Habis-habisan dengan Klez.H

Karakteristik Umum : Tipe : Worm Alias : W32.Klez.G Mekanisme Penyebaran : Email, jaringan, infeksi file Karakteristik Email Judul : bervariasi Isi : bervariasi Attachment : bervariasi Tingkat Kerusakan : rendah Isi/muatan : programs penghancur antivirus Tanggal terdeteksi : 17 Apr 2002 Diumumkan ke publik : 17 Apr 2002 14:58 (CET) Update terakhir : 10 May 2002 10:38 (CET)

Deskripsi Lengkap dari Virus ini : Tipe Deteksi dan Pembersihan - informasi khusus Kami merekomendasikan anda untuk mendownload tool khusus untuk virus ini. Tool ini akan membersihkan Klez.E, Klez.H (yang sebelumnya dikenal dengan nama Klez.G), dan Elkern.C pada sistem lokal yang terinfeksi. Jika Klez telah melumpuhkan NVC5, tool ini akan memperbaikinya lagi. Download tool tersebut di website norman http://www.norman.no/ dan bacalah petunjuk penggunaannya. Tanggapan Umum Klez.H adalah worm email baru dalam keluarga Klez. Dalam beberapa hal, Klez.H hampir sama dengan varian Klez sebelumnya, tetapi beberapa efeknya telah dihilangkan. Klez.H menyebar melalui email dengan menggunakan alamat email yang diambil dari beberapa sumber dari komputer yang terinfeksi - halaman web, address book windows, dan ICQ contact lists. Perhatikan pula bahwa ia akan memilih alamat pengirim secara acak, sehingga mail ini seolah-olah berasal dari seorang pengirim tertentu padahal ia tidak pernah engirimkannya. Email tersebut dirancang sedemikian rupa sehingga virus ini dapat berjalan meskipun user tidak perlu membuka attachment apapun. Virus ini mengkopi-kan dirinya ke mesin lokal dan pada jaringan dalam bentuk executable file (.exe) dan dalam ekstensi RAR (.rar). Mekanisme Penyebaran Ketika worm ini masuk ia akan mengkopi dirinya ke system directory menggunakan nama "Wink*.exe" dimana tanda where tanda *.menunjukkan kombinasi yang acak. Hal ini akan menambah sebuah entry di dalam Registry, sehingga akan dapat di-loaded pada saat startup. Pada Win9x/ME: HLKM\Software\Microsoft\Windows\CurrentVersion\Run\Wink* = %SystemDir%\Wink*.exe Pada Win NT/2000/XP: HKLM\System\CurrentControlset\Services\Wink* = %SystemDir%\Wink*.exe Tahap-tahap kerja Klez.H : Tahap Pertama: Hal pertama yang dilakukan virus ini ketika mereka masuk ke sistem adalah mencari apakah sistem berisi nama tertentu (dalam suatu daftar yang disebut WL01) dalam 512 kilobit pertama dari proses! Mereka memiliki ruang memori sendiri. Jika nama ini ditemukan, ia akan mencoba untuk menghentikan proses, dan program file yang ada bersamanya akan dihapus. Tetapi harus diingat ingat bahwa daftar nama (WL01) yang berisi nama virus tersebut tidak selalu sama dengan nama virus itu sendiri, karena beberapa virus malah tidak pernah memakai nama mereka sendiri dalam registri. Namun yang pasti, hal ini akan menghilangkan program antivirus atau fixup tool, dan program-program lain yang mengandung kata-kata tersebut. Selanjutnya, ia akan memeriksa jika nama-nama yang terdapat pada proses yang sedang berjalan mengandung kata tertentu dari daftar kata yang lain (Ref WL02). Jika ada, program ini akan dihilangkan/dihapus seperti sebelumnya. Kunci Registri (registry keys) HLKM\Software\Microsoft\Windows\CurrentVersion\Run dan HLKM\Software\Microsoft\Windows\CurrentVersion\RunServices akan diperiksa apakah ada program antivirus dalam daftar yang disebut WL02 list. Jika ada, mereka akan dihapus dari registry. Pada Win9x/ME langkah ini akan membangkitkan Run key Klez.H sendiri dalam Registry secara kountinu. Tahap Kedua: Ini adalah tahap pengiriman email. Ia akan memeriksa apakah komputer yang terinfeksi