OOT: Resiko Tinggi!! Virus BlackMal.E/ Grew.A/ Nyxem.D/ MyWife.D/ Vb.Bi/ Small.KL

?lt;/FONT>
Bersama ini diberitahukan, bahwa saat ini telah muncul sebuah virus jenis baru bernama:

Win32.Blackmal.F [Nama yang diberikan oleh Computer Associates]
?lt;/FONT>
Beberapa vendor lain memberikan nama yang berbeda-beda, diantaranya:

1. Win32.Nyxem.e [F-Secure] dan [Kaspersky]
2. W32/MyWife.d@MM [McAfee]
3. Win32/Mywife.E@mm [Microsoft]
4. W32/Small.KI@mm [Norman]
5. Tearec.A [Panda Software]
6. W32/Nyxem-D [Sophos]
7. WORM_GREW.{A, B} [Trend Micro]
8. CME-24 [Generic Name]
?lt;/FONT>
Virus ini termasuk dalam RESIKO TINGGI, karena akan MENGHAPUS total semua file Microsoft Office, PDF dan PhotoShop pada tanggal 3 setiap bulannya. Bom waktu pertama dimulai pada tanggal 3 Februari 2006, Jum'at besok hari. File-file yang akan dihapus oleh virus ini diantaranya yang memiliki extension:

?lt;/FONT>
*.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.zip, *.rar, *.pdf?dan *.psd

Apabila anda terinfeksi virus ini, anda dapat mengikuti langkah-langkah sebagai berikut:

1. Disconnect komputer dari jaringan [sebaiknya lakukan pembersihan melalui mode safe mode].
2. Jika menggunakan Windows XP, matikan [system restore] selama proses pembersihan.
3. bersihkan dengan Virus removal tools :

Independent_Removal_Tool\Win32.Wife.E-> nama file: FixBmalE.exe
4.      Setelah itu, segera update antivirus anda, hubungi team Internal Helpdesk Support apabila anda membutuhkan bantuan terhadap virus ini.

?lt;/FONT>
Informasi teknis virus ini bisa anda baca pada keterangan dibawah ini:?lt;/FONT>

E-mail yang dikirimkan virus ini, memiliki extension yang sangat jarang digunakan oleh virus lain, tujuannya untuk mengelabui blocking attachment oleh mail server terhadap virus ataupun oleh mail client itu sendiri (Outlook). Extension dari attachment yang dikirimkan oleh virus tersebut adalah berupa:

?lt;/FONT>
 *.b64
 *.BHx
 *.HQX
 *.mim
 *.uu
 *.UUE
 *.XxE
?lt;/FONT>
Berikut adalah contoh attachment berekstension HQX.

?lt;FONT FACE=="Arial" SIZE==2 COLOR=="#000000">
?lt;/FONT>
Apabila attachment tersebut dieksekusi, virus akan menjalankan Winzip dan akan membuat file seperti *.SCR atau *.PIF dengan icon WINZIP, dimana pada akhir nama file akan ditambah spasi sebanyak 38 spasi. Virus juga akan menyembunyikan ekstensi file dengan merubah komponen registry Windows. Lihat gambar dibawah:

?lt;/FONT>

?lt;/FONT>
Apabila file tersebut dieksekusi, maka virus akan menjalan winzip untuk menipu kita, bahwa seolah-olah file tersebut adalah benar-benar file winzip.

Virus akan membuat salinan diri di folder [C:\%Windows%\System32], setelah itu virus akan mencoba menghubungi website webstats.web.rcn.net untuk memberitahu induknya bahwa sebuah komputer telah terinfeksi.

?lt;/FONT>
Di dalam komputer yang terinfeksi, virus juga akan membuat file-file induk sebagai pusat infeksi, diantaranya:
?lt;/FONT>
1. File WINZIP_TMP di folder C:\
?lt;/FONT>
2. File Rundll16.exe [hidden] dan WINZIP_TMP di folder C:\Windows
?lt;/FONT>
3. File scanregw [hidden], update.exe [hidden], winzip.exe [hidden] dan Sample.Zip di folder C:\Windows\System32
?lt;/FONT>
4. Temp.htt [hidden], Winzip_Tmp [hidden] dan desktop.ini [hidden] di folder:
- C:\Document and settings
- C:\Documents and Settings\Administrator\
- C:\Documents and Settings\Administrator\Start Menu
- C:\Documents and Settings\Administrator\Start Menu\Programs\,
- C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
- C:\Documents and Settings\All Users\Start Menu
- C:\Documents and Settings\All Users\Start Menu\Programs
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup
?lt;/FONT>
Selain itu, virus ini akan membuat beberapa file acak yang disamarkan dari nama file atau folder di komputer anda, terutama yang di share. Ciri-ciri file tersebut adalah:

