W32/MyDoom.L/O@mm           27 Juli 2004

Menggunakan Search Engine memanen email

 

       10 hari setelah Bagle.AF muncul dan mengganas di seantero dunia, virus baru yang tidak kalah canggihnya menyebar dengan kecepatan cukup tinggi. Virus ini tidak memanfaatkan jeda weekend untuk menyebarkan diriya dan memilih hari biasa untuk menyebarkan dirinya. MyDoom.O atau dikenali oleh Norman Virus Control sebagai W32/MyDoom.L@mm menyebar dengan kecepatan cukup tinggi dan satu keunikan yang dimiliki MyDoom.O adalah aksinya mengumpulkan email dari empat search engine seperti diberitakan di Detikcom, Varian MyDoom Perlambat Google.

http://www.detikinet.com/index.php/detik.read/tahun/2004/bulan/07/tgl/27/time/11126/idnews/181996/idkanal/110.

Secara tidak langsung aksi MyDoom.O ini dapat dikategorikan sebagai "Technical Ddos", terbukti dengan pengakuan dari Google dan Yahoo bahwa akses ke website mereka mengalami perlambatan, tapi pada saat ini masalah tersebut kelihatannya dapat teratasi karena akses ke Google, Yahoo, Lycos dan Altavista tidak mengalami perlambatan yang berarti. Dibandingkan dengan kasus MyDoom.F dimana SCO.com di Ddos sampai lumpuh maka dapat diambil kesimpulan bahwa infeksi MyDoom.O ini masih kalah banyak dibandingkan MyDoom.F. Sampel MyDoom.O pertama yang diterima PT. Vaksincom datang dari salah satu ISP Indonesia dengan IP 203.130.229.XXX. Norman Virus Control dengan teknologi Sandbox tanpa update sekalipun dapat mengenali MyDoom.O ini sebagai W32/EmailWorm, sedangkan dengan update tanggal 26 Juli 2004 akan terdeteksi sebagai W32/MyDoom.L@mm. Hal lain yang harus diperhatikan dengan MyDoom.O ini adalah kemampuannya menanamkan Backdoor ke dalam komputer yang terinfeksi sehingga komputer korban MyDoom.O akan dapat dikendalikan secara remote.

 

Datang dalam bentuk eksekutable dan zip dan memalsukan alamat pengirim email.

Email yang mengandung MyDoom.O akan datang dalam bentuk .zip terkompres dan eksekutable :

 

• .COM
• .SCR
• .EXE
• .PIF
• .BAT

 

Gambar 1, Email yang mengandung MyDoom.O datang dalam lampiran terkompres

 

Jika lampiran yang datang bentuknya terkompres, maka nama file terkompres dan nama file eksekutabelnya yang mengandung MyDoom.O akan diberi nama sesuai dengan nama domain penerima email. Dalam email MyDoom.O yang diterima Vaksin terlihat bahwa nama lampiran yang datang adalah vaksin.com.zip, sedangkan nama eksekutabel yang terkompres adalah vaksin.com. Selain itu, alamat email pengirim juga akan dipalsukan sehingga anda tidak perlu melakukan reply pada sender email jika anda menerima MyDoom.O.

 

MyDoom.O akan mengkopikan dirinya sebagai aplikasi dengan nama java.exe dan mendaftarkan dirinya ke registri HKLM\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM sehingga akan secara otomatis dijalankan oleh Windows pada saat pertama kali start. Selain itu MyDoom.O juga menanamkan bom waktu berupa Backdoor yang akan membukakan port 1034 sehingga komputer yang terinfeksi MyDoom.O akan dapat diambil alih untuk dikendalikan secara remote. Adapun Backdoor yang digunakan adalah Backdoor.Zincite.A dan akan diaktifkan pada registri HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM  dengan nama aplikasi services.exe

 

Memanen alamat email dari Search Engine

MyDoom akan mengumpulkan alamat email dari harddisk korbannya dari file dengan ekstensi PL*, PH*, TX*, HT*, ASP, TBB, SHT*, WAB, ADB dan DBX serta Address Book Windows. Selain itu, seperti yang kami utarakan di atas, MyDoom.O akan menggunakan search engine Yahoo, Google, Altavista dan Lycos dengan alamat detail :

 

http://search.lycos.com/default.asp?lpv=1&loc=searchhp&tab=web&query=%s

http://www.altavista.com/web/results?q=%s&kgs=0&kls=0

http://search.yahoo.com/search?p=%s&ei=UTF-8&fr=fp-tab-web-t&cop=mss&tab=

http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=%s

 

dan memasukkan domain dari email yang di dapatkannya untuk mendapatkan lebih banyak lagi alamat email. Sebagai contoh, MyDoom.O mendapatkan alamat korban@isp.net.id pada komputer korbannya, maka ia akan memasukkan domain isp.net.id ke search engine untuk mendapatkan lebih banyak alamat email dari domain tersebut. Menurut pengetesan yang kami lakukan, hasil maksimal didapatkan virus ini jika menggunakan search engine Altavista dan Lycos. Sedangkan usaha memanen email dari Google dan Yahoo tidak memberikan hasil alamat email.

 

Gambar 2, Pencarian domain di Google tidak menghasilkan alamat email

 

Gambar 3, Pencarian Domain indo.net.id di altavista.com menghasilkan cukup banyak email baru

 

Mengandung Backdoor Zincite

Anda harus berhati-hati dengan MyDoom.O karena selain menghabiskan bandwidth email dan internet dalam usaha menyebarkan dirinya, MyDoom juga mengkopikan Backdoor.Zincite.A yang akan membuka lubang pada port 1034 sehingga komputer tersebut dapat diambil alih secara remote.

 

Bagaimana kalau komputer syaa sudah terinfeksi MyDoom.O

Jika komputer anda sudah terinfeksi MyDoom.O, kami sarankan anda lakukan langkah berikut :

  1. Jika Anda menggunakan Windows ME/XP, nonaktifkan system restore selama masa pembersihan

  2. Update antivirus yang anda gunakan, jika tidak menggunakan Norman Virus Control dengan teknologi Sandbox anda harus menggunakan update minimal 26 Juli 2004.

  3. Jika komputer Anda terhubung ke jaringan, lepaskan terlebih dahulu.

  4. Restart komputer di safe mode (pada saat start komputer tekan tombol [F5])

  5. Scan dan delete semua file yang terdeteksi sebagai W32/MyDoom.O@mm.

  6. Gunakan tools MyDoom.O removal yang dapat anda download dari http://www.f-secure.com/tools/f-mydoom.exe atau http://securityresponse.symantec.com/avcenter/FxMydoom.exe

  7. Untuk sementar blok TCP port 1034 pada Firewall yang digunakan

 

Alfons Tanujaya

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@vaksin.com