Gelombang Virus Messenger menyerang 8 Maret 2005 Hey LARISSA f**k off, you f**king n00b!.. Bla bla to your f**king Saving the world from Bropia, the world n33ds saving from you! '-S-K-Y-'-D-E-V-I-L-'
Layaknya gelombang Tsunami yang datang berulang-ulang, dalam satu pekan terakhir ini di internet sedang beredar virus-virus yang menyerang pengguna messenger. Sebut saja Kelvir yang pada saat pembuatan berita ini sudah memiliki 3 varian, disusul oleh Sumom / Fatso yang selain menyebar melalui MSN Messenger juga mampu menyebar melalui P2P (Peer to Peer) dan mengkopikan diri ke CD-R (CD Recordable). Vaksincom menyarankan para pengguna messenger untuk berhati-hati dan jangan menjalankan file kiriman dari messenger serta selalu melakukan tindakan proaktif untuk melindungi diri seperti melakukan update patch secara teratur dan melindungi diri dengan program antivirus dan antispyware yang terupdate. Kelvir Kelvir adalah virus messenger yang menyebarkan diri dengan mengirimkan link dirinya melalui MSN Messenger. Selain itu, Kelvir juga berusaha mendownload dan menjalankan file dari internet. Kelvir akan datang dengan pesan pada MSN sebagai berikut : lol! see it! u'll like it Pesan MSN yang datang akan bersama dengan link ke file yang mengandung worm di http://home.earthlink.net/**allery10/omg.pif. Jika file ini dijalankan, maka virus akan menginfeksi komputer korban dan menjalankan kembali kegiatannya menyebar melalui semua kontak pada Messenger. Selain itu, Kelvir juga akan mencoba untuk melakukan download file "me.jpg" dari http://home.earthlink.net/**allery10/me.jpg Catatan : ** merupakan direktori yang disamarkan dan pada saat ini file menuju link tersebut sudah tidak dapat diakses. Earthlink merupakan ISP yang berlokasi di Atlanta, Amerika. Menurut pemantauan Vaksincom, pada saat artikel ini dibuat, alamat tersebut sudah tidak bisa diakses dan secara efektif menghentikan penyebaran Kelvir. Selain memanfaatkan Earthlink, tercatat varian Kelvir.C yang menggunakan link di www.mxt-networkz.com dengan nama file "parishilton.pif". Sumom / Fatso Dibandingkan dengan Kelvir, Fatso jauh lebih rumit dan berbahaya karena disamping menyebarkan dirinya, Fatso juga berusaha mencegah proses pembersihan virus dan menghentikan banyak aplikasi sekuriti penting yang akan menyebabkan komputer korban tidak terproteksi dari semua serangan virus / spyware. Fatso juga memiliki kemampuan menyimpan dirinya ke dalam CD-R (CD Rom) sehingga umurnya akan makin panjang. Fatso menyebar melalui MSN Messenger, P2P sharing (termasuk Emule) dan direktori sharing lainnya dengan nama file : * Messenger Plus! 3.50.exe * MSN all version polygamy.exe * MSN nudge bomb.exe Yang jika dijalankan akan mengaktifkan virus tersebut. Selain itu, Fatso menyerang balik pembuat virus Assiral yang sebelumnya melakukan aksi membersihkan Bropia (sehingga disinyalir pembuat Bropia dan Fatso ini sama / satu group) dengan mengeluarkan teks ejekan yang agak kasar pada komputer korbannya dengan nama "Message to n00b LARISSA.txt" dengan isi sebagai berikut : Hey LARISSA f**k off, you f**king n00b!.. Bla bla to your f**king Saving the world from Bropia, the world n33ds saving from you! '-S-K-Y-'-D-E-V-I-L-' Penjelasan : LARISSA jika dibaca terbalik adalah ASSIRAL, noob adalah sebutan untuk programmer pemula / newbie. Kemungkinan pembuat Fatso marah karena virus Assiral dalam salah satu aksinya melakukan aksi menghapus komputer yang terinfeksi virus Bropia, mengingatkan kita pada Netsky dan Bagle, namun tingkat infeksi kedua virus ini masih jauh dibawah Netsky dan Bagle yang pada masa jayanya mampu menghabiskan > 75 % dari bandwidth email dunia. Assiral di ejek sebagai noob karena dia menggunakan SMTP untuk menyebarkan dirinya, suatu metode yang sangat umum dan relatif mudah digunakan dalam menyebarkan virus. Meniru spyware dalam mempertahankan dirinya Fatso berusaha menjadi virus yang membandel dan berusaha untuk bertahan pada komputer yang di infeksinya dengan cara sebagai berikut : * Meniru Spyware dalam melindungi dirinya. Jika file yang mengandung dirinya dihapus, dalam beberapa detik ia akan kembali mengkopikan dirinya kembali ke harddisk. * Mematikan proses-proses dan aplikasi dasar yang sering digunakan dalam proses pembersihan virus seperti secara manual seperti Task Manager [taskmgr.exe], Registry Editor [regedit.exe], Sistem Configuration Utility [msconfig.exe] dan