Loading ...
Sorry, an error occurred while loading the content.

Resiko Tinggi !! Bagle.AQ dan AR. Hati-hati dengan lampiran .cpl (Control Panel)

Expand Messages
  • Vaksincom
    W32/Bagle.AQ - Bagle.AR@mm 30 Oktober 2004 Hati-hati dengan attachment .cpl Setelah cukup lama tidak membuat kehebohan, pembuat Bagle kembali
    Message 1 of 1 , Oct 30, 2004
    View Source
    • 0 Attachment

      W32/Bagle.AQ - Bagle.AR@mm              30 Oktober 2004

      Hati-hati dengan attachment .cpl

       

             Setelah cukup lama tidak membuat kehebohan, pembuat Bagle kembali menjalankan aksinya dengan menyebarkan varian baru pada hari Jum'at, 29 Oktober 2004. Hari Jum'at merupakan waktu favorit bagi pembuat virus untuk menyebarkan "ciptaannya" karena merupakan awal weekend, sehingga virus mempunyai waktu yang cukup panjang untuk menyebarkan dirinya (khususnya melalui komputer yang menyala terus dan terhubung menggunakan broadband) dan akan mendapatkan dampak maksimal penyebarannya pada saat semua orang mulai bekerja pada hari Senin. Virus ini menyebar tidak memanfaatkan lampiran .zip tetapi memanfaatkan 4 lampiran salah satunya adalah .cpl yang kemungkinan besar akan diloloskan dari lampiran yang diblok mailserver. Karena itu harap anda berhati-hati khususnya jika menerima email dengan lampiran .cpl (Control Panel).

       

      Detail email

      Email yang mengandung Bagle.AQ dan AR akan datang dengan alamat pengirim yang dipalsukan, sehingga kami tidak menyarankan anda untuk mengabaikan alamat pengirim email tersebut. Selain itu, anda juga akan mengalami kesulitan mengenali virus ini dari ukurannya karena sangat bervariasi. Yang perlu anda perhatikan adalah Subjek, Isi email dan lampiran. Karena variasinya sedikit, anda dapat mengenali email Bagle ini sebagai berikut (lihat gambar 1) :

      Gambar 1. Contoh Virus Bagle.AQ / AR

      Nama Pengirim / From  : Dipalsukan

      Ukuran Lam

       

      Subjek :

      Re:
      Re: Hello
      Re: Thank you!
      Re: Thanks :)
      Re: Hi

      Isi Email :

      :)
      :))

      Lampiran :

      Price
      price
      Joke

      dengan ekstensi :

      .exe
      .scr
      .com
      .cpl

      Yang perlu diperhatikan adalah lampiran yang datang dalam format .cpl, karena kemungkinan besar lampiran dalam format .exe, .scr dan .com sudah diblok oleh administrator di mailserver. .cpl adalah file untuk komponen sistem windows Control Panel (lihat gambar 2).

      Gambar 2, Control Panel Windows

      Menyebarkan diri melalui Sharing

      Satu hal yang sangat cerdik dimanfaatkan oleh Netsky dan Bagle dalam menyebarkan dirinya melalui jaringan / Peer to Peer adalah dengan mengkopikan dirinya ke semua direktori yang mengandung nama "shar". Kami katakan cerdik karena pembuat virus tidak perlu memeras otaknya untuk mengirimkan virus ke komputer lain di jaringan seperti Opaserv, tetapi cukup mengkopikan diri ke direktori yang selalu digunakan untuk sharing dalam jaringan dan dan digunakan oleh aplikasi Peer to Peer yang sangat populer. Direktori lokal yang mengandung kata "shar" tersebut antara lain "Shared", "Microsoft Shared", "Shared Dir" atau "AVP Shared".

      Sedangkan program Peer to Peer yang menggunakan kata "shar" dalam direktorynya antara lain Kazaa dan Morpheus dengan nama "My Shared Folder".

      Untuk menarik perhatian orang menjalanak dirinya, Bagle.AQ memberikan nama yang menarik pada file yang mengandung virus dan diletakkan pada folder yang kami sebutkan di atas. Adapun nama file tersebut adalah sebagai berikut :

      ACDSee 9.exe
      Adobe Photoshop 9 full.exe
      Ahead Nero 7.exe
      KAV 5.0
      Kaspersky Antivirus 5.0
      Matrix 3 Revolution English Subtitles.exe
      Microsoft Office 2003 Crack, Working!.exe
      Microsoft Office XP working Crack, Keygen.exe
      Microsoft Windows XP, WinXP Crack, working Keygen.exe
      Opera 8 New!.exe
      Porno Screensaver.scr
      Porno pics arhive, xxx.exe
      Porno, sex, oral, anal cool, awesome!!.exe
      Serials.txt.exe
      WinAmp 5 Pro Keygen Crack Update.exe
      WinAmp 6 New!.exe
      Windown Longhorn Beta Leak.exe
      Windows Sourcecode update.doc.exe
      XXX hardcore images.exe

      Melumpuhkan program sekuriti dan membuka port TCP 81.

