Up

Email Login
Password
Pengguna Baru Silahkan Mendaftar!


View My Guestbook
Sign My Guestbook

Virus Info

09/03/02

WORM_KLEZ.H

Alias : W32/Klez-G, I-Worm.Klez.h, I-Worm.W32/Klez.gen@MM, W32.Klez.H@mm

Tipe Resiko : Kecil ( Low Risk )

This memory-resident variant of the WORM_KLEZ.A mass-mailing worm uses SMTP to propagate via email. The subject line of the email it arrives with is randomly selected from a list of possible choices. See Tech Details for more information.

Upon execution, this worm drops files and creates an entry in the AutoRun key of the system registry. It also infects EXE files. To infect, it encrypts (compresses) the target file and then modifies the file extension with a random name. It also modifies the attributes of the file and sets these to Read-only, Hidden, System, and Archive. Thereafter, this worm copies itself to the original filename of the infected file.

This worm makes sure that its filesize is the same as that of the infected file. To do this, it pads garbage at the end of the infected file.

This worm does not perform its Antivirus Retaliation routine on machines running NT 4.0 or lower, due to an unavailability of system functions or APIs it uses to kill the antivirus-related processes

For further information please go to this links 

http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.H

22/3/2002

WORM_FBOUND.B

Alias : W32/Fbound.C

Tipe Resiko : Medium ( sedang )

WORM_FBOUND.B is a mass-mailing worm that is currently in- the- wild. It propagates
by sending itself to all email addresses listed in an infected user's Windows
Address Book. It arrives in an email with a subject that it randomly selects from
a group of 17 Japanese language phrases, if the email address of the recipient ends
with .jp. A sample of the email this worm arrives in is as follows:
 
TO: <recipient>
SUBJECT: <"Important" or random Japanese text
(applicable on Japanese supported platforms)>
MESSAGE BODY: <blank>
ATTACHMENT: patch.exe
 
This non-destructive worm does not drop files or create any registry entries.
Its propagation depends on the execution of the file attachment in the email.
 
For additional information about WORM_FBOUND.B, please visit
the Trend Micro Virus Information Center at:
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B

5/12/2001

W32/Goner@MM / Worm_Gone.A

Alias : Pentagone, Gone, Goner

Tipe Resiko : High ( Tinggi )

Virus ini sangat berbahaya, ia menyebar lewat MS Outlook dan ICQ. Ia akan datang menggunakan nama orang yang anda kenal dengan contoh sebagai berikut : 

Subject: Hi

Body: How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!

Attachment: GONE.SCR

Virus ini mempunyai payload yg sangat destructive. Saat attachment-nya terbuka ia akan mencari berbagai program antivirus, Firewall, dan berbagai software security. Virus ini akan mengcopy trojan REMOTE32.INI ke system yg memuat instruksi untuk melakukan Denial of Service ( DoS ).

Untuk Informasi lebih lanjut ikuti link di bawah ini :

bulletVersi Trend Micro ( Ada cara menghapus dengan manual ) :  http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=WORM_GONE.A
bulletVersi McAfee ( Ada cara kerja virus ini ) : http://www.mcafee.com/anti-virus/viruses/goner/?cid=2639

Jika anda ragu - ragu anda bisa menggunakan HouseCall Trend Micro di atas, jangan kuatir fasilitas ini GRATIS.

20/9/2001

PE_Nimda

Alias : NIMDA.A, W32/Nimda.A@mm, CV-5, Minda, Concept Virus, Code Rainbow

Tipe Resiko : High

Virus ini sangat mudah menjalar, bahkan bisa dibilang sangat cepat. Virus ini menjalar lewat email, web page yang terinfeksi. Dalam attachment yang terdapat di email jangan coba - coba untuk membukanya, karena ia akan langsung bekerja menginfeksi sistem anda walaupun anda belum meng-klik attachment tersebut. Email yang datang biasanya tidak terlihat ada attachment, tapi jika anda melihatnya di Yahoo atau yg lainnya disitu tertera jelas bahwa msg anda terinfeksi virus Nimda

Bila anda sudah terlanjur terinfeksi virus Nimda mungkin alat - alat ini dapat membantu

Click here for details

20/7/2001

TROJ_SIRCAM.A 

Alias : SCAM.A, TROJ_SCAM.A, W32.Sircam.Worm@mm, W32/SirCam@MM 

Tipe resiko : Medium

Trojan ini menyalurkan dirinya via Email dengan Microsoft Outlook Express. Ia akan mengirim copy dirinya ke semua alamat yg terdaftar di pengguna yg terinfeksi trojan ini. Ia datang dlm bentuk email dg baris subject yg acak dg attachment yg mempunyai nama sama. Contohnya sebagai berikut :

