Yth Rekan-rekan semua
Saya sudah terlanjur buka attachment tersebut dan tidak tampak satu apapun
di layar monitor. Setelah itu saya baru berfipir, jangan-jangan itu virus,
trus langsung salya delete. Sampai saat ini memang belum terjadi apa-apa
dengan komputer saya.
Saat ini saya memang harap-harap cemas semoga semua e-mail yang masuk ke
balita anda sudah di filter dulu oleh admin. Lagi pula kita sudah tahu
bahwa untuk balita anda tidak menerima email dengan attachment. Tapi ya
namanya teknologi segala kemungkinan pasti ada.
Jadi segera di delete aja biar tenang.
~OPA~
"dewi"
<[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]>
cc:
07/15/02 09:58 Subject: Re: [balita-anda] Re: Your
password!
AM
Please respond
to balita-anda
dear all,
hati-hati sama email berattachment, bisa jadi memang virus...
punyaku langsung tak del,
ini ada email tentang virus, semoga bermanfaat :)
dew i
> ID-CERT Incident Note AD-200204.01
>
> Penyebaran dan Penanggulangan I-Worm Klez
>
> Tanggal: 30 April 2002
>
> System yang rawan:
> * Microsoft Windows Win9X/2K/NT/XP
>
> Pendahuluan
>
> I-Worm.Klez merupakan virus worm berbahaya yang menggandakan diri
melalui
> Internet, dan jaringan lokal mengakibatkan kerugian yang cukup tinggi.
>
> I. Deskripsi
>
> I-Worm.Klez adalah sebuah virus worm yang menyebar di Internet
> menggunakan
> attachment yang terinfeksi. Worm itu sendiri adalah sebuah file
Windows
> PE EXE dengan besar berkisar 57-65 Kb (tergantung pada versinya),
> dan ditulis menggunakan Microsoft Visual C++.
>
> Pesan-pesar mail yang terinfeksi memiliki banyak variasi subject dan
> nama file yang menjadi attachment, worm ini membuat sebuah file
Windows
> EXE dengan acak yang dimail dengan huruf 'K' (seperti KJ72364.exe)
dalam
> folder temporary, dan menyalinkan virus "Win32.Klez" kedalamnya, dan
> menyebarkannya ke Internet menggunakan mail. Virus itu sendiri
> menginfeksi
> file-file Win32 PE EXE yang ada pada disk komputer yang dapat ditulis
> olehnya.
>
> 1. Permulaan
>
> Ketika proses infeksi file dimulai, worm menduplikasikan diri pada
> Windows
> system folder dengan nama "krn132.exe". Kemudian menambahkan entry
pada
> registry Windows ketika start:
>
> HKLM\Software\Microsoft\Windows\CurrentVersion\Run
> Krn132 = %System%\Krn132.exe
>
> dimana %System% adalah nama system folder Windows.
>
> Kemudian virus mencari applikasi program yang sedang aktif (terutama
> antivirus) dan memaksa applikasi-applikasi tersebut untuk melakukan
> prosesi
> unload menggunakan perinta Windows "TerminateProcess", applikasi yang
> dicari oleh virus adalah:
>
> _AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW,
> NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC,
> NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS
>
> 2. Penyebaran: e-mail
>
> Worm menggunakan protocol SMTP untuk mengirimkan pesan e-mail. Ia akan
> mencari alamat e-mail dalam WAB database dan mengirimkan pesan dan
> attactment yang telah terinfeksi pada alamat yang ditemukannya.
>
> Subject dari pesan-pesan yang terinfeksi akan dibuat acak dari sebuah
> daftar kalimat seperti:
>
> Hello
> How are you?
> Can you help me?
> We want peace
> Where will you go?
> Congratulations!!!
> Don't cry
> Look at the pretty
> Some advice on your shortcoming
> Free XXX Pictures
> A free hot porn site
> Why don't you reply to me?
> How about have dinner with me together?
> Never kiss a stranger
>
> dan is pesan mengandung kalimat seperti:
>
> I'm sorry to do so,but it's helpless to say sory.
