W32/Sober.AA@mm                23 November 2005

Memanfaatkan Fear Factor pada Bundeskriminal, FBI dan CIA

 

Alias : W32/Sober.X [Symantec], CME-681, WORM_SOBER.AG [Trend Micro], W32/Sober-{X, Z} [Sophos], Win32.Sober.W [Computer Associates], Sober.Y [F-Secure], W32/Sober@MM!M681 [McAfee]

 

     Setelah lebih dari 2 bulan hidup "loh jinawi" dari teror virus email global dan disibukkan oleh serangan virus lokal seperti varian Rontokbro yang telah mencapai varian ke 23 (Rontokbro.W), Kangen dan Hallo Roro maka pada hari Selasa 22 November 2005 pengguna internet Indonesia kembali harus berhati-hati atas ancaman virus baru yang menyerang melalui email karena serangannya sudah sampai di Indonesia dan diperkirakan ratusan komputer di Indonesia terinfeksi virus tersebut. W32/Sober.AA@mm, melengkapi jutaan insiden di dunia yang dilaporkan oleh Messagelabs. Vaksincom sendiri menerima kiriman Sober.AA ini Selasa sore 22 November 2005 dari IP milik salah satu ISP yang berkantor pusat di Graha Citra Caraka, Gatot Subroto. (lihat Gambar 1)

Gambar 1, Email mengandung Sober.AA

 

Ada apa dibalik kesaktian Sober.AA

     Kalau anda pernah membaca komik LuckyLuke tentang Dalton Bersaudara dimana gerombolan penjahat Dalton ini sangat kompak saling mendukung dalam menghadapi LuckyLuke (walaupun tentunya selalu kalah oleh LuckyLuke). Hal yang sama rupanya terjadi pada Sober.AA ini. Tentunya anda bertanya-tanya, mengapa Sober.AA ini yang mengakibatkan insiden besar dan bukan Sober yang lain ? Karena selain Sober.AA terdapat teman-temannya Sober.T, U, V, W dan lainnya. Setelah diteliti lebih jauh, ternyata Sober.AA ini menjalin hubungan TTM (Teman Tapi Mesra) dengan Sober yang lain karena varian Sober yang lain yang telah berhasil menginfeksi banyak komputer di seluruh dunia secara bersamaan melakukan pengiriman Sober.AA ini secara masif. Tetapi anda tentu bertanya lagi, bagaimana para gang Sober ini mencocokkan waktunya sehingga bisa menyebarkan satu varian baru pada saat yang bersamaan karena terkadang setting waktu komputer bisa salah baik karena kesalahan teknis (salah setel) atau karena baterai Cmos sudah habis sehingga jam komputer menjadi tidak akurat. Ternyata Sober gang melakukan sinkronisasi atas waktu komputer korbannya dengan menghubungi NTP server (server pemberitahu jam) sehingga waktunya sama dan terhindar dari kesalahan setting waktu lokal.

 

Email yang mengandung Sober.AA

     Email yang mengandung Sober.AA akan datang dalam lampiran .zip. Dari sample yang diterima Vaksincom, ukuran asli file setelah dimekarkan (unzip) tidak berbeda dengan ukuran file .zip. (lihat gambar 2)

 

Gambar 2, Ukuran Sober.AA setelah dimekarkan tidak berbeda dengan ukuran terkompres.

 

Sehingga dapat disimpulkan alasan pengiriman dirinya dalam lampiran .zip adalah untuk menghindari aksi mailserver yang memblok eksekutable (.exe, .com, .bat, .scr dst) namun meloloskan .zip. Seperti kita ketahui, .zip merupakan salah satu standar kompresi yang digunakan oleh banyak pengguna email dalam menyebarkan lampiran email sehingga banyak administrator mailserver yang meloloskan lampiran .zip ini.

 

Seperti yang kami utarakan di atas, Sober.AA akan datang dalam berbagai bentuk seperti menyarukan email dari FBI, CIA ataupun Bundeskriminal dengan berbagai macam subject. Selain itu, Sober ini juga memiliki kemampuan dua bahasa dimana untuk domain yang berhubungan dengan Jerman akan mendapatkan email dalam Bahasa Jerman, diluar itu akan mendapatkan email bervirus dalam Bahasa Inggris

 

Untuk lebih detailnya email yang mengandung Sober akan datang sebagai berikut :

From: [dipalsukan]


Subject: Salah satu dari alternatif dibawah ini :

  • Your Password

  • Registration Confirmation

  • smtp mail failed

  • Mail delivery failed

  • hi, ive a new mail address

  • You visit illegal websites

  • Your IP was logged

  • Paris Hilton & Nicole Richie

Isi email : Salah satu dari alternatif dibawah ini :

  • Account and Password Information are attached!
    Protected message is attached!
    =====dHSd9SZd;99zZ((EEEA
    =====dw1W)6ZdzSL91WR
    ***** Go to: [http://]www.[DOMAIN NAME OF SENDER]
    ***** Email: postman

  • This is an automatically generated Delivery Status Notification.
    SMTP_Error []
    I'm afraid I wasn't able to deliver your message.
    This is a permanent error; I've given up. Sorry it didn't work out.
    The full mail-text and header is attached!

  • hey its me, my old address dont work at time. i dont know why?!
    in the last days ive got some mails. i' think thaz your mails but im not sure!
    plz read and check ...
    cyaaaaaaa

  • Dear Sir/Madam,
    we have logged your IP-address on more than 30 illegal Websites.lease answer our questions!
    The list of questions are attached.
    Yours faithfully,
    Steven Allison
    Department Office Admin Mail Post
    ===dkX XbW6dxPbXWPdSDd@R2XL9)CW9)SRd?kx@?
    ===dt4OduXRRL062WR)Wd.2XRPX,dKa,dnSS1d4vvy
    *** Federal Bureau of Investigation -FBI-
    *** 935 Pennsylvania Avenue, NW, Room 3220
    *** Washington, DC 20535
    ++++ Central Intelligence Agency -CIA-
    ++++ Office of Public Affairs
    ++++ Washington, D.C. 20505
    ++++ phone: (703) 482-0623
    ++++ 7:00 a.m. to 5:00 p.m., US Eastern time

  • The Simple Life:
    View Paris Hilton & Nicole Richie video clips , pictures & more ;)
    Download is free until Jan, 2006!
    Please use our Download manager.

Lampiran : Salah satu dari dibawah ini

  • reg_pass.zip

  • reg_pass-data.zip

  • mail.zip

  • mail_body.zip

  • mailtext.zip

  • list[karakter acak].zip

  • question_list[karakter acak].zip

  • downloadm.zip

Lampiran akan berisi file dengan nama "File-packed_dataInfo.exe" (lihat gambar 2 di atas) yang merupakan kopi dari virus yang bila dijalankan (double klik) akan mengaktifkan virus menginfeksi komputer.

Mematikan proses MRT, Microsoft Windows Malicious Software Removal Tools.

Salah satu aksi yang dilakukan oleh Sober.AA adalah mematikan proses MRT.EXE yang merupakan tools yang dikeluarkan oleh Microsoft dan disebarkan secara gratis untuk membasmi virus. Kemungkinan hal ini dilakukan karena MRT ini dianggap oleh Sober merupakan ancaman yang cukup berbahaya bagi dirinya dan penyebaran MRT ini dianggap cukup tinggi sehingga perlu dilumpuhkan.

Informasi lebih detail mengenai Sober.AA dan bagaimana cara mengatasinya akan kami berikan dalam waktu dekat.

 

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@vaksin.com