Evaluasi virus September 2003     3 Oktober 2003

Mungkin untuk bulan September 2003 ini, tidak terlalu sibuk kita menghadapi virus-virus worm yang akhir-akhir ini merajalela seperti Blaster dan Sobig.F. Serangan mereka yang bertubi-tubi mungkin terasa sampai ke perusahaan atau para pemakai komputer pribadi. Yang mereka rasakan adalah betapa lambatnya koneksi internet, ini diakibatkan oleh trafik yang begitu padat yang diciptakan oleh virus-virus tersebut di atas. Pemakaian bandwith begitu tinggi sehingga menjadikan ISP/Server menjadi sangat-sangat sibuk dibuatnya.

Kita bisa bernafas sedikit sampai pada pertengahan bulan September 2003, karena pada tanggal 19 September 2003, muncul sebuah virus worm baru yang cukup merepotkan para pemakai komputer dan sudah pasti yang menggunakan jasa internet sebagai penghubung antar jaringan komputer. Worm tersebut dikenal sebagai W32/Swen atau dikenal juga sebagai varian virus Gibe.F. Virus dengan kreatif memalsukan diri sebagai kiriman Update Patch dari Microsoft lengkap dengan logo dan gambar yang sangat meyakinkan sehingga pengguna awam akan dengan mudah percaya dan menjalankan file tersebut.

Ada beberapa hal yang cukup menarik dari virus ini antara lain :

  1. Memiliki kemampuan menyebar menggunakan banyak media.

  2. Memiliki kemampuan menjalankan dirinya sendiri meskipun lampiran tidak di klik oleh penerima email.

  3. Memalsukan dirinya sebagai update Microsoft dengan tipuan tampilan yang nyaris sempurna.

  4. Memiliki daftar smtp dan nntp server sendiri dan (sekali lagi) mengelabui pengguna dengan tampilan palsu jika tidak berhasil mendapatkan smtp server dari registri.
    Melumpuhkan Registry Editor. Dalam rangka melindungi dirinya dari pembersihan, Swen memblokir akses ke registri editor dengan menambahkan string :
    [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
     "DisableRegistryTools" = dword:00000001

  5. Menguasai semua file executable. Swen memanipulasi registri sehingga semua akses ke file executable seperti .bat .scr .exe .reg dan .pif dikausai olehnya dan jika anda menjalankan semua file dengan akhiran tersebut di atas akan berakibat mengaktifkan dirinya

  6. Melumpuhkan firewall dan antivirus. Virus ini akan mematikan semua program antivirus dan firewall.

Kalau dilihat pada point 5 dan 6, adalah sebuah kemajuan cara berpikir dari seorang pembuat virus. Ia sudah memikirkan bahwa kalau virus sudah menyerang komputer pasti akan membuat value pada registry. Oleh sebab itu ia memblok akses dalam penggunaan seluruh program executable dan khususnya progam Registry Editor (Regedit.exe). Bisa dibayangkan betapa sulitnya kalau anda pemakai komputer yang menggunakan system operasi Windows 2000 dan XP yang tidak mempunyai fasilitas MS DOS. Karena kalau tidak dapat menggunakan regedit.exe, bagaimana caranya agar dapat menggunakan komputer tersebut. Kalau kita menggunakan system operasi Windows 9.x, kita dapat menjalankan perbaikan melalui dos prompt. Dengan cara merestore sebuah file registry yang telah kita buat atas petunjuk dari beberapa vendor antivirus. Dengan cara :

1.       Masuk ke C:\cd\windows (tekan enter)

2.       C:\Windows\Regedit C:\temp\benar.reg (ini jika file benar.reg yang berisi string perbaikan terletak pada folder C:\temp)

Perintah tersebut akan memasukkan file benar.reg (yang telah kita buat sebelumya) ke dalam registry). Dengan cara ini data registry telah kita pulihkan. Kemudian kita dapat menjalankan pembersihan dengan menggunakan antivirus dengan update definisi terakhir.

