W32.MyDoom.A@mm          27 Januari 2004

Kiamat kecil di awal tahun

Sebagai sebuah virus worm yang baru dikenal sebagai Mydoom atau Novarg telah menyerang dan menyebar secara cepat melalui perantara email dan Kazaa network. Pada email, virus  mengandung subject, bodi dan attachment yang bervariasi. Worm ini akan membuka applikasi NOTEPAD dan menampilkan karakter acak di dalamnya. Dan yang menarik, MYDoom akan menyerang sebuah web site yang merupakan salah satu varian UNIX dengan alamat http://www.sco.com dengan DDoS-attack pada tanggal 1 Februari 2004.

Sebenarnya apa saja yang dilakukan oleh MyDoom ?

Virus ini pertama-tama masuk ke dalam komputer anda sebagai sebuah email dengan perincian sebagai berikut (lihat gambar 1) :

Gambar 1

Terlihat di atas bahwa email tersebut sudah di encoding. Yang dapat diketahui bahwa banyak sekali varibel-variabel yang digunakan oleh virus tersebut misalnya :

Subject ditampilkan secara random :

-          Server Report

-          Mail Delivery System

-          Hi

-          status

-          hello

-          HELLO

-          Hi

-          test

-          Test

-          Mail Transaction Failed

-          Server Request

-          Error

Message Body dapat dipilih dari list yang dibawa oleh virus tersebut, bisa kosong, atau terdiri dari sebuah pesan-pesan sampah seperti contoh di atas. Sebagai contoh lainnya dari Message Body digunakan oleh worm tersebut :

-         The message contains Unicode characters and has been sent as a binary attachment.

-         The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

-         Mail transaction failed. Partial message is available.

-         Test

Attach / Lampiran yang dikirimkan juga namanya berubah-rubah dan dikemas dalam bentuk sebuah file ZIP. Dan isinya terkadang merupakan sebuah file double extention. Virus ini seolah-olah menjadi sebuah file TXT yang akan dibuka oleh NOTEPAD. File-file *.TXT tersebut adalah seperti contoh di bawah ini yang akan anda terima:

  • body
  • message
  • test
  • data
  • file
  • text
  • doc
  • readme
  • document

File-file tersebut di atas akan ditambahkan sebuah extention di bawah ini :

-          BAT

-          EXE

-          PIF

-          SCR

-          CMD

Setelah virus tersebut dijalankan maka ia akan menginfeksi komputer anda dan melakukan pekerjaan backdoor. Tugas backdoor ini ditanamkan oleh sebuah file yang bernama SHIMGAPI.DLL pada system32 directory dan dijalankan dengan mudahnya seperti anda menggunakan EXPLORER.EXE. Virus ini akan menjaga dan membuka TCP port 3127 sampai 3198. File tersebut dikompress dengan menggunakan metode UPX

Nama file yang akan digunakan MyDoom dalam System adalah :

 

  • TASKMON.EXE
    Taskmon, adalah task manager yang berfungsi melihat aplikasi apa yang sedang dijalankan oleh sebuah komputer. Jika aplikasi ini diganti, maka file-file yang ditampilkan bukan merupakan aplikasi yang sedang dijalankan oleh komputer itu sendiri tetapi applikasi yang disamarkan seolah-olah dijalankan oleh komputer itu sendiri. Yang berbahaya jika applikasi yang diketahui oleh Taskmon tersebut adalah applikasi yang normal menurut kita, tetapi sebenarnya adalah applikasi yang berbahaya, misalnya applikasi untuk mengirimkan worm (virus), tetapi disamarkan dengan nama applikasi lain misalnya Kazaa.EXE. Kalau kita lihat pada linux ini adalah semacam applikasi rootkit dimana applikasi-applikasi utama dalam server diganti dengan applikasi dengan nama yang sejenis tetapi fungsinya lain.

     

    File asli dari TASKMON.EXE akan didelete dan diganti oleh file dari virus tersebut dan diletakkan pada direktori SYSTEM32, dan akan juga membuat 2 buah value registry yang baru sehingga akan selalu dijalankan setiap kali anda reboot komputer anda :

     

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    "TaskMon" = %sysdir%\taskmon.exe

     

dan untuk menjaga-jaga jika ada kegagalan maka dibuatlah sebuah value lainnya :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

"TaskMon" = %sysdir%\taskmon.exe

  • MESSAGE, file ini  diletakan pada direktori %temp%. File ini yang akan melaksanakan penamaan file yang bervirus secara random dan dibaca dengan menggunakan NOTEPAD

 

Untuk diperhatikan para pengguna applikasi P2P, khususnya KAZAA jangan sekali-kali membuka file-file yang di share dengan nama : 

 

  • winamp5

  • icq2004-final

  • activation_crack

  • strip-girl-2.0bdcom_patches

  • rootkitXP

  • office_crack

  • nuke2004

 

dengan ekstensi

 

  • bat

  • exe

  • scr

  • pif

 

dan ciri yang sangat jelas adalah ukuran filenya 22 KB, sekali anda mendownload dan menjalankan file ini, maka anda akan terinfeksi MyDoom (lihat gambar 2).

 

Gambar 2

 

Bagaimana cara menghapus atau mengatasi MyDoom :

  1. Update data definisi virus dari antivirus anda. Untuk pengguna Norman Virus Control, update binary teakhir yang dapat mengenali MyDoom adalah update tanggal 26 Januari 2004.

  2. Untuk pengguna Win XP dan Win ME harap nonaktifkan System Restore.

  3. Restart komputer dalam Safe Mode.

  4. Scan harddisk menggunakan antivirus dan clean semua file yang terdeteksi sebagai MyDoom.

  5. Jalankan Regedit untuk menghapus value yang ditambahkan pada file registry :

Buka Registry Editor. Klik [Start] [Run] ketik REGEDIT dan tekan Enter.

Pada panel kiri klik :
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

Pada panel kanantemukan dan HAPUS :
TaskMon = c:\windows\System\taskmon.exe 
 

Tutup Registri Editor

Tips :

Untuk melindungi komputer dari virus sejenis MyDoom yang menggunakan ekstensi ganda tanpa memerlukan update antivirus, kami sarankan anda menggunakan antivirus yang dapat mendeteksi penerimaan email dengan attach / lampiran yang menggunakan double extention. Norman Virus Control dengan Norman Internet Protection memiliki kemampuan mendeteksi dan memblok ekstensi ganda (lihat gambar 3).

 

Gambar 3

 

MGM Latupeirissa

support@vaksin.com