W32/Netsky.C@mm            27 Februari 2004

Dua gajah bertarung, pelanduk mati ditengah

Ibarat pelanduk, begitulah nasib para netter di bulan Februari. Seakan tidak mau kalah dengan serangan virus bulan Januari, sejak tanggal 18 Februari sampai dengan hari ini terus bermunculan virus-virus baru yang menyebar dengan kecepatan sangat tinggi dan sangat berbahaya. Setelah munculnya MyDoom.F yang menghapus banyak file (terutama MS Office) pada 21 Februari 2004 yang banyak memakan korban karena update antivirus ternyata terlambat mengantisipasi cepatnya penyebaran virus, pada tanggal 25 Februari 2004 muncul lagi virus baru yang merupakan varian baru dari Netsky dengan nama Netsky.C.

Netsky.C memiliki penyempurnaan dari Netsky.B sebagai berikut :

  1. Netsky.C dikirimkan dalam berbagai jenis kompresi, Petite, ASPack dan UPX compresor. Biasanya virus menggunakan satu jenis kompresi saja.

  2. Netsky.C tidak menampilkan Error Message seperti Netsky.B.

  3. Netsky.C akan menginstal dirinya sebagai WINLOGON.EXE pada folder windows.

  4. Netsky.C memiliki rutin untuk mencari smtp server sendiri dalam menyebarkan dirinya.

 

Pelanduk Mati Ditengah

Dari pesan yang ditinggalkan oleh pembuat Netsky.C dan beberapa payload yang terkandung di dalamnya, kelihatannya pembuat Netsky marah dengan pembuat MyDoom yang dituduh menjiplak idenya. Karena itu sebagai aksi tambahan, Netsky akan mematikan proses beberapa virus terdahulu seperti :

 

  • W32/MyDoom.A@mm

  • W32/MyDoom.B@mm

  • W32/Netsky.A@mm

  • W32/Netsky.B@mm

 

Celakanya, pembuat Netsky ini marahnya tidak langsung menyerang ke pembuat MyDoom melainkan dengan mengeluarkan virus baru Netsky.C yang mengingatkan Vaksincom akan pepatah sewaktu sekolah dulu (1001 peribahasa) Dua Gajah Bertarung, Pelanduk Mati di Tengah. Kabar baiknya adalah Netsky.C tidak mengandung rutin yang menghancurkan file seperti MyDoom.F sehingga jika komputer anda terinfeksi Netsky.C yang anda dapatkan adalah komputer anda akan berusaha mengirimkan Netsky.C ke seluruh alamat email yang didapatkan dari komputer anda dan menyebarkan dirinya lewat sharing dan Kazaa.

Selain itu, Netsky.C akan mengkopikan dirinya dalam file yang luarbiasa banyaknya (ribuan). Direktori yang dituju untuk mengkopikan dirinya adalah semua direktori yang mengandung kata "shar". Sebagai contoh direktori :

 

c:\sharing

c:\Program Files\My Shared Folder

 

Sebagai gambaran, dalam waktu beberapa menit setelah infeksi, kami mendeteksi 4.410 file yang di drop oleh Ntesky.C ke dalam semua direktori / sub direktori yang mengandung kata "shar". (lihat gambar 1)

 

Gambar 1

 

Tujuan dari aksi Netsky.C kali ini cukup jelas, yaitu untuk menyebarkan dirinya ke komputer lain di dalam jaringan, hal ini secara tidak langsung akan mengaktifkan penularan melalui Peer to Peer (Kazaa) karena direktori file Kazaa yang di share mengandung kata "shar" (KazaA\My Shared Folder). Karena itu jika anda berada dalam jaringan lokal atau pengguna Kazaa, jangan klik file dengan nama :

