----- Original Message ----- From: "IT Security (IS Center)" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Wednesday, January 28, 2004 8:50 AM Subject: [Info virus] [EMAIL PROTECTED] & [EMAIL PROTECTED]
> Rekans sekerja yth, > > Agar berhati-hati jika menerima e-mail dengan extention > ganda, dimana attachment file yang berakhiran "ZIP" akan > ditambahkan dengan sebuah extention tambahan antara lain: > - BAT > - EXE > - PIF > - SCR > - CMD > Sebagai contoh "DATA.ZIP.BAT" atau "DATA.ZIP.SCR" > > Jika mendapat mail dengan Attachment file tersebut agar > segera dihapus, karena berisi trojan yang akan membuat > "Backdoor connection" dengan membukan port 3127 s.d 3198. > > Pastikan pattern virus sudah diupdate. Bagi yang masih > menggunakan NAV, pattern terakhir tgl. 27 Januari 2004 > yang dapat di-download di http://portal.telkom.co.id. > Sedangkan bagi yang menggunakan TrendMicro OfficeScan, > pattern terbaru versi 747. > > Berikut artikel tentang worm tersebut yang didapat dari > Vaksicom: > > [EMAIL PROTECTED] > Kiamat kecil di awal tahun > > Sebagai sebuah virus worm yang baru dikenal sebagai Mydoom > atau Novarg telah menyerang dan menyebar secara cepat > melalui perantara email dan Kazaa network. Pada email, > virus mengandung subject, bodi dan attachment yang > bervariasi. Worm ini akan membuka applikasi NOTEPAD dan > menampilkan karakter acak di dalamnya. Dan yang menarik, > MYDoom akan menyerang sebuah web site yang merupakan salah > satu varian UNIX dengan alamat http://www.sco.com dengan > DDoS-attack pada tanggal 1 Februari 2004. > > Sebenarnya apa saja yang dilakukan oleh MyDoom ? > > Virus ini pertama-tama masuk ke dalam komputer anda > sebagai sebuah email dengan Subject ditampilkan secara > random : > - Server Report > - Mail Delivery System > - Hi > - status > - hello > - HELLO > - Hi > - test > - Test > - Mail Transaction Failed > - Server Request > - Error > > Message Body dapat dipilih dari list yang dibawa oleh > virus tersebut, bisa kosong, atau terdiri dari sebuah > pesan-pesan sampah seperti contoh di atas. Sebagai contoh > lainnya dari Message Body digunakan oleh worm tersebut : > > - The message contains Unicode characters and has been > sent as a binary attachment. - The message cannot be > represented in 7-bit ASCII encoding and has been sent as a > binary attachment. - Mail transaction failed. Partial > message is available. - Test > > Attach / Lampiran yang dikirimkan juga namanya > berubah-rubah dan dikemas dalam bentuk sebuah file ZIP. > Dan isinya terkadang merupakan sebuah file double > extention. Virus ini seolah-olah menjadi sebuah file TXT > yang akan dibuka oleh NOTEPAD. File-file *.TXT tersebut > adalah seperti contoh di bawah ini yang akan anda terima: > > body message test data file text doc readme document > File-file tersebut di atas akan ditambahkan sebuah > extention di bawah ini : > - BAT - EXE - PIF - SCR > - CMD > Setelah virus tersebut dijalankan maka ia akan menginfeksi > komputer anda dan melakukan pekerjaan backdoor. Tugas > backdoor ini ditanamkan oleh sebuah file yang bernama > SHIMGAPI.DLL pada system32 directory dan dijalankan dengan > mudahnya seperti anda menggunakan EXPLORER.EXE. Virus ini > akan menjaga dan membuka TCP port 3127 sampai 3198. File > tersebut dikompress dengan menggunakan metode UPX > Nama file yang akan digunakan MyDoom dalam System adalah : > > TASKMON.EXE Taskmon, adalah task manager yang berfungsi > melihat aplikasi apa yang sedang dijalankan oleh sebuah > komputer. Jika aplikasi ini diganti, maka file-file yang > ditampilkan bukan merupakan aplikasi yang sedang > dijalankan oleh komputer itu sendiri tetapi applikasi yang > disamarkan seolah-olah dijalankan oleh komputer itu > sendiri. Yang berbahaya jika applikasi yang diketahui oleh > Taskmon tersebut adalah applikasi yang normal menurut > kita, tetapi sebenarnya adalah applikasi yang berbahaya, > misalnya applikasi untuk mengirimkan worm (virus), tetapi > disamarkan dengan nama applikasi lain misalnya Kazaa.EXE. > Kalau kita lihat pada linux ini adalah semacam applikasi > rootkit dimana applikasi-applikasi utama dalam server > diganti dengan applikasi dengan nama yang sejenis tetapi > fungsinya lain. > File asli dari TASKMON.EXE akan didelete dan diganti oleh > file dari virus tersebut dan diletakkan pada direktori > SYSTEM32, dan akan juga membuat 2 buah value registry yang > baru sehingga akan selalu dijalankan setiap kali anda > reboot komputer anda : > > HKLM\Software\Microsoft\Windows\CurrentVersion\Run > "TaskMon" = %sysdir%\taskmon.exe > > dan untuk menjaga-jaga jika ada kegagalan maka dibuatlah > sebuah value lainnya : > > HKCU\Software\Microsoft\Windows\CurrentVersion\Run > "TaskMon" = %sysdir%\taskmon.exe > > MESSAGE, file ini diletakan pada direktori %temp%. File > ini yang akan melaksanakan penamaan file yang bervirus > secara random dan dibaca dengan menggunakan NOTEPAD > > Untuk diperhatikan para pengguna applikasi P2P, khususnya > KAZAA jangan sekali-kali membuka file-file yang di share > dengan nama : winamp5 > icq2004-final > activation_crack > strip-girl-2.0bdcom_patches > rootkitXP > office_crack > nuke2004 > > dengan ekstensi > bat > exe > scr > pif > > dan ciri yang sangat jelas adalah ukuran filenya 22 KB, > sekali anda mendownload dan menjalankan file ini, maka > anda akan terinfeksi MyDoom. > > Selamat bekerja dan bekerjasama > Salam, > > -------------------------- > Powered by PlasaCom ____________________________________________________ Berhenti/mengganti konfigurasi keanggotaan anda, silahkan ke: http://groups.or.id/mailman/options/rantau-net ____________________________________________________
