W32/Bagle.AI@mm
Boleh saja Netsky menang dalam pertempuran "War of the Virus" di paruh pertama tahun 2004 dimana sampai bulan Juli 2004 jumlah virus Netsky (dan variannya) yang terdeteksi mencapai beberapa kali lipat dibandingkan Bagle (dan variannnya). Tetapi dengan tertangkapnya arsitek penyebar Netsky yang ternyata seorang remaja Jerman Sven Jaschan, boleh dikatakan praktis Netsky sudah tidak mengeluarkan variannya yang berarti lagi. Sedangkan Bagle dan Mydoom (MyDoom.O) sampai saat ini masih aktif menyebarkan dirinya, kesimpulan "sementara" dalam lari Sprint Netsky lari jauh melebihi Bagle, tetapi dalam lari Marathon Netsky kalah "napas" dibandingkan Bagle karena terlalu bernafsu untuk menang sehingga malahan tertangkap dan tidak bisa mengikuti "pertandingan" lagi. Sekarang yang tertinggal adalah pertandingan antara pembuat antivirus dengan pembuat virus. Seolah meledek Netsky, varian Bagle.AI kembali muncul dan tidak lupa memasukkan beberapa string pada dirinya agar tidak dapat dihapus oleh Netsky. Hebatnya, Bagle.AI muncul dengan metode yang berbeda dengan Bagle lainnya karena virusnya sendiri disebarkan di ratusan alamat website menyaru sebagai file gambar menunggu untuk di download oleh komputer korban yang berhasil dieksploitasi melalui email.
Empat komponen utama
Keunikan Bagle.AI adalah pada pemisahan worm itu sendiri dengan email penyebarannya. Email yang datang sebenarnya tidak mengandung virus, hanya mengandung file HTML, Downloader worm dan .DLL, sedangkan wormnya sendiri akan di download secara otomatis oleh downloader worm dari 204 alamat website yang telah dipersiapkan sebelumnya. Untuk lebih jelasnya proses penyebarannya adalah sebagai berikut :
 |
Penerima email akan mendapatkan email yang mengandung lampiran dalam bentuk terkompres (.zip) yang mengandung file HTML, Downloader worm yang mirip dengan Trojan Mitglieder dan DLL yang akan disuntikkan ke dalam proses Explorer sehingga untuk mematikan proses ini harus mematikan proses explorer.exe :(. Sebagai contoh, lampiran yang datang namanya price.zip, ia akan mengandung dua file dengan nama price.html dan price.exe (status hidden). |
|
Jika lampiran dimekarkan dan file price.html dijalankan, file ini secara otomatis akan menjalankan file hidden price.exe karena file price.html ini mengandung eksploitasi atas celah keamanan Internet Explorer (Object Data Vulnerability). |
|
Price.exe yang merupakan downloader virus akan berusaha menghubungi salah satu dari 204 alamat website untuk mendownload file dengan nama 2.jpg. Walaupun namanya 2.jpg, sebenarnya file inilah yang berisi worm Bagle.AI. |
Hati-hati dengan lampiran yang mengandung kata price.
Email yang mengandung rutin yang mengaktifkan Bagle.AI ini akan datang dalam bentuk terkompres semuanya dan nama semua lampirannya mengandung kata "price". Secara lebih detil, lampiran yang mengandung Bagle.AI ini adalah sebagai berikut :
price.zip
price2.zip
price_new.zip
price_08.zip
08_price.zip
newprice.zip
new_price.zip
new__price.zip
Adapun berita yang terkandung dalam email ini adalah "New Price", sedangkan alamat pengirim dipalsukan oleh Bagle.AI dan Subjectnya kosong. Untuk administrator mailserver yang proaktif, bisa dipertimbangkan untuk menjaga semua lampiran email yang mengandung kata price dan datang dalam bentuk kompresi zip (untuk kondisi darurat pemblokan lampiran ini bisa dilakukan namun kami tidak menyarankan untuk diterapkan secara permanen karena semua lampiran yang mengandung kata price walaupun ditak mengandung virus akan ikut terblok).
Membuka port 80 UDP dan TCP
Bagle.AI akan mengandung fungsi Backdoor dimana ia akan membuka akses UDP dan TCP pada port 80. Menurut perkiraan, tujuan dari pembukaan port ini adalah untuk menjadikan komputer korban Bagle.AI ini sebagai spam server, karena hal ini akan memungkinkan diaktifkannya "open relay". Hal ini merupakan salah satu ciri khas Bagle, dimana setiap komputer korbannya akan dijadikan sebagai spam server dan hal ini akan sangat merepotkan ISP karena IP pelanggan yang menjadi korban Bagle dan menyebarkan email spam kebanyakan adalah IP Statik pengguna dial up dan jika di blok / blacklist oleh organisasi antispam, pengguna dial up tinggal mematikan dan dial kembali untuk mendapatkan IP baru yang tidak di blok. Tinggal ISP nya yang kerepotan memproses unbloking IP tersebut.
Aksi berbahaya lain yang perlu diwaspadai dari Bagle.AI adalah mematikan beberapa proses program termasuk program sekuriti dan firewall dengan menghapus registri windowsnya, hal ini cukup berbahaya karena akan menyebabkan windows tidak terlindung dari virus lagi karena program antivirusnya dimatikan. Adapun program yang "di incar" antara lain :
|
Mengandung kata antivirus |
|
Kaspersky |
|
Zonealarm |
|
Norton Antivirus |
|
Panda Antivirus |
|
Skynet (kemungkinan besar bertujuan untuk mematikan virus Netsky) |
Selain itu, Bagle.AI juga berusaha menyebarkan dirinya melalui file sharing dengan mengkopikan dirinya pada semua direktori yang mengandung kata *shar* sehingga semua folder yang mengandung kata shar akan mengandung file-file sebagai berikut :
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
KAV 5.0
Kaspersky Antivirus 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno Screensaver.scr
Porno pics arhive, xxx.exe
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Sebenarnya tujuan utama dari aksi ini adalah menyebarkan dirinya ke melalui program P2P (Peer to Peer) seperti Kazaa, namun akibat samping dari aksi ini adalah direktori lain di windows yang mengandung kata shar akan mengandung worm Bagle.AI sehingga kemungkinan pengguna jaringan lokal terinfeksi cukup besar. Apalagi nama file yang dipilih cukup menarik / seram (XXX hardcore, Crack...)
salam,
Alfons Tanujaya
PT. Vaksincom
Gedung Rifa lt. IV
Prof. Dr. Satrio blok C4 / 6-7
Jakarta 12950
Telp : 62-21-526 -787 / 752
Email : info@vaksin.com
sumber: