W32/Kumis.A 14 Agustus 2005 Dosen berKumis menyebar Foto Sexy
“Bangsa Indonesia tertinggal dalam bidang IT”, pernyataan ini mungkin benar untuk beberapa sektor. Tetapi tidak untuk sektor security, lihat saja perang cyber terakhir dengan Australia dimana Dedemit Cyber melumpuhkan situs yang mengajak para netter Australia untuk memboikot pariwisata ke Bali. Siapa yang bilang kalau orang Indonesia ketinggalan dalam pembuatan virus lokal ? Yang benar justru vendor antivirus internasional kedodoran melayani banyaknya virus lokal yang muncul. Jika anda bertanya sampai kapan virus lokal akan berkembang, jawabannya mungkin hanya Ebiet yang tahu .. tanyakan kepada rumput yang bergoyang. Yang pasti beberapa bulan ini pembuat virus lokal sedang aktif menjalankan aksinya, melihat bermunculannya virus-virus lokal baru. Kalau dulu pengguna komputer direpotkan oleh virus impor, justru kini mereka “juga” kerepotan oleh ulah virus buatan orang Indonesia dan harus diakui virus lokal semakin hari semakin canggih dan banyak. Selain itu keberadaan virus lokal yang baru selalu lolos dari pantauan vendor antivirus terkenal. Hal ini sebenarnya wajar karena virus lokal hanya menyebar didaerah tertentu saja, tidak seperti virus impor yang memiliki daya penyebaran yang sangat cepat serta mengglobal sehingga setiap vendor antivirus akan cepat tanggap dan mudah mendapatkan sampel virusnya.
Jika sebelumnya virus W32/Tabaru.A yang mengusung ketenaran pembawa acara Jejak Petualang “Riyanni Djangkaru” muncul, dan sekarang belum juga mereda kini telah muncul jenis virus baru dan tentunya hasil racikan lokal dengan nama W32/Kumis.A , virus ini mempunyai daya serang yang lumayan “hebat” dan unikya virus ini dapat menyebabkan komputer yang terinfeksi melakukan restart secara terus menerus (mirip Blaster) tetapi tidak mengeksploitasi celah keamanan seperti Blaster / Sasser. Proses restart ini juga tidak mengeluarkan pesan terlebih dahulu. Si Kumis juga akan menggunakan rekayasa sosial dimana ia menampilkan dirinya seakan-akan berbentuk folder / direktori sehingga pengguna komputer tidak akan terlalu waspada karena “biasanya” kalau folder di klik hanya akan masuk ke dalam folder tersebut untuk melihat isinya dan tidak akan menjalankan file.
Virus ini masuk dengan menyertakan sebuah file .exe dengan icon menyerupai folder dengan nama bervariasi (contoh dari sample yang kami peroleh adalah Data-Temen-sigap-grafis-130.exe) dengan ukuran file sebesar 76kb. Seperti kebanyakan virus lokal, virus ini menggunakan media Disket/USB dan file sharing untuk menyebarkan dirinya yang memang sudah terbukti ampuh dan sangat efektif untuk menyebarkan virus lokal di Indonesia, virus ini akan mengkopikan dirinya ke dalam Disket/USB dengan nama file :
Jika Anda menginstall antivirus Norman Virus Control dengan up-date “minimal” tanggal 14 Juli 2005, maka virus tersebut sudah dapat dikenali dan dihapus, seperti terlihat pada gambar 1 dibawah ini:
Gambar 1
Jika dilihat dari script pada virus, dapat diketahui bahwa virus ini dibuat oleh orang yang menamakan dirinya OX1DA selain itu pada script tersebut terdapat satu alamat web site dengan nama http://ox1da.***.com. Jika file bervirus ini dijalankan maka akan muncul sebuah pesan yang menutupi seluruh desktop dengan bunyi (Terinspirasi dari Dosenku yang Berkumis Tebal), seperti terlihat pada gambar 2 dibawah ini.
Gambar 2
Setelah menampilkan pesan tersebut, virus ini akan menciptakan file :
User name logon.exe pada direktori C:\Windows\System32 Catatan: User name logon.exe adalah file yang dibuat sesuai dengan user name yang digunakan untuk logon ke windows, dengan ekstensi .exe (contoh : administrator.exe), dan mempunyai ukuran sebesar 76 kb, seperti terlihat pada gambar 3 dibawah ini:
Gambar 3
Jika Anda mencoba untuk melakukan logon dengan menggunakan username dan password lain, maka virus ini akan membuat file sesuai dengan user name logon yang digunakan tersebut (Gambar 4).
