vaksin : Messages : 422-451 of 852

Messages: Show Message Summaries Sort by Date

#422 From: "Vaksincom" <alfons@...>
Date: Thu Dec 9, 2004 11:42 am
Subject: Perwakilan Vaksincom di beberapa kota / propinsi di Sumatera vaksincom
Send Email

Dengan hormat,

Para anggota mailing list Vaksin yang terhormat, guna memenuhi permintaan pasar yang makin besar PT. Vaksincom membuka kesempatan kepada anda para pengusaha komputer / ISP untuk bergabung menjadi perwakilan PT. Vaksincom di kota anda. Saat ini kami membutuhkan partner lokal untuk menjadi perwakilan di :

- Padang

- Pekanbaru

- Jambi

- Bengkulu

- Padang Sidempuan

- Batam

- Bandarlampung

Persyaratan :

- Pengusaha komputer > 3 tahun.

- Anggota Apkomindo.

- Memiliki teknisi yang menguasai jaringan.

- "Familiar" dengan internet, memiliki alamat email dan Messenger.

- Terbiasa dan sering melakukan kontrak servis komputer.

Jika anda berminat bergabung dan menjadi Vaksinis (antivirus specialist Vaksincom) silahkan kirimkan :

- Data lengkap perusahaan (Nama toko, alamat, telepon, HP)

- Company profile.

- Jumlah karyawan.

ke info@...

Bagi pengirim yang memenuhi syarat akan di training menjadi Vaksinis dan berhak untuk menjual produk Vaksincom dengan harga khusus serta berkewajiban untuk melayani semua pelanggan PT. Vaksincom di daerah yang diwakilinya (non eksklusif). Training akan tahunan akan dilakukan di Jakarta pada akhir Januari 2005. Akomodasi selama training di Jakarta diberikan oleh PT. Vaksincom, transportasi ke Jakarta di tanggung oleh masing-masing peserta.

Saat ini Vaksincom sudah memiliki perwakilan di :

- Jakarta (Kantor Pusat)

- Bandung

- Jogjakarta

- Solo

- Surabaya

- Malang

- Kediri

- Bali

- Medan

- Aceh

- Palembang

- Samarinda

- Banjarmasin

- Makasar

salam,

PT. Vaksincom

Tanah Abang III / 19E

Jakarta 10160

Indonesia

Telp : 021-526 0787, 345 6850

Fax : 021-526 0752

Reply | Messages in this Topic (1)

#423 From: "Vaksincom" <alfons@...>
Date: Fri Dec 10, 2004 6:59 am
Subject: Gratis Antivirus Norman, Domain, SMTP di Indodigital.net vaksincom
Send Email

Indodigital www.indodigital.net memberikan Norman Antivirus Gratis bagi
seluruh pelanggannya.

Indodigital.net yang merupakan salah satu Domain Handler yang cukup besar di
Indonesia dimana anda dapat membeli nama domain dengan harga kompetitif dan
tidak usah dipusingkan dengan penolakan Kartu Kredit, anda juga dapat
membayar melalui transfer bank, jadi jauh lebih cepat dan aman dibandingkan
dengan membeli dari domain handler luar negeri. Disamping itu setidaknya
kita mencoba membiasakan diri untuk tidak luar negeri minded :).

Indodigital memberikan Antivirus Norman Virus Control (standalone version) +
update 1 tahun GRATIS bagi seluruh pelanggannya. Untuk detailnya silahkan
baca lampiran di bawah ini.

Salam,
Alfons

-----Original Message-----
From: digitalnet@... [mailto:digitalnet@...] On
Behalf Of Marketing

Subject: Dapatkan Gratis Antivirus Norman, Domain, SMTP di Indodigital.net


Setiap registrasi Web Hosting, Mail Server, Web Server di Indodigital.net
Akan mendapatkan gratis :
1. Antivirus Personal update 1 tahun untuk komputer Anda
2. Domain com, net, org selamanya.
3. SMTP server untuk kirim email dari Outlook 4. Dan lainya dari Indodigital

Tersedia Server  LINUX, WINDOWS 2003
terpercaya sejak tahun 1999, server milik sendiri

silakan klik http://www.indodigital.net

Atau Hubungi Kami di :
Marketing
Solusi Komunikasi & Promosi di Era Global
Phone: +62-21-4253465  ( Hunting )
Fax: +62-21-42802925
Pertokoan Cempaka putih Blok B1 No.3
Jl. Letjen Suprapto Kav.3, Jakarta Pusat Indonesia
E-Mail: marketing@...
Web URL: http://www.indodigital.net

Reply | Messages in this Topic (1)

#424 From: "Vaksincom" <alfons@...>
Date: Sat Dec 11, 2004 3:32 am
Subject: PT. Vaksincom Pindah Alamat / We Are Moving (December 12, 2004) vaksincom
Send Email

[English Version below]

Para Pelanggan, Supplier dan Rekan Bisnis yang terhormat,

Dalam rangka memberikan pelayanan yang lebih baik bagi anda semua, terhitung tanggal 12 Desember 2004 PT. Vaksincom akan pindah kantor dari :

Alamat lama :

Gedung Rifa lt. 4

Ke kantor baru di :

PT. Vaksincom

Tanah Abang III / 19 E

Ruko Tanaga Mas

Jakarta 10160

Indonesia

Phone : 62-21-345 6850 (hunting)

Fax : 62-21-345 6851

Alamat email dan website tidak berubah :).

Website : www.vaksin.com

Marketing : sales@...

Technical support : support@...

Information : info@...

Mailing list :

vaksin@yahoogroups.com (membership available for public / non customer)

vaksincs@... (membership available "only" for customer)

vaksinre@yahoogroups.com (exclusive membership "only" for distributor of Vaksincom / Vaksinis)

vaksinupdate@... (mailing list for Vaksincom's seminar attendee)

kontributor@yahoogroups.com (mailing list for virus contributor)

Sampai dengan tanggal 31 Januari 2005 semua telepon ke alamat lama akan di forwardkan langsung ke nomor baru dan semua surat fisik akan terus kami monitor.

=============================================================================================

Dear respected Customers, Supplier and Business partner.

In order to serve you better (fight virus better), effective December 12, 2004 PT. Vaksincom will move from :

Old Address :

Rifa Building 4th floor

To new permanent address :

PT. Vaksincom

Tanah Abang III / 19 E

Ruko Tanaga Mas

Jakarta 10160

Indonesia

Phone : 62-21-345 6850 (hunting)

Fax : 62-21-345 6851

Email and website remain unchange :)

Website : www.vaksin.com

Marketing : sales@...

Technical support : support@...

Information : info@...

Mailing list :

vaksin@yahoogroups.com (membership available for public / non customer)

vaksincs@... (membership available "only" for customer)

vaksinre@yahoogroups.com (exclusive membership "only" for distributor of Vaksincom / Vaksinis)

vaksinupdate@... (mailing list for Vaksincom's seminar attendee)

kontributor@yahoogroups.com (mailing list for virus contributor)

We will monitor all correspondence and forward all phone call to old phone number automatically to our new number until January 31, 2005.

Salam hangat / warm regards,

PT. Vaksincom

Tanah Abang III / 19 E

Ruko Tanaga Mas

Jakarta 10160

Phone : 62-21-345 6850 (hunting)

Fax : 62-21-345 6851

Reply | Messages in this Topic (1)

#425 From: "Vaksincom" <alfons@...>
Date: Wed Dec 15, 2004 6:10 pm
Subject: Resiko Tinggi !!! W32/Zafi.D@mm, Virus cerdas yang menguasai 12 Bahasa vaksincom
Send Email

W32/Zafi.D@mm 15 Desember 2004

Virus cerdas yang menguasai 12 Bahasa

Jika industri IT dipandang sebagai industri yang sangat dinamis dimana perubahan yang terjadi sangat cepat dimana siapa yang bisa mengantisipasi perubahan tersebut yang akan menang dalam persaingan, maka dunia virus yang merupakan bagian dari industri IT lebih dinamis lagi. Sebagai contoh dapat kita lihat dari perkembangan virus Zafi. Pada awal versinya, Zafi.A hanya "bisa" berbahasa Hungaria, kemudian varian berikutnya Zafi.B pada bulan Juni 2004 datang dalam 3 variasi bahasa yaitu Inggris, Rusia dan Hungaria. Sekarang, Zafi.D yang muncul menyaru sebagai kartu ucapan datang dalam variasi 12 bahasa dan hebatnya ia mampu mengirimkan dirinya dalam email sesuai dengan bahasa yang digunakan penerima email dengan trik yang simple dan efektif. Menurut pemantauan Vaksincom sampai dengan pukul 23.13 WITA, 15 Desember 2004 Zafi.D sudah sampai ke Indonesia dan akibatnya cukup merepotkan pengguna komputer khususnya mailserver yang dibombardir oleh berbagai variasi dari Zafi.D yang jumlahnya mencapai ribuan.

Detail Email

Email yang mengandung Zafi.D ini akan menggunakan gambar / icon berwarna kuning dengan font Comic Sans MS berukuran 14 pt berwarna hijau tua (lihat gambar 1).

Gambar 1, Contoh Email Zafi.D

Adapun alasan dilakukannya hal ini diduga karena :

Untuk mengelabui penerima email agar mengira email yang datang merupakan kartu ucapan.
Menggunakan icon berukuran kecil untuk menjaga ukuran email tetap kecil supaya mudah di distribusikan.

Zafi.D menggunakan SMTP server sendiri dalam menyebarkan dirinya dan memalsukan alamat email pengirimnya. Adapun kehebatan dari Zafi.D ini seperti kami kemukakan di atas adalah kemampuannya mengirimkan email bervirus dalam belasan bahasa. Adapun cara yang digunakan untuk menyesuaikan bahasa email dengan calon korban adalah dengan mendeteksi domain dari penerima email, jadi jika domainnya .de (Jerman) maka email akan datang dalam Bahasa Jerman, jika domain korban penerima email berakhiran .es, maka email yang dikirim akan berbahasa Spanyol dst. Adapun daftar domain negara yang terdaftar dalam Zafi.D adalah negara-negara di daratan Eropa, antara lain :

.hu Hungaria
.ru Rusia
.dk Denmark
.ro Rumania
.se Swedia
.no Norwegia
.fi Finlandia
.lt Lithuania
.pl Polandia
.pt Portugal
.de Jerman
.nl Belanda
.cz Republik Czech
.fr Perancis
.it Italia
.mx Meksiko
.at Austria
.es Spanyol

Sedangkan untuk domain di luar daftar seperti domain .com atau .id (Indonesia) akan mendapatkan email dalam Bahasa Inggris. Lampiran yang datang beserta email akan berbentuk eksekutable (.cmd, .bat, .pif, ..com) dan file terkompres .zip yang kemungkinan besar akan berhasil masuk ke mailserver umumnya yang memblok semua eksekutable dan meloloskan lampiran terkompres.

Sambil menyelam minum air

Aksi hebat lain yang dilakukan oleh Zafi.D adalah teknik yang digunakan dalam melumpuhkan program antivirus dan firewall sekaligus menyebarkan dirinya dengan sangat efektif. Adapun teknik tersebut adalah sebagai berikut :

Zafi.D akan mencari direktori yang mengandung nama :

syman
viru
trend
secur
panda
cafee
sopho
kasper
firewall

dan mengganti semua file eksekutable pada direktori yang ditemukan dengan file virus. Aksi ini tentunya akan melumpuhkan program antivirus dan membuat komputer korban Zafi.D tidak terproteksi sama sekali. Disamping itu, setiap kali komputer menjalankan program antivirus yang terjadi malahan menjadi menjalankan virus yang telah menggantikan file semua eksekutable pada direktori antivirus / firewall tersebut.

Sulit dibasmi

Zafi.D akan berusaha untuk menghalangi proses pembasmian dirinya dengan memblok akses ke Registry Editor, MS Config dan Task Manager. Seperti kita ketahui, Registry Editor merupakan daftar registri dimana virus mendaftarkan dirinya agar berjalan secara otomatis sewaktu windows dijalankan pertama kali, sedangkan Task Manager biasanya digunakan untuk terminasi aplikasi virus yang sedang berjalan agar dapat dibasmi. Pemblokan atas tiga file ini dapat diatasi dengan melakukan start Windows dalam Safe Mode.

Zafi.D juga berusaha menyebarkan dirinya melalui Peer to Peer dan jaringan dengan cara mengkopikan dirinya pada semua direktori yang mengandung kata :

Share
Upload
Music

Adapun file yang akan dikopikan ke dalam direktori-direktori tersebut akan diberi nama :

Winamp 5.7 new!.exe
ICQ2005a new!.exe

Ketika menjalankan aksinya pertama kali menginfeksi komputer, Zafi.D akan menampilkan pesan error palsu (lihat gambar 2)

Gambar 2, Pesan Error Palsu Zafi.D

Setelah berhasil menginfeksi komputer, Zafi.D akan menyaru sebagai file dengan nama "Norton Update.exe" pada direktori system pada windows. Aksi berbahaya lain yang dilakukan oleh Zafi.D adalah membuka port 8181 sehingga memungkinkan virus ini di update atau komputer korban dikuasai oleh penyusup.

Makassar, 16 Desember 2004

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#426 From: "Vaksincom" <alfons@...>
Date: Thu Dec 23, 2004 7:44 am
Subject: Perl/Santy.A, menyerang website dengan Bulletin Board vaksincom
Send Email

Perl/Santy.A 23 Desember 2004

Apakah Google menyelamatkan anda dari "Santy" ?

"This site is defaced!!!" yang kira-kira berarti "Tamplian website ini berubah" (tanpa sepengetahuan administrator). Kejutan ini dialami oleh ribuan website yang menjalankan phpBB (Bulletin Board) 2.X yang versinya < 2.0.11. Hal ini terjadi sejak tanggal 21 Desember 2004 namun menurut perkembangan terakhir yang kami dapatkan, penyebaran Santy.A ini sudah dapat dihentikan dengan efektif sejak Google yang sarananya digunakan oleh Santy.A untuk menyebarkan dirinya melakukan bloking sehingga Santy.A tidak dapat meneruskan aksinya walaupun hal ini tidak menjamin penghentian varian berikutnya dari Santy . Sangat menyenangkan melihat keperdulian korporat besar seperti Google atas kepentingan para pengguna internet dunia dimana mereka bersedia melakukan usaha yang signifikan demi kepentingan umum meskipun sebenarnya hal ini bukan tanggungjawabnya dan merupakan tanggungjawab para pengguna phpBB itu sendiri untuk mengupgrade Bulletin Boardnya. Semoga keperdulian atas kepentingan bersama ini dapat diikuti oleh para korporat besar Indonesia juga :), khususnya yang bergerak dibidang IT.

Apa itu phpBB

php adalah bahasa pemrograman OpenSource yang sangat banyak digunakan oleh situs web (server site scripting) untuk memberikan tampilan yang menarik dan proses scripting lain pada situs web. php sendiri pada awalnya merupakan singkatan dari Personal Home Page, namun dalam perkembangannya php digunakan oleh puluhan juta website diseluruh dunia baik perorangan maupun korporat sehingga tidak cocok lagi disebut sebagai Personal Home Page dan banyak yang lebih senang menyebutnya sebagai php saja, beberapa kalangan menguraikan php sebagai singkatan dari Hypertext pre Processor atau Pre Hypertext Processor. phpBB itu sendiri merupakan Buletin Board yang paling banyak digunakan oleh situs web diseluruh dunia. Bulletin Board adalah Forum dalam suatu situs yang digunakan untuk berkomunikasi dua arah bagi para pengakses situs, dapat digunakan sebagai sarana tanya jawab atau menyampaikan informasi dua arah. Salah satu contoh forum adalah http://forum.vaksin.com yang merupakan forum tnaya jawab virus bagi pengakses situs web Vaksin.com.

Higlight Vulnerability

Seperti kita ketahui bersama, software / piranti lunak adalah buatan manusia dan pada dasarnya buatan manusia tidak ada yang sempurna, selalu ditemukan kesalahan pemrograman yang dalam kasus tertentu menyebabkan celah keamanan software tersebut. Celah keamanan dapat memberikan akses kepada pihak yang tidak berhak untuk menjalankan aplikasi / kode pada komputer yang mengandung celah keamanan yang jika dimanfaatkan dengan baik akan berakibat pengambilalihan kendali atas komputer korban.

Dalam kasus phpBB vulnerability ini terjadi kesalahan dalam perintah higlight yang terdapat pada file viewtopic.php yang jika dieksploitasi dengan baik memungkinkan bagi pihak luar untuk menjalankan perintah tertentu, melakukan SQL injection ataupun serangan cross side scripting. Dalam kasus Santy.A ini aksi yang dilakukan adalah merubah tampilan website dengan kalimat : (lihat gambar 1)

Gambar 1, Aksi Santy.A merubah website

Peran positif Google

Bagaimana Santy.A bisa mengetahui situs mana saja yang menggunakan phpBB dalam rimba belantara internet ini ? Jawabannya mudah, Santy.A memanfaatkan Google untuk mencari semua website yang mengandung file viewtopic.php, setelah mendapatkan alamat korbannya maka Santy.A menjalankan aksinya dengan mengirimkan kode tertentu untuk "menaklukkan" website tersebut dan mengganti semua file

.asp, .htm, .jsp, .php, .phtm dan .shtm dengan file html yang telah dipersiapkan terlebih dahulu sehingga tampilannya akan seperti Gambar 1. Untungnya :) aksi yang dilakukan oleh Santy.A hanya deface komputer saja, coba anda bayangkan jika pembuatnya menggunakan semua komputer yang terinfeksi untuk menyerang satu website tertentu seperti varian MyDoom yang menyerang sco.com yang berakibat lumpuhnya website sco.com.

Dari uraian di atas, kita dapat mengetahui bahwa Google tidak memiliki hubungan dengan php dan bukan Google yang bertanggungjawab atas semua website yang terinfeksi Santy.A, namun mereka mau perduli dan pada tanggal 22 Desember (Hari IBU :)) atau 7 jam setelah mendapatkan laporan dari F-Secure mereka melakukan penyaringan atas semua permintaan yang dilakukan oleh Santy.A dan membloknya sehingga secara efektif penyebaran Santy.A berhasil dihentikan, sebagai "bonus" Google juga memberikan listing website mana saja yang berhasil di infeksi oleh Santy.A. Bukannya bangga atau menepuk dada sudah perduli atas kepentingan bersama, Google malahan menyatakan bahwa mereka akan melakukan evaluasi ke dalam guna bereaksi lebih cepat lagi di masa depan jika menemukan kasus serupa dimasa depan :) tepuk tangan untuk Google dan F-Secure.

Tetapi, jika kita kembali melihat akar permasalahan, sebenarnya masalah utama adalah celah keamanan phpBB yang harus ditutupi dan bukan dengan meminta Google memblok query Santy.A, bagaimana nanti kalau muncul Santy.B, Santo.A atau Cecep.C yang tidak menggunakan Google untuk mencari korbannya, atau mereka memiliki kemampuan mencari sendiri calon korbannya ? Jawabannya adalah kembali kepada Administrator website atau hosting provider, kesadaran untuk melakukan patching atas celah keamanan harus ditingkatkan sehingga apapun sarana yang digunakan oleh worm tidak akan berhasil menembus komputer yang telah diamankan dengan disiplin. Karena itu, salah satu hal yang perlu anda pertimbangkan dalam memilih hosting provider adalah ketanggapan administratornya dalam merawat webserver anda.

Detail eksploitasi

phpBB yang rentan atas eksploitasi ini adalah versi :

phpBB Group phpBB 2.0 .0
phpBB Group phpBB 2.0.1
phpBB Group phpBB 2.0.2
phpBB Group phpBB 2.0.3
phpBB Group phpBB 2.0.4
phpBB Group phpBB 2.0.5
phpBB Group phpBB 2.0.6
phpBB Group phpBB 2.0.7
phpBB Group phpBB 2.0.8
phpBB Group phpBB 2.0.9
phpBB Group phpBB 2.0.10

dan bagi anda yang menggunakan phpBB versi tersebut di atas (sangat) disarankan untuk mengupgrade ke versi terakhir phpBB 2.0.11 http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636. Sebenarnya ada cara yang cukup cepat (karena mengupgrade phpBB ke versi 2.0.11 cukup merepotkan dan memakan waktu lama) yaitu mengedit file viewtopic.php (gunakan notepad) yang mengandung kode :

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

for($i = 0; $i < sizeof($words); $i++)
{

dengan

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

for($i = 0; $i < sizeof($words); $i++)
{

Jika anda ingin mengetahui kode tag html yang di jalankan oleh Santy.A adalah sebagai berikut :

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <HTML><HEAD><TITLE>This site is defaced!!!</TITLE></HEAD> <BODY bgcolor="#000000" text="#FF0000">; <H1 >This site is defaced!!!</H1>; <HR>; <ADDRESS>< b>NeverEverNoSanity WebWorm generation } . $generation .q{.< /b ></ADDRESS> </BODY> </HTML>

Catatan khusus

Celah keamanan highlight vulnerability ini diumumkan pada tanggal 19 November 2004 dan sebulan kemudian virus yang memanfaatkan celah keamanan ini muncul menjalankan aksinya, hal ini menunjukkan waktu munculnya virus dari saat pertama kali celah keamanan diumumkan meningkat, bahkan untuk virus windows seperti Sasser hanya membutuhkan waktu 17 hari dari saat pertamakali celah keamanan LSASS diumumkan. Karena itu anggapan bahwa aplikasi dari vendor tertentu saja yang rentan terhadap serangan virus terlihat mulai dipatahkan karena dalam kenyataanya yang akan diincar oleh virus adalah aplikasi yang paling banyak digunakan karena pembuat virus akan berusaha menimbulkan dampak maksimal dari setiap virus yang diciptakannya.

Untuk Indonesia sendiri, tercatat ada satu website yang menggunakan phpBB yang vulnerable dan berhasil diinfeksi oleh Santy.A (tanggal 21 Desember 2004 pukul 11.33 AM), namun berdasarkan pengamatan kami administrator website tersebut cukup tanggap dan pada saat pembuatan artikel ini website tersebut sudah bebas dari Santy.A. (lihat Gambar 2)

Gambar 2, Website Indonesia yang terinfeksi Perl/Santy.A, disini terlihat bahwa index.html tidak berhasil dirubah oleh Santy.A tetapi semua link ke anak web berhasil dirubah oleh Santy, angka 6 pada WebWorm generation menunjukkan bahwa ini adalah replikasi Santy.A ke enam.

Sumber :

http://www.europe.f-secure.com/weblog/

http://www.securityfocus.com/bid/11672

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636

http://www.phpbb.com/phpBB/viewtopic.php?t=240513

http://secunia.com/advisories/13239

http://isc.sans.org/diary.php?date=2004-12-21

http://news.zdnet.co.uk/internet/security/0,39020375,39181656,00.htm

http://juicystudio.com/tutorial/php/

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#427 From: "Vaksincom" <alfons@...>
Date: Mon Dec 27, 2004 10:43 am
Subject: Bantuan untuk korban Gempa Aceh vaksincom
Send Email

Para netter yang budiman,

Bagi anda yang terketuk untuk sedikit meringankan beban rekan-rekan kita di Aceh yang terkena bencana Gempa 8.9 SR dan Tsunami yang menelan korban RIBUAN orang meninggal, dapat mengirimkan ke rekening-rekening dibawah ini.

Semua rekening ini sudah di crosscheck oleh kami dan dapat dipercaya.

1. Indosiar

Rek. BCA

AC : 0013040009

AN : Indosiar

2. RCTI
Rek. BCA

AC : 1283007000

AN : RCTI

3. Sonora Jakarta, 92.4 FM rekeningnya adalah :

BCA Asemka

AC : 0013310090

AN : Radio Sonora

4. Elshinta Peduli Kemanusiaan 90.00 FM

BCA Daan Mogot

AC : 1983004494

AN : Elshinta Peruli Kemanusiaan

PENTING :
Setiap kali menyetorkan uang di BCA harap cek ulang apakah "Nama Pemilik Rekening" sudah sesuai dengan pemilik rekening.

Bagi yang ingin mengirimkan bantuan non tunai, dapat dikirimkan ke :

Vaksincom - Medan

Jln. Sabaruddin No. 11 BB
Medan - 20214

Telp : 061-77820053

Untuk pengiriman bantuan non tunai yang dibutuhkan adalah :

- Selimut

- Indomie

- Makanan Bayi

- Obat-obatan

- Air bersih

- Tenda

- Perlengkapan dapur

Penerimaan untuk bantuan non tunai paling lambat 4 Januari 2005.

Bila anda ingin berpartisipasi aktif mengirimkan informasi di Aceh (khususnya yang berdomisili di Aceh) dan aktif membantu rekan-rekan kita yang sedang kesusahan dan tertimpa bencana, silahkan bergabung dengan milis posko-bencana@yahoogroups.com dengan mengirimkan email kosong ke posko-bencana-subscribe@yahoogroups.com.

salam,

Alfons

Reply | Messages in this Topic (1)

#428 From: "Vaksincom" <alfons@...>
Date: Wed Jan 5, 2005 9:51 am
Subject: Talkshow Spyware di Trijaya FM, Kamis 6 Januari 2005 vaksincom
Send Email

Talk Show Trijaya FM 104.6

Mengatasi Spyware, ancaman malware 2005

Kamis, 6 Januari 2005

Pukul 17.00 s/d 18.00

Pembicara :

Alfons Tanujaya - Vaksincom

Arif Darmawan - Microsoft Indonesia

Reply | Messages in this Topic (1)

#429 From: "Vaksincom" <alfons@...>
Date: Sun Jan 30, 2005 6:43 am
Subject: W32/Bagle.AV@mm 30 Januari 2005, Apalah Arti Sebuah Nama vaksincom
Send Email

W32/Bagle.AV@mm 30 Januari 2005
Apalah Arti Sebuah Nama

Apalah arti sebuah nama, kata Shakespeare. Begitulah kira-kira yang terjadi dengan keluarnya varian Bagle yang sangat banyak sampai hari ini sehingga membingungkan pembuat antivirus dan mengacaukan standar penamaan virus tersebut. Hal ini terlihat dari munculnya W32/Bagle.AV@mm pada tanggal 27 Januari 2005. Norman Virus Control menamakan dengan W32/Bagle.AV@mm, sedangkan Symantec dan Trend memberikan nama Bagle.AY, Computer Associate mengindentifikasi dengan nama Win32.Bagle.AT, F-Secure mengidentifikasi sebagai Bagle.AX dan AY dan Mc Afee mengidentifikasi sebagai Bagle.bj. Terlepas dari apapun namanya yang jelas Bagle.AV memiliki penyebaran yang cukup tinggi dan perlu diwaspadai. Varian terakhir dari Bagle yang sedang menyebar di Indonesia dan sampai hari ini mesih mengancam pengguna internet dan termasuk ke dalam resiko tinggi adalah Bagle.AQ dan Bagle.AR, Vaksincom mendeteksi ribuan komputer terinfeksi Bagle.AQ dan Bagle.AR. Menurut data infeksi virus sampai hari ini Bagle.AV sudah sampai ke Indonesia dalam jumlah yang terbatas dan virus ini merupakan virus dengan resiko sedang. Anda perlu berhati-hati dengan virus ini karena ia melumpuhkan proses program antivirus dan sekuriti dalam komputer, membuka port pada komputer yang terinfeksi dan memiliki kemampuan mengupdate dirinya sendiri.

Virus ini memperpanjang deretan virus paling banyak melahirkan varian-variannya setelah Netsky dan menyebar dengan memanfaatkan fasilitas email dan jaringan. Bagle.AV akan membuka TCP port 81 yang akan digunakan oleh pembuat virus untuk menguasai setiap komputer yang telah terinfeksi oleh virus ini, oleh karena itu jika Anda ingin selamat dari ancaman virus ini minimal Anda harus menginstall antivirus yang memiliki kemampuan update secara teratur (otomastis) dan mempunyai fiture yang dapat melakukan scanning terhadap email sebelum dikirim maupun email yang akan diterima seperti Norman Virus Control dengan teknologi NIP Norman Internet Protection yang secara otomatis akan melakukan scanning atas semua email yang masuk dan keluar pada mailclient anda baik Outlook, The Bat, Pegasus, Eudora etc.

Jika komputer anda telah terinfeksi Bagle.AV, sebaiknya lakukan pembersihan pada mode “safe mode” dan hapus file yang dibuat oleh virus Bagle.AV kemudian hapus value dari regsitry key yang di ciptakan oleh virus Bagle.AV kemudian restart komputer. Anda tidak akan bisa menghapus proses virus ini di memory (CTRL+ALT+DEL) pada windows NT/2000/XP.

Detail Email

Bagle.AV memiliki SMTP sendiri dalam menyebarkan dirinya sehingga tidak tergantung pada smtp komputer yang terinfeksi dan hal ini memberikan kemungkinan penyebaran yang lebih tinggi karena ia tetap akan dapat menyebarkan dirinya sekalipun ISP sudah melakukan bloking atas smtp lokalnya. Selain itu, seperti biasa alamat pengirim email (From) akan dipalsukan oleh Bagle.AV guna mengelabui penerima email awam dan membuat sibuk mailserver yang secara otomatis mereply email bervirus dengan mengirimkan peringatan otomatis ke alamat pengirim email yang dipalsukan. Hal ini akan menghabiskan bandwidth percuma dan membuat bingung penerima peringatan karena alamatnya dipalsukan oleh Bagle.AV, karena itu Vaksincom tidak menyarankan para administrator untuk mengaktifkan automatic warning ke sender.

