hati hati penyebaran virus baru

W32/Small.KL@mm 19 Januari 2006


Alias : Win32.Blackmal.F, Win32/Cabinet!Worm, WORM_GREW.A (Trend),
W32/Nyxem-D (Sophos)

Rupanya bukan hanya Guru Kumon yang senang memberikan pekerjaan rumah.
Ternyata beberapa virus mengharuskan kita (khususnya administrator
server) berurusan dengan "pekerjaan rumah" yang dalam kenyataannya tidak
dikerjakan di rumah dan kebanyakan dikerjakan di kantor sehingga mungkin
lebih cocok jika diberikan istilah Pekerjaan Kantor / PK (bukan parpol).
PK apa yang diberikan oleh virus bagi anda ? Salah satunya adalah virus
W32/Small.KL@mm yang sekarang datang tidak hanya dalam lampiran
konvensional seperti .exe, melainkan dalam lampiran yang tidak biasa
seperti .HQX, .BHX, .B64, .mim dan ..uu sehingga bagi administrator yang
"hobi" memblok lampiran executable dan terakhir memblok lampiran gambar
karena celah keamanan WMF maka anda harus segera menambahkan daftar
blacklist lampiran yang tidak boleh melewati mailserver anda. Small.KL
ini cukup berbahaya karena memiliki rutin balas dendam "membasmi"
program antivirus dan menurut pantauan Vaksincom menelan korban di Jawa
Timur dengan salah satu korbannya IP milik ISP pemerintah terbesar dan
satu IP milik ISP terbesar di Jakarta yang berkantor di Manggala
Wanabakti dan IP tersebut digunakan oleh salah satu distributor komputer
besar (NEC, Acer, HP) di Jakarta yang berkantor di jalan Riau.

Penyebaran melalui email dan jaringan lokal

Small.KL menyebarkan dirinya menggunakan dua metode, yaitu jaringan
lokal dan email. Ia akan mengumpulkan daftar alamat email dari komputer
yang di infeksinya dan ia akan mengirimkan dirinya dengan alamat
pengirim yang dipalsukan. Seperti yang kami utarakan diatas, selain
mengirimkan lampiran dalam bentuk file eksekusi seperti .pif dan .scr,
Small.KL juga mengirimkan dirinya dalam lampiran yang tidak umum seperti
.HQX, .BHX, .B64, .mim dan ..uu dengan tujuan utama agar dapat lolos
dari saringan yang dilakukan oleh antivirus / mailserver yang umumnya
melakukan blokir atas lampiran eksekusi seperti .exe, .com, .pif, .vbs
dst. Bahkan perkembangan terakhir menyebabkan administrator mailserver
konservatif terpaksa memblok lampiran terkompres
(.zip) dan gambar (.jpg, .gif, .bmp dst) karena mulai dieksploitasi oleh
virus. Tampaknya daftar ekstensi yang harus diblok bertambah panjang dan
makin hari makin luas saja sehingga tentunya mengharuskan administrator
selalu aktif memantau perkembangan terbaru dan melakukan tindakan yang
diperlukan. Salah satu metode yang patut dipertimbangkan adalah metode
Whitelist, dimana administrator menetapkan apa saja jenis ekstensi
lampiran yang boleh melewati mailserver dan sisanya akan diblok.

Detail email mengandung W32/Small.KL@mm
Small.KL akan datang dalam bentuk email dengan perincian sebagai berikut
:
From : dipalsukan
Subject :
Re: Sex Video
Re:
Fw: Picturs
Fw: Funny :)
Fwd: Photo
Fwd: image.jpg
Fw: Sexy
Fw:
Fw: SeX.mpg
Fwd: Crazy illegal Sex!
Fw: DSC-00465.jpg
eBook.pdf
Hello
Fw: Real show
the file
Word file
*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad

Isi Email :
What?
Note: forwarded message attached.
forwarded message attached.
i attached the details.
Thank you
hi
i send the details
bye

how are you?
i send the details.
OK ?
Please see the file.
i just any one see my photos.
The Best Videoclip Ever

Some message bodies contain empty image files which may be labeled with
one of the following file names: DSC-00465.jpg DSC-00466.jpg
DSC-00467.jpg photo photo2 photo3

Lampiran :
New_Document_file.pif
document.pif
007.pif
eBook.PIF
DSC-00465.Pif
Attachments001.BHX
Attachments00.HQX
Attachments[001].B64
Video_part.mim
Word_Document.hqx
SeX.mim
Sex.mim
Word_Document.uu
Original Message.B64
3.92315089702606E02.UUE
Photos
Sweet_09
Clipe
WinZip.BHX

Small.KL juga akan berusaha menyebarkan dirinya melalui jaringan dengan
cara mengkopikan dirinya pada direktori sharing dengan nama
WINZIP_TMP.EXE.

Superhidden dan menyebabkan hang untuk memaksa loading dirinya

Menurut pengetesan yang dilakukan Lab virus Vaksincom, Small.KL memiliki
kemampuan menyembunyikan dirinya sangat baik, dimana jika dilihat dengan
Windows Explorer filenya tidak akan terlihat, "sekalipun" setting option
Windows Explorer sudah diminta untuk menampilkan file hidden (Show
Hidden File). Metode yang cukup canggih ini adalah dengan memanfaatkan
perintah "Superhidden" pada registry. Untuk memaksakan dirinya
diaktifkan, setelah menginfeksi komputer dan menempatkan dirinya pada
Satrt Up, komputer yang baru terinfeksi Small.KL akan hang sehingga
terpaksa di restart. Proses restart ini yang secara tidak langsung
mengaktifkan Small.KL dan praktis komputer anda akan dikuasai oleh
Small.KL untuk menjalankan aktivitasnya. Lab Vaksincom juga melakukan
proses scanning dengan Norman Virus Control dan hebatnya lagi, Small.KL
yang menginfeksi komputer Lab Vaksincom berusaha mematikan proses
Scanning Antivirus berulang-ulang.

Disable Antivirus
Small.KL akan berusaha menonaktifkan beberapa program sekuriti dan
Freeware seperti : *DAP (Download Accelerator Pro), program manajemen
download *Bearshare, Peer to Peer Sharing *Morpheus, Peer to Peer
Sharing *Limewire, Peer to Peer Sharing *Symantec Antivirus *Norton
AntiVirus *Avast *McAfee *Trend Micro - PC Cilin 2002 *Trend Micro - PC
Cilin 2003 *Trend Micro - Internet Security *Trend Micro - Office Scan
*Kaspersky Lab *Grisoft - AVG7