Dear rekans,
Harap berhati2 dengan virus ini, karena aksinya akan menghapus data MS
Office setiap tanggal 3 tiap bulan.
Semoga bermanfaat.
MH
<mailto:W32/Small.kl@mm>
W32/Small.KL@mm 27 Januari 2006
Small.KL akan menghancurkan data MS Office anda
pada tanggal 3 Februari 2006
Alias: WORM_GREW.A [Trend Micro], W32/Nyxem-D
[Sophos], W32/MyWife.d@MM
[McAfee], Email-Worm.Win32.VB.bi [F-Secure],
W32/Small.KI@mm [Norman
SDP SKTB Sesal Dahulu Pendapatan, Sesal Kemudian
Tidak Berguna. Pepatah ini
kembali menunjukkan "khasiatnya" sehubungan
dengan serangan virus yang
sedang menyebar dengan luarbiasa di seluruh dunia
dan tingkat infeksinya di
Indonesia cukup tinggi, dimana menurut laporan yang diterima
Vaksincom
korban dari Small.KL ini mencapai ribuan PC yang
terinfeksi, mayoritas
adalah komputer yang terhubung ke jaringan baik di
korporat, sekolah maupun
Badan Pemerintah.Kalau anda tidak merasa
"terganggu" atau tidak terlalu
perduli meskipun jaringan komputer anda terinfeksi
virus dan menyebarkannya
ke seluruh alamat email yang berhasil dikumpulkan
oleh virus, paling hanya
bandwidth yang hilang atau memang budaya masa bodo
/ cuek sudah tertanam
dalam pada diri anda. Vaksincom mengingatkan bahwa
sebentar lagi anda akan
SKTB (menyesal) jika anda tidak segera membasmi
virus ini dan mengenyahkan
dari jaringan anda karena ia akan melakukan
aksinya "menghancurkan" file
penting anda dengan ekstensi *.doc, *.xls, *.mdb,
*.mde, *.ppt, *.pps,
*.zip, *.rar, *.pdf dan *.psd pada hari ke tiga
setiap bulan. Jadi Small.KL
akan menjalankan aksinya menghapus semua file yang
kami sebutkan di atas
pada tanggal 3 Februari 2006, 3 Maret 2006 dst.
Karena itu, biasakan diri
untuk secara teratur melakukan Back up atas data
penting anda dan simpan
pada media yang terpisah seperti CD rom / USB Drive atau Virtual Drive di
internet seperti Streamload atau Megaupload.
Setelah sekian lama pertempuran dunia maya
dimenangkan oleh virus lokal,
kembali jajaran pembuat virus mancanegara [red:non
lokal] unjuk gigi hal ini
dibuktikan dengan datangnya tamu tak diundang yang
berkunjung dengan
perantara email dengan message body maupun
subject yang menggoda [biasanya
berhubungan dengan XXX]
Keberadaan virus ini sudah berhasil di
identifikasi sekitar tangal 18
Januari 2006 oleh Norman, tetapi dengan kemampuannya yang dapat
menyebar
melalui email menyebabkan virus ini berhasil
mengglobal, virus ini juga
tergolong kategori "High Risk" karena
penyebarannya yang luar biasa.
Small.KL di buat dengan menggunakan program bahasa
"Visual Basic" dan di
kompresi dengan menggunakan UPX dengan ukuran file
sebesar 94 KB [setelah
file di extract] atau 131 KB [jika belum di
extract]. Jika Anda mengunakan
antivirus Norman Virus Contol, up-date tanggal 18
Januari 2006 sudah dapat
mengenali virus ini dengan baik. (lihat gambar 1)
Gambar 1, Norman Virus Control update tanggal 18
Januari 2006 sudah dapat
mengenali W32/Small.KL@mm dengan baik.
Small.KL akan datang dengan membawa lampiran
dengan nama ekstensi yang
jarang digunakan oleh beberapa virus lain.