Email yang dikirmkan akan mempunyai karakteristik sbb:

Subjek:

Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active

Isi Email:

Thanks for use of our software.
Before use read the help

Lampiran:

guupd02
Jol03
siupd02
upd02
viupd02
wsd01
zupd02

dengan salah satu ekstensi dibawah ini:

.com

.cpl (Control Panel)

.exe

.scr (Screen Saver)

Misi menghabisi Netsky

Rupanya pembuat Bagle masih penasaran pernah dikalahkan Netsky dan sampai hari ini ia masih aktif memasukkan rutin-rutin yang akan melumpuhkan virus Netsky yang menginfeksi komputer sebagai berikut:

Menghapus value registry dari :

"ICQ Net"
"My AV"

pada registri key :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

yang secara efektif akan mematikan virus Netsky yang sedang / akan berjalan. Selain itu, untuk mencegah virus W32/Netsky@mm melakukan penyerangan balik, Bagle. AV secara cerdik akan membuat file mutex

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Kemampuan mengupdate diri yang belum berfungsi, ancaman masa depan

Virus ini akan menggunakan TCP Port acak yang dimulai dengan TCP Port 2339 untuk remote koneksi, port ini lah yang akan digunakan oleh pembuat virus itu untuk menjalankan aksinya yaitu mencoba untuk melakukan koneksi ke 146 website dan mencoba untuk mendownload file JPG (error.JPG) dari komputer yang terinfeksi. Diperkirakan file error.jpg tersebut merupakan file update bagi Bagle yang jika tersedia akan memungkinkan Bagle untuk mengupdate dirinya sehingga dia memiliki kemampuan seperti antivirus yang mampu mengupdate dirinya secara otomatis. Sampai dengan hari ini, hanya sekali varian Bagle berhasil mengupdate dirinya menggunakan website namun segera berhasil di atasi karena tindakan cepat yang dilakukan oleh para vendor antivirus menginformasikan pemilik website yang disusupi file untuk segera menghapus file update tersebut. Namun dikemudian hari hal ini akan semakin sulit diatasi karena makin banyak website dan jika Bagle mendaftarkan ribuan website sebagai sumber update akan sangat menyibukkan dan memakan waktu lama menghubungi satu-persatu pemiliki website untuk menghapus file update yang berhasil ditanamkan. Vaksincom melihat bahwa pembuat Bagle ini sedang melakukan "testing the water" untuk melihat seberapa besar tanggapan pemilik website dan efektivitasnya. Sedangkan pada saat ini sedang menjalankan taktik "The Boy Who Cried Wolf" dimana ia sengaja memasukkan daftar ratusan website yang unik berkali-kali dalam seluruh variannya namun tidak ada satupun yang digunakan sebagai website update. Nantinya setelah orang lengah dan menganggap sepele kemampuan ini, barulah website ini dijadikan sebagai sarana update dirinya dan kemungkinan akan digabungkan dengan salah satu celah keamanan yang memungkinkan untuk mengupload file ke semua website yang rentan secara otomatis tanpa memerlukan usaha yang terlalu besar. Jika hal ini terrealisasi, maka Bagle akan memiliki kemampuan seperti antivirus dan kekacauan internet babak kedua (setelah war of the worm Netsky VS Bagle) akan terulang. Adapun ke 146 website yang terdaftar sebagai website update Bagle adalah sebagai berikut :

www.24-7-transportation.com
www.DarrkSydebaby.com
www.FritoPie.NET
www.adhdtests.com
www.aegee.org
www.aimcenter.net
www.alupass.lu
www.amanit.ru
www.andara.com
www.angelartsanctuary.com
www.anthonyflanagan.com
www.approved1stmortgage.com
www.argontech.net
www.asianfestival.nl
www.atlantisteste.hpg.com.br
www.aviation-center.de
www.bbsh.org
www.bga-gsm.ru
www.boneheadmusic.com
www.bottombouncer.com
www.bradster.com
www.buddyboymusic.com
www.bueroservice-it.de
www.calderwoodinn.com
www.capri-frames.de
www.celula.com.mx
www.ceskyhosting.cz
www.chinasenfa.com
www.cntv.info
www.compsolutionstore.com
www.coolfreepages.com
www.corpsite.com
www.couponcapital.net
www.cpc.adv.br
www.crystalrose.ca
www.cscliberec.cz
www.curtmarsh.com
www.customloyal.com
www.deadrobot.com
www.dontbeaweekendparent.com
www.dragcar.com
www.ecofotos.com.br
www.elenalazar.com
www.ellarouge.com.au
www.esperanzaparalafamilia.com
www.eurostavba.sk
www.everett.wednet.edu
www.fcpages.com
www.featech.com
www.fepese.ufsc.br
www.firstnightoceancounty.org
www.flashcorp.com
www.fleigutaetscher.ch
www.fludir.is
www.freeservers.com
www.gamp.pl
www.gci-bln.de
www.gcnet.ru
www.generationnow.net
www.gfn.org
www.giantrevenue.com
www.glass.la
www.handsforhealth.com
www.hartacorporation.com
www.himpsi.org
www.idb-group.net
www.immonaut.sk
www.ims-i.com
www.innnewport.com
www.irakli.org
www.irinaswelt.de
www.jansenboiler.com
www.jasnet.pl
www.jhaforpresident.7p.com
www.jimvann.com
www.jldr.ca
www.justrepublicans.com
www.kencorbett.com
www.knicks.nl
www.kps4parents.com
www.kradtraining.de
www.kranenberg.de
www.lasermach.com
www.leonhendrix.com
www.magicbottle.com.tw
www.mass-i.kiev.ua
www.mepbisu.de
www.mepmh.de
www.metal.pl
www.mexis.com
www.mongolische-renner.de
www.mtfdesign.com
www.oboe-online.com
www.ohiolimo.com
www.onepositiveplace.org
www.oohlala-kirkland.com
www.orari.net
www.pankration.com
www.pe-sh.com
www.pfadfinder-leobersdorf.com
www.pipni.cz
www.polizeimotorrad.de
www.programmierung2000.de
www.pyrlandia-boogie.pl
www.raecoinc.com
www.realgps.com
www.redlightpictures.com
www.reliance-yachts.com
www.relocationflorida.com
www.rentalstation.com
www.rieraquadros.com.br
www.scanex-medical.fi
www.sea.bz.it
www.selu.edu
www.sigi.lu
www.sljinc.com
www.smacgreetings.com
www.soloconsulting.com
www.spadochron.pl
www.srg-neuburg.de
www.ssmifc.ca
www.sugardas.lt
www.sunassetholdings.com
www.szantomierz.art.pl
www.the-fabulous-lions.de
www.tivogoddess.com
www.tkd2xcell.com
www.topko.sk
www.transportation.gov.bh
www.travelchronic.de
www.traverse.com
www.uhcc.com
www.ulpiano.org
www.uslungiarue.it
www.vandermost.de
www.vbw.info
www.velezcourtesymanagement.com
www.velocityprint.com
www.vikingpc.pl
www.vinirforge.com
www.wecompete.com
www.worest.com.ar
www.woundedshepherds.com
www.wwwebad.com
www.wwwebmaster.com

Bagle.AV juga akan berusaha untuk melakukan koneksi ke IP 17.5.97.137, dimana ia akan mencoba untuk me-resolve DNS

Penyebaran melalui jaringan

Untuk menyebarkan dirinya melalui jaringan, Bagle.AV akan mencari folder yang mempunyai string “shar” dan secara otomatis komputer yang menggunakan program file sharing (seperti KaZaa, Bearshare, Limewire) memiliki direktori yang dishare yang mengandung kata "shar". Bagle.AV akan mengkopikan dirinya ke direktori-direktori tersebut dengan nama sebagai berikut :

1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

karena itulah bagi pengguna Peer to Peer sharing dan pengguna komputer dalam jaringan harap tidak mengklik file dengan nama seperti di atas untuk menghindari terinfeksi Bagle.AV.

Bagle.AV akan berusaha untuk menonaktifkan (disable) service SharedAccess dan wscsvc, dimana SharedAccess ini adalah service yang digunakan untuk Internet Connection Sharing (pada Windows 2000 dan XP), service wscsvc ini pada Windows XP (SP2), diketahui sebagai Security Center. Dengan matinya kedua fingsi ini diperkirakan Bagle.AV akan lebih mudah menyebarkan dirinya melalui jaringan karena sekuriti kontrol sharing pada jaringan menjadi tidak terawasi.

Mematikan proses antivirus dan program security

Salah satu bahaya yang cukup besar dari Bagle.AV ini adalah karena ia akan berusaha mematikan proses yang berhubungan denngan antivirus dan program security (firewall). Hal ini perlu diwaspadai karena komputer yang dilumpuhkan antivirus dan firewallnya menjadi sangat rentan terhadap serangan virus lama Klez.E, CIH, Elkern dan Polyboot yang dapat menghancurkan seluruh data MS Office di jaringan setiap tanggal tertentu sampai merusak boot sector harddisk komputer sehingga komputer anda tidak dapat berfungsi.

Adapun proses yang dimatikan mencapai 289 proses terutama aplikasi antivirus dan firewall sebagai berikut :

AGENTSVR.EXE
ANTI-TROJAN.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVCONSOL..EXE
AVGSERV9.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVSYNMGR.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVprotect9x.exe
BD_PROFESSIONAL.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BOOTWARN.EXE
BORG2.EXE
BS120.EXE
CDP.EXE
CFGWIZ.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET.EXE
CFINET32.EXE
CFINET32.EXE
CLEAN.EXE
CLEAN.EXE
CLEANER.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANPC.EXE
CLEANPC.EXE
CMGRDIAN.EXE
CMGRDIAN.EXE
CMON016.EXE
CMON016.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
DEFWATCH.EXE
DEPUTY.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
DRWEBUPW.EXE
ENT.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
EXANTIVIRUS-CNET.EXE
FAST.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FP-WIN_TRIAL.EXE
FRW.EXE
FSAV.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
GBMENU.EXE
GBPOLL.EXE
GUARD.EXE
GUARDDOG.EXE
HACKTRACERSETUP.EXE
HTLOG.EXE
HWPE.EXE
IAMAPP.EXE
IAMAPP.EXE
IAMSERV.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFW2000.EXE
IPARMOR.EXE
IRIS.EXE
JAMMER.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
KERIO-PF-213-EN-WIN.EX
KERIO-WRL-421-EN-WIN.E
KERIO-WRP-421-EN-WIN.E
KILLPROCESSSETUP161.EX
LDPRO.EXE
LOCALNET.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
LSETUP.EXE
LUALL.EXE
LUCOMSERVER.EXE
LUINIT.EXE
MCAGENT.EXE
MCUPDATE.EXE
MCUPDATE.EXE
MFW2EN.EXE
MFWENG3.02D30.EXE
MGUI.EXE
MINILOG.EXE
MOOLIVE.EXE
MRFLUX.EXE
MSCONFIG.EXE
MSINFO32.EXE
MSSMMC32.EXE
MU0311AD.EXE
NAV80TRY.EXE
NAVAPW32.EXE
NAVDX.EXE
NAVSTUB.EXE
NAVW32.EXE
NC2000.EXE
NCINST4.EXE
NDD32.EXE
NEOMONITOR.EXE
NETARMOR.EXE
NETINFO.EXE
NETMON.EXE
NETSCANPRO.EXE
NETSPYHUNTER-1.2.EXE
NETSTAT.EXE
NISSERV.EXE
NISUM.EXE
NMAIN.EXE
NORTON_INTERNET_SECU_3
NPF40_TW_98_NT_ME_2K.E
NPFMESSENGER.EXE
NPROTECT.EXE
NSCHED32.EXE
NTVDM.EXE
NUPGRADE.EXE
NVARCH16.EXE
NWINST4.EXE
NWTOOL16.EXE
OSTRONET.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
OUTPOSTPROINSTALL.EXE
PADMIN.EXE
PANIXK.EXE
PAVPROXY.EXE
PCC2002S902.EXE
PCC2K_76_1436.EXE
PCCIOMON.EXE
PCDSETUP.EXE
PCFWALLICON.EXE
PCFWALLICON.EXE
PCIP10117_0.EXE
PDSETUP.EXE
PERISCOPE.EXE
PERSFW.EXE
PF2.EXE
PFWADMIN.EXE
PINGSCAN.EXE
PLATIN.EXE
POPROXY.EXE
POPSCAN.EXE
PORTDETECTIVE.EXE
PPINUPDT.EXE
PPTBC.EXE
PPVSTOP.EXE
PROCEXPLORERV1.0.EXE
PROPORT.EXE
PROTECTX.EXE
PSPF.EXE
PURGE.EXE
PVIEW95.EXE
QCONSOLE.EXE
QSERVER.EXE
RAV8WIN32ENG.EXE
REGEDIT.EXE
REGEDT32.EXE
RESCUE.EXE
RESCUE32.EXE
RRGUARD.EXE
RSHELL.EXE
RTVSCN95.EXE
RULAUNCH.EXE
SAFEWEB.EXE
SBSERV.EXE
SD.EXE
SETUPVAMEEVAL.EXE
SETUP_FLOWPROTECTOR_US
SFC.EXE
SGSSFW32.EXE
SH.EXE
SHELLSPYINSTALL.EXE
SHN.EXE
SMC.EXE
SOFI.EXE
SPF.EXE
SPHINX.EXE
SPYXX.EXE
SS3EDIT.EXE
ST2.EXE
SUPFTRL.EXE
SUPPORTER5.EXE
SYMPROXYSVC.EXE
SYSEDIT.EXE
TASKMON.EXE
TAUMON.EXE
TAUSCAN.EXE
TC.EXE
TCA.EXE
TCM.EXE
TDS-3.EXE
TDS2-98.EXE
TDS2-NT.EXE
TFAK5..EXE
TGBOB.EXE
TITANIN.EXE
TITANINXP.EXE
TRACERT.EXE
TRJSCAN.EXE
TRJSETUP.EXE
TROJANTRAP3.EXE
UNDOBOOT.EXE
UPDATE.EXE
VBCMSERV.EXE
VBCONS.EXE
VBUST.EXE
VBWIN9X.EXE
VBWINNTW.EXE
VCSETUP.EXE
VFSETUP.EXE
VIRUSMDPERSONALFIREWAL
VNLAN300.EXE
VNPC3000.EXE
VPC42.EXE
VPFW30S.EXE
VPTRAY.EXE
VSCENU6.02D30..EXE
VSECOMR.EXE
VSHWIN32.EXE
VSISETUP.EXE
VSMAIN.EXE
VSMON.EXE
VSSTAT.EXE
VSWIN9XE.EXE
VSWINNTSE.EXE
VSWINPERSE.EXE
W32DSM89.EXE
W9X.EXE
WATCHDOG.EXE
WEBSCANX.EXE
WGFE95.EXE
WHOSWATCHINGME.EXE
WHOSWATCHINGME.EXE
WINRECON.EXE
WNT.EXE
WRADMIN.EXE
WRCTRL.EXE
WSBGATE.EXE
WYVERNWORKSFIREWALL.EX
XPF202EN.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZAUINST.EXE
ZONALM2601.EXE
ZONEALARM.EXE
drvsys.exe

Bagle.AV akan menguninstall dirinya jika pada system komputer menunjukan tanggal 25 April 2006

Disinfeksi

Jika komputer anda terinfeksi virus W32/Bagle.AV@mm, lakukan langkah pembersihan dibawah ini dan lakukan pembersihan pada mode “safe mode”

Install antivirus dengan update terakhir, Norman Virus Control dengan teknologi Sandbox dapat mendeteksi virus ini tanpa membutuhkan update. Virus ini akan terdeteksi sebagai Peer to Peer worm / P2P worm. Update minimal tanggal 27 Januari 2005 akan mendeteksi virus ini sebagai W32/Bagle.AV@mm
Jika menggunakan Windows XP/ME, nonaktifkan system restore selama proses pembersihan.
Hapus file
1. Sysformat.exe
2. Sysformat.exeopen
3. Sysformat.exeopenopen
  Pada direktori system c:\windows\system atau c:\winnt\system32

Hapus file CJECTOR.exe pada direktori system c:\windows\system atau c:\winnt\system32
Hapus value :

Sysformat =%system%\sysformat.exe pada registry key :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

Riga = "[random value] pda registry key
HKEY_CURRENT_USER\Software\Microsoft\Params

Tambahan dalam pembersihan virus W32/Bagle.AV@mm pada windows 2000/XP

Jika sebelumnya ICF (Internet Connection Firewall) /ICS (Internet Connection Sharing) aktif (enable), Anda harus mengaktifkan lagi (re-enable) sebab virus ini akan menonaktifkan (disable) kedua service ini.

Adang Juhar Taufik (AJT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : support@...

Reply | Messages in this Topic (1)

#430 From: "Vaksincom" <alfons@...>
Date: Mon Feb 7, 2005 1:04 pm
Subject: Evaluasi malware 2004 dan trend 2005 vaksincom
Send Email

Evaluasi malware 2004 dan trend 2005

Dua gajah bertarung, pelanduk mati di tengah-tengah, peribahasa ini sangat tepat menggambarkan kondisi virus tahun 2004. Pertempuran dua pembuat virus Netsky dengan Bagle ibaratnya dua gajah pembuat virus yang saling menyerang dengan saling mengirimkan variannya guna membasmi musuhnya dan kita para pengguna internet sebagai pelanduk yang menjadi korban karena mailbox kita dipenuhi oleh virus. Menurut catatan Vaksincom hal ini mengakibatkan “penderitaan” cukup besar karena sampai > 75 % mailbox email pengguna internet mengandung virus.

Kesaktian Netsky dan Bagle

Jika anda bertanya-tanya apa yang menyebabkan kedua virus ini mampu menjadi “gajah”, hal ini merupakan kombinasi yang lengkap dan mematikan yang dimanfaatkan penciptanya. Faktor pertama adalah kemampuan memanfaatkan banyak komputer untuk menyebarkan dirinya pertamakali dan kemudian memanfaatkan komputer yang telah terinfeksi sebelumnya menjadi agen penyebaran varian berikutnya, hal ini dapat terjadi karena setiap kali menginfeksi komputer korban virus Bagle membuka satu celah baru untuk dimasuki varian berikutnya. Netsky mengimbangi dengan penguasaan banyak komputer dengan bandwidth besar (broadband) yang digunakan sebagai agen penyebaran awal dan rekayasa sosial yang canggih. Salah satu rekayasa sosial yang sukses dieksploitasi adalah penggunaan lampiran terkompres (.zip) untuk mengirimkan virus. Seperti kita ketahui para asministrator mailserver melakukan bloking pada semua file eksekutable (.exe, ..com, .scr, .vbs dst) dan membolehkan file terkompres untuk sampai ke mailbox pengguna komputer. Dengan sedikit rekayasa dan memanfaaatkan “kebiasaan buruk” pengguna komputer yang senang melakukan klik pada mousenya tanpa berpikir dua kali maka otomatis virus yang dikirimkan melalui email lampiran terkompres ini akan dijalankan.

Fenomena lain yang terjadi adalah kolaborasi antara virus dengan spam, dimana komputer-komputer yang terinfeksi oleh virus digunakan sebagai agen penyebaran spam. Kolaborasi ini mengakibatkan setiap komputer yang terinfeksi oleh virus akan dijadikan sebagai spam server tanpa sepengetahuan pemilik komputer, tidak perduli apakah komputer tersebut memiliki koneksi broadband atau dial up sekalipun sehingga ketika terjadi bloking terhadap IP komputer yang mengirimkan spam, yang menjadi korban adalah ISP karena kebanyakan pengguna dial up menggunakan IP static (berubah-ubah) milik ISP yang disharing bersama pengguna dial up lain.

Pemanfaatan komputer yang terinfeksi virus sebagai “pasukan” tempur sangat menakutkan, hal ini terbukti dengan lumpuhnya Santa Cruz Operation Inc www.sco.com yang dibenci oleh kalangan “Open Source” dan diserbu oleh puluhan ribu komputer yang terinfeksi varian MyDoom.A pada tanggal 1 Februari 2004.

Waktu pemanfaatan exploit makin cepat

Jika dibandingkan dengan tahun sebelumnya dimana saat pengumuman celah keamanan baru dengan saat munculnya virus yang mengeksploitasi celah keamanan tersebut berselang beberapa bulan, maka perkembangan terakhir yang terjadi di tahun 2004 menunjukkan trend yang mengkhawatirkan. Celah keamanan phpBB “highlight vulnerability” diumumkan pada tanggal 19 November 2004 dan pada tanggal 21 Desember 2004, virus Santy.A yang mengeksploitasi celah keamanan tersebut sudah muncul dan beraksi. Lebih parah lagi jika kita melihat waktu munculnya virus Sasser yang hanya berselang 17 hari dari saat pertama kali celah keamanan LSASS yang diserangnya diumumkan. Karena itulah disiplin dari pengguna komputer untuk selalu melakukan update dan patch atas OS nya memegang peranan penting dalam mengamankan dirinya dari serangan virus.

Trend malware 2005

Perkembangan malware (malicious software) di tahun 2005 kelihatannya akan didominasi oleh Spyware. Spyware / Adware pada mulanya digunakan sebagai sarana promosi dan akan terinstal secara otomatis setiap kali kita menggunakan piranti lunak gratis (Freeware) seperti Download Accelerator, Smiley Face, Gator, Bonzi Buddy dan program file sharing gratis seperti Kazaa dan Morpheus. Jika kita mengandaikan pembuat virus sebagai pencuri yang berusaha menyembunyikan identitasnya karena takut ditangkap polisi, maka spyware dapat diibaratkan sebagai preman yang terang-terangan meminta uang dari pedagang di pasar dan tidak takut di tangkap karena ada backingnya. Pembuat Spyware membayar pemilik Freeware untuk memasukkan iklannya dalam freeware tersebut dan mereka dilindungi oleh perjanjian EULA (End User License Agreement) yang harus disetujui terlebih dahulu oleh pengguna Freeware dengan mengklik “I Agree” pada saat instalasi Freeware.

Mengapa Spyware akan menjadi mendominasi malware di tahun 2005 ? Penyebabnya adalah karena banyaknya success story pembuat Spyware dan besarnya uang yang berputar dalam bisnis Spyware. Jika anda membuat virus yang berhasil menginfeksi banyak komputer seperti Sven Jaschan (pembuat Netsky) dan tertangkap anda akan mendapatkan dua hal, pertama menjadi terkenal dan yang kedua masuk penjara. Sebaliknya jika anda membuat Spyware yang berhasil menginfeksi banyak komputer maka anda akan mendapatkan uang banyak dan tidak tersentuh oleh hukum karena pemilik komputer korban Spyware sudah menyetujui komputernya dimasuki Spyware.

Membasmi Spyware sangat sulit dan para pembuat spyware yang mayoritas memanfaatkan browser Internet Explorer ini memanfaatkan 1001 cara untuk bertahan dari “pembasmian” sehingga tidak heran jika anda sudah bersihkan berkali-kali satu Spyware tetapi sewaktu di restart browser anda akan kembali menampilkan situs yang tidak anda kehendaki tersebut. Celakanya kalau situs yang kembali tersebut adalah situs porno dan komputer anda juga digunakan oleh anak anda.

Virus Handphone

Jika pada awal tahun 2004 anda membicarakan virus yang menyerang handphone maka akan menjadi bahan tertawaan, maka lain ceritanya pada akhir tahun 2004 karena virus yang mampu menyebar melalui handphone sudah mulai muncul. Sebenarnya virus yang muncul seperti Cabir jika dibandingkan dengan virus komputer sekarang dapat digolongkan sebagai virus yang primitif, karena Cabir membutuhkan banyak sekali “bantuan” dari pemilik handphone untuk berhasil menginfeksi handphone. Tetapi karena banyaknya pengguna handphone gaptek, sama seperti pengguna komputer yang senang mengklik “Yes”, “I Agree” atau “Next” maka Cabir dapat menyebarkan dirinya dengan sukses.

Persyaratan utama bagi adanya virus handphone sudah dipenuhi, pertama handphone mudah di program dan yang kedua memiliki hubungan ke handphone lain melalui koneksi bluetooth / Wi Fi. Karena itu kita tinggal menunggu kejutan lain di tahun 2005 untuk varian virus handphone yang baru.

Naiknya keperdulian terhadap sekuriti

Tahun 2004 juga ditandai dengan meningkatnya perhatian vendor piranti lunak terhadap masalah sekuriti. Microsoft, yang selama ini menjadi sasaran utama virus menjadikan sekuriti sebagai salah satu perhatian utama dalam pengembangan piranti lunak barunya. Hal ini terlihat dari diluncurkannya Service Pack2 Windows XP yang memfokuskan diri pada pembenahan sekuriti di Windows XP dan terintegrasinya proses antivirus dan firewall ke dalam sistem operasi. Selain itu, peluncuran ISA Server 2004 juga menjadi tonggak dimana Microsoft mulai melirik pasar sekuriti sebagai lahan baru yang potensial.

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#431 From: "Vaksincom" <alfons@...>
Date: Sat Feb 12, 2005 7:08 pm
Subject: Insiden Malware Januari 2005 12 Februari 2005, Spyware mengalahkan virus vaksincom
Send Email

Insiden Malware Januari 2005 12 Februari 2005

Spyware mengalahkan virus

Ibarat menerima "Ang Pao" di hari Imlek, pengguna internet Indonesia dihadapkan pada fakta bahwa ancaman Spyware sudah menjadi nyata dan sampai dengan tanggal 10 Februari 2005 mengalahkan jumlah insiden virus.Menurut data yang diberikan oleh Vaksinis (technical support Vaksincom) di 20 kota di seluruh Indonesia, lebih dari 95 % dari komputer yang terkoneksi ke internet "dipastikan" terinfeksi spyware dan ancaman yang terjadi mirip dengan virus, dimana spyware lama akan dibasmi oleh antispyware namun akan muncul spyware baru yang tidak terdeteksi oleh anti spyware yang tidak terupdate.

Krepper.AE menjadi jendral di kubu spyware dan mencatat 52 % dari total malware (spyware dan virus) sedangkan pada kubu virus dikomandoi W32/Zafi@mm yang memimpin sejak Desember 2004 dengan total insiden virus sebanyak 48 %. Vaksincom juga menerima banyak permintaan antivirus untuk handphone / smartphone / PDA tetapi perlu kami ingatkan bahwa tingkat penyebaran virus handphone di Indonesia masih termasuk rendah dan tidak perlu ditakuti "saat ini".

Gambar 1 Infeksi Spyware mengalahkan virus di bulan Januari 2005

Spyware mengalahkan virus

Sejak Oktober 2004 Spyware sudah menunjukkan gejala sebagai ancaman potensial namun sampai dengan akhir tahun 2004 jumlah insiden spyware tidak pernah mengalahkan virus, paling banter pada bulan Oktober 2004 insiden spyware mendekati persentase virus yaitu 48 % namun tetap virus belum terkalahkan. Lain dengan tahun 2004, pada awal tahun 2005 spyware langsung unjuk gigi :g untuk pertamakalinya dalam statistik malware Indonesia spyware berhasil mengalahkan virus pada bulan Januari 2005 (lihat gambar 1), memang perbedaannya masih tipis (4 %) dan tidak tertutup kemungkinan virus akan memimpin kembali di bulan-bulan berikutnya. Total insiden malware (malicious software) dari 1 Januari 2005 s/d 10 Februari 2005 adalah 85.973 dengan perincian insiden spyware 44.661 (52 %) dan insiden virus sebanyak 41.292 (48 %).

Krepper.AE atau yang sering disebut sebagai Adclicker memimpin infeksi spyware sebanyak 28.530 insiden atau 63.85 % dari total insiden spyware. Krepper.AE ini sebenarnya merupakan spyware lama tetapi baru pertamakali berhasil memimpin di peringkat pertama sebagai jawara spyware mengalahkan jawara lama Dluca (4.835 / 10.82 %) di peringkat ke dua dan Ncase (1.400 / 3.13) di peringkat ke empat. Diperingkat ke tiga bercokol Funweb yang secara otomatis terinstal jika anda mendownload icon dari "Smiley Central" dengan total insiden sebanyak 1.487 atau 3.33 %, prestasi yang cukup mengesankan untuk "pendatang baru". Muka baru yang lain adalah Surfside di peringkat ke 8 (698 / 1.56 %), Smalldoor (653 / 1.46 %) di peringkat ke 9 dan Wukill (552 / 1.24 %) di peringkat ke 10. Sedangkan muka lama Istbar yang menambahkan toolbar baru pada Internet Explorer anda pada peringkat 5 (1.243 / 2.78 %), Dloader (1.035 / 2.32 %) rank 6 diikuti oleh Agent (765 / 1.71 %) pada peringkat 7. Untuk peringkat spyware lengkap silahkan lihat tabel 1.

No	Adware	Jumlah	%
1	Krepper	28,530	63.85%
2	Dluca	4,835	10.82%
3	Funweb	1,487	3.33%
4	Ncase	1,400	3.13%
5	Istbar	1,243	2.78%
6	Dloader	1,035	2.32%
7	Agent	765	1.71%
8	Surfside	698	1.56%
9	Smalldoor	653	1.46%
10	Wukill	552	1.24%
	Lainnya	3,483	7.80%
Total		44,681	100.00%

Tabel 1, Top 10 Spyware Indonesia Januari 2005

Gambar 2, Grafik Insiden Spyware Indonesia Januari 2005. Inilah Spyware yang perlu anda waspadai pada bulan Februari 2005 dst.

