Pada tanggal 8 Mei 2003, muncul satu worm baru Fizzer dengan tingkat resiko yang tinggi dan cukup rumit. Dalam waktu singkat worm ini menduduki peringkat pertama di tangga antivirus (per tanggal 13 Mei 2003 Fizzer menduduki peringkat pertama sebagai virus yang paling banyak dihentikan oleh MessageLabs) karena kemampuan penyebarannya yang luarbiasa dan memanfaatkan email, Kazaa dan IRC.
Fizzer perlu diwaspadai karena :
Mematikan fungsi antivirus tertentu.
Memiliki kemampuan menyebar melalui email dan Kazaa.
Memiliki kemampuan keylogger.
Memiliki fungsi backdoor IRC, Dos.
Trojan pencuri data.
Memiliki kemampuan mengupdate dirinya untuk mengalahkan antivirus.
Jika komputer anda yang terhubung ke dalam jaringan dan antivirus anda tidak memiliki kemampuan update otomatis dari server antivirus, komputer anda berpotensi terserang Fizzer. Karena itu kami sarankan untuk segera download update definisi antivirus anda (Norman Virus Control dengan update tanggal 12 Mei 2003 sudah mampu mengenali virus W32/Fizzer.A@mm) atau gunakan antivirus untuk jaringan yang memiliki kemampuan update secara otomatis dari komputer di jaringan lokal. Untuk informasi lebih jauh mengenai antivirus dalam jaringan, anda dapat mengikuti workshop Corporate Virus Protection 2003 yang akan diadakan oleh PT. Vaksincom pada tanggal 10 dan 11 Juni 2003.
Secara lebih mendetil, informasi Fizzer yang ditulis dalam bahasa C dan memiliki ukuran 220 Kb ini adalah sebagai berikut :
Mematikan fungsi antivirus tertentu.
Fizzer akan mencari semua aktivitas windows yang mengandung kata :
NAV SCAN AVP TASKM VIRUS F-PROT VSHW ANTIV VSS NMAIN
dan mematikan proses tersebut sehingga jika anda menggunakan program antivirus yang dimatikan oleh Fizzer, otomatis komputer anda rentan terhadap serangan semua virus dan tidak terproteksi.
Memiliki kemampuan menyebar melalui email dan Kazaa.
Dalam menyebarkan dirinya, Fizzer memanfaatkan dua medium utama yaitu email dan Kazaa. Dalam aksinya menyebar malalui email, trik yang digukanan relatif sama dimana variasi pesan email yang datang sangat banyak, terkadang menggunakan double attachment .ini.exe. Ekstensi yang digunakan oleh Fizzer adalah .exe, .pif, .scr dan .com.
Adapun contoh email yang mengandung Fizzer adalah sebagai berikut :
Subject: I thought this was interesting...
Body: If you don't like it, just delete it.
Attachment: Jesus123.exe
Sedangkan penyebaran melalui Kazaa adalah dengan memanipulasi file pada shared direksori Kazaa dengan file yang mengandung dirinya sehingga jika ada pengguna Kazaa lain yang mendownload dari komputer yang terinfeksi Fizzer, maka secara otomatis file yang mengandung virus akan dikirimkan. Hal ini semakin mempertegas cara virus untuk menyebarkan dirinya yang mulai memanfaatkan media lain di luar email karena ketatnya penjagaan di mailserver melakukan blok terhadap lampiran yang dapat dieksekusi seperti .exe, .com, .pif, .scr, .vbs dan .bat.
Memiliki kemampuan keylogger.
Setelah berhasil menguasai komputer, Fizzer akan merekan ketukan keyboard dari komputer yang terinfeksi dan menyimpannya ke file dengan nama ISERV.KLG di folder windows. Jika file ini berhasil diambil oleh penyusup menggunakan backdoor yang telah disediakan, maka penyusup ini akan dapat mengetahui nama login dan password pengguna atau data rahasia lainnya.
Memiliki fungsi backdoor IRC, Dos.
Fizzer akan berusaha masuk ke channel IRC tertentu dan membaut suatu channel baru secara otomatis. Melalui channel ini penyusup dapat melakukan akses ke dalam komputer yang terinfeksi.
Selain itu, Fizzer juga menghubungkan dirinya server AOL port 5190 dan membuka jalan bagi penyusup untuk masuk ke dalam sistem yang terinfeksi.
Memiliki kemampuan backdoor.
Fizzer memiliki kemampuan backdoor dimana ia akan mendengarkan port 2018 - 2021 dari komputer remote yang dapat digunakan untuk mengakses komputer yang terinfeksi. Selain itu, ia akan membuka port 81 dengan menjalankan HTTP server.
Memiliki kemampuan mengupdate dirinya untuk mengalahkan antivirus.
Tidak mau kalah dengan antivirus, Fizzer memiliki kemampuan untuk mengupdate dirinya agar tidak terdeteksi oleh program antivirus atau menjalankan perintah lain yang dikehendaki oleh pembuatnya di masa depan.
Tidak ada komentar:
Posting Komentar