Gelombang Virus Messenger menyerang 8 Maret 2005 Hey LARISSA f**k off, you f**king n00b!.. Bla bla to your f**king Saving the world from Bropia, the world n33ds saving from you!
'-S-K-Y-'-D-E-V-I-L-' Layaknya gelombang Tsunami yang datang berulang-ulang, dalam satu pekan terakhir ini di internet sedang beredar virus-virus yang menyerang pengguna messenger. Sebut saja Kelvir yang pada saat pembuatan berita ini sudah memiliki 3 varian, disusul oleh Sumom / Fatso yang selain menyebar melalui MSN Messenger juga mampu menyebar melalui P2P (Peer to Peer) dan mengkopikan diri ke CD-R (CD Recordable). Vaksincom menyarankan para pengguna messenger untuk berhati-hati dan jangan menjalankan file kiriman dari messenger serta selalu melakukan tindakan proaktif untuk melindungi diri seperti melakukan update patch secara teratur dan melindungi diri dengan program antivirus dan antispyware yang terupdate. Kelvir Kelvir adalah virus messenger yang menyebarkan diri dengan mengirimkan link dirinya melalui MSN Messenger. Selain itu, Kelvir juga berusaha mendownload dan menjalankan file dari internet. Kelvir akan datang dengan pesan pada MSN sebagai berikut : lol! see it! u'll like it
Pesan MSN yang datang akan bersama dengan link ke file yang mengandung worm di http://home.earthlink.net/**allery10/omg.pif. Jika file ini dijalankan, maka virus akan menginfeksi komputer korban dan menjalankan kembali kegiatannya menyebar melalui semua kontak pada Messenger. Selain itu, Kelvir juga akan mencoba untuk melakukan download file "me.jpg" dari http://home.earthlink.net/**allery10/me.jpg Catatan : ** merupakan direktori yang disamarkan dan pada saat ini file menuju link tersebut sudah tidak dapat diakses. Earthlink merupakan ISP yang berlokasi di Atlanta, Amerika. Menurut pemantauan Vaksincom, pada saat artikel ini dibuat, alamat tersebut sudah tidak bisa diakses dan secara efektif menghentikan penyebaran Kelvir. Selain memanfaatkan Earthlink, tercatat varian Kelvir.C yang menggunakan link di www.mxt-networkz.com dengan nama file "parishilton.pif". Sumom / Fatso Dibandingkan dengan Kelvir, Fatso jauh lebih rumit dan berbahaya karena disamping menyebarkan dirinya, Fatso juga berusaha mencegah proses pembersihan virus dan menghentikan banyak aplikasi sekuriti penting yang akan menyebabkan komputer korban tidak terproteksi dari semua serangan virus / spyware. Fatso juga memiliki kemampuan menyimpan dirinya ke dalam CD-R (CD Rom) sehingga umurnya akan makin panjang. Fatso menyebar melalui MSN Messenger, P2P sharing (termasuk Emule) dan direktori sharing lainnya dengan nama file : Yang jika dijalankan akan mengaktifkan virus tersebut. Selain itu, Fatso menyerang balik pembuat virus Assiral yang sebelumnya melakukan aksi membersihkan Bropia (sehingga disinyalir pembuat Bropia dan Fatso ini sama / satu group) dengan mengeluarkan teks ejekan yang agak kasar pada komputer korbannya dengan nama "Message to n00b LARISSA.txt" dengan isi sebagai berikut : Hey LARISSA f**k off, you f**king n00b!.. Bla bla to your f**king Saving the world from Bropia, the world n33ds saving from you!
'-S-K-Y-'-D-E-V-I-L-'
Penjelasan : LARISSA jika dibaca terbalik adalah ASSIRAL, noob adalah sebutan untuk programmer pemula / newbie. Kemungkinan pembuat Fatso marah karena virus Assiral dalam salah satu aksinya melakukan aksi menghapus komputer yang terinfeksi virus Bropia, mengingatkan kita pada Netsky dan Bagle, namun tingkat infeksi kedua virus ini masih jauh dibawah Netsky dan Bagle yang pada masa jayanya mampu menghabiskan > 75 % dari bandwidth email dunia. Assiral di ejek sebagai noob karena dia menggunakan SMTP untuk menyebarkan dirinya, suatu metode yang sangat umum dan relatif mudah digunakan dalam menyebarkan virus. Meniru spyware dalam mempertahankan dirinya Fatso berusaha menjadi virus yang membandel dan berusaha untuk bertahan pada komputer yang di infeksinya dengan cara sebagai berikut : Meniru Spyware dalam melindungi dirinya.