Zafi memimpin dan Netsky tergusur

Pada "hutan" yang lain, yang menjadi raja adalah W32/Zafi@mm (24.290 / 58.82 %) yang menyebar sejak Desember 2004 menggusur jawara lama Netsky (4.122 / 9.98 %) yang langsung tersungkur ke peringkat 4. Netsky tergusur secara tidak langsung juga karena aksi peringkat 2 Bagle (5.184 / 12.55 %) yang dalam setiap aksinya menginfeksi komputer korbannya tidak lupa membasmi Netsky.Selain itu, jawara dua tahun lalu Klez masih kuat unjuk gigi di peringkat lima dengan total insiden 1.099 / 2.66 % diikuti oleh Korgo (sejenis Sasser) pada peringkat ke 6 (1.052 / 2.55). Yang berhasil mengalahkan Netsky dan bercokol di peringkat 3 ternyata virus lama yang sangat bandel, Redlof (4.248 / 10.29 %). Sedangkan virus yang memiliki varian sangat banyak dan salah satu variannya dibuat di Indonesia adalah Marker yang bercokol di peringkat ke 7 (351 / 0.85 %). Virus dengan kemampuan memflash BIOS, CIH cukup mengejutkan masih banyak terdeteksi (228 / 0.55 %) dan menempati peringkat 8 diikuti oleh Lovelorn di peringkat ke 9 (217 / 0.53 %) dan peringkat 10 ditempati oleh virus kiamat, Mydoom (150 / 0.36% ) yang sempat membuat kiamat website www.sco.com. Untuk lebih detilnya silahkan lihat tabel 2 dan gambar 3.

No	Virus	Jumlah	%
1	Zafi	24,290	58.82%
2	Bagle	5,184	12.55%
3	Redlof	4,248	10.29%
4	Netsky	4,122	9.98%
5	Klez	1,099	2.66%
6	Korgo	1,052	2.55%
7	Marker	351	0.85%
8	CIH	228	0.55%
9	Lovelorn	217	0.53%
10	MyDoom	150	0.36%
	Lainnya	351	0.85%
Total		41,292	100.00%

Tabel 2, Top 10 Virus Indonesia Januari 2005

Gambar 3, Grafik Top 10 Insiden Virus Indonesia Januari 2005

Melihat ancaman spyware yang makin meningkat, Vaksincom menyarankan para pengguna internet khususnya pengguna korporat untuk berhati-hati dan lebih perduli pada spyware. Spyware ini jelas berbahaya dan sangat berpotensi mengakibatkan kerugian bagi perusahaan seperti bocornya informasi / data penting perusahaan dengan aktivitas keylogging dan download by drive, hilangnya produktivitas karena melambatnya komputer atau tidak berfungsinya komputer karena spyware selalu berusaha menampilkan dirinya / diam-diam menjalankan aksinya. Belum lagi spyware yang melakukan aksi "browser hijacking" dimana tahu-tahu browser anda "selalu" menampilkan website porno yang meskipun sudah anda coba hapus berjam-jam (sampai keringatan karena takut ketahuan / malu) tetapi spywarenya selalu kembali lagi setiap kali anda restart komputer anda. Karena itu kami sarankan anda untuk menambahkan spyware sebagai aplikasi "wajib" mendampingin antivirus.

Apa bedanya antivirus dengan antispyware ?

Antivirus mampu mendeteksi banyak spyware dan mendelete file yang mengandung spyware, tetapi antivirus tidak memiliki kemampuan antispyware seperti :

Kemampuan membersihkan spyware sampai ke akarnya dengan membasmi jejak spyware di registri.
Ad Watch, mendeteksi dan menolak aksi spyware yang berusaha masuk ke komputer.
Process Manager, mengurai proses yang berjalan pada OS guna keperluan analisa dan menghentikan spyware secara lebih tepat.

Selain itu, pertimbangkan untuk menggunakan spyware yang memiliki kemampuan update terpusat dan manajemen aplikasi spyware seperti manajemen aplikasi antivirus dalam jaringan guna memudahkan instalasi, pengawasan dan perawatan. Yang tidak kalah penting, cari vendor yang memberikan layanan support lokal karena untuk mengatasi spyware membandel tidak cukup hanya mengandalkan program antispyware terbaik saja, tetapi membutuhkan pengalaman / jam terbang bergelut dengan spyware.

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#432 From: "Vaksincom" <alfons@...>
Date: Mon Feb 21, 2005 11:55 am
Subject: Celah keamanan Zonealarm dan Checkpoint 21 Februari 2005 vaksincom
Send Email

Celah keamanan Zonealarm dan Checkpoint 21 Februari 2005

IPC Vulnerability

Sehebat apapun yang namanya buatan manusia itu tidak ada yang sempurna. Begitulah kira-kira hukum yang berlaku di dunia sekuriti. Kali ini kabar kurang menyenangkan muncul bagi pengguna Zonealarm, firewall personal yang secara de facto merupakan market leader dan paling banyak digunakan oleh para netter dengan ditemukannya celah keamanan pada Inter Process Communication. Celakanya, tidak hanya pengguna produk Zonealarm saja yang terancam oleh celah keamanan ini, tetapi pengguna Check Point Software Integrity Client juga rentan atas eksploitasi dari celah keamanan ini. Celah keamanan ini meskipun diklaim sebagai low risk (resiko rendah oleh Zonealarm) tetapi merupakan hal yang cukup serius karena kategorinya dimasukkan sebagai Design Error oleh Security focus. Para pengguna Zonelarm dan Check Point kami sarankan untuk mengupgrade produknya agar terhindar dari eksploitasi celah keamanan ini.

Detail

Zonealarm memanfaatkan rutin NtConnectPort(), yang biasanya digunakan oleh program untuk mengimplementasikan IPC (Inter Process Communication). Masalahnya, pada proses vsdatant.sys Zonealarm mengalami kegagalan verifikasi pada argumen. Jika alamat memory yang seharusnya NULL dan dimasukkan sebagai karakter selain nol akan mengakibatkan crash pada system. Pihzk Zonealarm mengklaim bahwa celah keamanan ini hanya dapat diakses oleh pihak dalam dan tidak oleh pihak luar, tetapi secara teknis pengguna internet yang berada di dalam lingkungan internal jika terhubung ke internet dan berhasil di remote oleh penyerang akan berhasil mengakibatkan BSOD alias Blue Screen of Death.

Yang vulnerable apa saja ?

Adapun versi Zonealarm yang rentan atas eksploitasi celah keamanan ini adalah versi 5.1 dan sebelumnya serta Checkpoint versi 4.5 dan 5.0 (dan sebelumnya). Untuk lebih detilnya, Daftar aplikasi Zonealarm dan Check Point yang bermasalah adalah sebagai berikut :

Check Point Software Integrity Client 4.5
Check Point Software Integrity Client 5.0
Zone Labs ZoneAlarm 2.1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 2.2
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 2.3
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 2.4
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 2.5
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 2.6
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 3.0
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm 3.1
Zone Labs ZoneAlarm 3.7 .202
Zone Labs ZoneAlarm 4.0
Zone Labs ZoneAlarm 4.5 .538.001
Zone Labs ZoneAlarm 5.1
Zone Labs ZoneAlarm Pro 2.4
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm Pro 2.6
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP6a
Zone Labs ZoneAlarm Pro 3.0
Zone Labs ZoneAlarm Pro 3.1
Zone Labs ZoneAlarm Pro 4.0
Zone Labs ZoneAlarm Pro 4.5 .538.001
Zone Labs ZoneAlarm Pro 4.5
Zone Labs ZoneAlarm Pro 5.0.590 .015
Zone Labs ZoneAlarm Pro 5.1
Zone Labs ZoneAlarm Pro 5.5 .062
Zone Labs ZoneAlarm Security Suite 5.1
Zone Labs ZoneAlarm Security Suite 5.5 .062
Zone Labs ZoneAlarm Security Suite 5.5

Apa yang harus anda lakukan.

Jika anda pengguna Zonealarm atau Check Point yang masuk dalam daftar di atas, Vaksincom menyarankan anda untuk :

Pengguna Check Point Integrity.

Administrator pengguna Check Point Integrity disarankan untuk segera upgrade ke check Point Integrity Client versi 4.5.122.000 atau versi 5.1.556.166.

Pengguna Zonealarm.

Pengguna ZoneAlarm Security Suite, ZoneAlarm Pro dan ZoneAlarm akan terupdate secara otomatis jika mengaktifkan Automatic product update dan tidak perlu melakukan apapun karena produknya akan terupdate secara otomatis.

Bagi anda yang tidak terupdate secara otomatis, lakukan update secara manual dengan cara :

Pilih [Overview] [Preferences]
Pada bagian [Check for Update] klik [Check for Update]

ZoneAlarm Security suite dan ZoneAlarm Pro versi 5.5 keatas tidak terancam atas celah keamanan ini.

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#433 From: "Vaksincom" <alfons@...>
Date: Sun Feb 27, 2005 8:18 am
Subject: Antivirus Norman Gratis selama MegaBazaar vaksincom
Send Email

Antivirus Norman Gratis selama MegaBazaar

2 - 6 Maret 2005

Kabar gembira bagi para pengunjung MegaBazaar yang akan di adakan di 7 kota di seluruh Indonesia. Vaksincom bekerjasama dengan MSI http://www.msi.com.tw My Style Inside memberikan antivirus Norman Virus Control Original GRATIS !! beserta update definisi antivirus dan engine bagi setiap pembelian motherboard MSI / komputer yang menggunakan motherboard MSI. Promo ini diadakan khusus untuk menyambut pameran MegaBazaar 2005 yang diadakan di

JAKARTA, Hall B JCC ( Jakarta Convention Center )

BANDUNG, Pasteur HYPER POINT

SURABAYA, AJBS Pasaraya

YOGYAKARTA, JEC ( Jogya Expo Center )

SEMARANG, Java Super Mall

MAKASSAR, Balai Manunggal ABRI

MEDAN, Tiara Convention Centre

WAKTU PAMERAN
Tanggal : 2 – 6 Maret 2005
Waktu : 10.00 – 21.00 WIB

Setiap pembeli motherboard MSI akan mendapatkan CD Antivirus Norman Virus Control Original yang didistribusikan oleh Vaksincom dapat langsung melakukan registrasi online pada website Norman di http://nvc.norman.no dengan mengklik link [Bahasa Indonesia]

yang akan dibawa langsung ke halaman registrasi berbahasa Indonesia dimana pendaftar harus memasukkan alamat email dan kode OEM unik yang disertakan pada CD. Nomor Serial akan langsung dikirimkan secara otomatis pada alamat email yang dimasukkan dan nomor ini akan digunakan untuk instalasi program Norman Virus Control pada satu komputer.

Antivirus Norman Virus Control yang diberikan secara gratis ini hanya dapat di instal untuk komputer dengan OS Windows non server seperti Windows 98 / ME / XP home & Pro / NT workstation / 2000 workstation dan 2000 Pro. Untuk OS server seperti Windows NT / 2000 / 2003 server jika ingin mendapatkan Trial dapat menghubungi perwakilan Vaksincom di 20 kota dengan mengirimkan data :

Nama Perusahaan :

Contact Person :

Alamat Email :

Alamat :

Kota :

Telepon :

HP :

melalui email ke info@... untuk mendapatkan Trial dan Presentasi antivirus Gratis dari Team Antivirus Vaksincom.

Norman Virus Control adalah antivirus terbaik peraih Virus Bulletin Award dan memiliki teknologi Sandbox yang mampu mengenali virus baru tanpa tergantung pada update. Teknologi Sandbox terpercaya ketangguhannya dimana Microsoft menggunakan Norman Virus Control dengan teknologi Sandbox untuk melakukan scanning guna meyakinkan bahwa setiap CD software yang dikeluarkan oleh Microsoft bebas dari infeksi virus. Disamping itu, Norman juga memiliki fitur unggulan yang sangat berguna bagi para netter seperti :

Norman Internet Protection (NIP)
Yang memiliki kemampuan proteksi virus untuk semua email masuk dan keluar dari berbagai mailclient (Eudora, Outlook, Pegasus, The Bat ataupun mailclient lain). Berbeda dengan aplikasi pada antivirus lain yang melakukan proteksi dengan embedded pada mailclient, NIP melakukan proteksi email via port smtp dan pop.
Norman Internet Update (NIU)
NIU memungkinkan komputer untuk melakukan update antivirus secara "otomatis" baik pada berbagai jenis koneksi internet, baik dial up, broadband maupun melalui proxy. Keunggulan utama dari NIU ini adalah intervensi user / pengguna sama sekali tidak diperlukan dan update antivirus akan berjalan secara otomatis setiap kali komputer dihidupkan.
Statistik Antivirus
Secara otomatis, Norman akan mengirimkan informasi statistik ke alamat email yang telah ditentukan ataupun messaging ke komputer lokal. Fitur ini sangat berguna sebagai peringatan awal untuk administrator untuk mengetahui bahwa komputer di jaringannya terinfeksi virus. Selain itu, administrator yang menggunakan Norman Virus Control for Corporate Network juga dapat membuat laporan insiden virus secara otomatis setiap bulan berdasarkan nomor IP pengguna komputer dan menjadi dasar pertimbangan bagi manajemen untuk mengambil tindakan yang diperlukan.
Dukungan dari Vaksinis di 20 kota
Program antivirus tanpa teknikal support yang baik sama saja dengan membeli mobil tanpa layanan servis, karena itu Vaksinis (antivirus specialist Vaksincom) siap melayani setiap pelanggan Vaksincom dan memberikan bantuan dan konsultasi atas semua masalah virus dan spyware.

PS: Bila anda pemegang merek dan berminat mengadakan kerjasama OEM dengan Vaksincom silahkan kitimkan email ke info@....

VAKSINCOM

Tanah Abang III / 19E

Jakarta 10160

Telp : 021-345 6850

Fax : 021-345 6851

Website : http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#434 From: "Alfons Tanujaya" <alfons@...>
Date: Wed Mar 9, 2005 1:00 am
Subject: Gelombang Virus Messenger menyerang 8 Maret 2005 vaksincom
Send Email

Gelombang Virus Messenger menyerang 8 Maret 2005

Hey LARISSA f**k off, you f**king n00b!.. Bla bla to your f**king Saving the world from Bropia, the world n33ds saving from you!
'-S-K-Y-'-D-E-V-I-L-'

Layaknya gelombang Tsunami yang datang berulang-ulang, dalam satu pekan terakhir ini di internet sedang beredar virus-virus yang menyerang pengguna messenger. Sebut saja Kelvir yang pada saat pembuatan berita ini sudah memiliki 3 varian, disusul oleh Sumom / Fatso yang selain menyebar melalui MSN Messenger juga mampu menyebar melalui P2P (Peer to Peer) dan mengkopikan diri ke CD-R (CD Recordable). Vaksincom menyarankan para pengguna messenger untuk berhati-hati dan jangan menjalankan file kiriman dari messenger serta selalu melakukan tindakan proaktif untuk melindungi diri seperti melakukan update patch secara teratur dan melindungi diri dengan program antivirus dan antispyware yang terupdate.

Kelvir

Kelvir adalah virus messenger yang menyebarkan diri dengan mengirimkan link dirinya melalui MSN Messenger. Selain itu, Kelvir juga berusaha mendownload dan menjalankan file dari internet. Kelvir akan datang dengan pesan pada MSN sebagai berikut :

lol! see it! u'll like it

Pesan MSN yang datang akan bersama dengan link ke file yang mengandung worm di http://home.earthlink.net/**allery10/omg.pif. Jika file ini dijalankan, maka virus akan menginfeksi komputer korban dan menjalankan kembali kegiatannya menyebar melalui semua kontak pada Messenger. Selain itu, Kelvir juga akan mencoba untuk melakukan download file "me.jpg" dari http://home.earthlink.net/**allery10/me.jpg

Catatan :

** merupakan direktori yang disamarkan dan pada saat ini file menuju link tersebut sudah tidak dapat diakses. Earthlink merupakan ISP yang berlokasi di Atlanta, Amerika.

Menurut pemantauan Vaksincom, pada saat artikel ini dibuat, alamat tersebut sudah tidak bisa diakses dan secara efektif menghentikan penyebaran Kelvir. Selain memanfaatkan Earthlink, tercatat varian Kelvir.C yang menggunakan link di www.mxt-networkz.com dengan nama file "parishilton.pif".

Sumom / Fatso

Dibandingkan dengan Kelvir, Fatso jauh lebih rumit dan berbahaya karena disamping menyebarkan dirinya, Fatso juga berusaha mencegah proses pembersihan virus dan menghentikan banyak aplikasi sekuriti penting yang akan menyebabkan komputer korban tidak terproteksi dari semua serangan virus / spyware. Fatso juga memiliki kemampuan menyimpan dirinya ke dalam CD-R (CD Rom) sehingga umurnya akan makin panjang.

Fatso menyebar melalui MSN Messenger, P2P sharing (termasuk Emule) dan direktori sharing lainnya dengan nama file :

Messenger Plus! 3.50.exe

MSN all version polygamy.exe

MSN nudge bomb.exe

Yang jika dijalankan akan mengaktifkan virus tersebut.

Selain itu, Fatso menyerang balik pembuat virus Assiral yang sebelumnya melakukan aksi membersihkan Bropia (sehingga disinyalir pembuat Bropia dan Fatso ini sama / satu group) dengan mengeluarkan teks ejekan yang agak kasar pada komputer korbannya dengan nama "Message to n00b LARISSA.txt" dengan isi sebagai berikut :

Hey LARISSA f**k off, you f**king n00b!.. Bla bla to your f**king Saving the world from Bropia, the world n33ds saving from you!
'-S-K-Y-'-D-E-V-I-L-'

Penjelasan :

LARISSA jika dibaca terbalik adalah ASSIRAL, noob adalah sebutan untuk programmer pemula / newbie. Kemungkinan pembuat Fatso marah karena virus Assiral dalam salah satu aksinya melakukan aksi menghapus komputer yang terinfeksi virus Bropia, mengingatkan kita pada Netsky dan Bagle, namun tingkat infeksi kedua virus ini masih jauh dibawah Netsky dan Bagle yang pada masa jayanya mampu menghabiskan > 75 % dari bandwidth email dunia. Assiral di ejek sebagai noob karena dia menggunakan SMTP untuk menyebarkan dirinya, suatu metode yang sangat umum dan relatif mudah digunakan dalam menyebarkan virus.

Meniru spyware dalam mempertahankan dirinya

Fatso berusaha menjadi virus yang membandel dan berusaha untuk bertahan pada komputer yang di infeksinya dengan cara sebagai berikut :

Meniru Spyware dalam melindungi dirinya.
Jika file yang mengandung dirinya dihapus, dalam beberapa detik ia akan kembali mengkopikan dirinya kembali ke harddisk.

Mematikan proses-proses dan aplikasi dasar yang sering digunakan dalam proses pembersihan virus seperti secara manual seperti Task Manager [taskmgr.exe], Registry Editor [regedit.exe], Sistem Configuration Utility [msconfig.exe] dan Command / Dos Prompt [cmd.exe].

Mematikan proses sekuriti baik antivirus, update antivirus, firewall ataupun tools pembasmi virus seperti :
avengine.exe
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
nisum.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
nprotect.exe
nupgrade.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
Update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
msdev.exe
ollydbg.exe
peid.exe
petools.exe
reshacker.exe
w32dasm.exe
winhex.exe
wscript.exe

Memblok akses ke website sekuriti dengan mengarahkan ke http://64.233.167.104 yang merupakan IP yang dimiliki oleh Google.com. Adapun website yang diblok adalah sebagai berikut :
www.symantec.com
www.sophos.com
www.mcafee.com
www.viruslist.com
www.f-secure.com
www.avp.com
www.kaspersky.com
www.networkassociates.com
www.ca.com
www.my-etrust.com
www.nai.com
www.trendmicro.com
www.grisoft.com
securityresponse.symantec.com
symantec.com
sophos.com
mcafee.com
update.symantec.com
liveupdate.symantecliveupdate.com
viruslist.com
f-secure.com
kaspersky.com
kaspersky-labs.com
avp.com
nai.com
networkassociates.com
ca.com
mast.mcafee.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
grisoft.com
sandbox.norman.no
www.pandasoftware.com
uk.trendmicro-europe.com

Analisa vaksincom

Melihat cara Kelvir dan Fatso menyebarkan dirinya, dapat dipastikan bahwa kedua virus ini tidak akan berumur panjang. Khususnya Kelvir yang mengandalkan pada infeksi dari file yang ditempatkan pada website karena dengan dibloknya akses pada file bervirus atau dihapusnya file dari situs secara efektif akan menghentikan penyebaran virus ini. Tersisa hanya kemampuan Fatso menyebarkan dirinya melalui P2P, direktori sharing dan CD Rom yang diperkirakan tidak akan tinggi karena pengguna P2P relatif rendah dibandingkan pengguna Messenger, email atau browser. Yang perlu dikhawatirkan adalah varian berikut dari Kelvir atau Fatso yang kemungkinan makin cerdas menyebarkan dirinya dan menggunakan media yang tidak mudah diblok seperti IP komputer yang terinfeksi menjadi server file untuk menginfeksi komputer lain yang setelah terinfeksi akan menjadi server file untuk menginfeksi komputer lain dan seterusnya.

Karena itu Vaksincom menyarankan kepada pengguna P2P dan Messenger untuk melakukan tindakan proaktif seperti :

1. Menginstal antivirus dan mengupdate secara otomatis.

2. Menginstal anti spyware dan mengupdate secara otomatis.

3. Melakukan update atas semua software secara disiplin dan teratur, baik Messenger, OS, Browser, Media Player maupun Mailclient.

4. Tidak sembarangan menerima dan menjalankan file yang dikirimkan kepada anda baik dari emial, Messenger, Peer to Peer maupun jaringan lokal.

Jika anda terinfeksi Fatso atau Sumom dan anda tidak dapat menjalankan regedit.exe, msconfig.exe, cmd.exe ataupun taskmgr.exe, maka cara yang paling mudah dan efektif untuk membasmi Fatso adalah dengan melakukan restart pada Safemode sehingga anda dapat membersihkan Fatso baik secara manual melalui regesit maupun menggunakan aplikasi antivirus anda.

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#435 From: "Vaksincom" <alfons@...>
Date: Wed Mar 16, 2005 9:28 pm
Subject: Serangan Malware Februari - Maret 2005 16 Maret 2005 vaksincom
Send Email

Serangan Malware Februari - Maret 2005 16 Maret 2005

Long Live spyware dan Messenger virus

Kalau Spyware dan Virus Indonesia mengikuti komunitas hacker Indonesia dan Malaysia yang saling menyerang, kelihatannya virus akan kalah. Karena baik secara kuantitas maupun kualitas jumlah insiden spyware sudah mulai meninggalkan insiden virus di bulan Februasi s/d Maret 2005. Total spyware yang tercatat paling sering muncul di Indonesia menurut pengamatan Vaksincom adalah 36 jenis dengan jumlah insiden 38.043. Sedangkan jumlah virus yang paling sering menyerang di Indonesia adalah 25 jenis dengan total insiden 25.914. Jika dibandingkan dengan insiden bulan Januari-Februari 2005 dimana Spyware hanya unggul 4 % maka terjadi peningkatan yang cukup signifikan dimana insiden spyware melewati virus sebanyak 18 %. (Gambar 1)

Gambar1, Insiden Spyware Februari-Maret 2005 melewati virus sebanyak 18 %

Hal yang menarik lainnya dari perbandingan statistik Spyware dengan Virus adalah adanya penyebaran insiden yang cukup merata pada seluruh jenis spyware dimana Top 10 spyware menguasai 74 % (28.273) dari seluruh insiden (38.043) dan 26 % (9.770) sisanya dikuasai oleh peringkat 11 s/d 36. Sebaliknya pada insiden virus, Top 10 menguasai 98 % (25.291) dari seluruh insiden virus (25.914) sedangkan sisanya peringkat 11 s/d 25 hanya menguasai 2 % (623) insiden virus. Malahan peringkat pertama [1]Gaobot-11.889 menguasai 45 % dari seluruh infeksi yang dilaporkan, bisa dibayangkan jika tidak ada Gaobot posisi virus akan makin terpuruk dibandingkan dengan spyware.

Jangan lupa juga dengan datanya virus MSN baru yang penyebarannya di Indonesia cukup tinggi (untuk ukuran virus Messenger). Jika anda mendadak menerima peringatan kiriman file seperti gambar 2 dibawah ini, jangan sekali-kali mengklik untuk menerima file yang dikirimkan.

Gambar 2, Virus yang menyebar melalui MSN Messenger

Spyware

Dari 38 spyware yang terdeteksi, tercatat 6 pendatang baru yang pada bulan sebelumnya sama sekali tidak tercatat. Yaitu [5]Dumador-2.383 [7]Mywebsearch-2.155, [17]Bispy-537, [20]Hotbar-316, [25]Dealhelper-233dan [29]Ipend-107. Sedangkan peringkat pertama yang bulan lalu diduduki oleh [14]Krepper-851 sekarang ditempati oleh [1]Newdotnet-5,631. [6]Dluca-2,374 yang pada bulan lalu menempati peringkat 2 pada bulan ini tergeser ke peringkat 6 dan posisinya digantikan oleh [2]Bargainbuddy-4,675. Diikuti oleh [3]Gator-3,543 dan [4]Agent-3,190.

Pendatang baru [5]Dumador-2,383 yang merupakan Trojan dan Backdoor perlu diwaspadai karena ia akan membuka port TCP 2283 dan 10000 dan berusaha mencuri data informasi penting dari komputer korbannya seperti rekening Paypal dan Webmoney.

Pendatang baru lain [7] MyWebSearch-2,155 merupakan spyware yang akan menambahkan toolbar baru pada Internet Explorer anda dengan nama MyWebSearch.

Khusus untuk peringkat spyware 1 - 3 Vaksincom memberikan sedikit ulasan dan cara removalnya.

[1]Newdotnet-5,631

Hati-hati dengan jawara bulan ini Newdotnet atau biasa ditulis New.net karena ia dapat menyebabkan crash pada komputer anda. Jika anda pernah / sering mendapatkan pesan error pada Internet Explorer sebagai berikut :

This program has performed an illegal operation and will be shut down. If the problem persists, contact the program vendor.
Rundll32 caused an invalid page fault in module Unknown at 0000
Cannot find Newdot~1.dll
Error Loading C:\Windows\newdot~3.dll. The system cannot find the file specified.
Rundll32 has caused an error in newdotnet3_20.dll. Rundll will now close.

berarti komputer anda sudah terinfeksi spyware Newdotnet yang masuk ke komputer anda bersamaan dengan instalasi :

KaZaA

Go!Zilla

Babylon

Cydoor

Gdivx

WebShots

Karena itulah Vaksincom menyarankan kepada para pengguna komputer untuk berhati-hati jika menggunakan freeware.

Cara untuk membersihkan Newdotnet adalah dengan menguninstal program dengan nama [New.Net] pada [Add/Remove Programs] dari [Control Panel] windows. Jika program tersebut tidak anda temukan dalam [Add/Remove Programs] berarti pekerjaan anda lebih berat lagi dan kami sarankan untuk menggunakan Norman Adware yang merupakan rebranding dari Anti Adware Lavasoft untuk membersihkan Newdotnet dari komputer anda.

[2]Bargainbuddy-4,675

[2]Bargainbuddy-4,675 yang dikenal juga sebagai Cashback akan menampilkan jendela baru (popups) dan mengandung BHO (Browser Hijacker Object) yang akan mengambil alih browser anda untuk menampilkan web Navisearch menggantikan pesan 404 error. Untuk membersihkan Bargainbuddy, anda harus membuang program Bullseye Network, Cashback by Bargain Buddy dan Navisearch dari [Add/Remove Programs]. Setelah itu gunakan Norman Adware untuk membersihkan semua jejak registri dan file spyware yang ditinggalkan oleh Bargain Buddy.

[3]Gator-3,543

[3] Gator-3,543 yang sekarang berubah namanya menjadi Claria www.claria.com adalah program bantu seperti Ewallet, Date Manager, Weather Scope dan PrecisionTime yang pada banyak komputer menimbulkan masalah seperti :

Menampilkan iklan

Mengganggu kerja anda

Instal software tanpa sepengetahuan anda

Mengumpulkan informasi di komptuer anda

Melambatkan komputer anda

Untuk menghapus Gator, uninstal Gator dari [Add/Remove Programs] dan jangan lupa gunakan Norman Adware dengan kemampuan Adwatch untuk menscan semua registri dan harddisk dari spyware dan Adwatch yang memiliki kemampuan mendeteksi semua kegiatan spyware baru yang ingin masuk ke komputer anda.

Untuk informasi lebih lengkap mengenai Top 10 Spyware di Indonesia adalah sebagai berikut :

No	Nama	Jlh	%
1	Newdotnet	5,631	14.80%
2	BargainBuddy	4,675	12.29%
3	Gator	3,543	9.31%
4	Agent	3,190	8.39%
5	Dumador	2,383	6.26%
6	Dluca	2,374	6.24%
7	Mywebsearch	2,155	5.66%
8	Wintool	1,492	3.92%
9	Dloader	1,476	3.88%
10	Istbar	1,354	3.56%
	Lainnya	9,770	25.68%
	Total	38,043	100 %

Catatan : Yang ditebalkan adalah pendatang baru

Virus

Seperti yang kami utarakan di atas, [1]Gaobot-11,889 menyelamatkan muka virus agar tidak terlalu terpuruk dibandingkan spyware. Bayangkan, jika tidak ada Gaobot, maka infeksi virus akan kehilangan 45 % (hampir setengah) dari insidennya. Selain Gaobot, yang perlu diperhatikan adalah pendatang baru pada tangga virus (bukan virus baru) seperti [5]Pinfi-2,177, [11]JPEG Exploit-131, [13]JS Exploit-75 dan [14]P2PWorm-52.