Tujuannya adalah untuk
menghindari blocking lampiran yang biasa dilakukan
oleh mailserver terhadap
file virus seperti .exe, .com, .zip dst. Adapun
ekstensi lampiran yang
digunakan adalah sebagai berikut :
*
.b64
*
.BHx
*
.HQX
*
.mim
*
.uu
*
.UUE
* .XxE
Gambar 2, Contoh file virus [sebelum di extract]
Dan jika anda menggunakan Winzip, secara otomatis,
file tersebut akan dapat
dibuka dan dijalankan oleh Winzip jika dilakukan
klik ganda. Jika lampiran
tersebut dijalankan maka akan muncul satu file
dengan ekstensi tertentu,
misalnya .SCR atau .PIF dengan icon WINZIP, file
ini akan mempunyai kurang
lebih 38 spasi sebelum ekstensi. Untuk mengelabui
user dengan cerdik
Small.KL akan menyembunyikan ekstensi dengan
melakukan perubahan pada
registry editor sehingga user tidak dapat
membedakan bahwa sebenarnya file
tersebut adalah virus dan bukan sebuah file yang
dikompresi dengan
menggunakan WinZIP sehingga jika menjalanan
file tersebut maka secara tidak
langsung akan mengaktifkannya dengan
terlebih dahulu akan menampilkan
program Winzip kosong, lihat gambar dibawah ini
Gambar 3, Contoh file virus setelah diekstrak
Gambar 4, Tampilan setelah file hasil ekstrak
dijalankan
Setelah file tersebut dijalankan Small.KL akan
membuat satu file sesuai
dengan file virus yang dijalankan tadi, file
tersebut akan disimpan di
direktori [C:\%windows%\system32].
Contoh : jika file virus yang dijalankan adalah
Attachmments,ZIP [spasi].SCR
maka Small.KL akan membuat file di direktori
[C:\%Windows%\System32] dengan
nama Lampiran,ZIP [spasi].ZIP
Setelah Small.KL aktif, ia akan mencoba untuk
melakukan koneksi ke web site
webstats.web.rcn.net untuk memberitahu
"boss"nya IP komputer yang telah
terinfeksi.
Setiap virus akan membuat file induk untuk dijalankan
pertama kali,
begitupun dengan Small.KL dimana ia akan membuat
beberapa file yang akan
dijalankan, diantaranya:
* WINZIP_TMP.exe
* C:\
* Rundll16.exe
[hidden file] dan WINZIP_TMP.exe
* C:\Windows
* scanregw.exe [hidden
file], update.exe [hidden file], winzip.exe
[hidden file] dan sample.Zip
*
C:\Windows\System32
* Temp.htt [hidden
file], WinZip_Tmp.exe [hidden file] dan desktop.ini
[hidden file]
o
C:\Document and settings
o
C:\Documents and Settings\Administrator\
o
C:\Documents and Settings\Administrator\Start Menu
o
C:\Documents and Settings\Administrator\Start Menu\Programs\,
o
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
o
C:\Documents and Settings\All Users\Start Menu
o
C:\Documents and Settings\All Users\Start Menu\Programs
o
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Small.KL juga akan membuat beberapa file [acak]
dan "biasanya" file yang
akan dibuat ini akan diambil secara acak sesui
dengan nama file atau folder
yang terdapat pada komputer yang terinfeksi, file
ini akan dibuat pada
setiap folder yang dishare dikomputer yang
terinfeksi virus, file tersebut
mempunyai ciri-ciri
* Icon disamarkan
[icon Winzip]
* Ukuran file 94 KB
* Ekstensi EXE
* Type file
"Application"
Gambar 5, Contoh file yang dibuat pada share
folder
Sebagai penunjang agar virus dapat dijalankan
setiap kali komputer
dinyalakan Small.KL akan membuat string pada
regsitry
* ScanRegistry =
"scanregw.exe /scan"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Selain membuat registry diatas Small.KL secara
cerdik akan membaut satu buah
file pada menu startup dengan nama file WINZIP
QUICK PICK.EXE sehingga file
ini juga akan langsung dijalanakan begitu komputer
dinyalakan, tapi ini
dilakukan hanya jika system komputer yang
terinfeksi menggunaakn windows
2000/XP/2003.
