentingan bersama, Google malahan menyatakan bahwa mereka akan melakukan evaluasi ke dalam guna bereaksi lebih cepat lagi di masa depan jika menemukan kasus serupa dimasa depan :) tepuk tangan untuk Google dan F-Secure.

Tetapi, jika kita kembali melihat akar permasalahan, sebenarnya masalah utama adalah celah keamanan phpBB yang harus ditutupi dan bukan dengan meminta Google memblok query Santy.A, bagaimana nanti kalau muncul Santy.B, Santo.A atau Cecep.C yang tidak menggunakan Google untuk mencari korbannya, atau mereka memiliki kemampuan mencari sendiri calon korbannya ? Jawabannya adalah kembali kepada Administrator website atau hosting provider, kesadaran untuk melakukan patching atas celah keamanan harus ditingkatkan sehingga apapun sarana yang digunakan oleh worm tidak akan berhasil menembus komputer yang telah diamankan dengan disiplin. Karena itu, salah satu hal yang perlu anda pertimbangkan dalam memilih hosting provider adalah ketanggapan administratornya dalam merawat webserver anda.

Detail eksploitasi

phpBB yang rentan atas eksploitasi ini adalah versi :

• phpBB Group phpBB 2.0 .0

• phpBB Group phpBB 2.0.1

• phpBB Group phpBB 2.0.2

• phpBB Group phpBB 2.0.3

• phpBB Group phpBB 2.0.4

• phpBB Group phpBB 2.0.5

• phpBB Group phpBB 2.0.6

• phpBB Group phpBB 2.0.7

• phpBB Group phpBB 2.0.8

• phpBB Group phpBB 2.0.9

• phpBB Group phpBB 2.0.10

dan bagi anda yang menggunakan phpBB versi tersebut di atas (sangat) disarankan untuk mengupgrade ke versi terakhir phpBB 2.0.11 http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636. Sebenarnya ada cara yang cukup cepat (karena mengupgrade phpBB ke versi 2.0.11 cukup merepotkan dan memakan waktu lama) yaitu mengedit file viewtopic.php (gunakan notepad) yang mengandung kode :

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
   // Split words and phrases
   $words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

   for($i = 0; $i < sizeof($words); $i++)
   {

dengan

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
   // Split words and phrases
   $words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

   for($i = 0; $i < sizeof($words); $i++)
   {

Jika anda ingin mengetahui kode tag html yang di jalankan oleh Santy.A adalah sebagai berikut :

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
        <HTML><HEAD><TITLE>This site is defaced!!!</TITLE></HEAD>
        <BODY bgcolor="#000000" text="#FF0000">;
        <H1 >This site is defaced!!!</H1>;
        <HR>;
        <ADDRESS>< b>NeverEverNoSanity WebWorm generation } .
 $generation .q{.< /b
></ADDRESS>
        </BODY>
        </HTML>

Catatan khusus

Celah keamanan highlight vulnerability ini diumumkan pada tanggal 19 November 2004 dan sebulan kemudian virus yang memanfaatkan celah keamanan ini muncul menjalankan aksinya, hal ini menunjukkan waktu munculnya virus dari saat pertama kali celah keamanan diumumkan meningkat, bahkan untuk virus windows seperti Sasser hanya membutuhkan waktu 17 hari dari saat pertamakali celah keamanan LSASS diumumkan. Karena itu anggapan bahwa aplikasi dari vendor tertentu saja yang rentan terhadap serangan virus terlihat mulai dipatahkan karena dalam kenyataanya yang akan diincar oleh virus adalah aplikasi yang paling banyak digunakan karena pembuat virus akan berusaha menimbulkan dampak maksimal dari setiap virus yang diciptakannya.

Untuk Indonesia sendiri, tercatat ada satu website yang menggunakan phpBB yang vulnerable dan berhasil diinfeksi oleh Santy.A (tanggal 21 Desember 2004 pukul 11.33 AM), namun berdasarkan pengamatan kami administrator website tersebut cukup tanggap dan pada saat pembuatan artikel ini website tersebut sudah bebas dari Santy.A. (lihat Gambar 2)

Sumber :

http://www.europe.f-secure.com/weblog/

http://www.securityfocus.com/bid/11672

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636

http://www.phpbb.com/phpBB/viewtopic.php?t=240513

http://secunia.com/advisories/13239

http://isc.sans.org/diary.php?date=2004-12-21

http://news.zdnet.co.uk/internet/security/0,39020375,39181656,00.htm

http://juicystudio.com/tutorial/php/

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

W32/Bagle.AV@mm      30 Januari 2005
Apalah Arti Sebuah Nama

     Apalah arti sebuah nama, kata Shakespeare. Begitulah kira-kira yang terjadi dengan keluarnya varian Bagle yang sangat banyak sampai hari ini sehingga membingungkan pembuat antivirus dan mengacaukan standar penamaan virus tersebut. Hal ini terlihat dari munculnya W32/Bagle.AV@mm pada tanggal 27 Januari 2005. Norman Virus Control menamakan dengan W32/Bagle.AV@mm, sedangkan Symantec dan Trend memberikan nama Bagle.AY, Computer Associate mengindentifikasi dengan nama Win32.Bagle.AT, F-Secure mengidentifikasi sebagai Bagle.AX dan AY dan Mc Afee mengidentifikasi sebagai Bagle.bj. Terlepas dari apapun namanya yang jelas Bagle.AV memiliki penyebaran yang cukup tinggi dan perlu diwaspadai. Varian terakhir dari Bagle yang sedang menyebar di Indonesia dan sampai hari ini mesih mengancam pengguna internet dan termasuk ke dalam resiko tinggi adalah Bagle.AQ dan Bagle.AR, Vaksincom mendeteksi ribuan komputer terinfeksi Bagle.AQ dan Bagle.AR. Menurut data infeksi virus sampai hari ini Bagle.AV sudah sampai ke Indonesia dalam jumlah yang terbatas dan virus ini merupakan virus dengan resiko sedang. Anda perlu berhati-hati dengan virus ini karena ia melumpuhkan proses program antivirus dan sekuriti dalam komputer, membuka port pada komputer yang terinfeksi dan memiliki kemampuan mengupdate dirinya sendiri.