No	Virus	Jumlah	%
1	Gaobot	11,889	45.88%
2	Redlof	3,764	14.52%
3	Netsky	3,227	12.45%
4	Bagle	2,463	9.50%
5	Pinfi	2,177	8.40%
6	Funlove	859	3.31%
7	Korgo	406	1.57%
8	CIH	227	0.88%
9	WYX	142	0.55%
10	Pesin	137	0.53%
	Lainnya	351	0.85%
Total	41,292	100.00%

Catatan : Yang ditebalkan adalah pendatang baru

Kebiasaan patching

Hal yang menarik dari pendatang baru adalah munculnya JPEG Exploit dan JS Exploit. Kedua malware ini meskipun tidak cukup "sakti" untuk masuk ke peringkat 10 besar tetapi masuk dalam kategori berbahaya dan "satu-satunya" obat untuk terhindar dari kedua exploit ini adalah melakukan patch atas kedua exploit di atas. Exploit adalah celah keamanan yang muncul karena ketidak sempurnaan / kesalahan dalam pemrograman software sehingga memungkinkan terjadinya eksploitasi atas celah keamanan tersebut (dengan mengirimkan kode tertentu) yang dapat berakibat pada pengambilalihan komputer, perusakan data ataupun hal lainnya yang sangat merugikan pengguna komputer. Untuk menghindari eksploitasi ini, anda harus menginstal patch yang dapat di download secara gratis dari vendor pembuat software. Bila anda pengguna Windows XP SP2 dan Windows Server 2003 kami sarankan untuk mengaktifkan automatic update sehingga komputer anda secara otomatis akan melakukan update setiap kali muncul celah keamanan yang membutuhkan patch baru.

Sebagai catatan, vulnerability atau celah keamanan adalah hal yang wajar dan "tidak ada" software buatan manusia yang bebas dari celah keamanan. Setiap hari ditemukan puluhan celah keamanan baru dari semua software maupun hardware (yang dikendalikan software) dan jika anda ingin mengetahui lebih jauh mengenai hal ini silahkan kunjungi www.securityfocus.com.

Jawara lama Zafi terlempar dari tangga Top 10 dan tersisa hanya [3]Netsky-3,227 dan [4]Bagle-2,463 pada peringkat 3 dan 4. Sedangkan veteran [2]Redlof-3,764 menyodok ke peringkat dua mengusur Bagle. Posisi Klez yang mengikuti jejak Zafi digantikan oleh pendatang baru [5]Pinfi-2,177 pada peringkat lima diikuti oleh veteran lain yang (seperti residivis) langganan keluar masuk Top 10 [6]Funlove-859 pada peringkat ke enam. Setelah itu peringkat 7 - 9 dihuni oleh [7]Korgo-406, [8]CIH-227, [9]WYX-142. Pada peringkat 10 terdapat penyelamat muka Indonesia [10]Pesin-137.

Perang Deface

Melihat perkembangan terakhir dimana hacker Indonesia dengan hacker Malaysia saling menyerang dengan mendeface website negara yang "dianggap" musuhnya, Vaksincom menyarankan bagi anda pengelola website (administrator) untuk publik khususnya website pemerintah *.*.go.id maupun website untuk kepentingan umum seperti PLN, Telkom, ISP dan lainnya untuk mengambil pelajaran dari hal yang terjadi dimana admin harus selalu waspada tidak hanya dari deface tetapi juga ancaman perusakan dan pencurian data. Jika website di deface anda tidak saja kehilangan muka, tetapi pada situasi bisnis tertentu anda bisa kehilangan bisnis karena hal ini mencerminkan kebijakan pengelolaan sekuriti yang tidak baik. Salah satu cara untuk mengamankan diri anda adalah menggunakan sekuriti appliances seperti ISA Server 2004 yang multifungsi firewall, proxy, antivirus, antispam dan antihack dalam satu alat.

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#436 From: "Vaksincom" <alfons@...>
Date: Tue Apr 12, 2005 1:03 pm
Subject: Serangan Malware Maret- April 2005 12 April 2005 vaksincom
Send Email

Serangan Malware Maret- April 2005 12 April 2005

Penyebaran kekayaan yang tidak merata

Jika anda mengikuti perkembangan orang terkaya di dunia versi Forbes http://www.forbes.com/static/bill2005/rank.html?partner=rediff (dimana orang terkaya di dunia masih dari dunia IT, Bill Gates) lalu melihat perkembangan penyebaran malware di Indonesia bulan Maret - April 2005, ada beberapa kesamaan yang menggelitik penyebaran Spyware Maret-April 2005 mengingatkan pada penyebaran pendapatan yang (relatif) merata di negara maju, sedangkan penyebaran penyebaran Virus Maret - April 2005 mengingatkan pada penyebaran pendapatan yang jomplang dan kerap ditemui di negara berkembang. Apa yang dimaksudkan dengan penyebaran yang merata dan jomplang ? Silahkan lihat dan analisa virus Top 10 dan Spyware Top 30 untuk mendapatkan gambaran yang sebenarnya.

Virus kembali memimpin penyebaran malware Indonesia untuk Maret - April 2005

Setelah sempat di salib oleh Spyware, dan pada bulan Maret- April 2005 ada 50 spyware aktif menginfeksi seluruh komputer di Indonesia, cukup dua virus Netsky dan Gaobot mengembalikan kembali jawara malware Indonesia kembali kepada virus yang mengalahkan Spyware tipis 52 % : 48 %. Jika kita amati, peran Netsky dan Gaobot sangat signifikan dimana persentase insiden Netsky [43 %] dan Gaobot [28 %] adalah 71 % dari seluruh insiden virus yang terdeteksi oleh Vaksincom di seluruh Indonesia. Jadi tanpa Netsky atau Gaobot dapat dipastikan yang menjadi jawara maware adalah Spyware. Bandingkan dengan insiden Spyware yang tercatat di Indonesia dimana peringkat pertama Newdotnet [31 %] dan kedua Hotbar [13 %] hanya mewakili 44 % dari seluruh insiden Spyware atau kurang dari 50 %, tanpa Newdotnet atau Hotbar sekalipun tingkat infeksi Spyware tetap tinggi karena penyebaran insiden per Spyware yang cukup merata dimana ada 31 Spyware unik yang terdeteksi memiliki lebih dari 100 insiden, bandingkan dengan virus yang hanya memiliki 10 virus unik yang insidennya lebih dari 100 insiden.

Insiden virus, Netsky dan Gaobot mendominasi

Untuk memenangkan pertempuran kali ini, Netsky dan Gaobot bahu membahu memberikan kontribusi yang signifikan pada insiden virus dimana insiden Netsky yang terdeteksi oleh Vakisncom adalah 18.480 insiden[43.43 %], sedangkan Gaobot terdeteksi 11.851 insiden [27.85 %], berbeda jauh dengan peringkat tiga Redlof sebanyak 4.162 insiden [9.78 %]. Pendatang baru yang perlu diperhatikan adalah virus Macro Marker 2.637 [6.2 %] yang menginfeksi file-file MS Office dan mengingatkan kami pada masa-masa awal fasilitas Macro diluncurkan dimana para pengamat mengkhawatirkan munculnya virus Macro yang langsung ditepis dengan mengatakan bahwa Macro dapat di nonaktifkan oleh pengguna sehingga penyebaran virus Macro akan dapat dihindari. Fakta dilapangan menunjukkan bahwa instalasi yang secara default mengaktifkan Macro memicu perkembangan virus Macro (disamping mudahnya membuat virus Macro) dan pada hari ini virus Macro dan variannya merupakan virus "terbanyak" menyamai / melampaui virus binary yang sudah menyebar lebih lama. Belajar dari hal ini dimana ada pepatah "Sejarah Selalu Terulang" maka Vaksincom menyarankan para pengguna komputer untuk tidak terlena dan menganggap bahwa ada OS (Operating System) yang digembar gemborkan kebal dari virus, karena pada prinsipnya software adalah buatan manusia dan apapun yang dibuat manusia "tidak ada yang sempurna".

Peringkat ke 5 s/d 10 ditempati oleh virus lama dan beberapa catatan yang menarik adalah tergusurnya Bagle [820, 1.93 %] ke peringkat 7 dibawah Funlove [1.329, 3.12 %] dan Pinfi [2.254, 5.30]. Setelah itu virus lokal Pesin bertengger id peringkat 8 [238, 0.56 %] dan informasi terakhir yang kami dapatkan sedang beredar varian Pesin / Myheart yang baru dimana komputer yang terinfeksi akan menampilkan wallpaper dengan teks lagu "Kangen" yang dinyanyikan oleh Group Dewa dan berusaha untuk menyebarkan dirinya dengan mengkopikan diri ke USB Drive dan sekaligus memblok akses ke "Task Manager" guna menghindarkan prosesnya dihentikan secara manual.

Pada peringkat 9 tercatat virus WYX [223, 0.52 %] disusul oleh Mitglieder pada peringkat 10 [149, 0.35%]. Peringkat ke 11, Laroux yang merupakan virus MAcro sudah memiliki tingkat insiden yang tidak signifikan dimana tercatat hanya 97 insiden.

No.	Virus	Jumlah	%
1	Netsky	18,480	43.43%
2	Gaobot	11,851	27.85%
3	Redlof	4,162	9.78%
4	Marker	2,637	6.20%
5	Pinfi	2,254	5.30%
6	Funlove	1,329	3.12%
7	Bagle	820	1.93%
8	Pesin	238	0.56%
9	Wyx	223	0.52%
10	Mitglieder	149	0.35%
11	Laroux	97	0.23%
	Lainnya	409	0.96%
	Total	42,552	0.23%

Insiden Spyware, penyebaran "kekayaan" lebih merata :)

Berbeda dengan penyebaran virus dimana hanya 10 virus yang memiliki insiden > 100, pada Spyware tercatat ada 31 Spyware yang memiliki insiden > 100, dipimpin oleh Newdotnet [11.962, 30.94%] dan pendatang baru Hotbar [5.027, 13 %] diikuti oleh Gator [1.758, 4.55], Startpage [1.740, 4.5 %], Agent [1.606, 4.15 %], Wintool [1.491, 3.86%], Krepper [1.386, 3.58%], Dyfuca [1.265, 3.27 %], Dumador [1.260, 3.26 %] dan isatbar [1.207, 3.12 %] terlihat bahwa ada 10 Spyware yang memiliki insiden > 1.000 insiden. Bandingkan dengan virus yang hanya memiliki 6 virus dengan insiden > 1.000 insiden. Ditambah dengan fakta bahwa ada 21 Spyware yang memiliki insiden > 100 insiden dapat idsimpulkan bahwa penyebaran "kekayaan" lebih merata di Spyware. Jika ditanyakan kepada anda, andaikan anda boleh memilih ingin tinggal di negara mana ? Di negara dengan penyebaran pendapatan yang tidak merata seperti penyebaran virus atau penyebarannya relatif lebih merata seperti Spyware ? Jawabannya ... terserah anda :).

No	Adware	Jumlah	%
1	Newdotnet	11,962	30.94%
2	Hotbar	5,027	13.00%
3	Gator	1,758	4.55%
4	Startpage	1,740	4.50%
5	Agent	1,606	4.15%
6	Wintool	1,491	3.86%
7	Krepper	1,386	3.58%
8	Dyfuca	1,265	3.27%
9	Dumador	1,260	3.26%
10	Istbar	1,207	3.12%
11	Dloader	967	2.50%
12	Wintrim	912	2.36%
13	Twaintech	904	2.34%
14	Funweb	697	1.80%
15	Ezula	669	1.73%
16	Mywebsearch	642	1.66%
17	Bispy	612	1.58%
18	Wukill	495	1.28%
19	Dealhelper	467	1.21%
20	Smalldrp	436	1.13%
21	Winad	419	1.08%
22	Surfside	372	0.96%
23	Mabutu	280	0.72%
24	Swizzor	271	0.70%
25	Dialer	245	0.63%
26	Spybot	237	0.61%
27	Findspy	207	0.54%
28	Ncase	192	0.50%
29	Alchemic	189	0.49%
30	Savenow	140	0.36%
31	Elitebar	103	0.27%
	Lainnya	504	1.3 %
	Total		0.27%

Virus Bulletin Award

Pengetesan yang dilakukan oleh perkumpulan antivirus dunia Virus Bulletin pada bulan April 2005 adalah testing antivirus untuk Sistem Operasi Linux (Redhat Linux 9) dan hasilnya cukup banyak vendor yang berhasil mendapatkan Virus Bulletin Award sepeti Norman VIrus COntrol, Kaspersky, H-Bedv, Avira, Nod32 dan Mc Afee. Sedangkan vendor yang gagal mendapatkan VBA (Virus BUlletin Award April 2005) adalah Micorworld (E-Scan), Sophos dan Virusbuster. Sedangkan vendor yang tidak mengirimkan antivirusnya untuk di test baik karena tidak memiliki atau karena tidak mengirimkan adalah TrendMicro, Symantec, PandaSoftwre dan CA (Computer Associate).

Catatan yang menarik dari Virus Bulletin Award adalah pada saat ini hanya ada 3 (tiga) merek antivirus yang berhasil mendapatkan VBA (Virus Bulletin Award) selama 5 kali berturut-turut yaitu Norman Virus Control, Nod32 dan Kaspersky Antivirus.

Untuk informasi lebih detail mengenai Virus Bulletin Award silahkan lihat di http://www.virusbtn.com/vb100/archives/products.xml?table

Antimalware Gateway

Melihat tingginya ancaman malware, khususnya Spyware dan Virus di Indonesia dan perhatian vendor pada saat ini lebih banyak terfokus pada virus pada email dan kurangnya solusi untuk antispyware pada level Gateway, PT. Vaksincom dalam waktu dekat akan meluncurkan appliances Antimalware, dimana tidak hanya virus yang akan diblok pada gateway saja, tetapi Spyware akan diblok baik melalui browsing (http) maupun download file (ftp). Seperti kita ketahui, pada saat ini Spyware berhasil menjadi masalah yang akut karena penyebarannya sangat efektif melalui browsing dan beberapa Spyware mulai menyebarkan dirinya melalui file sharing.

Antimalware ini akan berjalan sangat efektif karena diproteksi oleh 3 (tiga) engine antivirus secara simultan (Norman, bitDefende dan Kaspersky).

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#437 From: "Vaksincom" <alfons@...>
Date: Thu Apr 14, 2005 4:04 am
Subject: Karir di Vaksin.com vaksincom
Send Email

Karir di Vaksin.com

PT. Vaksincom memberikan kesempatan kepada anda yang senang dengan tantangan dan senang bekerja keras untuk mengisi posisi-posisi dibawah ini :

Vaksinis (Customer Support Vaksincom) :

Umur maksimal 30 tahun
Mengerti Bahasa Inggris minimal pasif.
Disiplin.
Menguasai jaringan dan melakukan dapat melakukan analisa / troubleshooting masalah jaringan.
Familiar dengan internet.

Vaksinis akan bertugas melayani instalasi dan support antivirus dalam jaringan komputer pelanggan Vaksincom di Jabodetabek dan seluruh Indonesia.

Marketing :

Umur maksimal 30 tahun
Mengerti Bahasa Inggris minimal pasif.
Disiplin.
Familiar dengan internet dan menyukai IT.
Berpengalaman sebagai marketing.

Marketing akan bertugas memfollow up lead, maintain pelanggan lama dan eksplorasi pelanggan baru.

Staff Accounting :

Diutamakan wanita.
Berpengalaman pada bagian accounting / pembukuan perusahaan minimal 1 tahun.
Berpengalaman dan mengerti pajak.
Menguasai Microsoft Office (MS Excel, MS Word) dengan baik.
Mampu berorganisasi dan bekerja dalam tim.
Detail Oriented.

Kirimkan Surat Lamaran anda ke hrd@... paling lambat tanggal 30 April 2005 dengan dilampiri :

Foto
KTP
Ijazah terakhir
Curriculum vitae

atau ke :

PT. Vaksincom

Tanah Abang III / 19 E

Jakarta 10160

UP : HRD

Reply | Messages in this Topic (1)

#438 From: "Vaksincom" <alfons@...>
Date: Tue Apr 19, 2005 11:59 am
Subject: Resiko Tinggi W32/Kang.A 19 April 2005 Virus yang membuat komputer Indonesia Kangen vaksincom
Send Email

W32/Kang.A 19 April 2005

Virus yang membuat komputer Indonesia Kangen

Kalau anda bertanya, kira-kira lagu apa yang paling sering muncul dibenak pengguna komputer Indonesia pada bulan April 2005, kami yakinkan anda bahwa bukan lagu Christian Bautista "mellow" (The Way You Look at Me) melainkan lagu dari negeri sendiri milik Dewa yang dinyanyikan kembali oleh Chrisye dan Sophie, Kangen. Lagu Kangen "sangat" populer dan di sebut berkali-kali oleh pengguna komputer Indonesia karena ada virus baru mirip MyHeart / Pesin yang sekali menginfeksi komputer korbannya akan menampilkan refrain teks lagu Kangen, memblok akses ke Task Manager, MSConfig dan Regedit. (lihat gambar 1)

Gambar 1, Refrain lagu Kangen muncul saat komputer terinfeksi virus Kangen

Rekayasa sosial canggih

Seperti kita ketahui, salah satu syarat virus dapat menyebar dengan cepat selain dari ukurannya kecil dan menarik adalah rekayasa sosial (social engineering) yang tepat. Bahkan suatu virus yang tidak perlu canggih tetapi memanfaatkan rekayasa sosial yang tepat seperti Pesin / MyHeart dapat menyebar dengan sangat meluas dan merata di seluruh Indonesia. Vaksincom juga mendapatkan laporan infeksi MyHeart dari netter di Vietnam.

Rekayasa sosial apa yang terkandung dalam virus Kangen ini ?

Tidak menyebarkan diri melalui email melainkan disket / USB Drive / file sharing.
Kalau virus lain seperti Sober.N yang sedang mengganas di mancanegara (18 April 2005) memanfaatkan salah satu agen penyebaran utamanya email maka Kangen tidak menyebarkan dirinya melalui email melainkan melalui penyebaran disket, copy file antar USB drive dan melalui sharing jaringan. Hal ini patut diacungi jempol karena menurut pengamatan Vaksincom rupanya tingkat penggunaan disket (FDD 3,5 ") di Indonesia masih sangat tinggi dan sangat populer dan bagi sebagian besar masyarakat seperti mahasiswa, pegawai pemerintah dan swasta dijadikan sebagai salah satu media penyimpanan dan pertukaran file utama, jadi kalau virus Kangen dibawa keluar negeri akan sulit menyebar seperti di Indonesia karena pemakaian disket di negara maju sudah sangat rendah (kalau tidak mau dikatakan mulai punah). Yang menjadi kemungkinan lain adalah penyebaran melalui USB Drive / Flashdisk dan jaringan. Karena pada saat ini belum ada program antivirus yang dapat mendeteksi virus W32/Kang.A (kecuali Norman Virus Control) maka dapat dipastikan virus Kangen akan mudah menyebar dan cukup meluas.

Memalsukan dirinya sebagai dokumen MSWord.
Rekayasa sosial yang simple namun tepat adalah memalsukan dirinya sebagai file dokumen MSWord. "Kabar baiknya", dokumen asli MS Word anda tidak dihapus dan pembuat virus ini "berbaik hati" hanya menyembunyikan file asli anda dengan memberikan atribut hidden pada file MS Word anda. Sebagai gantinya Kangen akan secara otomatis membuat satu kopi file dengan nama yang sama dengan file yang disembunyikan (hidden). "Kabar buruknya", jika anda atau rekan anda mengkopi dokumen MS Word tersebut dan membukanya di komputer lain, otomatis akan menjalankan virus Kangen untuk menginfeksi komputer baru.

Keterangan	File Asli	File bervirus
File disembunyikan (Hidden)	Ya	Tidak
Ukuran File	Variatif	64 kb
Type file	Microsoft Word Document	Application
Extensi File	.DOC	.EXE
Isi file	Asli	Sama dengan file asli

Memblok akses Task Manager, MSConfig dan Regedit
Pada Windows 9X, Kangen akan memblok akses Task Manager, MSConfig dan Regedit. Tetapi pada Windows XP yang kami test, pemblokiran hanya berhasil dilakukan pada Task Manager. Adapun tujuannya memblok Task Manager ini adalah karena Task Manager dapat digunakan untuk mengidentifikasi proses virus dan menghentikan secara manual (dengan menekan [Ctrl] [Alt] [Del]). Untuk membasmi Kangen, pada Windows 9X kami sarankan anda lakukan dari SafeMode dengan menghentikan file ccapps.exe dan pada Windows XP lakukan dari command prompt dengan menggunakan perintah Taskkill. (Gambar 2)

Gambar 2, taskkill.exe untuk membasmi proses Kangen yang memblok akses Task Menager

Terdeteksi oleh Norman Virus Control

Bagi anda pengguna Norman Virus Control, virus ini sudah terdeteksi sejak tanggal 14 April 2005 sebagai W32/Kang.A dan semua file yang mengandung virus Kangen akan langsung dibasmi oleh Norman. Untuk mencoba Norman Virus Control anda dapat melakukan download ke http://www.norman.com/download_nvc5.shtml dengan memasukkan alamat email anda pada layar registrasi untuk mendapatkan Serial Number Trial. Bagi anda pengguna komputer dengan Motherboard MSI secara otomatis akan mendapatkan CD Norman Virus Control yang berhak untuk mendapatkan update definisi secara Gratis selama 3 bulan.

Pembasmian Manual

Untuk informasi lebih jauh dan pembasmian manual serta detail registri Kangen akan segera kami berikan. Jika anda ingin mengetahui informasi lebih jauh, silahkan mengirimkan email ke info@.... Bagi para pelanggan Vaksincom yang menggunakan Norman Virus Control update terakhir secara otomatis sudah terlindung dari virus ini.

salam,

Adang Juhar Taufik (AJT)

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#439 From: "Vaksincom" <alfons@...>
Date: Fri Apr 29, 2005 1:51 pm
Subject: Virus Bulletin Award April 2005 29 April 2005 vaksincom
Send Email

Virus Bulletin Award April 2005 29 April 2005

Linux melindungi Windows ??

http://www.virusbtn.com/vb100/archives/products.xml?table

Virus Bulletin, organisasi independen yang sejak tahun 1989 menerbitkan publikasi tentang antivirus pada bulan April 2005 ini kembali melakukan pengetesan pada program antivirus terpilih. Jika pada bulan November 2004 Virus Bulletin melakukan pengetesan pada platform Windows Server 2003 dan pada Februari 2005 pengetesan dilakukan pada platform Windows NT, maka pengetesan pada April 2005 dilakukan pada platform Linux Server dengan menggunakan Redhat Linux 9.

Mengapa Linux ?

Tentu anda akan bertanya-tanya, untuk apa test antivirus di Linux ? Memangnya ancaman virus pada platform Linux sudah berbahaya / signifikan ? Jawabnya belum, tetapi bukan disana letak permasalahannya. Seperti kita ketahui, platform Linux hanya memiliki sedikit virus dan ancaman virus pada platform Linux (saat ini) belum signifikan / berbahaya. Tetapi pengetesan ini sangat penting artinya karena ternyata server internet (webserver dan mailserver) di dunia ini mayoritas menggunakan platform Linux dan MTA (Mail Transfer Agent) Linux seperti Qmail, Sendmail dan Postfix banyak digunakan sebagai mailserver korporat / ISP dan notabene client yang dilayani oleh mailserver / webserver ini mayoritas menggunakan platform windows. Jadi jika mailserver / webserver Linux tidak dipasang antivirus, server tersebut sendiri tidak terlalu terancam oleh virus karena memang tingkat ancaman virusnya rendah tetapi yang menjadi masalah adalah semua virus windows akan dilewatkan dan diterima oleh client yang (seperti kita ketahui) mayoritas menggunakan platform windows yang tingkat ancaman virusnya cukup tinggi sehingga jika client windows ini terinfeksi virus yang dilewatkan oleh mailserver / webserver tentunya yang repot adalah ISP / administrator server juga, karena komputer yang terinfeksi virus akan berusaha untuk menyebarkan dirinya baik melalui jaringan ataupun membombardir email melalui mailserver yang terkadang dapat menghabiskan > 90 % dari bandwidth yang ada. Belum lagi jika mailserver yang dikirimi email bervirus memiliki fitur "auto reply" dan diaktifkan oleh administratornya yang secara otomatis "berbaik hati" (untuk tidak mengatakan bodoh) akan mengirimkan satu email peringatan atas setiap email masuk yang mengandung virus dan langsung ditujukan kepada alamat pengirim email yang diambil dari alamat pengirim email (from) yang diciptakan oleh virus, padahal seperti kita ketahui alamat email pengirim virus mayoritas > 99 % dipalsukan / diambil secara acak oleh virus dengan teknik forging, jadi hampir tidak ada yang valid. Jika satu komputer yang terinfeksi virus mengirimkan ribuan email forging ke mailserver dan secara otomatis mailserver penerima mengirimkan peringatan virus untuk ribuan email yang masuk ke alamat pengirim (from) yang dipalsukan oleh virus, berapa pemborosan bandwidth tidak perlu yang terjadi ? (selain itu alamat email yang dipalsukan dan menerima peringatan tersebut malah akan jadi bingung karena dituduh mengirimkan virus).

Karena itu Vaksincom tidak menyarankan administrator mailserver untuk mengaktifkan automatic reply pada mailserver jika menerima virus dan sebaiknya dimatikan saja daripada memboroskan bandwidth dam membuat bingung orang lain. Untuk mengetahui pengirim virus harus dilakukan dengan melihat header dari email yang bervirus, dimana setelah kita ketahui IP mailserver pengirim virus (yang tidak bisa dipalsukan) kita dapat menghubungi administrator mailserver yang bersangkutan (dengan menggunakan fasilitas whois) guna dilakukan tindakan yang tepat pada komputer yang mengirimkan virus dan jangan lupa menyertakan copy dari header email bervirus sebagai bukti.

Dari 37 vendor antivirus yang menjadi anggota Virus Bulletin dan diberikan kesempatan untuk menerima tantangan untuk mengirimkan program antivirusnya guna mendapatkan 100 % Virus Bulletin Award, tercatat hanya 17 (tujuh belas) vendor yang (berani) berpartisipasi dalam pengetesan ini (mengalami peningkatan dari tahun lalu yang hanya 14 vendor). 20 (dua puluh) vendor tidak mengirimkan aplikasi antivirusnya baik karena tidak / belum memiliki aplikasi antivirus Linux atau sudah memiliki aplikasi antivirus Linux tetapi belum siap untuk mengikuti tantangan dari Virus Bulletin Award karena ketatnya kriteria penilaian dari Virus Bulletin Award ini. Adapun pengetesan yang dilakukan oleh Virus Bulletin ini cukup berat namun independen dan dapat dilihat pada http://www.virusbtn.com/vb100/about/100procedure.xml. Beberapa vendor antivirus yang memiliki perwakilan di Indonesia tetapi tidak berpartisipasi dalam pengetesan ini antara lain adalah :

Computer Associates www.ca.com
Fortinet www.fortinet.com
Panda Software www.pandasoftware.com
Symantec Antivirus www.symantec.com

Dari ke 17 vendor yang mengirimkan aplikasi antivirus Linuxnya guna menghadapi daftar virus terbaru yang didapatkan dari Wildlist www.wildlist.org (organisasi nirlaba yang mengumpulkan daftar virus diseluruh dunia menjadi patokan para vendor antivirus untuk menentukan daftar virus yang sedang mengganas pada saat ini In The Wild (ITW) dan virus lama yang sudah tidak mengganas In The Zoo (ITZ) tercatat 3 vendor yang gagal mendapatkan Virus Bulletin Award (Fail) karena tidak mampu mendeteksi "semua" sample virus ITW yang disyaratkan. Adapun 3 vendor antivirus yang gagal tersebut adalah :

Microworld (eScan) www.mwti.net (vendor antivirus yang berpusat di India)
Sophos www.sophos.com
Virusbuster www.virusbuster.hu

dan sisanya 14 vendor berhasil memperoleh 100 % Virus Bulletin Award April 2005. Beberapa vendor yang cukup terkenal dan berhasil mendapatkan Virus Bulletin Award untuk April 2005 untuk platform Linux adalah :

Avira www.avira.com (menggunakan engine Hbedv / Antivir www.antivir.com)
Eset (NOD 32) www.nod32.com
Grisoft www.grisoft.com AVG Antivirus
H+bedv (Antivir) www.antivir.com
Kaspersky www.kaspersky.com
McAfee Inc. www.mcafee.com
Norman www.norman.com
Trendmicro www.trendmicro.com

Catatan tambahan

Dari ke 14 vendor yang berhasil mendapatkan Virus Bulletin Award April 2005, hanya 3 vendor yang secara konsisten berhasil mendapatkan seluruh Virus Bulletin Award (5 buah) selama periode Juni 2004 - April 2005 dimana pada :

Juni 2004 - Windows XP Pro
Agustus 2004 - Netware
November 2004 - Windows Server 2003
Februari 2005 - Windows NT
April 2005 - Linux Redhat

Adapun ke tiga vendor yang berhasil mendapatkan seluruh Virus Bulletin Award tersebut adalah Eset www.nod32.com, Kaspersky www.kaspersky.com dan Norman Virus Control www.norman.com.

Kesimpulan

Vendor yang berhasil melalui pengetesan ini berhak untuk menggunakan logo Virus Bulletin Award 2005 pada produknya dan secara tidak langsung merupakan pengakuan atas kemampuan vendor mendeteksi ancaman virus di dunia nyata (In The Wild). Jadi, jika anda ingin mengambil kesimpulan apakah ke 14 vendor yang mendapatkan Virus Bulletin Award ini merupakan produk yang terbaik ? Jawabnya mungkin ya, mungkin tidak.

Mengapa ?

Karena pengetesan dilakukan berdasarkan data Wildlist pada satu saat saja, jika dimasa depan jumlah virus bertambah dan vendor lengah untuk selalu melengkapi definisi virusnya dengan data terbaru bisa dipastikan vendor tersebut akan terlempar dari group elit Virus Bulletin Award ini. Dan seperti kita ketahui, industri antivirus ini sifatnya jangka panjang atau diibaratkan seperti lari marathon dan bukan lari jarak pendek yang sekali dijalankan sudah diketahui juaranya. Karena itu, prestasi jangka panjang merupakan hal yang krusial dalam menentukan antivirus mana yang terbaik dan andaikan anda ingin mengakusisi satu perusahaan baru tentunya anda tidak melihat pada neraca akhir tahunnya saja, tetapi juga pada rugi labanya juga, kalau perlu lihat neraca dan rugi labanya selama beberapa tahun terakhir :).