Small.KL juga akan mencoba untuk melakukan
perubahan pada registry berikut
*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet
Explorer\Main\NotifyDownloadComplete="7562617"
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\UNCAsIntranet="1"
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\ProxyBypass="1"
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\IntranetName="1"
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advance
d\WebView="0"
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advance
d\ShowSuperHidden="0"
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Cabinet
State\FullPath="0"
*
HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ License
Hal ini dimaksudkan untuk disable automatic update
pada Windows XP Service
Pack 2
Menyebar melalui Network Share dan Email
Untuk menyebarkan dirinya virus membutuhkan media
yang dapat digunakan, kali
ini Small.KL akan menggunakan beberapa media
penyebaran yang dianggap mudah
dan sering digunakan oleh user diantaranya
menyebar malalui network share
dimana Small.KL akan berusaha untuk copy file ke
dalam komputer dengan
default share diaktifkan yaitu,
* Admin$
* WINZIP_TMP.exe
* C$
* WINZIP_TMP.exe
* C$\Documents and
Settings\All Users\Start Menu\Programs\Startup
* WinZip Quick
Pick.exe
Selain dapat menyebar melalui jaringan dengan
memanfaatkan Default Share,
Small.KL juga akan menyebar melalui email dengan
terlebih dahulu akan
memcoba untuk mengambil alamat email dari setiap
file yang mempunyai
ekstensi
* .htm
* .dbx
* .eml
* .msg
* .oft
* .nws
* .vcf
* .mbx
* .imh
* .txt
* .msf
*
.dmp
.. CONTENT.
*
TEMPORARY
Setiap email yang dikirimkan akan mempunyai
ciri-ciri dibawah ini
* From
<dipalsukan>
* Subject
* Re: Sex Video
* Re:
* Fw: Picturs
* Fw: Funny :)
* Fwd: Photo
* Fwd: image.jpg
* Fw: Sexy
* Fw:
* Fw: SeX.mpg
* Fwd: Crazy illegal
Sex!
* Fw: DSC-00465.jpg
* eBook.pdf
* Hello
* Fw: Real show
* the file
* Word file
* *Hot Movie*
* A Great Video
* Fw: Picturs
* give me a kiss
* Miss Lebanon 2006
* My photos
* Part 1 of 6 Video
clipe
* Photos
* School girl
fantasies gone bad
..
Message
o
>> forwarded message
o
forwarded message attached.
o Fuckin
Kama Sutra pics
o hello,
o Helloi
attached the details.
o Hot
XXX Yahoo Groups
o how
are you?
o i just
any one see my photos.
o i send
the details.
o i send
the file.
o It's
Free :)
o Note:
forwarded message attached. You Must View This Videoclip!
o Please
see the file.
o Re:
Sex Video
o ready
to be FUCKED ;)
o Thank
you
o The
Best Videoclip Ever
o the
file i send the details
o
VIDEOS! FREE! (US$ 0,00)
o What?
Dari message tersebut terdapat kurang lebih 3
[tiga] buah gambar kosong
[tidak terdapat gambar] dengan nama
..
DSC-00465.jpg, DSC-00466.jpg dan DSC-00467.jpg
Atau
..
Photo, photo2 dan photo3
..
