wah sepertinya entah itu anggota milis iagi, hagi atau fogri nih yg terkena virus, pokoknya sudah ada beberapa orang dari oil company yg ngirim email bervirus, soalnya sudah ada beberapa yg secara otomatis ngirim email, dan lebih hebatnya lagi virus tersebut memforward email2 yg pernah dikirim oleh komputer yg terkena virus. Yg diforward ada email urusan pekerjaan........nah lho ketauan.......
nah makanya jangan buka attachment email sembarangan yg nggak jelas extensionnya
salam, PHN
berikut ini ada informasi yg perlu dibaca
============================================================
HARAP DIBACA
============================================================
Bugbear.B 5 Juni 2003
Hati-hati jika menerima email dari BI atau BII
Hari Kamis, 5 Juni 2003 muncul sebuah worm baru yang
merupakan varian dari bugbear dengan nama [EMAIL PROTECTED] Worm
ini sangat mengkhawatirkan karena memiliki banyak payload
mematikan seperti menghapus banyak program dari ICQ, Outlook
Express, Download Accelerator Pro, Kazaa, winzip dan program
populer yang lain. Selain itu, ada satu hal baru yang
dilakukan dalam rangka forging (memalsukan dirinya)
menggunakan email, worm ini memiliki list 1300 domain
institusi finansial internasional dimana dua domain bank
Indonesia termasuk ke dalamnya (www.bi.go.id dan
www.bii.co.id) selain bank multinasional lain seperti HSBC,
Citibank dan Standard Chartered.
Win32.Bugbear.B adalah sebuah virus worm yang dibuat dengan
menggunakan program Microsoft Visual C++. Virus ini hampir
sama dalam fungsinya dengan variant aslinya, meskipun varian
ini hanya memilih file-file .EXE dan mempunyai sifat dasar
polymorphic. Yang lebih hebatnya lagi selain mempunyai sifat
dasar polymorphic, ia mempunyai kelebihan lainnya antara
lain : Mass-mailer, Network Share Propagator, Keylogger,
Remote Access Trojan, Security Software Terminator, jadi
betapa komplexnya virus ini.
Worm datang sebagai sebuah attach pada email yang anda
terima. Users harus memperhatikan bahwa nama dari attachment
tersebut tidak dapat diramalkan. Anda harus waspada karena
setiap file yang dikirimkan memakai double extension. File
yang akan anda terima adalah sebesar 72,192 bytes dalam
keadaan dikomress dengan menggunakan UPX. Perlu diketahui
virus ini penyebaran yang terbanyak terdapat di Inggris,
Belanda, Hongkong dan Itali, serta asal mula penyebaran dari
Amerika Serikat. Sekarang sudah menyebar di 104 negara.
Worm ini secara terus menerus mencari file pada drive C:\
yang mengandung string seperti di bawah ini :
.DBX
.TBB
.EML
.MBX
.NCH
.MMF
INBOX
.ODS
Ia mencari semua alamat email yang valid. Alamat-alamat
email ini akan digunakan untuk mengirimkan dirinya sendiri
dan akan dipakai untuk mengelabui penerima email seolah-olah
alamat pengirimnya dari A, tetapi sebenarnya dari komputer
B. Kalau kita ingat kasus ini seperti kalau kita menghadapi
virus worm Klez. Jadi kita tidak boleh percaya bahwa yang
kirim adalah alamat yang tertera pada field "From". Untuk
mengirimkan message, virus ini akan memakai default SMTP
server specified pada Internet Account Manager :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account
Manager
Pada email yang diterima mengandung 2 buah file .DAT yang
terenkrip dan akan diletakkan pada direktori C:\Windows.
