Yahoo messenger menyebar Worm


Hari ini sudah dua kali saya mendapat link dari teman melalui Yahoo Messengger. Namun teman saya tersebut tidak merasa mengirim email tersebut. Link yang dikirim teman saya tersebut menuju ke geocities dengan alamat seperti ini http://geocities.yahoo.com.br/llx_aioria_xll/login_plz.html. Ketika saya klik link tersebut tidak ada reaksi apa-apa, namun halaman tersebut meminta login dan password keYahoo. Jika anda memasukkan login dan password, maka login dan pasword anda akan tercatat dan mereka akan mencari kontak email address pada database Yahoo. Alhasil mereka memanfaatkan login anda untuk mengirim pesan ke teman anda.Untuk itu gunakanlah https://protect. login.yahoo. com/login/ set_pref/ sebagai proteksi dari Yahoo, yang memastikan bahwa anda login dari tempat yang benar. Karena banyak pihak yang menyalah gunakan dengan membuat halaman seperti di yahoo namun aksi loginnya tidak mengarah ke yahoo.

Sebenarnya masalah diatas merupakan cara sederhana untuk mencuri password user yang lebih dikenal dengan nama phishing. Setelah saya coba cari-cari tidak ada searching yang berhubungan antara pesan link geocities dengan yahoo messenger. Meskipun begitu jangan dianggap mudah jika tiba-tiba ada pesan link pada YM anda. Lebih baik dikonfirmasi dulu dari si pengirim sebelum di-klik. Karena beberapa nama worm yang saya temukan mengindektifikasi kejadian yang sangat mirip meskipun link yang diberikan berbeda dan merusak register windows. Salah satu contoh worm yang diberikan Trend Micro, worm SOHANAD yang menginfeksi program instant messaging dengan menggunakan file SVHOST32.EXE atau SVHOST.EXE dan menempatkannnya pada folder Windows. Worm SOHANAD mempunyai varian banyak seperti SOHANAD.U, SOHANAD.AC . Selain SOHANAD, ada juga worm W32.Imaut.J yang memiliki cara infeksi yang sama tapi hanya beda link.

Worm tersebut akan aktif dengan menggunakan register :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Task Manager = “%Windows%\svhost32.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Svchost = “%Windows%\svhost.exe”
Selain itu worm ini juga melakukan modifikasi pada register Software Messenger,HKEY_CURRENT_USER\Software\Yahoo\pager\
View\YMSGR_buzz
content url = “http://{BLOCKED}ncerto4.net”
HKEY_CURRENT_USER\Software\Yahoo\pager\
View\YMSGR_Launchcast
content url = “http://{BLOCKED}ncerto4.net”

 

Apakah akibat dari worm ini ?

  • Menonaktifkan task manager dan Regedit karena worm ini mengubah :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\SystemDisableRegistryTools = “dword:00000001″DisableTaskMgr = “dword:00000001″

  • Mengubah Internet Explorer

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page = “http://{BLOCKED}ncerto4.net”
Penyebaran worm ini dilakukan lewat Software Instant Messaging seperti YM, MSN dan lain-lain. Worm ini dapat melakukan replikasi pesan sehingga dapat mengirimkan pesan berupa link ke user yang mempunyai alamat pada pengirim. Jika Penerima link tersebut melakukan klik alhasil system penerima juga akan terinfeksi. Selain itu worm ini juga melakukan download secara rutin berupa file ENET.EXEBagaimana solusinya :

  • pakai linux aja lagi atau mozilla firefox sebagai browser
  • Ini ada cara membuang SVHOST.EXE dengan tools yang disediakan http://hot_kool_mohnish.tripod.com/sitebuildercontent/sitebuilderfiles/svhost32-removal.zip
  • Cara step by step untuk worm yang menginfeksi adalah SOHANAD.B menurut Sharath A.V pada situsnya,
    • Download file : http://avsharath.googlepages.com/RepairRegistry.reg
    • Jalankan file yang telah didownload dengan melakukan klik. Jika ditanya ingin mensmbah register, jawab yes.
    • Restart windows
    • Hapus file svhost32.exe dan svhost.exe dari folder windows anda.
    • Cari (search) file ENET.EXE dan hapus jika ketemu.
  • Selain itu dapat juga menggunakan cara manual seperti pada link ini
    • Tutup Browser IE dan keluar dari semua program YM atau MSN
    • Cabut kabel internet atau nonaktifkan WIFI
    • Aktifkan regedit dengan cara Start – run Ketik

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

  •  
    • Aktifkan task manager dengan cara Start -run Ketik

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

  •  
    •  Jalankan regedit ( start – run – regedit )ganti semua default pagenya menjadi alamat yang anda inginkan misalnya, https://ai23.wordpress.com atau halaman blank
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
      HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
      HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
    • Jalankan task manager (Ctrl + Alt + Del) Kill proses svhost32.exe
    • Hapus file svhost32.exe dan svhost.exe dari folder windows
    • Yang berikut ini tambahan dari homepagenya symantec pada regedit HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz hapus “content url” = “[http://]XXXX”
      HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast hapus “content url” = “[http://]XXXX”
    • Keluar dari regedit dan Restart komputer

Semoga worm tersebut tidak menginfeksi komputer anda lagi.  

  1. Saya pakai solusi yang cara pertama. Pakai Ubuntu! hehe.

  2. Wah .. kemarin komputer saya kena, ada svhost32 exenya ..

  3. semenjak protocolnya yahoo!messenger diopen.
    banyak sekali kasus-kasus seperti ini
    bahkan kita bisa mengintai dari webcam seseorang menggunakan yahoo! webcam lo.
    niat yahoo! baik tapi disalahgunakan oleh pembuat virus

  4. Kemarin komputer teman kena juga svhost32.exe. Sudah bersih tetapi ada masalah dengan ym nggak bisa connect normal harus via proxy under firewall. Sehingga webcam nggak bisa connet dalam kondisi ini.. Gmn ya.. biar bisa connect YM secara normal lagi.. Thank b4

    • loe
    • Desember 11th, 2006

    make webcam di yahoo gimana ci?????? kasi tau dunk…….

    • loe
    • Desember 11th, 2006

    oia caranya kirimin ke e-mail gue aja yupzz makaci buat yang ngirimin carana……..

    • wawa
    • Februari 28th, 2007

    tahun 2007 ini ternyata wormnya muncul lagi, namanya worm2007.exe
    masih varian dari sohanad, skrg ditambah tombol run di non aktifkan, regedit juga dimatikan, namanya berubah, semua cara yang di sarankan sudah dicoba ternyata tetap muncul.
    gimana dooong?

    iin : belum nyoba sich
    abis tiap hari pake Linux

  5. sempet juga sih masukin id dan password..
    tapi bgitu tau klo ada temen2 aku yg imel nya ganti krn di curi id dan passwordnya, langsung aja deh aku ganti password..
    alhamdulillah sampe sekrng aku masih pake imel yg ku cintai..
    hehehe

  6. yah… saya bisa kok buat situs phising

  1. November 9th, 2006

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s