View: 5085|Reply: 11
|
Sedikit info on worm My Doom
[Copy link]
|
|
Sebuah virus worm yang baru dikenali sebagai Mydoom atau Novarg telah menyerang dan menyebar secara cepat melalui perantara email dan Kazaa network. Pada email,
virus mengandung subject, body dan attachment yang bervariasi. Worm ini akan membuka applikasi NOTEPAD dan menampilkan karakter rawak ( random ) di dalamnya. Yang menarik, MYDoom akan menyerang sebuah website yang merupakan salah satu varian UNIX dengan alamat http://www.sco.com dengan DDoS-attack pada tanggal 1 Februari 2004.
Sebenarnya apa saja yang dilakukan oleh MyDoom? Virus ini pertama-tama masuk ke dalam komputer anda sebagai sebuah email dengan berbagai variable yang digunakan, misalnya :
Subject ditampilkan secara random :
- Server Report
- Mail Delivery System
- Hi
- status
- hello
- HELLO
- Hi
- test
- Test
- Mail Transaction Failed
- Server Request
- Error
Message Body dapat dipilih dari list yang dibawa oleh virus tersebut, boleh kosong, atau terdiri dari sebuah pesanan sampah ( spam ) seperti contoh di atas. Sebagai contoh lainnya dari Message Body digunakan oleh worm tersebut :
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available.
- Test
Attach / Lampiran yang dikirimkan juga namanya berubah-rubah dan dikemas dalam bentuk sebuah file ZIP. Dan isinya terkadang merupakan sebuah file double extention.
Virus ini seolah-olah menjadi sebuah file TXT yang akan dibuka oleh NOTEPAD. File-file *.TXT tersebut adalah seperti contoh di bawah ini yang akan anda terima:
body
message
test
data
file
text
doc
readme
document
File-file tersebut di atas akan ditambahkan sebuah extention di bawah ini:
- BAT
- EXE
- PIF
- SCR
- CMD
Setelah virus tersebut dijalankan maka ia akan menjangkiti komputer anda dan melakukan pekerjaan backdoor. Tugas backdoor ini ditanamkan oleh sebuah file yang bernama SHIMGAPI.DLL pada system32 directory dan dijalankan dengan mudahnya seperti anda menggunakan EXPLORER.EXE. Virus ini akan menjaga dan membuka TCP port 3127 sampai 3198. File tersebut dikompress dengan menggunakan method UPX Nama file yang akan digunakan MyDoom dalam System adalah :
TASKMON.EXE
Taskmon, adalah task manager yang berfungsi melihat aplikasi apa yang sedang dijalankan oleh sebuah komputer. Jika aplikasi ini diganti, maka file-file yang ditampilkan bukan merupakan aplikasi yang sedang dijalankan oleh komputer itu sendiri tetapi applikasi yang disamarkan seolah-olah dijalankan oleh komputer itu sendiri. Yang berbahaya jika applikasi yang diketahui oleh Taskmon tersebut adalah applikasi yang normal menurut kita, tetapi sebenarnya adalah applikasi yang berbahaya. Misalnya applikasi untuk mengirimkan worm (virus), tetapi disamarkan dengan nama applikasi lain misalnya Kazaa.EXE. Kalau kita lihat pada linux ini adalah semacam applikasi rootkit dimana applikasi-applikasi utama dalam server diganti dengan applikasi dengan nama yang sejenis tetapi fungsinya lain.
File asli dari TASKMON.EXE akan didelete dan diganti oleh file dari virus tersebut dan diletakkan pada direktori SYSTEM32, dan akan juga membuat 2 buah value registry yang baru sehingga akan selalu dijalankan setiap kali anda reboot komputer anda :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"TaskMon" = %sysdir%\taskmon.exe
dan untuk menjaga-jaga jika ada kegagalan maka dibuatlah sebuah value lainnya :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"TaskMon" = %sysdir%\taskmon.exe
MESSAGE, file ini diletakan pada direktori %temp%. File ini yang akan melaksanakan penamaan file yang bervirus secara random dan dibaca dengan menggunakan NOTEPAD.
Untuk diperhatikan para pengguna applikasi P2P, khususnya KAZAA, jangan sekali-kali membuka file-file yang di share dengan nama :
|
|
|
|
|
|
|
|
+xtra info
Mydoom.A meninggalkan fail DLL SHIMGAPI.DLL yg akan membuat sambungan ke internet tanpa kebenaran. SHIMGAPI.DLL boleh dihalang keluar dengan komputer yg dilengkapi firewall...
----------
Mydoom.A drops the DLL (Dynamic Link Library) SHIMGAPI.DLL, which creates a backdoor, opening the first available TCP port in the range from 3127 to 3198. This backdoor component allows to download and run an executable file, and acts as a TCP proxy server, allowing a hacker to gain remote access to network resources.
HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer
(default) = %sysdir%\ SHIMGAPI.DLL
http://www.pandasoftware.com/vir ... t&idvirus=44140
---------- |
|
|
|
|
|
|
|
mydoom nih menyusahkan aku tollah...semalam aku d/l e-mel dari server dapat 19 mesej...17 dpdnya mydoom punya...nasib baik aku ader norton antivirus.... |
|
|
|
|
|
|
|
Originally posted by mexz at 12-2-2004 12:58 PM:
mydoom nih menyusahkan aku tollah...semalam aku d/l e-mel dari server dapat 19 mesej...17 dpdnya mydoom punya...nasib baik aku ader norton antivirus....
aku pong lebih kurang gak, haku rasa ader type baru punyer doom bakal kuar jap lagi nieh.. ader setengahnya nak quarantine pong fail siotss..
|
|
|
|
|
|
|
|
err ..
worm ni cuma tersebar melalui email jer kan? |
|
|
|
|
|
|
Waikiki This user has been deleted
|
dari kazaa pun ader gak.. based on apa yang fast bagitau.. |
|
|
|
|
|
|
|
Originally posted by Waikiki at 2004-2-12 02:33 PM:
dari kazaa pun ader gak.. based on apa yang fast bagitau..
aiseymen .. ni yg aku risau ni .. any further explanation from the expert? |
|
|
|
|
|
|
Waikiki This user has been deleted
|
expert kata, belilah yang original ho ho ho.. gurau jer.. |
|
|
|
|
|
|
|
Originally posted by Waikiki at 2004-2-12 02:54 PM:
expert kata, belilah yang original ho ho ho.. gurau jer..
cet! tak guna punya kiki |
|
|
|
|
|
|
|
heheh tulah,
len kali gunakan Soulseek |
|
|
|
|
|
|
|
btw; perkara terpenting sekarang ialah mengupdate virus definition memasing |
|
|
|
|
|
|
|
Originally posted by H猷L鰃頧 at 2004-2-12 10:04 PM:
btw; perkara terpenting sekarang ialah mengupdate virus definition memasing
berita faham .. roger n out |
|
|
|
|
|
|
| |
|