Jika file yang mengandung dirinya dihapus, dalam beberapa detik ia akan kembali mengkopikan dirinya kembali ke harddisk. Mematikan proses-proses dan aplikasi dasar yang sering digunakan dalam proses pembersihan virus seperti secara manual seperti Task Manager [taskmgr.exe], Registry Editor [regedit.exe], Sistem Configuration Utility [msconfig.exe] dan Command / Dos Prompt [cmd.exe]. Mematikan proses sekuriti baik antivirus, update antivirus, firewall ataupun tools pembasmi virus seperti :
avengine.exe
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
nisum.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
nprotect.exe
nupgrade.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
Update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
msdev.exe
ollydbg.exe
peid.exe
petools.exe
reshacker.exe
w32dasm.exe
winhex.exe
wscript.exe Memblok akses ke website sekuriti dengan mengarahkan ke http://64.233.167.104 yang merupakan IP yang dimiliki oleh Google.com. Adapun website yang diblok adalah sebagai berikut :
www.symantec.com
www.sophos.com
www.mcafee.com
www.viruslist.com
www.f-secure.com
www.avp.com
www.kaspersky.com
www.networkassociates.com
www.ca.com
www.my-etrust.com
www.nai.com
www.trendmicro.com
www.grisoft.com
securityresponse.symantec.com
symantec.com
sophos.com
mcafee.com
update.symantec.com
liveupdate.symantecliveupdate.com
viruslist.com
f-secure.com
kaspersky.com
kaspersky-labs.com
avp.com
nai.com
networkassociates.com
ca.com
mast.mcafee.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
grisoft.com
sandbox.norman.no
www.pandasoftware.com
uk.trendmicro-europe.com
Analisa vaksincom Melihat cara Kelvir dan Fatso menyebarkan dirinya, dapat dipastikan bahwa kedua virus ini tidak akan berumur panjang. Khususnya Kelvir yang mengandalkan pada infeksi dari file yang ditempatkan pada website karena dengan dibloknya akses pada file bervirus atau dihapusnya file dari situs secara efektif akan menghentikan penyebaran virus ini. Tersisa hanya kemampuan Fatso menyebarkan dirinya melalui P2P, direktori sharing dan CD Rom yang diperkirakan tidak akan tinggi karena pengguna P2P relatif rendah dibandingkan pengguna Messenger, email atau browser. Yang perlu dikhawatirkan adalah varian berikut dari Kelvir atau Fatso yang kemungkinan makin cerdas menyebarkan dirinya dan menggunakan media yang tidak mudah diblok seperti IP komputer yang terinfeksi menjadi server file untuk menginfeksi komputer lain yang setelah terinfeksi akan menjadi server file untuk menginfeksi komputer lain dan seterusnya. Karena itu Vaksincom menyarankan kepada pengguna P2P dan Messenger untuk melakukan tindakan proaktif seperti : Menginstal antivirus dan mengupdate secara otomatis. Menginstal anti spyware dan mengupdate secara otomatis. Melakukan update atas semua software secara disiplin dan teratur, baik Messenger, OS, Browser, Media Player maupun Mailclient. Tidak sembarangan menerima dan menjalankan file yang dikirimkan kepada anda baik dari emial, Messenger, Peer to Peer maupun jaringan lokal.
Jika anda terinfeksi Fatso atau Sumom dan anda tidak dapat menjalankan regedit.exe, msconfig.exe, cmd.exe ataupun taskmgr.exe, maka cara yang paling mudah dan efektif untuk membasmi Fatso adalah dengan melakukan restart pada Safemode sehingga anda dapat membersihkan Fatso baik secara manual melalui regedit maupun menggunakan aplikasi antivirus anda. Alfons Tanujaya (AAT) PT. Vaksincom Jl. Tanah Abang III /19 E Ruko Tanaga Mas Jakarta 10160 Telp : 62-21-3456 850 http://www.vaksin.com Email : info@vaksin.com |