dear all, hati-hati sama email berattachment, bisa jadi memang virus... punyaku langsung tak del,
ini ada email tentang virus, semoga bermanfaat :) dew i > ID-CERT Incident Note AD-200204.01 > > Penyebaran dan Penanggulangan I-Worm Klez > > Tanggal: 30 April 2002 > > System yang rawan: > * Microsoft Windows Win9X/2K/NT/XP > > Pendahuluan > > I-Worm.Klez merupakan virus worm berbahaya yang menggandakan diri melalui > Internet, dan jaringan lokal mengakibatkan kerugian yang cukup tinggi. > > I. Deskripsi > > I-Worm.Klez adalah sebuah virus worm yang menyebar di Internet > menggunakan > attachment yang terinfeksi. Worm itu sendiri adalah sebuah file Windows > PE EXE dengan besar berkisar 57-65 Kb (tergantung pada versinya), > dan ditulis menggunakan Microsoft Visual C++. > > Pesan-pesar mail yang terinfeksi memiliki banyak variasi subject dan > nama file yang menjadi attachment, worm ini membuat sebuah file Windows > EXE dengan acak yang dimail dengan huruf 'K' (seperti KJ72364.exe) dalam > folder temporary, dan menyalinkan virus "Win32.Klez" kedalamnya, dan > menyebarkannya ke Internet menggunakan mail. Virus itu sendiri > menginfeksi > file-file Win32 PE EXE yang ada pada disk komputer yang dapat ditulis > olehnya. > > 1. Permulaan > > Ketika proses infeksi file dimulai, worm menduplikasikan diri pada > Windows > system folder dengan nama "krn132.exe". Kemudian menambahkan entry pada > registry Windows ketika start: > > HKLM\Software\Microsoft\Windows\CurrentVersion\Run > Krn132 = %System%\Krn132.exe > > dimana %System% adalah nama system folder Windows. > > Kemudian virus mencari applikasi program yang sedang aktif (terutama > antivirus) dan memaksa applikasi-applikasi tersebut untuk melakukan > prosesi > unload menggunakan perinta Windows "TerminateProcess", applikasi yang > dicari oleh virus adalah: > > _AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, > NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, > NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS > > 2. Penyebaran: e-mail > > Worm menggunakan protocol SMTP untuk mengirimkan pesan e-mail. Ia akan > mencari alamat e-mail dalam WAB database dan mengirimkan pesan dan > attactment yang telah terinfeksi pada alamat yang ditemukannya. > > Subject dari pesan-pesan yang terinfeksi akan dibuat acak dari sebuah > daftar kalimat seperti: > > Hello > How are you? > Can you help me? > We want peace > Where will you go? > Congratulations!!! > Don't cry > Look at the pretty > Some advice on your shortcoming > Free XXX Pictures > A free hot porn site > Why don't you reply to me? > How about have dinner with me together? > Never kiss a stranger > > dan is pesan mengandung kalimat seperti: > > I'm sorry to do so,but it's helpless to say sory. > I want a good job,I must support my parents. > Now you have seen my technical capabilities. > How much my year-salary now? NO more than $5,500. > What do you think of this fact? > Don't call my names,I have no hostility. > Can you help me? > > File attachment: Win32 PE EXE dengan nama yang acak, yang diakhiri dengan > ekstensi ".exe" atau menambahkannya menjadi ganda: > > namafile.ext.exe > > Worm biasanyanya memilih extension file dari attachment asli kemudian > menambahkan extension kedua ".exe". Seperti contoh, > "Laporan-Keuangan.xls.exe", "Report.doc.exe", dan lain-lain. > > Worm memasukkan entry bagian "From:" pada header mail menggunakan e-mail > asli dari si pemilik komputer yang terinfeksi (ditemukan dari pemilik WAB > database), atau menggunakan email yang dibuat secara acak. > > Sebuah bagian menarik dari proses penyebaran worm ini adalah ketika > hendak > mengirimkan pesan-pesan yang terinfeksi, worm menulis list dari alamat- > alamat email pada EXE tersebut, dan mengenkripsikan body (pesan dan > alamat- > alamat). > > 3. Penyebaran: Drive lokal dan jaringan > > Worm mencari dalam semua local drive dan jaringan dengan akses tulis dan > membuat salinan dengan acak dengan format nama.ext.exe (routine pembuatan > nama sama seperti yang digunakan dalam pembuatan nama untuk attachment). > Setelah menyalin dirinya pada jaringan, worm melakukan registrasi salinan > pada komputer remote seperti applikasi service pada system. > > 4. Payload > > Dalam 13 (tigabelas) hari dalam bulan yang sama, worm mengeksekusi sebuah > payload routine, dan