W32/Bagle.AK        1 September 2004

Jangan klik file HTML dalam .zip

 

     Setelah Bagle.AI dan MyDoom.S yang mengandung trojan downloader, sekarang muncul worm baru W32/Bagle.AK yang juga mengandung downloader. Kalau MyDoom.S hanya memiliki 4 website yang berbeda untuk download, maka Bagle.AK memiliki daftar 131 website untuk mengupdate dirinya. Bagle.AK di sebarkan secara masif ke internet pada tanggal 1 September 2004 dengan lampiran terkompres .zip dan file di dalamnya berisi file HTML yang jika dijalankan akan secara otomatis mengeksploitasi celah keamanan Microsoft VM Activex Components vulnerability untuk menjalankan virus secara otomatis. Unikya, ke 131 website yang terkandung dalam Bagle.AK pada saat ini tidak ada satupun yang aktif. Apakah pembuat virus menunggu waktu yang tepat untuk mengupload file tersebut atau ini hanya tipuan, waktu yang akan memberitahu kita.

 

Lampiran .zip dengan file HTML yang mengekspoitasi Microsoft VM Activex Components vulnerability

Email yang mengandung Bagle.AK akan datang dalam lampiran .zip dan menurut pengamatan Vaksincom, alamat pengirim dipalsukan oleh virus (forging). Adapun subjeknya adalah foto dengan lampiran fotos.zip. Untuk detilnya silahkan lihat gambar 1.

 

Gambar 1, email yang mengandung virus Bagle,AK akan datang dalam lampiran fotos.zip

 

Jika anda memekarkan lampiran ini, anda akan mendapatkan satu file "foto.htm" dan satu direktori dengan nama "1" (Lihat gambar 2).

Gambar 2, hasil unzip lampiran fotos.zip

 

 Di dalam direktori inilah virus Bagle.AK tersimpan dengan nama "foto1.exe" atau "calc.exe". Adapun rekayasa sosial yang terkandung dalam lampiran ini ada pada file foto.htm, yang seharusnya merupakan file html (hypertext markup language) yang tidak memiliki kemampuan menjalankan kode berbahaya tanpa sepengetahuan pengguna komputer. Tetapi karena file html yang terkandung dalam Bagle.AK ini berisi kode program yang mengeksploitasi celah keamanan Microsoft VM Activex Components vulnerability http://www.microsoft.com/technet/security/bulletin/MS00-075.mspx maka secara otomatis, jika kita mengklik file foto.htm maka file foto.exe / calc.exe akan dijalankan secara otomatis oleh windows sekaligus mengaktifkan virus. Kami sertakan capture dari kode eksploitasi yang terkandung di dalam file foto.htm (gambar 2)

 

Gambar 2, kode html untuk mengeksploitasi celah keamanan Microsoft VM Activex components

 

Memiliki daftar 131 website untuk mendownload file b.jpg

Bagle.AK yang dalam keadaan terkompresi ukurannya 5 KB ini juga memiliki Trojan Downloader yang setiap 6 jam sekali berusaha mendownload file ke 131 website yang telah ditentukan dalam codingnya, seperti trik yang digunakan oleh MyDoom.S file yang di download adalah file dengan ekstensi .jpg yang setelah di download akan dirubah ekstensinya untuk dijalankan. Jadi secara teknis Bagle.AK memiliki kemampuan untuk mengupgrade dirinya karena secara otomatis akan menjalankan file yang di download dan perintah apapun dapat dimasukkan ke dalam perintah tersebut dari yang tidak destruktif seperti melakukan spamming, Ddos sampai ke hal yang destruktif seperti menghancurkan file atau memformat harddisk.

Menurut pengamatan Vaksincom, pada pukul 16.00, 1 September 2004 ke 131 website tersebut masih belum mengandung file yang dicari oleh Bagle.AK, sehingga tidak akan terjadi update. Tetapi karena setiap 6 jam sekali proses pengecekan akan dilakukan maka tidak tertutup kemungkinan file dengan nama b.jpg tersebut akan diuploadkan ke beberapa dari ke 131 daftar website tersebut sehingga proses update worm akan terjadi. Jika anda bertanya mengapa hanya beberapa website saja yang di update oleh pembuat worm, alasannya adalah untuk menghindari pelacakan oleh pihak berwenang. Selain itu, kemungkinan kedua adalah pembuat Bagle.AK ini melakukan "testing the water", untuk melihat bagaimana pemantauan yang dilakukan dan bagaimana kemungkinan serangan yang efektif di masa depan. Jadi para pengguna internet, bersiaplah untuk serangan berikut yang lebih canggih lagi di masa depan.

 

Selain itu, Bagle.AK yang dapat menginfeksi Windows 95 / 98 / ME / NT / 2000 / XP dan 2003 ini juga melakukan Pe-Er nya yang lain seperti :

  1. Menghapus beberapa program sekuriti dan antivirus antara lain :
     

    ATUPDATER.EXE
    AUPDATE.EXE
    AUTOTRACE.EXE
    AUTOUPDATE.EXE
    FIREWALL.EXE
    ATUPDATER.EXE
    LUALL.EXE
    DRWEBUPW.EXE
    AUTODOWN.EXE
    NUPGRADE.EXE
    OUTPOST.EXE
    ICSSUPPNT.EXE
    ICSUPP95.EXE
    ESCANH95.EXE
    AVXQUAR.EXE
    ESCANHNT.EXE
    UPGRADER.EXE
    AVXQUAR.EXE
    AVWUPD32.EXE
    AVPUPD.EXE
    CFIAUDIT.EXE
    UPDATE.EXE
    NUPGRADE.EXE
    MCUPDATE.EXE

    Vaksincom menyarankan anda untuk berhati-hati atas aksi ini karena antivirus yang dilumpuhkan akan berakibat fatal, karena komputer anda akan terbuka terhadap serangan virus yang paling primitif sekalipun, namun berbahaya seperti CIH atau Magister.

  2. Mematikan Internet Connection Sharing dan Internet Connection Firewall pada windows 2000, Windows XP dan Windows 2003.
    Jika anda menggunakan program firewall lain seperti Norman Personal Firewall, Zonealarm atau Blackice akan terhindar dari aksi ini.

 

Norman Virus Control dengan teknologi Sandbox secara proaktif tanpa memerlukan update dapat mengenali Bagle.AK sebagai W32/Malware. Namun kami tetap menyarankan para pelanggan Vaksincom untuk selalu mengupdate program antivirus anda agar selalu terlindung dari virus baru yang selalu bertambah setiap hari.

 

salam,

Alfons Tanujaya

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@vaksin.com