W32.Bagle.A@mm 19 Januari 2004 Angpao menjelang Imlek
Setelah disibukkan dengan mencoba Busway dan perpanjangan waktu 3 in 1, kita dikejutkan lagi dengan sebuah virus baru pada bulan Januari 2004 ini. Virus ini dikenal sebagai virus Beagle. Jadi dengan seiring gonjang-ganjingannya pelaksanaan Busway dan 3 in 1 yang membuat jalanan menjadi tambah macet (menurut banyak pengguna jalan Sudirman – Kota), kita dibuat pusing juga dengan virus baru ini. Pertengahan bulan Januari 2004 dijalani dengan tenang dan tidak ada pemunculan virus baru sehingga para pengguna komputer dapat menjalankan aktivitasnya dengan aman. Namun minggu ke tiga Januari 2004 ditandai dengan munculnya virus baru sebagai hadiah Tahun Baru (angpao) disinyalir berasal dari daratan Eropa (Jerman) pada tanggal 18 Januari 2004. Sehari setelah "dilepaskan" ke internet, Bagle secara mantap menduduki peringkat pertama sebagai virus yang paling banyak dihentikan dengan korban utama negara-negara Asia Pasifik seperti Jepang, Korea, Hongkong dan Australia. Di Indonesia sendiri virus ini sudah mulai menyebar dengan tingkat yang cukup tinggi dan PT. Vaksincom mendapatkan banyak kiriman Bagle pada tanggal 19 Januari 2004 dari beberapa korporasi yang cukup besar.
Informasi teknis W32.Beagle.A@mm adalah sebuah virus worm yang menyebar dengan cepatnya melalui email secara massal, tetapi virus ini aktif hanya sampai pada tanggal 28 Januari 2004. Worm ini akan menyisipkan beberapa file dan beberapa key registry pada system operasi anda (Windows). Virus ini juga dapat mengakses secara remote beberapa alamat website, dan kontrak email dari semua website tersebut dapat ditemukan. Dan ada kelebihan lainnya bahwa virus ini mengandung kemampuan virus backdoor yang bernama TrojanProxy.Win32.Mitglieder. Tetapi virus ini juga mempunyai beberapa kelemahan sehingga tidak berfungsi sebagaimana mestinya. Bagle menyebar melalui email dengan menggunakan SMTP engine miliknya sendiri. Ia akan mengirimkan dirinya sendiri ke semua alamat email yang dikumpulkan dengan mencarinya dari dari file-file .wab, .txt, .htm, dan .html files pada komputer yang terinfeksi. Virus ini akan menghindari alamat email yang mengandung @hotmail.com, @msn.com, @microsoft, dan @avp. Mungkin ini dilakukan untuk menghindari pendeksian lebih awal. Ukuran file attach-nya berukuran 15 Kb. Engine SMTP-nya menggunakan direct Mail eXchange (MX) lookup pada domain target, jadi tidak tergantung pada setting email pada komputer yang terinfeksi. Bagaimana virus tersebut sampai di komputer anda ? Kalau anda menerima sebuah email dengan ciri-ciri seperti di bawah ini : Subject : HiBody : Test =) <random characters> -- Test, yep.Attachment : <random characters>.exe
Ukuran file attach-nya berukuran 15 Kb. Ketika virus tersebut aktif di dalam komputer anda (setelah anda mengklik file attach), ia akan mengcopykan dirinya sebagai sebuah file yang bernama BBEAGLE.EXE dan diletakkan ada folder Windows System. Dan tidak ketinggalan ia akan menambahkan file registry anda dengan beberapa perubahan yang cukup berarti yang akan memungkinkan virus ini akan selalu dijalankan setiap kali windows restart : HKEY_CURRENT_USER\Software\Microsoft\Windows\ HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\ Jika pada registry key ada value HKCU\SOFTWARE\WINDOWS98, sebuah kumpulan angka acak (random) dengan jumlah 9 digit akan disimpan untuk untuk penggunaan berikutnya. HKEY_USERS\%SystemInfo%\Software\Windows98 Registry value lainnya akan diset di dalam HKCU\Software\Windows98\Ffrun dan akan di set sebagai TRUE. HKEY_USERS\%SystemInfo%\Software\Windows98 Jika worm tersebut tidak dijalankan melalui folder Windows System, dan parameter "-upd" tidak ditetapkan (ketika attachment diesekusi) worm tersebut akan menghasilkan sebuah copy file yang bernama "calc.exe" dan menyerupai aplikasi Windows Calculator. Worm ini akan membuka port 6777 yang siap untuk menerima koneksi dari seorang pemakai remote, dan memberi akses secara penuh pada komputer yang terinfeksi, tetapi tidak berfungsi dengan baik. Dan mencoba menghubungi lokasi web tertentu. Ini nampaknya untuk mendaftarkan alamat IP dari komputer yang terinfeksi. http://www.elrasshop.de/1.php Seperti yang sudah dijelaskan di atas, bahwa virus ini akan berakhir masa aktifnya pada tanggal 28 Januari 2004, dan jika dijalankan pada tanggal tersebut ia akan menjalankan sebuah batch file untuk menghapus dirinya sendiri. (menurut penelitian beberapa vendor antivirus perintah tersebut dinyatakan tidak berfungsi!!!!). Jadi anda harus berhati-hati. Cara menghilangkan virus ini
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run "d3update.exe" = "%system%\bbeagle.exe" HKCU\Software\Windows98\frun HKCU\Software\Windows98\uid Tools Bagle. Bagi anda yang telah terinfeksi Bagle, silahkan download Tools Bagle secara Gratis di : BagleFix http://www.norman.com/public/BagleFix.com
MGM Latupeirissa |