tersebut terhubung ke internet atau tidak. Jika terhubung, ia akan men-scan Address Book Windows, databases ICQ (jika ada) dan file .txt, .htm and .html files pada drive lokal. Ia akan berusaha menggunakan mail server lokal untuk mengirim mail, atau jika tidak berhasil, szecara cerdik sekali ia akan mencoba untuk menebak mail server yang dapat digunakan dengan menambahkan 'smtp.' ke nama domain yang ditemukannya dalam mail address. Jika mail server ini bekerja, worm ini akan menggunakan alamat email yang digunakannya sebagai basis untuk alamat mail server pada daftar internal. Jika mail server tebakan ini juga tidak berhasil, ia akan mencari pada daftar internalnya dan berusaha untuk menggunakan secara acak sampai dengan 6 server yang disimpannya pada koneksi sebelumnya. Jika tidak ada satupun yang berhasil, ia masih memiliki daftar (hard-coded list - WL22) dari mail server yang akan digunakannya. (WL22) .. Ck.ck.ck. Mail-mail tersebut dibuat secara semi-random, berdasarkan pada sejumlah daftar kata dan kondisi : Judul: Isi: kosong Contoh : Judul:FW:some questions Atau : Judul: A Isi :This is a I you would it. Contoh : Judul: A very new website Isi: Hello,This is a special new website I hope you would enjoy it. Atau : Judul: removal tools Isi: is a dangerous virus that give you the removal tools For more information,please visit http://www/..com Contoh :. Judul: W32.Klez.E removal tools Isi: W32.Klez.E is a dangerous virus that spread through email. F-Secure give you the W32.Klez.E removal tools For more information,please visit http://www.f-secure.com/ Atau : Judul: Worm Klez.E immunity isi: Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic, most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC. NOTE: Because this tool acts as a fake Klez to fool the real worm, some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue' If you have any question,please mail to me (link to email address) Atau : Judul: Isi: The following mail can't be sent to From: To: Subject: is the original mail Email yang seperti ini akan seolah-olah berasal dari 'postmaster'. Atau : Judul: A random set of words and/or letters found in local files Isi: Kosong Atau : Tidak ada judul atau isi. Adakalanya worm ini akan memeriksa tanggal dan mencatat tanggal yang terdapat pada mail tersebut, jika tanggal tersebut termasuk didalam suatu daftar tertentu. Email jenis ini akan memiliki format seperti berikut ini : judul: Isi: kosong Contoh. Judul: Have a nice April Fools' Day Attachment yang berisi virus akan dinamai secara acak berdasarkan nama file atau isi dari file yang diinfeksi oleh worm ini, atau hanya suatu kombinasi acak dari surat-surat. File extensi akan berakhiran .exe, .pif, .scr atau .bat. dalam banyak kasus, nama file akan memiliki extensi ganda - dalam kasus ini extensi kedua dapat ditemukan dalam daftar yang disebut WL03. Bahkan, email ini memiliki kemungkinan mengandung attachment file lain dari salah satu jenis yang ditemukan dalam daftar WL03. File ini adalah file sembarang yang ditemukan worm ini pada hardisk, dan dapat mengandung informasi rahasia atau penting.Jika ukuran file 51200 bytes atau kurang, kemungkinannya 50% untuk ikut terkirim bersama worm ini, Jika ukuran file antara 51200 dan 512000 bytes, kemungkinannya 25%. Jika ukuran filenya lebih besar dari ini maka tidak akan disertakan .... sekali lagi kecerdasan pembuat Klez.H yang mengerti sekali tentang dasar penyebaran virus dimana ukuran attachment harus dibuat sekecil mungkin. Perhatikan bahwa alamat email yang digunakan sebagai pengirim oleh virus ini berdasarkan