Karakteristik Umum :
Tipe : Worm
Alias : W32.Klez.G
Mekanisme Penyebaran : Email, jaringan, infeksi file
Karakteristik Email
Judul : bervariasi
Isi : bervariasi
Attachment : bervariasi
Tingkat Kerusakan : rendah
Isi/muatan : programs penghancur antivirus
Tanggal terdeteksi : 17 Apr 2002
Diumumkan ke publik : 17 Apr 2002 14:58 (CET)
Update terakhir : 10 May 2002 10:38 (CET)
Deskripsi Lengkap dari Virus ini :
Tipe
Deteksi dan Pembersihan - informasi khusus
Kami merekomendasikan anda untuk mendownload tool khusus untuk virus
ini. Tool ini akan membersihkan Klez.E, Klez.H (yang sebelumnya dikenal
dengan nama Klez.G), dan Elkern.C pada sistem lokal yang terinfeksi.
Jika Klez telah melumpuhkan NVC5, tool ini akan memperbaikinya lagi.
Download tool tersebut di website norman http://www.norman.no/
Tanggapan Umum
Klez.H adalah worm email baru dalam keluarga Klez. Dalam beberapa hal,
Klez.H hampir sama dengan varian Klez sebelumnya, tetapi beberapa
efeknya telah dihilangkan.
Klez.H menyebar melalui email dengan menggunakan alamat email yang diambil dari beberapa sumber dari komputer yang terinfeksi - halaman web, address book windows, dan ICQ contact lists. Perhatikan pula bahwa ia akan memilih alamat pengirim secara acak, sehingga mail ini seolah-olah berasal dari seorang pengirim tertentu padahal ia tidak pernah engirimkannya. Email tersebut dirancang sedemikian rupa sehingga virus ini dapat berjalan meskipun user tidak perlu membuka attachment apapun.
Virus ini mengkopi-kan dirinya ke mesin lokal dan pada jaringan dalam bentuk executable file (.exe) dan dalam ekstensi RAR (.rar).
Mekanisme Penyebaran
Ketika worm ini masuk ia akan mengkopi dirinya ke system directory
menggunakan nama "Wink*.exe" dimana tanda where tanda *.menunjukkan
kombinasi yang acak. Hal ini akan menambah sebuah entry di dalam
Registry, sehingga akan dapat di-loaded pada saat startup.
Pada Win9x/ME:
HLKM\Software\Microsoft\Windows\CurrentVersion\Run\Wink* =
%SystemDir%\Wink*.exe
Pada Win NT/2000/XP:
HKLM\System\CurrentControlset\Services\Wink* = %SystemDir%\Wink*.exe
Tahap-tahap kerja Klez.H :
Tahap Pertama:
Hal pertama yang dilakukan virus ini ketika mereka masuk ke sistem
adalah mencari apakah sistem berisi nama tertentu (dalam suatu daftar
yang disebut WL01) dalam 512 kilobit pertama dari proses! Mereka
memiliki ruang memori sendiri. Jika nama ini ditemukan, ia akan mencoba
untuk menghentikan proses, dan program file yang ada bersamanya akan
dihapus.
Tetapi harus diingat ingat bahwa daftar nama (WL01) yang berisi nama
virus tersebut tidak selalu sama dengan nama virus itu sendiri, karena
beberapa virus malah tidak pernah memakai nama mereka sendiri dalam
registri. Namun yang pasti, hal ini akan menghilangkan program antivirus
atau fixup tool, dan program-program lain yang mengandung kata-kata
tersebut.
Selanjutnya, ia akan memeriksa jika nama-nama yang terdapat pada proses
yang sedang berjalan mengandung kata tertentu dari daftar kata yang lain
(Ref WL02). Jika ada, program ini akan dihilangkan/dihapus seperti sebelumnya.
Kunci Registri (registry keys)
HLKM\Software\Microsoft\Windows\CurrentVersion\Run dan
HLKM\Software\Microsoft\Windows\CurrentVersion\RunServices akan
diperiksa apakah ada program antivirus dalam daftar yang disebut WL02
list. Jika ada, mereka akan dihapus dari registry.
Pada Win9x/ME langkah ini akan membangkitkan Run key Klez.H sendiri
dalam Registry secara kountinu.