> I want a good job,I must support my parents.
> Now you have seen my technical capabilities.
> How much my year-salary now? NO more than $5,500.
> What do you think of this fact?
> Don't call my names,I have no hostility.
> Can you help me?
>
> File attachment: Win32 PE EXE dengan nama yang acak, yang diakhiri
dengan
> ekstensi ".exe" atau menambahkannya menjadi ganda:
>
> namafile.ext.exe
>
> Worm biasanyanya memilih extension file dari attachment asli kemudian
> menambahkan extension kedua ".exe". Seperti contoh,
> "Laporan-Keuangan.xls.exe", "Report.doc.exe", dan lain-lain.
>
> Worm memasukkan entry bagian "From:" pada header mail menggunakan
e-mail
> asli dari si pemilik komputer yang terinfeksi (ditemukan dari pemilik
WAB
> database), atau menggunakan email yang dibuat secara acak.
>
> Sebuah bagian menarik dari proses penyebaran worm ini adalah ketika
> hendak
> mengirimkan pesan-pesan yang terinfeksi, worm menulis list dari
alamat-
> alamat email pada EXE tersebut, dan mengenkripsikan body (pesan dan
> alamat-
> alamat).
>
> 3. Penyebaran: Drive lokal dan jaringan
>
> Worm mencari dalam semua local drive dan jaringan dengan akses tulis
dan
> membuat salinan dengan acak dengan format nama.ext.exe (routine
pembuatan
> nama sama seperti yang digunakan dalam pembuatan nama untuk
attachment).
> Setelah menyalin dirinya pada jaringan, worm melakukan registrasi
salinan
> pada komputer remote seperti applikasi service pada system.
>
> 4. Payload
>
> Dalam 13 (tigabelas) hari dalam bulan yang sama, worm mengeksekusi
sebuah
> payload routine, dan akan mengisi semua file dalam disk komputer
korban
> dengan isi virus dan nama yang acak. File-file ini tidak dapat
di-recover
> kembali, namun dikembalikan dari salinan backup.
>
> 5. Varian
>
> a. Klez.e
>
> a.1 Installasi
>
> Worm menyalin dirinya pada Windows sysem direktori dengan nama acak
yang
> dimulai dengan kata "Wink", contoh "Wink90uj.exe".
>
> a.2 Infeksi
>
> Worm mencari beberapa key pada registry Windows berupa links untuk
> applikasi
> yang terinstall:
>
> Software\Microsoft\Windows\CurrentVersion\App Paths
>
> Kemudian, worm mencoba menginfeksi applikasi EXE yang ditemukannya.
> Ketika
> menginfeksi sebuah file EXE, worm membuat file dengan nama sama dan
> ekstensi acak serta membuat attribut hidden+system+readonly pada file.
> File ini digunakan oleh worm untuk menjalankan program orisinil yang
> terinfeksi. Ketika file yang terinfeksi dijalankan, worm mengekstrak
file
> original menjadi sebuah file temp menjadi nama file original ditambah
> "MP8"
> dan menjalankannya.
>
> Worm menginfeksi arsip dalam file RAR dengan menyalinkan dirinya dan
> menggunakan nama yang digenerate secara acak. Nama file terinfeksi
> biasanya
> dipilih dari sebuah list seperti:
>
> setup
> install
> demo
> snoopy
> picacu
> kitty
> play
> rock
>
> dengan satu atau dua ekstensi dimana akhirannya adalah ".exe", ".scr",
> ".pif" atau ".bat".
>
> a.4 Penyebaran: e-mail
>
> Subyek pesan yang terinfeksi adalah subyek-subyek pada list berikut
atau
> dibuat dengan random.
>
> Hi,
> Hello,
> Re:
> Fw:
> how are you
> let's be friends
> darling
> don't drink too much
> your password
> honey
> some questions
> please try again
> welcome to my hometown
> the Garden of Eden
> introduction on ADSL
> meeting notice
> questionnaire
> congratulations
> sos!
