Sober.I

W32/Sober.I@mm 21 November 2004

Kalau pencuri mengaku semua, penjara penuh

Kalau pencuri mengaku semuanya, penjara penuh. Ungkapan ini sering kali kita dengar dalam percakapan sehari-hari. Demikian pula dengan virus baru Sober.I yang sedang beredar sejak 19 November 2004 dan menghebohkan dunia, terutama Eropa. Virus ini cukup merepotkan pakar sekuriti Eropa karena memiliki kemampuan mengirimkan dirinya dalam Bahasa Jerman dan Inggris. Hebatnya lagi, hanya negara tertentu saja yang dikirimi email pengantar Bahasa jerman dan sisanya dalam email pengantar Bahasa Inggris. Sampai dengan hari Minggu 21 November 2004 penyebaran Sober.I belum terdeteksi oleh Vaksincom di Indonesia, namun mengingat penyebaran Sober di dunia yang sangat tinggi (lebih tinggi dari Bofra) dan salah satu karakteristik Sober yang hanya dapat berjalan jika dijalankan oleh penerima email dan Indonesia sedang libur panjang sehingga penerima email yang "iseng/ingin tahu/tidak sengaja" mengklik attachment belum masuk kerja, maka diperkirakan dampak maksimal Sober baru akan terlihat pada minggu ke empat November 2004.

Menggunakan dua trik untuk mengelabui korban

Sober.I menggunakan dua hal untuk "meyakinkan" penerimanya bahwa dia bukan virus :

Sober.I akan menyertakan pesan bahwa email yang datang telah bebas virus dengan menyertakan footer (penutup) :

*-*-* Mail_Scanner: No Virus
*-*-* <domain-anda>- Anti_Virus Service
*-*-* http://www.<domain-anda>

Sober.I akan menampilkan pesan error Winzip palsu pada saat dijalankan :

yang tujuannya adalah supaya korban mengira bahwa file yang dikliknya rusak dan tidak ada perubahan pada sistem komputernya. Padahal tepat pada saat itulah Sober.I langsung menginfeksi komputernya dan menjalankan semua rutin aksinya.

Detail Email Sober.I

Sober.I menggunakan SMTP server sendiri untuk menyebarkan dirinya, seperti yang telah kami utarakan di atas Sober.I memiliki kemampuan untuk mengirimkan dirinya dengan dua alternatif bahasa, yaitu Bahasa Inggris dan Bahasa Jerman. Hebatnya lagi, pemilihan bahasa tidak dilakukan secara acak atau membabi buta tetapi sudah terencana dengan matang. Khusus untuk email korban dengan domain .at, .ch, .de dan .li serta alamat email dengan ekstensi gmx, misalnya gmx.de, gmx.or atau gmx.net akan dikirimi email bervirus dengan bodi email dalam Bahasa Jerman. Hal ini kemungkinan besar dilakukan supaya penerima email tidak curiga dan langsung menjalankan lampiran yang terkandung dalam email. Karena itulah Vaksincom menyarankan agar para pengguna internet yang banyak berhubungan dengan email dari Eropa untuk lebih berhati-hati jika menerima email yang mengandung lampiran, jangan langsung / tidak sengaja dibuka melainkan scan dulu dengan program antivirus terupdate (Norman Virus Control dengan update tanggal 19 november 2004 sudah dapat mengindentifikasi Sober.I dengan baik).

Adapun informasi lebih mendetail mengenai email yang mengandung Sober.I adalah sebagai berikut :

From / Dari : dipalsukan atau daftar nama + domain penerima email :

Daftar nama :

Info
FehlerMail
Webmaster
ReMailer
Lisa
Peter
Michael
Thomas
Elke
Susi
Nadine
Benutzer-Daten
Information
Service
Hilfe
Webmaster
Hostmaster
Postmaster
User-Info

Jika domain alamat penerima email bervirus adalah oneng@bajaj-bajuri.com maka alamat domain sendernya akan mengambil domain yang sama bajaj-bajuri.com dengan pengirim diambilkan secara acak dari salah satu daftar nama di atas, misalnya webmaster@bajaj-bajuri.com

Subject / Subjek : salah satu dari alternatif dibawah ini

FwD:
Re:
Oh God
Registration Confirmation
Confirmation
Your Password
Your mail password
Delivery_failure_notice
Faulty_mail delivery
Mail delivery_failed
Mail Error
illegal signs in your mail
invalid mail
Mail_Delivery_failure
mail delivery system
Key:
SMTP:
ESMTP:
Info von
Mailzustellung fehlgeschlagen
Fehler in E-Mail
Ihre E-Mail wurde verweigert
Mailer Error
Ungueltige Zeichen in Ihrer E-Mail
Mail- Verbindung wurde abgebrochen
Mailer-Fehler
Betr.-Ihr Account
Ihre neuen Account-Daten
Auftragsbestaetigung
Lieferung-Bescheid

