Sedikit info on worm My Doom

Fast-N-Furious · Post time 12-2-2004 07:51 AM

Sebuah virus worm yang baru dikenali sebagai Mydoom atau Novarg telah menyerang dan menyebar secara cepat melalui perantara email dan Kazaa network. Pada email,

  virus mengandung subject, body dan attachment yang bervariasi. Worm ini akan membuka applikasi NOTEPAD dan menampilkan karakter rawak ( random ) di dalamnya. Yang menarik, MYDoom akan menyerang sebuah website yang merupakan salah satu varian UNIX dengan alamat http://www.sco.com dengan DDoS-attack pada tanggal 1 Februari 2004.

  Sebenarnya apa saja yang dilakukan oleh MyDoom? Virus ini pertama-tama masuk ke dalam komputer anda sebagai sebuah email dengan berbagai variable yang digunakan, misalnya :

  Subject ditampilkan secara random :

  - Server Report

  - Mail Delivery System

  - Hi

  - status

  - hello

  - HELLO

  - Hi

  - test

  - Test

  - Mail Transaction Failed

  - Server Request

  - Error

  Message Body dapat dipilih dari list yang dibawa oleh virus tersebut, boleh kosong, atau terdiri dari sebuah pesanan sampah ( spam ) seperti contoh di atas. Sebagai contoh lainnya dari Message Body digunakan oleh worm tersebut :

  - The message contains Unicode characters and has been sent as a binary attachment.

  - The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

  - Mail transaction failed. Partial message is available.

  - Test

  Attach / Lampiran yang dikirimkan juga namanya berubah-rubah dan dikemas dalam bentuk sebuah file ZIP. Dan isinya terkadang merupakan sebuah file double extention.

  Virus ini seolah-olah menjadi sebuah file TXT yang akan dibuka oleh NOTEPAD. File-file *.TXT tersebut adalah seperti contoh di bawah ini yang akan anda terima:

  body

  message

  test

  data

  file

  text

  doc

  readme

  document

  File-file tersebut di atas akan ditambahkan sebuah extention di bawah ini:

  - BAT

  - EXE

  - PIF

  - SCR

  - CMD

  Setelah virus tersebut dijalankan maka ia akan menjangkiti komputer anda dan melakukan pekerjaan backdoor. Tugas backdoor ini ditanamkan oleh sebuah file yang bernama SHIMGAPI.DLL pada system32 directory dan dijalankan dengan mudahnya seperti anda menggunakan EXPLORER.EXE. Virus ini akan menjaga dan membuka TCP port 3127 sampai 3198. File tersebut dikompress dengan menggunakan method UPX Nama file yang akan digunakan MyDoom dalam System adalah :

  TASKMON.EXE

  Taskmon, adalah task manager yang berfungsi melihat aplikasi apa yang sedang dijalankan oleh sebuah komputer. Jika aplikasi ini diganti, maka file-file yang ditampilkan bukan merupakan aplikasi yang sedang dijalankan oleh komputer itu sendiri tetapi applikasi yang disamarkan seolah-olah dijalankan oleh komputer itu sendiri. Yang berbahaya jika applikasi yang diketahui oleh Taskmon tersebut adalah applikasi yang normal menurut kita, tetapi sebenarnya adalah applikasi yang berbahaya. Misalnya applikasi untuk mengirimkan worm (virus), tetapi disamarkan dengan nama applikasi lain misalnya Kazaa.EXE. Kalau kita lihat pada linux ini adalah semacam applikasi rootkit dimana applikasi-applikasi utama dalam server diganti dengan applikasi dengan nama yang sejenis tetapi fungsinya lain.

  File asli dari TASKMON.EXE akan didelete dan diganti oleh file dari virus tersebut dan diletakkan pada direktori SYSTEM32, dan akan juga membuat 2 buah value registry yang baru sehingga akan selalu dijalankan setiap kali anda reboot komputer anda :

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  "TaskMon" = %sysdir%\taskmon.exe

  dan untuk menjaga-jaga jika ada kegagalan maka dibuatlah sebuah value lainnya :

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  "TaskMon" = %sysdir%\taskmon.exe

  MESSAGE, file ini diletakan pada direktori %temp%. File ini yang akan melaksanakan penamaan file yang bervirus secara random dan dibaca dengan menggunakan NOTEPAD.

  Untuk diperhatikan para pengguna applikasi P2P, khususnya KAZAA, jangan sekali-kali membuka file-file yang di share dengan nama :

H猷L鰃頧 · Post time 12-2-2004 10:15 AM

+xtra info

Mydoom.A meninggalkan fail DLL SHIMGAPI.DLL yg akan membuat sambungan ke internet tanpa kebenaran. SHIMGAPI.DLL boleh dihalang keluar dengan komputer yg dilengkapi firewall...

----------
Mydoom.A drops the DLL (Dynamic Link Library) SHIMGAPI.DLL, which creates a backdoor, opening the first available TCP port in the range from 3127 to 3198. This backdoor component allows to download and run an executable file, and acts as a TCP proxy server, allowing a hacker to gain remote access to network resources.

HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer
(default) = %sysdir%\ SHIMGAPI.DLL

http://www.pandasoftware.com/vir ... t&idvirus=44140
----------

mexz · Post time 12-2-2004 12:58 PM

mydoom nih menyusahkan aku tollah...semalam aku d/l e-mel dari server dapat 19 mesej...17 dpdnya mydoom punya...nasib baik aku ader norton antivirus....

Fast-N-Furious · Post time 12-2-2004 02:22 PM

Originally posted by mexz at 12-2-2004 12:58 PM:
mydoom nih menyusahkan aku tollah...semalam aku d/l e-mel dari server dapat 19 mesej...17 dpdnya mydoom punya...nasib baik aku ader norton antivirus....

aku pong lebih kurang gak, haku rasa ader type baru punyer doom bakal kuar jap lagi nieh.. ader setengahnya nak quarantine pong fail siotss..