> japanese girl VS playboy
> look,my beautiful girl friend
> eager to see you
> spice girls' vocal concert
> Japanese lass' sexy pictures
>
> Worm juga mengenerate subject pada pesan dengan strings seperti:
>
> Undeliverable mail--%%
> Returned mail--%%
> a %% %% game
> a %% %% tool
> a %% %% website
> a %% %% patch
> %% removal tools
>
> dimana %% dipilih dari list:
>
> new
> funny
> nice
> humour
> excite
> good
> powful
> WinXP
> IE 6.0
> W32.Elkern
> W32.Klez
>
> Pada body pesan yang terinfeksi adalah kosong atau content yang dibuat
> secara acak. Mengirimkan attachment file Win32 PE EXE dengan nama
acak,
> dan diakhiri dengan ekstensi ".exe" atau membuatnya berekstensi ganda.
>
> a.5 Payload
>
> Pada hari ke-6 (enam) pada bulan-bulan ganjil, worm mengeksekusikan
> sebuah
> payload routine, dimana ia akan mengisi semua file yang ada pada
komputer
> korban dalam disk lokal maupun jaringan dengan isi yang acak.
File-file
> tersebut tidak dapat di-recover, namun dikembalikan dari salinan
backup.
>
> a.6 Lain-lain
>
> Worm melakukan scanning pada proses aktif yang mengandung string
berikut
> ini dan menutupnya dengan perintah unload:
>
> Sircam
> Nimda
> CodeRed
> WQKMM3878
> GRIEF3878
> Fun Loving Criminal
> Norton
> Mcafee
> Antivir
> Avconsol
> F-STOPW
> F-Secure
> Sophos
> virus
> AVP Monitor
> AVP Updates
> InoculateIT
> PC-cillin
> Symantec
> Trend Micro
> F-PROT
> NOD32
>
> Worm secara acak dan tergantung pada kondisi, mengirim attachment file
> ke e-mail yang ditemukan pada disk lokal (terdapat dua file pada
pesan -
> salinan worm dan file tambahan). Worm akan terlihat menggunakan
ekstesi
>
> .txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg
> .mpeg .bak .mp3 .pdf
>
> b. Klez.h
>
> Varian worm ini sama seperti "Klez.e", namun varian ini tidak
mempunyai
> payload dan tidak merusak file, namun lebih banyak variasi pada
> pesan-pesan
>
> e-mail yang terinfeksi pada entry Subject dan Body.
>
> Berikut adalah contoh Subject dan Body:
>
> Worm Klez.E immunity
>
> Klez.E is the most common world-wide spreading worm.It's very
dangerous
> by corrupting your files.
> Because of its very smart stealth and anti-anti-virus technic,most
> common AV software can't detect or clean it.
>
> We developed this free immunity tool to defeat the malicious virus.
>
> You only need to run this tool once,and then Klez will never come
into
> your PC.
>
> NOTE: Because this tool acts as a fake Klez to fool the real
worm,some
> AV monitor maybe cry when you run it.
>
> If so,Ignore the warning,and select 'continue'.
> If you have any question,please mail to me.
>
> Namun worm ini juga dapat mengandung text:
>
> Win32 Klez V2.01 & Win32 Foroux V1.0
> Copyright 2002,made in Asia
>
> About Klez V2.01:
> 1,Main mission is to release the new baby PE virus,Win32 Foroux
> 2,No significant change.No bug fixed.No any payload.
>
> About Win32 Foroux (plz keep the name,thanx)
> 1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
> 2,With very interesting feature.Check it!
> 3,No any payload.No any optimization
> 4,Not bug free,because of a hurry work.No more than three weeks
from
> having such idea to accomplishing coding and testing
>
> 6. Kesimpulan
>
> Dari varian virus/worm Klez yang menggunakan teknik penyebaran dan
> duplikasi
> yang berbeda-beda, namun terdapat kesamaan yaitu varian tersebut
> menggunakan
> exploit Outlook/Express dan IE5.x:
>
> "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment[5]"
>
> 7. Referensi:
> 1. http:[EMAIL PROTECTED]
> 2.
