W32/Bagle.U@mm        28 Maret 2004

Hati hati dengan email kosong dengan icon clock

Virus ini terdeteksi pada tanggal 26 March 2004 yang mempunyai ukuran 8,208 byte yang dikompresi menggunakan FSG 1.33 jika tidak dikompresi file ini mempunyai ukuran 37 KB serta menyebarkan dirinya melalui email dengan subject dan body kosong (blank) dan mempunyai attachment yang acak dengan ekstensi .EXE (kali ini tidak dalam .zip atau password protected zip ... ???). Beberapa hal penting menjadi catatan dari Bagle.U adalah :

  • Email yang mengandung Bagle.U akan datang dengan Subject dan Bodi text yang kosong sehingga mudah di identifikasi.

  • Lampiran yang datang akan mengandung nama acak namun akan mengandung icon jam.
    Karena itu kami mengharapkan para pengguna internet untuk berhati-hati jika menerima email tanpa subjek dan tanpa bodi dengan lampiran menyerupai icon jam (lihat gambar) . Jangan jalankan lampirannya atau anda akan terinfeksi Bagle.U.

  • Dalam beberapa kasus, pada awal aksinya menginfeksi komputer, Bagle.U akan menjalankan game Microsoft Heart "mshearts.exe" (setelah dicoba rupanya game MSHeart ini seru juga ... jangan sampai anda mendapatkan Queen Sekop :).... jangan-jangan nanti cara ini dimanfaatkan untuk promosi game baru).

    MS Heart

  • Membuka akses pada port 4751 dan melaporkannya pada satu website yang berlokasi di Jerman. Satu hal yang berbahaya dari aktivitas ini adalah Bagle.U akan memiliki kemampuan mengupdate dirinya sendiri persis seperti program antivirus, atau hal ini digunakan oleh pembuatnya untuk mengkomandoi seluruh komputer yang terinfeksi Bagle.U untuk melakukan aktivitas tertentu misalnya menyerang satu website (DDos) dan menggunakan komputer yang terinfeksi untuk menyebarkan spam.

Kabar baiknya, teknologi Sandbox dari Norman Virus Control dapat mendeteksi Bagle.U tanpa memerlukan update definisi antivirus. Bagle.U akan terdeteksi oleh Sandbox sebagai "W32/Backdoor", lihat  http://www.norman.com/News/Press_releases/14486/en-us.

Detail

Jika Virus Bagle.U ini aktif, ia akan melakukan rutin sbb:

  • Mengkopikan dirinya pada direktori %System% dengan nama file gigabit.exe.

    Jika virus ini tidak menjalankan file Gigabit.exe dari folder %SYSTEM%, maka ia akan membuat batch file yang berfungsi untuk menghapus file Gigabit.exe :
    ----------------------------
    :l
    del %1
    if exist %1 goto l
    del %0 a.bat
    --------------------------

  • Menambahkan value :
    "gigabit.exe"="%System%\gigabit.exe"
    Pada registri ;
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • Membuat key:
    HKEY_CURRENT_USER\SOFTWARE\Windows2004\gsed = "<9 digit>"
    HKEY_CURRENT_USER\SOFTWARE\Windows2004\frin = "1"

  • Membuka TCP port 4751 yang digunakan untuk mendownload dan menjalankan file.
    Virus ini akan mengirimkan pemberitahuan via HTTP kebeberapa situs yang telah dikuasainya (pemberitahuan ini berisi nomor port dan nomor ID). User harus melakukan block terhadap traffic outgoing HTTP untuk domain : http://www.werde.de

  • Jika backdoor tersebut aktif dalam system komputer yang terinfeksi ia dapat melakukan :
    Mendownload dan menjalankan copy dari update dirinya sendiri
    Catatan : setiap kali virus ini melakukan proses update dirinya, ia akan membuat kopi dari file yang di download dengan nama bsud<karakter acak>.exe pada folder Windows.

  • Menghapus dirinya sendiri dari System
    Ia meletakan dan menjalankan batch file dengan nama A.BAT untuk menghapus dirinya dari system.

  • Mencoba untuk menjalankan file Mshearts.exe, jika file ini ada pada komputer yang terinfeksi.
    Catatan : ini terjadi bila virus tersebut aktif dengan tidak menjalankan file GIGABIT.EXE dan file tersebut tidak berada pada folder %System%

  • Email yang dikirimkan oleh Bagle.U akan datang dalam format sbb:

    From: (dipalsukan)
    Subject: (kosong)
    Body: (kosong)
    Lampiran : acak, dengan ekstensi .EXE (contoh : JWOPBH.EXE)

  • Bagle.U akan mengecek system penanggalan pada komputer, jika menunjukan tanggal 1 January 2005 atau lebih, ia akan menghentikan dirinya sendiri.

Cara mengatasi virus W32/Bagle.U@mm

  1. Jika Anda menggunakan Windows ME/XP, nonaktifkan system restore selama masa pembersihan

  2. Update antivirus yang anda gunakan.

  3. Jika komputer Anda terhubung ke jaringan, lepaskan terlebih dahulu.

  4. Restart komputer di safe mode (pada saat start komputer tekan tombol [F5]

  5. Scan dan delete semua file yang terdeteksi sebagai W32/Bagle.C@mm.

  6. Hapus registri yang diciptakan oleh virus tersebut:

  • HKEY_CURRENT_USER\Software\Windows2004, hapus sub key Windows 2004

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "gigabit.exe" = %SysDir%\GIGABIT.EXE,
    hapus value : c:\windows\GIGABIT.EXE

  1. Restart komputer, kemudian scan ulang hardisk untuk meyakinkan apakah komputer.

  2. Untuk sementara disarankan blok port 4751 pada firewall untuk mencegah komputer yang terinfeksi membuka backdoor.

salam,

AJT

Technical Support

PT. Vaksincom

Gedung Rifa lt. 4

Jl. Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp  :021-526 0787

Fax : 021-526 -752

http://www.vaksin.com

Email  : info@vaksin.com