Virus ini memperpanjang deretan virus paling banyak melahirkan varian-variannya setelah Netsky dan menyebar dengan memanfaatkan fasilitas email dan jaringan. Bagle.AV akan membuka TCP port 81 yang akan digunakan oleh pembuat virus untuk menguasai setiap komputer yang telah terinfeksi oleh virus ini, oleh karena itu jika Anda ingin selamat dari ancaman virus ini minimal Anda  harus menginstall antivirus yang memiliki kemampuan update secara teratur (otomastis) dan mempunyai fiture yang dapat melakukan scanning terhadap email sebelum dikirim maupun email yang akan diterima seperti Norman Virus Control dengan teknologi NIP Norman Internet Protection yang secara otomatis akan melakukan scanning atas semua email yang masuk dan keluar pada mailclient anda baik Outlook, The Bat, Pegasus, Eudora etc.

Jika komputer anda telah terinfeksi Bagle.AV, sebaiknya lakukan pembersihan pada mode “safe mode” dan hapus file yang dibuat oleh virus Bagle.AV kemudian hapus value dari regsitry key yang di ciptakan oleh virus Bagle.AV kemudian restart komputer. Anda tidak akan bisa menghapus proses virus ini di memory (CTRL+ALT+DEL) pada windows NT/2000/XP.

Detail Email

Bagle.AV memiliki SMTP sendiri dalam menyebarkan dirinya sehingga tidak tergantung pada smtp komputer yang terinfeksi dan hal ini memberikan kemungkinan penyebaran yang lebih tinggi karena ia tetap akan dapat menyebarkan dirinya sekalipun ISP sudah melakukan bloking atas smtp lokalnya. Selain itu, seperti biasa alamat pengirim email (From) akan dipalsukan oleh Bagle.AV guna mengelabui penerima email awam dan membuat sibuk mailserver yang secara otomatis mereply email bervirus dengan mengirimkan peringatan otomatis ke alamat pengirim email yang dipalsukan. Hal ini akan menghabiskan bandwidth percuma dan membuat bingung penerima peringatan karena alamatnya dipalsukan oleh Bagle.AV, karena itu Vaksincom tidak menyarankan para administrator untuk mengaktifkan automatic warning ke sender.

Email yang dikirmkan akan mempunyai karakteristik sbb:

Subjek:

• Delivery service mail

• Delivery by mail

• Registration is accepted

• Is delivered mail

• You are made active

Isi Email:

• Thanks for use of our software.

• Before use read the help

Lampiran:

• guupd02

• Jol03

• siupd02

• upd02

• viupd02

• wsd01

• zupd02

dengan salah satu ekstensi dibawah ini:

.com

.cpl  (Control Panel)

.exe

.scr (Screen Saver)

Misi menghabisi Netsky

Rupanya pembuat Bagle masih penasaran pernah dikalahkan Netsky dan sampai hari ini ia masih aktif memasukkan rutin-rutin yang akan melumpuhkan virus Netsky yang menginfeksi komputer sebagai berikut:

Menghapus value registry dari :

• "ICQ Net"

• "My AV"

pada registri key :

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

yang secara efektif akan mematikan virus Netsky yang sedang / akan berjalan. Selain itu, untuk mencegah virus W32/Netsky@mm melakukan penyerangan balik, Bagle. AV secara cerdik akan membuat file mutex

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Kemampuan mengupdate diri yang belum berfungsi, ancaman masa depan

Virus ini akan menggunakan TCP Port acak yang dimulai dengan TCP Port  2339 untuk remote koneksi, port ini lah yang akan digunakan oleh pembuat virus itu untuk menjalankan aksinya yaitu  mencoba untuk melakukan koneksi ke 146 website dan mencoba untuk mendownload file JPG (error.JPG) dari komputer yang terinfeksi. Diperkirakan file error.jpg tersebut merupakan file update bagi Bagle yang jika tersedia akan memungkinkan Bagle untuk mengupdate dirinya sehingga dia memiliki kemampuan seperti antivirus yang mampu mengupdate dirinya secara otomatis. Sampai dengan hari ini, hanya sekali varian Bagle berhasil mengupdate dirinya menggunakan website namun segera berhasil di atasi karena tindakan cepat yang dilakukan oleh para vendor antivirus menginformasikan pemilik website yang disusupi file untuk segera menghapus file update tersebut. Namun dikemudian hari hal ini akan semakin sulit diatasi karena makin banyak website dan jika Bagle mendaftarkan ribuan website sebagai sumber update akan sangat menyibukkan dan memakan waktu lama menghubungi satu-persatu pemiliki website untuk menghapus file update yang berhasil ditanamkan. Vaksincom melihat bahwa pembuat Bagle ini sedang melakukan "testing the water" untuk melihat seberapa besar tanggapan pemilik website dan efektivitasnya. Sedangkan pada saat ini sedang menjalankan taktik "The Boy Who Cried Wolf" dimana ia sengaja memasukkan daftar ratusan website yang unik berkali-kali dalam seluruh variannya namun tidak ada satupun yang digunakan sebagai website update. Nantinya setelah orang lengah dan menganggap sepele kemampuan ini, barulah website ini dijadikan sebagai sarana update dirinya dan kemungkinan akan digabungkan dengan salah satu celah keamanan yang memungkinkan untuk mengupload file ke semua website yang rentan secara otomatis tanpa memerlukan usaha yang terlalu besar. Jika hal ini terrealisasi, maka Bagle akan memiliki kemampuan seperti antivirus dan kekacauan internet babak kedua (setelah war of the worm Netsky VS Bagle) akan terulang. Adapun ke 146 website yang terdaftar sebagai website update Bagle adalah sebagai berikut :

