Nicehello   17 Maret 2003

NiceHello menyerang dan mencuri user name dan password MSN Messenger anda

NiceHello adalah jenis worm yang baru, tetapi worm ini tidak mempunyai  efek sifat yang merusak, dimana ia menyerang melalui email. Ketika komputer terinfeksi, ia mengirimkan sebuah copy dirinya ke semua alamat email yang ditemui dari Contack List dari applikasi instant messaging seperti MSN Messenger. NiceHello dibat dengan menggunakan bahasa program Borland Delphi. File virusnya dicompres dengan menggunakan UPX sehingga berukuran 99,328 byte.

Dengan cara yang sama, NiceHello mengirimkan sebuah e-mail message ke pembuat virus tersebut, di dalam email tersebut termasuk juga MSN Messenger user name berikut passwordnya.

NiceHello sampai pada komputer anda sebagai sebuah file attach pada email. File attach akan mempunyai nama seperti :

CODIGO.EXE,

ANIMACION.EXE,

PARCHE.EXE,

ACTUALIZACION.EXE,

DATOS.EXE,

PRESENTACIONES.EXE,

PARCHEJUEGO.EXE,

FOTOS.EXE,

VIDEO.EXE 

POLITICOS.EXE.

Lengkapnya kalau anda menerima e-mail seperti di bawah ini, sudah dipastikan email tersebut mengandung virus NiceHello :

  • Version 1:
    Subject: Código fuente
    Message: Hola, te mando el codigo fuente que te prometi, esta comprimido; ya sabes esto es solo para vos!!. Saludos
    Attachments: CODIGO.EXE

  • Version 2:
    Subject: Mis primeras animaciones.
    Message: Te mando la primera animación en flash sobre nuestros amigos; espero tus comentarios, recuerda que es solo para vos
    Attachments: ANIMACION.EXE

  • Version 3:
    Subject: Parche
    Message: El parche del programa que me pediste. Cualquier cosa estoy para ayudarte. recuerda que es solo para vos
    Attachments: PARCHE.EXE

  • Version 4:
    Subject: ACTUALIZACION DE PROGRAMA
    Message: Recien puedo enviarte la actualizacion, es que tuve mucho trabajo, recuerda que es solo para vos
    Attachments: ACTUALIZACION.EXE

  • Version 5:
    Subject: Datos ultimo trimistre
    Message: Los datos del ultimo trimestre esta en el archivo adjunto, estan comprimidos, recuerda que es solo para vos
    Attachments: DATOS.EXE

  • Version 6:
    Subject: Presentación Power Point
    Message: Las presentaciones en power point que tenia que mandarte, estan comprimidas en el archivo adjunto, recuerda que es solo para vos
    Attachments: PRESENTACIONES.EXE

  • Version 7:
    Subject: ahora el juevo va a funcionar
    Message: El parche para el juego que mas te gusta, esta comprimido, recuerda que es solo para vos
    Attachments: PARCHEJUEBO.EXE

  • Version 8:
    Subject: Fotos ultima fiesta
    Message: Hola, como estas, te mando las fotos de la ultima fiesta, por cierto tienes una cara!!!. , recuerda que es solo para vos
    Attachments: FOTOS.EXE

  • Version 9:
    Subject: Video de la ultima reunion de amigos, recuerda que es solo para vos
    Message: Hola, te mando el video de la ultima fiesta, no se ve muy bien pero algo es algo, recuerda que es solo para vos
    Attachments: VIDEO.EXE

  • Version 10:
    Subject: Animaciones en flash de nuestros politicos
    Message: Mira las animaciones sobre la clase politica del pais, recuerda que es solo para vos
    Attachments: POLITICOS.EXE

Gejala-gejala yang tampak

NiceHello sangat mudah untuk dikenali,  ia selalu menyerang komputer anda dengan sebuah e-mail dengan karateristik yang khusus.

Body dari message tersebut selalu diakhiri dengan kalimat : es solo para vos 

·         Version 9:
Subject: Video de la ultima reunion de amigos, recuerda que es solo para vos
Message: Hola, te mando el video de la ultima fiesta, no se ve muy bien pero algo es algo, recuerda que es solo para vos
Attachments: VIDEO.EXE

Bagaimana kita tahu bahwa virus itu sudah menyebar di komputer kita ? NiceHello akan muncul sebuah false warning message, dimana NiceHello memperlihatkan seperti contoh di bawah ini :

Efek yang ditimbulkan

NiceHello menimbulkan efek-efek.pada komputer yang terinfeksi :

  • Ia mengirimkan sebuah email ke virus author, dimana di dalamnya termasuk juga MSN Messenger user name dan password. Bentuk yang khas dari pesan tersebut adalah :

From: nemesis@olimpo.com 
To: jcrivas77@yahoo.com 
Subject: Hello World :-) have a nice day <The affected user's MSN Messenger user name>.
Message: <The affected user's MSN messenger user name and password, which are encrypted>.

  • Dan juga mengirimkan sebuah salinan worm melalui e-mail ke semua alamat yang didapatnya dari MSN Messenger Contact List.

Means of infection  

NiceHello membuat sebuah file pada Windows system direktori:

  • SYS64DVR.EXE. File ini mengandung worm code.

NiceHello membuat juga sebuah key pada Windows Registry:

  • HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run=
    System 64 Driver for Games %sysdir%\ sys64dvr.exe
    Dengan membuat key tersebut, NiceHello dapat dipastikan akan selalu dijalankan setiap kali Windows Startup.

 Cara Pengiriman

NiceHello menyerang melalui email. Dalam hal ini, worm mengirimkan sebuah e-mail yang mengandung file attach yang berbahaya ke semua alamat yang ditemukan dari Contact List  pada applikasi MSN Messenger. Contohnya seperti di bawah ini :

Version 1:
Subject: Código fuente
Message: Hola, te mando el codigo fuente que te prometi, esta comprimido; ya sabes esto es solo para vos!!. Saludos
Attachments: CODIGO.EXE

Kalau anda melihat dari penjelasan di atas, virus worm sekarang sudah melalukan penyebarannya dengan mengkombinasi cara. Pertama menggunakan applikasi MSN Messanger kemudian menggunakan mail program seperti Outlook. Jadi kebutuhan antivirus sudah anda harus tingkatkan lagi, anda bisa menggunakan antivirus yang direkomendasi dapat mengupdate file database virusnya secara teratur, dan untuk applikasi instant messaging anda dapat menginstall tools khusus untuk applikasi tersebut, contohnya anda bisa mendownload di :

http://www.bitdefender.com/html/bd_msn_messenger.php

Marcel "Gemini Man" Glenn Latupeirissa

Technical Support VAKSIN.COM

PT. VAKSINCOM

RIFA Building 4th floor

Jln. Prof. Dr. Satrio Blok C4/6-7

Jakarta 12950 - Indonesia

Phone : 021-526-0787

Fax     : 021-526-0752