Loading ...
Sorry, an error occurred while loading the content.

hati-hati virus komputer Mydoom atau Novarg

Expand Messages
  • Usman Supriatna
    FYI... Sebagai sebuah virus worm yang baru dikenal sebagai Mydoom atau Novarg telah menyerang dan menyebar secara cepat melalui perantara email dan Kazaa
    Message 1 of 1 , Jan 30, 2004
    • 0 Attachment
      FYI...
      Sebagai sebuah virus worm yang baru dikenal sebagai Mydoom atau Novarg telah
      menyerang dan menyebar secara cepat melalui perantara email dan Kazaa
      network. Pada email, virus mengandung subject, bodidanattachment yang
      bervariasi. Worm ini akan membuka applikasi NOTEPAD dan menampilkan karakter
      acak di dalamnya. Yang menarik, MYDoom akan menyerang sebuah web site yang
      merupakan salah satu varian UNIX dengan alamat http://www.sco.com dengan
      DDoS-attack pada tanggal 1 Februari 2004.
      Sebenarnya apa saja yang dilakukan oleh MyDoom? Virus ini pertama-tama masuk
      ke dalam komputer anda sebagai sebuah email dengan banyak sekali
      varibel-variabel yang digunakan, misalnya : Subject ditampilkan secara
      random :
      - Server Report
      - Mail Delivery System
      - Hi
      - status
      - hello
      - HELLO
      - Hi
      - test
      - Test
      - Mail Transaction Failed
      - Server Request
      - Error
      Message Body dapat dipilih dari list yang dibawa oleh virustersebut,bisa
      kosong, atau terdiri dari sebuah pesan-pesan sampahseperticontoh
      di atas. Sebagai contoh lainnya dari Message Body digunakan oleh worm
      tersebut :
      - The message contains Unicode characters and has been sent as a binary
      attachment.
      - The message cannot be represented in 7-bit ASCII encoding and has been
      sent as a binary attachment.
      - Mail transaction failed. Partial message is available.
      - Test
      Attach / Lampiran yang dikirimkan juga namanya berubah-rubah dan dikemas
      dalam bentuk sebuah file ZIP. Dan isinya terkadang merupakan sebuah file
      double extention. Virus ini
      seolah-olah menjadi sebuah fileTXT yang akan dibuka oleh NOTEPAD. File-file
      *.TXT tersebut adalah seperti contoh di bawah ini yang akan anda terima:
      body
      message
      test
      data
      file
      text
      doc
      readme
      document
      File-file tersebut di atas akan ditambahkan sebuah extention di bawah ini:
      - BAT
      - EXE
      - PIF
      - SCR
      - CMD
      Setelah virus tersebut dijalankan maka ia akan menginfeksi komputer anda
      dan melakukan pekerjaan backdoor. Tugas backdoor ini ditanamkan oleh sebuah
      file yang bernama SHIMGAPI.DLL pada system32 directory dan dijalankan dengan
      mudahnya seperti anda menggunakan EXPLORER.EXE. Virus ini akan menjaga dan
      membuka TCP port 3127 sampai 3198.
      File tersebut dikompress dengan menggunakan metode UPX. Nama file yang akan
      digunakan MyDoom dalam System adalah :
      ° TASKMON.EXE
      Taskmon, adalah task manager yang berfungsi melihat aplikasi apa yang sedang
      dijalankan oleh sebuah komputer. Jika aplikasi ini diganti, maka file-file
      yang ditampilkan bukan merupakan aplikasi yang sedang dijalankan oleh
      komputer itu sendiri tetapi aplikasi yang disamarkan seolah-olah dijalankan
      oleh komputer itu sendiri. Yang berbahaya jika aplikasi yang diketahui oleh
      Taskmon tersebut adalah aplikasi yang normal menurut kita, tetapi sebenarnya
      adalah applikasi yang berbahaya. Misalnya applikasi untuk mengirimkan worm
      (virus), tetapi
      disamarkan dengan nama applikasi lain misalnya Kazaa.EXE. Kalau kita lihat
      pada linux ini adalah semacam applikasi rootkit dimana aplikasi-aplikasi
      utama dalam server diganti dengan aplikasi
      dengan nama yang sejenis tetapi fungsinya lain. File asli dari TASKMON.EXE
      akan didelete dan diganti oleh file dari virus tersebut dan diletakkan pada
      direktori SYSTEM32, dan akan juga
      membuat 2 buah value registry yang baru sehingga akan selalu dijalankan
      setiap kali anda reboot komputer anda :
      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      "TaskMon" = %sysdir%\taskmon.exe
      dan untuk menjaga-jaga jika ada kegagalan maka dibuatlah sebuah value
      lainnya :
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run
      "TaskMon" = %sysdir%\taskmon.exe
      ° MESSAGE, file ini diletakan pada direktori %temp%. File ini yang akan
      melaksanakan penamaan file yang bervirus secara random dan dibaca
      dengan menggunakan NOTEPAD
      Untuk diperhatikan para pengguna applikasi P2P, khususnya KAZAA, jangan
      sekali-kali membuka file-file yang di share dengan nama :
      ° winamp5
      ° icq2004-final
      ° activation_crack
      ° strip-girl-2.0bdcom_patches
      ° rootkitXP
      ° office_crack
      ° nuke2004
      dengan ekstensi
      ° bat
      ° exe
      ° scr
      ° pif
      dan ciri yang sangat jelas adalah ukuran filenya 22 KB.
      Sekali mendownload dan menjalankan file ini, maka akan terinfeksi MyDoom.
      Cara menghapus atau mengatasi MyDoom :
      1. Update data definisi virus dari antivirus anda.
      2. Untuk pengguna Win XP dan Win ME harap nonaktifkan System Restore.
      3. Restart komputer dalam Safe Mode.
      4. Scan harddisk menggunakan antivirus dan clean semua file yang terdeteksi
      sebagai MyDoom.
      5. Jalankan Regedit untuk menghapus value yang ditambahkan pada file
      registry:
      Buka Registry Editor. Klik [Start] [Run] ketik
      REGEDIT dan
      tekan Enter. Pada panel kiri klik :
      HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
      Pada panel kanan, temukan dan HAPUS :
      TaskMon = c:\windows\System\taskmon.exe
      Tutup Registri Editor
      Tips :
      Untuk melindungi komputer dari virus sejenis MyDoom yang menggunakan
      ekstensi ganda tanpa memerlukan update antivirus, disarankan menggunakan
      antivirus yang dapat
      mendeteksi penerimaan email dengan attach / lampiran yang menggunakan double
      extention.
    Your message has been successfully submitted and would be delivered to recipients shortly.