www.24-7-transportation.com
www.DarrkSydebaby.com
www.FritoPie.NET
www.adhdtests.com
www.aegee.org
www.aimcenter.net
www.alupass.lu
www.amanit.ru
www.andara.com
www.angelartsanctuary.com
www.anthonyflanagan.com
www.approved1stmortgage.com
www.argontech.net
www.asianfestival.nl
www.atlantisteste.hpg.com.br
www.aviation-center.de
www.bbsh.org
www.bga-gsm.ru
www.boneheadmusic.com
www.bottombouncer.com
www.bradster.com
www.buddyboymusic.com
www.bueroservice-it.de
www.calderwoodinn.com
www.capri-frames.de
www.celula.com.mx
www.ceskyhosting.cz
www.chinasenfa.com
www.cntv.info
www.compsolutionstore.com
www.coolfreepages.com
www.corpsite.com
www.couponcapital.net
www.cpc.adv.br
www.crystalrose.ca
www.cscliberec.cz
www.curtmarsh.com
www.customloyal.com
www.deadrobot.com
www.dontbeaweekendparent.com
www.dragcar.com
www.ecofotos.com.br
www.elenalazar.com
www.ellarouge.com.au
www.esperanzaparalafamilia.com
www.eurostavba.sk
www.everett.wednet.edu
www.fcpages.com
www.featech.com
www.fepese.ufsc.br
www.firstnightoceancounty.org
www.flashcorp.com
www.fleigutaetscher.ch
www.fludir.is
www.freeservers.com
www.gamp.pl
www.gci-bln.de
www.gcnet.ru
www.generationnow.net
www.gfn.org
www.giantrevenue.com
www.glass.la
www.handsforhealth.com
www.hartacorporation.com
www.himpsi.org
www.idb-group.net
www.immonaut.sk
www.ims-i.com
www.innnewport.com
www.irakli.org
www.irinaswelt.de
www.jansenboiler.com
www.jasnet.pl
www.jhaforpresident.7p.com
www.jimvann.com
www.jldr.ca
www.justrepublicans.com
www.kencorbett.com
www.knicks.nl
www.kps4parents.com
www.kradtraining.de
www.kranenberg.de
www.lasermach.com
www.leonhendrix.com
www.magicbottle.com.tw
www.mass-i.kiev.ua
www.mepbisu.de
www.mepmh.de
www.metal.pl
www.mexis.com
www.mongolische-renner.de
www.mtfdesign.com
www.oboe-online.com
www.ohiolimo.com
www.onepositiveplace.org
www.oohlala-kirkland.com
www.orari.net
www.pankration.com
www.pe-sh.com
www.pfadfinder-leobersdorf.com
www.pipni.cz
www.polizeimotorrad.de
www.programmierung2000.de
www.pyrlandia-boogie.pl
www.raecoinc.com
www.realgps.com
www.redlightpictures.com
www.reliance-yachts.com
www.relocationflorida.com
www.rentalstation.com
www.rieraquadros.com.br
www.scanex-medical.fi
www.sea.bz.it
www.selu.edu
www.sigi.lu
www.sljinc.com
www.smacgreetings.com
www.soloconsulting.com
www.spadochron.pl
www.srg-neuburg.de
www.ssmifc.ca
www.sugardas.lt
www.sunassetholdings.com
www.szantomierz.art.pl
www.the-fabulous-lions.de
www.tivogoddess.com
www.tkd2xcell.com
www.topko.sk
www.transportation.gov.bh
www.travelchronic.de
www.traverse.com
www.uhcc.com
www.ulpiano.org
www.uslungiarue.it
www.vandermost.de
www.vbw.info
www.velezcourtesymanagement.com
www.velocityprint.com
www.vikingpc.pl
www.vinirforge.com
www.wecompete.com
www.worest.com.ar
www.woundedshepherds.com
www.wwwebad.com
www.wwwebmaster.com

Bagle.AV juga akan berusaha untuk melakukan koneksi ke IP 17.5.97.137, dimana ia akan mencoba untuk me-resolve DNS

Penyebaran melalui jaringan

Untuk menyebarkan dirinya melalui jaringan, Bagle.AV akan mencari folder yang mempunyai string “shar” dan secara otomatis komputer yang menggunakan program file sharing (seperti KaZaa, Bearshare, Limewire) memiliki direktori yang dishare yang mengandung kata "shar". Bagle.AV akan mengkopikan dirinya ke direktori-direktori tersebut dengan nama sebagai berikut :

• 1.exe

• 2.exe

• 3.exe

• 4.exe

• 5.scr

• 6.exe

• 7.exe

• 8.exe

• 9.exe

• 10.exe

• Ahead Nero 7.exe

• Windown Longhorn Beta Leak.exe

• Opera 8 New!.exe

• XXX hardcore images.exe

• WinAmp 6 New!.exe

• WinAmp 5 Pro Keygen Crack Update.exe

• Adobe Photoshop 9 full.exe

• Matrix 3 Revolution English Subtitles.exe

• ACDSee 9.exe   

karena itulah bagi pengguna Peer to Peer sharing dan pengguna komputer dalam jaringan harap tidak mengklik file dengan nama seperti di atas untuk menghindari terinfeksi Bagle.AV.

Bagle.AV akan berusaha untuk menonaktifkan (disable) service SharedAccess dan wscsvc,  dimana SharedAccess ini adalah service yang digunakan untuk Internet Connection Sharing (pada Windows 2000 dan  XP),  service wscsvc ini pada Windows XP (SP2), diketahui sebagai Security Center. Dengan matinya kedua fingsi ini diperkirakan Bagle.AV akan lebih mudah menyebarkan dirinya melalui jaringan karena sekuriti kontrol sharing pada jaringan menjadi tidak terawasi.

Mematikan proses antivirus dan program security

Salah satu bahaya yang cukup besar dari Bagle.AV ini adalah karena ia akan berusaha mematikan proses yang berhubungan denngan antivirus dan program security (firewall). Hal ini perlu diwaspadai karena komputer yang dilumpuhkan antivirus dan firewallnya menjadi sangat rentan terhadap serangan virus lama Klez.E, CIH, Elkern dan Polyboot yang dapat menghancurkan seluruh data MS Office di jaringan setiap tanggal tertentu sampai merusak boot sector harddisk komputer sehingga komputer anda tidak dapat berfungsi.

Adapun proses yang dimatikan mencapai 289 proses terutama aplikasi antivirus dan firewall sebagai berikut :