pada alamat email yang ditemukannya pada file lokal dan biasanya bukanlah pengirim aslinya. Ketika virus menyebar melalui email, pengguna dapat terinfeksi hanya dengan membaca atau melihat mail tersebut. Hal ini dapat dilakukan dengan memanfaatkan lubang keamanan yang dikenal dengan isitilah "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" (MIME header yang keliru dapat menyebabkan IE mengeksekusi e-mail attachment). Informasi lebih lengkap tentang hal ini dapat dilihat pada: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/secu rity/bulletin/MS01-20.asp http://www.microsoft.com/technet/treeview/default.asp?url=/technet/secur ity/bulletin/MS01-020.asp Lubang keamanan ini terdapat pada Internet Explorer (IE) versi 5.01 and 5.5 tanpa SP2. Pengguna yang masih menggunakan IE versi ini harus segera mengupgrade IE-nya. Tahap Ketiga : Tahap ini biasanya terjadi setiap dua jam sekali, dimana worm ini akan berusaha untuk membuka dan menghitung sumber daya yang dapat digunakan, dan jika sumber daya tersebut adalah sebuah disk, worm ini akan mengkopikan dirinya pada komputer tersebut. Pada komputer yang menggunakan Windows NT/2000/XP ia akan berusaha untuk menginstal copy dari dirinya menjadi sebuah layanan pada komputer tersebut. Ia juga akan berusaha untuk menginstal dirinya pada database registry dari komputer tersebut dengan menggunakan key HKLM\Software\Microsoft\Windows\Currentversion\RunOnce. Hal ini akan berakibat worm ini akan berjalan setiap kali proses booting berlangsung. Setelah itu, worm ini akan menggandakan lagi copy dari dirinya yang akan disimpan dalam suatu arsip RAR. Nama file dalam arsip tersebut akan mengandung huruf/karakter yang diambil dari daftar WL16 dan WL04 - misalnya : snoopy.exe atau install.pif. Tahap Keempat : Tahap ini adalah tahap penginfeksian file. Setiap jam, Klez akan mencari program-program yang disebutkan dalam 'App Paths' key pada Registry, dan mencoba untuk menginfesinya jika program-program tersebut memenuhi kriteria seperti yang telah disebutkan. Infeksi ini juga disebut 'companion style' - dimana file asli dikopikan ke sebuah file hidden dengan nama file yang sama, tetapi dengan extensi yang berbeda. Selanjutnya Klez akan mengambil alihnya, menggunakan nama yang sama dengan ukuran file yang sama dan informasi sumber daya yang sama sehingga manipulasi ini tidak mudah terlihat. Bahkan, jika suatu program file dirubah ke suatu nama file yang berbeda, program aslinya akan dikompres sehingga tidak dapat dijalankan bahkan jika namanya dikembalikan ke nama aslinya. Program yang akan dipilih untuk penginfeksian ialah program yang tidak diproteksi oleh Pemeriksa File System (System File Checker) pada Win2000 atau XP, atau jika nama file tidak mengandung sejumlah nama yang disebutkan oada daftar WL05, dan jika file berukuran antara 86016 and 3145728 bytes. Ketika program yang terinfeksi ini berjalan, worm ini akan menemukan dan meng-extracts file aslinya, dan mengeksekusinya. File ini diekstrak ke sebuah file dengan menggunakan nama 'path' yang sama dengan File yang terinfeksi, hanya saja ia menghilangkan tanda garis miring (backslash) dan waktunya, dan akhirnya menambahkan sebuah '.EXE'. Misalnya jika program yang terinfeksi ialah C:\Setup\Setup.exe, dan kompresi aslinya ialah C:\Setup\Setup.gfr, worm ini akan meng-extract program aslinya ke sebuah file yang bernama 'csetupsetupgfr.exe' dan menjalankannya. Program yang telah dijalankan tersebut tidak akan terlihat telah terinfeksi oleh virus. Tahap Kelima: Tahap ini akan menciptakan sebuah file dengan nama sembarang pada