Loading ...
Sorry, an error occurred while loading the content.

Resiko sedang, W32/Bagle.AK Jangan klik file HTML dalam .zip

Expand Messages
  • Vaksincom
    W32/Bagle.AK 1 September 2004 Jangan klik file HTML dalam .zip Setelah Bagle.AI dan MyDoom.S yang mengandung trojan downloader, sekarang muncul worm
    Message 1 of 1 , Sep 1, 2004
    View Source
    • 0 Attachment

      W32/Bagle.AK        1 September 2004

      Jangan klik file HTML dalam .zip

       

           Setelah Bagle.AI dan MyDoom.S yang mengandung trojan downloader, sekarang muncul worm baru W32/Bagle.AK yang juga mengandung downloader. Kalau MyDoom.S hanya memiliki 4 website yang berbeda untuk download, maka Bagle.AK memiliki daftar 131 website untuk mengupdate dirinya. Bagle.AK di sebarkan secara masif ke internet pada tanggal 1 September 2004 dengan lampiran terkompres .zip dan file di dalamnya berisi file HTML yang jika dijalankan akan secara otomatis mengeksploitasi celah keamanan Microsoft Java Machine untuk menjalankan virus secara otomatis. Unikya, ke 131 website yang terkandung dalam Bagle.AK pada saat ini tidak ada satupun yang aktif. Apakah pembuat virus menunggu waktu yang tepat untuk mengupload file tersebut atau ini hanya tipuan, waktu yang akan memberitahu kita.

       

      Lampiran .zip dengan file HTML yang mengekspoitasi Microsoft VX Activex Components vulnerability

      Email yang mengandung Bagle.AK akan datang dalam lampiran .zip dan menurut pengamatan Vaksincom, alamat pengirim dipalsukan oleh virus (forging). Adapun subjeknya adalah foto dengan lampiran fotos.zip. Untuk detilnya silahkan lihat gambar 1.

       

      Gambar 1, email yang mengandung virus Bagle,AK akan datang dalam lampiran fotos.zip

       

      Jika anda memekarkan lampiran ini, anda akan mendapatkan satu file "foto.htm" dan satu direktori dengan nama "1" (Lihat gambar 2).

      Gambar 2, hasil unzip lampiran fotos.zip

       

       Di dalam direktori inilah virus Bagle.AK tersimpan dengan nama "foto1.exe" atau "calc.exe". Adapun rekayasa sosial yang terkandung dalam lampiran ini ada pada file foto.htm, yang seharusnya merupakan file html (hypertext markup language) yang tidak memiliki kemampuan menjalankan kode berbahaya tanpa sepengetahuan pengguna komputer. Tetapi karena file html yang terkandung dalam Bagle.AK ini berisi kode program yang mengeksploitasi celah keamanan Microsoft VX Activex Components vulnerability http://www.microsoft.com/technet/security/bulletin/MS00-075.mspx maka secara otomatis, jika kita mengklik file foto.htm maka file foto.exe / calc.exe akan dijalankan secara otomatis oleh windows sekaligus mengaktifkan virus. Kami sertakan capture dari kode eksploitasi yang terkandung di dalam file foto.htm (gambar 2)

       

      Gambar 2, kode html untuk mengeksploitasi celah keamanan Microsoft VX Activex components

       

      Memiliki daftar 131 website untuk mendownload file b.jpg

      Bagle.AK yang dalam keadaan terkompresi ukurannya 5 KB ini juga memiliki Trojan Downloader yang setiap 6 jam sekali berusaha mendownload file ke 131 website yang telah ditentukan dalam codingnya, seperti trik yang digunakan oleh MyDoom.S file yang di download adalah file dengan ekstensi .jpg yang setelah di download akan dirubah ekstensinya untuk dijalankan. Jadi secara teknis Bagle.AK memiliki kemampuan untuk mengupgrade dirinya karena secara otomatis akan menjalankan file yang di download dan perintah apapun dapat dimasukkan ke dalam perintah tersebut dari yang tidak destruktif seperti melakukan spamming, Ddos sampai ke hal yang destruktif seperti menghancurkan file atau memformat harddisk.

      Menurut pengamatan Vaksincom, pada pukul 16.00, 1 September 2004 ke 131 website tersebut masih belum mengandung file yang dicari oleh Bagle.AK, sehingga tidak akan terjadi update. Tetapi karena setiap 6 jam sekali proses pengecekan akan dilakukan maka tidak tertutup kemungkinan file dengan nama b.jpg tersebut akan diuploadkan ke beberapa dari ke 131 daftar website tersebut sehingga proses update worm akan terjadi. Jika anda bertanya mengapa hanya beberapa website saja yang di update oleh pembuat worm, alasannya adalah untuk menghindari pelacakan oleh pihak berwenang. Selain itu, kemungkinan kedua adalah pembuat Bagle.AK ini melakukan "testing the water", untuk melihat bagaimana pemantauan yang dilakukan dan bagaimana kemungkinan serangan yang efektif di masa depan. Jadi para pengguna internet, bersiaplah untuk serangan berikut yang lebih canggih lagi di masa depan.

       

      Selain itu, Bagle.AK yang dapat menginfeksi Windows 95 / 98 / ME / NT / 2000 / XP dan 2003 ini juga melakukan Pe-Er nya yang lain seperti :

      1. Menghapus beberapa program sekuriti dan antivirus antara lain :
         

        ATUPDATER.EXE
        AUPDATE.EXE
        AUTOTRACE.EXE
        AUTOUPDATE.EXE
        FIREWALL.EXE
        ATUPDATER.EXE
        LUALL.EXE
        DRWEBUPW.EXE
        AUTODOWN.EXE
        NUPGRADE.EXE
        OUTPOST.EXE
        ICSSUPPNT.EXE
        ICSUPP95.EXE
        ESCANH95.EXE
        AVXQUAR.EXE
        ESCANHNT.EXE
        UPGRADER.EXE
        AVXQUAR.EXE
        AVWUPD32.EXE
        AVPUPD.EXE
        CFIAUDIT.EXE
        UPDATE.EXE
        NUPGRADE.EXE
        MCUPDATE.EXE

        Vaksincom menyarankan anda untuk berhati-hati atas aksi ini karena antivirus yang dilumpuhkan akan berakibat fatal, karena komputer anda akan terbuka terhadap serangan virus yang paling primitif sekalipun, namun berbahaya seperti CIH atau Magister.

      2. Mematikan Internet Connection Sharing dan Internet Connection Firewall pada windows 2000, Windows XP dan Windows 2003.
        Jika anda menggunakan program firewall lain seperti Norman Personal Firewall, Zonealarm atau Blackice akan terhindar dari aksi ini.

       

      Norman Virus Control dengan teknologi Sandbox secara proaktif tanpa memerlukan update dapat mengenali Bagle.AK sebagai W32/Malware. Namun kami tetap menyarankan para pelanggan Vaksincom untuk selalu mengupdate program antivirus anda agar selalu terlindung dari virus baru yang selalu bertambah setiap hari.

       

      salam,

      Alfons Tanujaya

      PT. Vaksincom

      Gedung Rifa lt. IV

      Prof. Dr. Satrio blok C4 / 6-7

      Jakarta 12950

      Telp : 62-21-526 -787 / 752

      http://www.vaksin.com

      Email : info@...

    Your message has been successfully submitted and would be delivered to recipients shortly.