Sudahkah anda mengenal worm ini? Mungkin sebagain dari anda belum, karena worm ini tergolong baru (menurut saya). Worm ini didapat dari hasil rasa curiga terhadap member baru codenesia, yang mengupload artikel tentang program pembobol password deepfreeze. Dimana tampilan program tersebut sangat mirip dengan program pembobol password deepfreeze yang pernah disharing rekan saya di opensc, setelah saya download ternyata program pembobol deepfreeze dengan tampilan hampir sama tapi terkompilasi dengan ukuran berbeda. Dimana program pembobol deepfreeze serupa seharusnya berukuran 30an KB, sedangkan pada program pembobol deepfreeze editanya, berukuran hampir 98 KB. Tentunya dengan ukuran yang demikian, pasti ada sebuah resource sekitar 70an KB (tanpa compress) yang biasanya adalah worm.

Setelah saya Uji.. wow, ternyata benar, sebuah worm cukup ganas menyerang computer saya.  Worm ini dibuat dengan bahasa visual basic 6.0 oleh seorang yang mengaku berinisial ram83, dengan komunitas VM sidimpuan. Ketika worm mulai berjalan pada computer anda, ada beberapa perubahan antara lain, Jendela Registry tak bisa diakses, situs-situs tertentu di blokir, file exe yang ada di drive system dan media storage seperti FD di replace jadi dirinya.

File-File yang di Drop Oleh worm [asumsi winroot=C:\Windows]

C:\hantu.exe : 65 KB – iconya mirip wajah pembuatnya

C:\WINDOWS\system32\pasid.ico : 766 bytes

C:\WINDOWS\system32\pasids.ico : 766 bytes - gambarnya mirip wajah pembuatnya

C:\WINDOWS\system32\rambe.dll : 10KB

C:\WINDOWS\system32\Micros0ft\msvbvm60.dll  

C:\WINDOWS\system32\3003\smsvr.exe : 65 KB 

C:\WINDOWS\system32\1986\msvbvm60.dll

C:\WINDOWS\system32\3003\msvbvm60.dll        

C:\WINDOWS\system32\1986\ctfm0n.exe : 65 KB

C:\WINDOWS\system32\Micros0ft\winserv.exe     : 65 KB

C:\WINDOWS\system32\dog.bat

[Drive]:\D-WAR.html : 437 bytes

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Sidimpuan Worm Maker Community.exe : : 65 KB

Registry yang dbuat untuk StartUp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run   

Windows server=C:\WINDOWS\system32\3003\smsvr.exe           

Windows file monitor=C:\WINDOWS\system32\1986\ctfm0n.exe   

Windows services controler=C:\WINDOWS\system32\Micros0ft\winserv.exe

Web yang coba di Blok

www.symantec.com

symantec.com

securityresponse.symantec.com

sarc.com

www.sarc.com

www.sophos.com

sophos.com

www.mcafee.com

mcafee.com

liveupdate.symantecliveupdate.com

www.wormlist.com

wormlist.com

f-secure.com

www.f-secure.com

f-prot.com

www.f-prot.com

kaspersky.com

kaspersky-labs.com

www.avp.com

avp.com

www.kaspersky.com

www.networkassociates.com

networkassociates.com

www.ca.com

ca.com

mast.mcafee.com

my-etrust.com

www.my-etrust.com

download.mcafee.com

dispatch.mcafee.com

secure.nai.comnai.com

www.nai.com

vil.nai.com

Warning

Worm ini diciptakan mungkin untuk bertujuan merusak, agar ketika computer telah terinfeksi dirinya tidak ada Antivirus satu-pun yang dapat memulihkan kondisi seperti semula, ini terlihat dengan target file yang diincarnya, yaitu hampir seluruh file executable (program) direplace dengan dirinya yang bericon hamper mirip/sama dengan file executable (exe, scr) yang akan direplace. Teknik pertahan worm ini cukup bagus, karena satu diantara proses yang dibuat worm tidak mempan dengan security taskmanager (yang versi gratisan J). Worm ini cukup gile dan tak punya etika, karena sekali terserang worm ini dan anda melakukan restart atau membiarkan cukup lama, maka hamper seluruh file exe yang ada pada drive system dan FD  akan di replace dengan dirinya.

Pencegahan

Saya sudah menambahkan ceksum worm ini kedalam DB KAV S.E, walaupun puluhan kalo worm ini bersalin icon, ternyata dengan ceksum M31 hasilnya tetap sama. JAdi untuk smentara dengan ceksum M31 cukup efektif mencegah datangnya worm ini via flashdisk. Walapun worm ini tidak membuat sebuah autorun, namun dengan teknik replace exe diperkirakan worm ini akan cepat menyebar lebih-lebih pembuatnya yang rajin dalam menyebarkan worm ini (sampai-sampai register dan login ke web ini) hanya untuk menipu pembaca.

Pembersihan

Sebenarnya saya belum menemukan cara efektif pembersihan worm ini, namun anda bias menggunakan PE bernama Bart PE atau Mini PE, yang dapat dibooting melalui USB(ukuranya 200MB-an) untuk mengahapus induk2 worm sebelum semua file exe direplace dan anda harus melakukan install ulang.

Pesan

Buat pembuat worm, silahkan anda menggunakan web lain dalam membantu penyebaran worm anda, karena di web ini keamanan member adalah prioritas kami. Sehingga kami tidak mau kecolongan web kami dijadikan sarana penyebaran worm (yang tak punya etika bermain).

NB : Mohon maaf kalo hasil analisanya masih singkat, semoga ada tambahan dari senior codenesia lain-nya.

HrXxX