- Icon disamarkan [icon Winzip]
- Ukuran file 94 KB
- Ekstensi EXE
- Type file “Application”
?lt;/FONT>
Virus juga akan memodifikasi registry dengan membuat string
?lt;/FONT>
ScanRegistry == "scanregw.exe /scan"  pada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
?lt;/FONT>
Pada setiap startup folder di Windows 2000/XP/2003, virus ini akan memasukkan file bernama WINZIP QUICK PICK.EXE.
Masih pada registry, virus akan membuat perubahan pada bagian sebagai berikut:
?lt;/FONT>
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\NotifyDownloadComplete=="7562617"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet=="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass=="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName=="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advanced\WebView=="0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advanced\ShowSuperHidden=="0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\FullPath=="0"
HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ License
?lt;/FONT>
Key diatas bertujuan untuk mematikan automatic update pada Windows XP.
?
TEKNIK PENYEBARAN
Pada komputer yang terinfeksi, virus akan melakukan pencarian alamat e-mail dari setiap file yang memiliki ekstension:
?lt;/FONT>
.htm
.dbx
.eml
.msg
.oft
.nws
.vcf
.mbx
.imh
.txt
.msf
·dmp
·CONTENT.
·TEMPORARY?lt;/FONT>
?lt;/FONT>
E-mail yang dikirimkan oleh virus akan memiliki ciri-ciri sebagai berikut:
?lt;/FONT>
From : <dipalsukan>
Subject?

Re: Sex Video
Re:
Fw: Picturs
Fw: Funny :)
Fwd: Photo
Fwd: image.jpg
Fw: Sexy
Fw:
Fw: SeX.mpg
Fwd: Crazy illegal Sex!
Fw: DSC-00465.jpg
eBook.pdf
Hello
Fw: Real show
the file
Word file
*Hot Movie*
A Great Video
Fw: Picturs
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
School girl fantasies gone bad

Message Body:

?lt;/FONT>>> forwarded message
?lt;/FONT>forwarded message attached.
?lt;/FONT>Fuckin Kama Sutra pics
?lt;/FONT>hello,
?lt;/FONT>Helloi attached the details.
?lt;/FONT>Hot XXX Yahoo Groups
?lt;/FONT>how are you?
?lt;/FONT>i just any one see my photos.
?lt;/FONT>i send the details.
?lt;/FONT>i send the file.
?lt;/FONT>It's Free :)
?lt;/FONT>Note: forwarded message attached. You Must View This Videoclip!
?lt;/FONT>Please see the file.
?lt;/FONT>Re: Sex Video
?lt;/FONT>ready to be FUCKED ;)
?lt;/FONT>Thank you
?lt;/FONT>The Best Videoclip Ever
?lt;/FONT>the file i send the details
?lt;/FONT>VIDEOS! FREE! (US$ 0,00)
?lt;/FONT>What?

?lt;/FONT>
Dari message tersebut terdapat kurang lebih 3 [tiga] buah?gambar kosong [tidak terdapat gambar] dengan nama:
?lt;/FONT>

DSC-00465.jpg, DSC-00466.jpg dan DSC-00467.jpg

?lt;/FONT>
Atau
?lt;/FONT>

Photo, photo2 dan photo3

Attachment mail:

007.pif
392315089702606E-02,.scR
677.pif
Adults_9,zip.sCR
ATT01.zip.sCR
Lampirans[001],B64.sCr
Clipe,zip.sCr
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.PIF
image04.pif
New Video,zip
New_Document_file.pif
photo.pif
Photos,zip.sCR
School.pif
SeX,zip.scR
Sex.mim
Video_part.mim
WinZip,zip.scR
WinZip.BHX
WinZip.zip.sCR
Word XP.zip.sCR
Word.zip.sCR

Tetapi, Blackmal akan mencoba untuk TIDAK mengirimkan dirinya ke  alamat email yang  mengandung string:

@YAHOOGROUPS
BLOCKSENDER
SCRIBE
YAHOOGROUPS
TREND
PANDA
SECUR
SPAM
ANTI
CILLIN
CA.COM
AVG
GROUPS.MSN
NOMAIL.YAHOO.COM
EEYE
MICROSOFT
HOTMAIL
MSN
MYWAY

Melumpuhkan Program Sekuriti
Agar BlackMal dapat menjalankan misinya ia akan menghapus beberapa string value pada registy, hal ini dimaksudkan agar file tersebut tidak dijalankan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
Tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
DownloadAccelerator
BearShare
Kaspersky