akan mengisi semua file dalam disk komputer korban > dengan isi virus dan nama yang acak. File-file ini tidak dapat di-recover > kembali, namun dikembalikan dari salinan backup. > > 5. Varian > > a. Klez.e > > a.1 Installasi > > Worm menyalin dirinya pada Windows sysem direktori dengan nama acak yang > dimulai dengan kata "Wink", contoh "Wink90uj.exe". > > a.2 Infeksi > > Worm mencari beberapa key pada registry Windows berupa links untuk > applikasi > yang terinstall: > > Software\Microsoft\Windows\CurrentVersion\App Paths > > Kemudian, worm mencoba menginfeksi applikasi EXE yang ditemukannya. > Ketika > menginfeksi sebuah file EXE, worm membuat file dengan nama sama dan > ekstensi acak serta membuat attribut hidden+system+readonly pada file. > File ini digunakan oleh worm untuk menjalankan program orisinil yang > terinfeksi. Ketika file yang terinfeksi dijalankan, worm mengekstrak file > original menjadi sebuah file temp menjadi nama file original ditambah > "MP8" > dan menjalankannya. > > Worm menginfeksi arsip dalam file RAR dengan menyalinkan dirinya dan > menggunakan nama yang digenerate secara acak. Nama file terinfeksi > biasanya > dipilih dari sebuah list seperti: > > setup > install > demo > snoopy > picacu > kitty > play > rock > > dengan satu atau dua ekstensi dimana akhirannya adalah ".exe", ".scr", > ".pif" atau ".bat". > > a.4 Penyebaran: e-mail > > Subyek pesan yang terinfeksi adalah subyek-subyek pada list berikut atau > dibuat dengan random. > > Hi, > Hello, > Re: > Fw: > how are you > let's be friends > darling > don't drink too much > your password > honey > some questions > please try again > welcome to my hometown > the Garden of Eden > introduction on ADSL > meeting notice > questionnaire > congratulations > sos! > japanese girl VS playboy > look,my beautiful girl friend > eager to see you > spice girls' vocal concert > Japanese lass' sexy pictures > > Worm juga mengenerate subject pada pesan dengan strings seperti: > > Undeliverable mail--%% > Returned mail--%% > a %% %% game > a %% %% tool > a %% %% website > a %% %% patch > %% removal tools > > dimana %% dipilih dari list: > > new > funny > nice > humour > excite > good > powful > WinXP > IE 6.0 > W32.Elkern > W32.Klez > > Pada body pesan yang terinfeksi adalah kosong atau content yang dibuat > secara acak. Mengirimkan attachment file Win32 PE EXE dengan nama acak, > dan diakhiri dengan ekstensi ".exe" atau membuatnya berekstensi ganda. > > a.5 Payload > > Pada hari ke-6 (enam) pada bulan-bulan ganjil, worm mengeksekusikan > sebuah > payload routine, dimana ia akan mengisi semua file yang ada pada komputer > korban dalam disk lokal maupun jaringan dengan isi yang acak. File-file > tersebut tidak dapat di-recover, namun dikembalikan dari salinan backup. > > a.6 Lain-lain > > Worm melakukan scanning pada proses aktif yang mengandung string berikut > ini dan menutupnya dengan perintah unload: > > Sircam > Nimda > CodeRed > WQKMM3878 > GRIEF3878 > Fun Loving Criminal > Norton > Mcafee > Antivir > Avconsol > F-STOPW > F-Secure > Sophos > virus > AVP Monitor > AVP Updates > InoculateIT > PC-cillin > Symantec > Trend Micro > F-PROT > NOD32 > > Worm secara acak dan tergantung pada kondisi, mengirim attachment file > ke e-mail yang ditemukan pada disk lokal (terdapat dua file pada pesan - > salinan worm dan file tambahan). Worm akan terlihat menggunakan ekstesi > > .txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg > .mpeg .bak .mp3 .pdf > > b. Klez.h > > Varian worm ini sama seperti "Klez.e", namun varian ini tidak mempunyai > payload dan tidak merusak file, namun lebih banyak variasi pada > pesan-pesan > > e-mail yang terinfeksi pada entry Subject dan Body. > > Berikut adalah contoh Subject dan Body: > > Worm Klez.E immunity > > Klez.E is the most common world-wide spreading worm.It's very dangerous > by corrupting your files. > Because of its very smart stealth and anti-anti-virus technic,most > common AV software can't detect or clean it. > > We developed this free immunity tool to defeat the malicious virus. > > You only need to run this tool once,and then Klez will never come into > your PC. > > NOTE: Because this tool acts as a fake Klez to fool the real worm,some > AV monitor maybe cry when you run it. > > If so,Ignore the warning,and select 'continue'. > If