Subject: (subject line acak)
Body text: (Bisa dalam English atau Spanish)
Hi! How are you?
I send you this file in order to have your advice 
Atau I hope you can help me with this file that I send 
Atau I hope you like the file that I send you 
Atau This is the file with the information that you ask for

See you later. Thanks

File yg ter-attach: (file name acak)

Dalam Bahasa Spanyol
Hola como estas ?
Te mando este archivo para que me des tu punto de vista
Atau Espero me puedas ayudar con el archivo que te mando
Atau Espero te guste este archivo que te mando
Atau Este es el archivo con la información que me pediste
Nos vemos pronto, gracias.

Dalam proses eksekusi Trojan ini akan menngcopy dirinya sebagai SCam32.EXE di system directory. Ia juga akan mengcopy dirinya di  C:\Recycled\SirC32.EXE. Pada suatu saat ia juga akan " menjatuhkan " file kosong  SCD.DLL di system directory. Virus ini akan mencari .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, and .ZIP files di folder my document dan akan berusaha untuk mencoba mengirim dokumen - dokumen tersebut ke semua alamat termasuk yg ter-cache 

Solusi :

Pertama, restore system configuration anda melalui registry 

bulletDi Windows start menu klik run, ketik Regedit, dan tekan enter 
bulletDi panel sebelah kiri ikuti langkah : HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunServices
bulletDi panel sebelah kanan cari registry value bernama Driver32
bulletKlik dan tekan tombol delete
bulletDi panel sebelah kiri ikuti langkah : HKEY_LOCAL_MACHINE\Software\SirCam
bulletKlik SirCam dan tekan Delete
bulletDi panel kiri ikuti langkah : HKEY_CLASSES_ROOT\exefile\shell\open\command
bulletDi panel sebelah kanan, klik kanan di default value, dan pilih modify 
bulletUbahlah “C:\Recycled\SirC32.exe””%1”%*” to “%1”%”. Hapus “C:\Recycled\SirC32.exe”.

NB: Langkah 7 sampai 9 harus di lakukan sebelum me-remove trojan file tsb, jika tidak executable file akan menjadi tidak bisa dijalankan. Jika trojan ini di-delete maka regedit akan tidak bisa di masuki. Jadi rename regedit.exe menjadi regedit.com dan jalankan regedit. Kemudian ikuti langkah 1 - 9. Jika trojan belum di hapus anda juga dapat menggunakan tool fix_sircam.reg, file ini akan meremove trojan dari registry.

14/7/2001

PE_MARI.A

Alias : MARI.A, I-Worm.Mari.b, W95.Smoker.Worm@mm 

PE_MARI.A adalah sebuah virus yang sedang menyebar, ia menyebar via Microsoft Outlook Virus ini datang dalam bentuk Email dengan baris subject "Hi" dengan attachment SYSTEM32.EXE. Dalam proses eksekusi, virus ini akan menaruh sebuah copy dirinya dengan nama SYSTEM32.EXE dalam directory Windows ia akan tinggal di sana dan menampilkan icon marijuana/ganja di taskbar. Saat anda klik gambar tersebut ia akan menampilkan sebuah pesan yang berbau politik tentang melegalkan marijuana/ganja.

Solusi : 

bulletDi Windows Start Menu klik run, ketik Regedit, dan tekan enter
bulletDi panel sebelah kiri, ikuti langkah seperti berikut : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run.
bulletDi panel sebelah kanan cari registry value bernama SYSTEM32.
bulletKlik, dan tekan delete
bulletDi panel kiri ikuti langkah : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Windows Title.
bulletDi panel kanan cari registry value bernama Window Title
bulletKlik, dan tekan delete
bulletRestart system anda
bulletScan system anda dengan Antivirus anda ( jangan lupa untuk mengupdate Antivirus anda ) dan hapus semua file dengan nama PE_MARI.A 

11/7/2001

TROJ_LINONG.A

Alias : VBS_LINONG.A, LINONG

TROJ_LINONG.A menyebar via network drives dan email. Ia akan mengirim dirinya ke semua alamat yang terdaftar di MAPI address book yang ada di pengguna yang terinfeksi. Email ini mempunyai banyak subject, berbagai macam attachment yang terinfeksi. Trojan ini tidak terlalu merusak system tapi akan melakukan beberapa macam perbuatan seperti :

bulletMereset start page Internet Explorer
bulletMenampilkan pesan
bulletMembuat 600 folder baru di C:\ drive yang terinfeksi