Tahap Kedua:
Ini adalah tahap pengiriman email. Ia akan memeriksa apakah komputer
yang terinfeksi tersebut terhubung ke internet atau tidak. Jika
terhubung, ia akan men-scan Address Book Windows, databases ICQ (jika
ada) dan file .txt, .htm and .html files pada drive lokal. Ia akan berusaha menggunakan mail server lokal untuk mengirim mail, atau jika tidak berhasil, szecara cerdik sekali ia akan mencoba untuk menebak mail server yang dapat digunakan dengan menambahkan 'smtp.' ke nama domain yang ditemukannya dalam mail address.
Jika mail server ini bekerja, worm ini akan menggunakan alamat email yang digunakannya sebagai basis untuk alamat mail server pada daftar internal. Jika mail server tebakan ini juga tidak berhasil, ia akan mencari pada daftar internalnya dan berusaha untuk menggunakan secara acak sampai dengan 6 server yang disimpannya pada koneksi sebelumnya. Jika tidak ada satupun yang berhasil, ia masih memiliki daftar (hard-coded list - WL22) dari mail server yang akan digunakannya. (WL22) .. Ck.ck.ck.
Mail-mail tersebut dibuat secara semi-random, berdasarkan pada sejumlah
daftar kata dan kondisi :
Judul:
Isi: kosong
Contoh :
Judul:FW:some questions
Atau :
Judul: A
Isi :
I
Contoh :
Judul: A very new website
Isi:
Hello,This is a special new website
I hope you would enjoy it.
Atau :
Judul:
Isi:
For more information,please visit http://www/.
Contoh :.
Judul: W32.Klez.E removal tools
Isi:
W32.Klez.E is a dangerous virus that spread through email.
F-Secure give you the W32.Klez.E removal tools
For more information,please visit http://www.f-secure.com/
Atau :
Judul: Worm Klez.E immunity
isi:
Klez.E is the most common world-wide spreading worm.It's very dangerous
by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic, most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into
your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm, some
AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'
If you have any question,please mail to me (link to email address)
Atau :
Judul:
Isi:
The following mail can't be sent to
From:
To:
Subject:
Email yang seperti ini akan seolah-olah berasal dari 'postmaster'.
Atau :
Judul: A random set of words and/or letters found in local files
Isi: Kosong
Atau :
Tidak ada judul atau isi.
Adakalanya worm ini akan memeriksa tanggal dan mencatat tanggal yang
terdapat pada mail tersebut, jika tanggal tersebut termasuk didalam
suatu daftar tertentu. Email jenis ini akan memiliki format seperti
berikut ini :
judul:
Isi: kosong
Contoh.
Judul: Have a nice April Fools' Day
Attachment yang berisi virus akan dinamai secara acak berdasarkan nama
file atau isi dari file yang diinfeksi oleh worm ini, atau hanya suatu
kombinasi acak dari surat-surat. File extensi akan berakhiran .exe,
.pif, .scr atau .bat. dalam banyak kasus, nama file akan memiliki
extensi ganda - dalam kasus ini extensi kedua dapat ditemukan dalam
daftar yang disebut WL03.
Bahkan, email ini memiliki kemungkinan mengandung attachment file lain
dari salah satu jenis yang ditemukan dalam daftar WL03. File ini adalah
file sembarang yang ditemukan worm ini pada hardisk, dan dapat
mengandung informasi rahasia atau penting.Jika ukuran file 51200 bytes
atau kurang, kemungkinannya 50% untuk ikut terkirim bersama worm ini,
Jika ukuran file antara 51200 dan 512000 bytes, kemungkinannya 25%.
Jika ukuran filenya lebih besar dari ini maka tidak akan disertakan ....
sekali lagi kecerdasan pembuat Klez.H yang mengerti sekali tentang
dasar penyebaran virus dimana ukuran attachment harus dibuat sekecil mungkin.
Perhatikan bahwa alamat email yang digunakan sebagai pengirim oleh
virus ini berdasarkan pada alamat email yang ditemukannya pada file lokal dan biasanya bukanlah pengirim aslinya.
Ketika virus menyebar melalui email, pengguna dapat terinfeksi hanya
dengan membaca atau melihat mail tersebut. Hal ini dapat dilakukan
dengan memanfaatkan lubang keamanan yang dikenal dengan isitilah
"Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" (MIME
header yang keliru dapat menyebabkan IE mengeksekusi e-mail attachment).