Atau jika anda ingin membeli mobil apakah anda akan memilih Car of The Year atau tidak ? Jawabannya ... terserah anda.

Selamat Weekend.

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

PT. Vaksincom

Tanah Abang III / 19E

Telp : 021-345 6850 Fax : 021-345 6851

Reply | Messages in this Topic (1)

#440 From: "Vaksincom" <alfons@...>
Date: Tue May 3, 2005 11:44 am
Subject: W32/Sober.O@mm 3 Mei 2005 Peringatan bagi yang senang undian vaksincom
Send Email

W32/Sober.O@mm 3 Mei 2005

Peringatan bagi yang senang undian

Kalau kita sering mendengar penipuan melalui SMS dimana penerima SMS dikelabui bahwa mereka telah memenangkan hadiah sejumlah uang dan sebelum menerima hadiahnya ia diminta untuk mengirimkan sejumlah uang dahulu ke rekening dan banyak memakan korban, juga penipuan SCAM mail dan LOTTERY scam dimana penerima email dikelabui bahwa ia telah memenangkan lotere dalam jumlah yang sangat besar (yang kalau benar akan membuat kita susah tidur membayangkan bagaimana membelanjakan uang sebanyak itu) dan klasiknya kita diminta untuk mentransferkan sejumlah dana untuk mengurus lotere tersebut, akhir ceritanya kita sudah tahu :(. Saat ini muncul satu worm baru W32/Sober.O@mm yang memanfaatkan gaung Piala Dunia 2006 dimana ia akan mengirimkan email seakan-akan anda telah memenangkan tiket untuk menonton Piala Dunia 2006 di Jerman yang hebatnya dapat tampil dalam dua bahasa sesuai dengan domain dari email yang ditujunya. Kalau penipuan SMS anda dikelabui untuk mentransferkan sejumlah uang, Sober.O juga sama anda dikelabui untuk menjalankan lampiran email.

Datang dalam Bahasa Jerman dan Inggris

Sober.O yang dibuat menggunakan Visual Basic dengan ukuran 52 kilobyte ini disinyalir ditulis oleh programmer dengan Bahasa ibu Jerman dan kemungkinan besar memang berasal dari Jerman. Salah satu kehebatan Sober.O adalah ia akan melakukan scanning atas 74 (tujuh puluh empat) ekstensi file untuk mengumpulkan alamat email dan mengirimkan email yang mengandung dirinya ke alamat email yang ditemukannya dengan alamat pengirim (seperti biasanya) dipalsukan. Kemudian khusus untuk alamat email dengan domain yang mengerti Bahasa Jerman seperti :

.gmx.* (*.gmx.de, *.gmx.net, *.gmx.ch)
.at (Austria)
.ch (Switzerland)
.de (Jerman)
.li (Liechtenstein)

akan mendapatkan email bervirus dalam Bahasa Jerman. Diluar domain tersebut akan mendapatkan kiriman email dalam Bahasa Inggris. Adapun detail email yang datang adalah sebagai berikut :

From : (dipalsukan)

Subject : (salah satu dari dibawah ini)

Re: Your Password
Re: Registration Confirmation
Re: Your email was blocked
Re: mailing error
FwD: Ihr Passwort
FwD: Ihre E-Mail wurde verweigert
FwD: Ich bin's, was zum lachen ;)
FwD: Glueckwunsch: Ihr WM Ticket
FwD: WM Ticket Verlosung
FwD: WM-Ticket-Auslosung

Body / Isi Email : (salah satu dari dibawah ini) :

ok ok ok,,,,, here is it

Account and Password Information are attached!
Visit: http://www.domain acak

This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
Attachment-Scanner: Status OK,AntiVirus:
No Virus found,Server- AntiVirus: No Virus (Clean)

Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.

*-* http://www.domain acak
*-* MailTo: PasswordHelp@

**** AntiVirus: Kein Virus gefunden
**** "GMX" AntiVirus Service
**** WebSite: http://www.gmx.de

*** AntiVirus: No Virus found
*** "HBEDV" Anti-Virus
*** http://www.hbedv.com

Attachment / Lampiran (salah satu dari dibawah ini) :

mail_info.zip
our_secret.zip
Fifa_Info-Text.zip
okTicket-info.zip
free_PassWort-Info.zip
Winzipped-Text_Data.txt.exe
Winzipped-Text_Data.txt.pif

Catatan : Lampiran .zip yang datang akan megandung file bervirus yang namanya telah direkayasa dengan spasi banyak sehingga jika dimekarkan (unzip) maka file eksekutable yang sebenarnya berekstensi .exe dan .pif akan terlihat seakan-akan file teks dengan ekstensi .txt.

Memalsukan proses windows

Jika berhasil mengelabui penerima email, Sober.O akan menampilkan pesan error palsu (Error : CRC not complete) seakan-akan file .zip yang dijalankan korup. Padahal pada saat itu, Sober.O sedang menjalankan aksinya menginfeksi komputer. Sober.O akan memalsukan diri sebagai proses windows yang legal seperti :

csrss.exe (client/server runtime server sub system)
smss.exe (session manager sub system)
services.exe

Kami ingatkan anda untuk tidak langsung menuduh sistem komputer anda terinfeksi virus jika melihat salah satu / lebih dari ketiga proses di atas ini, tetapi anda perlu konfirmasi lebih lanjut seperti mengecek registri dan sebaiknya scan dengan program antivirus yang terupdate untuk memastikan karena bisa saja file ini memang file asli proses windows yang jika dimatikan akan berakibat kacaunya sistem windows komputer anda.

Salah satu ciri untuk mengkonfirmasikan aksi Sober.O adalah ia akan mencoba mengakses NTP port 37 atau mengakses beberapa website umum seperti microsoft.com, hotmail.com, yahoo.com dan google.com untuk memastikan bahwa komputer yang bersangkutan memiliki hubungan ke internet. NTP adalah Network Time Protocol yang banyak digunakan untuk sinkronisasi waktu komputer lokal dengan waktu internet (seperti GMT).

Setelah mengetahui bahwa komputer yang di infeksinya memiliki hubungan ke internet, maka Sober.O akan mulai mengirimkan kopi dirinya dari daftar email yang sebelumnya dikumpulkan dari komputer lokal dari 74 (wow) jenis ekstensi file menggunakan smtp servernya sendiri.

Menghapus Antivirus

Sober.O juga dikonfirmasi menghapus proses update dari program Antivirus Symantec dengan menghapus file eksekutable pada direktori Liveupdate Symantec dan menggantikan file luall.exe pada direktori c:\Program Files\Symantec\Liveupdate\luall.exe dengan kopi dari dirinya. Aksi ini melumpuhkan kemampuan program antivirus Norton sehingga tidak dapat melakukan update dan tidak dapat mengenali virus ini.

Jika anda terinfeksi Sober.O, anda dapat melakukan langkah-langkah sebagai berikut :

Update definisi antivirus anda. Norman Virus Control dengan update tanggal 3 Mei 2005 akan mengenali Sober.O sebagai W32/Sober.O@mm.
Start komputer anda dalam safemode (untuk masuk ke safemode, sewaktu start awal komputer, tekan [F8]).
Scan komputer dengan antivirus dan matikan semua proses yang terdeteksi sebagai Sober.O. Norman Virus Control dengan teknologi Sandbox dapat membasmi Sober.O yang menginfeksi komputer anda dengan menggunakan metode "Deferred Delete" dimana proses virus yang sedang berjalan dan jika dihapus akan mengakibatkan crash pada sistem akan ditandai dan di hapus setelah restart ulang.
Bersihkan registri yang diciptakan oleh virus :

Buka Registry Editor :
[Start][Run] ketik [regedit] lalu tekan [enter]
Masuk ke alamat registri :

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
Lalu pada panel kanan hapus value
WinStart = c:\Windows\Connection Wizard\Status\services.exe

MAsuk lagi ke alamat registri :
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
Pada panel kanan hapus value
WinStart = c:\Windows\Connection Wizard\Status\services.exe

Tutup registri editor

Perhatian : Harap berhati-hati dalam mengutak-atik registri karena kesalahan dalam mengubah registri akan menyebabkan OS anda tidak bisa berfungsi dengan baik / error.

Sudah sampai ke Indonesia

Menurut pemantauan Vaksincom, pada pukul 17.32 tanggal 3 Mei 2005, Sober.O sudah berhasil masuk ke Indonesia dan diperkirakan dalam waktu yang pendek akan menginfeksi ratusan komputer di Indonesia. (Lihat Gambar 1)

Gambar 1, W32/Sober.O@mm yang beursaha menyerang komputer dan berhasil dihentikan oleh Norman Internet Protection

Karena itu Vaksincom menyarankan anda yang senang memonton bola untuk tidak mudah percaya jika menerima email bahwa anda memenangkan tiket menonton bola di Jerman, lagipula kalau memang benar .... ke Jermannya naik apa ?

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

PT. Vaksincom

Tanah Abang III / 19E

Telp : 021-345 6850 Fax : 021-345 6851

Reply | Messages in this Topic (1)

#441 From: "Vaksincom" <alfons@...>
Date: Wed May 11, 2005 8:35 am
Subject: Virus Kangen yang membuat deg-degan pengguna MS Word (Artikel PC Plus April 2005) vaksincom
Send Email

W32/Kang.A 5 Mei 2005

Virus Kangen yang membuat deg-degan pengguna MS Word

(Artikel PC Plus April 2005)

Penyebaran virus dewasa ini semakin ganas, motif yang digunakanpun semakin beragam, mulai dari hanya sekedar ”pamer” , sampai dengan merusak dan mengambil data. Media penginfeksian pun semakin canggih mulai dari disket, LAN sampai internet. Ada satu hal yang pasti, penyebaran virus tersebut telah membawa dampak yang cukup besar (dan menyebalkan) bagi para pengguna komputer baik materiil maupun non materiil.

Maraknya penyebaran virus dan spyware, rupanya semakin memberikan semangat bagi para pembuat virus lokal untuk terus ”berkarya” hal ini terbukti dengan keluarnya virus lokal baru dengan nama resmi W32/Kang.A atau lebih dikenal dengan nama Kangen. Dinamakan Kangen karena setiap komptuer yang terinfeksi akan menampilkan refrain lagu Kangen (Dewa 19) pada file MS Word atau wallpaper. Norman Virus Control mendeteksi virus ini pada tanggal 14 April 2005 sebagai W32/Kang.A. (lihat gambar 1)

Gambar 1

Cara kerja virus Kangen mempunyai kemiripan dengan virus Pesin dengan beberapa perbedaan kecil. Sama seperti Pesin / MyHeart, Kangen menyebar melalui disket dan jaringan (File Sharing) dan akan membuat file yang mengandung virus mirip dengan dengan icon file dokumen MS. Word dengan ekstensi.EXE (contoh: Kangen.exe dengan ukuran 64kb). Dalam menyebarkan dirinya melalui jaringan (file sharing), Kangen tidak dapat berjalan secara otomatis melainkan memerlukan bantuan pihak ketiga untuk menjalankan file yang telah terinfeksi. Jika file ini dijalankan maka akan muncul dokumen MS. Word dengan teks Refrain lagu Kangen. (lihat gambar 2)

Gambar 2

Jika berhasil menginfeksi komputer, Kangen akan membuat 3 buah file pada direktori system dengan nama file :

CCAPPS.EXE (hidden file dengan icon MS.Word, ukuran file 64KB)
Winlog (hidden file)
Kangen.exe (icon MS.Word dengan ukuran file 2kb)

Kangen juga akan menambah 2 buah value pada registri dengan nama :

CCAPPS
LoadService

pada lokasi registri :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run

Disable Taks Manager, Msconfig dan Registry Editor

Secara cerdik Kangen akan menonaktifkan Task Manager, dengan tujuan agar user tidak dapat mematikan proses dari virus tersebut. Disamping itu Kangen juga akan menonaktifkan program Msconfig. Berbeda dengan virus Pesin, Kangen akan langsung mematikan proses Task Manager dan Msconfig jika user berusaha untuk menjalankan dengan tidak menampilkan layar program Task Manager dan Msconfig terlebih dahulu. Pada virus Pesin program Task Manager dan msconfig dapat dibuka tetapi tidak dapat diakses.

Virus Kangen juga akan memblok akses ke Registry Editor (regedit) dan Task Manager dengan menambahkan 2 string :

DisableRegistryTools

DisableTaskMgr

pada registry key dibawah ini dan :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Menurut pengetesan Vaksincom, pemblokiran akses pada Task Manager pada Windows XP (karena Win 9x/ME tidak memiliki Task Manager), sedangkan pemblokiran akses Registry Editor hanya berjalan pada windows 9x/Me dimana akan muncul pesan error jika berusaha untuk menjalankan program Registry editor pada Win 9x/ME (lihat Gambar 3)

Gambar 3

Untuk lebih detailnya perbedaan metode penyerangan yang dilakukan oleh virus Kangen antara windows 9x dan NT System (NT/2000/XP/Server 2003) adalah sebagai berikut :

Keterangan	9x / ME	NT/2000/XP/Server 2003
Disable Task Manager	Tidak ada	Ya
Disable Registry Editor	Ya	Tidak
Disable MSCONFIG	Tidak	Ya
Terminate Proses melalui Command (Taskkill)	Tidak bisa	Ya

Salah satu kehebatan dari virus Kangen adalah, kemampuannya dalam membuat file duplikat bervirus yang dibuat “sangat mirip” dengan file dokumen MS. Word, baik dari nama maupun icon yang mewakilinya. File asli tersebut akan di sembunyikan (hidden) sehingga user yang hendak mengakses file MS Wordnya tidak akan menyadari bahwa bahwa dokumen Wordnya yang asli telah disembunyikan oleh virus Kangen dan sebagai gantinya file yang mirip dengan dokumen yang sedang dia klik adalah file virus Kangen.

“Masih untung” pembuat virus Kangen ini tidak bermaksud jahat menghancurkan file dokumen MS Word yang dipalsukannya, file tersebut tetap ada pada lokasi direktori yang sama, tetpai statusnya dirubah sehingga menjadi hidden file.

File palsu bervirus Kangen ”selalu” mempunyai ukuran 64kb dengan icon dokumen MS. Word dan ekstensi.EXE serta mempunyai type sebagai file Application, sehingga jika user menjalankan file tersebut (file yang dibuat oleh virus), maka secara tidak langsung akan mengaktifkan virus Kangen. Hal ini merupakan trik yang cukup canggih dimana settingan default windows tidak memunculkan ekstensi file sehingga nama file “dokumen.doc” dengan “odkumen.exe” akan terlihat seakan-akan sama “dokumen” dengan icon dokumen MS Word. (Lihat Gambar 4)

(Gambar 4)

Keterangan

: File yang disembunyikan oleh virus (hidden), file ini adalah file asli dengan

ekstensi ..doc

: File yang dipalsukan oleh virus, file ini adalah file yang mengandung virus Kangen dengan ekstensi .exe

Dibawah ini kami lampirkan tabel perbandingan antara file asli dan file yang telah terinfeksi virus Kangen :

Keterangan	File Asli	File bervirus
File disembunyikan	Ya	Tidak
Ukuran File	Bervariasi	64 kb
Type file	Microsoft Word Docukent	Application
Ekstensi File	.doc	.exe
Isi file	Dokumen MS Word	Virus

Cara mengatasi virus W32/Kang.A

Windows NT/ 2000 / XP / Server 2003

Matikan proses ccApps.exe pada Task Manager

Anda juga dapat mematikan proses ccApps.exe melalui Windows Normal (tanpa melalui ”safe mode”), cara ini hanya bisa dilakukan pada Windows NT/2000/XP/Server 2003, caranya :

· Klik [Start] [Run]

· Ketik [cmd]

· Pada jendela command prompt, pastikan Anda telah berada pada direktori system windows dengan mengetik ”CD [spasi] C:\windows\system”

· Matikan proses ”ccApps.exe” dengan menggunakan perintah Taskkill dengan mengetikkan [taskkill /f /im ccApps.exe], dan tekan enter

Matikan option LoadService dan ccApps pada msconfig

· Klik Start

· Run, kemudian ketik [msconfig]

· pada layar [System configuration editor], klik tab [Startup] hilangkan option LoadService dan ccApps.exe (Lihat Gambar 5)

Gambar 5

· Klik [Apply] kemudian klik [OK]

Cari dan hapus file dibawah ini pada folder SYSTEM.

· ccApps.exe

· winlog

· Kangen.exe

Hapus registry key

· ccApps

· LoadService

Pada registry key

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run

Untuk mengembalikan dokumen MS.Word yang di sembunyikan lakukan cara berikut :

· Klik [Start] [Run]

· Ketik [cmd] untuk masuk ke command prompt.

· Pada layar command promprt, ketikan perintah “Attrib –s –h c:\*.doc /s” (tanpa tanda kutip)

Windows 9x dan ME

Lakukan pembersihan pada mode “safe mode”

Untuk Windows 9x/ME, lakukan pembersihan melalui ”safe mode” sedangkan untuk Windows NT/2000/XP/Server 2003, pembersihan dapat dilakukan pada mode Normal.

Matikan option LoadService dan ccApps pada msconfig

· Klik [Start] [Run], kemudian ketik [msconfig]

· pada layar [System configuration editor], klik tab [Startup] hilangkan centang pada opsi [LoadService] Rest In Peace dan [ccApps] C:\WINDOWS\SYSTEM\ccApps.exe.

· Klik [Apply] kemudian klik [OK]

Cari dan hapus file dibawah ini pada folder SYSTEM.

· ccApps.exe

· winlog

· Kangen.exe

Tulis script dibawah ini dengan menggunakan notepad untuk mengaktifkan kembali registry editor :

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000

kemudian simpan menjadi nama file repair.reg dan jalankan file tersebut untuk membuka bloking pada Registri Editor.

Untuk mengembalikan atribut file MS.Word yang sudah di hidden lakukan cara berikut

· Klik [Start] [Run] ketik COMMAND

· Pada layar command prompt, ketikan perintah “Attrib –s –h c:\*.doc /s” (tanpa tanda kutip)

Jika anda memerlukan proses pembersihan yang cepat, install program antivirus Norman Virus Control lakukan update (minimal tanggal 14 April 2005), kemudian scan komputer anda dan clean semua file yang terdeteksi sebagai W32/Kang.A.

salam,

Adang Juhar Taufik (AJT)

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#442 From: "Vaksincom" <alfons@...>
Date: Tue May 17, 2005 7:22 am
Subject: Seminar 25 Mei 2005, How ISA Server 2004 Protect and Optimize your Network vaksincom
Send Email

How ISA Server 2004 Protect and Optimize your Network

Vaksincom bekerjasama dengan Microsoft Indonesia akan mengadakan workshop 1 hari dengan informasi sebagai berikut :

Waktu

Rabu, 25 Mei 2005

09.00 s/d 15.00

Tempat

Auditorium Microsoft Indonesia

JSX Building lt. 18, Jend. Sudirman 52-53

Jakarta 12190

Presenter

Firly Untoro, ISA Specialist Vaksincom

Alfons Tanujaya, Antivirus Specialist Vaksincom

Materi

Administrasi dan Konfigurasi ISA Server 2004 :

Pengenalan ISA 2004 Interface

Simulasi Backup & Restore Configurations

Simulasi Export & Import Configurations

Simulasi penggunaan Default Network Template

Virus Blocking dengan ISA server 2004 :

Step by step memblok kiriman Netsky, Sasser dan Bagle ke jaringan

Advance Proxy dan Restriksi Akses per user

Memaksimalkan penggunaan proxy demi meningkatkan kecepatan browsing dan efisiensi bandwidth

Restriksi akses internet per user

VPN Connection dengan ISA

Simulasi VPN internal to external

Simulasi VPN external to ISA

Simulasi VPN external to internal

Simulasi Remote maintenance of ISA Server 2004

Statistik & Reporting log

Persyaratan Peserta

Mendapatkan Undangan ISA Server 2004 Workshop dari Microsoft Indonesia

Peserta : Corporate Client Microsoft Indonesia

Biaya : Gratis

Pendaftaran

Informasi lebih lengkap silahkan telepon MBICC 021-515 0882

atau

Email : microsoft_event@...

untuk mendapatkan undangan

PT. Vaksincom

Tanah Abang III / 19E

Telp : 021-345 6850 Fax : 021-345 6851

Reply | Messages in this Topic (1)

#443 From: "Vaksincom" <alfons@...>
Date: Wed May 18, 2005 9:46 am
Subject: Newdotnet 18 Mei 2005 Artikel PC Plus 224, 17-23 Mei 2005 vaksincom
Send Email

Newdotnet 18 Mei 2005

Artikel PC Plus 224, 17-23 Mei 2005

Rocker juga manusia, punya rasa punya hati, jangan samakan dengan pisau belati. Begitupula jangan samakan juga Newdotnet (www.newdotnet.com) dengan Dotnet (.net). Kalau .net merupakan produk unggulan dari perusahaan software Microsoft, sebaliknya Newdotnet adalah Spyware yang paling banyak menginfeksi komputer di Indonesia selama beberapa bulan terakhir ini (Top 10 Virus dan Spyware Vaksincom) dan sangat sulit dibasmi. Mungkin anda tidak sadar bahwa komputer anda sudah terinfeksi Newdotnet dan kami yakinkan anda jika anda adalah penggemar berat software gratisan / Freeware dan menginstalkan barang gratisan tersebut ke komputer anda, kemungkinan besar komputer anda sudah terinfeksi Newdotnet atau spyware lainnya.

Penjual Domain tipu-tipu

Sebenarnya Newdotnet merupakan perusahaan yang cukup besar dan dikelola dengan cukup profesional dengan salah satu bisnis utama menjual nama domain yang menarik. Tetapi jangan samakan NewDotNet dengan Network Solutions www.netsol.com atau www.joker.com yang menjual Top level domains di internet, Newdotnet memanfaatkan keawaman para pelanggannya yang "gaptek" dan tidak terlalu mengerti domain internet untuk mengeruk keuntungan dengan cara berbisnis yang “sedikit” menipu. Pasalnya begini, Newdotnet menawarkan nama domain yang menarik seperti .shop / .xxx / .club / .ltd / .inc / .travel / .tech / .sport / .family / .law / .med dan .mp3 seakan-akan sebagai Top level domain. Top level domain adalah domain utama yang akan kita dapatkan sewaktu membeli membeli nama domain seperti www.tabloidpcplus.com dan setiap pembelian top level domain sudah otomatis termasuk subdomain seperti www.jakarta.tabloidpcplus.com atau www.support.tabloidpcplus.com. Dalam kasus Newdotnet ini setiap pembeli domain dari Newdotnet ini dikelabui "seakan-akan" mendapatkan top level domain padahal dalam kenyataannya yang didapatkannya adalah subdomain. Sebagai contoh jika anda membeli www.artis.xxx dari NewDotNet dan ketika anda mengetik www.artis.xxx anda seakan-akan dibawa pada Top level domain www.artis.xxx, tetapi dalam kenyataannya sebenarnya anda masuk ke subdomain www.artis.xxx.new.net, trik yang digunakan oleh Newdotnet ini adalah memodifikasi Winsock LSP (Layer Service Provider) dengan menambahkan Top level domain sehingga sewaktu anda mengklik www.artis.xxx, komputer anda secara otomatis memforward permintaan tersebut ke www.artis.xxx.new.net dan "celakanya" jika NewDotNet ini dihapus tidak sesuai dengan prosedur yang benar akan menyebabkan komputer anda tidak mampu mengakses internet dan email lagi karena error pada Winsock LSP.

Memanfaatkan Freeware untuk menyebarkan dirinya.

Seperti pada umumnya Spyware yang lainnya, NewDotNet memanfaatkan Freeware untuk menyebarkan dirinya. Sebenarnya, jika anda mencermati EULA (End User License Agreement) pada saat instalasi Freeware anda akan mendapati bahwa banyak pasal yang terkandung didalamnya memperbolehkan Freeware menginstal Spyware (yang biasanya diklaim sebagai program bantu atau tidak berbahaya) ke dalam komputer anda sehingga pembuat Freeware secara legal berhak untuk menginstal program tambahan apapun di komputer anda, termasuk Spyware. Bersama ini kami juga lampirkan EULA Radlight, Media Player yang menginstalkan NewDotNet ke komputer anda bersama dengan instalasi dirinya (lihat gambar 1).

Gambar 1, EULA Radlight

Adapun Freeware yang dimanfaatkan oleh NewDotNet untuk menyebarkan dirinya dan sebaiknya anda hindari adalah Go!Zilla (Download Accelerator), BearShare (P2P Sharing), Mp3.Com (Musik Digital MP3), iMesh (P2P Sharing), Babylon (Penterjemah Bahasa), Webshots (Screensaver Indah), gDivx (Multimedia Player), BikiniDesk (Screensaver, Wallpaper), RadLight (Multimedia Player), RealOne Player (Audio & Video Player), UK Software (Software Fax, Webcam), Cydoor / LingoWare (Online Advertising Software), Grokster (P2P Sharing), KaZaA (P2P Sharing), AudioGalaxy (P2P Sharing), Mindset Interactive / NetPalNow / FavoriteMan (memberikan penawaran barang murah).

Informasi teknis

Seperti yang kami utarakan di atas, NewDotNet mengubah Winsock2 Layered Service Provider (LSP) dalam rangka menambahkan Top Level Domain agar subdomain dibawah *.new.net dapat tampil seakan-akan Top level domain pada komputer lokal. Jika anda menghilangkan NewDotNet tanpa prosedur yang benar (mendelete secara paksa), hal ini dapat menyebabkan komputer anda tidak akan dapat mengakses email maupun internet. Jika hal ini terjadi pada anda, gunakan tools LSPFix yang ditulis oleh Counter Exploitation dan dapat di download dari http://www.cexx.org/lspfix.zip. Selain mengubah Windowc2 LSP, NewDotNet juga melakukan pengubahan atas Browser Helper Object (BHO) yang akan mengalihkan proses pencarian / searching dari Address Bar ke Search Engine NewDotNet pada www.qsrch.com (Quick Search) dan menampilkan pop up search.findsall.info yang juga merupakan bagian dari Quick Search. Celakanya, NewDotNet ini memiliki kemampuan mengupgrade dirinya dengan mendownload update dari server di client.new.tech atau upgrade.new.tech.

NewDotNet menjalankan dirinya menumpang komponen DLL windows (Dynamic Linked Function Libraties) Rundll32.exe dengan mengubah registri pada kunci registri :

rundll32 C:\windows\newdot~1.dll, NewDotNEtStartUp. Anda tidak dapat melumpuhkan DLL NewDotNet melalui MSCONFIG karena ia akan kembali lagi.

Bagaimana membasmi NewDotNet ?

Cara yang paling efektif untuk membasmi NewDotNet adalah dengan melakukan uninstal dari Add/Remove Programs pada Windows. Cari program dengan nama New.Net Applications dan New.Net Domains dan uninstal dari komputer anda, terkadang dalam proses uninstal ini akan disertai dengan konfirmasi bahwa Freeware yang anda instal juga harus ikut di uninstal juga.

Jika langkah id atas tidak berhasil, coba akses file uninstal*.exe pada direktori c:\Program Files\NewDotNet atau masuk ke direktori c:\Windows dan cari file dengan nama NSNuninstal*.exe dan jalankan untuk melakukan penghapusan.

Catatan : * adalah versi dari NewDotNet misalnya uninstal6_76.exe atau NSNunistal6_76.exe

Jika anda ingin melakukan pembasmian secara tanpa uninstaller atau langkah tersebut di atas tidak efekti, kami sarankan anda menggunakan program bantu AntiAdware seperti Lavasoft, Spybot atau Norman AdAware untuk mendeteksi NewDotNet dan hapus semua file yang terdeteksi sebagai NewDotNet, lalu bersihkan registri sebagai berikut :

Perhatian : Harap anda berhati-hati bermain dengan registri dan kami sarankan anda untuk membackup registri dahulu sebelum mengikuti langkah dibawah ini.

Klik [Start][Run] lalu ketik [regedit] dan tekan [OK] anda akan mendapatkan layar Registry Editor. Masuk ke alamat registri :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dan hapus :
"New.net Startup"="rundll32 C:\Progra~1\Newdot~1\Newdot~1.dll, NewDotNetStartup"

Hapus juga kunci registri pada alamat sebagai berikut

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\New.net
HKEY_LOCAL_MACHINE\SOFTWARE\New.net
HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c.1
HKEY_CLASSES_ROOT\Tldctl2.URLLink
HKEY_CLASSES_ROOT\Tldctl2.URLLink.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DD521A1D-1F98-11D4-9676-00E018981B9E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage \C:/WINDOWS/Downloaded Program Files/tldctl2.ocx

Sebagai alat analisa tambahan untuk menghadapi Sypwre, kami sarankan anda untuk mempertimbangkan tools Hijackthis yang dapat anda peroleh secara gratis dan dapat anda download pada http://www.spywareinfo.com/~merijn/ untuk menganalisa proses apa saja dan alamat aplikasi yang dijalankan oleh komputer anda. Harap berhati-hati karena banyak aplikasi sistem yang terkandung dalam registri yang jika terhapus akan mengakibatkan sistem anda tidak berjalan dengan baik atau rusak. Tetapi, seperti kata iklan, kalau tidak mau kotor mana bisa belajar ? (AAT)

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#444 From: "Vaksincom" <alfons@...>
Date: Wed May 18, 2005 7:33 pm
Subject: Propaganda Nazi yang menspam mailbox Indonesia, Trojan.Ascetic.C / Sober.P 18 Mei 2005 vaksincom
Send Email

Trojan.Ascetic.C / Sober.P 18 Mei 2005

Propaganda Nazi yang menspam mailbox Indonesia

In den fruehen Abendstunden des 13. Februar 1945 gegen 21:41 Uhr heulten die Sirenen der Lazarettstadt Dresden das erste mal auf. Die Bewohner der Elbmetropole machten sich zu der Zeit noch keine Sorgen, da Dresden als Stadt ohne Bewaffnung und ohne militaerischen Nutzen bekannt war und von ca. 1,2 Millionen Frauen, Kindern und Greisen bewohnt wurde. ------ Di malam hari, tgl 13 Peb 1945, sekitar pk 21.41 bunyilah sirene kota lasaret Dresden utk pertama kalinya. Penduduk kota metropol di sungai Elbe pd saat itu belum punya rasa kuatir, krn Dresden adalah kota yg diketahui tanpa persenjataan dan tanpa penggunaan militer dan dihunii oleh kira2 1,2 juta wanita, anak2 dan manula.