 

Memang ini adalah salah satu cara untuk mengatasi keadaan demikian, mungkin dengan cara kita merestore registry lama kita dengan menggunakan scanreg. Scanreg kita jalankan  dan tambahkan sebuah parameter  /restore. Program scanreg akan me-restore data registry dari file CAB yang sudah dibentuk sebelumnya. Dan cara-cara lainnya. Ini berlaku untuk Window 9x

 

Untuk cara perbaikan lainnya anda dapat membaca artikel yang disajikan oleh Tim Technical Support VaksinCom pada alamat link http://www.vaksin.com/clean_swen.htm

 

Virus lainnya yang menjadi perhatian dari kami adalah YAHA dan DUMARU

 

WORM YAHA.W

W32/Yaha-W adalah salah satu virus worm yang penyebarannya melalui email dan menggunakan SMTP miliknya sendiri ke semua alamat email yang didapatnya dari komputer yang telah terinfeksi misalnay dari the Windows Address Book dan mencoba mengcopykan dirinya pada komputer yang terhubung dalam sebuah jaringan, pada folder yang memakai nama \Windows, \Win9x, \WinNT, \WIN, \WINME, \WINXP.

Worm ini mengcopykan dirinya pada folder C:\Windows sebagai sebuah file yang bernama REGE32.EXE dan pada folder C:\Windows\System sebagai sebuah file yang bernama EXELD32.EXE dan EXPLORERE.EXE. worm ini juga membuat 2 value registri yang baru yang selalu akan mengaktfkan dirinya setiap kali windows di startup :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MicrosoftServiceManager = \EXPLORERE.EXE

 

dan

 

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
MicrosoftServiceManager = \EXPLORERE.EXE

 

Dan virus ini juga menambahkan sebuah command line pada file WIN.INI

 

[WINDOWS]
run=REGE32.EXE

 

yang membuat virus ini semakin rumit di dalam komputer yang sudah terinfeksi adalah, ia mematikan semua proses yang diperlukan, misalnya :

 

  1. Mencari dan memantau pada window yang sedang aktif, dan jika ada nama yang berisi nama sebuah proses yang sudah disiapkan maka tidak lama kemudian proses ini akan dimatikan, contohnya adalah :

    Windows Task Manager

    System Configuration Utility

    Registry Editor

    Process Viewer

  2. Mencoba untuk menghapus file-file di bawah ini :

    %System%\WinServices.exe

    %System%\nav32_loader.exe

    %System%\tcpsvs32.exe

    %System%\syshelp.exe

    %System%\WinGate.exe

    %System%\WinRpcsrv.exe

    %System%\winmgm32.exe

    %Windir%\SNTMLS.DAT

  3. Menghapus values pada file registry :

    WinServices
    syshelp
    WinGate initialize
    Module Call initialize
    WindowsMGM

    Dari registry key:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  4. Menghapus value: WinServices

    Dari registry key:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

 

Virus ini juga memblok semua program yang dijalankan menggunakan file executable EXE, dengan cara, mengaturnya melalui registry key  

 

HKEY_CLASSES_ROOT\exefile\shell\open\command    menjadi

"%System%\EXELD32.EXE""%1"%*

 

Jadi semua file EXE akan diblok dan hanya menjalankan file EXELD32.EXE yang ada pada folder C:\Windows\System.

 

Dan yang membuat semakin parah adalah, virus ini akan menghapus semua antivirus dan system sekurity yang ada di dalam komputer terinfeksi.

 

Oleh sebab itu kamii sarankan kepada anda untuk berhati-hati dalam menerima semua email yang mengandung lampiran. Kebiasaan kita adalah setiap ada lampiran langsung kita buka/jalankan, tanpa kita tahu apakah file tersebut mengandung virus atau tidak. Kebiasaan ini sering kali ditemukan hampir di semua para pemakai komputer. Dan tidak menyadari bahwa kebiasaan tersebut sangat berbahaya.

 

Dumaru.A

W32/Dumaru-B adalah sebuah worm yang menyerang melalui email dan mempunyai fungsi sebagai backdoor. Worm ini sampai pada email anda dengan message seperti di bawah ini :

From: security@microsoft.com
Subject line: Use this patch immediately !
Message text: Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Attached file: patch.exe

Setelah attach file dijalankan ia akan mencopykan dirinya menjadi beberapa buah file yang bernama dllreg.exe pada folder C:\Windows, load32.exe dan vxdmgr.exe pada folder C:\Windows\system dan pada folder startup sebagai rundllw.exe. Worm ini juga membuat sebuah file yang bernama guid32.dll pada folder C:\Windows. File Guid32.dll ini  memonitor program yang dijalankan, hentakan keyboard dan mengumpulkan semua informasi yang didapat mengenai komputer korban di dalam sebuah file yang bernama vxdload.log dan terletak pada folder C:\windows. Worm ini juga mencatat  semua informasi yang ada di dalam file winload.log di folder Windows. Setelah itu log tersebut di upload ke sebuah remote FTP server. Selain itu virus ini juga membuat sebuah value yang baru di registri yang akan membuat dirinya selalu aktif jika windows startup :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load32 = load32.exe