Command / Dos Prompt [cmd.exe]. * Mematikan proses sekuriti baik antivirus, update antivirus, firewall ataupun tools pembasmi virus seperti : avengine.exe apvxdwin.exe atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avsynmgr.exe avwupd32.exe avxquar.exe bawindo.exe blackd.exe ccapp.exe ccevtmgr.exe ccproxy.exe ccpxysvc.exe cfiaudit.exe defwatch.exe drwebupw.exe escanh95.exe escanhnt.exe nisum.exe firewall.exe frameworkservice.exe icssuppnt.exe icsupp95.exe luall.exe lucoms~1.exe mcagent.exe mcshield.exe mcupdate.exe mcvsescn.exe mcvsrte.exe mcvsshld.exe navapsvc.exe navapw32.exe nopdb.exe nprotect.exe nupgrade.exe outpost.exe pavfires.exe pavproxy.exe pavsrv50.exe rtvscan.exe rulaunch.exe savscan.exe shstat.exe sndsrvc.exe symlcsvc.exe Update.exe updaterui.exe vshwin32.exe vsstat.exe vstskmgr.exe msdev.exe ollydbg.exe peid.exe petools.exe reshacker.exe w32dasm.exe winhex.exe wscript.exe * Memblok akses ke website sekuriti dengan mengarahkan ke http://64.233.167.104 yang merupakan IP yang dimiliki oleh Google.com. Adapun website yang diblok adalah sebagai berikut : www.symantec.com www.sophos.com www.mcafee.com www.viruslist.com www.f-secure.com www.avp.com www.kaspersky.com www.networkassociates.com www.ca.com www.my-etrust.com www.nai.com www.trendmicro.com www.grisoft.com securityresponse.symantec.com symantec.com sophos.com mcafee.com update.symantec.com liveupdate.symantecliveupdate.com viruslist.com f-secure.com kaspersky.com kaspersky-labs.com avp.com nai.com networkassociates.com ca.com mast.mcafee.com my-etrust.com download.mcafee.com dispatch.mcafee.com secure.nai.com updates.symantec.com us.mcafee.com liveupdate.symantec.com customer.symantec.com rads.mcafee.com trendmicro.com grisoft.com sandbox.norman.no www.pandasoftware.com uk.trendmicro-europe.com Analisa vaksincom Melihat cara Kelvir dan Fatso menyebarkan dirinya, dapat dipastikan bahwa kedua virus ini tidak akan berumur panjang. Khususnya Kelvir yang mengandalkan pada infeksi dari file yang ditempatkan pada website karena dengan dibloknya akses pada file bervirus atau dihapusnya file dari situs secara efektif akan menghentikan penyebaran virus ini. Tersisa hanya kemampuan Fatso menyebarkan dirinya melalui P2P, direktori sharing dan CD Rom yang diperkirakan tidak akan tinggi karena pengguna P2P relatif rendah dibandingkan pengguna Messenger, email atau browser. Yang perlu dikhawatirkan adalah varian berikut dari Kelvir atau Fatso yang kemungkinan makin cerdas menyebarkan dirinya dan menggunakan media yang tidak mudah diblok seperti IP komputer yang terinfeksi menjadi server file untuk menginfeksi komputer lain yang setelah terinfeksi akan menjadi server file untuk menginfeksi komputer lain dan seterusnya. Karena itu Vaksincom menyarankan kepada pengguna P2P dan Messenger untuk melakukan tindakan proaktif seperti : 1. Menginstal antivirus dan mengupdate secara otomatis. 2. Menginstal anti spyware dan mengupdate secara otomatis. 3. Melakukan update atas semua software secara disiplin dan teratur, baik Messenger, OS, Browser, Media Player maupun Mailclient. 4. Tidak sembarangan menerima dan menjalankan file yang dikirimkan kepada anda baik dari emial, Messenger, Peer to Peer maupun jaringan lokal. Jika anda terinfeksi Fatso atau Sumom dan anda tidak dapat menjalankan regedit.exe, msconfig.exe, cmd.exe ataupun taskmgr.exe, maka cara yang paling mudah dan efektif untuk membasmi Fatso adalah dengan melakukan restart pada Safemode sehingga anda dapat membersihkan Fatso baik secara manual melalui regesit maupun menggunakan aplikasi antivirus anda. ------------------------ Yahoo! Groups Sponsor --------------------~--> Give underprivileged students the materials they need to learn. Bring education to life by funding a specific classroom project. http://us.click.yahoo.com/LZzaMD/_WnJAA/HwKMAA/4tWolB/TM --------------------------------------------------------------------~-> -- -------------------------------------------------- Berhenti (Quit): [EMAIL PROTECTED] Arsip milis: http://groups.yahoo.com/group/smun65 Arsip Files: http://groups.yahoo.com/group/smun65/files Website: http://smun65.blogspot.com -------------------------------------------------- Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/smun65/ <*> To unsubscribe from this group, send an email to: [EMAIL PROTECTED] <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/
