W32/Zafi.D@mm         15 Desember 2004

Virus cerdas yang menguasai 12 Bahasa

 

     Jika industri IT dipandang sebagai industri yang sangat dinamis dimana perubahan yang terjadi sangat cepat dimana siapa yang bisa mengantisipasi perubahan tersebut yang akan menang dalam persaingan, maka dunia virus yang merupakan bagian dari industri IT lebih dinamis lagi. Sebagai contoh dapat kita lihat dari perkembangan virus Zafi. Pada awal versinya, Zafi.A hanya "bisa" berbahasa Hungaria, kemudian varian berikutnya Zafi.B pada bulan Juni 2004 datang dalam 3 variasi bahasa yaitu Inggris, Rusia dan Hungaria. Sekarang, Zafi.D yang muncul menyaru sebagai kartu ucapan datang dalam variasi 12 bahasa dan hebatnya ia mampu mengirimkan dirinya dalam email sesuai dengan bahasa yang digunakan penerima email dengan trik yang simple dan efektif. Menurut pemantauan Vaksincom sampai dengan pukul 23.13 WITA, 15 Desember 2004 Zafi.D sudah sampai ke Indonesia dan akibatnya cukup merepotkan pengguna komputer khususnya mailserver yang dibombardir oleh berbagai variasi dari Zafi.D yang jumlahnya mencapai ribuan.

 

Detail Email

Email yang mengandung Zafi.D ini akan menggunakan gambar / icon berwarna kuning dengan font Comic Sans MS berukuran 14 pt berwarna hijau tua (lihat gambar 1).

 

Gambar 1, Contoh Email Zafi.D

 

 Adapun alasan dilakukannya hal ini diduga karena :

  1. Untuk mengelabui penerima email agar mengira email yang datang merupakan kartu ucapan.

  2. Menggunakan icon berukuran kecil untuk menjaga ukuran email tetap kecil supaya mudah di distribusikan.

 

Zafi.D menggunakan SMTP server sendiri dalam menyebarkan dirinya dan memalsukan alamat email pengirimnya. Adapun kehebatan dari Zafi.D ini seperti kami kemukakan di atas adalah kemampuannya mengirimkan email bervirus dalam belasan bahasa. Adapun cara yang digunakan untuk menyesuaikan bahasa email dengan calon korban adalah dengan mendeteksi domain dari penerima email, jadi jika domainnya .de (Jerman) maka email akan datang dalam Bahasa Jerman, jika domain korban penerima email berakhiran .es, maka email yang dikirim akan berbahasa Spanyol dst. Adapun daftar domain negara yang terdaftar dalam Zafi.D adalah negara-negara di daratan Eropa, antara lain :

.hu Hungaria
.ru  Rusia
.dk  Denmark
.ro  Rumania
.se Swedia
.no Norwegia
.fi  Finlandia
.lt  Lithuania
.pl  Polandia
.pt Portugal
.de  Jerman
.nl Belanda
.cz Republik Czech
.fr Perancis
.it Italia
.mx Meksiko
.at  Austria
.es  Spanyol

Sedangkan untuk domain di luar daftar seperti domain .com atau .id (Indonesia) akan mendapatkan email dalam Bahasa Inggris. Lampiran yang datang beserta email akan berbentuk eksekutable (.cmd, .bat, .pif, .com) dan file terkompres .zip yang kemungkinan besar akan berhasil masuk ke mailserver umumnya yang memblok semua eksekutable dan meloloskan lampiran terkompres.

 

Sambil menyelam minum air

Aksi hebat lain yang dilakukan oleh Zafi.D adalah teknik yang digunakan dalam melumpuhkan program antivirus dan firewall sekaligus menyebarkan dirinya dengan sangat efektif. Adapun teknik tersebut adalah sebagai berikut :

 

Zafi.D akan mencari direktori yang mengandung nama :

syman
viru
trend
secur
panda
cafee
sopho
kasper
firewall

dan mengganti semua file eksekutable pada direktori yang ditemukan dengan file virus. Aksi ini tentunya akan melumpuhkan program antivirus dan membuat komputer korban Zafi.D tidak terproteksi sama sekali. Disamping itu, setiap kali komputer menjalankan program antivirus yang terjadi malahan menjadi menjalankan virus yang telah menggantikan file semua eksekutable pada direktori antivirus / firewall tersebut.

 

Sulit dibasmi

Zafi.D akan berusaha untuk menghalangi proses pembasmian dirinya dengan memblok akses ke Registry Editor, MS Config dan Task Manager. Seperti kita ketahui, Registry Editor merupakan daftar registri dimana virus mendaftarkan dirinya agar berjalan secara otomatis sewaktu windows dijalankan pertama kali, sedangkan Task Manager biasanya digunakan untuk terminasi aplikasi virus yang sedang berjalan agar dapat dibasmi. Pemblokan atas tiga file ini dapat diatasi dengan melakukan start Windows dalam Safe Mode.

Zafi.D juga berusaha menyebarkan dirinya melalui Peer to Peer dan jaringan dengan cara mengkopikan dirinya pada semua direktori yang mengandung kata :

  • Share

  • Upload

  • Music

 

Adapun file yang akan dikopikan ke dalam direktori-direktori tersebut akan diberi nama :

  • Winamp 5.7 new!.exe

  • ICQ2005a new!.exe

 

Ketika menjalankan aksinya pertama kali menginfeksi komputer, Zafi.D akan menampilkan pesan error palsu (lihat gambar 2)

Gambar 2, Pesan Error Palsu Zafi.D

 

Setelah berhasil menginfeksi komputer, Zafi.D akan menyaru sebagai file dengan nama "Norton Update.exe" pada direktori system pada windows. Aksi berbahaya lain yang dilakukan oleh Zafi.D adalah membuka port 8181 sehingga memungkinkan virus ini di update atau komputer korban dikuasai oleh penyusup.

 

Makassar, 16 Desember 2004

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@vaksin.com