[Fwd: [FOKAL54] Info, mungkin berguna]

[harry.he...@garuda-indonesia.com]

Jaringan komputer GA udah kena virus ini neehhh....

---------------------------- Original Message ----------------------------
Subject: [FOKAL54] Info, mungkin berguna
From: "Cherie A. Almassawa" <che...@metrocom.co.id>
Date: Fri, January 27, 2006 3:30 pm
To: "Cherie A. Almassawa" <che...@metrocom.co.id>
--------------------------------------------------------------------------

Fyi

Rgds,

Cherie

________________________________

From: Dani Ardiansyah
Sent: Friday, January 27, 2006 3:16 PM
To: All Users
Subject: Virus!

Berita ini mohon disebarkan, penting sekali, di bawah ini ada yang lupa,
bahwa W32/Small.KL@mm di Symantec dikenal juga sebagai

W32.blackmal.e@mm, ingat, ini gak main - main, mohon para IT
Administrator dikasih tau.

W32/Small.KL@mm <mailto:W32/Small.kl@mm> 27 Januari 2006

Small.KL akan menghancurkan data MS Office anda pada tanggal 3 Februari
2006

Alias: WORM_GREW.A [Trend Micro], W32/Nyxem-D [Sophos], W32/MyWife.d@MM
[McAfee], Email-Worm.Win32.VB.bi [F-Secure], W32/Small.KI@mm [Norman

SDP SKTB Sesal Dahulu Pendapatan, Sesal Kemudian Tidak Berguna. Pepatah
ini kembali menunjukkan "khasiatnya" sehubungan dengan serangan virus
yang sedang menyebar dengan luarbiasa di seluruh dunia dan tingkat
infeksinya di Indonesia cukup tinggi, dimana menurut laporan yang
diterima Vaksincom korban dari Small.KL ini mencapai ribuan PC yang
terinfeksi, mayoritas adalah komputer yang terhubung ke jaringan baik di
korporat, sekolah maupun Badan Pemerintah.Kalau anda tidak merasa
"terganggu" atau tidak terlalu perduli meskipun jaringan komputer anda
terinfeksi virus dan menyebarkannya ke seluruh alamat email yang
berhasil dikumpulkan oleh virus, paling hanya bandwidth yang hilang atau
memang budaya masa bodo / cuek sudah tertanam dalam pada diri anda.
Vaksincom mengingatkan bahwa sebentar lagi anda akan SKTB (menyesal)
jika anda tidak segera membasmi virus ini dan mengenyahkan dari jaringan
anda karena ia akan melakukan aksinya "menghancurkan" file penting anda
dengan ekstensi *.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.zip, *.rar,
*.pdf dan *.psd pada hari ke tiga setiap bulan. Jadi Small.KL akan
menjalankan aksinya menghapus semua file yang kami sebutkan di atas pada
tanggal 3 Februari 2006, 3 Maret 2006 dst. Karena itu, biasakan diri
untuk secara teratur melakukan Back up atas data penting anda dan simpan
pada media yang terpisah seperti CD rom / USB Drive atau Virtual Drive
di internet seperti Streamload atau Megaupload.

Setelah sekian lama pertempuran dunia maya dimenangkan oleh virus lokal,
kembali jajaran pembuat virus mancanegara [red:non lokal] unjuk gigi hal
ini dibuktikan dengan datangnya tamu tak diundang yang berkunjung dengan
perantara email dengan message body maupun subject yang menggoda
[biasanya berhubungan dengan XXX]

Keberadaan virus ini sudah berhasil di identifikasi sekitar tangal 18
Januari 2006 oleh Norman, tetapi dengan kemampuannya yang dapat menyebar
melalui email menyebabkan virus ini berhasil mengglobal, virus ini juga
tergolong kategori "High Risk" karena penyebarannya yang luar biasa.

