Kayaknya bukan dari server milist... si virus kirim langsung tuh begitu liat kontak milis member ada di outlooknya si [EMAIL PROTECTED] :) jadi yang disalahin ya servernya si tira-fashion.com yang ga ada antivirusnya.. hehehe...
Tapi sometimes kalo kasi antivirus di server bikin pusing juga, kalo ada .doc file yang penting dikirim by mail terus dianggep bervirus tapi yang dituju nganggep ga masalah dengan virus macro yang ada di file .doc, dia kudu retrieve .doc filenya.. padahal sama si server udah ditolak dan di delete.... hehehe piye jaal.. :) Salam Virus! ----- Original Message ----- From: "Erwin Bayu Aji" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Tuesday, May 07, 2002 7:29 AM Subject: RE: [UNDIP] Complain > Wah, ternyata server milist nggak ada antivirusnya nihh..... > Sepertinya itu virus Klez.G, Klez.H, W32/Klez.G@mm atau klez > varian2-nya... > Tapi kalo kita di client menggunakan Outlook 2000 update patch atau > outlook XP, kayaknya bisa terproteksi terhadap attachment tsb kok. > Paling simple sih emang di email servernya dipasang antivirus. > > Kayaknya susah mengharapkan server milist dipasang antivirus, lha wong > website aja nggak pernah/jarang diupdate kok :) > > > W32/Klez dan variannya > > > Type: Virus, worm > Alias: W32/klez.F , I-Worm.Klez.E, Stemdil > media: email, network, file yang terinfeksi. > Klez merupakan worm yang mengandung virus polymorphic yang dinamakan > Elkern > > bentuk Email yang di kirimkan oleh Klez adalah sebagai berikut : > > Subject: > > Hi > Hello > How are you? > Can you help me? > We want peace > Where will you go? > Congratulations!!! > Don't cry > Look at the pretty > Some advice on your shortcoming > Free XXX Pictures > A free hot porn site > Why don't you reply to me? > How about have dinner with me together? > Never kiss a stranger > > isi dari pesan tidak ada, dan nama dari attachment adalah random. > > <file://Throatz/MY%20DOCUMENTS/klez/klez1.jpg> > > bagian dari worm mempunyai pesan tersembunyi yang tidak terlihat pada > email. > > > <file://Throatz/MY%20DOCUMENTS/klez/klez2.jpg> > > > Klez memanfaatkan kelemahan IE dan OE seperti Nimda sehingga ia akan > dapat aktif jika dibuka (baik secara sengaja maupun tidak sengaja). Hal > ini berlaku untuk Outlook express dan IE 5.0 atau 5.01. Untuk mengatasi > masalah ini dapat di download file patch untuk kedua program diatas pada > alamat ini : > > http://www.microsft.com/windows/ie/download/critical/q290108/default.asp > > > virus klez akan mengcopykan dirinya sendiri pada directory root di local > dan network dengan nama random dan dengan extension ganda, seperti > *.TXT.EXE > > VARIAN DARI VIRUS Klez.d > > virus ini ditemukan pada tanggal 11 november 2001 > > varian dari virus ini bekerja sebagai berikut: > dia akan melihat database alamat email dari semua pengguna ICQ, jadi > siapapun yang menggunakan ICQ akan mendapat serangan virus ini. > > perubahan lainnya pada attachment adalah file dengan extension EXE dan > PIF, persamaan dari type sebelumnya adalah extension EXE pada > attachmentnya. > > ketika worm mengcopykan dirinya kedalam direktori system windows dia > memberi nama pada dirinya sendiri dengan "WinSvc.exe" dan nama yang sama > digunakan pada registry run > > 'HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinSvc' > > versi ini akan mencoba mencari lokasi dari proses akhir kata-kata > seperti 'Nimda', 'CodeRed', 'Code Red', 'CodeBlue', 'Code Blue'. > > selanjutnya akan kluar string 'I will try my best to kill some virus' > > VARIAN Klez.E > > Terdeteksi pada 17 january 2002 > > perbedaan pada versi sebelumnya adalah : > > 1. Worm akan