M Fahmi Aulia
Thu, 29 Jan 2004 10:06:00 -0800
=========================== F R I E N D S H I P =========================== Original Sender : "M Fahmi Aulia" <[EMAIL PROTECTED]> ----------------------------------------------------------------
From: "GUSPUR79" > > [EMAIL PROTECTED] <27 Januari 2004> > Kiamat kecil di awal tahun > > Sebagai sebuah virus worm yang baru dikenal sebagai Mydoom atau > Novarg telah menyerang dan menyebar secara cepat melalui perantara email dan > Kazaa network. Pada email, virus mengandung subject, bodi dan > attachment yang bervariasi. Worm ini akan membuka applikasi NOTEPAD > dan menampilkan karakter acak di dalamnya. Yang menarik, MYDoom akan > menyerang sebuah web site yang merupakan salah satu varian UNIX > dengan alamat http://www.sco.com dengan DDoS-attack pada tanggal > 1 Februari 2004. > > Sebenarnya apa saja yang dilakukan oleh MyDoom? Virus ini > pertama-tama masuk ke dalam komputer anda sebagai sebuah email dengan banyak > sekali varibel-variabel yang digunakan, misalnya : > Subject ditampilkan secara random : > - Server Report > - Mail Delivery System > - Hi > - status > - hello > - HELLO > - Hi > - test > - Test > - Mail Transaction Failed > - Server Request > - Error > > Message Body dapat dipilih dari list yang dibawa oleh virus tersebut, > bisa kosong, atau terdiri dari sebuah pesan-pesan sampah seperti > contoh > di atas. Sebagai contoh lainnya dari Message Body digunakan oleh worm > tersebut : > - The message contains Unicode characters and has been sent as > a binary attachment. > - The message cannot be represented in 7-bit ASCII encoding and > has been sent as a binary attachment. > - Mail transaction failed. Partial message is available. > - Test > > Attach / Lampiran yang dikirimkan juga namanya berubah-rubah dan > dikemas dalam bentuk sebuah file ZIP. Dan isinya terkadang merupakan sebuah > file double extention. Virus ini seolah-olah menjadi sebuah file TXT yang > akan dibuka oleh NOTEPAD. File-file *.TXT tersebut adalah seperti contoh > di bawah ini yang akan anda terima: > body > message > test > data > file > text > doc > readme > document > > File-file tersebut di atas akan ditambahkan sebuah extention di > bawah ini: > - BAT > - EXE > - PIF > - SCR > - CMD > > Setelah virus tersebut dijalankan maka ia akan menginfeksi komputer > anda dan melakukan pekerjaan backdoor. Tugas backdoor ini ditanamkan oleh > sebuah file yang bernama SHIMGAPI.DLL pada system32 directory dan > dijalankan dengan mudahnya seperti anda menggunakan EXPLORER.EXE. > Virus ini akan menjaga dan membuka TCP port 3127 sampai 3198. > File tersebut dikompress dengan menggunakan metode UPX > Nama file yang akan digunakan MyDoom dalam System adalah : > > ° TASKMON.EXE > Taskmon, adalah task manager yang berfungsi melihat aplikasi apa > yang sedang dijalankan oleh sebuah komputer. Jika aplikasi ini diganti, > maka file-file yang ditampilkan bukan merupakan aplikasi yang > sedang dijalankan oleh komputer itu sendiri tetapi applikasi yang > disamarkan seolah-olah dijalankan oleh komputer itu sendiri. Yang berbahaya > jika applikasi yang diketahui oleh Taskmon tersebut adalah applikasi > yang normal menurut kita, tetapi sebenarnya adalah applikasi yang > berbahaya. Misalnya applikasi untuk mengirimkan worm (virus), > tetapi disamarkan dengan nama applikasi lain misalnya Kazaa.EXE. Kalau > kita lihat pada linux ini adalah semacam applikasi rootkit dimana > applikasi-applikasi utama dalam server diganti dengan applikasi > dengan nama yang sejenis tetapi fungsinya lain. > > File asli dari TASKMON.EXE akan didelete dan diganti oleh file dari > virus tersebut dan diletakkan pada direktori SYSTEM32, dan akan > juga membuat 2 buah value registry yang baru sehingga akan selalu > dijalankan setiap kali anda reboot komputer anda : > HKLM\Software\Microsoft\Windows\CurrentVersion\Run > "TaskMon" = %sysdir%\taskmon.exe > dan untuk menjaga-jaga jika ada kegagalan maka dibuatlah sebuah > value lainnya : > HKCU\Software\Microsoft\Windows\CurrentVersion\Run > "TaskMon" = %sysdir%\taskmon.exe > > ° MESSAGE, file ini diletakan pada direktori %temp%. File ini yang > akan melaksanakan penamaan file yang bervirus secara random dan dibaca > dengan menggunakan NOTEPAD > > Untuk diperhatikan para pengguna applikasi P2P, khususnya KAZAA, > jangan sekali-kali membuka file-file yang di share dengan nama : > > ° winamp5 > ° icq2004-final > ° activation_crack > ° strip-girl-2.0bdcom_patches > ° rootkitXP > ° office_crack > ° nuke2004 > > dengan ekstensi > > ° bat > ° exe > ° scr > ° pif > > dan ciri yang sangat jelas adalah ukuran filenya 22 KB. > Sekali anda mendownload dan menjalankan file ini, maka anda akan > terinfeksi MyDoom. > > Cara menghapus atau mengatasi MyDoom : > 1. Update data definisi virus dari antivirus anda. > 2. Untuk pengguna Win XP dan Win ME harap nonaktifkan System Restore. > 3. Restart komputer dalam Safe Mode. > 4. Scan harddisk menggunakan antivirus dan clean semua file yang > terdeteksi sebagai MyDoom. > 5. Jalankan Regedit untuk menghapus value yang ditambahkan pada file > registry: > Buka Registry Editor. Klik [Start] [Run] ketik REGEDIT dan > tekan Enter. Pada panel kiri klik : > HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run > Pada panel kanan, temukan dan HAPUS : > TaskMon = c:\windows\System\taskmon.exe > > Tutup Registri Editor > Tips : > Untuk melindungi komputer dari virus sejenis MyDoom yang menggunakan > ekstensi ganda tanpa memerlukan update antivirus, kami sarankan anda > menggunakan antivirus yang dapat mendeteksi penerimaan email dengan > attach / lampiran yang menggunakan double extention. > ---------------------------------------------------------------- Friendship MailingList is provided by PT Centrin Online Tbk Maintained by : [EMAIL PROTECTED] To Post a msg : Mail to [EMAIL PROTECTED] To Unsubscribe : Mail to [EMAIL PROTECTED] . BODY : unsubscribe <Mailing List Name> For more information, send mail to [EMAIL PROTECTED] with "HELP" in the BODY of your mail (without quote). ----------------------------------------------------------------