>
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.G
> 3. http://www.fsecure.com/v-descs/klez_h.shtml
> 4. http://www.kav.ch/avpve/worms/email/klez.stm
> 5. http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
>
> II. Akibat
>
> Pada komputer-komputer yang terkena virus/worm Klez atau variannya,
> terjadi kelebihan beban pada pengiriman e-mail dan proses applikasi
> yang sedang berjalan, setelah virus tersebut mengeksekusi prosesi
> payload routine, komputer tersebut akan penuh dengan file-file acak
> dan tidak dapat direcover kembali.
>
> III. Solusi
>
> - Download "patch" dari Microsoft
>
> Bagi para pengguna yang menggunakan versi lama dari Internet Explorer
> (IE),
> ID-CERT merekomendasikan untuk meng-upgradenya minimal ke versi 5.0,
> karena
> versi lama tersebut tidak lagi didukung oleh Microsoft. Para pengguna
IE
> versi 5.0 atau yang setelahnya diharapkan untuk mendownload patch
> "Incorrect
> MIME Header Can Cause IE to Execute E-mail Attachment" di website
> Microsoft
> berikut:
>
> http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
>
> - Gunakan produk antivirus
>
> Para pengguna disarankan untuk menggunakan produk antivirus dan
> senantiasa
> meng-updatenya. Vendor-vendor software antivirus telah mengeluarkan
> berbagai
> update untuk tools, database virus, dan berbagai informasi lainnya
untuk
> mendeteksi dan/atau menghilangkan virus tersebut (lihat Information
> Vendor
> di bawah).
>
> - Hati-hati membuka email attachment
>
> Virus I-Worm.Klez menyebar melalui email attachment dengan nama file
yang
> berakhiran .EXE, .SCR, .PIF, atau .BAT. Para pengguna diharapkan untuk
> tidak
> membuka attachment seperti ini sekalipun berasal dari email sejawat
atau
> teman. Namun bila hal itu musti dilakukan, scan-lah menggunakan
software
> antivirus yang sudah terupdate sebelum membuka/menjalankannya.
>
> - Informasi Vendor
>
> Computer Associates
> http://www3.ca.com/virus/virus.asp?ID=10389
>
> McAfee
> http://vil.mcafee.com/dispVirus.asp?virus_k=99237
> F-Secure
> http://www.fsecure.com/v-descs/klez_h.shtml
>
> Kaspersky Lab (AVP)
> http://www.viruslist.com/eng/viruslist.html?id=4292
>
> Sophos
> http://www.sophos.com/virusinfo/analyses/w32klez.html
>
> Symantec
>
>
http:[EMAIL PROTECTED]
>
> Trend Micro
>
>
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.H
>
>
--------------------------------------------------------------------------
--
> -
> Dokument ini tersedia di: http://www.cert.or.id/IN/IN-200204.01
>
--------------------------------------------------------------------------
--
> -
>
> ID-CERT Pusat Informasi
>
> E-mail: [EMAIL PROTECTED]
> Telepon: (62-22) 250-6280
> Fax: (62-22) 250-8763
>
> Pusat Koordinasi ID-CERT
> Dr. Ir. Budi Rahardjo
> Laboratorium Design
> Pusat Penelitian Antar Universitas Mikroelektronika (PPAU ME)
> Institut Teknologi Bandung
> Jl. Ganesha 10
> Bandung 40132
> Jawa Barat
> Indonesia
>
> Mendapatkan informasi tentang Computer & Network Security
>
> Publikasi dan informasi security ID-CERT tersedia di:
>
> http://www.cert.or.id/
>
> Untuk berlangganan mailing list untuk advisory, kirimkan e-mail ke
> [EMAIL PROTECTED], dengan pesan pada subject e-mail
> subscribe.
>
>
--------------------------------------------------------------------------
--
> -
>
> Hak Cipta 2002. Indonesian Computer Security Incident Response Team
(CSIRT)
>
>
>> Kirim bunga ke kota2 di Indonesia dan mancanegara? Klik, http://www.indokado.com/
>> Info balita, http://www.balita-anda.indoglobal.com
Stop berlangganan, e-mail ke: [EMAIL PROTECTED]