      Aksi Bagle.AQ yang cukup berbahaya adalah ia akan berusaha melumpuhkan beberapa program sekuriti seperti Zone Labs, Panda, Norton Antivirus, Kaspersky, TinyAV dan SkynetRevenge (virus Netsky) dengan cara menghapus string aplikasi dari registri. Selain itu, proses aplikasi yang sedang berjalan seperti :

      APVXDWIN.EXE
      ATUPDATER.EXE
      AUPDATE.EXE
      AUTODOWN.EXE
      AUTOTRACE.EXE
      AUTOUPDATE.EXE
      AVENGINE.EXE
      AVPUPD.EXE
      AVWUPD32.EXE
      AVXQUAR.EXE
      Avconsol.exe
      Avsynmgr.exe
      CFIAUDIT.EXE
      DRWEBUPW.EXE
      DefWatch.exe
      ESCANH95.EXE
      ESCANHNT.EXE
      FIREWALL.EXE
      FrameworkService.exe
      ICSSUPPNT.EXE
      ICSUPP95.EXE
      LUALL.EXE
      LUCOMS~1.EXE
      MCUPDATE.EXE
      NISUM.EXE
      NPROTECT.EXE
      NUPGRADE.EXE
      OUTPOST.EXE
      PavFires.exe
      Rtvscan.exe
      RuLaunch.exe
      SAVScan.exe
      SHSTAT.EXE
      SNDSrvc.exe
      UPDATE.EXE
      UpdaterUI.exe
      VsStat.exe
      VsTskMgr.exe
      Vshwin32.exe
      alogserv.exe
      blackd.exe
      ccApp.exe
      ccEvtMgr.exe
      ccProxy.exe
      ccPxySvc.exe
      mcagent.exe
      mcshield.exe
      mcvsescn.exe
      mcvsrte.exe
      mcvsshld.exe
      navapsvc.exe
      navapw32.exe
      nopdb.exe
      pavProxy.exe
      pavsrv50.exe
      symlcsvc.exe

      juga akan dimatikan. Bagle.AQ juga akan membuka port TCP 81 untuk mengaktifkan backdoor. Pada varian Bagle yang sebelumnya, pembukaan port ini dimanfaatkan oleh pembuat Bagle untuk menyebarkan vairan yang berikutnya dan terkadang mengambil alih komputer yang terinfeksi virus dan menggunakannya untuk kegiatan spamming (spam server).

       

      Berusaha mendownload file G.jpg

      Ada aktivitas menarik dari Bagle.AQ dimana ia akan berusaha mendownload file jpg dari 146 website. Pada saat pembuatan artikel ini, ke 146 link website tersebut tidak aktif. Jik pada varian sebelumnya kegiatan download file ini digunakan untuk mengupdate dirinya (seperti antivirus) maka dikhawatirkan jika website tersebut aktif, maka Bagle.AQ memiliki kemampuan mengupdate dirinya.

       

      Apa Beda Bagle.AQ dan AR

      Bagle.AQ dan AR ini sama 99 %, perbedaannya adalah pada saat proses infeksi ke komputer korban, Bagle.AR akan berusaha menghapus virus Netsky pada komputer yang terinfeksi. Seperti kita ketahui, pembuat Bagle dan Netsky saling menyerang dan melumpuhkan dan pertempuran dimenangkan oleh Netsky yang mampu menyebarkan dirinya secara luarbiasa dan mengakibatkan lebih dari 50 % bandwidth email mengandung virus Netsky. Namun dengan tertangkapnya pembuat Netsky, otomatis tidak ada lagi yang membasmi Bagle dan jika hal ini berjalan terus siperkirakan dlaam waktu yang tidak terlalu lama virus Bagle yang akan merajai dalam Top 10 virus dunia.

       

      Infeksi Bagle di Indonesia dan penaggulangannya

      Satu hal yang cukup mengkhawatirkan adalah kecepatan penyebaran virus kini sudah sampai pada tingkat yang sangat tinggi. Menurut pemantauan Vaksincom, sample pertama Bagle,AQ dihentikan oleh MessageLabs pada tanggal 29 Oktober 2004 Pukul 07.00 GMT http://messagelabs.com/news/virusnews/detail/default.asp?contentItemId=1198&region=. Yang mengejutkan adalah virus Bagle.AQ yang pertama idterima oleh Vaksincom pada tanggal 29 Oktober 2004 Pukul 10.00 GMT atau hanya berselang 3 jam dari saat Bagle pertama kali terdeteksi. PT. Vaksincom menyarankan anda untuk selalu mengupdate program antivirus anda secara disiplin setiap hari, instal aplikasi tambahan yang diperlukan seperti anti Adware / anti Spyware karena > 95 % komputer yang terkoneksi ke internet pasti terinfeksi spyware dan jangan lupa update selalu patch dan security pack pada seluruh OS komputer pada jaringan anda. Jika anda mengalami kesulitan dan membutuhkan tenaga profesional untuk menghadapi semua masalah virus anda, PT. Vaksincom di Jakarta dan perwakilannya di Bandung, Jogjakarta, Surabaya, Kediri, Solo, Medan, Palembang, Samarinda, Denpasar dan Makasar siap memberikan layanan profesional untuk melindungi jaringan perusahaan anda dari ancamana virus. Setiap pembelian antivirus Norman Virus control for Corporate dari PT. Vaksincom sudah termasuk Instalasi ke setiap komputer, pembersihan virus dan patching OS, kunjungan rutin setiap bulan dan support on site unlimited tanpa biaya tambahan (GRATIS).

       

      salam,

      Alfons Tanujaya (AAT)

      PT. Vaksincom

      Gedung Rifa lt. IV

      Prof. Dr. Satrio blok C4 / 6-7

      Jakarta 12950

      Telp : 62-21-526 -787 / 752

      http://www.vaksin.com

      Email : info@...

       

    Your message has been successfully submitted and would be delivered to recipients shortly.