CariDotMy

 Forgot password?
 Register

ADVERTISEMENT

View: 5084|Reply: 11

Sedikit info on worm My Doom

[Copy link]
Post time 12-2-2004 07:51 AM | Show all posts |Read mode
Sebuah virus worm yang baru dikenali sebagai Mydoom atau Novarg telah menyerang dan menyebar secara cepat melalui perantara email dan Kazaa network. Pada email,

  virus mengandung subject, body dan attachment yang bervariasi. Worm ini akan membuka applikasi NOTEPAD dan menampilkan karakter rawak ( random ) di dalamnya. Yang menarik, MYDoom akan menyerang sebuah website yang merupakan salah satu varian UNIX dengan alamat http://www.sco.com dengan DDoS-attack pada tanggal 1 Februari 2004.

  Sebenarnya apa saja yang dilakukan oleh MyDoom? Virus ini pertama-tama masuk ke dalam komputer anda sebagai sebuah email dengan berbagai variable yang digunakan, misalnya :

  Subject ditampilkan secara random :

  - Server Report

  - Mail Delivery System

  - Hi

  - status

  - hello

  - HELLO

  - Hi

  - test

  - Test

  - Mail Transaction Failed

  - Server Request

  - Error

  Message Body dapat dipilih dari list yang dibawa oleh virus tersebut, boleh kosong, atau terdiri dari sebuah pesanan sampah ( spam ) seperti contoh di atas. Sebagai contoh lainnya dari Message Body digunakan oleh worm tersebut :

  - The message contains Unicode characters and has been sent as a binary attachment.

  - The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

  - Mail transaction failed. Partial message is available.

  - Test

  Attach / Lampiran yang dikirimkan juga namanya berubah-rubah dan dikemas dalam bentuk sebuah file ZIP. Dan isinya terkadang merupakan sebuah file double extention.

  Virus ini seolah-olah menjadi sebuah file TXT yang akan dibuka oleh NOTEPAD. File-file *.TXT tersebut adalah seperti contoh di bawah ini yang akan anda terima:


  body

  message

  test

  data

  file

  text

  doc

  readme

  document

  File-file tersebut di atas akan ditambahkan sebuah extention di bawah ini:

  - BAT

  - EXE

  - PIF

  - SCR

  - CMD

  Setelah virus tersebut dijalankan maka ia akan menjangkiti komputer anda dan melakukan pekerjaan backdoor. Tugas backdoor ini ditanamkan oleh sebuah file yang bernama SHIMGAPI.DLL pada system32 directory dan dijalankan dengan mudahnya seperti anda menggunakan EXPLORER.EXE. Virus ini akan menjaga dan membuka TCP port 3127 sampai 3198. File tersebut dikompress dengan menggunakan method UPX Nama file yang akan digunakan MyDoom dalam System adalah :

  TASKMON.EXE

  Taskmon, adalah task manager yang berfungsi melihat aplikasi apa yang sedang dijalankan oleh sebuah komputer. Jika aplikasi ini diganti, maka file-file yang ditampilkan bukan merupakan aplikasi yang sedang dijalankan oleh komputer itu sendiri tetapi applikasi yang disamarkan seolah-olah dijalankan oleh komputer itu sendiri. Yang berbahaya jika applikasi yang diketahui oleh Taskmon tersebut adalah applikasi yang normal menurut kita, tetapi sebenarnya adalah applikasi yang berbahaya. Misalnya applikasi untuk mengirimkan worm (virus), tetapi disamarkan dengan nama applikasi lain misalnya Kazaa.EXE. Kalau kita lihat pada linux ini adalah semacam applikasi rootkit dimana applikasi-applikasi utama dalam server diganti dengan applikasi dengan nama yang sejenis tetapi fungsinya lain.

  File asli dari TASKMON.EXE akan didelete dan diganti oleh file dari virus tersebut dan diletakkan pada direktori SYSTEM32, dan akan juga membuat 2 buah value registry yang baru sehingga akan selalu dijalankan setiap kali anda reboot komputer anda :

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  "TaskMon" = %sysdir%\taskmon.exe

  dan untuk menjaga-jaga jika ada kegagalan maka dibuatlah sebuah value lainnya :

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  "TaskMon" = %sysdir%\taskmon.exe


  MESSAGE, file ini diletakan pada direktori %temp%. File ini yang akan melaksanakan penamaan file yang bervirus secara random dan dibaca dengan menggunakan NOTEPAD.

