JS/Fortnight.D       2 Desember 2003

Perhatikan tambahan Toolbar baru pada IE anda

Perhatikan Browser Internet Explorer anda, apakah toolbar standarnya berubah dan bertambah dengan toolbar "Search", "Antivirus", "Pills", "Security" dan "Search" (lihat gambar).

Jika ya, anda jangan senang dengan tambahan tollbar tersebut karena komputer anda terinfeksi Fortnight dan PR panjang menanti anda karena anda harus memperbaiki "banyak" registri yang telah dirubah oleh Fortnight. Vaksin.com menerima banyak laporan infeksi JS/Fortnight di Indonesia dan karena itu kami menegeluarkan peringatan ini. Gunakan program antivirus yang terupdate untuk melindungi komputer anda dari serangan Fortnight dan jangan lupa update patch Internet Explorer anda. Norman Virus Control versi 5.7 dengan Sandbox dan NIP (Norman Internet Proxy) mampu mendeteksi virus ini dan melindungi komputer anda dari serangan Fortnight. Bagi pelanggan Vaksincom yang ingin mengetahui lebih jauh tentang serangan Fortnight dan bagaimana cara yang efektif untuk menanggulanginya silahkan hubungi support@vaksin.com untuk mendapatkan perbaikan virus Gratis.

JS.Fortnight.D adalah sebuah Trojan Horse yang menuruh sebuah file, yang mana kemudian menyisip pada default signature dari Microsoft Outlook Express. Setelah itu,  setiap kali anda mengirimkan sebuah email dengan menggunakan Outlook Express, email tersebut akan mengandung sebuah code yang akan mencoba untuk mengunjungi sebuah Web site tertentu ketika si penerima membuka email tersebut.

JS.Fortnight.D mengeksploit celah keamanan Microsoft VM yang menggunakan IFRAME tag, dengan SRC field yang diset ke sebuah alamat dari pembuat Trojan itu sendiri. Setelah beberapa rangkaian pengalihan, sebuah encoded JavaScript akan me-load sebuah applet yang mengandung exploit. Pada sebuah system yang belum di-patch, akan terjadi beberapa modifikasi pada registry keys dan setting Web browser.

Mungkin kalau anda telah membaca artikel ini akan mengatakan rumit sekali virus ini membuat modifikasi di dalam file registri. Kalau menurut para pembuat virus inilah yang paling baik, karena kita harus melakukan perbaikan secara menyeluruh di setiap perubahan yang telah dilakukan oleh virus JS_FORTNIGHT.D ini. Dengan ukuran 577 byte (pada file signature htm file), 3,248 byte (link pada signature file), 8,677 byte (pada php file yang akan meload htm file linked pada signature file)

Ketika pertama kali virus ini menyebar di dalam komputer anda, ia akan membuat beberapa langkah-langkah untuk menginfeksi komputer anda antara lain :

  1. Membuat sebuah file di dalam folder C:\windows. Nama file ini akan dibuat sesuai dengan bulan yang sedang berjalan. Misalnya Oktober, maka akan dibuat file c10.htm. Isi dari file htm ini adalah sebuah alamat web site.
  1. Menyisipkan file c<nama bulan berjalan>.htm pada default Microsoft Outlook Express signature. Jadi setiap kali anda mengirimkan sebuah email, maka email tersebut akan berisi sebuah virus yang akan dijalankan ketika email tersebut dibaca.

Untuk menjalankan aksinya tersebut di atas, virus ini akan membuat penambahan dan perubahan pada file registry :

Menambahkan value:
Default Signature 01000000
pada registry key:
HKEY_CURRENT_USER\Identities\[Default User ID]\
Software\Microsoft\Outlook Express\[Version of Outlook]\signatures

Menambahkan values:

file %windir\c<month number>.htm

name Default

text ""

type 2

pada registry key:

HKEY_CURRENT_USER\Identities\[Default User ID]\

Software\Microsoft\Outlook Express\[Version of

Outlook]\signatures\010000000

  1. Mengganti Internet Explorer setting pada registry yang selalu akan langsung penerima email untuk mengunjungi site dari Trojan's creator:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search
"SearchAssistant"="http://ncc.com.tw:
3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF8
09JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm"

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search
"CustomizeSearch"=”http://ncc.com.tw:
3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF
809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm”

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\URL\DefaultPrefix

 

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\ SearchUrl

  1. Menambahkan values:

    "ButtonText"="SEARCH"
    "HotIcon"="shell32.dll,5"
    "Icon"="shell32.dll,4"
    "Exec"="http://ncc.com.tw:
    3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4W
    J2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/find.htm"
    "CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
    "Default Visible"="Yes"
    Pada registry key:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B1}