Small.KL di buat dengan menggunakan program bahasa "Visual Basic" dan di
kompresi dengan menggunakan UPX dengan ukuran file sebesar 94 KB
[setelah file di extract] atau 131 KB [jika belum di extract]. Jika Anda
mengunakan antivirus Norman Virus Contol, up-date tanggal 18 Januari
2006 sudah dapat mengenali virus ini dengan baik. (lihat gambar 1)

Gambar 1, Norman Virus Control update tanggal 18 Januari 2006 sudah
dapat mengenali W32/Small.KL@mm dengan baik.

Small.KL akan datang dengan membawa lampiran dengan nama ekstensi yang
jarang digunakan oleh beberapa virus lain. Tujuannya adalah untuk
menghindari blocking lampiran yang biasa dilakukan oleh mailserver
terhadap file virus seperti .exe, .com, .zip dst. Adapun ekstensi
lampiran yang digunakan adalah sebagai berikut :

* .b64

* .BHx

* .HQX

* .mim

* .uu

* .UUE

* .XxE

Gambar 2, Contoh file virus [sebelum di extract]

Dan jika anda menggunakan Winzip, secara otomatis, file tersebut akan
dapat dibuka dan dijalankan oleh Winzip jika dilakukan klik ganda. Jika
lampiran tersebut dijalankan maka akan muncul satu file dengan ekstensi
tertentu, misalnya .SCR atau .PIF dengan icon WINZIP, file ini akan
mempunyai kurang lebih 38 spasi sebelum ekstensi. Untuk mengelabui user
dengan cerdik Small.KL akan menyembunyikan ekstensi dengan melakukan
perubahan pada registry editor sehingga user tidak dapat membedakan
bahwa sebenarnya file tersebut adalah virus dan bukan sebuah file yang
dikompresi dengan menggunakan WinZIP sehingga jika menjalanan file
tersebut maka secara tidak langsung akan mengaktifkannya dengan
terlebih dahulu akan menampilkan program Winzip kosong, lihat gambar
dibawah ini

Gambar 3, Contoh file virus setelah diekstrak

Gambar 4, Tampilan setelah file hasil ekstrak dijalankan

Setelah file tersebut dijalankan Small.KL akan membuat satu file sesuai
dengan file virus yang dijalankan tadi, file tersebut akan disimpan di
direktori [C:\%windows%\system32].

Contoh : jika file virus yang dijalankan adalah Attachmments,ZIP
[spasi].SCR maka Small.KL akan membuat file di direktori
[C:\%Windows%\System32] dengan nama Lampiran,ZIP [spasi].ZIP

Setelah Small.KL aktif, ia akan mencoba untuk melakukan koneksi ke web
site webstats.web.rcn.net untuk memberitahu "boss"nya IP komputer yang
telah terinfeksi.

Setiap virus akan membuat file induk untuk dijalankan pertama kali,
begitupun dengan Small.KL dimana ia akan membuat beberapa file yang akan
dijalankan, diantaranya:

* WINZIP_TMP.exe

* C:\

* Rundll16.exe [hidden file] dan WINZIP_TMP.exe

* C:\Windows

* scanregw.exe [hidden file], update.exe [hidden file], winzip.exe
[hidden file] dan sample.Zip

* C:\Windows\System32

* Temp.htt [hidden file], WinZip_Tmp.exe [hidden file] dan
desktop.ini [hidden file]

o C:\Document and settings

o C:\Documents and Settings\Administrator\

o C:\Documents and Settings\Administrator\Start Menu

o C:\Documents and Settings\Administrator\Start Menu\Programs\,

o C:\Documents and Settings\Administrator\Start
Menu\Programs\Startup

o C:\Documents and Settings\All Users\Start Menu

o C:\Documents and Settings\All Users\Start Menu\Programs

o C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Small.KL juga akan membuat beberapa file [acak] dan "biasanya" file yang
akan dibuat ini akan diambil secara acak sesui dengan nama file atau
folder yang terdapat pada komputer yang terinfeksi, file ini akan dibuat
pada setiap folder yang dishare dikomputer yang terinfeksi virus, file
tersebut mempunyai ciri-ciri

* Icon disamarkan [icon Winzip]
* Ukuran file 94 KB
* Ekstensi EXE
* Type file "Application"

Gambar 5, Contoh file yang dibuat pada share folder

Sebagai penunjang agar virus dapat dijalankan setiap kali komputer
dinyalakan Small.KL akan membuat string pada regsitry

* ScanRegistry = "scanregw.exe /scan"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Selain membuat registry diatas Small.KL secara cerdik akan membaut satu
buah file pada menu startup dengan nama file WINZIP QUICK PICK.EXE
sehingga file ini juga akan langsung dijalanakan begitu komputer
dinyalakan, tapi ini dilakukan hanya jika system komputer yang
terinfeksi menggunaakn windows 2000/XP/2003.