File-file ini juga mempunyai nama-nama yang selalu
berubah-rubah misalnya :
C:\WINDOWS\kealue.dat
C:\WINDOWS\lissoi.dat
Ketika memilih nama attachment, virus ini mencarinya dari
direktori "My Documents", di mana pencarian ini dipandu
dengan menggunakan registry key:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders\Personal
Jika sebuah file ternyata ada di dalam folder tersebut, ini
menggunakan nama file yang ada sebagai attach dan akan
menambahkan sebuah nama extensions lainnya :
pif
exe
scr
Adapun file-file yang akan digunakan mengandung extensions
antara lain sebagai berikut :
.reg
.ini
.bat
.diz
.doc
.txt
.cpp
.html
.htm
.jpeg
.jpg
.gif
.cpl
.dll
.vxd
.sys
.com
.exe
.xls
.bmp
.MP3
Ia akan menggunakan setiap file yang mengandung sebuah
karakter seperti contoh di atas, jadi file yang akan
diterima akan mengandung 2 buah extension. Sebagai contoh,
jika di dalam direktori C:\My Documents ada sebuah file yang
benama "jambu.doc", maka akan dipakai sebagai nama file
attachment virus :
" JAMBU.DOC.scr "
Jika dibuat sendiri, body dari message terlihat kosong. Dan
juga ia hanya memakai sebuah ektensi, misalnya :
"JAMBU.PIF atau JAMBU.SCR
Subject dan body mungkin diletakkan pada massage yang ada
dan ditemukan dari system yang terinfeksi atau dibuat oleh
virus itu sendiri. Hal yang menjadi rumit adalah virus ini
mengandung HTML code exploiting "Incorrect MIME Header "
yang menyerang pada Internet Explorer, Outlook dan Outlook
Express. Jika berhasil, secara atomatis file attachment akan
dibuka dan akan menampilkan message tanpa sepengetahuan
user. Untuk penjelasan tentang HTML code exploiting anda
dapat mengunjungi alamat http://www.microsoft.com/technet/security/bulletin/ms01-020.asp
Isi dari Subject message yang anda terima akan seperti di
bawah ini :
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Correction of errors
Cows
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
Hello!
Hi!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
News
Payment notices
Please Help...
Re: $150 FREE Bonus!
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
wow!
Your Gift
Your News Alert
Worm akan membuat beberapa buah file yang namanya digenered
menggunakan serial number drive C: dari komputer yang
terinfeksi. Maksudnya, nama yang akan dikenali akan
bervariasi antara komputer satu dengan lainnya.
Virus ini akan mengcopykan dirinya ke dua lokasi yakni,
direktori C:\ System directory dan pada folder Startup,
dimana ini dibaca dari registry key:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders\Startup
Nama file pada direktori System mengandung 4 buah karakter,
dan pada folder Startup folder mengandung 3 karakter.
Kedua-duanya mengandung EXE ekstensi. Sebagai contoh :
C:\WINDOWS\SYSTEM\JAKI.EXE
C:\WINDOWS\Start Menu\Programs\StartUp\oal.exe
Worm ini juga membuat 3 file dengan ekstensi DLL pada
direktori System. Hanya satu file DLL library yang ada, dan
yang lainnya digunakan oleh worm itu sendiri. DLL yang asli
mengandung 7 karakter, sebagai contoh:
C:\WINDOWS\SYSTEM\sekqlkq.dll
DLL ini digunakan worm untuk mencatat setiap ketikan
keyboard, dan akan digunakan untuk mencuri password serta
informasi penting lainnya.
Pada system operasi Windows 9x/ME worm ini akan mencoba
mandapatkan cached passwords dengan menggunakan
WNetEnumCachedPasswords. Ketukan keyboard dan cached
passwords akan dikirim ke alamat email yang dipilih secara
acak dari daftar alamat yang telah dipunyai oleh worm itu
sendiri. Informasi ini akan disimpan pada file lokal dengan
encrypted, dan dapat diakses dengan menggunakan kemampuan
backdoor (yang dapat diilakukan pada file lain pada komputer
yang terinfeksi)
Nama-nama lain mengadung 6 dan 7 karakter, seperti :
C:\WINDOWS\SYSTEM\eamoim.dll
C:\WINDOWS\SYSTEM\pagurgu.dll
Worm ini secara teratur akan The worm regularly searches and
terminates the following Antivirus/Firewall processes if
they are found in memory:
ZONEALARM.EXE,
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
Worm in akan memantau sebagai sebuah backdoor pada TCP port
1080, dan menerima perintah untuk memfungsikan seperi
mengupload, esekusi file, menon-aktifkan proces, membaca
file, menghapus file, versi window, type prossesor, ukuran
drive yang digunakan, dan mengambil informasi dari system
yang ada. Dapat juga membuka HTTP server (port 80) pada
komputer terinfeksi dan kemudian menghubungi backdoor web
server yang sudah tersedia. Worm ini akan mendaftar jaringan
yang disharing untuk mengcopykan dirinya pada folder
'Startup' yang ditemukan pada registry key dengan file yang
diacak.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders\Startup
Contoh : C:\WINDOWS\Start Menu\Programs\StartUp\iiy.exe
Karena worm ini mendetekasi satu persatu semua sharing yang
ada, ia akan mencoba mengcopykan dirinya pada printer yang
dianggap sebagai sebuah disk. Ini akan menyebabkan hasil
dari output printers pada jaringan lokal akan menghasil
karakter-karakter khusus.
