W32/Lovgate.AJ@mm 8 Juli 2004 Varian Lovgate yang mengubah file .exe menjadi .zmx Bulan Juni 2004 dimulai dengan kemunculan varian dari virus yang telah kita kenal yakni virus W32/lovgate@mm, setelah sebelumnya yakni tanggal 01 Juli 2004 virus W32/Lovgate.X atau yang mempunyai nama lain W32/Lovgate.AC@mm kini 5 hari setelah kemunculan pertama atau tepatnya pada tanggal 6 Juli 2004 varian lain muncul dengan nama W32/lovgate.Z@mm atau yang mempunyai nama lain W32/Lovgate.AJ atau W32/Lovgate.AH@mm, virus ini akan menyerang mulai dari Windows 9X/ME/NT/2000/XP/Server 2003.
Virus W32.Lovgate.AJ@mm termasuk kedalam jenis virus berbasis email dan jaringan (Network) yakni virus yang dapat menyebarkan dirinya melalui email dan jaringan (folder yang dishare) dan program file sharing seperti KaZaA, Virus W32/Lovgate.AJ@mm mempunyai kesamaan dengan varian W32/Lovgate.F@mm yang mempunyai ukuran file 152 064 bytes, untuk memudahkan dalam menjalankan aksinya virus Lovgate.AJ akan mencoba untuk menghentikan proses dari antivirus dibawah ini dengan menggunakan perintah "net.exe stop"
"Symantec AntiVirus Client".
"Symantec AntiVirus Server".
"Rising Realtime Monitor Service"
Selain itu juga virus ini akan menghentikan software-software seciruty seperti Firewall.
Secara umum virus Lovgate.AJ mempunyai karakteristik sbb:
Mencoba untuk meng copy kan dirinya ke komputer yang mempunyai security yang lemah atau password yang mudah di tebak dengan terlebih dahulu akan mencoba logon sebagai Administrator pada komputer yang dijadikan target infeksi. Membuat share pada komputer yang terinfeksi (dengan nama share "MEDIA"). Mengirimkan dirinya sendiri ke semua alamat email yang telah diterima dengan menggunakan SMTP engine sendiri. Pada kondisi lain akan mengirim ulang (Reply) email yang telah masuk ke dalam INBOX. Mempunyai kemampuan untuk mengubah file yang mempunyai ext. EXE menjadi ext. .ZMX dan meng copy kan dirinya menjadi nama file yang telah di ubah tadi. Mencoba untuk menghentikan proses dari program antivirus dan software security seperti Firewall. Mengunakan celah keamanan RPC Interface Buffer Overflow (7.17.03) (MS03-026) untuk menginfeksi komputer lain yang ada dalam jaringan.
Apa yang dilakukan ketika virus W32/Lovgate.AJ.@mm menyerang system komputer ?
Pada saat virus ini mulai menginfeksi komputer ia akan melakukan serangkaian aksi dibawah ini :
Membuat file salinan dirinya kedalam folder : %Windir%\CDPlay.exe %Windir%\Exploier.exe %System%\IEXPLORE.exe %System%\RAVMOND.exe %System%\WinHelp.exe %System%\Update_OB.exe %System%\TkBellExe.exe %System%\hxdef.exe %System%\Kernel66.dll (hidden file)
Catatan:
%Windir% ini bervariasi. Secara default, adalah C:\Windows atau C:\Winnt) %System% bervariasi: Secara default, C:\Winnt\System32 (Windows NT/2000), atau C:\Windows\System32 (Windows XP).
