Bagle.AQ

W32/Bagle.AQ - Bagle.AR@mm 30 Oktober 2004

Hati-hati dengan attachment .cpl

Setelah cukup lama tidak membuat kehebohan, pembuat Bagle kembali menjalankan aksinya dengan menyebarkan varian baru pada hari Jum'at, 29 Oktober 2004. Hari Jum'at merupakan waktu favorit bagi pembuat virus untuk menyebarkan "ciptaannya" karena merupakan awal weekend, sehingga virus mempunyai waktu yang cukup panjang untuk menyebarkan dirinya (khususnya melalui komputer yang menyala terus dan terhubung menggunakan broadband) dan akan mendapatkan dampak maksimal penyebarannya pada saat semua orang mulai bekerja pada hari Senin. Virus ini menyebar tidak memanfaatkan lampiran .zip tetapi memanfaatkan 4 lampiran salah satunya adalah .cpl yang kemungkinan besar akan diloloskan dari lampiran yang diblok mailserver. Karena itu harap anda berhati-hati khususnya jika menerima email dengan lampiran .cpl (Control Panel).

Detail email

Email yang mengandung Bagle.AQ dan AR akan datang dengan alamat pengirim yang dipalsukan, sehingga kami tidak menyarankan anda untuk mengabaikan alamat pengirim email tersebut. Selain itu, anda juga akan mengalami kesulitan mengenali virus ini dari ukurannya karena sangat bervariasi. Yang perlu anda perhatikan adalah Subjek, Isi email dan lampiran. Karena variasinya sedikit, anda dapat mengenali email Bagle ini sebagai berikut (lihat gambar 1) :

Gambar 1. Contoh Virus Bagle.AQ / AR

Nama Pengirim / From : Dipalsukan

Ukuran Lam

Subjek :

Re:
Re: Hello
Re: Thank you!
Re: Thanks :)
Re: Hi

Isi Email :

:)
:))

Lampiran :

Price
price
Joke

dengan ekstensi :

.exe
.scr
.com
.cpl

Yang perlu diperhatikan adalah lampiran yang datang dalam format .cpl, karena kemungkinan besar lampiran dalam format .exe, .scr dan .com sudah diblok oleh administrator di mailserver. .cpl adalah file untuk komponen sistem windows Control Panel (lihat gambar 2).

Gambar 2, Control Panel Windows

Menyebarkan diri melalui Sharing

Satu hal yang sangat cerdik dimanfaatkan oleh Netsky dan Bagle dalam menyebarkan dirinya melalui jaringan / Peer to Peer adalah dengan mengkopikan dirinya ke semua direktori yang mengandung nama "shar". Kami katakan cerdik karena pembuat virus tidak perlu memeras otaknya untuk mengirimkan virus ke komputer lain di jaringan seperti Opaserv, tetapi cukup mengkopikan diri ke direktori yang selalu digunakan untuk sharing dalam jaringan dan dan digunakan oleh aplikasi Peer to Peer yang sangat populer. Direktori lokal yang mengandung kata "shar" tersebut antara lain "Shared", "Microsoft Shared", "Shared Dir" atau "AVP Shared".

Sedangkan program Peer to Peer yang menggunakan kata "shar" dalam direktorynya antara lain Kazaa dan Morpheus dengan nama "My Shared Folder".

Untuk menarik perhatian orang menjalanak dirinya, Bagle.AQ memberikan nama yang menarik pada file yang mengandung virus dan diletakkan pada folder yang kami sebutkan di atas. Adapun nama file tersebut adalah sebagai berikut :

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
KAV 5.0
Kaspersky Antivirus 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno Screensaver.scr
Porno pics arhive, xxx.exe
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Melumpuhkan program sekuriti dan membuka port TCP 81.