Selain itu BlackMal  juga akan mencoba untuk menghapus file dengan ekstensi .EXE dan .DLL pada program antivirus hal ini dimaksudkan agar antivirus tersebut tidak dapat berfungsi dengan baik, seperti

o????lt;/FONT> %Program Files%\Alwil Software\Avast4
o????lt;/FONT> %Program Files%\BearShare
o????lt;/FONT> %Program Files%\DAP
o????lt;/FONT> %Program Files%\Grisoft\AVG7
o????lt;/FONT> %Program Files%\Kaspersky Lab\Kaspersky Anti-Virus Personal
o????lt;/FONT> %Program Files%\McAfee.com\Agent
o????lt;/FONT> %Program Files%\McAfee.com\shared
o????lt;/FONT> %Program Files%\McAfee.com\VSO
o????lt;/FONT> %Program Files%\Morpheus
o????lt;/FONT> %Program Files%\NavNT
o????lt;/FONT> %Program Files%\Norton AntiVirus
o????lt;/FONT> %Program Files%\Symantec\Common Files\Symantec Shared
o????lt;/FONT> %Program Files%\Symantec\LiveUpdate
o????lt;/FONT> %Program Files%\Trend Micro\Internet Security
o????lt;/FONT> %Program Files%\Trend Micro\OfficeScan
o????lt;/FONT> %Program Files%\Trend Micro\OfficeScan Client
o????lt;/FONT> %Program Files%\Trend Micro\PC-cillin 2002
o????lt;/FONT> %Program Files%\Trend Micro\PC-cillin 2003

Disamping itu BlackMal juga akan menghapus file pada komputer yang terhubung ke jaringan dengan memanfaatkan Default Share Windows

o????lt;/FONT> \C$\Program Files\Norton AntiVirus
o????lt;/FONT> \C$\Program Files\Common Files\symantec shared
o????lt;/FONT> \C$\Program Files\Symantec\LiveUpdate
o????lt;/FONT> \C$\Program Files\McAfee.com\VSO
o????lt;/FONT> \C$\Program Files\McAfee.com\Agent
o????lt;/FONT> \C$\Program Files\McAfee.com\shared
o????lt;/FONT> \C$\Program Files\Trend Micro\PC-cillin 2002
o????lt;/FONT> \C$\Program Files\Trend Micro\PC-cillin 2003
o????lt;/FONT> \C$\Program Files\Trend Micro\Internet Security
o????lt;/FONT> \C$\Program Files\NavNT
o????lt;/FONT> \C$\Program Files\Panda Software\Panda Antivirus Platinum
o????lt;/FONT> \C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
o????lt;/FONT> \C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
o????lt;/FONT> \C$\Program Files\Panda Software\Panda Antivirus 6.0
o????lt;/FONT> \C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus

Tidak hanya itu saja BlackMal  juga akan mencoba untuk mematikan/terminate suatu program yang mempunyai string

o????FIX
o????KASPERSKY
o????MCAFEE
o????NORTON
o????REMOVAL
o????SCAN
o????SYMANTEC
o????TREND MICRO
o????VIRUS

Sebagai tambahan BlackMal  juga akan mencoba untuk disable “keyboard” dan “mouse” sehingga kedua device tersebut tidak dapat digunakan selain itu jika anda mencoba untuk membuat email baru [New Message].

Overwite File
Setiap hari ke 3?pada tiap bulannya, kurang lebih setelah 30 menit virus tersebut aktif , ia  akan mencoba untuk menulis ulang semua file yang mempunyai ext. Dibawah ini dengan menambahkan text DATA Error [47 0F 94 93 F4 K5]":

DOC
XLS
MDB
MDE
PPT
PPS
ZIP
RAR
PDF
PSD
DMP

BlackMal juga akan menambahkan icon di stray menu dengan menampilkan pesan “Update Please wait" icon ini muncul jika menggunakan antivirus :

Norton Antivirus
Kaspersky Lab
Panda Software

Best Regards,
MIS DEPT

.: Forum Diskusi Budaya Tionghua dan Sejarah Tiongkok :.

.: Kunjungi website global : http://www.budaya-tionghoa.org :.

.: Untuk bergabung : http://groups.yahoo.com/group/budaya_tionghua :.

.: Jaringan pertemanan Friendster : budaya_tionghua-/E1597aS9LQAvxtiuMwx3w@xxxxxxxxxxxxxxxx :.

SPONSORED LINKS

Indonesia

Culture

Chinese

---

YAHOO! GROUPS LINKS

•  Visit your group "budaya_tionghua" on the web.
   
•  To unsubscribe from this group, send an email to:
   budaya_tionghua-unsubscribe-hHKSG33TihhbjbujkaE4pw@xxxxxxxxxxxxxxxx
   
•  Your use of Yahoo! Groups is subject to the Yahoo! Terms of Service.

---