AGENTSVR.EXE
ANTI-TROJAN.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVCONSOL..EXE
AVGSERV9.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVSYNMGR.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVprotect9x.exe
BD_PROFESSIONAL.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BOOTWARN.EXE
BORG2.EXE
BS120.EXE
CDP.EXE
CFGWIZ.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET.EXE
CFINET32.EXE
CFINET32.EXE
CLEAN.EXE
CLEAN.EXE
CLEANER.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANPC.EXE
CLEANPC.EXE
CMGRDIAN.EXE
CMGRDIAN.EXE
CMON016.EXE
CMON016.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
DEFWATCH.EXE
DEPUTY.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
DRWEBUPW.EXE
ENT.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
EXANTIVIRUS-CNET.EXE
FAST.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FP-WIN_TRIAL.EXE
FRW.EXE
FSAV.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
GBMENU.EXE
GBPOLL.EXE
GUARD.EXE
GUARDDOG.EXE
HACKTRACERSETUP.EXE
HTLOG.EXE
HWPE.EXE
IAMAPP.EXE
IAMAPP.EXE
IAMSERV.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFW2000.EXE
IPARMOR.EXE
IRIS.EXE
JAMMER.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
KERIO-PF-213-EN-WIN.EX
KERIO-WRL-421-EN-WIN.E
KERIO-WRP-421-EN-WIN.E
KILLPROCESSSETUP161.EX
LDPRO.EXE
LOCALNET.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
LSETUP.EXE
LUALL.EXE
LUCOMSERVER.EXE
LUINIT.EXE
MCAGENT.EXE
MCUPDATE.EXE
MCUPDATE.EXE
MFW2EN.EXE
MFWENG3.02D30.EXE
MGUI.EXE
MINILOG.EXE
MOOLIVE.EXE
MRFLUX.EXE
MSCONFIG.EXE
MSINFO32.EXE
MSSMMC32.EXE
MU0311AD.EXE
NAV80TRY.EXE
NAVAPW32.EXE
NAVDX.EXE
NAVSTUB.EXE
NAVW32.EXE
NC2000.EXE
NCINST4.EXE
NDD32.EXE
NEOMONITOR.EXE
NETARMOR.EXE
NETINFO.EXE
NETMON.EXE
NETSCANPRO.EXE
NETSPYHUNTER-1.2.EXE
NETSTAT.EXE
NISSERV.EXE
NISUM.EXE
NMAIN.EXE
NORTON_INTERNET_SECU_3
NPF40_TW_98_NT_ME_2K.E
NPFMESSENGER.EXE
NPROTECT.EXE
NSCHED32.EXE
NTVDM.EXE
NUPGRADE.EXE
NVARCH16.EXE
NWINST4.EXE
NWTOOL16.EXE
OSTRONET.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
OUTPOSTPROINSTALL.EXE
PADMIN.EXE
PANIXK.EXE
PAVPROXY.EXE
PCC2002S902.EXE
PCC2K_76_1436.EXE
PCCIOMON.EXE
PCDSETUP.EXE
PCFWALLICON.EXE
PCFWALLICON.EXE
PCIP10117_0.EXE
PDSETUP.EXE
PERISCOPE.EXE
PERSFW.EXE
PF2.EXE
PFWADMIN.EXE
PINGSCAN.EXE
PLATIN.EXE
POPROXY.EXE
POPSCAN.EXE
PORTDETECTIVE.EXE
PPINUPDT.EXE
PPTBC.EXE
PPVSTOP.EXE
PROCEXPLORERV1.0.EXE
PROPORT.EXE
PROTECTX.EXE
PSPF.EXE
PURGE.EXE
PVIEW95.EXE
QCONSOLE.EXE
QSERVER.EXE
RAV8WIN32ENG.EXE
REGEDIT.EXE
REGEDT32.EXE
RESCUE.EXE
RESCUE32.EXE
RRGUARD.EXE
RSHELL.EXE
RTVSCN95.EXE
RULAUNCH.EXE
SAFEWEB.EXE
SBSERV.EXE
SD.EXE
SETUPVAMEEVAL.EXE
SETUP_FLOWPROTECTOR_US
SFC.EXE
SGSSFW32.EXE
SH.EXE
SHELLSPYINSTALL.EXE
SHN.EXE
SMC.EXE
SOFI.EXE
SPF.EXE
SPHINX.EXE
SPYXX.EXE
SS3EDIT.EXE
ST2.EXE
SUPFTRL.EXE
SUPPORTER5.EXE
SYMPROXYSVC.EXE
SYSEDIT.EXE
TASKMON.EXE
TAUMON.EXE
TAUSCAN.EXE
TC.EXE
TCA.EXE
TCM.EXE
TDS-3.EXE
TDS2-98.EXE
TDS2-NT.EXE
TFAK5..EXE
TGBOB.EXE
TITANIN.EXE
TITANINXP.EXE
TRACERT.EXE
TRJSCAN.EXE
TRJSETUP.EXE
TROJANTRAP3.EXE
UNDOBOOT.EXE
UPDATE.EXE
VBCMSERV.EXE
VBCONS.EXE
VBUST.EXE
VBWIN9X.EXE
VBWINNTW.EXE
VCSETUP.EXE
VFSETUP.EXE
VIRUSMDPERSONALFIREWAL
VNLAN300.EXE
VNPC3000.EXE
VPC42.EXE
VPFW30S.EXE
VPTRAY.EXE
VSCENU6.02D30..EXE
VSECOMR.EXE
VSHWIN32.EXE
VSISETUP.EXE
VSMAIN.EXE
VSMON.EXE
VSSTAT.EXE
VSWIN9XE.EXE
VSWINNTSE.EXE
VSWINPERSE.EXE
W32DSM89.EXE
W9X.EXE
WATCHDOG.EXE
WEBSCANX.EXE
WGFE95.EXE
WHOSWATCHINGME.EXE
WHOSWATCHINGME.EXE
WINRECON.EXE
WNT.EXE
WRADMIN.EXE
WRCTRL.EXE
WSBGATE.EXE
WYVERNWORKSFIREWALL.EX
XPF202EN.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZAUINST.EXE
ZONALM2601.EXE
ZONEALARM.EXE
drvsys.exe

Bagle.AV akan menguninstall dirinya jika pada system komputer menunjukan tanggal 25 April 2006

Disinfeksi

Jika komputer anda terinfeksi virus W32/Bagle.AV@mm, lakukan langkah pembersihan dibawah ini dan lakukan pembersihan pada mode “safe mode”

1. Install antivirus dengan update terakhir, Norman Virus Control dengan teknologi Sandbox dapat mendeteksi virus ini tanpa membutuhkan update. Virus ini akan terdeteksi sebagai Peer to Peer worm / P2P worm. Update minimal tanggal 27 Januari 2005 akan mendeteksi virus ini sebagai W32/Bagle.AV@mm

2. Jika menggunakan Windows XP/ME, nonaktifkan system restore selama proses pembersihan.

3. Hapus file

   1. Sysformat.exe

   2. Sysformat.exeopen

   3. Sysformat.exeopenopen
      Pada direktori system c:\windows\system atau c:\winnt\system32

4. Hapus file CJECTOR.exe pada direktori system  c:\windows\system atau c:\winnt\system32

5. Hapus value :

1. Sysformat =%system%\sysformat.exe pada registry key :
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

2. Riga = "[random value] pda registry key
   HKEY_CURRENT_USER\Software\Microsoft\Params

Tambahan dalam pembersihan virus W32/Bagle.AV@mm pada windows 2000/XP

Jika sebelumnya ICF (Internet Connection Firewall) /ICS (Internet Connection Sharing) aktif (enable), Anda harus mengaktifkan lagi (re-enable) sebab virus ini akan menonaktifkan (disable) kedua service ini.