Small.KL juga akan mencoba untuk melakukan perubahan pada registry
berikut

* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet
Explorer\Main\NotifyDownloadComplete="7562617"
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\UNCAsIntranet="1"
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\ProxyBypass="1"
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\IntranetName="1"
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Adv
anced\WebView="0"
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Adv
anced\ShowSuperHidden="0"
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Cab
inetState\FullPath="0"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ License

Hal ini dimaksudkan untuk disable automatic update pada Windows XP
Service Pack 2

Menyebar melalui Network Share dan Email

Untuk menyebarkan dirinya virus membutuhkan media yang dapat digunakan,
kali ini Small.KL akan menggunakan beberapa media penyebaran yang
dianggap mudah dan sering digunakan oleh user diantaranya menyebar
malalui network share dimana Small.KL akan berusaha untuk copy file ke
dalam komputer dengan default share diaktifkan yaitu,

* Admin$

* WINZIP_TMP.exe

* C$

* WINZIP_TMP.exe

* C$\Documents and Settings\All Users\Start Menu\Programs\Startup

* WinZip Quick Pick.exe

Selain dapat menyebar melalui jaringan dengan memanfaatkan Default
Share, Small.KL juga akan menyebar melalui email dengan terlebih dahulu
akan memcoba untuk mengambil alamat email dari setiap file yang
mempunyai ekstensi

* .htm
* .dbx
* .eml
* .msg
* .oft
* .nws
* .vcf
* .mbx
* .imh
* .txt
* .msf

* .dmp

* CONTENT.

* TEMPORARY

Setiap email yang dikirimkan akan mempunyai ciri-ciri dibawah ini

* From <dipalsukan>
* Subject

* Re: Sex Video
* Re:
* Fw: Picturs
* Fw: Funny :)
* Fwd: Photo
* Fwd: image.jpg
* Fw: Sexy
* Fw:
* Fw: SeX.mpg
* Fwd: Crazy illegal Sex!
* Fw: DSC-00465.jpg
* eBook.pdf
* Hello
* Fw: Real show
* the file
* Word file
* *Hot Movie*
* A Great Video
* Fw: Picturs
* give me a kiss
* Miss Lebanon 2006
* My photos
* Part 1 of 6 Video clipe
* Photos
* School girl fantasies gone bad

* Message

o >> forwarded message

o forwarded message attached.

o Fuckin Kama Sutra pics

o hello,

o Helloi attached the details.

o Hot XXX Yahoo Groups

o how are you?

o i just any one see my photos.

o i send the details.

o i send the file.

o It's Free :)

o Note: forwarded message attached. You Must View This Videoclip!

o Please see the file.

o Re: Sex Video

o ready to be FUCKED ;)

o Thank you

o The Best Videoclip Ever

o the file i send the details

o VIDEOS! FREE! (US$ 0,00)

o What?

Dari message tersebut terdapat kurang lebih 3 [tiga] buah gambar kosong
[tidak terdapat gambar] dengan nama

