Small.KL2

W32/Small.KL@mm 27 Januari 2006

Small.KL akan menghancurkan data MS Office anda pada tanggal 3 Februari 2006

Alias: WORM_GREW.A [Trend Micro], W32/Nyxem-D [Sophos], W32/MyWife.d@MM [McAfee], Email-Worm.Win32.VB.bi [F-Secure], W32/Small.KI@mm [Norman]

SDP SKTB Sesal Dahulu Pendapatan, Sesal Kemudian Tidak Berguna. Pepatah ini kembali menunjukkan “khasiatnya” sehubungan dengan serangan virus yang sedang menyebar dengan luarbiasa di seluruh dunia dan tingkat infeksinya di Indonesia cukup tinggi, dimana menurut laporan yang diterima Vaksincom korban dari Small.KL ini mencapai ribuan PC yang terinfeksi, mayoritas adalah komputer yang terhubung ke jaringan baik di korporat, sekolah maupun Badan Pemerintah.Kalau anda tidak merasa “terganggu” atau tidak terlalu perduli meskipun jaringan komputer anda terinfeksi virus dan menyebarkannya ke seluruh alamat email yang berhasil dikumpulkan oleh virus, paling hanya bandwidth yang hilang atau memang budaya masa bodo / cuek sudah tertanam dalam pada diri anda. Vaksincom mengingatkan bahwa sebentar lagi anda akan SKTB (menyesal) jika anda tidak segera membasmi virus ini dan mengenyahkan dari jaringan anda karena ia akan melakukan aksinya “menghancurkan” file penting anda dengan ekstensi *.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.zip, *.rar, *.pdf dan *.psd pada hari ke tiga setiap bulan. Jadi Small.KL akan menjalankan aksinya menghapus semua file yang kami sebutkan di atas pada tanggal 3 Februari 2006, 3 Maret 2006 dst. Karena itu, biasakan diri untuk secara teratur melakukan Back up atas data penting anda dan simpan pada media yang terpisah seperti CD rom / USB Drive atau Virtual Drive di internet seperti Streamload atau Megaupload.

Setelah sekian lama pertempuran dunia maya dimenangkan oleh virus lokal, kembali jajaran pembuat virus mancanegara [red:non lokal] unjuk gigi hal ini dibuktikan dengan datangnya tamu tak diundang yang berkunjung dengan perantara email dengan message body maupun subject yang menggoda [biasanya berhubungan dengan XXX]

Keberadaan virus ini sudah berhasil di identifikasi sekitar tangal 18 Januari 2006 oleh Norman, tetapi dengan kemampuannya yang dapat menyebar melalui email menyebabkan virus ini berhasil mengglobal, virus ini juga tergolong kategori “High Risk” karena penyebarannya yang luar biasa.

Small.KL di buat dengan menggunakan program bahasa “Visual Basic” dan di kompresi dengan menggunakan UPX dengan ukuran file sebesar 94 KB [setelah file di extract] atau 131 KB [jika belum di extract]. Jika Anda mengunakan antivirus Norman Virus Contol, up-date tanggal 18 Januari 2006 sudah dapat mengenali virus ini dengan baik. (lihat gambar 1)

Gambar 1, Norman Virus Control update tanggal 18 Januari 2006 sudah dapat mengenali W32/Small.KL@mm dengan baik.

Small.KL akan datang dengan membawa lampiran dengan nama ekstensi yang jarang digunakan oleh beberapa virus lain. Tujuannya adalah untuk menghindari blocking lampiran yang biasa dilakukan oleh mailserver terhadap file virus seperti .exe, .com, .zip dst. Adapun ekstensi lampiran yang digunakan adalah sebagai berikut :

.b64
.BHx
.HQX
.mim
.uu
.UUE
.XxE

Gambar 2, Contoh file virus [sebelum di extract]

Dan jika anda menggunakan Winzip, secara otomatis, file tersebut akan dapat dibuka dan dijalankan oleh Winzip jika dilakukan klik ganda. Jika lampiran tersebut dijalankan maka akan muncul satu file dengan ekstensi tertentu, misalnya .SCR atau .PIF dengan icon WINZIP, file ini akan mempunyai kurang lebih 38 spasi sebelum ekstensi. Untuk mengelabui user dengan cerdik Small.KL akan menyembunyikan ekstensi dengan melakukan perubahan pada registry editor sehingga user tidak dapat membedakan bahwa sebenarnya file tersebut adalah virus dan bukan sebuah file yang dikompresi dengan menggunakan WinZIP sehingga jika menjalanan file tersebut maka secara tidak langsung akan mengaktifkannya dengan terlebih dahulu akan menampilkan program Winzip kosong, lihat gambar dibawah ini

Gambar 3, Contoh file virus setelah diekstrak

Gambar 4, Tampilan setelah file hasil ekstrak dijalankan

Setelah file tersebut dijalankan Small.KL akan membuat satu file sesuai dengan file virus yang dijalankan tadi, file tersebut akan disimpan di direktori [C:\%windows%\system32].