Pengantar :

Jika dalam beberapa hari ini anda menerima banyak email dalam Bahasa Jerman dan bingung apa sebenarnya yang sedang terjadi, silahkan lanjutkan membaca artikel dibawah ini.

Sama seperti film Troy yang dibintangi Brad Pitt dimana untuk menaklukkan benteng bangsa Troy yang memiliki pertahanan sangat baik dan tidak berhasil ditaklukkan dengan serangan militer sehingga digunakan jebakan mengirimkan patung kuda yang menarik dan tidak dicurigai oleh bangsa Troy sehingga dimasukkan ke dalam benteng dan akhirnya malah menjadi kunci jatuhnya benteng / kota Troy tersebut karena pada malam harinya muncul pasukan yang bersembunyi dalam kuda (yang terkenal dengan nama kuda Troya) dan membuka pintu gerbang bagi masuknya pasukan Yunani, Trojan Ascetic.C menginfeksi komputer tidak melalui email melainkan melalui komputer yang pernah terinfeksi virus Sober.P yang secara otomatis menjalankan trojan tersebut pada waktu yang telah ditentukan dengan mengakses dua alamat web di Jerman yang kemudian mengirimkan spam email yang memenuhi jaringan internet dunia dan Indonesia.

30 Variasi Subjek spam email

Email yang di spam (dikirimkan secara massal) akan memalsukan alamat email pengirim dimana email pengirim akan diambil secara acak dari "koleksi" email yang didapatkan dari komputer yang terinfeksi Trojan.Ascetic.C, begitu pula dengan alamat email penerimanya. Karena alamat email penerima dan pengirim diambil dari komputer yang sama, maka kemungkinan penerima email membuka / membaca email spam yang datang cukup besar khususnya jika email yang dikumpulkan oleh virus tersebut merupakan daftar anggota mailing list. Adapun Subject email terdiri dari 30-an variasi yang umumnya dalam Bahasa Jerman dan sedikit dalam Bahasa Inggris. Sedangkan body email tersebut umumnya berbentuk link ke beberapa website berita Jerman seperti (lihat gambar 1)

Gambar 1, Email propaganda yang di spamkan oleh Ascetic

Memiliki kemampuan spamming tingkat tinggi menggunakan teknik multiple recipients.

Menurut penelitian lebih jauh, ternyata spamming yang dilakukan email yang dikirimkan oleh Ascetic ini cukup pintar dan efisien, karena selain mengirimkan dirinya satu persatu ternyata Ascetic juga mengumpulkan semua email dengan alamat domain yang sama dan mengirimkannya sekaligus. Hal ini tentunya meningkatkan volume dan efisiensi dari aktivitas spamming yang dilakukannya. Sebagai contoh, jika Ascetic mendapatkan alamat email dengan alamat info@..., support@..., isa@... maka daripada mengirimkan email satu per satu ke alamat email vaksin.com tadi, Ascetic membuat satu list (kumpulan email) dengan nama mailboxes@... atau x-account@... yang isinya adalah semua kumpulan email dengan domain vaksin.com dan mengirimkannya sekaligus dalam satu email dengan multiple recipient. Teknik ini dapat mengirimkan spam email dalam jumlah yang berkali lipat lebih banyak (baik dari segi waktu pengiriman maupun bandwidth yang digunakan) dibandingkan dengan mengirimkan satu email ke setiap alamat email.

Untuk mengatasi spamming ini, Vaksincom menyarankan para pengguna internet untuk memblok "sementara" ke 32 Subjek tersebut di bawah ini dimana dengan tindakan ini setiap email spam yang datang dengan ke 32 Subjek di atas akan secara otomatis dimasukkan ke dalam kategori email spam dan tidak masuk inbox. Bagi pengguna Microsoft Outlook dan Outlook Express dapat menggunakan [Rules and Alerts] pada Microsoft Outlook atau [Message Rules] pada Outlook Express. Adapun subjek email yang di spam oleh Ascetic adalah sebagai berikut :

4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
60 Jahre Befreiung: Wer feiert mit?
Armenian Genocide Plagues Ankara 90 Years On
Auf Streife durch den Berliner Wedding
Augen auf
Auslaender bevorzugt
Auslaenderpolitik
Blutige Selbstjustiz
Deutsche Buerger trauen sich nicht ...
Deutsche werden kuenftig beim Arzt abgezockt
Dresden 1945
Dresden Bombing Is To Be Regretted Enormously
Du wirst ausspioniert ....!
Du wirst zum Sklaven gemacht!!!
Gegen das Vergessen
Graeberschaendung auf bundesdeutsche Anordnung
Hier sind wir Lehrer die einzigen Auslaender
Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
Multi-Kulturell = Multi-Kriminell
Paranoider Deutschenmoerder kommt in Psychiatrie
S.O.S. Kiez! Polizei schlaegt Alarm
Schily ueber Deutschland
The Whore Lived Like a German
Transparenz ist das Mindeste
Trotz Stellenabbau
Tuerkei in die EU
Turkish Tabloid Enrages Germany with Nazi Comparisons
Verbrechen der deutschen Frau
Volk wird nur zum zahlen gebraucht!
Vorbildliche Aktion
Below are screenshots of the

Menghabiskan Bandwidth karena Spam

Meskipun salah satu alasan pengirim spam ini adalah sebagai peringatan atas Perang Dunia II yang ternyata juga membawa ratusan ribu korban penduduk sipil tak berdosa Jerman (pada saat pengeboman Dresden oleh sekutu) namun tentunya hal ini tidak dapat dibenarkan karena nyata-nyata aksi spamming ini mengganggu traffic internet dan bagi penerima email yang tidak mengerti Bahasa Jerman dan menerima email ini bertubi-tubi akan menyebabkan kerugian bandwidth (selain kerugian karena "bingung" apa arti email yang datang). Karena penasaran apa arti email yang dikiirmkan namun tidak mengerti Bahasa Jerman, Vaksincom dibantu oleh salah seorang rekan yang mengerti Bahasa Indonesia di Jerman menerjemahkan salah satu email yang di spam dengan judul Gegen das Vergessen (Menentang Melupakan). Terimakasih kepada Ibu Imelda atas bantuannya :).

Gegen das Vergessen Menentang melupakannya In den fruehen Abendstunden des 13. Februar 1945 gegen 21:41 Uhr heulten die Sirenen der Lazarettstadt Dresden das erste mal auf. Die Bewohner der Elbmetropole machten sich zu der Zeit noch keine Sorgen, da Dresden als Stadt ohne Bewaffnung und ohne militaerischen Nutzen bekannt war und von ca. 1,2 Millionen Frauen, Kindern und Greisen bewohnt wurde. ------ Di malam hari, tgl 13 Peb 1945, sekitar pk 21.41 bunyilah sirene kota lasaret Dresden utk pertama kalinya. Penduduk kota metropol di sungai Elbe pd saat itu belum punya rasa kuatir, krn Dresden adalah kota yg diketahui tanpa persenjataan dan tanpa penggunaan militer dan dihunii oleh kira2 1,2 juta wanita, anak2 dan manula. Gegen 22:09 Uhr gab der Rundfunk durch, da_ die alliierten Bomberverbaende ihren Kurs geaendert haben und nun auf Dresden zufliegen. Kurz darauf befanden sich 244 britische Bomber am Himmel der deutschen Kulturstadt. ----- Kira2 pk 22.09 radio mengumumkan, krn grup pihak aliansi pengebom mengubah arah mereka dan krn itu terbang menuju arah Dresden. Tdk lama setelah itu 244 pesawat pengebom Inggris ada di udara kota pusat kebudayaan Jerman. Drei Stunden nach dieser ersten Angriffswelle - es befanden sich bereits alle verfuegbaren Rettungsmannschaften, Sanitaeter und Feuerwehmaenner in Dresden - verdunkelten weitere 500 Bomber den Himmel. ---- 3 jam sesudah gelombang pertama penyerangan - semua tim penyelamat, perawat dan pemadam kebakaran yg ada, sdh ada di Dresden - 500 pesawat pengebom lainnya menggelapi langit. Am naechsten Tag folgte die letzte Angriffswelle mit erneut 300 US-B-17-Bombern. Zwischen 12:12 Uhr und 12:21 Uhr warfen diese 783 Tonnen Bomben ab.- Das entspricht mehr als 85 Tonnen pro Minute. ---- Keesokan harinya gelombang penyerangan terakhir, dgn 300 pesawat pengebom B-17 milik AS , mengikutinya. Antara pk 12.12 dan 12.21 pesawat2 tsb melemparkan 783 ton bom.- ini sama dgn lbh dr 85 ton per menit. Nach dem Abwerfen setzten die US-Bomber zum Tiefflug an und beschossen Fluechtende mit ihren Bordwaffen. In diesen drei Angriffsschlaegen, die insgesamt 14 Stunden andauerten, warfen die "Befreier" 650.000 Brandbomben und 200.000 Sprengbomben ab, welche einen Feuersturm von ueber 1000 Grad in der Stadt erzeugten. Obwohl Dresden weder Flugabwehr, noch Ruestungsindustrie oder aehnliche kriegswichtige Ziele besass wurden weit mehr als 350.000 unschuldige deutsche Zivilisten in diesen zwei Tagen kaltbluetig ermordet. ----- Sesdh pelemparan, pesawat pengebom AS berubah terbang rendah dan menembak org2 yg melarikan diri dgn senjata dr dalam pesawat mereka. Dlm 3 serangan ini, yg seluruhnya berlangsung selama 14 jam, "para pembebas" melemparkan 650.000 bom pembakar dan 200.000 bom peledak, yg menghasilkan badai api sepanas lbh dr 1000 derajat di dlm kota. Walaupun Dresden tdk mempunyai alat pertahanan udara dan juga pabrik senjata atau benda2 yg penting utk perang yg hampir sama dgn senjata, lbh dr 350.000 rakyat sipil Jerman yg tdk bersalah dibunuh dgn terrencana secara biadab dalam 2 hari ini. Keiner der schuldigen Alliierten wurde jemals fuer dieses brutale Kriegsverbrechen auch nur angeklagt und die Massenmedien und die bundesdeutsche Regierung schweigen diese Taten tot und sehen es nicht als noetig an den Opfern zu gedenken.! ------ dk ada dr pihak aliansi yg bersalah dalam kejahatan-perang yg biadab ini yg pernah dituntut dan media masa dan pemerintah Jerman menutupi perbuatan ini dan tdk merasa penting utk memperingati korbannya.

Catatan :

Terjemahan ini merupakan terjemahan bebas (contoh) dari isi email yang dispamkan oleh Ascetic dan diterjemahkan untuk kepentingan riset.

4 ISP Indonesia mengirimkan spam Ascetic

Sampai dengan tanggal 18 Mei 2005, berdasarkan pantauan yang dilakukan oleh statistik Vaksincom minimal IP dari 4 ISP Indonesia yang terdeteksi mengirimkan spamming Ascetic ini. Secara tidak langsung dapat kita simpulkan bahwa minimal pengguna dari 4 ISP di Indonesia ini komputernya terinfeksi Ascetic.C dan aktif melakukan spamming. Salah satu IP yang terdeteksi sangat aktif melakukan spamming adalah IP milik perusahaan Broadband Kabel yang berdomisili di Jakarta.

Perlu diketahui, IP ISP yang terdeteksi mengirimkan virus TIDAK BERARTI ISP tersebut tidak aman, karena sebenarnya menurut pemantauan kami ada ISP yang berusaha menjalankan perlindungan virus ini dengan cukup aktif, namun karena pengguna akhir / pelanggan ISP ini yang tidak menerapkan kebiasaan berinternet yang aman. Karena itu, Vaksincom menyarankan kepada anda para pengguna internet untuk SELALU menggunakan program antivirus yang terupdate secara otomatis dan hindari menggunakan program antivirus bajakan karena update yang diberikan kurang terjamin. Usahakan untuk menggunakan program antivirus yang memiliki kemampuan update definisi antivirus otomatis (tanpa melibatkan manusia) seperti Norman Internet Update yang akan mengupdate definisi antivirus secara otomatis setiap kali komputer anda terhubung ke internet tanpa anda perlu melakukan klik apapun.

Adapun IP ke 4 ISP yang terdeteksi mengirimkan spam Ascetic adalah sebagai berikut :

Subjek Email	IP Pengirim	Waktu	ISP
Turkish Tabloid Enrages Germany with Nazi Comparisons	222.124..	Tue, 17 May 2005 21:10:23 -0700	elk****
Graeberschaendung auf bundesdeutsche Anordnung	202.137..	5/16/2005 10:28:53 PM -07.00	nkn
S.O.S. Kiez! Polizei schlaegt Alarm	202.77.*.*	Tue, 17 May 2005 21:42:40 -0700	nkn
Dresden 1945	202.73.*.*	5/17/2005 12:42:40 AM -07.00	Bn***
4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass	202.155..	Tue, 17 May 2005 20:18:48 -0700	dosa**

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

PT. Vaksincom

Tanah Abang III / 19E

Telp : 021-345 6850 Fax : 021-345 6851

Reply | Messages in this Topic (1)

#445 From: "Vaksincom" <alfons@...>
Date: Mon May 30, 2005 7:24 pm
Subject: Serangan Malware Mei 2005 31 Mei 2005, Spam Neonazi oleh Sober.O dan kembalinya Spyware ke tahtanya vaksincom
Send Email

Serangan Malware Mei 2005 31 Mei 2005

Spam Neonazi oleh Sober.O dan kembalinya Spyware ke tahtanya

Insiden yang "berkesan" di bulan Mei 2005 adalah serangan SPAM yang berisi pesan-pesan Neo Nazi yang dikirimkan oleh Sober.O dimana insiden yang tercatat di Vaksincom cukup tinggi yaitu 745 insiden dan melambungkan Sober.O sebagai juara 3 dalam tangga pervirusan Indonesia. Namun hal ini belum cukup untuk menolong posisi virus dan "mahkota" malware kembali di rebut kembali oleh Spyware dengan perbandingan 60 % (Spyware) melawan 40 % (virus).

Sober.O melakukan spamming dengan efektif.

Teknik kuda troya ternyata tidak hanya ampuh untuk menaklukkan kota Troy saja, terbukti ratusan ribu komputer di internet berhasil disusupi oleh Sober.O dengan trik ini. Sober.O memiliki keunikan tidak berusaha menyebarkan dirinya melalui email, melainkan mengupdate dirinya menggunakan Trojan yang terkandung di dalam Sober.P (yang tidak terdeteksi antivirus) dan komputer yang terinfeksi Sober.P akan mendownload Sober.O pada pertengahan Mei 2005. Setelah berhasil di download, Sober.O yang dikenal juga dengan nama Ascetic.C akan mengirimkan email sampah (spam). Ada satu catatan yang menarik dari teknik spamming yang dilakukan oleh Sober.O ini dimana dalam menjalankan aktivitas spammingnya Sober.O ternyata memiliki kemampuan untuk mengumpulkan email-email dengan domain yang sama dalam satu kumpulan email (mailing list) untuk kemudian melakukan spam berdasarkan mailing list yang telah diciptakannya. Untungnya kegiatan spamming ini hanya berjalan dua mingguan dan pada saat ini aktivitas spamming tersebut sudah turun dengan sangat signifikan.

Jumlah insiden virus pada bulan Mei 2005 tercatat 16.124 insiden, jauh menurun dibandingkan insiden bulan sebelumnya yang mencapai 40 ribuan sedangkan insiden spyware pada bulan Mei 2005 tercatat 24.625 kasus juga menurun dibandingkan bulan sebelumnya yang mencapai 38 ribuan insiden. Adapun persentase virus dibandingkan spyware pada bulan Mei 2005 adalah 40 % : 60 % dimana kali ini pimpinan klasemen diambil alih oleh spyware dimana sama seperti bulan sebelumnya jumlah spyware yang mencatat lebih dari 100 insiden adalah 28 spyware, dua kali lipat lebih banyak dari jumlah virus yang insidennya mencapai lebih dari 100 kasus yang hanya berjumlah 12 jenis virus yang unik (lihat tabel 1 dan 2). Untuk perbandingannya, silahkan lihat gambar 1

Gambar 1, Insiden Spyware melampaui 20 % dari indisen virus di bulan Mei 2005

Tingginya infeksi spyware, walaupun telah diperkirakan sebelumnya tetap perlu menjadi perhatian pengguna internet karena variasinya yang sangat banyak dan kemampuannya menginfeksi melalui Freeware dan terkadang cukup hanya mengunjungi website tertentu sudah cukup untuk membuat komptuer anda terinfeksi spyware. Dalam perang menghadapi spyware ini tidak beda jauh dengan perang menghadapi virus dimana karena kompleksnya permasalahan, untuk menghadapi masalah spyware dalam jaringan tidak cukup hanya menggunakan antispyware yang berdiri sendiri seperti Norman Adware Plus melainkan juga diperlukan antispyware yang mampu mengupdate dan melakukan manajemen dalam jaringan komputer korporat seperti Norman Adware Professional dengan tambahan fitur Ad Watch untuk memblok spyware baru yang masuk dan menjaga registri dari perubahan yang tidak diinginkan dan Ad Axis untuk melakukan manajemn program antispyware dalam jaringan secara efisien.

Ada lagi satu proteksi tingkat tinggi untuk korporat dimana spyware dapat di deteksi dan dibasmi pada level gateway (sebelum mencapai komputer user) dengan menggunakan program Enterprise Threat Shields yang dikeluarkan oleh Surfcontrol. Solusi ini akan sangat powerful untuk melindungi jaringan komputer korporat jika digabungkan dengan ISA Server 2004 yang berfungsi sebagao proxy, firewall dan vpn server.

Sekali lagi kontributor terbesar dari insiden virus hanya dua virus, selain Sober.O yang hanya mencatatkan 745 insiden (4.84 %), pada peringkat satu bertengger virus makro Marker (6.362 / 41.37 %) menggeser Netsky (4.152 / 27 %) ke peringkat 2. Sedangkan penghuni peringkat 2 bulan lalu Gaobot terlempar jauh dari tangga elit pervirusan karena tercatat hanya 9 insiden menurut pantauan Vaksincom. Peringkat 4 dihuni oleh veteran Redlof (674 / 4.38 %) diikuti oleh veteran lainnya Funlove (565 / 3.67 %). PAda peringkat 6 dihuni oleh Pinfi (563 / 3.66 %) yang merupakan virus polimorfic yang menginfeksi file .EXE dan .SCR serta menyebar melalui jaringan lokal (mapped drive dan sharing network). Lompatan insiden Mydoom sebanyak 531 / 3.45 % menempatkan kembali worm yang sangat ngetop di tahun 2004 pada peringkat 7 diikuti oleh virus boot sector Polyboot / WYX (348 / 2.26 %) yang akan melumpuhkan OS komputer anda jika tidak dibersihkan menggunakan metode yang benar. Kemudian berturut-turut virus lokal Pesin (347 / 2.26 %) pada peringkat 9 diikuti oleh Mitglieder (345 / 2.24 %), Shore (244 / 1.59 %) dan Mywife (155 / 1.01 %) pada peringkat 10, 11 dan 12.

Untuk lebih lengkapnya, silahkan lihat tabel 1.

No.	Virus	Jumlah	%
1	Marker	6362	41.37%
2	Netsky	4152	27.00%
3	Sober	745	4.84%
4	Redlof	674	4.38%
5	Funlove	565	3.67%
6	Pinfi	563	3.66%
7	MyDoom	531	3.45%
8	Wyx	348	2.26%
9	Pesin	347	2.26%
10	Mitglieder	345	2.24%
11	Shore	244	1.59%
12	MyWife	155	1.01%
	Lainnya	347	2.26%
	Total	42552	100 %

Tabel 1, Insiden virus Mei 2005

Jika bulan lalu Newdotnet memimpin di puncak tangga malware, maka pada bulan Mei 2005 pimpinan diambil alih oleh Gator (5.084 / 20.65 %) diikuti oleh Dumador (2.641 / 10.72 %) yang menggeser Hotbar diikuti oleh Agent (1.819 / 7.39 %) pada peringkat 3. Peringkat 4 dihuni oleh toolbar dengan nama Istbar (1.754 / 7.12 %) dan pendatang baru BargainBuddy (1.224 / 4.97 %). Selanjutnya Krepper (1.046 / 4.25 %) menghuni peringkat ke enam diikuti oleh jawara bulan lalu Newdotnet (1.005 / 4.08 %) pada peringkat 7. Dyfuca (1.004 / 4.08 %) menghuni peringkat 8 diikuti oleh pendatang baru yang belum pernah kita dengar namanya Sahat (956 / 3.88 %) pada peringkat 9 dan peringkat 10 dapat kita temui Mywebsearch (842 / 3.42 %).

Jika dibandingkan dengan bulan sebelumnya, jumlah spyware yang mencatat insiden di atas 100 secara kuantitas menurun dimana pada bulan ini tercatat 28 spyware dibandingkan bulan lalu 31 spyware.

No	Adware	Jumlah	%
1	Gator	5084	20.65%
2	Dumador	2641	10.72%
3	Agent	1819	7.39%
4	Istbar	1754	7.12%
5	BargainBuddy	1224	4.97%
6	Krepper	1046	4.25%
7	Newdotnet	1005	4.08%
8	Dyfuca	1004	4.08%
9	Sahat	956	3.88%
10	Mywebsearch	842	3.42%
11	Funweb	768	3.12%
12	Wintrim	673	2.73%
13	Dloader	650	2.64%
14	Ezula	638	2.59%
15	Winad	622	2.53%
16	Startpage	527	2.14%
17	Savenow	491	1.99%
18	Bispy	401	1.63%
19	Smalldrp	398	1.62%
20	Dealhelper	322	1.31%
21	Media Access	258	1.05%
22	Dialer	212	0.86%
23	Downloader	170	0.69%
24	Ncase	160	0.65%
25	Mabutu	152	0.62%
26	Plexus	150	0.61%
27	Findspy	141	0.57%
28	Sidefind	108	0.44%
	Lainnya	409	1.66%
	Total	38.662	100 %

Varian virus lokal berlomba mengancam pengguna komputer Indonesia, kirimkan virus tidak terdeteksi untuk mendapatkan antivirus Norman gratis.

Seakan tidak mau kalah dengan dengan virus Kangen yang baru muncul, Vaksincom mencatat kemunculan virus lokal baru Lavist yang jika menginfeksi komputer anda akan mengubah icon komputer menjadi gambar hati dan melakukan beberapa aksi yang berbahaya. Kemudian pada awal Mei Vaksincom mendapatkan konfirmasi bahwa telah muncul virus yang menggunakan nama pembawa acara JP (Jejak Petualang) Riyanni Djangkaru. Bagi anda yang mendapatkan virus lokal yang tidak terdeteksi antivirus silahkan kirimkan ke virus@... guna mendapatkan analisa tentang virus tersebut dan jika benar contoh virus yang anda kirimkan belum terdeteksi oleh Norman Virus Control, Vaksincom akan memberikan garansi 2 X 24 jam Norman akan mendeteksi virus tersebut dan sebagai penghargaan kepada anda, kami akan memberikan antivirus Norman Virus Control (single user) + update 1 tahun Gratis kepada anda (aat).

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

PT. Vaksincom

Tanah Abang III / 19E

Telp : 021-345 6850 Fax : 021-345 6851

Reply | Messages in this Topic (1)

#446 From: "Vaksincom" <alfons@...>
Date: Wed Jun 22, 2005 10:47 am
Subject: W32/Kang.C - Revenge of Kangen vaksincom
Send Email

W32/Kang.C

Revenge of Kangen

Rupanya pembuat virus Kangen tidak mau kalau dengan George Lucas yang meluncurkan Starwars III (Revenge of the Sith), terbukti dengan keluarnya varian ke tiga Kangen hanya dalam waktu 2 bulan dan hebatnya varian Kangen yang ke tiga ini menyebar dengan sangat cepat dan tidak dapat terdeteksi oleh program antivirus biasa. Norman Virus Control dengan update tanggal 20 Juni 2005 dapat mendeteksi varian ke 3 dari Kangen ini sebagai W32/Kang.C. Bila varian pertama hanya menampilkan refrain lagu kangen, varian W32/Kang.C ini menampilkan secara lengkap teks lagu Kangen. Vaksincom menerima ratusan keluhan dari komputer yang terinfeksi virus ini sejak awal Juni 2005 namun kelihatannya puncaknya pada minggu ke dua dan ketiga Juni dimana paling sedikit ratusan komputer di Indonesia dapat dipastikan terinfeksi W32/Kang.C. Perbedaan W32/Kang.C adalah ia menggunakan file winword.exe sebagai file eksekusinya sehingga cara membasmi W32/Kang.A tidak akan mempan digunakan untuk membasmi W32/Kang.C karena file eksekusi virusnya berbeda.

Mengincar Windows XP dan Windows 2003 Server (sudah belajar marketing :)).

Virus ini mempunyai karakteristik yang sama dengan pendahulunya, mulai dari mematikan MSCONFIG, Task Manager dan Regedit, akibat yang ditimbulkannya pun tak jauh beda dengan varian sebelumnya yaitu menyembunyikan file asli (*.DOC) dan membuat file yang sama persis dengan file asli, tetapi mempunyai ekstensi *.EXE file bervirus ini mempunyai ukuran sebesar 72 kb. Selain itu media penyebaran yang digunakan virus ini masih menggunakan metode yang sama dengan varian sebelumnya, yaitu menyebar melalui disket atau removable disk (USB) dengan mengcopykan file kangen.exe dengan ukuran file 72 kb (icon MS.WORD dan ext .exe), selain itu virus ini juga akan menyebar melalui jaringan (File sharing) yaitu jika user menjalankan file yang telah terinfeksi virus Kang.C.

Ada ada sedikit perbedaan yang menarik dari virus kangen varian C ini, yaitu pada saat menginfeksi OS 98 maupun 2000, virus ini tidak dapat men-disable registry, mscofig maupuan Task Manager, kemungkinan varian ini lebih ditujukan untuk menginfeksi windows XP dan server 2003 karena notabene populasi komputer yang menggunakan Windows XP dan Windows Server 2003 dapat dikatakan paling banyak (perkembangannya) pada saat ini.

Mungkin saja atau memang ada ”BUG” (kesalahan) dalam pembuatan virus tersebut, yang jelas dari beberapa sample dan uji coba yang dilakukan team Vaksincom, virus ini baru bisa berjalan sempurna pada windows dengan OS XP dan Server 2003, selain itu virus ini hanya akan membuat file winword.exe pada direktori C:\Windows\%system%, oleh karena itu jika direktori instalasi windows adalah C:\WINNT, kemungkinan dampak virus ini sangat kecil (seperti NT/2000).

Tidak terdeteksi antivirus lain.

Per tanggal 20 Juni 2005, virus Kangen ini sudah menginfeksi ratusan komputer di seluruh Indonesia dan keluhan yang disampaikan adalah program antivirus biasa yang populer tidak mampu mendeteksi varian baru ini. Berbeda dengan Norman Virus Control telah berhasil mendeteksi dan menghapus virus kangen.C (definisi virus tanggal 20-6-2005) karena memiliki support dan lab virus lokal untuk menganalisa dan membasmi virus baru dengan cepat.

Norman berhasil mendeteksi dan menghapus virus kangen varian C

Berbeda dengan pendahulunya, virus ini akan menampilkan lirik lagu ”kangen” (tulisan berjalan) yang ditampilkan pada menu start (lihat gambar 1), hal ini hanya ditampilkan pada windows XP dan Server 2003 saja. Kalau di W32/Kang.A hanya mampu menyanyikan refrain lagu kangen saja, maka pada W32/Kang.C rupanya tidak mau kalau dengan Chrisye dan Sophia Latjuba dan sekarang sudah bisa menyanyikan yang lirik lagu Kangen secara lengkap.

KANGEN..

Kutrima suratmu 'tlah kubaca dan aku mengerti

Betapa merindunya dirimu akan hadirnya diriku

Didalam hari-harimu bersama lagi

Kau bertanya padaku kapan aku akan kembali lagi

Katamu kau tak kuasa melawan gejolak didalam dada

Yang membara menahan rasa pertemuan kita nanti

Saat kau ada disisiku

Semua kata rindumu

Semakin membuatku tak berdaya

Menahan rasa ingin jumpa

Percayalah padaku akupun rindu kamu

Ku akan pulang melepas semua kerinduan

Yang terpendam.....

Kau tuliskan padaku kata cinta

Yang manis dalam suratmu

Kau katakan padaku Saat ini

Kuingin dalam pelukmu

Dan belai lembut kasihmu

Takkan kulupa slamanya

Saat bersama dirimu

Jangan katakan cinta

Menambah beban rasa

Sudah simpan saja sedihmu itu

Ku akan datang.....

Hacked by : k.gen

Gambar 1

Virus ini akan menyebarkan dirinya melalui jaringan (file sharing), tetapi virus kangen ini tidak dapat berjalan secara otomatis melainkan memerlukan bantuan pihak ketiga untuk menjalankan file yang telah terinfeksi tersebut.