Gambar 4
Agar virus ini dapat aktif begitu komputer dinyalakan, maka ia akan membuat registry value dengan nama :
ox1da-hacks-%user name logon%
Catatan: %user name logon% adalah file yang dibuat sesui dengan user name yang digunakan pada waktu melakukan logon ke windows pada saat pertama kali komputer dinyalakan, contoh ox1da-hacks-Administrator)
Pada registri :
Membuat file Data-Temen-%user name logon%-xxxx.exe Virus ini akan membuat file dengan format Data-Temen-%user name logon%-xxx.exe, dimana %user name logon% adalah file duplikat dari username yang digunakan untuk logon ke windows dan xxx menunjukan angka (contoh Data-Temen-bagle-1065.exe) pada setiap folder dan sub folder, file ini “selalu” mempunyai ukuran sebesar 76 kb dengan ekstensi EXE dan mempunyai icon Folder, lihat gambar 5 dibawah ini:
Gambar 5
Selain itu virus ini juga akan membuat satu buah folder dengan nama “FOTO-HOT” pada direktori C:\, folder ini berisi kumpulan file yang dibuat oleh virus, file ini mempunyai format foto-%user name logon%.exe, dimana %username logon% adalah file duplikat dari username yang digunakan untuk logon ke Windows. (Gambar 6)
Gambar 6
Folder FOTO-HOT tersebut secara otomatis akan di share dengan permissions “Everyone” dan “Full access”, jadi setiap komputer lain di dalam jaringan akan memperoleh akses ke direktori ini. Folder ini akan dishare dengan nama FOTO_SEXY_%user name logon% (contoh : FOTO_SEXY_BAGLE). Tujuan dari aksi ini jelas untuk menyebarkan dirinya melalui jaringan dengan harapan pengguna komputer lain dalam jaringan akan dapat melihat direktori yang di share ini karena di set “Everyone” dan “Full Control”. Apalagi dengan judulnya yang “menggoda iman” seperti “Foto Sexy Administrator” tentunya akan mengundang para fans foto sexy berbondong-bondong mengklik semua file di dalam direktori Foto Sexy tersebut.
Registry Editor, MSCONFIG, Tasks Manager Tidak seperti pada kebanyakan virus lokal yang pernah beredar, virus ini tidak akan mematikan fungsi Registry Editor, MSconfig dan Tasks Manager (karena memang tidak perlu J), dan proses pembersihan hanya dapat dilakukan pada “safe mode” karena komputer akan selalu restart secara otomatis begitu komputer dihidupkan.
Restart Komputer Otomatis Kalau Anda mendapat pertanyaan, virus apa yang dapat menyebabkan komputer yang terinfeksi melakukan restart ? Kemungkinan besar anda akan menjawab Sasser, Gaobot atau Blaster. Memang betul, jika komputer yang terinfeksi ke virus-virus ini dan belum dilakukan patch LSASS dan RPC DCOM “pasti” akan melakukan restart dengan terlebih dahulu akan memunculkan pesan hitungan mundur 60 detik. Jika anda telah melakukan patch LSASS dan RPC DCOM, maka komputer anda telah aman dari ke dua virus tersebut. Lalu apa hubungannya virus Sasser atau Blaster dengan virus lokal ini? Satu hal yang membuat terkejut team Vaksincom dari si Kumis ini adalah ia mempunyai kemampuan diatas rata-rata dibandingkan virus lokal lain yang selama ini menyebar, yakni mempunyai kemampuan untuk melakukan restart pada komputer yang terinfeksi walaupun komputer anda telah dilakukan patch LSASS maupun RPC DCOM, selain itu komputer akan langsung restart begitu komputer dinyalakan dengan “tidak” menampilkan pesan hitungan mundur 60 detik seperti yang dilakukan oleh virus Sasser atau Blaster. Jadi, komputer yang terinfeksi si Kumis akan restart meskipun anda sudah menginstal service pack dan patch terakhir.
Seperti pada virus KANG varian C, dari hasil pengujian yang telah dilakukan virus ini hanya menginfeksi Windows XP dan Server 2003, hal ini dibuktikan dimana virus tersebut akan selalu membuat file %user name logon%.exe pada direktori C:\Windows\System32, oleh karena itu jika direktori instalasi windows adalah C:\WINNT, kemungkinan terserang virus ini sangat kecil (seperti NT/2000), begitupun virus ini tidak akan berjalan sempurna pada Windows 9X/ME.
Cara Mengatasi Virus W32/Kumis.A:
Gambar 7
Adang Juhar Taufik (AJT) PT. Vaksincom Jl. Tanah Abang III /19 E Ruko Tanaga Mas Jakarta 10160 Telp : 62-21-3456 850 Email : info@vaksin.com |