Lampiran
o
007.pif
o
392315089702606E-02,.scR
o
677.pif
o
Adults_9,zip.sCR
o
ATT01.zip.sCR
o
Lampirans[001],B64.sCr
o
Clipe,zip.sCr
o
document.pif
o
DSC-00465.Pif
o
DSC-00465.pIf
o
eBook.PIF
o
image04.pif
o New
Video,zip
o
New_Document_file.pif
o
photo.pif
o
Photos,zip.sCR
o
School.pif
o
SeX,zip.scR
o
Sex.mim
o
Video_part.mim
o
WinZip,zip.scR
o
WinZip.BHX
o
WinZip.zip.sCR
o Word
XP.zip.sCR
o Word.zip.sCR
Tetapi, Small.KL akan mencoba untuk tidak
mengirimkan dirinya ke alamat
email yang mengandung string
o
@YAHOOGROUPS
o
BLOCKSENDER
o SCRIBE
o
YAHOOGROUPS
o TREND
o PANDA
o SECUR
o SPAM
o ANTI
o CILLIN
o CA.COM
o AVG
o
GROUPS.MSN
o
NOMAIL.YAHOO.COM
o EEYE
o
MICROSOFT
o
HOTMAIL
o MSN
o MYWAY
Melumpuhkan Program Sekuriti
Agar Small.KL dapat menjalankan misinya ia akan
menghapus beberapa string
value pada registy, hal ini dimaksudkan agar file
tersebut tidak dijalankan
o
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
o
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
o
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
o
PCCIOMON.exe
o
pccguide.exe
o
Pop3trap.exe
o PccPfw
o
Tmproxy
o
McAfeeVirusScanService
o NAV
Agent
o
PCCClient.exe
o
SSDPSRV
o
rtvscn95
o
defwatch
o vptray
o
ScanInicio
o
APVXDWIN
o
KAVPersonal50
o TM
Outbreak Agent
o
AVG7_Run
o AVG_CC
o
Avgserv9.exe
o AVGW
o
AVG7_CC
o
AVG7_EMC
o Vet
Alert
o
VetTray
o
OfficeScanNT Monitor
o avast!
o
DownloadAccelerator
o
BearShare
o
Kaspersky
Selain itu Small.KL juga akan mencoba untuk
menghapus file dengan ekstensi
..EXE dan .DLL pada program antivirus hal ini
dimaksudkan agar antivirus
tersebut tidak dapat berfungsi dengan baik,
seperti
o
%Program Files%\Alwil Software\Avast4
o
%Program Files%\BearShare
o
%Program Files%\DAP
o
%Program Files%\Grisoft\AVG7
o
%Program Files%\Kaspersky Lab\Kaspersky Anti-Virus Personal
o
%Program Files%\McAfee.com\Agent
o
%Program Files%\McAfee.com\shared
o
%Program Files%\McAfee.com\VSO
o
%Program Files%\Morpheus
o
%Program Files%\NavNT
o
%Program Files%\Norton AntiVirus
o
%Program Files%\Symantec\Common Files\Symantec Shared
o
%Program Files%\Symantec\LiveUpdate
o
%Program Files%\Trend Micro\Internet Security
o
%Program Files%\Trend Micro\OfficeScan
o
%Program Files%\Trend Micro\OfficeScan Client
o
%Program Files%\Trend Micro\PC-cillin 2002
o
%Program Files%\Trend Micro\PC-cillin 2003
Disamping itu Small.KL juga akan menghapus file
pada komputer yang terhubung
ke jaringan dengan memanfaatkan Default Share
Windows
o
\C$\Program Files\Norton AntiVirus
o
\C$\Program Files\Common Files\symantec shared
o
\C$\Program Files\Symantec\LiveUpdate
o
\C$\Program Files\McAfee.com\VSO
o
\C$\Program Files\McAfee.com\Agent
o
\C$\Program Files\McAfee.com\shared
o
\C$\Program Files\Trend Micro\PC-cillin 2002
o
\C$\Program Files\Trend Micro\PC-cillin 2003
o
\C$\Program Files\Trend Micro\Internet Security
o
\C$\Program Files\NavNT
o
\C$\Program Files\Panda Software\Panda Antivirus Platinum
o
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
o
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
o
\C$\Program Files\Panda Software\Panda Antivirus 6.0
o
\C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus
Tidak hanya itu saja Small.KL juga akan mencoba
untuk mematikan/terminate
suatu program yang mempunyai string
o FIX
o
KASPERSKY
o MCAFEE
o NORTON
o
REMOVAL
o SCAN
o
SYMANTEC
o TREND
MICRO
o VIRUS
Jika Anda menggunakan antivirus Norman Virus
Control, walaupun Small.KL
mencoba untuk mematikan proses dari antivirus
tersebut tetapi gagal sehingga
n antivirus Norman Virus Control tetap dapat
digunakan.