Win32.Bugbear.B juga menginfeksi beberapa file .EXE pada
komputer yang teinfeksi: (ada kemungkinan akan dihapus)
%ProgramFilesDir%\Internet Explorer\iexplore.exe
%ProgramFilesDir%\adobe\acrobat 5.0\reader\acrord32.exe
%ProgramFilesDir%\WinRAR\WinRAR.exe
%ProgramFilesDir%\Windows Media Player\mplayer2.exe
%ProgramFilesDir%\Real\RealPlayer\realplay.exe
%ProgramFilesDir%\Outlook Express\msimn.exe
%ProgramFilesDir%\Far\Far.exe
%ProgramFilesDir%\CuteFTP\cutftp32.exe
%ProgramFilesDir%\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
%ProgramFilesDir%\ACDSee32\ACDSee32.exe
%ProgramFilesDir%\MSN Messenger\msnmsgr.exe
%ProgramFilesDir%\WS_FTP\WS_FTP95.exe
%ProgramFilesDir%\QuickTime\QuickTimePlayer.exe
%ProgramFilesDir%\StreamCast\Morpheus\Morpheus.exe
%ProgramFilesDir%\Zone Labs\ZoneAlarm\ZoneAlarm.exe
%ProgramFilesDir%\Trillian\Trillian.exe
%ProgramFilesDir%\Lavasoft\Ad-aware 6\Ad-aware.exe
%ProgramFilesDir%\AIM95\aim.exe
%ProgramFilesDir%\Winamp\winamp.exe
%ProgramFilesDir%\DAP\DAP.exe
%ProgramFilesDir%\ICQ\Icq.exe
%ProgramFilesDir%\kazaa\kazaa.exe
%ProgramFilesDir%\winzip\winzip32.exe
%Windows%\scandskw.exe
%Windows%\regedit.exe
%Windows%\mplayer.exe
%Windows%\hh.exe
%Windows%\notepad.exe
%Windows%\winhelp.exe
dimana: %ProgramFilesDir% is diambil dari:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir
Karena begitu kompleksnya virus ini, cepat sekali untuk
menyebar, maka kami harapkan anda mengupate Outlook Express,
Outlook anda.
Hasil dari pantauan Message labs ketika berita ini dibuat
sudah mencapai 15000 kasus yang diketahui dan sudah
menempati rangking ke-2
--------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] Visit IAGI Website: http://iagi.or.id IAGI-net Archive 1: http://www.mail-archive.com/iagi-net%40iagi.or.id/ IAGI-net Archive 2: http://groups.yahoo.com/group/iagi
Komisi Sedimentologi (FOSI) : F. Hasan Sidi([EMAIL PROTECTED])-http://fosi.iagi.or.id Komisi SDM/Pendidikan : Edy Sunardi([EMAIL PROTECTED]) Komisi Karst : Hanang Samodra([EMAIL PROTECTED]) Komisi Sertifikasi : M. Suryowibowo([EMAIL PROTECTED]) Komisi OTODA : Ridwan Djamaluddin([EMAIL PROTECTED] atau [EMAIL PROTECTED]), Arif Zardi Dahlius([EMAIL PROTECTED]) Komisi Database Geologi : Aria A. Mulhadiono([EMAIL PROTECTED]) ---------------------------------------------------------------------