 

  1. Menambahkan values:

    "ButtonText"="ANTIVIRUS"
    "HotIcon"="shell32.dll,12"
    "Icon"="shell32.dll,13"
    "Exec"="http://ncc.com.tw:
    3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4W
    J2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/av.htm"
    "CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
    "Default Visible"="Yes"
    Pada registry key:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B2}

  2. Menambahkan values:

    "ButtonText"="PILLS"
    "HotIcon"="shell32.dll,181"
    "Icon"="shell32.dll,180"
    "Exec"="http://ncc.com.tw:
    3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4W
    J2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/med.htm"
    "CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
    "Default Visible"="Yes"

Pada registry key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B3}

  1. Menambahkan values:

    "ButtonText"="SECURITY"
    "HotIcon"="shell32.dll,194"
    "Icon"="shell32.dll,45"
    "Exec"="http://ncc.com.tw:
    3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4W
    J2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/check.htm"
    "CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
    "Default Visible"="Yes"
    Pada registry key:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B4}
  2. Menambahkan values:

    "ButtonText"="SEARCH"
    "HotIcon"="shell32.dll,157"
    "Icon"="shell32.dll,155"
    "Exec"="http://ncc.com.tw:
    3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4W
    J2304LFD0SF9FSD0A2T4LD%2E%42%49%5A"
    "CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
    "Default Visible"="Yes"
    Pada registry key:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B5}

  3. Menambahkan value:

    Internal regedit.exe /s %windir%\c<month number>

    Pada registry key:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

Setiap kali windows restart, maka akan diperiksa bulan yang berjalan. Kalau ada penggantian, maka secara otomatis akan dirubah di dalam file registry tersebut dan pada C:\Windows\C<bulan berjalan>

Kalau komputer anda sudah terinfeksi maka pada browser anda akan terlihat penambahan toolbar yang baru :

Bagaimana cara penghapusan dari komputer yang sudah terinfeksi :

 

  1. Jalankan antivirus anda dengan menggunakan update data terakhir.

  2. Kemudian anda harus mengedit file registri, kalau belum yakin sekali anda backup dulu file registry tersebut. Langkah-langkah perbaikannya adalah sebagai berikut :

  • Klik Start, dan kemudian klik Run.

  • Ketik regedit kemudian klik OK

  • Cari dan delete key-key yang telah dibuat oleh virus :

    HKEY_CURRENT_USER\Identities\[Default User ID]
    \Software\Microsoft\Outlook Express\[Version of Outlook]\signatures
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B1}
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B2}
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B3}
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B4}
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B5}

 

  • Cari key:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

Pada panel sebelah kanan, delete value:

"Internal"="regedit.exe /s %windir%\c<month number>"

  • Cari key:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search

Pada panel sebelah kanan, ganti value:

"SearchAssistant"
"CustomizeSearch"

menjadi :

about:blank

  • Cari key:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\URL

 

Pada panel sebelah kanan, ganti value:

"DefaultPrefix"

menjadi :

about:blank

  • Cari key:

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer

Pada panel sebelah, ganti value:

"SearchUrl"

 

menjadi :

 

about:blank

  • Exit Registry Editor.

 

Untuk mencegah virus ini jangan sampai masuk kembali ke dalam komputer anda, diharapkan anda dapat menginstall Internet Explorer versi 6.0 SP1 dan menginstall patch yang disediakan oleh Microsoft. Atau anda dapat mendownload dari ftp-nya Vaksin.com dengan alamat :

 

Internet Explorer 6 Service Pack 1

- Windows 2000 SP4

- Windows 2000 SP3

- Windows 2000 SP2

- Windows NT® 4.0 SP6A

- Windows Millennium Edition (Windows ME)

- Windows 98 SE

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_6_SP1/q828750.exe

 

Internet Explorer 6

- Windows XP SP1

- Windows XP

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_6_XP/q828750.exe

 

Internet Explorer 5.5 Service Pack 2

- Windows 2000 SP4

- Windows 2000 SP3

- Windows 2000 SP2

- Windows NT® 4.0 SP6A

- Windows Millennium Edition (Windows ME)

- Windows 98 SE

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_55_SP2/q828750.exe

 

Internet Explorer 5.01 Service Pack 3

- Windows 2000 SP3

dan

Internet Explorer 5.01 Service Pack 4

- Windows 2000 SP4

alamat download : ftp://ftp.cbn.net.id/Vaksin/Patch/for_IE/IE_501_2K_SP3_SP4/q828750.exe

 

Gemini Man

teknisi2@vaksin.com