Membuat file dengan nama CDROM.COM pada semua root folder pada Hard Disk, kecuali drive CD-ROM. Membuat untuk kemudian menjalankan file iexplorer.exe (61,440 bytes) yang berada pada folder , %System%. File ini terdeteksi sebagai virus W32.Lovgate.R@mm. setelah ia menjalankan file teresebut, kemudian ia akan menjalankan aksi sbb: Membuat copy dirinya pada folder %System% dengan nama file spollsv.exe. Menambahkan value:
"Shell Extension" = "%system%\spollsv.exe"
Kedalam registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Jadi, virus ini akan langsung aktif begitu komputer dijalankan. Berusaha untuk membuat nama file dalam folder %System%\a dengan menggunakan celah keamanan Microsoft Windows DCOM RPC Interface Buffer Overrun. Ini adalah file FTP script yang digunakan untuk mendapatkan/mendownload dan menjalankan file hxdef.exe dari system komputer yang terinfeks. Membuat file lain pada folder %System% folder dengan nama file :
a. results.txt
b. win2k.txt
c. winxp.txt
Membuat file dengan nama autorun.inf di semua root folder dalam Hard Disk, yang mana file ini berisi baris perintah :
[Autorun]
open="C:\cdrom.com"/StartExplorer Membuat file.zip file <filename>.<ext> disemua root folder disemua Hard Disk.
<filename> salah satu dari daftar dibawah ini:
a. Bakeup
b. Tools
c. email
dan <ext> salah satu dari daftar dibawah ini
a. RAR
b. ZIP Menambahkan value:
a. "Winhelp"="%system%\TkBellExe.exe..."
b. "Microsoft Associates, Inc."="%system%\iexplorer.exe"
c. "Hardware Profile"="%system%\hxdef.exe..."
d. "Program in Windows"="%system%\IEXPLORE.exe"
e. Shell Extension" = [systempath]\spollsv.exe
Kedalam registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Jadi virus ini akan langsung aktif jika anda menjalankan komputer dengan system operasi Windows 95/98/Me. Membuat registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Untuk kemudian akan menambahkan value
"SystemTray"="%Windor%\CDPlay.EXE"
"COM++ System"="explorer.exe"
Jadi virus ini akan aktif sebagai service jika komputer di jalankan. Memodifikasi value:
"(Default)"="Update_OB.exe%1"
Dari salah satu registri keys:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command
Jadi virus ini akan aktif jika Anda membuka file TXT Akan membuat key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1 Akan menambahkan value:
"run"="RAVMOND.exe"
Kedalam registry key
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Berusaha untuk menghentikan service :
a. Rising Realtime Monitor Service
b. Symantec Antivirus Server
c. Symantec Client Menghentikan proses lain yang berisi string:
a. rising
b. SkyNet
c. Symantec
d. McAfee
e. Gate
f. Rfw.exe
g. RavMon.exe
h. kill
i. Nav
j. Duba
k. KAV Scan semua drive dari C - Z. jika type driveitu adalah removable, mapped, fixed, kemudian virus ini akan melakukan aksi dibawah ini pada semu drive yang ada:
a. Mencoba untuk mengubah semua file yang mempunyai ext. .exe menjadi .zmx.
b. Mengeset atribut dari file itu menjadi Hidden dan System.
c. Copy dirinya sendiri sebagai file asli dari file yang telah di ubah tadi
Sebagai contoh, jika virus Lovgate.AJ mencari file dengan nama OriginalFile.exe, kemudian akan mengubah nama file tersebut menjadi OriginalFile.zmx. setelah itu virus ini akan meng copykan dirinya menjadi nama file OriginalFile.exe. Memmantau port 6000. program backdoor ini akan mengambil inforamsi yang ada pada komputer yang terinfeksi untuk kemudian informasi itu akan disimpan dalam sebuah file dengan nama Netlog.txt yang berada di folder C:\, setelah itu virus ini akan mengirimkan informasi tersebut dengan mengirimkan email ke pembuat virus tersebut. Copy dirinya ke semua folder dan sub folder yang di share dengan mengggunakan nama file:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
NVC.exe
Message.exe
Internet explorer.bat
Autoexec.bat
Iexplorer.exe
Exploier.exe
spollsv.exe Menempatkan dirinya pada folder yang disharing yang menggunakan program file sharing Kazaa dengan nama file :
wrar320sc
REALONE
BlackIcePCPSetup_creak
Passware5.3
word_pass_creak
HEROSOFT
orcard_original_creak
rainbowcrack-1.1-win
W32Dasm
setup
<random file name>
Dengan ext. .bat, .exe, .pif, atau .scr Memeriksa semua komputer yang ada pada jaringan local, dengan menggunakan password dibawah ini untuk mencoba logon sebagai "Administrator."