Jika file ini dijalankan maka akan muncul dokumen MS. Word dengan teks Refrain lagu Kangen. (lihat gambar 2)

Gambar 2

Jika berhasil menginfeksi komputer, Kangen akan membuat 3 buah file pada direktori %system% dengan nama file :

WINWORD.EXE (hidden file dengan icon MS.Word, ukuran file 72KB)
Winlog.dat (hidden file)
Kangen.exe (icon MS.Word dengan ukuran file 2kb)

Selain itu virus ini akan menbuat file dengan nama winword.exe pada direktori C:\!submit

Kangen juga akan menambahkan 4 buah value pada registri dengan nama :

CCAPPS
LoadService
OSA dengan data value C:\%system%\winword.exe
SymRun

pada lokasi registri :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run

Disable Taks Manager, Msconfig dan Registry Editor

Seperti pada varian sebelumnya (Kang.A), Kang.C juga akan menonaktifkan Task Manager, dengan tujuan agar user tidak dapat mematikan proses dari virus tersebut. Disamping itu Kangen juga akan menonaktifkan program Msconfig. Berbeda dengan virus Pesin, Kangen akan langsung mematikan proses Task Manager dan Msconfig jika user berusaha untuk menjalankan dengan tidak menampilkan layar program Task Manager dan Msconfig terlebih dahulu. Pada virus Pesin program Task Manager dan msconfig dapat dibuka tetapi tidak dapat diakses. Dari hasil pengetesan yang dilakukan ternyata virus Kang.C hanya berhasil melakukan disable MSconfig dan Task Manager pada Windows dengan OS XP/Server 2003, sedangkan pada windows 9x/2000, virus ini tidak dapat melakukan disable Registry, Msconfig maupun Task Manager.

Virus Kangen juga akan memblok akses ke Registry Editor (regedit) dan Task Manager dengan menambahkan 2 string :

DisableRegistryTools

DisableTaskMgr

pada registry key dibawah ini dan :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

File palsu bervirus Kangen ”selalu” mempunyai ukuran 72kb dengan icon dokumen MS. Word dan ekstensi.EXE serta mempunyai type sebagai file Application, sehingga jika user menjalankan file tersebut (file yang dibuat oleh virus), maka secara tidak langsung akan mengaktifkan virus Kangen. Hal ini merupakan trik yang cukup canggih dimana settingan default windows tidak memunculkan ekstensi file sehingga nama file “dokumen.doc” dengan “dokumen.exe” akan terlihat seakan-akan sama “dokumen” dengan icon dokumen MS Word. (Lihat Gambar 3)

Text Box: File copy yang terinfeksi virus
File asli yang disembunyikan

(Gambar 3)

Text Box: : File yang disembunyikan oleh virus (hidden), file ini adalah file asli dengan
ekstensi ..doc

Keterangan

Text Box: : File yang dipalsukan oleh virus, file ini adalah file yang mengandung virus Kangen
dengan ekstensi .exe

Anda dapat menampilkan file yang di sembunyikan (pada Windows XP/2000/Server 2003) dengan cara,

Buka Windows Explorer
Klik menu [Tools], kemudian klik [Folder Option]
Setelah muncul layar [Folder Option], klik tab [View]
Pada kolom [Advanced and settings], pilih [show hidden files and folder] pada menu [Hidden files and folder]
Untuk melihat extension dari file tersebut, matikan option [Hide extension for know file types]
Klik [Apply]
Klik [OK]

Gambar 4

Menampilkan file yang dihidden (pada windows 9x)

· Buka Windows Explorer

· Klik menu [View], kemudian klik [Folder Option]

· Setelah layar [Folder option] terbuka klik tab [View]

· Pada kolom Advanced settings, pilih [Show all files] pada menu [Hidden files]

· Untuk menampilkan extension dari semua file yang ditampilkan, matikan pada option [Hide file extension for know files types]

· Klik [Apply]

· Klik [Ok]

Gambar 5

Dibawah ini kami lampirkan tabel perbandingan antara file asli dan file yang telah terinfeksi virus Kangen :

Keterangan	File Asli	File bervirus
File disembunyikan	Ya	Tidak
Ukuran File	Bervariasi	72 kb
Type file	Microsoft Word Docukent	Application
Ekstensi File	.doc	.exe
Isi file	Dokumen MS Word	Virus

salam,

Adang Juhar Taufik (AJT)

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

PT. Vaksincom

Tanah Abang III / 19E

Telp : 021-345 6850 Fax : 021-345 6851

Reply | Messages in this Topic (1)

#447 From: "Vaksincom" <alfons@...>
Date: Sun Jun 26, 2005 5:16 pm
Subject: Tiga Sistem Update Microsoft 27 Juni 2005 (Artikel) vaksincom
Send Email

Pengantar :

Sejalan dengan perkembangan Teknologi Informasi yang sangat cepat dan ancaman malware yang tidak kalah cepatnya dimana antivirus yang terupdate saja tidak cukup untuk melindungi jaringan / komputer dari ancaman malware dimana masih banyak faktor lain yang berperan dan salah satu faktor kunci yang penting adalah update servicepack dan security patch. Karena itu Vaksincom memberikan layanan dan update patch dan service pack "gratis" bagi seluruh pelanggannya dan hal ini terbukti sangat efektif menekan tingkat serangan malware.

Microsoft sebenarnya sudah menyediakan tools dengan memberikan tiga alternatif update sekuriti (dari yang Gratis sampai yang berbayar) Windows Update, WSUS dan SMS dimana ketiganya memiliki fungsi tersendiri dan tidak saling bersaing. Jika perusahaan menjalankan kebijakan update patch ini dengan baik niscaya tingkat ancaman malware akan berkurang dengan sangat signifikan karena menurut data yang kami miliki, malware yang memiliki kemampuan menduplikasikan dirinya secara otomatis memanfaatkan celah keamanan OS yang bleum dipatch dan kelengahan sedikit saja dalam mengaplikasikan patching dapat mengakibatkan lumpuhnya jaringan komputer perusahaan (salah satu contohnya adalah seluruh komputer restart terus karena terinfeksi Korgo). Karena itu Vaksincom menurunkan artikel (yang ditulis oleh salah satu kontributor Vaksincom) mengenai tiga sistem update Microsoft dan semoga berguna bagi decision maker atau sekedar menambah wawasan bagi komunitas IT Indonesia.

salam,

AAT

Tiga Sistem Update Microsoft 27 Juni 2005

Mengenal lebih jauh Windows Update, Wsus dan SMS

Manajemen update umumnya menjadi hantu bagi para administrator IT. Tidak dilakukan risikonya besar. Dikerjakan, bisa memakan waktu dan tentu saja merepotkan. Apalagi bila komputer yang harus ditangani jumlahnya banyak dan tersebar di lokasi yang berjauhan. Microsoft menyediakan solusi untuk melakukan update, mulai dari pengguna rumahan (end user), kantoran kecil dan menengah (UKM), hingga organisasi berskala enterprise.

Microsoft Update (dulunya Windows Update) adalah solusi update untuk pengguna rumahan. Untuk UKM, tersedia Windows Server Update Services (WSUS). Di enterprise, ada solusi yang dinamakan Microsoft System Management Server 2003 (SMS 2003).

Microsoft Update

Solusi ini ditujukan untuk pengguna rumahan dan konsumen individual. Meski demikian, usaha kecil yang tidak memiliki tenaga IT khusus juga layak memilih sistem update ini.

Microsoft menyediakan update gratis untuk layanan ini. Meski gratis, konten update yang didukung sama dengan solusi pada WSUS dan SMS 2003 yang mencakup Windows Server 2003, Windows XP Pro, Windows 2000, Office 2003, Office XP, Exchange Server 2003, SQL Server 2000, Microsoft SQL Server Desktop Edition (MSDE), dan produk tambahan Microsoft yang lain.

Tipe konten yang sediakan tidak berbeda jauh dengan layanan WSUS. Karena sifatnya yang individual, proses update, penjadwalan, pemilihan konten update, semuanya dikontrol secara individual dari sisi end user.

WSUS

Solusi ini ditujukan bagi para pengguna kantoran/organisasi berskala kecil dan menengah. WSUS menyediakan semua update pada seluruh produk Microsoft mulai dari Windows, Office, Exchange, SQL, dan produk-produk tambahan Microsoft lainnya.

Kelebihannya dibandingkan dengan Microsoft Update yang individual, WSUS menawarkan kontrol yang lebih banyak dalam proses updating sistem dan pilihan update yang paling dibutuhkan pada PC client di lingkungan tersebut. Proses update bisa lebih efektif karena konten update yang dibutuhkan tinggal didownload dan kemudian ditempatkan pada WSUS server dan kemudian PC client mendownload patch yang dibutuhkan. WSUS menyediakan kontrol dan report atas seluruh proses update yang dilakukan client, termasuk mana client yang membutuhkan patch tertentu dan mana yang tidak.

Untuk konsumen di Indonesia, layanan semacam ini sangat cocok dengan pertimbangan:

Tidak semua pengguna di client memiliki kesadaran dan pengetahuan untuk melakukan proses update. Padahal, risiko bila update tidak dilakukan relatif besar, dan benefit yang didapatkan bila update dijalankan juga banyak.
Alokasi penggunaan bandwidth untuk melakukan proses update bisa lebih efisien. Alih-alih client melakukan download sendiri-sendiri (sehingga menyita bandwidth dan waktu), proses pengambilan konten cukup dilakukan sekali, dan kemudian bisa didistribusikan ke seluruh client yang memerlukan. Bisa dibayangkan, konten update kadang-kadang berukuran besar sehingga bila dilakukan satu per satu dari sisi client, tak terbayangkan berapa banyak resources yang tersedot.
Sistem bisa terlindungi secara baik dan digunakan sesuai dengan fungsinya. Karena administrator bisa mengatur konten update yang dibutuhkan untuk masing-masing client, tidak akan terjadi pemborosan dan risiko kebocoran pada sistem.
Administrator IT di dalam sistem tersebut bisa lebih efisien dalam menjalankan tugasnya. Pengaturan instalasi dapat dilakukan melalui Group Policy atau scripting. Dengan demikian, sang admin tidak perlu melakukan update satu per satu yang menyita waktu dan tenaga.

SMS 2003

SMS 2003 adalah layanan update produk-produk Microsoft yang paling lengkap. Meski dari sisi konten updatenya tidak berbeda dengan Microsoft Update atau WSUS, SMS 2003 menawarkan kelebihan-kelebihan yang tidak dimiliki keduanya.

Sistem ini sangat cocok untuk diterapkan di lingkungan organsisasi berskala enterprise, di mana jumlah server maupun client sangat banyak, dengan data-data yang memerlukan perlindungan yang baik. Layanan SMS 2003 mencakup security patch management, application deployment, asset management, dan integrasi antara mobility dan Windows management services.

Beberapa fitur penting yang dimiliki oleh SMS 2003 dan tidak terdapat pada WSUS (apalagi Microsoft Update) antara lain:

Perencanaan untuk deployment pada sistem yang lebih mudah. SMS 2003 memungkinkan admin untuk mendapatkan informasi dari seluruh client tentang hardware yang terpasang, aplikasi yang sudah terinstall pada client dan versi dari aplikasi tersebut. Dengan fitur ini, bila skalabilitas ingin ditingkatkan admin dengan mudah melakukan perencanaan, pengontrolan, dan pelaksanaan deployment.
Pendistribusian dengan lebih banyak cara. Distribusi software ataupun manajemen task dapat secara spesifik ditargetkan pada client/user yang tepat dengan menggunakan konfigurasi jaringan dan hardware, memakai Active Directory, group membership, atau instalasi software.
Monitoring penggunaan aplikasi. Laporan ringkas atau mendetail tentang penggunaan aplikasi pada sisi client dapat diperoleh dengan mudah. Informasi berapa lama aplikasi digunakan dan oleh komputer mana saja misalnya, akan meringankan kerja admin dalam memantau penggunaan komputer sekaligus mengurangi risiko penyalahgunaan oleh pengguna yang tidak berwenang.
Pendistribusian software terjadwal. Memungkinkan admin untuk mengatur pendistribusian software/patch/update tanpa mengganggu jam-jam sibuk kantor.
Penggunaan teknologi BITS (Background Intelligent Transfer Services). Teknologi ini mendeteksi secara otomatis kapasitas dari sambungan dari server ke masing-masing client dan sebaliknya dan kemudian akan mengatur transfer rates secara efisien.
Kemampuan Update Rollbacks. Bila patch/update yang diinstall mendukung, instalasi update dapat dibatalkan (seandainya dengan penginstalan menyebabkan gangguan atau ketidakstabilan pada sistem).
Mobile Device Management. Memungkinkan peranti-peranti mobile dapat menikmati layanan update.
Help Desk secara Jarak Jauh. Memungkinkan pengendalian sistem client secara jarak jauh (remote), reboot secara jarak jauh, maupun chat.

Tabel Perbandingan Microsof Update, WSUS, dan SMS 2003

Informasi Umum
	Microsoft Update	WSUS	SMS 2003
Harga dan Lisensi	Tak Berbayar	Perlu Windows Server Client Access License (CAL)	· Perlu Windows Server CAL · Perlu SMS CAL · Lisensi SMS Server · Lisensi SQL Server
Sasaran Pengguna	Home User dan Pelanggan Individual	· Institusi kecil dan menengah/UKM · Organisasi yang memiliki solusi software terdistribusi lain tetapi memerlukan manajemen update · Organisasi yang merencanakan mendeploy SMS 2003 tetapi memerlukan solusi update segera · Organisasi yang sudah memiliki SMS 2003 atau management tools lain tetapi perlu mengelola PC eksternal mereka untuk diupdate	· Organisasi berskala menengah · Enterprise
Konten dan Software yang Disupport
	Microsoft Update	WSUS	SMS 2003
Konten yang Didukung untuk Automatic Update	· Windows Server 2003 · Windows XP Pro · Windows 2000 · Office 2003 · Office XP · Exchange Server 2003 · SQL Server 2000 · Microsoft SQL Server Desktop Edition (MSDE) · Produk-produk tambahan Microsoft	· Windows Server 2003 · Windows XP Pro · Windows 2000 · Office 2003 · Office XP · Exchange Server 2003 · SQL Server 2000 · Microsoft SQL Server Desktop Edition (MSDE) · Produk-produk tambahan Microsoft	· Windows Server 2003 · Windows XP Pro · Windows 2000 · Office 2003 · Office XP · Exchange Server 2003 · SQL Server 2000 · Microsoft SQL Server Desktop Edition (MSDE) · Produk-produk tambahan Microsoft
Tipe/Isi Konten	· Security updates · Update kritikal dan nonkritikal; update rollups · Service Packs · Feature Packs · Update driver kritikal · Tipe konten lainnya	· Security updates · Update kritikal dan nonkritikal; update rollups · Service packs · Feature packs · Update driver kritikal · Tipe konten lainnya	· Segala update software, service packs; administrator memperoleh paket fitur · Update dan instalasi aplikasi untuk segala software berbasis Windows · Tersedia update BIOS (khusus PC merek Dell)
Kapabilitas Pengelolaan Update
	Microsoft Update	WSUS	SMS 2003
Pentargetan Konten ke Sistem	Tidak dapat diterapkan	Simple: Mendukung pentargetan berdasarkan kelompok target pada sisi server (yang memuat daftar sistem satu per satu) maupun client (dapat dikonfigurasi terpusat lewat Group Policy atau Scripting).	Advanced: Mendukung pentargetan berdasarkan segala inventori hardware dan software, pengguna Active Directory, atau WMI attribute.
Kontrol Distribusi Update Terpusat	Tidak dapat diterapkan	Simple: Sistem client tersambung ke server untuk mendapatkan persetujuan update. Administrator dapat mengonfigurasi frekuensi ketersambungan client dengan server, atau menggunakan utility command line atau script untuk memicu update baru yang disetujui.	Advanced: Mendukung kontrol tambahan untuk menyampaikan informasi seperti kapan update seharusnya didistribusikan ke sistem client dan bagaimana seharusnya distribusi diurutkan. Update dapat dikirim melalui setting “Mandatory”, di mana update dapat diinstal dalam waktu singkat.
Instalasi Update dan Fleksibilitas Penjadwalan	Dikontrol oleh End User. Memungkinkan user untuk menspesifikasikan apakah akan mendownload dan menginstall update berprioritas tinggi secara otomatis dalam suatu penjadwalan, atau hanya dalam bentuk notifikasi. User dapat menginisiasi dan memilih update opsional kapan saja.	Simple. Memungkinkan administrator untuk menspesifikasikan tenggat waktu kapan seharusnya update diinstall pada sistem. Dapat dikonfigurasikan untuk mendefinisikan kapan update harus diinstal dan shutdown pada client dapat ditunda bilamana reboot system setelah update diperlukan	Advanced. Mendukung spesifikasi rolling instalasi windows. Contoh: Administrator dapat menspesifikasikan instalasi antara pukul 1.00-5.00 dini hari, dan bila meleset, antara pukul 12.00-13.00. Juga memungkinkan administrator untuk menspesifikasikan deadline ketika update seharusnya diinstal pada sistem.
Force Update Rollback	Tidak	Ya, jika didukung oleh update	Ya, jika didukung oleh update
Status Report untuk Instalasi Update	Basic. Melaporkan kegagalan instalasi dan daftar updates yang terlewat kepada user	Simple. Menyediakan laporan standar yang sudah ditentukan pada status instalasi. Pelaporan data juga tersedia melalui API.	Advanced. Menyediakan laporan yang sudah ditentukan maupun mendefinisikan laporan biasa.
Perencanaan Deployment Terpusat	Tidak dapat diterapkan	Simple. Memungkinkan administrator untuk mengidentifikasi sistem mana yang memerlukan update spesifik dan dengan cepat memberikan penilaian kebutuhan update sistem yang dikelola oleh WSUS Server. Administrator dapat mendeploy update dalam mode detect-only untuk membuka peluang perencanaan yang lebih baik	Advanced. Memelihara inventori dari status instalasi untuk seluruh sistem client, mengenable definisi dari sistem konfigurasi paling dasar, di mana update seharusnya diinstall pada sistem atau kategori sistem, dan mendeliver fungsionalitas built in untuk merencanakan urutan update yang sudah tersedia
Manajemen Inventori	Tidak dapat diterapkan	Basic. Mendapatkan inventori hardware dasar, termasuk host name, versi OS, bahasa, dan IP Address	Advanced. Mendapatkan inventori hardware dasar, termasuk host name, versi OS, bahasa, dan IP Address
Pemeriksaan Compliance Terpusat	Tidak. Memungkinkan pengguna untuk melihat riwayat update yang terinstall di PC	Basic. Hanya mendukung pelaporan status. Laporan WSUS atas update hilang (dibandingkan atas satu set penuh update yang relevan untuk sistem)	Advanced. Mendukung pemindaian dan pelaporan compliance secara on demand untuk memverifikasi update yang terinstall dan menunjukkan gap antara sistem referensi dan sistem yang terpindai
Infrastruktur
Dukungan Roaming	Ya. Mendukung ketersambungan PC ke server Microsoft Update lewat internet untuk mendownload konten.	Opsional. Mendukung kemampuan client untuk menarik update dari kebijakan yang digrariskan server saja. Group Policy definition yang mengontrol WSUS server.	Ya. Mendukung kemampuan user untuk mendownload update dari titik distribusi internal terdekat.
Site Awareness	Tidak	Ya. Mendukung penggunaan Group Policy untuk mengonfigurasi “site awareness dengan mendefinisikan policy pada tingkat situs.	Ya. Mendukung penggunaan preexisting site dan definisi subnet dari dalam Active Directory untuk mengidentifikasi di mana seharusnya user mendapatkan softwarenya.
Advanced Management Features
Remote Help Desk Functionality	Tidak	Tidak	Ya. Mendukugn pengontrolan jarak jauh, remote reboot, dan remote chat.
Distribusi Software Umum	Tidak	Tidak	Ya
Monitoring Penggunaan Software	Tidak	Tidak	Ya
Deployment Sistem Operasi	Tidak	Tidak	Ya
Manajemen Peranti Mobile	Tidak	Tidak	Ya
Network Discovery	Tidak	Tidak	Ya

PT. Vaksincom

Tanah Abang III / 19E

Jakarta 10160

Email : info@...

Telp : 021-3456 850

PT. Vaksincom

Tanah Abang III / 19E

Telp : 021-345 6850 Fax : 021-345 6851

Reply | Messages in this Topic (1)

#448 From: "Vaksincom" <alfons@...>
Date: Thu Jul 7, 2005 8:11 am
Subject: Serangan Malware Juni 2005 7 Juli 2005 vaksincom
Send Email

Serangan Malware Juni 2005 7 Juli 2005

Kekalahan raja langit dan amukan si banci

Selain dipusingkan oleh langkanya BBM yang menyebabkan antrian berjam-jam di SPBU sampai-sampai ada yang check in menginap di SPBU semalam demi mendapatkan beberapa liter bensin, pengguna internet juga harus mewaspadai serangan malware yang semakin mengganas seperti Mytob (virus banci) yang dalam waktu singkat variannya melebihi varian Netsky dan Bagle. Selain itu Netsky (si Raja Langit) mengalami kekalahan telak pada bulan Juni 2005 dan hebatnya seluruh insiden virus Top 10 kalah banyak dengan jawara Spyware Hotbar (si Raja Api). Tercatat juga virus lokal yang mengkangeni lebih dari 500 komputer di Indonesia hanya di bulan Juni 2005, apakah hal ini ikut mendongkrak penjualan album Dewa ? Kalau memang benar, semoga hal ini tidak menginspirasi kolaborasi pencipta lagu yang lain dengan pembuat virus.

Gambar 1, Insiden Spyware mengalahkan virus 4 kali lipat

Virus kalah telak

Insiden malware bulan Juni 2005 ditandai dengan kekalahan telak virus, dimana persentase Spyware mencapai 79 % dengan jumlah insiden 54.290 hampir 4 (empat) kali lipat lebih banyak dari insiden virus yang hanya 14.628 atau hanya 21 %. Jika kita telaah lebih jauh lagi, ternyata pertempuran yang terjadi tidak berimbang karena dari pihak virus hanya si Raja Langit (Netsky) yang masuk golongan malware "sakti" (Super Sanya) dan mampu menginfeksi > 1.000 insiden dengan jumlah infeksi 10.726 insiden harus melawan 11 Spyware "sakti" yang memiliki insiden > 1.000. Celakanya, hanya mengandalkan satu Spyware saja Hotbar [19.604] yang dapat digolongkan "super sakti" (Super Super Sanya) karena insidennya mampu mengalahkan semua insiden virus TOP 10 yang hanya berjumlah 14.628. Jadi tidak seperti anak SMU yang kalau tawuran melakukan kerubutan dan pada waktu Ujian Nasional banyak yang gagal, 11 spyware ini pada bulan Juni 2005 tidak perlu mengerubut Netsky untuk mengambil alih pimpinan infeksi malware malahan sebaliknya jika sleuruh insiden virus mengerubuti Hotbar jawara spyware, tetap tidak akan bisa mengalahkannya.

Pendatang baru dan para pecundang

Seperti layaknya tangga lagu, tentu kita perlu mengetahui siapa pendatang baru dan siapa pecundang bulan Juni 2005, tetapi sebaliknya tidak seperti tangga lagu untuk di dengarkan daftar ini kami buat justru untuk anda hindari. Nama-nama spyware yang dikeluarkan dari daftar Spyware Top 28 adalah Bankfraud, Bifrose, Keenval, Mabutu, Smalldoor dan Swissor yang hasil nilai UN (Ujian Nasional)nya jeblok alias jumlah infeksinya adalah 0, sedangkan Top Loser (turun terbesar) adalah Ezula dimana pada bulan Mei 2005 menempati peringkat 14 dengan infeksi 638 dan pada bulan Juni 2005 hanya terdeteksi 1 infeksi.

Sedangkan virus yang perlu disyukuri pada bulan Juni 2005 adalah Marker karena pada bulan Mei 2005 ia menjadi jawara dengan jumlah insiden 6.362 dan pada bulan Juni 2005 harus kembali ke gunung bertapa karena hanya berhasil menyebabkan 4 insiden dan terlempar dari Top 10 virus.

Adapun "jagoan" baru yang perlu anda waspadai dari spyware adalah Comet [947, 1.74 %], Websearch (berbeda dengan MyWebsearch) [316, 0.58 %], Soraci [180, 0.33 %] dan D1Max (bukan varian mobil Isuzu) [72, 0.13 %]. Sedangkan dari kubu virus muncul tiga jagoan baru dimana satu jagoan lokal Kangen [521, 3.56 %] yang hanya terdeteksi oleh Norman Virus Control (pada tanggal 20 Juni 2005), lalu satu exploit, HTML/Exploit [309, 2.11 %] dan terakhir virus yang paling produktif di tahun 2005 karena jumlah variannya melebihi gabungan dari varian Netsky dan Bagle, siapa lagi kalau bukan si "banci" Mytob.

Mengapa disebut MyTob ?

Nama virus MyTob diberikan karena virus ini merupakan gabungan dari dua buah virus, "My"Doom dan IRC"bot", karena kreativitas pembuat antivirus yang suka membolak-balik nama virus, maka kata "bot" dibalik menjadi "tob" sehingga lahirlah nama MyTob yang boleh dibilang half MyDoom, half IRCbot (MyDoom ya iya, IRCbot ya iya juga) dan karena tidak mau kalah kreatif kami pernah mengusulkan untuk memberikan nama si banci kepada virus ini tetapi ditolak mentah-mentah oleh virus analis Norman di Norwegia.

Insiden Virus Juni 2005

Gambar 2, Top 10 Virus Indonesia Juni 2005

Seperti kita ketahui, peringkat pertama virus kembali diambil alih oleh Netsky [10.726, 73.33 %] yang menggusur jawara pekan lalu virus Makro Marker yang terlempar dari Top 10 disusul oleh pendatang baru Mytob [883, 6.04 %], jika anda perhatikan persentase Netsky di peringkat satu 73.33 % sangat jomplang dengan peringkat 2 - 10 yang memberikan kontribusi < 10 % terhadap total infeksi. Disamping itu tidak ada virus selain Netsky yang mampu menembus angka infeksi > 1.000. Peringkat ke tiga dihuni oleh jawara lama Redlof [543, 3.71 %] diikuti oleh virus lokal yang paling Top di bulan Juni 2005 W32/Kang.C atau juga dkenal dengan nama Kangen [521, 3.56 %]. Zafi [362, 2.47 %] menempati peringkat 5 diikuti oleh pendatang baru lain HTML/Exploit [309, 2.11 %] yang berusaha melakukan eksploitasi pada mailclient yang mengaktifkan html dan belum melakukan patch atas celah keamanannya. Korgo [293, 2 %] yang sempat menjadi jawara Top 10 berada di peringkat ke 7 diikuti oleh virus boot sector WYX yang juga dikenal dengan nama Polyboot [179, 1.22 %], hati-hati jika anda terinfeksi WYX / Polyboot karena jika anda membersihkan virus yang menginfeksi boot sector harddisk ini tanpa mengikuti prosedur yang benar akan menyebabkan harddisk anda tidak bisa di boot. Lalu peringkat ke 9 bertengger "kakak seperguruan" Kangen yang juga sempat menggegerkan dunia perinternetan Indonesia Pesin atau juga dikenal dengan nama MyHeart [158, 1.08]. Pada peringkat terakhir lagi-lagi jawara lama Funlove [97, 0.66 %] dan sisanya 557 insiden atau 2.26 % merupakan infeksi virus lainnya. Untuk informasi lebih detail silahkan lihat di tabel 1.

No	Virus	Jumlah	%
1	Netsky	10,726	73.33%
2	Mytob	883	6.04%
3	Redlof	543	3.71%
4	Kangen	521	3.56%
5	Zafi	362	2.47%
6	HTML/Exploit	309	2.11%
7	Korgo	293	2.00%
8	Wyx	179	1.22%
9	Pesin	158	1.08%
10	Funlove	97	0.66%
	Lainnya	557	2.26%
	Total	14,628	100 %

Tabel 1, Top 10 Virus Indonesia Juni 2005

Spyware Juni 2005, menang telak dari virus

Gambar 3, Spyware Top Indonesia Juni 2005

Hal yang cukup berkesan dari spyware ini adalah penyebaran infeksinya yang cukup merata, dimana berbeda dengan virus yang hanya mengandalkan Netsky yang berkontribusi sampai 76 % maka kontribusi jawara Spyware Hotbar [19.604, 36.11 %] diikuti oleh 10 spyware lain yang memiliki infeksi > 1.000 kasus. Wintool [9.024, 16.62 %] menempati peringkat dua diikuti jawara bulan Mei Gator [4.366, 6.38 %]. Peringkat 4 dihuni oleh spyware toolbar dengan nama Istbar [3.008, 5.54 %] disusul oleh Agent [2.056, 3.79 %] pada peringkat 5. Winad [1.736, 3.20 %] menempati peringkat 6 diikuti Startpage [1.249, 2.30 %] yang akan mengambil alih starting page dari browser anda. Kemudian jagoan lama MyWebsearch [1.080, 1.99 %] menempati ranking 8 disusul oleh BargainBuddy [1.074, 1.98 %] yang jika menginfeksi akan memberikan tawaran-tawaran menarik kepada anda dan pada peringkat ke 10 dihuni oleh Dyfuca [1.050, 1.93 %]. Untuk informasi 28 Spyware yang paling banyak menginfeksi komputer di Indonesia, silahkan lihat tabel 2.