Gambar 6, Small.KL berusaha untuk mematikan
antivirus Norman Virus Control
Sebagai tambahan Small.KL juga akan mencoba untuk
disable "keyboard" dan
"mouse" sehingga kedua device tersebut
tidak dapat digunakan selain itu jika
anda mencoba untuk membuat email baru [New
Message] Small.KL akan langsung
menutup lembar pesan/email terbebut sehingga anda
akan kesulitan untuk
mengirimkan email, untuk program Outlooks express
itu sendiri masih dapat
digunakan [tidak di matikan], pada saat Small.KL
akan menutup lembar email
yang akan dibuat ia akan menampilkan pesan
berikut: (Gambar 7)
Gabmar 7, Pesan yang ditampilkan Small.KL setelah
menutup email
Overwite File
Setiap hari ke 3 pada tiap bulannya, kurang
lebih setelah 30 menit virus
tersebut aktif , ia akan mencoba untuk
menulis ulang semua file yang
mempunyai ext. Dibawah ini dengan menambahkan text
DATA Error [47 0F 94 93
F4 K5]":
*
DOC
*
XLS
*
MDB
*
MDE
*
PPT
*
PPS
*
ZIP
*
RAR
*
PDF
*
PSD
*
DMP
Smal.ki juga akan menambahkan icon di stray menu
dengan menampilkan pesan
"Update Please wait" icon ini muncul
jika menggunakan antivirus :
*
Norton Antivirus
*
Kaspersky Lab
*
Panda Software
Cara membersihkan W32/Small.KI
1. Disconnect
komputer dari jaringan [sebaiknya lakukan pembesrihan
memalui mode safe mode"
2. Jika menggunakan
windows ME/XP, matikan [system restore] selama
proses pembersihan
3. Matikan proses
dari virus tersebut anda dapat menggunakan Task
manager, matikan 2 proses dari virus tersebut
yaitu
a. update.exe
b. winzip.exe
4. Hapus regsitry
key yang diubah oleh virus
a.
ScanRegistry = "scanregw.exe /scan"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
b. Ubah string
ShowSuperHidden dengan value 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advance
d
c. Ubah string
WebView dengan value 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advance
d
d. Ubah string
FullPatch dengan value 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Cabinet
State
e. Ubah string
UNCAsIntranet dengan value 0
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\ZoneMap
5. Hapus File yang
dibuat oleh virus
* WINZIP_TMP.exe
* C:\
* Rundll16.exe
[hidden file] dan WINZIP_TMP.exe
* C:\Windows
* scanregw.exe
[hidden file], update.exe [hidden file], winzip.exe
[hidden file] dan sample.Zip
*
C:\Windows\System32
* Temp.htt [hidden
file] dan WinZip_Tmp.exe [hidden file]
* C:\Document and
settings
* C:\Documents and
Settings\Administrator\
* C:\Documents and
Settings\Administrator\Start Menu
* C:\Documents and
Settings\Administrator\Start Menu\Programs\,
* C:\Documents and
Settings\Administrator\Start Menu\Programs\Startup
* C:\Documents and
Settings\All Users\Start Menu
* C:\Documents and
Settings\All Users\Start Menu\Programs
* C:\Documents and
Settings\All Users\Start Menu\Programs\Startup
6. Hapus juga file
yang dibuat pada setiap folder yang dishare dengan
ciri-ciri
o Icon
disamarkan [icon Winzip]
o Ukuran
file 94 KB
o
Ekstensi EXE
o Type
file "Application"
7. Untuk pembersihan
lebih optimal gunakan antivirus dengan up-date
terbaru
8. Sangat disarankan
untuk menginstall "antivirus for mail server"
[jika Anda mempunyai mail server] atau menginstall
antivirus yang mempunyai
kemampuan untuk scanning email sebelum email
tersebut dikirim atau diterima
dan jangan sembarangan dalam membuka lampiran yang
telah disebutkan diatas.
(AJT)
Sumber: Vaksincom