Contoh : jika file virus yang dijalankan adalah Attachmments,ZIP [spasi].SCR maka Small.KL akan membuat file di direktori [C:\%Windows%\System32] dengan nama Lampiran,ZIP [spasi].ZIP

Setelah Small.KL aktif, ia akan mencoba untuk melakukan koneksi ke web site webstats.web.rcn.net untuk memberitahu “boss”nya IP komputer yang telah terinfeksi.

Setiap virus akan membuat file induk untuk dijalankan pertama kali, begitupun dengan Small.KL dimana ia akan membuat beberapa file yang akan dijalankan, diantaranya:

WINZIP_TMP.exe
- C:\
Rundll16.exe [hidden file] dan WINZIP_TMP.exe
- C:\Windows

scanregw.exe [hidden file], update.exe [hidden file], winzip.exe [hidden file] dan sample.Zip

C:\Windows\System32

Temp.htt [hidden file], WinZip_Tmp.exe [hidden file] dan desktop.ini [hidden file]

o C:\Document and settings

o C:\Documents and Settings\Administrator\

o C:\Documents and Settings\Administrator\Start Menu

o C:\Documents and Settings\Administrator\Start Menu\Programs\,

o C:\Documents and Settings\Administrator\Start Menu\Programs\Startup

o C:\Documents and Settings\All Users\Start Menu

o C:\Documents and Settings\All Users\Start Menu\Programs

o C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Small.KL juga akan membuat beberapa file [acak] dan “biasanya” file yang akan dibuat ini akan diambil secara acak sesui dengan nama file atau folder yang terdapat pada komputer yang terinfeksi, file ini akan dibuat pada setiap folder yang dishare dikomputer yang terinfeksi virus, file tersebut mempunyai ciri-ciri

Icon disamarkan [icon Winzip]
Ukuran file 94 KB
Ekstensi EXE
Type file “Application”

Gambar 5, Contoh file yang dibuat pada share folder

Sebagai penunjang agar virus dapat dijalankan setiap kali komputer dinyalakan Small.KL akan membuat string pada regsitry

ScanRegistry = "scanregw.exe /scan"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Selain membuat registry diatas Small.KL secara cerdik akan membaut satu buah file pada menu startup dengan nama file WINZIP QUICK PICK.EXE sehingga file ini juga akan langsung dijalanakan begitu komputer dinyalakan, tapi ini dilakukan hanya jika system komputer yang terinfeksi menggunaakn windows 2000/XP/2003.

Small.KL juga akan mencoba untuk melakukan perubahan pada registry berikut

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\NotifyDownloadComplete="7562617"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advanced\WebView="0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advanced\ShowSuperHidden="0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\FullPath="0"
HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ License

Hal ini dimaksudkan untuk disable automatic update pada Windows XP Service Pack 2

Menyebar melalui Network Share dan Email

Untuk menyebarkan dirinya virus membutuhkan media yang dapat digunakan, kali ini Small.KL akan menggunakan beberapa media penyebaran yang dianggap mudah dan sering digunakan oleh user diantaranya menyebar malalui network share dimana Small.KL akan berusaha untuk copy file ke dalam komputer dengan default share diaktifkan yaitu,

Admin$
- WINZIP_TMP.exe
C$
- WINZIP_TMP.exe
C$\Documents and Settings\All Users\Start Menu\Programs\Startup
- WinZip Quick Pick.exe

Selain dapat menyebar melalui jaringan dengan memanfaatkan Default Share, Small.KL juga akan menyebar melalui email dengan terlebih dahulu akan memcoba untuk mengambil alamat email dari setiap file yang mempunyai ekstensi

.htm
.dbx
.eml
.msg
.oft
.nws
.vcf
.mbx
.imh
.txt
.msf
.dmp

· CONTENT.