Informasi lebih lengkap tentang hal ini dapat dilihat pada:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/secu rity/bulletin/MS01-20.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/secur ity/bulletin/MS01-020.asp
Lubang keamanan ini terdapat pada Internet Explorer (IE) versi 5.01 and
5.5 tanpa SP2. Pengguna yang masih menggunakan IE versi ini harus
segera
mengupgrade IE-nya.
Tahap Ketiga :
Tahap ini biasanya terjadi setiap dua jam sekali, dimana worm ini akan
berusaha untuk membuka dan menghitung sumber daya yang dapat digunakan,
dan jika sumber daya tersebut adalah sebuah disk, worm ini akan
mengkopikan dirinya pada komputer tersebut.
Pada komputer yang menggunakan Windows NT/2000/XP ia akan berusaha
untuk
menginstal copy dari dirinya menjadi sebuah layanan pada komputer
tersebut. Ia juga akan berusaha untuk menginstal dirinya pada database
registry dari komputer tersebut dengan menggunakan key
HKLM\Software\Microsoft\Windows\Currentversion\RunOnce. Hal ini akan
berakibat worm ini akan berjalan setiap kali proses booting
berlangsung.
Setelah itu, worm ini akan menggandakan lagi copy dari dirinya yang akan
disimpan dalam suatu arsip RAR. Nama file dalam arsip tersebut akan mengandung huruf/karakter yang diambil dari daftar WL16 dan WL04 -
misalnya : snoopy.exe atau install.pif.
Tahap Keempat :
Tahap ini adalah tahap penginfeksian file. Setiap jam, Klez akan
mencari program-program yang disebutkan dalam 'App Paths' key pada Registry, dan mencoba untuk menginfesinya jika program-program tersebut memenuhi kriteria seperti yang telah disebutkan. Infeksi ini juga disebut
'companion style' - dimana file asli dikopikan ke sebuah file hidden
dengan nama file yang sama, tetapi dengan extensi yang berbeda.
Selanjutnya Klez akan mengambil alihnya, menggunakan nama yang sama
dengan ukuran file yang sama dan informasi sumber daya yang sama
sehingga manipulasi ini tidak mudah terlihat. Bahkan, jika suatu
program file dirubah ke suatu nama file yang berbeda, program aslinya akan
dikompres sehingga tidak dapat dijalankan bahkan jika namanya
dikembalikan ke nama aslinya.
Program yang akan dipilih untuk penginfeksian ialah program yang tidak
diproteksi oleh Pemeriksa File System (System File Checker) pada
Win2000 atau XP, atau jika nama file tidak mengandung sejumlah nama yang
disebutkan oada daftar WL05, dan jika file berukuran antara 86016 and
3145728 bytes.
Ketika program yang terinfeksi ini berjalan, worm ini akan menemukan
dan meng-extracts file aslinya, dan mengeksekusinya. File ini diekstrak ke
sebuah file dengan menggunakan nama 'path' yang sama dengan File yang
terinfeksi, hanya saja ia menghilangkan tanda garis miring (backslash)
dan waktunya, dan akhirnya menambahkan sebuah '.EXE'. Misalnya jika
program yang terinfeksi ialah C:\Setup\Setup.exe, dan kompresi aslinya
ialah C:\Setup\Setup.gfr, worm ini akan meng-extract program aslinya ke
sebuah file yang bernama 'csetupsetupgfr.exe' dan menjalankannya.
Program yang telah dijalankan tersebut tidak akan terlihat telah
terinfeksi oleh virus.
Tahap Kelima:
Tahap ini akan menciptakan sebuah file dengan nama sembarang pada
direktori Program Files, dan akan menjalankannya. Ukuran file ini adalah
10240 bytes dan akan menginstalls virus W32/ElKern.C.
Tahap Keenam:
Pada tahap ini, worm akan mencari dan menghapus database antiviral
checksum (dalam daftar WL17) pada direktori Internet Explorer cache.
Tahap ke 7 sampai ke 32 :
Tahap ke 7 sampai ke 32 akan mencari dan menghilangkan database
antiviral checksum (dalam daftar WL17) pada semua drive lokal yang ada (drive A: sampai drive Z:).
Tingkat Kerusakan dan Muatan
Worm ini akan menyerang dan menghapus program antivirus secara aktif
dan kadang-kadang juga akan menghapus program lainnya yang tidak
berhubungan dengan antivirus !