Adang Juhar Taufik (AJT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : support@...

Evaluasi malware 2004 dan trend 2005

Dua gajah bertarung, pelanduk mati di tengah-tengah, peribahasa ini sangat tepat menggambarkan kondisi virus tahun 2004. Pertempuran dua pembuat virus Netsky dengan Bagle ibaratnya dua gajah pembuat virus yang saling menyerang dengan saling mengirimkan variannya guna membasmi musuhnya dan kita para pengguna internet sebagai pelanduk yang menjadi korban karena mailbox kita dipenuhi oleh virus. Menurut catatan Vaksincom hal ini mengakibatkan “penderitaan” cukup besar karena sampai > 75 % mailbox email pengguna internet mengandung virus.

Kesaktian Netsky dan Bagle

Jika anda bertanya-tanya apa yang menyebabkan kedua virus ini mampu menjadi “gajah”, hal ini merupakan kombinasi yang lengkap dan mematikan yang dimanfaatkan penciptanya. Faktor pertama adalah kemampuan memanfaatkan banyak komputer untuk menyebarkan dirinya pertamakali dan kemudian memanfaatkan komputer yang telah terinfeksi sebelumnya menjadi agen penyebaran varian berikutnya, hal ini dapat terjadi karena setiap kali menginfeksi komputer korban virus Bagle membuka satu celah baru untuk dimasuki varian berikutnya. Netsky mengimbangi dengan penguasaan banyak komputer dengan bandwidth besar (broadband) yang digunakan sebagai agen penyebaran awal dan rekayasa sosial yang canggih. Salah satu rekayasa sosial yang sukses dieksploitasi adalah penggunaan lampiran terkompres (.zip) untuk mengirimkan virus. Seperti kita ketahui para asministrator mailserver melakukan bloking pada semua file eksekutable (.exe, ..com, .scr, .vbs dst) dan membolehkan file terkompres untuk sampai ke mailbox pengguna komputer. Dengan sedikit rekayasa dan memanfaaatkan “kebiasaan buruk” pengguna komputer yang senang melakukan klik pada mousenya tanpa berpikir dua kali maka otomatis virus yang dikirimkan melalui email lampiran terkompres ini akan dijalankan.

Fenomena lain yang terjadi adalah kolaborasi antara virus dengan spam, dimana komputer-komputer yang terinfeksi oleh virus digunakan sebagai agen penyebaran spam. Kolaborasi ini mengakibatkan setiap komputer yang terinfeksi oleh virus akan dijadikan sebagai spam server tanpa sepengetahuan pemilik komputer, tidak perduli apakah komputer tersebut memiliki koneksi broadband atau dial up sekalipun sehingga ketika terjadi bloking terhadap IP komputer yang mengirimkan spam, yang menjadi korban adalah ISP karena kebanyakan pengguna dial up menggunakan IP static (berubah-ubah) milik ISP yang disharing bersama pengguna dial up lain.

Pemanfaatan komputer yang terinfeksi virus sebagai “pasukan” tempur sangat menakutkan, hal ini terbukti dengan lumpuhnya Santa Cruz Operation Inc www.sco.com yang dibenci oleh kalangan “Open Source” dan diserbu oleh puluhan ribu komputer yang terinfeksi varian MyDoom.A pada tanggal 1 Februari 2004.

Waktu pemanfaatan exploit makin cepat

Jika dibandingkan dengan tahun sebelumnya dimana saat pengumuman celah keamanan baru dengan saat munculnya virus yang mengeksploitasi celah keamanan tersebut berselang beberapa bulan, maka perkembangan terakhir yang terjadi di tahun 2004 menunjukkan trend yang mengkhawatirkan. Celah keamanan phpBB “highlight vulnerability” diumumkan pada tanggal 19 November 2004 dan pada tanggal 21 Desember 2004, virus Santy.A yang mengeksploitasi celah keamanan tersebut sudah muncul dan beraksi. Lebih parah lagi jika kita melihat waktu munculnya virus Sasser yang hanya berselang 17 hari dari saat pertama kali celah keamanan LSASS yang diserangnya diumumkan. Karena itulah disiplin dari pengguna komputer untuk selalu melakukan update dan patch atas OS nya memegang peranan penting dalam mengamankan dirinya dari serangan virus.

Trend malware 2005

Perkembangan malware (malicious software) di tahun 2005 kelihatannya akan didominasi oleh Spyware. Spyware / Adware pada mulanya digunakan sebagai sarana promosi dan akan terinstal secara otomatis setiap kali kita menggunakan piranti lunak gratis (Freeware) seperti Download Accelerator, Smiley Face, Gator, Bonzi Buddy dan program file sharing gratis seperti Kazaa dan Morpheus. Jika kita mengandaikan pembuat virus sebagai pencuri yang berusaha menyembunyikan identitasnya karena takut ditangkap polisi, maka spyware dapat diibaratkan sebagai preman yang terang-terangan meminta uang dari pedagang di pasar dan tidak takut di tangkap karena ada backingnya. Pembuat Spyware membayar pemilik Freeware untuk memasukkan iklannya dalam freeware tersebut dan mereka dilindungi oleh perjanjian EULA (End User License Agreement) yang harus disetujui terlebih dahulu oleh pengguna Freeware dengan mengklik “I Agree” pada saat instalasi Freeware.

Mengapa Spyware akan menjadi mendominasi malware di tahun 2005 ? Penyebabnya adalah karena banyaknya success story pembuat Spyware dan besarnya uang yang berputar dalam bisnis Spyware. Jika anda membuat virus yang berhasil menginfeksi banyak komputer seperti Sven Jaschan (pembuat Netsky) dan tertangkap anda akan mendapatkan dua hal, pertama menjadi terkenal dan yang kedua masuk penjara. Sebaliknya jika anda membuat Spyware yang berhasil menginfeksi banyak komputer maka anda akan mendapatkan uang banyak dan tidak tersentuh oleh hukum karena pemilik komputer korban Spyware sudah menyetujui komputernya dimasuki Spyware.