you have any question,please mail to me. > > Namun worm ini juga dapat mengandung text: > > Win32 Klez V2.01 & Win32 Foroux V1.0 > Copyright 2002,made in Asia > > About Klez V2.01: > 1,Main mission is to release the new baby PE virus,Win32 Foroux > 2,No significant change.No bug fixed.No any payload. > > About Win32 Foroux (plz keep the name,thanx) > 1,Full compatible Win32 PE virus on Win9X/2K/NT/XP > 2,With very interesting feature.Check it! > 3,No any payload.No any optimization > 4,Not bug free,because of a hurry work.No more than three weeks from > having such idea to accomplishing coding and testing > > 6. Kesimpulan > > Dari varian virus/worm Klez yang menggunakan teknik penyebaran dan > duplikasi > yang berbeda-beda, namun terdapat kesamaan yaitu varian tersebut > menggunakan > exploit Outlook/Express dan IE5.x: > > "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment[5]" > > 7. Referensi: > 1. http:[EMAIL PROTECTED] > 2. > http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.G > 3. http://www.fsecure.com/v-descs/klez_h.shtml > 4. http://www.kav.ch/avpve/worms/email/klez.stm > 5. http://www.microsoft.com/technet/security/bulletin/MS01-020.asp > > II. Akibat > > Pada komputer-komputer yang terkena virus/worm Klez atau variannya, > terjadi kelebihan beban pada pengiriman e-mail dan proses applikasi > yang sedang berjalan, setelah virus tersebut mengeksekusi prosesi > payload routine, komputer tersebut akan penuh dengan file-file acak > dan tidak dapat direcover kembali. > > III. Solusi > > - Download "patch" dari Microsoft > > Bagi para pengguna yang menggunakan versi lama dari Internet Explorer > (IE), > ID-CERT merekomendasikan untuk meng-upgradenya minimal ke versi 5.0, > karena > versi lama tersebut tidak lagi didukung oleh Microsoft. Para pengguna IE > versi 5.0 atau yang setelahnya diharapkan untuk mendownload patch > "Incorrect > MIME Header Can Cause IE to Execute E-mail Attachment" di website > Microsoft > berikut: > > http://www.microsoft.com/technet/security/bulletin/MS01-020.asp > > - Gunakan produk antivirus > > Para pengguna disarankan untuk menggunakan produk antivirus dan > senantiasa > meng-updatenya. Vendor-vendor software antivirus telah mengeluarkan > berbagai > update untuk tools, database virus, dan berbagai informasi lainnya untuk > mendeteksi dan/atau menghilangkan virus tersebut (lihat Information > Vendor > di bawah). > > - Hati-hati membuka email attachment > > Virus I-Worm.Klez menyebar melalui email attachment dengan nama file yang > berakhiran .EXE, .SCR, .PIF, atau .BAT. Para pengguna diharapkan untuk > tidak > membuka attachment seperti ini sekalipun berasal dari email sejawat atau > teman. Namun bila hal itu musti dilakukan, scan-lah menggunakan software > antivirus yang sudah terupdate sebelum membuka/menjalankannya. > > - Informasi Vendor > > Computer Associates > http://www3.ca.com/virus/virus.asp?ID=10389 > > McAfee > http://vil.mcafee.com/dispVirus.asp?virus_k=99237 > F-Secure > http://www.fsecure.com/v-descs/klez_h.shtml > > Kaspersky Lab (AVP) > http://www.viruslist.com/eng/viruslist.html?id=4292 > > Sophos > http://www.sophos.com/virusinfo/analyses/w32klez.html > > Symantec > > http:[EMAIL PROTECTED] > > Trend Micro > > http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.H > > -------------------------------------------------------------------------- -- > - > Dokument ini tersedia di: http://www.cert.or.id/IN/IN-200204.01 > -------------------------------------------------------------------------- -- > - > > ID-CERT Pusat Informasi > > E-mail: [EMAIL PROTECTED] > Telepon: (62-22) 250-6280 > Fax: (62-22) 250-8763 > > Pusat Koordinasi ID-CERT > Dr. Ir. Budi Rahardjo > Laboratorium Design > Pusat Penelitian Antar Universitas Mikroelektronika (PPAU ME) > Institut Teknologi Bandung > Jl. Ganesha 10 > Bandung 40132 > Jawa Barat > Indonesia > > Mendapatkan informasi tentang Computer & Network Security > > Publikasi dan informasi security ID-CERT tersedia di: > > http://www.cert.or.id/ > > Untuk berlangganan mailing list untuk advisory, kirimkan e-mail ke > [EMAIL PROTECTED], dengan pesan pada subject e-mail > subscribe. > > -------------------------------------------------------------------------- -- > - > > Hak Cipta 2002. Indonesian Computer Security Incident Response Team (CSIRT) > >
