|
|||||||
|
|
|
|||||
|
|
|||||||
|
`LEAVE` US ALONE
Perusahan software antivirus Sophos melaporkan penemuan gres-nya, yaitu varian terbaru dari virus Windows 32 yang disebut dengan worm Leave. Laporan ini dikeluarkan setelah melakukan analisa terhadap sejumlah temuan dari beberapa perusahaan antivirus lain yang menjadi koleganya. Worm Leave ini menyerang PC yang sebelumnya telah atau pernah terinfeksi oleh Troj/Sub7 backdoor. Troj/Sub7 ini adalah virus trojan yang merusak program server. Ketika worm ini bekerja, ia akan meng-copy dirinya ke dalam sistem direktori Windows, dengan nama file regsv.exe. Kemudian ia akan menciptakan sebuah registry key dari dua pilihan berikut : HKLM\Software\Microsoft\Windows\CurrentVersion\Run or HKLM\Software\Microsoft\Windows\CurrentVersion\RunService Registry key mana yang akan muncul, tergantung dari versi sistem operasi yang ada pada komputer yang diserangnya. Dengan registry key ini, maka file regsv.exe secara otomatis akan aktif pada saat kita menjalankan Windows. Setelah aktif, worm ini kemudian akan memeriksa, apakah komputer yang diserangnya sedang online atau tidak. Caranya adalah dengan mendeteksi keberadaan domain yang cukup terkenal macam altavista.com atau yahoo.com. Jika ada, maka worm ini akan men-download sejumlah file HTML dari URL yang diperkirakan Sophos sudah disediakan oleh pembuat worm ini. Worm minimal memiliki tiga komponen : regsv.exe, registry.dll, dan bin.dll. Bin.dll dipakai untuk menginfeksi sejumlah program yang menjadi bagian standar dari instalasi Windows seperti calc.exe atau regedit.exe. Sedangkan registry.dll memuat SMTP engine yang dipakai oleh worm Leave untuk mengirim e-mail dalam menyebarkan dirinya. ...:::bLaCkApRiL226:::... bLaCkApRiL` Rest in peace Dwi Angga Pratama 28/04/99 |