W32.Netsky.Y@mm       21 Maret 2004

“Hey, bagle what’s up?”
“No ideas?”
"Greetings from out Team"
"19.04.04 11:45 Russia"

Terdeteksi pada tanggal 20 April 2004 , virus ini mempunyai ukuran file sebesar 19 kb, dibuat dengan menggunakan program bahasa tingkat tinggi yakni Visual C++, dan dikompresi dengan menggunakan PE-Pack, virus ini akan membuka port 82 yang akan digunakan oleh penyerang untuk menguasai komputer yang terinfeksi, virus ini mempunyai ukuran attachment sebesar 18944 bytes. W32.Netsky.Y@mm akan mencari semua alamat email yang terdapat pada drive lokal (kecuali CD-ROM) dan mengirimkan dirinya ke semua alamat email dengan menggunakan SMTP engine sendiri.

Seperti kebanyakan varian dari virus W32/Netsky, virus W32/Netsky.Y mempunyai karakteristik sbb:

1. Menirimkan pesan/email dengan menggunakan SMTP engine sendiri
2. Mencoba untuk mendapatkan semua alamat email dari komputer yang terinfeksi
3. Memalsukan alamat From:
4. Mencoba untuk melakukan serangan DoS ke alamat Web Site tertentu

Format email yang dikirim dapat berupa:

Subject: Delivery failure notice (ID-<angka acak>)
Attachment: www.<domain name acak>.<username acak>.session-<angka acak>.com

Jika virus W32.Netsky.Y@mm ini aktif, ia akan melakukan :

  1. Membuat file salinan dirinya pada direktori Windows, dengan nama file FirewallSvr.exe.

  2. Menambahkan value :
    "FirewallSvr"="%Windir%\FirewallSvr.exe"
    kedalam registri
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  3. Membuat file mutex dengan nama "____--->>>>U<<<<--____" jadi hanya satu virus yang akan dijalankan.

  4. Meletakan salinan MIME-encoded dirinya ke dalam direktori Windows dengan nama file fuck_you_bagle.txt.

  5. Membuka TCP port 82 yang digunakan penyerang untuk mengirimkan file executable dan menjalankannya pada komputer yang telah terinfeksi.

  6. Jika pada sysytem komputer menunjukan tanggal antara 28 April 2004 dan 30 April 2004, virus ini akan mencoba untuk melakukan serangan Denial of Service (DoS) ke alamat Web Site

    • www.nibis.de 
    • www.medinfo.ufl.edu
    • www.educa.ch

  7. Mencari semua alamat email yang terdapat pada drive C - Z (kecuali CD-ROM) dan mengambil semua alamat email yang ditemukan pada file yang mempunyai ekstensi.

    • .eml
    • .txt
    • .php
    • .cfg
    • .mbx
    • .mdx
    • .asp
    • .wab
    • .doc
    • .vbs
    • .rtf
    • .uin
    • .shtm
    • .cgi
    • .dhtm
    • .abd
    • .tbb
    • .dbx
    • .pl
    • .htm
    • .html
    • .sht
    • .oft
    • .msg
    • .ods
    • .stm
    • .xls
    • .jsp
    • .wsh
    • .xml
    • .mht
    • .mmf
    • .nch
    • .ppt

  8. Dengan menggunakan SMTP engine sendiri, ia akan mengirimkan dirinya ke alamat email hukanmikloiuo@yahoo.com, dan ke semua alamat email yang ditemukan.

  9. Email yang dikirimkan akan mempunayi karakteristik sbb:

    From: (alamat dipalsukan)
    Subject: Delivery failure notice (ID-<angka acak>)
    Message:
    --- Mail Part Delivered ---
    220 Welcome to [%domain%]
    Mail type: multipart/related
    --- text/html RFC 2504
    MX [Mail Exchanger] mx.mt2.kl.%domain%
    Exim Status OK.

    (di ikuti oleh salah satu dari daftar dibawah ini)
    New message is available.
    Partial message is available.
    External message is available.
    Delivered message is available.

    Attachment: www.<domain acak>.<username acak>.session-<angka acak>.com
    (Contoh : www.email.com.user.session-000078E9. Com)

  10. Virus ini akan mencoba untuk menggunakan DNS server Default untuk mendapatkan alamat IP dari Mailserver
    Contoh : jika alamat email adalah someone@hostname.it, ia akan mencoba untuk mendapatkan alamat IP hostname.it, jika gagal ia akan mencoba untuk menggunakan beberapa DNS server berikut :

    • 212.185.252.73
    • 212.185.253.70
    • 212.185.252.136
    • 194.25.2.129
    • 194.25.2.130
    • 195.20.224.234
    • 217.5.97.137
    • 194.25.2.129
    • 193.193.144.12
    • 212.7.128.162
    • 212.7.128.165
    • 193.193.158.10
    • 194.25.2.131
    • 194.25.2.132
    • 194.25.2.133
    • 194.25.2.134
    • 193.141.40.42
    • 145.253.2.171
    • 193.189.244.205
    • 213.191.74.19
    • 151.189.13.35
    • 195.185.185.195
    • 212.44.160.8
     

Pesan kepada Bagle
Pada virus W32/Netsky.y@mm, terdapat string dalam kodenya yang berbunyi :

“Hey, bagle what’s up?”
“No ideas?”
"Greetings from out Team"
"19.04.04 11:45 Russia"

Cara mengatasinya:

  1. Jika Anda menggunakan Windows ME/XP, nonaktifkan system restore selama masa pembersihan

  2. Update antivirus yang anda gunakan.

  3. Jika komputer Anda terhubung ke jaringan, lepaskan terlebih dahulu.

  4. Restart komputer di safe mode (pada saat start komputer tekan tombol [F5])

  5. Scan dan delete semua file yang terdeteksi sebagai W32/Netsky.Y@mm.

  6. Hapus registri yang diciptakan oleh virus tersebut:

  7. Hapus value yang diciptakan oleh virus, pada regsitry key
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Disebelah kanan layar, hapus value
    "FirewallSvr"="%Windir%\FirewallSvr.exe"

  8. Bila perlu blok port 82 pada firewall

  9. Restart komputer, kemudian scan ulang hardisk untuk meyakinkan komputer sudah bersih dari virus.

salam,

AJT

Technical Support

PT. Vaksincom

Gedung Rifa lt. 4

Jl. Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp  :021-526 0787

Fax : 021-526 -752

http://www.vaksin.com

Email  : info@vaksin.com