 Microsoft WinXP Crack.exe
 Teen Porn 16.jpg.pif
 Adobe Premiere 9.exe
 Adobe Photoshop 9 full.exe
 Best Matrix Screensaver.scr
 Porno Screensaver.scr
 Dark Angels.pif
 XXX hardcore pic.jpg.exe
 Microsoft Office 2003 Crack.exe
 Serials.txt.exe
 Screensaver.scr
 Full album.mp3.pif
 Ahead Nero 7.exe
 Virii Sourcecode.scr
 E-Book Archive.rtf.exe
 Doom 3 Beta.exe
 How to hack.doc.exe
 Learn Programming.doc.exe
 WinXP eBook.doc.exe
 Win Longhorn Beta.exe
 Dictionary English - France.doc.exe
 RFC Basics Full Edition.doc.exe
 1000 Sex and more.rtf.exe
 3D Studio Max 3dsmax.exe
 Keygen 4 all appz.exe
 Windows Sourcecode.doc.exe
 Norton Antivirus 2004.exe
 Gimp 1.5 Full with Key.exe
 Partitionsmagic 9.0.exe
 Star Office 8.exe
 Magix Video Deluxe 4.exe
 Clone DVD 5.exe
 MS Service Pack 5.exe
 ACDSee 9.exe
 Visual Studio Net Crack.exe
 Cracks & Warez Archive.exe
 WinAmp 12 full.exe
 DivX 7.0 final.exe
 Opera.exe
 IE58.1 full setup.exe
 Smashing the stack.rtf.exe
 Ulead Keygen.exe
 Lightwave SE Update.exe
 The Sims 3 crack.exe

Hati-hati dengan lampiran .zip

Netsky.C akan datang dalam lampiran email dengan alamat email pengirim dipalsukan dan umumnya berekstensi ganda, adapun ekstensi pertama yang akan datang adalah :

  • txt

  • rtf

  • doc

  • htm

 

sedangkan ekstensi ke dua adalah :

  • exe

  • scr

  • com

  • pif

  • zip

 

Contoh lampiran dari kombinasi di atas adalah :

  • transfer.txt.scr

  • naked.doc.com

 

Ekstensi eksekutable tidak terlalu mengkhawatirkan karena hampir semua admin mailserver melakukan pemblokiran atas lampiran yang dapat dieksekusi seperti .exe, .scr, .com dan .pif. Tetapi yang perlu dikhawatirkan adalah lampiran yang datang dalam bentuk .zip, karena akan diloloskan oleh mailserver dan berhasil sampai ke penerima email (Lihat gambar 2)

 

Gambar 2

 

Jika lampiran tersebut di klik, maka file akan di unzip dan hasil unzip tersebut adalah file eksekutable dengan ekstensi ganda, namun icon file tersebut akan dipalsukan seolah-olah file .txt yang tidak berbahaya kalau di klik. (lihat gambar 3)

 

Gambar 3

 

Jika anda mengklik icon tersebut, maka komputer anda akan langsung terinfeksi dan menjadi pelanduk yang menjadi korban ditengah pertempuran dua gajah.

 

Bagaimana kalau sudah terinfeksi

Jika komputer anda sudah terinfeksi Netsky.C dan anda tidak ingin menjadi pelanduk yang mati di tengah pertempuran dua gajah pembuat virus, langkah yang harus anda lakukan adalah sebagai berikut :

 

  1. Putuskan hubungan komputer dengan jaringan

  2. Update antivirus anda dengan update terakhir.

  3. Restart komputer di safe mode (pada saat start komputer tekan tombol [F5]

  4. Scan dan delete semua file yang terdeteksi sebagai Netsky.C

  5. Betulkan Registri yang dirubah oleh Netsky.C

  1. Klik [Start] [Run] Kotak dialog Run akan muncul
  2. Ketik "regedit"
    Kemudian klik OK. Menu Registry Editor akan membuka.
  3. Masuk ke key :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  4. Pada panel kanan hapus value :
    "ICQ NET" = "%Windir%\winlogon.exe -stealth"
  5. Keluar dari Registry Editor.

Jika anda mengalami kesulitan dalam menjalankan langkah-langkah di atas, gunakan tools f-netsky.zip yang dibuat oleh F-Secure di ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.zip

Vaksincom juga menyarankan anda untuk menggunakan program antivirus yang memiliki kemampuan update melalui jaringan dan memiliki Internet Protection dan Sandbox guna melindungi komputer anda dari kemungkinan serangan virus baru di masa depan. Jika anda memerlukan perlindungan antivirus yang handal untuk jaringan dan mendapatkan support gratis dari teknisi berpengalaman sepanjang tahun, bergabunglah segera menjadi pelanggan Vaksincom.

 

salam,

AAT

PT. Vaksincom

Gedung Rifa lt. 4

Jl. Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp  :021-526 0787

Fax : 021-526 -752

http://www.vaksin.com

Email  : info@vaksin.com