Wah, ternyata server milist nggak ada antivirusnya nihh..... Sepertinya itu virus Klez.G, Klez.H, W32/Klez.G@mm atau klez varian2-nya... Tapi kalo kita di client menggunakan Outlook 2000 update patch atau outlook XP, kayaknya bisa terproteksi terhadap attachment tsb kok. Paling simple sih emang di email servernya dipasang antivirus.
Kayaknya susah mengharapkan server milist dipasang antivirus, lha wong website aja nggak pernah/jarang diupdate kok :) W32/Klez dan variannya Type: Virus, worm Alias: W32/klez.F , I-Worm.Klez.E, Stemdil media: email, network, file yang terinfeksi. Klez merupakan worm yang mengandung virus polymorphic yang dinamakan Elkern bentuk Email yang di kirimkan oleh Klez adalah sebagai berikut : Subject: Hi Hello How are you? Can you help me? We want peace Where will you go? Congratulations!!! Don't cry Look at the pretty Some advice on your shortcoming Free XXX Pictures A free hot porn site Why don't you reply to me? How about have dinner with me together? Never kiss a stranger isi dari pesan tidak ada, dan nama dari attachment adalah random. <file://Throatz/MY%20DOCUMENTS/klez/klez1.jpg> bagian dari worm mempunyai pesan tersembunyi yang tidak terlihat pada email. <file://Throatz/MY%20DOCUMENTS/klez/klez2.jpg> Klez memanfaatkan kelemahan IE dan OE seperti Nimda sehingga ia akan dapat aktif jika dibuka (baik secara sengaja maupun tidak sengaja). Hal ini berlaku untuk Outlook express dan IE 5.0 atau 5.01. Untuk mengatasi masalah ini dapat di download file patch untuk kedua program diatas pada alamat ini : http://www.microsft.com/windows/ie/download/critical/q290108/default.asp virus klez akan mengcopykan dirinya sendiri pada directory root di local dan network dengan nama random dan dengan extension ganda, seperti *.TXT.EXE VARIAN DARI VIRUS Klez.d virus ini ditemukan pada tanggal 11 november 2001 varian dari virus ini bekerja sebagai berikut: dia akan melihat database alamat email dari semua pengguna ICQ, jadi siapapun yang menggunakan ICQ akan mendapat serangan virus ini. perubahan lainnya pada attachment adalah file dengan extension EXE dan PIF, persamaan dari type sebelumnya adalah extension EXE pada attachmentnya. ketika worm mengcopykan dirinya kedalam direktori system windows dia memberi nama pada dirinya sendiri dengan "WinSvc.exe" dan nama yang sama digunakan pada registry run 'HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinSvc' versi ini akan mencoba mencari lokasi dari proses akhir kata-kata seperti 'Nimda', 'CodeRed', 'Code Red', 'CodeBlue', 'Code Blue'. selanjutnya akan kluar string 'I will try my best to kill some virus' VARIAN Klez.E Terdeteksi pada 17 january 2002 perbedaan pada versi sebelumnya adalah : 1. Worm akan menginstallkan dirinya pada direktory system windows sebagai WINKxxx.EXE dimana xxxx = adalah angka random dari 2-3, worm ini akan membuat autostarting kunci pada system registry. 2. Worm sekarang mempunya kemampuan menginfeksi. ketika menginfeksi setiap *.exe, worm akan mengoverwrite atau menulis dirinya untuk membuat backup dengan nama yang sama dengan file yang diinfeksinya. tetapi ketika random extension tersebut tersembunyi system dengan atribut read only. ketika file terinfeksi tersebut jalan, maka worm akan mengextract beberapa file dari program aslinya dengan tambahan "MP8" dan menjalankannya. setelah program jalan dan selesai maka worm akan mendeletenya dan worm tidak akan menginfeksi file EXPLORER CMMGR MSIMN ICWCONN WINZIP 3. Kemampuan sebagai media penyerantara atau penularan adalah menggunakan jaringan atau network dan mengcopi sendiri untuk meremote drivers. dengan exetension satu atau dua extension. extension RAR yang terdapat adalah extension RAR yang telah terinfeksi worm. setup install demo snoopy picacu kitty play rock extension pertama dari RAR archive atau worm executable dapat berupa extension .txt .htm .html .wab .doc .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3 kedua atau hanya extension worm yang dapat di excecusi dapat berupa : .exe .scr .pif .bat bentukbentuk file dari file yang terinfeksi adalah seperti QQ.PASS.EXE , KERNEL.EXE.PIF , DOCUMENT.SCR 4. Worm akan membuat program antivirus atau membunuh program antivirus berhasil mendeteksi Nimda, Code red, Sircam dan fun love. Sircam Nimda CodeRed WQKMM3878 GRIEF3878 Fun Loving Criminal Norton Mcafee Antivir Avconsol F-STOPW F-Secure Sophos virus AVP Monitor AVP Updates InoculateIT PC-cillin Symantec Trend Micro F-PROT NOD32 5. Worm akan merubah system autostarting kunci registry pada security dan software antivirus untuk mendisablekan pada saat start up windows berikutnya. 