Guest
Administrator
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2004
2003
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
Catatan: Virus ini akank selalu mencoba untuk logon sebagai "Administrator" Jika virus ini berhasil logon kepada komputer remote (komputer yang menjadi target infeksi), ia akan berusaha untuk mengcopy kan dirinya sebagai :
\\<remote computer name>\admin$\system32\NetManager.exe
Dan menjalankan file services Windows Management NetWork Service Extensions
Service yang dijalankan akan mempunyai karakteristik :
Display name: Windows Management NetWork Service Extensions
ImagePath: NetManager.exe -exe_start
Startup: Automatic Mengirim ulang semua pesan (message) yang telah diterima ketika pesan tersebut datang ke mailbox dari beberapa MAPI-compliant email clients, seperti Microsoft Outlook.
Contoh :
Jika email asli yang datang adalah:
Subject: <subject>
From: <someone>@<somewhere.com>
Message: <original message body>
Virus ini akan berusaha untuk mengirim ulang ke pengirim dengan isi email
Subject: Re: <subject>
To: <someone>@<somewhere.com>
Message:
'<someone>' wrote:
====
> <original message body>
>
====
<sender's domain> account auto-reply:
Diikuti oleh salah satu dari daftar di bawah ini :
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE <sender's domain> account now! <
Attachment: (One of the following)
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
Message.exe Mengambil semua alamat email pada semua file yang mempunyai ext. .txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht, and .htm pada folder :
%Windir%\Local Settings
\Documents and Settings\<current user>\local settings
Temporary Internet Files Dengan menggunakan SMTP engine miliknya lovgate.aj akan mengirimkan dirinya ke semua alamat email yang telah diperoleh seto
Email yang dikirmkan akan mempunyai karakteristik
From: nama pengirim adalah acak yang dipilih dari daftar list yang dimiliki oleh virus Lovgate.AJ
Subject: (subject yang disertakan dapat berupa salah satu dari daftar dibawah ini)
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Message: (Pesan yang ada dapat berupa salah satu dari daftar dibawah ini)
pass
Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Copy of your message, including all the
headers is attached."
"This is the last cumulative update."
"Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)"
"Send reply if you want to be official beta tester."
"This message was created automatically by mail delivery software (Exim)."
"It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover
(West)."
"Adult content!!! Use with parental advisory."
"Patrick Ewing will give Knick fans something to cheer about Friday night."
"Send me your comments..."
"Reply to this!"
"Let's Laugh"
"Last Update"
"for you"
"Great"
"Help"
"Attached one Gift for u.."
"Hi Dear"
"Hi"
"See the attachement"
Attachment:
document
readme
doc
text
file
data
test
message
body
Dengan extension:
.bat
.exe
.scr
.pif Membuat network share dengan nama media, yang mana akan dimapping untuk folder %Windir%\Media, untuk kemudian mengkopikan dirinya dengan nama file
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
Window
Update.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe Mencoba untuk mencari file dengan ext. .exe, jika berhasil virus ini akan membuat file yang telah terinfeksi virus pada folder %System% dengan nama file win~.uuu yang menghubungkan ke dalam file dengan ext. EXE tersebut.
