W32/MyWife.E@mm       11 September 2004

Giliran pengguna Winzip yang "dikerjai"

 

Alias : Nyxem.C (Sophos), Blackmal.C (Symantec), Blueworm.F (TrendMicro),

 

     Hai para pengguna Winzip, berhati-hatilah atas rekayasa sosial dari W32/Mywife.E@mm pada komputer anda dan jangan sekali-kali mengklik lampiran email mencurigakan yang datang disertai dengan gambar JPG porno dan Icon lucu Yahoo Messenger sebelum membaca habis artikel ini. Jika anda lakukan hal diatas, maka dijamin anda akan menjadi korban Mywife.E yang salah satu aksinya adalah melumpuhkan program antivirus dikomputer anda dan akan berusaha mengirimkan dirinya ke alamat email yang didapatkan dari komputer anda, termasuk kontak Yahoo dan MSN Messenger. MyWife.E sudah sampai ke Indonesia sejak tanggal 9 September 2004.

 

Email dengan gambar porno dan icon Messenger

Email yang mengandung virus MyWife.E akan datang dalam rekayasa yang cukup menarik. Pada Body email, akan diselipkan beberapa Icon lucu (smiley) baik dari MSN Messenger atau dari Yahoo Messenger . Kemungkinan besar harapan dari pembuat MyWife.E ini agar pada pengguna messenger merasa familiar dengan icon-icon tersebut dan tidak curiga pada email tersebut. Icon lucu tersebut dimasukkan ke body email dengan melakukan link langsung ke website Hotmail dan Yahoo Instant Messenger. Sedangkan lampiran yang pada email akan mengandung dua file, file pertama adalah file terkompres yang mengandung virus dan file kedua adalah file JPG dengan nama video1.jpg yang merupakan gambar porno dengan resolusi rendah dan ukuran 8kb.

Alamat email pengirim dipalsukan sehingga anda tidak dapat melacak pengirim email yang asli. Satu hal yang cukup menarik dan perlu menjadi perhatian anda adalah lampiran yang mengandung virus akan datang dalam bentuk file *.zip, *.z, *.gz dan *.tgz. Menurut pemantauan Vaksin.com, MyWife.E ini merupakan virus pertama yang mengirimkan dirinya dengan memanfaatkan Icon MSN & Yahoo Messenger pada bagian Body email (secara online) serta lampiran yang datang dalam format *.z. Hal ini cukup unik mengingat umumnya administrator mailserver memblok semua eksekutable pada mailservernya dan hanya meloloskan *.zip. Jika administrator meloloskan semua lampiran yang terkompres *.zip, *.tgz, *.z atau *.gz maka kemungkinan besar MyWife.E akan berhasil lolos sampai ke mailbox enduser.

MyWife.E akan berusaha mengirimkan dirinya secara massif melalui email ke alamat kontak yang didapatkan dari kontak Yahoo Messenger, MSN Messenger dan file pada komputer lokal yang mengandung alamat email. Adapun sMTP yang digunakan untuk mengirimkan virus akan diambil dari SMTP Outlook (dari registri), jika tidak ada akan dicoba SMTP dari Hotmail dan sebagai cadangan terakhir MyWife.E memiliki daftar SMTP server sendiri untuk mengirimkan dirinya. Adapun teknik yang digunakan untuk memanfaatkan SMTP ini cukup canggih, yaitu dengan cara mendrop "OSSMTP.DLL" yang merupakan komponen Visual Basic untuk mengirimkan email.

 

Rekayasa lampiran

Lampiran yang mengandung virus MyWife.E memanfaatkan settingan default windows XP yang secara default tidak menampilkan ekstensi file yang sudah dikenali (lihat Gambar)

 

sehingga file yang sebenarnya file Unix Compress "Nokia6600zip.z" akan terlihat sebagai "Nokia6600zip". Pada sample email yang lain, rekayasa dilakukan dengan teknik spasi panjang, dimana file yang mengandung virus diberi nama "Video_Live.zip  <spasi banyak>  .z" akan ditampilkan pada windows XP sebagai "Video_Live.zip". Setelah dimekarkan, file yang terkompres akan terpecah menjadi empat file dimana salah satunya akan kembali mengandung ekstensi ganda dengan spasi banyak sebagai berikut :

 

 

Pada settingan default Windows XP, file dengan ekstensi ganda tersebut akan terlihat seperti file DVD "File-04-Music.DVD" yang jika dijalankan akan membuka Windows Media Player namun tidak ada file yang dijalankan, melainkan malahan akan mengaktifkan virusnya untuk menginfeksi komputer anda.