Membasmi Spyware sangat sulit dan para pembuat spyware yang mayoritas memanfaatkan browser Internet Explorer ini memanfaatkan 1001 cara untuk bertahan dari “pembasmian” sehingga tidak heran jika anda sudah bersihkan berkali-kali satu Spyware tetapi sewaktu di restart browser anda akan kembali menampilkan situs yang tidak anda kehendaki tersebut. Celakanya kalau situs yang kembali tersebut adalah situs porno dan komputer anda juga digunakan oleh anak anda.

Virus Handphone

Jika pada awal tahun 2004 anda membicarakan virus yang menyerang handphone maka akan menjadi bahan tertawaan, maka lain ceritanya pada akhir tahun 2004 karena virus yang mampu menyebar melalui handphone sudah mulai muncul. Sebenarnya virus yang muncul seperti Cabir jika dibandingkan dengan virus komputer sekarang dapat digolongkan sebagai virus yang primitif, karena Cabir membutuhkan banyak sekali “bantuan” dari pemilik handphone untuk berhasil menginfeksi handphone. Tetapi karena banyaknya pengguna handphone gaptek, sama seperti pengguna komputer yang senang mengklik “Yes”, “I Agree” atau “Next” maka Cabir dapat menyebarkan dirinya dengan sukses.

Persyaratan utama bagi adanya virus handphone sudah dipenuhi, pertama handphone mudah di program dan yang kedua memiliki hubungan ke handphone lain melalui koneksi bluetooth / Wi Fi. Karena itu kita tinggal menunggu kejutan lain di tahun 2005 untuk varian virus handphone yang baru.

Naiknya keperdulian terhadap sekuriti

Tahun 2004 juga ditandai dengan meningkatnya perhatian vendor piranti lunak terhadap masalah sekuriti. Microsoft, yang selama ini menjadi sasaran utama virus menjadikan sekuriti sebagai salah satu perhatian utama dalam pengembangan piranti lunak barunya. Hal ini terlihat dari diluncurkannya Service Pack2 Windows XP yang memfokuskan diri pada pembenahan sekuriti di Windows XP dan terintegrasinya proses antivirus dan firewall ke dalam sistem operasi. Selain itu, peluncuran ISA Server 2004 juga menjadi tonggak dimana Microsoft mulai melirik pasar sekuriti sebagai lahan baru yang potensial.

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Insiden Malware Januari 2005     12 Februari 2005

Spyware mengalahkan virus

     Ibarat menerima "Ang Pao" di hari Imlek, pengguna internet Indonesia dihadapkan pada fakta bahwa ancaman Spyware sudah menjadi nyata dan sampai dengan tanggal 10 Februari 2005 mengalahkan jumlah insiden virus.Menurut data yang diberikan oleh Vaksinis (technical support Vaksincom) di 20 kota di seluruh Indonesia, lebih dari 95 % dari komputer yang terkoneksi ke internet "dipastikan" terinfeksi spyware dan ancaman yang terjadi mirip dengan virus, dimana spyware lama akan dibasmi oleh antispyware namun akan muncul spyware baru yang tidak terdeteksi oleh anti spyware yang tidak terupdate.

Krepper.AE menjadi jendral di kubu spyware dan mencatat 52 % dari total malware (spyware dan virus) sedangkan pada kubu virus dikomandoi W32/Zafi@mm yang memimpin sejak Desember 2004 dengan total insiden virus sebanyak 48 %. Vaksincom juga menerima banyak permintaan antivirus untuk handphone / smartphone / PDA tetapi perlu kami ingatkan bahwa tingkat penyebaran virus handphone di Indonesia masih termasuk rendah dan tidak perlu ditakuti "saat ini".

Gambar 1 Infeksi Spyware mengalahkan virus di bulan Januari 2005

Spyware mengalahkan virus

Sejak Oktober 2004 Spyware sudah menunjukkan gejala sebagai ancaman potensial namun sampai dengan akhir tahun 2004 jumlah insiden spyware tidak pernah mengalahkan virus, paling banter pada bulan Oktober 2004 insiden spyware mendekati persentase virus yaitu 48 % namun tetap virus belum terkalahkan. Lain dengan tahun 2004, pada awal tahun 2005 spyware langsung unjuk gigi :g untuk pertamakalinya dalam statistik malware Indonesia spyware berhasil mengalahkan virus pada bulan Januari 2005 (lihat gambar 1), memang perbedaannya masih tipis (4 %) dan tidak tertutup kemungkinan virus akan memimpin kembali di bulan-bulan berikutnya. Total insiden malware (malicious software) dari 1 Januari 2005 s/d 10 Februari 2005 adalah 85.973 dengan perincian insiden spyware 44.661 (52 %) dan insiden virus sebanyak 41.292 (48 %).

Krepper.AE atau yang sering disebut sebagai Adclicker memimpin infeksi spyware sebanyak 28.530 insiden atau 63.85 % dari total insiden spyware. Krepper.AE ini sebenarnya merupakan spyware lama tetapi baru pertamakali berhasil memimpin di peringkat pertama sebagai jawara spyware mengalahkan jawara lama Dluca (4.835 / 10.82 %) di peringkat ke dua dan Ncase (1.400 / 3.13) di peringkat ke empat. Diperingkat ke tiga bercokol Funweb yang secara otomatis terinstal jika anda mendownload icon dari "Smiley Central" dengan total insiden sebanyak 1.487 atau 3.33 %, prestasi yang cukup mengesankan untuk "pendatang baru". Muka baru yang lain adalah Surfside di peringkat ke 8 (698 / 1.56 %), Smalldoor (653 / 1.46 %) di peringkat ke 9 dan Wukill (552 / 1.24 %) di peringkat ke 10. Sedangkan muka lama Istbar yang menambahkan toolbar baru pada Internet Explorer anda pada peringkat 5 (1.243 / 2.78 %), Dloader (1.035 / 2.32 %) rank 6 diikuti oleh Agent (765 / 1.71 %) pada peringkat 7. Untuk peringkat spyware lengkap silahkan lihat tabel 1.

Tabel 1, Top 10 Spyware Indonesia Januari 2005

Gambar 2, Grafik Insiden Spyware Indonesia Januari 2005. Inilah Spyware yang perlu anda waspadai pada bulan Februari 2005 dst.