direktori Program Files, dan akan menjalankannya. Ukuran file ini adalah 10240 bytes dan akan menginstalls virus W32/ElKern.C. Tahap Keenam: Pada tahap ini, worm akan mencari dan menghapus database antiviral checksum (dalam daftar WL17) pada direktori Internet Explorer cache. Tahap ke 7 sampai ke 32 : Tahap ke 7 sampai ke 32 akan mencari dan menghilangkan database antiviral checksum (dalam daftar WL17) pada semua drive lokal yang ada (drive A: sampai drive Z:). Tingkat Kerusakan dan Muatan Worm ini akan menyerang dan menghapus program antivirus secara aktif dan kadang-kadang juga akan menghapus program lainnya yang tidak berhubungan dengan antivirus ! Daftar Kata Yang Digunakan Oleh Klez.H : WL01: Sircam Nimda WQKMM3878 GRIEF3878 Fun Loving Criminal Norton Mcafee Antivir Avconsol F-STOPW F-Secure Sophos virus AVP Monitor AVP Updates InoculateIT PC-cillin Symantec Trend Micro F-PROT NOD32 WL02: _AVP32 _AVPCC NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32 _AVMP ALERTSVC AMON AVP32 AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95 ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98 AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95 CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton Mcafee Antivir TASKMGR WL03: .txt .htm .html .wab .asp .doc .rtf .xls .jpg .cpp .c .pas .mpg .mpeg .bak .mp3 .pdf WL04: .exe .scr .pif .bat WL05: EXPLORER CMMGR msimn icwconn winzip WL06: new funny nice humour excite good powful WinXP IE 6.0 WL07: W32.Elkern W32.Klez.E WL08: how are you let's be friends darling so cool a flash,enjoy it your password honey some questions please try again welcome to my hometown the Garden of Eden introduction on ADSL meeting notice questionnaire congratulations sos! japanese girl VS playboy look,my beautiful girl friend eager to see you spice girls' vocal concert japanese lass' sexy pictures WL09: Symantec Mcafee F-Secure Sophos Trendmicro Kaspersky WL10: Christmas New year Saint Valentine's Day Allhallowmas April Fools' Day Lady Day Assumption Candlemas All Souls' Day Epiphany WL11: Happy Have a WL12: Undeliverable mail-- Returned mail- WL13: The attachment The file WL14: Hi, Hello, Re: Fw: WL15: game tool website patch WL16: setup install demo snoopy picacu kitty play rock WL17: ANTI-VIR.DAT CHKLIST.DAT CHKLIST.MS CHKLIST.CPS CHKLIST.TAV IVB.NTZ SMARTCHK.MS SMARTCHK.CPS AVGQT.DAT AGUARD.DAT WL18: very special WL19: enjoy like WL20: wish hope expect WL21: spread through email. can infect on Win98/Me/2000/XP. WL22: wb-japan.co.jp verizon.net arquired.es difac.com Worm ini juga mengandung tulisan seperti berikut : Win32 Klez V2.01 & Win32 Foroux V1.0 Copyright 2002,made in Asia About Klez V2.01: Main mission is to release the new baby PE virus,Win32 Foroux No significant change.No bug fixed.No any payload. About Win32 Foroux (plz keep the name,thanx) Full compatible Win32 PE virus on Win9X/2K/NT/XP With very interesting feature.Check it! No any payload.No any optimization Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing Nama worm ini telah berubah dari Klez.G menjadi Klez.H. Hal ini untuk mengikuti Konsensus penamaan yang ada. Pendeteksian dan Pembersihan Kami merekomendasikan anda untuk mendownload tool khusus untuk virus ini. Tool ini akan membersihkan Klez.E, (yang versi sebelumnya disebut Klez.G) dan Elkern.C dari sistem lokal yang terinfeksi. Jika Klez telah melumpuhkan NVC5, maka tool ini akan memperbaikinya lagi. Download tool ini dengan click disini http://www.norman.no/public/klezfix5.zip dan baca petunjuk penggunaannya. [Marcel Glenn Latupeirissa & Vaksin.com]