W32.Netsky.Z@mm 26 April 2004

Varian ke 26 yang lebih cerdas

Dalam waktu kurang dari 2 bulan, Netsky telah mencapai varian Netsky.Z, yang berarti dalam waktu kurang dari 60 hari pembuatnya berhasil meluncurkan 26 varian dan rata-rata sukses menyebar dengan luarbiasa. Jika di rata-rata, setiap dua hari pembuat Netsky menyebarkan satu virus baru selama dua bulan secara konsisten dan sampai hari ini tidak berhasil ditangkap :(. Menurut statistik Vaksincom, Netsky.P tercatat sebagai virus yang paling banyak menyebar di Indonesia diikuti Netsky.D, Netsky.Q dan Netsky.C totalnya mencapai lebih dari 8.000 kasus. Jauh meninggalkan Bagle yang totalnya kurang dari 1.000 kasus.

Hanya selang satu hari setelah Netsky.Y, telah muncul varian baru dari virus Netsky yakni virus W32/Netsky.Z@mm yang berhasil terdeteksi dengan Norman Virus Control dengan update terakhir, virus ini mempunyai ukuran sebesar 22,016 bytes dan ukuran file attachment yang disertakan sebesar 22,420 bytes, virus ini juga akan membuka TCP port 665 yang akan digunakan oleh penyerang untuk menguasai komputer yang telah terinfeksi. Ciri khas Netsky.Z adalah ia tidak menyerang Bagle di komptuer anda dan hanya menyebar via email, jadi tidak menyebar melalui P2P / Kazaa atau jaringan.

Seperti pada kebanyakan varian sebelumnya, varian baru ini pun akan melakukan scan terhadap semua drive mulai dari drive C-Z (kecuali CD-ROM) untuk mengambil semua alamat email yang ada untuk kemudian mengirimkan dirinya ke semua alamat email yang ditemukan tersebut dengan menggunakan SMTP engine sendiri..

Virus ini juga akan memalsukan alamat From dari email yang dikirimkan-nya,dan mempunyai Subject, Message, dan Attachment yang bervariasi. File attachment yang disertakan kali ini dalam bentuk ext. .zip (tanpa menggunakan password)

Virus W32/Netsky.Z@mm, mempunyai karaktersitik sbb:

Mengambil semua alamat email dari komputer yang terinfeksi
Mengirimkan dirinya dengan menggunakan SMTP engine sendiri ke semua alamat email yang ditemukan.
Email yang dikirimkan mempunyai attachment ZIP (tanpa menggunakan password)
Memalsukan alamat From:
Akan melakukan seranagn Denial of Service ke Web site
Menggunakan trik ekstensi ganda dengan spasi banyak guna mengelabu penerima email agar mengklik lampiran email yang terlihat seakan-akan seperti file yang tidak berbahaya / non executable. (Lihat gambar 1)

Gambar 1, Netsky.Z menggunakan trik ekstensi ganda dengan spasi banyak guna mengelabui penerima email mengklik lampiran. Pengguna awam akan melihat lampiran yang terkompresi ini sebagai file Text "Data.txt" padahal sebenarnya file ini adalah file EXE dengan nama "Data.txt<<spasi>>.exe" dan jika dijalankan akan mengaktifkan Netsky.Z.

Jika virus W32.Netsky.Z@mm ini aktif, ia akan melakukan tindakan sbb:

Mengkopikan dirinya pada direktori windows dengan nama file Jammer2nd.exe.
Membuat file zip yang berisi worm ke direktori Windows dengan nama file PK_ZIP_ALG.LOG. ia juga akan membuat file zip mime-encoded yang berisi nama worm ke dalam direktori %WinDir% dengan nama file PK_ZIPn.LOG, dimana n adalah integer.
Membuat value:

"Jammer2nd" = %WinDir%\JAMMER2ND.EXE
kedalam registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Jammer2nd" = %WinDir%\JAMMER2ND.EXE
kedalam registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Membuat file mutex dengan nama "(S)(k)(y)(N)(e)(t)," jadi hanya satu virus yang dijalankan.
Meletakan file Zip yang berisi dirinya ke dalam direktori %Windir% dengan nama file PK_ZIPn.LOG, dimana n adalah integer.
Membuka TCP port 665 yang akan digunakan oleh penyerang untuk mengirimkan file executable, untuk kemudian virus ini akan secara otomatis menjalankan file tersebut.
Jika pada system komputer menunjukan antara tanggal 2 May 2004 dan 5 May 2004, virus ini akan mencoba untuk melakukan serangan Denial of Service (DoS) kealamat web site dibawah ini :
·         www.nibis.de
·         www.medinfo.ufl.edu
·         www.educa.ch
Melakukan Scan mulai dari drive C - Z (kecuali CD-ROM drives) dan mengambil alamat email dari semua file yang mempunyai ext.
·         .adb
·         .asp
·         .cfg
·         .cgi
·         .dbx
·         .dhtm
·         .doc
·         .eml
·         .htm
·         .html
·         .jsp
·         .mbx
·         .mdx
·         .mht
·         .mmf
·         .msg
·         .nch
·         .oft
·         .php
·         .ods
·         .pl
·         .ppt
·         .rtf
·         .sht
·         .shtm
·         .stm
·         .tbb
·         .txt
·         .uin
·         .vbs
·         .wab
·         .wsh
·         .xls
·         .xml
Dengan menggunakan SMTP engine sendiri akan mengirimkan dirinya ke alamat email jamainlbbbsdef@yahoo.com, dan ke semua alamat email yang ditemukan.