TEMPORARY

Setiap email yang dikirimkan akan mempunyai ciri-ciri dibawah ini

From <dipalsukan>
Subject
- Re: Sex Video
- Re:
- Fw: Picturs
- Fw: Funny :)
- Fwd: Photo
- Fwd: image.jpg
- Fw: Sexy
- Fw:
- Fw: SeX.mpg
- Fwd: Crazy illegal Sex!
- Fw: DSC-00465.jpg
- eBook.pdf
- Hello
- Fw: Real show
- the file
- Word file
- *Hot Movie*
- A Great Video
- Fw: Picturs
- give me a kiss
- Miss Lebanon 2006
- My photos
- Part 1 of 6 Video clipe
- Photos
- School girl fantasies gone bad

· Message

o >> forwarded message

o forwarded message attached.

o Fuckin Kama Sutra pics

o hello,

o Helloi attached the details.

o Hot XXX Yahoo Groups

o how are you?

o i just any one see my photos.

o i send the details.

o i send the file.

o It's Free :)

o Note: forwarded message attached. You Must View This Videoclip!

o Please see the file.

o Re: Sex Video

o ready to be FUCKED ;)

o Thank you

o The Best Videoclip Ever

o the file i send the details

o VIDEOS! FREE! (US$ 0,00)

o What?

Dari message tersebut terdapat kurang lebih 3 [tiga] buah gambar kosong [tidak terdapat gambar] dengan nama

· DSC-00465.jpg, DSC-00466.jpg dan DSC-00467.jpg

Atau

· Photo, photo2 dan photo3

· Lampiran

o 007.pif

o 392315089702606E-02,.scR

o 677.pif

o Adults_9,zip.sCR

o ATT01.zip.sCR

o Lampirans[001],B64.sCr

o Clipe,zip.sCr

o document.pif

o DSC-00465.Pif

o DSC-00465.pIf

o eBook.PIF

o image04.pif

o New Video,zip

o New_Document_file.pif

o photo.pif

o Photos,zip.sCR

o School.pif

o SeX,zip.scR

o Sex.mim

o Video_part.mim

o WinZip,zip.scR

o WinZip.BHX

o WinZip.zip.sCR

o Word XP.zip.sCR

o Word.zip.sCR

Tetapi, Small.KL akan mencoba untuk tidak mengirimkan dirinya ke alamat email yang mengandung string

@YAHOOGROUPS
BLOCKSENDER
SCRIBE
YAHOOGROUPS
TREND
PANDA
SECUR
SPAM
ANTI
CILLIN
CA.COM
AVG
GROUPS.MSN
NOMAIL.YAHOO.COM
EEYE
MICROSOFT
HOTMAIL
MSN
MYWAY

Melumpuhkan Program Sekuriti

Agar Small.KL dapat menjalankan misinya ia akan menghapus beberapa string value pada registy, hal ini dimaksudkan agar file tersebut tidak dijalankan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Run

PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
Tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50

TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
DownloadAccelerator
BearShare
Kaspersky

Selain itu Small.KL juga akan mencoba untuk menghapus file dengan ekstensi .EXE dan .DLL pada program antivirus hal ini dimaksudkan agar antivirus tersebut tidak dapat berfungsi dengan baik, seperti

%Program Files%\Alwil Software\Avast4
%Program Files%\BearShare
%Program Files%\DAP
%Program Files%\Grisoft\AVG7
%Program Files%\Kaspersky Lab\Kaspersky Anti-Virus Personal
%Program Files%\McAfee.com\Agent
%Program Files%\McAfee.com\shared
%Program Files%\McAfee.com\VSO
%Program Files%\Morpheus
%Program Files%\NavNT
%Program Files%\Norton AntiVirus
%Program Files%\Symantec\Common Files\Symantec Shared
%Program Files%\Symantec\LiveUpdate
%Program Files%\Trend Micro\Internet Security
%Program Files%\Trend Micro\OfficeScan
%Program Files%\Trend Micro\OfficeScan Client
%Program Files%\Trend Micro\PC-cillin 2002
%Program Files%\Trend Micro\PC-cillin 2003

Disamping itu Small.KL juga akan menghapus file pada komputer yang terhubung ke jaringan dengan memanfaatkan Default Share Windows