* DSC-00465.jpg, DSC-00466.jpg dan DSC-00467.jpg

Atau

* Photo, photo2 dan photo3

* Lampiran

o 007.pif

o 392315089702606E-02,.scR

o 677.pif

o Adults_9,zip.sCR

o ATT01.zip.sCR

o Lampirans[001],B64.sCr

o Clipe,zip.sCr

o document.pif

o DSC-00465.Pif

o DSC-00465.pIf

o eBook.PIF

o image04.pif

o New Video,zip

o New_Document_file.pif

o photo.pif

o Photos,zip.sCR

o School.pif

o SeX,zip.scR

o Sex.mim

o Video_part.mim

o WinZip,zip.scR

o WinZip.BHX

o WinZip.zip.sCR

o Word XP.zip.sCR

o Word.zip.sCR

Tetapi, Small.KL akan mencoba untuk tidak mengirimkan dirinya ke alamat
email yang mengandung string

o @YAHOOGROUPS

o BLOCKSENDER

o SCRIBE

o YAHOOGROUPS

o TREND

o PANDA

o SECUR

o SPAM

o ANTI

o CILLIN

o CA.COM

o AVG

o GROUPS.MSN

o NOMAIL.YAHOO.COM

o EEYE

o MICROSOFT

o HOTMAIL

o MSN

o MYWAY

Melumpuhkan Program Sekuriti

Agar Small.KL dapat menjalankan misinya ia akan menghapus beberapa
string value pada registy, hal ini dimaksudkan agar file tersebut tidak
dijalankan

o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run

o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\RunServices

o HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Run

o PCCIOMON.exe

o pccguide.exe

o Pop3trap.exe

o PccPfw

o Tmproxy

o McAfeeVirusScanService

o NAV Agent

o PCCClient.exe

o SSDPSRV

o rtvscn95

o defwatch

o vptray

o ScanInicio

o APVXDWIN

o KAVPersonal50

o TM Outbreak Agent

o AVG7_Run

o AVG_CC

o Avgserv9.exe

o AVGW

o AVG7_CC

o AVG7_EMC

o Vet Alert

o VetTray

o OfficeScanNT Monitor

o avast!

o DownloadAccelerator

o BearShare

o Kaspersky

Selain itu Small.KL juga akan mencoba untuk menghapus file dengan
ekstensi .EXE dan .DLL pada program antivirus hal ini dimaksudkan agar
antivirus tersebut tidak dapat berfungsi dengan baik, seperti

o %Program Files%\Alwil Software\Avast4

o %Program Files%\BearShare

o %Program Files%\DAP

o %Program Files%\Grisoft\AVG7

o %Program Files%\Kaspersky Lab\Kaspersky Anti-Virus Personal

o %Program Files%\McAfee.com\Agent

o %Program Files%\McAfee.com\shared

o %Program Files%\McAfee.com\VSO

o %Program Files%\Morpheus

o %Program Files%\NavNT

o %Program Files%\Norton AntiVirus

o %Program Files%\Symantec\Common Files\Symantec Shared

o %Program Files%\Symantec\LiveUpdate

o %Program Files%\Trend Micro\Internet Security

o %Program Files%\Trend Micro\OfficeScan

o %Program Files%\Trend Micro\OfficeScan Client

o %Program Files%\Trend Micro\PC-cillin 2002

o %Program Files%\Trend Micro\PC-cillin 2003

Disamping itu Small.KL juga akan menghapus file pada komputer yang
terhubung ke jaringan dengan memanfaatkan Default Share Windows

o \C$\Program Files\Norton AntiVirus

o \C$\Program Files\Common Files\symantec shared

o \C$\Program Files\Symantec\LiveUpdate

o \C$\Program Files\McAfee.com\VSO

o \C$\Program Files\McAfee.com\Agent

o \C$\Program Files\McAfee.com\shared

o \C$\Program Files\Trend Micro\PC-cillin 2002

o \C$\Program Files\Trend Micro\PC-cillin 2003

o \C$\Program Files\Trend Micro\Internet Security

o \C$\Program Files\NavNT

o \C$\Program Files\Panda Software\Panda Antivirus Platinum

o \C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal

o \C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
Pro

o \C$\Program Files\Panda Software\Panda Antivirus 6.0

o \C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus

Tidak hanya itu saja Small.KL juga akan mencoba untuk
mematikan/terminate suatu program yang mempunyai string

o FIX

o KASPERSKY

o MCAFEE

o NORTON

o REMOVAL

o SCAN

o SYMANTEC

o TREND MICRO

o VIRUS

Jika Anda menggunakan antivirus Norman Virus Control, walaupun Small.KL
mencoba untuk mematikan proses dari antivirus tersebut tetapi gagal
sehingga n antivirus Norman Virus Control tetap dapat digunakan.

