W32/Bagle.C, D@mm        28 Februari 2004

Hati-hati dengan file Excel gadungan dalam attachment .zip

Pembuat virus sekarang memiliki "celah keamanan" favorit baru. Kalau dulu celah keamanan favorit adalah Iframe / Imime exploit dimana hampir setiap virus yang menyebar memanfaatkan celah keamanan Imime tersebut supaya lam piran file yang mengandung virus secara otomatis dijalankan oleh Outlook dimana untuk menjalankan lampiran prosedur yang normal adalah klik ganda oleh penerima email. Namun dengan menambahkan beberapa kode exploit kedalam email yang mengandung virus, Outlook akan secara otomatis menjalankan lampiran yang datang tanpa kulonuwun kepada pemilik email. Kalau anda terkejut dengan kenyataan di atas, mungkin perlu diketahui bahwa cara tersebut sudah mulai ditinggalkan dan sesuai dengan sifat virus yang "sangat dinamis" dan bisa dengan cepat menyesuaikan diri dengan "peluang" baru untuk menyebarkan dirinya, maka sekarang hobi baru dari pembuat virus adalah mengirimkan virus dalam bentuk lampiran .zip.

 

Mengandalkan attachment .zip

Kalau worm lain sebelum Bagle.C masih malu-malu dan hanya memasukkan .zip sebagai salah satu alternatif lampiran, Bagle.C sekarang "terang-terangan" mengeksploit mailserver yang selama ini meloloskan lampiran .zip dengan mengirimkan dirinya "hanya" dalam bentuk lampiran .zip(lihat gambar 1).

 

Gambar 1
 

Kemungkinan besar lampiran ini akan berhasil lolos dari saringan mailserver yang belum mengupdate definisi antivirus dan akan sampai ke mailbox pengguna komputer. Setelah sampai ke komputer user, tipuan kedua dilakukan oleh Bagle.C. Jika file .zip yang terlampir di mekarkan (unzip), icon hasil pemekaran akan memalsukan diri seakan-akan file Microsoft Excel, padahal file tersebut adalah Exekutable yang jika didouble klik akan mengaktifkan Bagle.C (lihat gambar 2)

 

Gambar 2

 

Bagle.C perlu diwaspadai karena ia akan mematikan program update antivirus :

 

ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE

 

dan membuka backdoor pada port 2745.

 

Disinfeksi

Jika anda telah terinfeksi Bagle.C, lakukan langkah berikut ini untuk disinfeksi :

 

  1. Putuskan hubungan komputer dengan jaringan

  2. Update antivirus anda dengan update terakhir.

  3. Restart komputer di safe mode (pada saat start komputer tekan tombol [F5]

  4. Scan dan delete semua file yang terdeteksi sebagai W32/Bagle.C@mm.

  5. Betulkan Registri yang dirubah oleh Bagle.C

  1. Klik [Start] [Run] Kotak dialog Run akan muncul
  2. Ketik "regedit"
    Kemudian klik OK. Menu Registry Editor akan membuka.
  3. Navigasi ke key :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Pada panel kanan hapus value :
    "gouday.exe"="%System%\readme.exe"

    Navigasi ke key :
    HKEY_CURRENT_USER\SOFTWARE\DateTime2
    Pada panel kanan hapus value :
    "uid"="[Karakter Acak]"
    "port"="2745"
    "frun"="1"
  4. Keluar dari Registry Editor.

AAT

Antivirus Specialist

PT. Vaksincom

Gedung Rifa lt. 4

Jl. Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp  :021-526 0787

Fax : 021-526 -752

http://www.vaksin.com

Email  : info@vaksin.com