  Untuk diperhatikan para pengguna applikasi P2P, khususnya KAZAA, jangan sekali-kali membuka file-file yang di share dengan nama :

  
Reply

Use magic Report


ADVERTISEMENT


Post time 12-2-2004 10:15 AM | Show all posts
+xtra info

Mydoom.A meninggalkan fail DLL SHIMGAPI.DLL yg akan membuat sambungan ke internet tanpa kebenaran. SHIMGAPI.DLL boleh dihalang keluar dengan komputer yg dilengkapi firewall...

----------
Mydoom.A drops the DLL (Dynamic Link Library) SHIMGAPI.DLL, which creates a backdoor, opening the first available TCP port in the range from 3127 to 3198. This backdoor component allows to download and run an executable file, and acts as a TCP proxy server, allowing a hacker to gain remote access to network resources.

HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer
(default) = %sysdir%\ SHIMGAPI.DLL



http://www.pandasoftware.com/vir ... t&idvirus=44140
----------
Reply

Use magic Report

Post time 12-2-2004 12:58 PM | Show all posts
mydoom nih menyusahkan aku tollah...semalam aku d/l e-mel dari server dapat 19 mesej...17 dpdnya mydoom punya...nasib baik aku ader norton antivirus....
Reply

Use magic Report

 Author| Post time 12-2-2004 02:22 PM | Show all posts
Originally posted by mexz at 12-2-2004 12:58 PM:
mydoom nih menyusahkan aku tollah...semalam aku d/l e-mel dari server dapat 19 mesej...17 dpdnya mydoom punya...nasib baik aku ader norton antivirus....

aku pong lebih kurang gak, haku rasa ader type baru punyer doom bakal kuar jap lagi nieh.. ader setengahnya nak quarantine pong fail siotss..

Reply

Use magic Report

Post time 12-2-2004 02:25 PM | Show all posts

err ..

worm ni cuma tersebar melalui email jer kan?
Reply

Use magic Report

Waikiki This user has been deleted
Post time 12-2-2004 02:33 PM | Show all posts
dari kazaa pun ader gak.. based on apa yang fast bagitau..
Reply

Use magic Report

Follow Us
Post time 12-2-2004 02:50 PM | Show all posts
Originally posted by Waikiki at 2004-2-12 02:33 PM:
dari kazaa pun ader gak.. based on apa yang fast bagitau..


aiseymen .. ni yg aku risau ni .. any further explanation from the expert?
Reply

Use magic Report

Waikiki This user has been deleted
Post time 12-2-2004 02:54 PM | Show all posts
expert kata, belilah yang original ho ho ho.. gurau jer..
Reply

Use magic Report


ADVERTISEMENT


Post time 12-2-2004 03:01 PM | Show all posts
Originally posted by Waikiki at 2004-2-12 02:54 PM:
expert kata, belilah yang original ho ho ho.. gurau jer..


cet! tak guna punya kiki
Reply

Use magic Report

Post time 12-2-2004 10:00 PM | Show all posts
heheh tulah,

len kali gunakan Soulseek
Reply

Use magic Report

Post time 12-2-2004 10:04 PM | Show all posts
btw; perkara terpenting sekarang ialah mengupdate virus definition memasing
Reply

Use magic Report

Post time 13-2-2004 02:08 PM | Show all posts
Originally posted by H猷L鰃頧 at 2004-2-12 10:04 PM:
btw; perkara terpenting sekarang ialah mengupdate virus definition memasing


berita faham .. roger n out
Reply

Use magic Report

You have to log in before you can reply Login | Register

Points Rules

 

ADVERTISEMENT



 

ADVERTISEMENT


 


ADVERTISEMENT
Follow Us

ADVERTISEMENT


Mobile|Archiver|Mobile*default|About Us|CariDotMy

26-11-2024 05:23 PM GMT+8 , Processed in 0.063438 second(s), 27 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

Quick Reply To Top Return to the list