Selain itu ia juga membuat sebuah tanda bahwa komputer ini telah terinfeksi :

HKLM\Software\SARS\kwmfound

Worm ini juga membuat perubahan pada file Win.ini dan System.ini dengan menambahkan sebuah command line (ini hanya dilakukan pada System Windows 95/98/Me :

[windows]

run=%Windir%\dllreg.exe

 

[boot]

shell=explorer.exe %System%\vxdmgr32.exe

Yang berbahaya adalah virus ini dapat menjadi sebuah virus Trojan/Backdoor yang menaruh sebuah file dan menjalankannya pada folder C:\Windows\windrive.exe. File ini dikenal sebagai sebuah backdoor Trojan - Troj/Small-G. Virus ini juga mematikan beberapa proses yang dibutuhkan untuk menjalankan komputer seperti REGEDIT, SYSEDIT, program security  ZONEALARM.EXE

BAGAIMANA KASUS VIRUS PADA BULAN SEPTEMBER DI INDONESIA ?

Di indonesia ternyata masih dikuasai oleh beberapa virus-virus lama seperti Redlof, Klez, dan Lovelorn. Tidak seperi bulan lalu, Blaster.A, W32/Sobig.F@mm, Nachi.A, Mimail merajarela dan setelah VAKSINCOM melakukan gerakan Kembalikan Bandwidthku Padaku yang bekerja sama dengan ICT Watch, dan penyuluhan yang tidak henti-hentinya dalam menghadapi virus-virus tersebut, maka dampaknya dapat dilihat berkurangnya serangan-serangan dari virus-virus tersebut. Dan yang muncul adalah virus-virus lama yang mengambil alih singasana penyebaran yang terbesar. Dan kenyataannya ketiga virus-virus tersebut memang agak sangat sulit untuk membasminya, jika kita tidak melakukannya dengan prosedur yang benar. Antivirus akan mencegah, tetapi semua kembali lagi kepada para pemakai komputer. Apakah ada kesadaran dalam ikut membasmi virus-virus lama tersebut. Untuk virus Lovelorn, ia datang ke komputer anda melalui email yang mengandung virus tersebut. Kita klik attach langsung virus itu akan berjangkit. Begitu juga dengan virus-virus lainnya. Ada kecenderungan para pengguna komputer akan merasakan bahwa antivirus hanya sebuah program yang tidak berguna. Mereka mematikan On Access Scanner / Vshield yang seharusnya memantau gerakan penginfeksian yang akan dilakukan oleh virus tersebut. Banyak yang mengatakan bahwa antivirus hanya memakan memori saja. Lebih baik dimatikan, kemudian mereka dapat menjalankan aplikasi lain, misalnya game/permainan atau hal-hal yang tidak perlu. Ini adalah kendala yang sering ditemukan pada para pemakai komputer dengan performa yang pas-pasan. Dan kalau anda memakai produk antivirus Norman Virus Control, anda tidak akan merasakan bahwa banyak sekali memori yang dipakai. Karena Norman Virus Control tidak memerlukan memori yang banyak dalam kinerjanya, mungkin anda merasakan kalau memakai produk antivirus lainnya.

 

Bagaimana dengan bulan Oktober 2003 nanti ? Mungkinkah ada sebuah atau lebih virus yang berbahaya yang melebihi bulan-bulan sebelumnya ? Kemungkinan tersebut mungkin saja terjadi, karena sudah banyak cara yang dipakai dalam menyerang komputer anda, dan kemudian mematikan proses yang sedang berjalan. Yang menjadi trend mungkin adalah pengambil alihan system komputer kita sehingga kita benar-benar tidak dapat menggunakan komputer tersebut sama sekali. Semoga saja hal ini tidak terjadi, karena akan semakin memusingkan para pengguna komputer, terutama kami dari VAKSINCOM J

 

Marcel Glenn

Technical Support PT VAKSINCOM

(yang sedang mikirin besok ada virus yang ganas ngga yah)

 

Nama Virus

Persen

Byteverify

3%

Fortnight

3%

JS/Exploit

4%

Klez

42%

Opaserv

3%

Blaster

3%

Laroux

2%

Lovelorn

16%

nachi

4%

Redlof

18%

Sobig

2%