menginstallkan dirinya pada direktory system windows > sebagai WINKxxx.EXE dimana xxxx = adalah angka random dari 2-3, worm ini > akan membuat autostarting kunci pada system registry. > > 2. Worm sekarang mempunya kemampuan menginfeksi. ketika menginfeksi > setiap *.exe, worm akan mengoverwrite atau menulis dirinya untuk membuat > backup dengan nama yang sama dengan file yang diinfeksinya. tetapi > ketika random extension tersebut tersembunyi system dengan atribut read > only. ketika file terinfeksi tersebut jalan, maka worm akan mengextract > beberapa file dari program aslinya dengan tambahan "MP8" dan > menjalankannya. > > setelah program jalan dan selesai maka worm akan mendeletenya dan worm > tidak akan menginfeksi file > > EXPLORER > CMMGR > MSIMN > ICWCONN > WINZIP > > 3. Kemampuan sebagai media penyerantara atau penularan adalah > menggunakan jaringan atau network dan mengcopi sendiri untuk meremote > drivers. dengan exetension satu atau dua extension. extension RAR yang > terdapat adalah extension RAR yang telah terinfeksi worm. > > setup > install > demo > snoopy > picacu > kitty > play > rock > > extension pertama dari RAR archive atau worm executable dapat berupa > extension > > .txt > .htm > .html > .wab > .doc > .xls > .jpg > .cpp > .c > .pas > .mpg > .mpeg > .bak > .mp3 > > kedua atau hanya extension worm yang dapat di excecusi dapat berupa : > > .exe > .scr > .pif > .bat > > bentukbentuk file dari file yang terinfeksi adalah > seperti QQ.PASS.EXE , KERNEL.EXE.PIF , DOCUMENT.SCR > > 4. Worm akan membuat program antivirus atau membunuh program antivirus > berhasil mendeteksi Nimda, Code red, Sircam dan fun love. > > Sircam > Nimda > CodeRed > WQKMM3878 > GRIEF3878 > Fun Loving Criminal > Norton > Mcafee > Antivir > Avconsol > F-STOPW > F-Secure > Sophos > virus > AVP Monitor > AVP Updates > InoculateIT > PC-cillin > Symantec > Trend Micro > F-PROT > NOD32 > > 5. Worm akan merubah system autostarting kunci registry pada security > dan software antivirus untuk mendisablekan pada saat start up windows > berikutnya. > > 6. Dampak kerja dari antivirus files adalah untuk mencheck dari database > dengan dikuti nama : > > ANTI-VIR.DAT > CHKLIST.DAT > CHKLIST.MS > CHKLIST.CPS > CHKLIST.TAV > IVB.NTZ > SMARTCHK.MS > SMARTCHK.CPS > AVGQT.DAT > AGUARD.DAT > > 7. Worm akan mendrop atau mambawa virus baru dengan nama Elkren.B > (pembahasan virus ini lain waktu) > > 8. Worm akan menghilangkan file binarry ecexutable dan file data > > 9. worm akan menampilkan string yang tidak akan pernah terlihat > > Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin > Virus*^__^*) > Copyright,made in Asia,announcement: > 1.I will try my best to protect the user from some vicious > virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X. > 2.Well paid jobs are wanted > 3.Poor life should be unblessed > 4.Don't accuse me.Please accuse the unfair sh*t world > > 10. pesan yang di kirim oleh klez.e kemungkinan membuat pesan number > yang berbda , seperti pada bagian berikut ini : > > 'The attachment is a very dangerous virus that spread trough e-mail.' > 'The file is a special dangerous virus that can infect on > Win98/Me/2000/XP.' > > VARIAN Klez.G > > Klez.G terdeteksi pada tanggal 29 januari 2002. > > 1. Ketika file yang terinfeksi jalan, worm akan mengextract file aslinya > dari direktory Temp. dan dia akan mengubah file yang asli dengan namanya > extension EXE, sebagai contoh, jika ada suatu file dengan nama setup.clf > maka dia akan mengubah file menjadi setupclf.exe > > 2. Worm akan mengirimkan pesan kepada antivirus seperti berikut : > > 2. Pitiful AVers,can't Elkern 1.0 & 1.1 