Zafi memimpin dan Netsky tergusur

Pada "hutan" yang lain, yang menjadi raja adalah W32/Zafi@mm (24.290 / 58.82 %) yang menyebar sejak Desember 2004 menggusur jawara lama Netsky (4.122 / 9.98 %) yang langsung tersungkur ke peringkat 4. Netsky tergusur secara tidak langsung juga karena aksi peringkat 2 Bagle (5.184 / 12.55 %) yang dalam setiap aksinya menginfeksi komputer korbannya tidak lupa membasmi Netsky.Selain itu, jawara dua tahun lalu Klez masih kuat unjuk gigi di peringkat lima dengan total insiden 1.099 / 2.66 % diikuti oleh Korgo (sejenis Sasser) pada peringkat ke 6 (1.052 / 2.55). Yang berhasil mengalahkan Netsky dan bercokol di peringkat 3 ternyata virus lama yang sangat bandel, Redlof (4.248 / 10.29 %). Sedangkan virus yang memiliki varian sangat banyak dan salah satu variannya dibuat di Indonesia adalah Marker yang bercokol di peringkat ke 7 (351 / 0.85 %). Virus dengan kemampuan memflash BIOS, CIH cukup mengejutkan masih banyak terdeteksi (228 / 0.55 %) dan menempati peringkat 8 diikuti oleh Lovelorn di peringkat ke 9 (217 / 0.53 %) dan peringkat 10 ditempati oleh virus kiamat, Mydoom (150 / 0.36% ) yang sempat membuat kiamat website www.sco.com. Untuk lebih detilnya silahkan lihat tabel 2 dan gambar 3.

Tabel 2, Top 10 Virus Indonesia Januari 2005

Gambar 3, Grafik Top 10 Insiden Virus Indonesia Januari 2005

Melihat ancaman spyware yang makin meningkat, Vaksincom menyarankan para pengguna internet khususnya pengguna korporat untuk berhati-hati dan lebih perduli pada spyware. Spyware ini jelas berbahaya dan sangat berpotensi mengakibatkan kerugian bagi perusahaan seperti bocornya informasi / data penting perusahaan dengan aktivitas keylogging dan download by drive, hilangnya produktivitas karena melambatnya komputer atau tidak berfungsinya komputer karena spyware selalu berusaha menampilkan dirinya / diam-diam menjalankan aksinya. Belum lagi spyware yang melakukan aksi "browser hijacking" dimana tahu-tahu browser anda "selalu" menampilkan website porno yang meskipun sudah anda coba hapus berjam-jam (sampai keringatan karena takut ketahuan / malu) tetapi spywarenya selalu kembali lagi setiap kali anda restart komputer anda. Karena itu kami sarankan anda untuk menambahkan spyware sebagai aplikasi "wajib" mendampingin antivirus.

Apa bedanya antivirus dengan antispyware ?

Antivirus mampu mendeteksi banyak spyware dan mendelete file yang mengandung spyware, tetapi antivirus tidak memiliki kemampuan antispyware seperti :

• Kemampuan membersihkan spyware sampai ke akarnya dengan membasmi jejak spyware di registri.

• Ad Watch, mendeteksi dan menolak aksi spyware yang berusaha masuk ke komputer.

• Process Manager, mengurai proses yang berjalan pada OS guna keperluan analisa dan menghentikan spyware secara lebih tepat.

Selain itu, pertimbangkan untuk menggunakan spyware yang memiliki kemampuan update terpusat dan manajemen aplikasi spyware seperti manajemen aplikasi antivirus dalam jaringan guna memudahkan instalasi, pengawasan dan perawatan. Yang tidak kalah penting, cari vendor yang memberikan layanan support lokal karena untuk mengatasi spyware membandel tidak cukup hanya mengandalkan program antispyware terbaik saja, tetapi membutuhkan pengalaman / jam terbang bergelut dengan spyware.

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Celah keamanan Zonealarm dan Checkpoint        21 Februari 2005

IPC Vulnerability

       Sehebat apapun yang namanya buatan manusia itu tidak ada yang sempurna. Begitulah kira-kira hukum yang berlaku di dunia sekuriti. Kali ini kabar kurang menyenangkan muncul bagi pengguna Zonealarm, firewall personal yang secara de facto merupakan market leader dan paling banyak digunakan oleh para netter dengan ditemukannya celah keamanan pada Inter Process Communication. Celakanya, tidak hanya pengguna produk Zonealarm saja yang terancam oleh celah keamanan ini, tetapi pengguna Check Point Software Integrity Client juga rentan atas eksploitasi dari celah keamanan ini. Celah keamanan ini meskipun diklaim sebagai low risk (resiko rendah oleh Zonealarm) tetapi merupakan hal yang cukup serius karena kategorinya dimasukkan sebagai Design Error oleh Security focus. Para pengguna Zonelarm dan Check Point kami sarankan untuk mengupgrade produknya agar terhindar dari eksploitasi celah keamanan ini.

Detail

Zonealarm memanfaatkan rutin NtConnectPort(), yang biasanya digunakan oleh program untuk mengimplementasikan IPC (Inter Process Communication). Masalahnya, pada proses vsdatant.sys Zonealarm mengalami kegagalan verifikasi pada argumen. Jika alamat memory yang seharusnya NULL dan dimasukkan sebagai karakter selain nol akan mengakibatkan crash pada system. Pihzk Zonealarm mengklaim bahwa celah keamanan ini hanya dapat diakses oleh pihak dalam dan tidak oleh pihak luar, tetapi secara teknis pengguna internet yang berada di dalam lingkungan internal jika terhubung ke internet dan berhasil di remote oleh penyerang akan berhasil mengakibatkan BSOD alias Blue Screen of Death.

Yang vulnerable apa saja ?