Solusi :

bulletJalankan REGEDIT atau program yang dapat memodifikasi Registry dan hapus beberapa values seperti berikut
bullet

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\PCPower
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\MyLinong
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\Linong
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\Kern32lLin
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\Vbrun32DLL

bullet

Restart system

bullet

Scan System anda dengan antivirus ( pastikan anda sudah mendapatkan update terbaru untuk antivirus anda ) dan hapus semua file yang terdeteksi sebagai TROJ_LINONG.A dan VBS_LINONG.A.

bullet

Hapus semua folder yang ada di hard disk ( ex: C:\ ) yang mempunyai nama “Linong I Love U So Much Linong For ever My Love”

04/7/2001

TROJ_NEWSFLOOD.A

Alias : NEWSFLOOD.A

TROJ_NEWSFLOOD.A ialah sebuah trojan baru yang termasuk tidak merusak. Trojan ini terkoneksi ke beberapa Newsgroup, dalam melakukan eksekusi dan pos ia menggunakan alamat, subject, dan pesan yang random/acak, dengan dirinya sebagai attachment 

04/7/2001

TROJ_LEAVE.A

Alias : REGSV, REGSV.A, W32/Leave.Worm

Trojan baru telah terdeteksi. Trojan ini benama TROJ_LEAVE.A. Trojan ini termasuk baru, tidak merusak, memory-resident. Trojan ini menyebabkan sisitem yang terinfeksi menjadi lamban. Dalam proses eksekusi ia akan mengcopy dirinya menjadi .DLL file di direktori WINDOWS\SYSTEM dan memodifikasi istem registry. Trojan ini akan menhapus dirinya sendiri setelah proses eksekusi

Solusi:

  1. Boot dari sebuah disk bootable yang bersih dari virus dan hapus Trojan file ini di MS-DOS mode
  2. Restart komputer anda in Windows
  3. Klik START\RUN, tulis REGEDIT dan tekan tombol Enter key
  4. Cari dan hapus entry di registry entry sbb: HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\
    Apps icqrun "C:\WINDOWS\regsv.exe"
  5. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices regsv "C:\WINDOWS\regsv.exe"

    HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\
    Apps icqrun "C:\WINDOWS\regsv.exe"
  6. Scan dengan antivirus anda dan hapus file yang terdeteksi sebagai TROJAN_REGSV.A


25/6/2001

Ada virus baru yang berkeliaran di Internet bernama VBS_LOVELETTER.CN atau juga di sebut The Jennifer Lopez Worm.Virus ini meyebarkan dirinya lewat Microsoft Outlook dengan cara mengirim email dengan attachment yang akan mengirimkan email yang serupa ke semua orang yang ada di address book.Subject:

 Subject: Where are you?
Message Body: This is my pic in the beach!
Attachment: JENNIFERLOPEZ_NAKED.JPG.VBS

Selagi bekerja, worm ini akan mencari local hard drive dan maped drive dan menulusuri semua folder dan sub folder yang ber-ekstensi :  (VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, JPG, .JPEG, .MP2 and MP3). Ia akan mengancurkan file - file tersebut dg meng-overwrite dan merubahnya menjadi Filename.extension.vbs. Sebagai tambahan virus ini akan men-drop dan mengeksekusi CIH_14.EXE di direktori Windows.

25/6/2001

MAC_SIMPSONS.A adalah sebuah Macintosh AppleScript worm. Virus ini menyebarkan dirinya lewat Microsoft Entourage atau Microsoft Outlook Express dengan mrngirim sebuah copy dirinya ke semua alamat yang ada di pengguna yang terinfeksi virus ini. Contohnya adalah seperti ini :

Subject: Secret Simpsons Episodes!
Message Body: Hundreds of Simpsons episodes were just secretly produced and
sent out on the internet, if this message gets to you, the episodes are enclosed
on the attachment program, which will only run on a Macintosh. You must have
system 9.0 or 9.1 to watch the hilarious episodes, in high quality. Just download
and open it. From, (sender's name)

Setelah mengirimkan email worm ini akan meluncurkan Internet Explorer dan mencoba membuka sebuah Simpsons Website. Saat pengguna mencoba untuk menutup IE, browser itu akan mucul lagi dan mencoba untuk mengkonek ulang ke Simpsons website.

[ Info ] Guest book ] Photo Album ]