work on Win 2K&XP?Plz clear your > eyes. > > worm tetap akan menghilangkan begitu banyak file dengan extension *.DLL > dan *.VXD, > seperti halnya Klez.E maka type G ini juga akan mengirimkan email dengan > subject sebagai berikut : > > how are you > let's be friends > darling > don't drink too much > your password > honey > some questions > please try again > welcome to my hometown > the Garden of Eden > introduction on ADSL > meeting notice > questionnaire > congratulations > sos! > japanese girl VS playboy > look,my beautiful girl friend > eager to see you > spice girls' vocal concert > japanese lass' sexy pictures > > sebagai contoh email yang di kirim adalah sebagai berikut : > > Subject: <virusname> removal tools > Body: > <virusname> is a dangerous virus that spread through email. > <av_company_name> give you the <virusname> removal tools > > For more information,please visit http://www.<av_company_name>.com > > av_company_name = dapat berupa symantec, mc afee, f-secure, sophos. > > virusname dapat berupa w32elkern atau w32klez. > > dan worm ini dapat pula mengirim ucapan selamat pada perayaan. > > Christmas > New year > Saint Valentine > Allhallowmas > April Fools' Day > Lady Day > Assumption > Candlemas > All Souls' Day > Epiphany > > > > -----Original Message----- > From: Eko Raharjo [mailto:[EMAIL PROTECTED]] > Sent: Monday, May 06, 2002 11:07 PM > To: [EMAIL PROTECTED]; [EMAIL PROTECTED] > Subject: [UNDIP] Complain > > > > Yth Undip Mailing List dan Tira-fashion administrators, Berulang kali > saya memperoleh email berisikan virus dari orang (-2) dengan memakai > address Undip-help ([EMAIL PROTECTED]) dan dengan domain/ server: > @mail.tira-fashion.co.id. Dibawah ini saya sertakan full header dari > salah satu email tsb. > > Eko Raharjo > > copy header > > Return-Path: > <[EMAIL PROTECTED]> > Delivered-To: > [EMAIL PROTECTED] > Received: > from vs1.acs.ucalgary.ca (vs1.acs.ucalgary.ca > [136.159.34.108]) by mserve1.acs.ucalgary.ca > (Postfix) with ESMTP id 464F9138D for > <[EMAIL PROTECTED]>; Mon, 6 May 2002 02:17:47 > -0600 (MDT) > Received: > from ucalgary.ca (mserve3.acs.ucalgary.ca > [136.159.34.56]) by vs1.acs.ucalgary.ca (8.11.6/8.11.6) > with ESMTP id g468Ek429409 for <[EMAIL PROTECTED]>; > Mon, 6 May 2002 02:14:46 -0600 > Received: > from mail.tira-fashion.com(203.130.239.11) by > mserve3.acs.ucalgary.ca via smap (V2.0) id > ZZ626037; Mon, 6 May 2002 02:10:25 -0600 > Received: > from Ezoq (proxy [203.130.239.10]) by > mail.tira-fashion.com (8.11.2/8.11.2) with SMTP id > g467xnP25874 for <[EMAIL PROTECTED]>; Mon, 6 May 2002 > 14:59:50 +0700 > Date: > Mon, 6 May 2002 14:59:50 +0700 > Message-ID: > <[EMAIL PROTECTED]> > From: > undip-help <[EMAIL PROTECTED]> > To: > [EMAIL PROTECTED] > Subject: > Darling > MIME-Version: > 1.0 > Content-Type: > multipart/alternative; > boundary=U63sn1232Z8s5Mv8pId509951U27Ki > X-MailScanner: > Found to be infected > Sender: > [EMAIL PROTECTED] > > > -------------------------- > Milis Archive: http://messages.to/archives or > http://messages.to/archives2 to unsubscribe, > mailto:[EMAIL PROTECTED] - Seq. Number: 347 > DIPONEGORO UNIVERSITY MailingList http://www.undip.ac.id > > > -------------------------- > Milis Archive: http://messages.to/archives or http://messages.to/archives2 > to unsubscribe, mailto:[EMAIL PROTECTED] - Seq. Number: 348 > DIPONEGORO UNIVERSITY MailingList http://www.undip.ac.id > > -------------------------- Milis Archive: http://messages.to/archives or http://messages.to/archives2 to unsubscribe, mailto:[EMAIL PROTECTED] - Seq. Number: 349 DIPONEGORO UNIVERSITY MailingList http://www.undip.ac.id