 

Menghapus program antivirus baik dari registri dan eksekutable

Hal yang perlu diwaspadai dari MyWife.E ini adalah aksinya melumpuhkan program antivirus dan utilitas sehingga komputer anda menjadi rentan terhadap serangan virus yang paling primitif sekalipun. Adapun software yang dilumpuhkan adalah sebagai berikut :

  • TrendMicro / PC Cilin

  • McAfee

  • Symantec

  • Kaspersky

  • Deep Freeze

Teknik yang digunakan oleh MyWife.E dalam melumpuhkan aplikasi sekuriti adalah dengan dua metode, yang pertama menghapus kunci registri windows :

_Hazafibb
au.exe
ccApp
defwatch
Explorer
erthgdr
gigabit.exe
JavaVM
KasperskyAv
key
MCUpdateExe
MCAgentExe
McRegWiz
McVsRte
McAfeeVirusScanService
msgsvr32
NPROTECT
NAV Agent
Norton Antivirus AV
OLE
PCClient.exe
PCCIOMON.exe
pccguide.exe
PccPfw
PCCClient.exe
rtvscn95
reg_key
ScriptBlocking
SSDPSRV
system.
Sentry
ssate.exe
Services
tmproxy
Taskmon
Traybar
Task
VirusScan Online
VSOCheckTask
vptray
Windows Services Host
winupd.exe
Windows Update
win_upd.exe
winupdt
wersds.exe

pada alamat registri :

 

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

 

Yang secara tidak langsung juga mengakibatkan MyWife.E berbuat kebaikan karena kunci registri di atas juga mengaktifkan virus MyDoom.A, Mimail.T dan Bagle.

 

dan yang kedua menghapus semua file *.exe pada direktori instalasi software antivirus dan sekuriti sebagai berikut :

C:\Program Files\Norton AntiVirus\*.exe
C:\Program Files\McAfee\McAfee VirusScan\Vso\*.*
C:\Program Files\McAfee\McAfee VirusScan\Vso
C:\Program Files\McAfee\McAfee VirusScan\Vs
C:\Program Files\Trend Micro\PC-cillin 2002\*.exe
C:\Program Files\Trend Micro\PC-cillin 2003\*.exe
C:\Program Files\Trend Micro\Internet Security\*.exe
C:\Program Files\NavNT\*.exe
C:\Program Files\HyperTechnologies\Deep Freeze\*.exe

Selain itu, MyWife.E juga akan mengubah registrasi software Winzip pada komputer yang terinfeksi dengan mendaftarkan nama "BlackWorm" sebagai pemilik software dengan nomor SN+2AD00ED*"

 

Selain kemampuan melumpuhkan program sekuriti, coding MyWife.E diketahui mengandung rutin untuk menghapus file doc, jpg, mdb, psd dan xls. Karena itu, segeralah back up data anda yang penting guna berjaga dari kemungkinan terburuk.

 

Apa yang harus dilakukan jika komputer anda terinfeksi MyWife.E?

Jika komputer anda sudah terinfeksi MyWife.E, kami sarankan anda lakukan langkah berikut :

  1. Jika Anda menggunakan Windows ME/XP, nonaktifkan system restore selama masa pembersihan

  2. Update antivirus yang anda gunakan, jika tidak menggunakan Norman Virus Control dengan teknologi Sandbox anda harus menggunakan update definisi minimal 9 September 2004 untuk mengenali MyWife.E.

  3. Jika komputer Anda terhubung ke jaringan, lepaskan terlebih dahulu.

  4. Restart komputer di safe mode (pada saat start komputer tekan tombol [F5])

  5. Scan dan delete semua file yang terdeteksi sebagai W32/MyWife.E@mm.

  6. Balikkan registri yang telah dirubah sebagai berikut :

    Klik [Start] pilih Run dan ketik "regedit" dan tekan [Enter] anda akan membuka Registry Editor

     

    Navigasi pada alamat registri :

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      Pada panel kanan, hapus :

    "(default)" = "C:\winnt\volume\[twunk_32.exe]"
    "(default)" = "C:\winnt\volume\[winhelp.exe]"

    • HKEY_KEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\caution
      Pada panel kanan hapus :

      "NoBetaMessage"="1"

     

    • HKEY_KEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni
      Pada panel kanan hapus :

      Name = "BlackWorm"
      SN = "2AD00ED6"

    Keluar dari Registri Editor

PS : Gunakan sarana Forum antivirus Vaksincom untuk mengkonsultasikan masalah virus anda di http://forum.vaksin.com

 

Alfons Tanujaya (AAT)

PT. Vaksincom

Gedung Rifa lt. IV

Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp : 62-21-526 -787 / 752

http://www.vaksin.com

Email : info@vaksin.com