Email yang dikirimkan akan mempunyai ciri-ciri sbb:
Subject: (salah satu dari daftar dibawah ini)

·         Hello
·         Hi
·         Important
·         Important bill!
·         Important data!
·         Important details!
·         Important document!
·         Important informations!
·         Important notice!
·         Important textfile!
·         Important!
·         Information

From: (alamat email palsu)

Attachment: ( file zip dengan nama salah satu file dibawah ini)
·         Bill.zip
·         Data.zip
·         Details.zip
·         Important.zip
·         Informations.zip
·         Notice.zip
·         Part-2.zip
·         Textfile.zip

File executable (exe) yang disertakan dalam file ZIP tersebut dapat berupa salah satu dari daftar dibawah ini
·         Bill.txt (many spaces) .exe
·         Data.txt (many spaces) .exe
·         Details.txt (many spaces) .exe
·         Important.txt (many spaces) .exe
·         Informations.txt (many spaces) .exe
·         Notice.txt (many spaces) .exe
·         Part-2.txt (many spaces) .exe
·         Textfile.txt (many spaces) .exe
(lihat Gambar 2)

Gambar 2
Virus ini akan berusaha menggunakan DNS server default untuk mengambil alamat IP dari mail server korbannya. Contoh, jika email korban berupa adang@vaksin.com, ia akan mencoba untuk mengambil alamat IP server vaksin.com. Jika gagal, ia akan menggunakan beberapa DNS server dibawah ini :
·         145.253.2.171
·         151.189.13.35
·         193.141.40.42
·         193.189.244.205
·         193.193.144.12
·         193.193.158.10
·         194.25.2.129
·         194.25.2.130
·         194.25.2.131
·         194.25.2.132
·         194.25.2.133
·         194.25.2.134
·         195.185.185.195
·         195.20.224.234
·         212.185.252.136
·         212.185.252.73
·         212.185.253.70
·         212.44.160.8
·         212.7.128.162
·         212.7.128.165
·         213.191.74.19
·         217.5.97.137
Menurut perkiraan Vaksincom, aksi ini dilakukan guna meningkatkan efisiensi dalam menyebarkan dirinya.
Ddos
Pada tanggal 2 sampai 5 Mei 2004, NEtksy.Z akan melakukan Ddos pada website
www.educa.ch
www.medinfo.ufl.edu
www.nibis.de

Cara mengatasi

Jika Anda menggunakan Windows ME/XP, nonaktifkan system restore selama masa pembersihan
Update antivirus yang anda gunakan.
Jika komputer Anda terhubung ke jaringan, lepaskan terlebih dahulu.
Restart komputer di safe mode (pada saat start komputer tekan tombol [F5])
Scan dan delete semua file yang terdeteksi sebagai W32/Netsky.Z@mm.
Matikan value yang diciptakan pada registry key :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Disebelah kanan layar hapus value
"Jammer2nd" = Windows\JAMMER2ND.EXE
Untuk sementar blok TCP port 665 pada Firewall yang digunakan

salam,

AJT

Technical Support

PT. Vaksincom

Gedung Rifa lt. 4

Jl. Prof. Dr. Satrio blok C4 / 6-7

Jakarta 12950

Telp :021-526 0787

Fax : 021-526 -752

http://www.vaksin.com

Email : info@vaksin.com

Virus W32/Netsky.Z@mm, mempunyai karaktersitik sbb:

Mengambil semua alamat email dari komputer yang terinfeksi

Mengirimkan dirinya dengan menggunakan SMTP engine sendiri ke semua alamat email yang ditemukan.

Email yang dikirimkan mempunyai attachment ZIP (tanpa menggunakan password)

Memalsukan alamat From:

Akan melakukan seranagn Denial of Service ke Web site

Cara mengatasi