W32/Zafi.B@mm       15 Juni 2004

Worm multi Bahasa menyerang email dan P2P

Ini adalah salah satu virus worm baru yang menyebar dengan melalui email dengan menggunakan beberapa bahasa yang berbeda, misalnya bahasa Inggris, Hungaria dan Rusia. Kalau varian aslinya yaitu W32/Zafi.A@mm hanya menggunakan bahasa Hungaria. Virus ini dikemas dengan menggunakan metode FSG-PACKED yang berukuran 12,800 byte dan jika dijalankan akan membentuk sebuah file yang berukuran 30Kb. Jadi diperkirakan asal mula virus ini adalah dari Hungaria. Virus ini ditulis dengan bahasa assembly (WoW).

Apa saja yang dilakukan oleh virus ini?

Ketika email yang bervirus datang ke dalam Inbox mail client anda, dan kemudian anda klik file attachnya, maka ia akan membuat 2 buah salinan dirinya pada direktori System dengan nama file secara acak yang berekstensi *.EXE dan *.DLL sebagai contoh :

C:\WINDOWS\System\ZAQWSXCV.EXE

C:\WINDOWS\System32\POIKLMNJ.DLL

Dan juga membuat registry value yang akan mengesekusi worm setiap kali Windows start :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\_Hazafibb =

"%System%\<worm_executable>"

Metode Penyebaran :

Virus ini akan menggunakan fasilitas email sebagai sarana penyebaran dirinya dan ia mempunyai SMTP sendiri, jadi memudahkan dalam penyebaran dirinya. Ia akan memeriksa seluruh file yang mengandung alamat email dari file-file yang berekstensi tm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml atau pmr pada local fixed drives C, D, E, F, G dan H. Ketika ia mencari alamat email pada file-file tersebut, ia menghindari setiap alamat yang mengandung kata atau strings :

win

use

info

help

admi

webm

micro

msn

hotm

suppor

syma

vir

trend

panda

yaho

cafee

sopho

google

kasper

Ia juga mencari file Windows Address Book (WAB), dengan melalui registry value:

HKCU\Software\Microsoft\WAB\WAB4\Wab File Name\(Default)

Ia menciptakan 5 file pada direktori System untuk menyimpan alamat-alamat ini. File-file ini mempunyai nama yang dirandom dan berextensi *.DLL

C:\WINDOWS\system\kenbdplk.dll

C:\WINDOWS\system32\zibscdes.dll

C:\WINNT\system32\qfafsxoz.dll

C:\WINNT\system32\zhzukrhp.dll

C:\WINNT\system32\sdxsuwxt.dll

Ia membawa beberapa template dengan bahasa yang berbeda pada format email. Dan seperti biasa file attachment-nya berextensi *.PIF", ".EXE" atau ".COM (lihat gambar 1).

Gambar 1

Menggunakan P2P (Network Share) :

Worm ini mengkopikan dirinya pada direktori yang mempunyai nama "share" atau "upload", dengan asumsi direktori ini adalah direktori yang disharing dan menempatkan beberapa file antara lain :

-    winamp 7.0 full_install.exe

-    Total Commander 7.0 full_install.exe

Di sisi lainnya, virus ini akan mematikan seluruh aktivitas dari program firewall dan antivirus yang terdapat di dalam komputer korban. Serta beberapa fasilitas windows tools seperti MSCONFIG, REGEDIT, TASK MANAGER.

Selain itu virus ini juga akan melakukan serangan dDOS ke web site di bawah ini :

-          www.parlament.hu

-          www.virusbuster.hu

-          www.virushirado.hu

-          www.2f.hu

Apa yang harus dilakukan untuk mencegah virus ini?

Kalau anda rajin mengikuti perkembangan virus saat ini, anda dapat melihat bahwa setiap attachment yang disertakan adalah dalam bentuk file yang berekstensi *.PIF, *.SCR, *.DLL, *.EXE, *.COM atau *.VBS. Oleh sebab itu pastikan antivirus anda sudah dapat menahan virus-virus yang masuk melalui email seperti Norman Internet Protection yang akan menscan setiap email masuk dan keluar dari mail client anda pada level proxy (baik Outloook, Eudora, The Bat maupun Pegasus) sehingga semua email yang anda terima dan anda kirim aman dari infeksi virus (lihat gambar 2).

Gambar 2, Norman Internet Protection memproteksi email anda pada level proxy dan bersifat mail client independent sehingga apapun mailclient yang anda gunakan akan dapat diproteksi dengan baik oleh Norman.

Jalankan opsi filter pencegahan incoming dan outgoing attach yang mengandung ekstensi seperti yang sudah disebutkan di atas. Kemungkian besar tanpa mengupdate data definisi virus anda, untuk sementara bisa dicegah terlebih dahulu. Karena email tersebut langsung dihapus/delete ketika masuk ke dalam inbox mailclient anda. Dan untuk pencegahan lebih lanjut mau tidak mau anda harus mengupdate data definisi virus anda.

MGM Latupeirissa

Email  : support@vaksin.com