Keterangan lain
Walaupun aksi yang dimiliki oleh Lovgate.AJ, tetapi sepertinya virus ini tidak stabil dan mungkin saja bisa menyebabkan error-message dengan menampilkan pesan:
Write-up by Trygve Brox
Dilihat dari pesan yang ada kemungkinan virus ini di buat oleh Trygve Brox
Bagai mana cara mengatasi nya ? Install Antivirus dan update dengan data base terakhir. Gunakan antivirus yang memppunyai kemampuan untuk melakukan scanning terhadap email yang akan dikirim maupun yang akan diterima, seperti fitur Norman Internet Protection yang terdapat pada antivirus Norman Virus Control. Jangan membuka sembarang email yang masuk terutama yang mengandung file attachment executable seperti .exe, .bat, .scr atau .pif Update patach celah keamanan Microsoft Security Bulletin MS03-026
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx Disable system restore pada Windows ME/XP untuk sementara selama masa pembersihan virus. Scan komputer dengan update terakhir dan hapus file yang terdeteksi sebagai virus Lovgate.AJ Jangan gunakan program file sharing seperti KaZaA tanpa di dukung perlindungan antivirus yang handal. Jangan share folder dengan mode full acces apa lagi tanpa password sebaiknya gunakan mode read only atau gunakan password yang unik Hapus semua registry key yang telah dibuat oleh virus Lovgate.AJ Masuk ke regsitry key :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Disebelah pojok kanan layar, hapus value
"Winhelp"="%system%\TkBellExe.exe"
"Hardware Profile"="%system%\hxdef.exe"
"Program in Windows"="%system%\IEXPLORE.exe"
"Microsoft Associates, Inc."="%system%\iexplorer.exe"
"Shell Extension"= "%system%\spollsv.exe" Masuk ke registry key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Disebelah pojok kanan layar, hapus value:
"Systemtra"="%Windir%\CDPlay.exe"
"COM++ System"="exploier.exe" Masuk keregistry key:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
Disebelah kanan layar, hapus value
"run"="RAVMOND.exe" Masuk keregistry key:
HKEY_CLASSES_ROOT\txtfile\shell\open\command\
HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command
Disebelah pojok kanan layar, klik 2 kali Value
(Default)="Update_OB.exe %1"
Kemudian ganti value Update_OB.exe %1" menjadi NOTEPAD.EXE %1
Rename ulang file dengan ext. .zmx menjadi ext. .exe
Dilihat dari aksi yang diperlihatkan oleh virus Lovgate.AJ, seperti kemampuan untuk mengubah ext. exe menjadi ext. zmx yang tentunya bila kita menjalankan ext .exe tersebut berarti kita telah menjalankan virus tersebut, selain itu kemampuan untuk mengirim ulang semua pesan yang masuk ke dalam mailbox ke alamat pengirim dengan disisipi attachment yang telah terinfeksi virus, kemampuan untuk memantau port 6000 guna memudahkan aksinya, mengambil alamat email dan mengirimkan dirinya ke semua alamat email yang telah di peroleh dan aksi-aksi lain seperti yang telah dijelaskan diatas tadi, para pengguna komputer perlu meningkatkan kewaspadaannya, apa lagi bagi mereka yang tidak menggunakan program antivirus atau yang menggunakan antivirus tetapi dengan update yang tidak terjamin, karena siapa tahu komputer Anda akan menjadi korban selanjutnya yang ujung-ujungnya bandwidth jaringan/internet kita yang akan di lahap oleh virus ini, oleh karena itu gunakan antivirus yang terjamin update definisinya dan dilakukan secara otomatis serta update patch celah keamanan RPC DCOM.
Karena pada varian ini masih belum cukup stabil, kemungkinan akan muncul varian baru yang akan memperbaiki bug pada varian sebelumnya dan yang pasti akan lebih membahayakan dari varian sebelumnya, jadi WASPADALAH !!!!.
AJT Technical Support PT. Vaksincom Gedung Rifa lt. 4 Jl. Prof. Dr. Satrio blok C4 / 6-7 Jakarta 12950 Telp :021-526 0787 Fax : 021-526 -752 http://www.vaksin.com Email : info@vaksin.com |