Aksi Bagle.AQ yang cukup berbahaya adalah ia akan berusaha melumpuhkan beberapa program sekuriti seperti Zone Labs, Panda, Norton Antivirus, Kaspersky, TinyAV dan SkynetRevenge (virus Netsky) dengan cara menghapus string aplikasi dari registri. Selain itu, proses aplikasi yang sedang berjalan seperti :

APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVENGINE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
Avconsol.exe
Avsynmgr.exe
CFIAUDIT.EXE
DRWEBUPW.EXE
DefWatch.exe
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
MCUPDATE.EXE
NISUM.EXE
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
UPDATE.EXE
UpdaterUI.exe
VsStat.exe
VsTskMgr.exe
Vshwin32.exe
alogserv.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
mcagent.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
pavProxy.exe
pavsrv50.exe
symlcsvc.exe

juga akan dimatikan. Bagle.AQ juga akan membuka port TCP 81 untuk mengaktifkan backdoor. Pada varian Bagle yang sebelumnya, pembukaan port ini dimanfaatkan oleh pembuat Bagle untuk menyebarkan vairan yang berikutnya dan terkadang mengambil alih komputer yang terinfeksi virus dan menggunakannya untuk kegiatan spamming (spam server).

Berusaha mendownload file G.jpg

Ada aktivitas menarik dari Bagle.AQ dimana ia akan berusaha mendownload file jpg dari 146 website. Pada saat pembuatan artikel ini, ke 146 link website tersebut tidak aktif. Jik pada varian sebelumnya kegiatan download file ini digunakan untuk mengupdate dirinya (seperti antivirus) maka dikhawatirkan jika website tersebut aktif, maka Bagle.AQ memiliki kemampuan mengupdate dirinya.

Apa Beda Bagle.AQ dan AR

Bagle.AQ dan AR ini sama 99 %, perbedaannya adalah pada saat proses infeksi ke komputer korban, Bagle.AR akan berusaha menghapus virus Netsky pada komputer yang terinfeksi. Seperti kita ketahui, pembuat Bagle dan Netsky saling menyerang dan melumpuhkan dan pertempuran dimenangkan oleh Netsky yang mampu menyebarkan dirinya secara luarbiasa dan mengakibatkan lebih dari 50 % bandwidth email mengandung virus Netsky. Namun dengan tertangkapnya pembuat Netsky, otomatis tidak ada lagi yang membasmi Bagle dan jika hal ini berjalan terus siperkirakan dlaam waktu yang tidak terlalu lama virus Bagle yang akan merajai dalam Top 10 virus dunia.

Infeksi Bagle di Indonesia dan penaggulangannya

Satu hal yang cukup mengkhawatirkan adalah kecepatan penyebaran virus kini sudah sampai pada tingkat yang sangat tinggi. Menurut pemantauan Vaksincom, sample pertama Bagle,AQ dihentikan oleh MessageLabs pada tanggal 29 Oktober 2004 Pukul 07.00 GMT http://messagelabs.com/news/virusnews/detail/default.asp?contentItemId=1198&region=. Yang mengejutkan adalah virus Bagle.AQ yang pertama diterima oleh Vaksincom pada tanggal 29 Oktober 2004 Pukul 10.00 GMT atau hanya berselang 3 jam dari saat Bagle pertama kali terdeteksi. PT. Vaksincom menyarankan anda untuk selalu mengupdate program antivirus anda secara disiplin setiap hari, instal aplikasi tambahan yang diperlukan seperti anti Adware / anti Spyware karena > 95 % komputer yang terkoneksi ke internet pasti terinfeksi spyware dan jangan lupa update selalu patch dan security pack pada seluruh OS komputer pada jaringan anda. Jika anda mengalami kesulitan dan membutuhkan tenaga profesional untuk menghadapi semua masalah virus anda, PT. Vaksincom di Jakarta dan perwakilannya di Bandung, Jogjakarta, Surabaya, Kediri, Solo, Medan, Palembang, Samarinda, Denpasar dan Makasar siap memberikan layanan profesional untuk melindungi jaringan perusahaan anda dari ancamana virus. Setiap pembelian antivirus Norman Virus control for Corporate dari PT. Vaksincom sudah termasuk Instalasi ke setiap komputer, pembersihan virus dan patching OS, kunjungan rutin setiap bulan dan support on site unlimited tanpa biaya tambahan (GRATIS).

salam,

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@vaksin.com