Gambar 6, Small.KL berusaha untuk mematikan antivirus Norman Virus
Control

Sebagai tambahan Small.KL juga akan mencoba untuk disable "keyboard" dan
"mouse" sehingga kedua device tersebut tidak dapat digunakan selain itu
jika anda mencoba untuk membuat email baru [New Message] Small.KL akan
langsung menutup lembar pesan/email terbebut sehingga anda akan
kesulitan untuk mengirimkan email, untuk program Outlooks express itu
sendiri masih dapat digunakan [tidak di matikan], pada saat Small.KL
akan menutup lembar email yang akan dibuat ia akan menampilkan pesan
berikut: (Gambar 7)

Gabmar 7, Pesan yang ditampilkan Small.KL setelah menutup email

Overwite File

Setiap hari ke 3 pada tiap bulannya, kurang lebih setelah 30 menit
virus tersebut aktif , ia akan mencoba untuk menulis ulang semua file
yang mempunyai ext. Dibawah ini dengan menambahkan text DATA Error [47
0F 94 93 F4 K5]":

* DOC

* XLS

* MDB

* MDE

* PPT

* PPS

* ZIP

* RAR

* PDF

* PSD

* DMP

Smal.ki juga akan menambahkan icon di stray menu dengan menampilkan
pesan "Update Please wait" icon ini muncul jika menggunakan antivirus :

* Norton Antivirus

* Kaspersky Lab

* Panda Software

Cara membersihkan W32/Small.KI

1. Disconnect komputer dari jaringan [sebaiknya lakukan pembesrihan
memalui mode safe mode"

2. Jika menggunakan windows ME/XP, matikan [system restore] selama
proses pembersihan

3. Matikan proses dari virus tersebut anda dapat menggunakan Task
manager, matikan 2 proses dari virus tersebut yaitu

a. update.exe
b. winzip.exe

4. Hapus regsitry key yang diubah oleh virus

a. ScanRegistry = "scanregw.exe /scan"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

b. Ubah string ShowSuperHidden dengan value 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Adv
anced

c. Ubah string WebView dengan value 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Adv
anced

d. Ubah string FullPatch dengan value 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Cab
inetState

e. Ubah string UNCAsIntranet dengan value 0

HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\ZoneMap

5. Hapus File yang dibuat oleh virus

* WINZIP_TMP.exe

* C:\

* Rundll16.exe [hidden file] dan WINZIP_TMP.exe

* C:\Windows

* scanregw.exe [hidden file], update.exe [hidden file],
winzip.exe [hidden file] dan sample.Zip

* C:\Windows\System32

* Temp.htt [hidden file] dan WinZip_Tmp.exe [hidden file]

* C:\Document and settings
* C:\Documents and Settings\Administrator\
* C:\Documents and Settings\Administrator\Start
Menu
* C:\Documents and Settings\Administrator\Start
Menu\Programs\,
* C:\Documents and Settings\Administrator\Start
Menu\Programs\Startup
* C:\Documents and Settings\All Users\Start Menu
* C:\Documents and Settings\All Users\Start
Menu\Programs
* C:\Documents and Settings\All Users\Start
Menu\Programs\Startup

6. Hapus juga file yang dibuat pada setiap folder yang dishare
dengan ciri-ciri

o Icon disamarkan [icon Winzip]

o Ukuran file 94 KB

o Ekstensi EXE

o Type file "Application"

7. Untuk pembersihan lebih optimal gunakan antivirus dengan up-date
terbaru

8. Sangat disarankan untuk menginstall "antivirus for mail server"
[jika Anda mempunyai mail server] atau menginstall antivirus yang
mempunyai kemampuan untuk scanning email sebelum email tersebut dikirim
atau diterima dan jangan sembarangan dalam membuka lampiran yang telah
disebutkan diatas. (AJT)

Best Regards,

Slamet Raharjo

IT Senior

PT Amerta Indah Otsuka

Wisma Pondok Indah

Jl. Sultan Iskandar Muda Jak-Sel 12310