6. Dampak kerja dari antivirus files adalah untuk mencheck dari database dengan dikuti nama : ANTI-VIR.DAT CHKLIST.DAT CHKLIST.MS CHKLIST.CPS CHKLIST.TAV IVB.NTZ SMARTCHK.MS SMARTCHK.CPS AVGQT.DAT AGUARD.DAT 7. Worm akan mendrop atau mambawa virus baru dengan nama Elkren.B (pembahasan virus ini lain waktu) 8. Worm akan menghilangkan file binarry ecexutable dan file data 9. worm akan menampilkan string yang tidak akan pernah terlihat Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*) Copyright,made in Asia,announcement: 1.I will try my best to protect the user from some vicious virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X. 2.Well paid jobs are wanted 3.Poor life should be unblessed 4.Don't accuse me.Please accuse the unfair sh*t world 10. pesan yang di kirim oleh klez.e kemungkinan membuat pesan number yang berbda , seperti pada bagian berikut ini : 'The attachment is a very dangerous virus that spread trough e-mail.' 'The file is a special dangerous virus that can infect on Win98/Me/2000/XP.' VARIAN Klez.G Klez.G terdeteksi pada tanggal 29 januari 2002. 1. Ketika file yang terinfeksi jalan, worm akan mengextract file aslinya dari direktory Temp. dan dia akan mengubah file yang asli dengan namanya extension EXE, sebagai contoh, jika ada suatu file dengan nama setup.clf maka dia akan mengubah file menjadi setupclf.exe 2. Worm akan mengirimkan pesan kepada antivirus seperti berikut : 2. Pitiful AVers,can't Elkern 1.0 & 1.1 work on Win 2K&XP?Plz clear your eyes. worm tetap akan menghilangkan begitu banyak file dengan extension *.DLL dan *.VXD, seperti halnya Klez.E maka type G ini juga akan mengirimkan email dengan subject sebagai berikut : how are you let's be friends darling don't drink too much your password honey some questions please try again welcome to my hometown the Garden of Eden introduction on ADSL meeting notice questionnaire congratulations sos! japanese girl VS playboy look,my beautiful girl friend eager to see you spice girls' vocal concert japanese lass' sexy pictures sebagai contoh email yang di kirim adalah sebagai berikut : Subject: <virusname> removal tools Body: <virusname> is a dangerous virus that spread through email. <av_company_name> give you the <virusname> removal tools For more information,please visit http://www.<av_company_name>.com av_company_name = dapat berupa symantec, mc afee, f-secure, sophos. virusname dapat berupa w32elkern atau w32klez. dan worm ini dapat pula mengirim ucapan selamat pada perayaan. Christmas New year Saint Valentine Allhallowmas April Fools' Day Lady Day Assumption Candlemas All Souls' Day Epiphany -----Original Message----- From: Eko Raharjo [mailto:[EMAIL PROTECTED]] Sent: Monday, May 06, 2002 11:07 PM To: [EMAIL PROTECTED]; [EMAIL PROTECTED] Subject: [UNDIP] Complain Yth Undip Mailing List dan Tira-fashion administrators, Berulang kali saya memperoleh email berisikan virus dari orang (-2) dengan memakai address Undip-help ([EMAIL PROTECTED]) dan dengan domain/ server: @mail.tira-fashion.co.id. Dibawah ini saya sertakan full header dari salah satu email tsb. Eko Raharjo copy header Return-Path: <[EMAIL PROTECTED]> Delivered-To: [EMAIL PROTECTED] Received: from vs1.acs.ucalgary.ca (vs1.acs.ucalgary.ca [136.159.34.108]) by mserve1.acs.ucalgary.ca (Postfix) with ESMTP id 464F9138D for <[EMAIL PROTECTED]>; Mon, 6 May 2002 02:17:47 -0600 (MDT) Received: from ucalgary.ca (mserve3.acs.ucalgary.ca [136.159.34.56]) by vs1.acs.ucalgary.ca (8.11.6/8.11.6) with ESMTP id g468Ek429409 for <[EMAIL PROTECTED]>; Mon, 6 May 2002 02:14:46 -0600 Received: from mail.tira-fashion.com(203.130.239.11) by mserve3.acs.ucalgary.ca via smap (V2.0) id ZZ626037; Mon, 6 May 2002 02:10:25 -0600 Received: from Ezoq (proxy [203.130.239.10]) by mail.tira-fashion.com (8.11.2/8.11.2) with SMTP id g467xnP25874 for <[EMAIL PROTECTED]>; Mon, 6 May 2002 14:59:50 +0700 Date: Mon, 6 May 2002 14:59:50 +0700 Message-ID: <[EMAIL PROTECTED]> From: undip-help <[EMAIL PROTECTED]> To: [EMAIL PROTECTED] Subject: Darling MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=U63sn1232Z8s5Mv8pId509951U27Ki X-MailScanner: Found to be infected Sender: [EMAIL PROTECTED] -------------------------- Milis Archive: http://messages.to/archives or http://messages.to/archives2 to unsubscribe, mailto:[EMAIL PROTECTED] - Seq. Number: 347 DIPONEGORO UNIVERSITY MailingList http://www.undip.ac.id -------------------------- Milis Archive: http://messages.to/archives or http://messages.to/archives2 to unsubscribe, mailto:[EMAIL PROTECTED] - Seq. Number: 348 DIPONEGORO UNIVERSITY MailingList http://www.undip.ac.id
