W32/MyDoom.S@mm 17 Agustus 2004 Hati-hati dengan lampiran photos_arc.exe Trend virus terakhir menunjukkan kecenderungan serangan yang lebih efektif dan terarah serta memanfaatkan komputer yang terinfeksi virus terdahulu sebagai agen penyebaran awal. Setelah Bagle.AI yang membuka backdoor pada komputer yang terinfeksi sehingga membuka peluang untuk dikendalikan oleh penyusup, kini sedang beredar worm baru W32/MyDoom.S@mm yang penyebarannya memanfaatkan disinyalir memanfaatkan komputer zombie dengan koneksi broadband dan DSL sebagai agen penyebaran awalnya. Selain memanfaaatkan ribuan komputer zombie sebagai agen penyebaran, MyDoom.S juga mendownload backdoor ke 4 alamat website yang telah disusupi program Backdoor yang diberi nama seakan-akan file gambar. Menurut pemantauan Vaksincom, MyDoom.S telah sampai ke Indonesia sejak 16 Agustus 2004, karena itu kami sarankan kepada para pengguna email untuk berhati-hati terharap lampiran email dengan nama photos_arc.exe dan jangan sekali-kali menjalankan lampiran ini karena akan mengaktifkan virusnya. Selain itu, hal yang perlu diwaspadai adalah adanya libur nasional 17 Agustus 2004 dimana komputer yang terinfeksi akan terus menerus mengirimkan virus (khususnya yang memiliki koneksi broadband) sehingga penyebaran MyDoom.S ini diperkirakan akan cukup tinggi pada saat anda kembali bekerja pada tanggal 18 Agustus 2004.
Datang dalam eksekutable dan satu bentuk email MyDoom.S akan datang hanya dalam satu jenis email dan lampirannya tidak dalam bentuk .zip, melainkan dalam bentuk eksekutable. Secara detail email yang mengandung MyDoom.S akan datang dalam bentuk sebagai berikut (lihat gambar 1) :
Subject : photos Lampiran : photos_arc.exe
Gambar 1
Jika anda memblok eksekutable pada mailserver anda, kemungkinan besar email yang mengandung MyDoom.S tidak akan berhasil menembus pertahanan anda. Namun kami sarankan jangan terlena karena sekarang banyak lampiran virus yang akan datang dalam bentuk terkompres .zip. Kecuali anda memblok semua lampiran pada incoming mailserver namun hal ini akan menjadikan email tidak bedanya dengan sms karena hanya mengirimkan teks.
Mendownload Backdoor dan kerancuan nama Salah satu aksi MyDoom.S adalah ia akan mendownload Backdoor ke empat alamat website, adapun backdoor tersebut dikenali dengan nama Ratos (Trendmicro) atau Nemog (Symantec) atau CHR (McAfee). karena aksinya inilah Trendmicro sempat mengidentifikasi MyDoom.S sebagai Worm Ratos, namun guna menghindari kerancuan penamaan dan karena worm yang terkandung pada email memang bukan Ratos melainkan worm yang memiliki kesamaan dengan keluarga MyDoom, akhirnya Trendmicro sepakat untuk mengganti nama Ratos menjadi MyDoom. Hal ini secara tidak langsung menunjukkan tingginya tingkat penyebaran virus pada tahun 2004 ini, yang walaupun salah satu "gembongnya" Sven Jaschan yang menyebarkan Netsky sudah tertangkap namun penyebar MyDoom dan Bagle masih bebas berkeliaran dan menjalankan aksinya. Adapun Backdoor yang ditanamkan diletakkan pada situs www.richcolour.com dan www.zenandjuice.com. Dengan cerdik, backdoor tersebut menyaru sebagai file gambar karena diberi akhiran .jpg dan .gif, namun sekali berhasil di download, file ini akan diganti menjadi winvpn32.exe dan langsung dijalankan pada komputer korban. Menurut pemantauan Vaksin.com, pada tanggal 16 Agustus 2004 pukul 22.30 WIB situs yang mengandung backdoor tersebut masih aktif dan belum dimatikan (Lihat gambar 2 dan gambar 3).
Gambar 2
Gambar 3
Alamat pengirim tidak dipalsukan Ada ciri khas dari MyDoom.S ini dimana ada kemungkinan email pengirim virus tidak dipalsukan, melainkan diambil dari registri pada komputer yang terinfeksi :
Adapun registri yang diakses ini adalah alamat email default pada komputer yang terinfeksi. Selain itu, kemungkinan lain alamat pengirim akan menggunakan domain sebagai berikut :
Jika anda melihat email mengandung MyDoom.S yang diterima oleh Vaksin.com (gambar 1), dapat disimpulkan bahwa alamat email pengirim virus tersebut adalah otentik dan tidak dipalsukan. Menurut pengecekan IP yang kami lakukan, email tersebut dikiirmkan dari ***cotech.com yang merupakan satu perusahaan industri yang berdomisili di Cibitung, Bekasi, Jawa Barat.
Dalam menyebarkan dirinya, MyDoom.S memiliki rutin SMTP sendiri. Norman Virus Control dengan teknologi sandbox dapat mendeteksi MyDooom.S dengan baik tanpa memerlukan update dan MyDoom.S akan terdeteksi sebagai W32/EmailWorm. Dengan update tanggal 16 Agustus 2004 terakhir, Norman akan mengenali sebagai MyDoom.M@mm.
MERDEKA !!!
Bandung, 17 Agustus 2004 salam, Alfons Tanujaya PT. Vaksincom Gedung Rifa lt. IV Prof. Dr. Satrio blok C4 / 6-7 Jakarta 12950 Telp : 62-21-526 -787 / 752 Email : info@vaksin.com |