\C$\Program Files\Norton AntiVirus
\C$\Program Files\Common Files\symantec shared
\C$\Program Files\Symantec\LiveUpdate
\C$\Program Files\McAfee.com\VSO
\C$\Program Files\McAfee.com\Agent
\C$\Program Files\McAfee.com\shared
\C$\Program Files\Trend Micro\PC-cillin 2002
\C$\Program Files\Trend Micro\PC-cillin 2003
\C$\Program Files\Trend Micro\Internet Security
\C$\Program Files\NavNT
\C$\Program Files\Panda Software\Panda Antivirus Platinum
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
\C$\Program Files\Panda Software\Panda Antivirus 6.0
\C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus

Tidak hanya itu saja Small.KL juga akan mencoba untuk mematikan/terminate suatu program yang mempunyai string

FIX
KASPERSKY
MCAFEE
NORTON
REMOVAL
SCAN
SYMANTEC
TREND MICRO
VIRUS

Jika Anda menggunakan antivirus Norman Virus Control, walaupun Small.KL mencoba untuk mematikan proses dari antivirus tersebut tetapi gagal sehingga n antivirus Norman Virus Control tetap dapat digunakan.

Gambar 6, Small.KL berusaha untuk mematikan antivirus Norman Virus Control

Sebagai tambahan Small.KL juga akan mencoba untuk disable “keyboard” dan “mouse” sehingga kedua device tersebut tidak dapat digunakan selain itu jika anda mencoba untuk membuat email baru [New Message] Small.KL akan langsung menutup lembar pesan/email terbebut sehingga anda akan kesulitan untuk mengirimkan email, untuk program Outlooks express itu sendiri masih dapat digunakan [tidak di matikan], pada saat Small.KL akan menutup lembar email yang akan dibuat ia akan menampilkan pesan berikut: (Gambar 7)

Gabmar 7, Pesan yang ditampilkan Small.KL setelah menutup email

Overwite File

Setiap hari ke 3 pada tiap bulannya, kurang lebih setelah 30 menit virus tersebut aktif , ia akan mencoba untuk menulis ulang semua file yang mempunyai ext. Dibawah ini dengan menambahkan text DATA Error [47 0F 94 93 F4 K5]":

Smal.ki juga akan menambahkan icon di stray menu dengan menampilkan pesan “Update Please wait" icon ini muncul jika menggunakan antivirus :

Norton Antivirus
Kaspersky Lab
Panda Software

Cara membersihkan W32/Small.KI

Disconnect komputer dari jaringan [sebaiknya lakukan pembesrihan memalui mode safe mode”
Jika menggunakan windows ME/XP, matikan [system restore] selama proses pembersihan
Matikan proses dari virus tersebut anda dapat menggunakan Task manager, matikan 2 proses dari virus tersebut yaitu
1. update.exe
2. winzip.exe
Hapus regsitry key yang diubah oleh virus

ScanRegistry = "scanregw.exe /scan"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Ubah string ShowSuperHidden dengan value 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advanced

Ubah string WebView dengan value 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advanced

Ubah string FullPatch dengan value 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState

Ubah string UNCAsIntranet dengan value 0

HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\ZoneMap

Hapus File yang dibuat oleh virus

WINZIP_TMP.exe
- C:\
Rundll16.exe [hidden file] dan WINZIP_TMP.exe
- C:\Windows

scanregw.exe [hidden file], update.exe [hidden file], winzip.exe [hidden file] dan sample.Zip

C:\Windows\System32

Temp.htt [hidden file] dan WinZip_Tmp.exe [hidden file]
- C:\Document and settings
- C:\Documents and Settings\Administrator\
- C:\Documents and Settings\Administrator\Start Menu
- C:\Documents and Settings\Administrator\Start Menu\Programs\,
- C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
- C:\Documents and Settings\All Users\Start Menu
- C:\Documents and Settings\All Users\Start Menu\Programs
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup

6. Hapus juga file yang dibuat pada setiap folder yang dishare dengan ciri-ciri

o Icon disamarkan [icon Winzip]

o Ukuran file 94 KB

o Ekstensi EXE

o Type file “Application”

Untuk pembersihan lebih optimal gunakan antivirus dengan up-date terbaru
Sangat disarankan untuk menginstall “antivirus for mail server” [jika Anda mempunyai mail server] atau menginstall antivirus yang mempunyai kemampuan untuk scanning email sebelum email tersebut dikirim atau diterima dan jangan sembarangan dalam membuka lampiran yang telah disebutkan diatas. (AJT)

salam,

Vaksincom

Tanah Abang III / 19E

Jakarta 10160 - Indonesia

http://www.vaksin.com

info@vaksin.com