Adapun versi Zonealarm yang rentan atas eksploitasi celah keamanan ini adalah versi 5.1 dan sebelumnya serta Checkpoint versi 4.5 dan 5.0 (dan sebelumnya). Untuk lebih detilnya, Daftar aplikasi Zonealarm dan Check Point yang bermasalah adalah sebagai berikut :

Check Point Software Integrity Client 4.5
Check Point Software Integrity Client 5.0
Zone Labs ZoneAlarm 2.1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 2.2
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 2.3
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 2.4
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 2.5
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 2.6
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 3.0
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 3.1
Zone Labs ZoneAlarm 3.7 .202
Zone Labs ZoneAlarm 4.0
Zone Labs ZoneAlarm 4.5 .538.001
Zone Labs ZoneAlarm 5.1
Zone Labs ZoneAlarm Pro 2.4
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm Pro 2.6
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm Pro 3.0
Zone Labs ZoneAlarm Pro 3.1
Zone Labs ZoneAlarm Pro 4.0
Zone Labs ZoneAlarm Pro 4.5 .538.001
Zone Labs ZoneAlarm Pro 4.5
Zone Labs ZoneAlarm Pro 5.0.590 .015
Zone Labs ZoneAlarm Pro 5.1
Zone Labs ZoneAlarm Pro 5.5 .062
Zone Labs ZoneAlarm Security Suite 5.1
Zone Labs ZoneAlarm Security Suite 5.5 .062
Zone Labs ZoneAlarm Security Suite 5.5

Apa yang harus anda lakukan.

Jika anda pengguna Zonealarm atau Check Point yang masuk dalam daftar di atas, Vaksincom menyarankan anda untuk :

Pengguna Check Point Integrity.

Administrator pengguna Check Point Integrity disarankan untuk segera upgrade ke check Point Integrity Client versi 4.5.122.000 atau versi 5.1.556.166.

Pengguna Zonealarm.

Pengguna ZoneAlarm Security Suite, ZoneAlarm Pro dan ZoneAlarm akan terupdate secara otomatis jika mengaktifkan Automatic product update dan tidak perlu melakukan apapun karena produknya akan terupdate secara otomatis.

Bagi anda yang tidak terupdate secara otomatis, lakukan update secara manual dengan cara :

• Pilih [Overview] [Preferences]

• Pada bagian [Check for Update] klik [Check for Update]

ZoneAlarm Security suite dan ZoneAlarm Pro versi 5.5 keatas tidak terancam atas celah keamanan ini.

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Antivirus Norman Gratis selama MegaBazaar

2 - 6 Maret 2005

     Kabar gembira bagi para pengunjung MegaBazaar yang akan di adakan di 7 kota di seluruh Indonesia. Vaksincom bekerjasama dengan MSI http://www.msi.com.tw My Style Inside memberikan antivirus Norman Virus Control Original GRATIS !! beserta update definisi antivirus dan engine bagi setiap pembelian motherboard MSI / komputer yang menggunakan motherboard MSI. Promo ini diadakan khusus untuk menyambut pameran MegaBazaar 2005 yang diadakan di

Setiap pembeli motherboard MSI akan mendapatkan CD Antivirus Norman Virus Control Original yang didistribusikan oleh Vaksincom dapat langsung melakukan registrasi online pada website Norman di http://nvc.norman.no dengan mengklik link [Bahasa Indonesia]

yang akan dibawa langsung ke halaman registrasi berbahasa Indonesia dimana pendaftar harus memasukkan alamat email dan kode OEM unik yang disertakan pada CD. Nomor Serial akan langsung dikirimkan secara otomatis pada alamat email yang dimasukkan dan nomor ini akan digunakan untuk instalasi program Norman Virus Control pada satu komputer.

Antivirus Norman Virus Control yang diberikan secara gratis ini hanya dapat di instal untuk komputer dengan OS Windows non server seperti Windows 98 / ME / XP home & Pro / NT workstation / 2000 workstation dan 2000 Pro. Untuk OS server seperti Windows NT / 2000 / 2003 server jika ingin mendapatkan Trial dapat menghubungi perwakilan Vaksincom di 20 kota dengan mengirimkan data :

Nama Perusahaan :

Contact Person :

Alamat Email :

Alamat :

Kota :

Telepon :

HP :

melalui email ke info@... untuk mendapatkan Trial dan Presentasi antivirus Gratis dari Team Antivirus Vaksincom.

Norman Virus Control adalah antivirus terbaik peraih Virus Bulletin Award dan memiliki teknologi Sandbox yang mampu mengenali virus baru tanpa tergantung pada update. Teknologi Sandbox terpercaya ketangguhannya dimana Microsoft menggunakan Norman Virus Control dengan teknologi Sandbox untuk melakukan scanning guna meyakinkan bahwa setiap CD software yang dikeluarkan oleh Microsoft bebas dari infeksi virus. Disamping itu, Norman juga memiliki fitur unggulan yang sangat berguna bagi para netter seperti :

• Norman Internet Protection (NIP)
  Yang memiliki kemampuan proteksi virus untuk semua email masuk dan keluar dari berbagai mailclient (Eudora, Outlook, Pegasus, The Bat ataupun mailclient lain). Berbeda dengan aplikasi pada antivirus lain yang melakukan proteksi dengan embedded pada mailclient, NIP melakukan proteksi email via port smtp dan pop.

• Norman Internet Update (NIU)
  NIU memungkinkan komputer untuk melakukan update antivirus secara "otomatis" baik pada berbagai jenis koneksi internet, baik dial up, broadband maupun melalui proxy. Keunggulan utama dari NIU ini adalah intervensi user / pengguna sama sekali tidak diperlukan dan update antivirus akan berjalan secara otomatis setiap kali komputer dihidupkan.

• Statistik Antivirus
  Secara otomatis, Norman akan mengirimkan informasi statistik ke alamat email yang telah ditentukan ataupun messaging ke komputer lokal. Fitur ini sangat berguna sebagai peringatan awal untuk administrator untuk mengetahui bahwa komputer di jaringannya terinfeksi virus. Selain itu, administrator yang menggunakan Norman Virus Control for Corporate Network juga dapat membuat laporan insiden virus secara otomatis setiap bulan berdasarkan nomor IP pengguna komputer dan menjadi dasar pertimbangan bagi manajemen untuk mengambil tindakan yang diperlukan.

• Dukungan dari Vaksinis di 20 kota
  Program antivirus tanpa teknikal support yang baik sama saja dengan membeli mobil tanpa layanan servis, karena itu Vaksinis (antivirus specialist Vaksincom) siap melayani setiap pelanggan Vaksincom dan memberikan bantuan dan konsultasi atas semua masalah virus dan spyware.

PS: Bila anda pemegang merek dan berminat mengadakan kerjasama OEM dengan Vaksincom silahkan kitimkan email ke info@....

VAKSINCOM

Tanah Abang III / 19E

Jakarta 10160

Telp : 021-345 6850

Fax : 021-345 6851

Website : http://www.vaksin.com

Email : info@...