No	Spyware	Jumlah	%
1	Hotbar	19,604	36.11%
2	Wintool	9,024	16.62%
3	Gator	3,466	6.38%
4	Istbar	3,008	5.54%
5	Agent	2,056	3.79%
6	Winad	1,736	3.20%
7	Startpage	1,249	2.30%
8	Mywebsearch	1,080	1.99%
9	BargainBuddy	1,074	1.98%
10	Dyfuca	1,050	1.93%
11	Savenow	1,006	1.85%
12	Funweb	995	1.83%
13	Comet	947	1.74%
14	Byteverify	851	1.57%
15	Dumador	802	1.48%
16	Downloader	791	1.46%
17	Spybot	674	1.24%
18	Sahat	599	1.10%
19	Dealhelper	573	1.06%
20	Dloader	500	0.92%
21	Krepper	424	0.78%
22	Sidefind	324	0.60%
23	Websearch	316	0.58%
24	Wintrim	288	0.53%
25	Newdotnet	270	0.50%
26	Plexus	263	0.48%
27	VirtualBouncer	210	0.39%
28	Smalldrp	191	0.35%
	Lainnya	919	1.66%
	Total	54,290	100 %

Tabel 2, Top 28 Spyware Indonesia

Vaksincom mengucapkan terimakasih kepada para netter yang secara aktif berpartisipasi mengirimkan sample virus baru pada bulan Juni 2005. Jika anda memiliki virus yang belum terdeteksi Norman Virus Control, silahkan kirimkan dalam bentuk terkompres (zip) yang diberi password kepada kami virus@.... Sebagai tanda terimakasih, kami akan memberikan Norman Virus Control Original + update definisi dan engine 1 tahun secara gratis.

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#449 From: "Vaksincom" <alfons@...>
Date: Mon Jul 11, 2005 9:31 am
Subject: Rekayasa sosial SMS Undian Palsu 11 Juli 2005 vaksincom
Send Email

Rekayasa sosial SMS Undian Palsu 11 Juli 2005

Jangan senang dapat SMS menang

Virus ponsel apa yang paling berbahaya dan perlu diwaspadai pengguna seluler Indonesia ? Apakah Cabir yang ngetop itu, Skull yang mengubah icon handphone / PDA anda menjadi milik si Janggut Merah (logo tengkorak). Atau Lasco yang nama aslinya Velasco yang menginfeksi OS POpuler Symbian series 60 atau Commwarrior yang selain menginfeksi melalui Bluetooth juga menginfeksi melalui MMS ? Menurut pantauan Vaksincom sampai pertengahan Juni 2005 memang ditemui beberapa kasus Cabir namun jumlahnya masih tidak signifikan dan ancamannya masih relatif rendah. Mungkin kuartal 3 atau 4 tahun 2005 akan terjadi pergeseran namun yang pasti cepat atau lambat ancaman virus di handphone akan menjadi akan menjadi signifikan dan perlu diwaspadai. Sementara ini ada satu "virus" lain yang perlu diwaspadai dan diam-diam menyebar melalui SMS. Hebatnya "virus" ini sangat pintar dan mampu mengirimkan dirinya secara aktif lintas operator dan selain itu "virus" ini sudah memiliki kemampuan seperti "worm" karena berusaha menyebarkan dirinya sendiri dan sudah menyebar di seluruh Indonesia sejak pertama kali adanya SMS ...... wow.

Menggunakan Rekayasa Sosial yang canggih

Jika anda bertanya kelemahan apa dari manusia yang paling mudah dimanfaatkan, salah satu jawabannya adalah impian. Contohnya ketika dulu ada SDSB, PORKAS yang memanfaatkan impian mendapatkan uang besar jika menang dan akhirnya dilarang oleh pemerintah dan fenomena ini ditangkap dengan sangat cerdik oleh salah satu Bank Swasta terbesar di Indonesia yang lalu mengadakan undian Tabungan Berhadiah. Jadi jika anda menabung, anda di buai dengan impian mendapatkan hadiah menjadi Jutawan (jaman dulu kalau menjadi jutawan sudah kaya raya, hari ini anda menjadi jutawan beli rumah di Jakarta saja belum tentu cukup :( ... ). Sekarang sudah hampir semua bank memiliki produk Tabungan berhadiah, jadi hal tersebut sudah tidak menarik lagi ... kecuali mungkin hadiahnya Tamasya ke .... Bulan :).

Nah, rupanya bukan saja bankir yang jeli melihat peluang orang yang mudah terbuai jika di iming-imingi hadiah dan terkadang menjadi "gelap mata" sehingga mudah tertipu. Ternyata banyak sekali penipu yang memanfaatkan kelemahan pengguna HP yang menginformasikan bahwa penerima SMS telah mendapatkan hadiah undian, lalu anda diminta untuk menghubungi nomor tertentu dan jika anda lakukan hal tersebut maka anda akan diminta untuk mentransfer sejumlah uang tertentu sebagai syarat untuk mendapatkan hadiah tersebut. Kalau anda pernah menerima SMS bahwa anda memenangkan undian, kami menyarankan anda jangan "gelap mata" dulu dan langsung senang, selalu waspada terbukti tidak akan merugikan anda dan sering menyelamatkan anda dari kerugian finansial.

Salah satu contoh SMS tipu yang perlu anda waspadai adalah yang menggunakan metode nomor lintas operator. Maksudnya pengirimnya menggunakan operator seluler A, dimana nomor penerima SMS adalah operator seluler B dan nomor Call Center yang perlu dihubungi menggunakan provider C. Salah satu SMS tipu yang kami dapatkan menggunakan (lihat gambar 1) :

Nomor Pengirim : Esia (+6221 927....)

Nomor Penerima : Simpati

Call Center : Flexy (021-7067....)

Gambar 1, Capture SMS Tipu

Analisa :

Pengirim SMS palsu menggunakan nomor Esia (From) untuk mengirimkan SMS yang menginformasikan bahwa penerima SMS ini mendapatkan POINT hadiah dari Telkomsel.
Perhatikan bahwa pada bagian pesan tercantum "Pengirim:+222". Adapun tujuan dari pencantuman nomor tersebut adalah untuk mengelabui pengguna awam yang "gaptek" dan mengira bahwa pesan tersebut dikirim dari nomor 222 yang merupakan nomor "Veronica" Telkomsel. Kalau penerima SMS menelepon ke nomor tersebut ia akan disambut oleh voicemail Veronica dan karena tidak ada yang menjawab kemungkinan besar ia akan menelepon ke nomor Call Center yang dicantumkan tersebut. Padahal bagi kita yang cukup mengerti cara kerja SMS tentunya malah akan menertawakan "rekayasa sosial" ini. Yang tertipu sebenarnya agak "keterlaluan" tetapi nyatanya masih banyak korban yang jatuh karena SMS tipu. Sebenarnya nomor Call Center Simpati yang benar dan dapat anda hubungi untuk crosscheck anda menerima undian atau masalah lainnya adalah 116.
Mengapa nomor Flexy yang digunakan sebagai Call Center ?
Pengalaman Vaksincom dibawah ini mungkin menjelaskan hal ini. Ketika menelepon ke Call Center Esia *999 dari nomor Esia yang kami miliki dan mengadukan akan adanya SMS tipu ini, tanggapan yang kami terima cukup menyenangkan dan menolong. Setelah mencatat nomor tersebut dan melakukan beberapa konfirmasi untuk memastikan validasi penelepon, tindakan cepat segera dilakukan untuk mencegah penyalahgunaan nomor tersebut. Catatan : Server SMS Esia tentunya memiliki data pengiriman SMS dan petugas Esia tentunya dapat mengecek kebenaran laporan ini.

Ketika menelepon ke Call Center Flexy 147 tanggal 5 Mei 2005, jawaban yang kami terima agak "memprihatinkan" karena penerima pengaduan meminta laporan polisi terdekat dan tidak mau melakukan langkah lebih lanjut. Tetapi pada telepon kami ke Call Center flexy 147 tanggal 11 Juli 2005 tangapan yang kami terima cukup menggembirakan karena pihak Flexy sudah mau mencatat nomor telepon yang digunakan untuk menipu tersebut dan melakukan tindakan yang diperlukan sehingga korban penipuan lebih jauh dapat dihindari. (Bravo Telkom untuk kemajuan pelayanannya).

Provider seharusnya Proaktif

Melihat modus operandi penipuan SMS ini yang menggunakan nomor Pra Bayar yang sulit dilacak dan biayanya relatif murah. Meskipun sosialisasi sudah dilakukan tetapi hukum piramida mengatakan bahwa orang yang awam teknologi (gaptek) akan selalu lebih banyak jumlahnya dari jumlah orang yang yang mengerti teknologi, celakanya produk teknologi ini dibutuhkan oleh semua orang baik anda gaptek maupun tidak sehingga untuk mencegah korban lebih banyak lagi diperlukan sosialisasi modus operandi penipuan ini. Selain itu partisipasi Operator Seluler secara pro aktif untuk mencegah pengiriman SMS tipu ini juga perlu ditingkatkan. Pada prinsipnya SMS Tipu dapat di deteksi dengan mudah pada SMS server dan memiliki format yang "relatif" sama, dengan pengamatan yang berkesinambungan SMS Tipu ini akan dapat di identifikasi dengan baik.

Tetapi jangan lupakan bahwa penipu yang dihadapi adalah manusia dan bukan komputer. Jika anda bermain game melawan komputer, secanggih apapun cepat atau lambat anda pasti menang karena komputer memiliki kecerdasan yang terbatas, sebaliknya jika anda bermain game melawan manusia ....... hari ini anda menang, besok anda kalah karena kecerdasan manusia (saat ini) masih di atas komputer. Jadi jika suatu metode SMS Tipu berhasil diblok, kami sarankan anda untuk tidak terlena karena seperti pembuat virus di dunia komputer, pembuat SMS tipu ini pasti akan mencari metode lain untuk menjalankan aksinya. Karena itulah Vaksincom tidak menganjurkan anda untuk menggunakan program / coding untuk memblok SMS Tipu ini, kecuali coding tersebut selalu dievaluasi dan diperbaharui terus menerus (seperti antivirus). Sebagai informasi, untuk mencegah virus Commwarrior yang menyebar via MMS, settingan tertentu di server MMS dapat memblok penyebaran Commwarior secara efektif.

Apa yang dapat anda lakukan jika menerima SMS mencurigakan ?

Jika anda menerima SMS yang anda ragukan sebagai tipu-tipu kami sarankan anda untuk sedikit berpartisipasi aktif melakukan Cross Check ke Call Center provider Celluler anda, sebagai informasi beberapa Call Center yang dapat anda hubungi adalah sebagai berikut :

Esia, dari handphone Esia hubungi nomor *999
Simpati, dari handphone Simpati hubungi nomor 116
Kartu Halo, dari handphone Kartu Halo hubungi nomor 111
Matrix, dari handphone Matrix hubungi nomor 222
Mentari, dari handphone Mentari hubungi nomor 505
Pro XL, dari PSTN hubungi 579 59818, dari handphone XL hubungi 818
Mobile 8, dari handphone Mobile 8 hubungi nomor 888

Jika anda yakin bahwa SMS tersebut palsu dan ingin berpartisipasi aktif membasmi hal ini, anda dapat mengirimkan SMS (forward informasi SMS tipu) ke 1717 yang merupakan SMS Polisi dan dilacak GPS. Jangn lupa melampirkan pengantar yang jelas untuk ditindaklanjuti.

Jika anda memiliki informasi SMS tipu (modus operandi baru) yang anda rasa perlu diinformasikan kepada masyarakat umum, silahkan informasikan kepada kami dengan email ke info@....

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#450 From: "Vaksincom" <alfons@...>
Date: Thu Jul 14, 2005 5:18 am
Subject: W32/Tabaru.A Riyani Jangkaru, terpesona membawa bencana vaksincom
Send Email

W32/Tabaru.A

Riyani Jangkaru terpesona membawa bencana

Kalau ditanya, lagu Indonesia apa yang paling ngetop di kalangan pembuat virus, jawabannya adalah Kangen. Sedangkan kalau ditanya siapa tokoh yang paling diidolakan di kalangan pembuat virus ? Ternyata bukan juara AFI atau Indonesia Idol yang berada di urutan atas, melainkan pembawa acara Jejak Petualang di TV7 http://jejakpetualang.tv7.co.id, Riyanni Djangkaru. Sayangnya pembuat virus yang ditengarai berasal dari kota Makassar ini kelihatannya kurang teliti dan tidak menuliskan nama idolanya dengan baik, dimana nama file bervirus yang digunakan untuk memancing penerima file mengklik file JPG "gadungan" tersebut adalah Riyani_Jangkaru.exe. Tapi apa artinya sebuah nama, terbukti virus ini berhasil menjadi "tamu" pada ratusan komputer Indonesia sejak 2 bulan yang lalu (meskipun keberadaannya ditengarai muncul sejak Januari 2005) dan paling banyak ditanyakan solusinya ke Vaksincom setelah Kangen. Setelah perburuan selama 1 bulan, baru pada minggu yang lalu Vaksincom berhasil mendapatkan sample Riyani Jangkaru ini (selamat kepada Bung Khafid dan Jimmy yang mengirimkan sample virus ini ke virus@..., anda berhak mendapatkan "Gratis" Norman Virus Control Original + Update 1 tahun seharga Rp. 380.000,-) dan setelah di test pada beberapa platform / skenario yang berbeda pada virus test lab Vaksincom maka informasi lebih jauh mengenai virus ini berhasil di gali. Bagi anda yang terinfeksi virus RJ yang sudah terdeteksi Norman Virus Control (update 12 Juli 2005) sebagai W32/Tabaru.A, silahkan download Norman Virus Control di http://www.norman.com/Download/Trial_versions/en, jangan lupa masukkan alamat email anda untuk mendapatkan SN Trial yang berlaku satu bulan atau jika anda berencana membeli komputer / motherboard baru, kami informasikan bahwa Vaksincom bekerjasama dengan Motherboard MSI dimana setiap pembelian motherboard MSI di seluruh Indonesia berhak mendapatkan CD Original Norman Virus Control + Update Gratis 6 bulan. Informasi detail step by step membasmi virus RJ akan kami upload hari Selasa tanggal 19 Juli 2005, informasi detil membasmi virus ini juga bisa anda dapatkan pada Tabloid PC Plus edisi 233 yang akan terbit tanggal 11 Juli 2005.

salam,

AAT

Bila anda sering melihat salah satu acara televisi swasta (TV7) yaitu JEJAK PETUALANG, tentu Anda akan kenal dengan sosok pembawa acaranya, siapa lagi kalau bukan Riyani Jangkaru. Ketenaran pembawa acara ini rupanya telah membawa inspirasi tersendiri bagi sebagian orang “ISENG” untuk menggunakannya sebagai daya tarik bagi virus yang diciptakannya.

Virus Lokal yang menyebar dewasa ini sering luput dari intaian vendor antivirus yang ada, karena wilayah penyebarannya yang terbatas, hal ini sudah banyak dibuktikan mulai dari kasus virus Pesin sampai dengan kangen dan terakhir virus dengan mengusung nama pembawa acara jejak petualang “RIYANI JANGKARU”.

Dilihat dari script yang ada pada virus tersebut, kemungkinan besar dibuat oleh sekumpulan orang yang memang mengidolakan (fans) terhadap Riyani Jangkaru, di duga mereka berasal dari Makassar dan kemungkinan besar pula virus ini sudah ada sejak Desember 2004

Berikut script yang ada pada virus tersebut:

-----------------------------------------------------------------------------------------------------------------------------------

S e l a m a t t a h u n b a r u 2 0 0 5

C o m p a n y N a m e m a n O R b l a c k

F i l e D e s c r i p t i o n R i y a n i J a n g k a r u F a n s C l u b T .

L e g a l C o p y r i g h t M a k a s s a r D e s e m b e r 2 0 0 4

@L e g a l T r a d e m a r k s m a n O R b l a c k

P r o d u c t N a m e V e r s i 1 0 . 0 0 9 B e t a 8

F i l e V e r s i o n 1 7 . 1 0 . 0 0 9 6

< P r o d u c t V e r s i o n 1 7 . 1 0 . 0 0 9 6 @ I n t e r n a l N a m e r i y a n i _ j a n g k a r u P (O r i g i n a l F i l e n a m e r i y a n i _ j a n g k a r u . e x e

------------------------------------------------------------------------------------------------------------------------------------

Norman Virus Control mendeteksi dan menghapus virus tersebut pertanggal 12 Juli 2005, seperti terlihat pada gambar dibawah ini:

Virus ini datang dengan nama file riyani_jangkaru.exe, mempunyai ukuran file sebesar 40 kb. Untuk mengelabui pengguna komputer, virus ini secara cerdik akan megganti icon file tersebut dengan icon JPG, walaupun sebenarnya type dari file tersebut adalah application, seperti terlihat pada gambar 1:

Gambar 1

Seperti kita ketahui, settingan default windows adalah tidak menampilkan ekstensi file, jadi file dengan nama riyani_jangkaru.exe akan terlihat sebagai riyani_jangkaru, apalagi dengan icon jpg tidak heran jika penerima file ini kemungkinan besar akan mengkliknya karena saat ini masih belum ada virus yang menyebarkan dirinya melalui jpg.

Jika anda menjalankan file tersebut jangan terkejut jika gambar (Riyani Jangkaru) yang anda ingin lihat tidak kunjung datang : (, anda baru saja mengaktifkan virus tersebut.

Jika berhasil menginfeksi komputer, virus ini akan membuat 2 buah file pada direktori %system% dengan nama file :

· xpshare.exe dengan ukuran file 40 kb (icon JPG) pada C:\!submit

· riyani_jangkaru.exe dengan ukuran file 40 kb (icon JPG) pada C:\

Agar virus ini dapat langsung aktif begitu komputer dijalankan, ia akan membuat value pada registry key dengan nama :

· winloader

pada lokasi registri :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run

Selain itu virus ini akan merubah nama pemilik Windows (Registered Organization) dengan merubah value registry

· RegisteredOrganization = manORblack

Pada registry key :

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

Sehingga jika kita lihat username Windows akan berubah menjadi (lihat Gambar 2)

Gambar2

Menyebar melalui Disket dan Removable Disk

Metode penyebaran virus ini masih memakai cara lama dan terbukti ampuh yaitu menyebar melalui Disket dan Removable Disk (USB), virus ini akan mengcopykan satu file application dengan nama riyani_jangkaru.exe dengan ukuran file 40 kb dan icon dipalsukan mirip dengan icon file JPG. Tujuannya adalah supaya penerima file mengira ia menerima file gambar riyani Jangkaru dan menjalankan file tersebut.

Disable Registry Editor , msconfig, Task Manager

Mengikuti trend Kangen, virus ini juga akan melakukan penonaktifan program registry editor, msconfig dan task manager, dimana seperti kita ketahui virus yang sedang berjalan dapat kita dimatikan menggunakan ke-3 program tersebut di atas. Karena itu proses pembersihan virus akan semakin susah dan merepotkan kecuali pembersihan tersebut dilakukan pada posisi “safe mode” atau dengan perintah “Taskkill” pada windows XP/Server 2003.

Virus ini akan memblok akses ke Registry Editor (regedit) dan Task Manager dengan menambahkan 2 string :

· DisableRegistryTools

· DisableTaskMgr

pada registry key dibawah ini dan :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Disable Program WINAMP dan NOTEPAD

Berbeda dengan Kangen, virus ini akan menonaktifkan program Winamp dan notepad, sehingga jika anda mencoba membuka file Notepad akan langsung ditutup lagi oleh virus.

Dari hasil pengetesan yang kami lakukan, Riyani Jangakaru termasuk virus yang "baik hati" karena tidak menunjukan gejala yang membahayakan seperti menghapus atau membuat duplikasi file (yang dilakukan oleh virus kangen), atau menghapus direktori C:\windows dan C:\program files (pada virus Pesin), virus ini “hanya” akan mematikan program notepad dan winamp.

Cara mengatasinya

Bila anda terinfeksi virus RJ, scan komputer anda dengan antivirus yang dapat mendeteksi virus ini dan bersihkan semua file yang terdeteksi sebagai W32/Tabaru.A. Bagi pengguna Norman Virus Control, pastikan update antivirus anda tanggal 12 Juli 2005.

salam,

Adang Juhar Taufik (AJT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

#451 From: "Vaksincom" <alfons@...>
Date: Tue Aug 9, 2005 11:13 am
Subject: Virus lokal menyerbu Indonesia vaksincom
Send Email

Insiden Malware Juli 2005 9 Agustus 2005

Virus lokal menyerbu Indonesia

Dunia IT Indonesia pada bulan Juli 2005 ditandai dengan maraknya virus lokal dan serangan Spyware yang menurun dibandingkan bulan Juni 2005, serangan Mytob menjadi perhatian utama sekali lagi. Rupanya, selain produksi asap yang di ekspor setiap tahun ke negeri Jiran dan Singapura :(, ternyata cukup banyak programmer asal Indonesia yang mampu membuat virus yang tidak kalah "sakti" dengan virus dari mancanegara. Ambil contoh virus Kangen yang sampai hari ini sudah mencapai varian ke empat, lalu virus Tabaru yang memalsukan dirinya sebagai gambar Riyanni Djangkaru, virus Kumis (lihat artikel di PCplus Edisi 235/VI/2005) yang akan merestart komputer anda meskipun OS anda sudah di patch sampai dengan pendatang baru virus Fawn yang menggabungkan kemampuan Lavist dan Kangen.

Secara umum, di bulan Juli 2005 spyware masih berjaya mengalahkan virus dengan total insiden 12.479 (57 %) sedangkan insiden virus di bulan Juli 2005 tercatat sebanyak 9.587 (43 %). (lihat gambar 1)

Gambar 1, Insiden Malware Juli 2005

Hati-hati dengan Mytob dan serangan virus lokal melalui USB Drive

Mytob adalah "keluarga besar" virus yang selain mampu menyebar melalui email juga menyebar melalui celah keamanan pada OS anda. Mytob sebenarnya merupakan penggabungan dari dua virus hebat, yang pertama adalah SDBot/Spybot yang sangat populer memiliki kemampuan menyebar melalui jaringan dengan sangat efektif "tetapi" SDBot tidak mampu menyebar melalui email. Celakanya, ada pembuat virus yang menguasai MyDoom yang mampu menyebar melalui email dengan sangat baik dan tertarik dengan SDBot ini dan membuat perpaduan kedua virus ini menjadi virus yang paling banyak variannya sampai hari ini Mytob. Anda perlu berhati-hati dengan Mytob karena selain mampu menyebar dengan sangat baik melalui email dan jaringan seperti layaknya "nenek moyangnya" My Doom dan SDBot, Mytob juga melumpuhkan program antivirus dan firewall dari komputer yang di infeksinya sehingga pertahanan komputer anda jadi terbuka sama sekali. Mytob akan mencoba mengupdate dirinya (seperti antivirus) dengan menghubungi channel tertentu dari IRC (Internet Relay Chat) dimana pembuatnya dapat memberikan perintah baru bagi seluruh komputer yang terinfeksi Mytob dari IRC. Mytob juga mengeksploitasi celah keamanan Microsoft Windows Local Security Authority Service Remote Buffer Overflow
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx dan meninggalkan backdoor pada komputer yang di infeksinya. Sebenarnya pada bulan Juli 2005 Mytob berada di peringkat 2, tetapi tergeser ke peringkat 3 karena masuknya "kategori" baru Malware yang merupakan kumpulan virus baru yang belum ada definisinya namu dapat terdeteksi oleh teknologi Sandbox dari Norman Virus Control sebagai Malware. Jadi Malware ini merupakan kumpulan dari virus-virus baru yang walaupun belum dapat dikenali oleh antivirus tetapi mampu di deteksi oleh Norman Virus Control dengan teknologi Sandbox. Sandbox adalah teknologi unggulan Norman yang mampu mendeteksi virus baru tanpa tergantung pada update. Peringkat pertama virus tetap dipegang oleh jawara Netsky dengan insiden sebanyak 4.712 (49.15 %).

Setelah Mytob, pengguna komputer Indonesia harus mewaspadai virus lokal. Pemimpin dari "geng" ini adalah virus Kangen yang sampai pada saat ini sudah mencapai varian ke empat W32/Kangen.D yang beranggotakan W32/Pesin / W32/MyHeart, W32/Tabaru (Riyani Jangkaru), W32/Lavist, W32/Kumis dan yang teranyar serta sedang menyebar dengan tingkat yang cukup mengkhawatirkan adalah W32/Fawn. Celakanya, baru saja kami membuat analisa W32/Fawn ternyata variannya sudah menyebar lagi dengan nama W32/Fawn.B.

Ciri khas dari virus-virus lokal ini adalah mayoritas menggunakan media Disket dan USB Disk sebagai media penyebaran utamanya. Dan hal ini terbukti efektif sekali dan menunjukkan kejelian pembuat virus yang menggunakan rekayasa sosial memalsukan icon executable sehingga terlihat seakan-akan sebagai file tidak berbahaya seperti .doc (MyHeart, Kangen), .jpg (Tabaru) dan ada yang terlihat sebagai folder (Kumis) padahal jika di jalankan bukan masuk ke dalam folder melainkan akan mengaktifkan si "Kumis" :-{). Penyebaran melalui USB Disk dan disket ini juga sesuai dengan penyebaran pengguna komputer Indonesia yang mayoritas masih menggunakan warnet dan umumnya menyimpan filenya menggunakan USB Disk. Celakanya, satu saja pengguna warnet yang terinfeksi virus dan mencolokkan USB Disknya pada komputer warnet sudah cukup untuk menginfeksi komputer tersebut (dan komputer lain dalam jaringan) sehingga USB Disk pengguna warnet berikutnya akan langsung terinfeksi virus begitu mengkopikan file ke USB Disknya. Jika komputer / USB Disk anda terinfeksi virus dan semua file .doc dirubah menjadi file bervirus, coba lihat dulu semua file dan jangan format dulu Harddisk komputer / USBDisk anda karena pada beberapa kasus virus lokal ini tidak "jahat" dan hanya menyembunyikan file .doc yang asli dengan memberikan atribut hidden pada semua file asli yang dapat anda kembalikan dengan mengubah kembali atribut tersebut.

Vaksincom bekerjasama dengan Norman Virus Control memberikan solusi bagi warnet yang perduli akan perlindungan bagi pelanggannya dengan memberikan harga khusus bagi seluruh warnet dan sekolah di seluruh Indonesia dengan mengadakan program Save Our Warnet (SOW) dan Save Our School (SOS) dimana pengguna warnet dan komputer di sekolah dapat terlindung sama baiknya dengan korporat besar yang menggunakan Norman Virus Control for Business Edition namun dengan harga yang sangat ekonomis. Untuk menunjang kegiatan ini, Vaksincom akan mengadakan workshop SOW dan SOS pada tanggal 21 September 2005.

Untuk detail infeksi virus Juli 2005 silahkan lihat gambar 2 dan tabel 1

Gambar 2, Insiden Virus Indonesia Juli 2005

No	Virus	Jumlah	%
1	Netsky	4,712	49.15%
2	Malware	2,473	25.80%
3	Mytob	542	5.65%
4	Korgo	345	3.60%
5	Kangen	269	2.81%
6	Marker	265	2.76%
7	Funlove	193	2.01%
8	HTML/Exploit	164	1.71%
9	Zafi	136	1.42%
10	Sasser	122	1.27%
	Lainnya	366	3.82%
	Total	9,587	100%

Tabel 1, Top 10 Virus Indonesia Juli 2005

Spyware

Insiden Spyware bulan Juli 2005 dipimpin oleh Spyware yang sama seperti bulan-bulan sebelumnya dimana penyebaran persentasenya cukup merata dimana pimpinan spyware Istbar yang bulan lalu duduk di peringkat ke 4 bulan ini menggeset jawara bulan lalu Hotbar (yang terlempar dari Top 25 Spyware Juli 2005) memberikan kontribusi 22.97 % diikuti oleh Comet / Comet cursor pada peringkat 2 dengan insiden sebesar 1.540 (12.34 %) yang bulan lalu hanya menempati peringkat 13. Gator dan Winad tetap mempertahankan posisinya pada 5 besar seperti bulan lalu diikuti oleh Mywebsearch dan Funweb. Secara total, jumlah Spyware yang mampu menembus 100 insiden ada 23 Spyware, menurun dibandingkan bulan lalu yang berjumlah 27 Spyware. Secara kuantitaspun, jumlah infeksi spyware di bulan Juli 2005 hanya 12.479 insiden menurun jauh dibandingkan bulan Juni 2005 yang berhasil menembus angka 50.000 insiden.

Untuk lebih jelasnya, silahkan lihat gambar 3 dan table 2 dibawah ini.

Gambar 3, Insiden Spyware Indoensia Juli 2005

No	Adware	Jumlah	%
1	Istbar	2,866	22.97%
2	Comet	1,540	12.34%
3	Winad	1,135	9.10%
4	Gator	1,110	8.89%
5	Mywebsearch	638	5.11%
6	Funweb	631	5.06%
7	Dealhelper	462	3.70%
8	Startpage	416	3.33%
9	Byteverify	363	2.91%
10	Myway	309	2.48%
11	Shampo	305	2.44%
12	Krepper	284	2.28%
13	Dloader	282	2.26%
14	Agent	277	2.22%
15	BargainBuddy	236	1.89%
16	BetterInternet	236	1.89%
17	MarketScore	181	1.45%
18	Sahat	165	1.32%
19	Dyfuca	148	1.19%
20	Hidrag	143	1.15%
21	Dluca	120	0.96%
22	LDPinch	110	0.88%
23	Timesinc	108	0.87%
24	180solution	94	0.75%
25	Savenow	86	0.69%
	Lainnya	234	1.88%
	Total	12,479	100%

Tabel 3, Top 25 Spyware Indonesia Juli 2005

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@...

Reply | Messages in this Topic (1)

Yahoo! Groups

Breaking News Visit Yahoo! News for the latest.

The Yahoo! Groups Product Blog

Check it out!

Group Information

Yahoo! Groups Tips

Did you know...

Messages