Body / Isi email :

Salah satu ciri khas dari Sober.I adalah ia akan menggunakan domain korbannya secara ekstensif, kemungkinan besar untuk meyakinkan penerima email bahwa email yang diterimanya aman. Karena itu anda harus berhati-hati jika menerima email sebagai berikut :

(Vaksincom hanya memberikan contoh email dalam Bahasa Inggris karena pertimbangan kepraktisan dan probabilitas email Sober.I yang datang ke Indonesia dalam Bahasa Jerman sangat kecil).

I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii
Your password was changed successfully!
Protected message is attached!
<Kombinasi dari beberapa frasa dibawah ini:>
_delivery_error
_does_not_like_
_failed_after_I_sent_the_message
_Requested_action_not_taken
Anti_Virus: No Virus was found
Attachment: No Virus found
disabled
discontinued
Giving_up_on_
Mail_Scanner: No Virus
MAILBOX NOT FOUND
mailbox_unavailable
recipient.
Remote_host_said:
sender.
This_account_has_been_

<diikuti dengan> :

*-*-* Mail_Scanner: No Virus
*-*-* <domain-anda>- Anti_Virus Service
*-*-* http://www.<domain-anda>

· ++++++ User-Service: http://www.<domain-anda>
++++++ MailTo: postmaster <domain-anda>

Attachment / Lampiran : salah satu dari kemungkinan dibawah ini

<nama domain penerima email>
auto__mail
im_shocked
mail
oh_nono
re_mail
thats_hard
diikuti dengan satu ekstensi dibawah ini :
.txt
.doc
.word
.xls
.eml
atau jika berekstensi ganda, maka ekstensi keduanya adalah :
.zip
.pif
.scr
.bat
.com

Jika Sober.I datang dalam ekstensi .zip, maka file yang terkandung di dalamnya akan mengandung ekstensi ganda dengan spasi banyak. Seperti yang pernah kami utarakan sebelumnya, tujuan ekstensi dengan spasi banyak ini adalah untuk menyamarkan dirinya agar dikira sebagai file tidak berbahaya (.txt, .doc, .word, .xls dan .eml) padahal sebenarnya jika spasi banyak tersebut diikuti baru ketahuan belangnya bahwa file tersebut berekstensi ganda dan merupakan file eksekutabel yang jika diklik akan langsung mengaktifkan virus Sober.I.

Contoh nama file dengan ekstensi ganda dan spasi banyak adalah :

"message_text.txt .scr"
Jika kita lihat file tersebut seakan-akan file Text dengan nama "message_test.txt", padahal file tesebut adalah file SCR (Screen Saver) dengan nama "message_text.txt<spasi>.scr"

Apa yang harus anda lakukan jika sudah terinfeksi Sober.I

Menurut informasi yang kami dapatkan, dalam beberapa kasus, Sober.I dapat berjalan secara tidak sempurna / korup sehingga untuk membersihkannya tidak bisa dengan menggunakan tools, karena itu Vaksincom menyertakan cara pembersihan Sober.I secara manual sebagai berikut :

Jika Anda menggunakan Windows ME/XP, nonaktifkan system restore selama masa pembersihan
Update antivirus yang anda gunakan, Norman Virus Control dengan teknologi Sandbox dengan update definisi 19 November 2004 akan mendeteksi Sober.I sebagai W32/Sober.I@mm.
Jika komputer Anda terhubung ke jaringan, lepaskan terlebih dahulu.
Restart komputer di safe mode (pada saat start komputer tekan tombol [F5])
Scan dan delete semua file yang terdeteksi sebagai W32/Sober.I@mm.
Balikkan registri yang telah dirubah sebagai berikut :
Klik [Start] pilih Run dan ketik "regedit" dan tekan [Enter] anda akan membuka Registry Editor

Navigasi pada alamat registri :
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  Navigasi pada panel sebelah kanan, temukan dan hapus value file yang terdeteksi oleh Norman sebagai virus Sober pada langkah 5 di atas.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  Navigasi pada panel sebelah kanan, temukan dan hapus value file yang terdeteksi oleh Norman sebagai virus Sober pada langkah 5 di atas.
tutup Registry Editor.
Restart kembali komputer untuk keluar dari Safe Mode dan aktifkan kembali system restore (Win ME dan XP).

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@vaksin.com