Yahoo Messenger menyebar Worm

Hari ini sudah dua kali saya mendapat link dari teman melalui Yahoo Messengger. Namun teman saya tersebut tidak merasa mengirim email tersebut. Link yang dikirim teman saya tersebut menuju ke geocities dengan alamat seperti ini http://geocities.yahoo.com.br/llx_aioria_xll/login_plz.html. Ketika saya klik link tersebut tidak ada reaksi apa-apa, namun halaman tersebut meminta login dan password keYahoo. Jika anda memasukkan login dan password, maka login dan pasword anda akan tercatat dan mereka akan mencari kontak email address pada database Yahoo. Alhasil mereka memanfaatkan login anda untuk mengirim pesan ke teman anda.Untuk itu gunakanlah https://protect. login.yahoo. com/login/ set_pref/ sebagai proteksi dari Yahoo, yang memastikan bahwa anda login dari tempat yang benar. Karena banyak pihak yang menyalah gunakan dengan membuat halaman seperti di yahoo namun aksi loginnya tidak mengarah ke yahoo.

Sebenarnya masalah diatas merupakan cara sederhana untuk mencuri password user yang lebih dikenal dengan nama phishing. Setelah saya coba cari-cari tidak ada searching yang berhubungan antara pesan link geocities dengan yahoo messenger. Meskipun begitu jangan dianggap mudah jika tiba-tiba ada pesan link pada YM anda. Lebih baik dikonfirmasi dulu dari si pengirim sebelum di-klik. Karena beberapa nama worm yang saya temukan mengindektifikasi kejadian yang sangat mirip meskipun link yang diberikan berbeda dan merusak register windows. Salah satu contoh worm yang diberikan Trend Micro, worm SOHANAD yang menginfeksi program instant messaging dengan menggunakan file SVHOST32.EXE atau SVHOST.EXE dan menempatkannnya pada folder Windows. Worm SOHANAD mempunyai varian banyak seperti SOHANAD.U, SOHANAD.AC . Selain SOHANAD, ada juga worm W32.Imaut.J yang memiliki cara infeksi yang sama tapi hanya beda link.

Worm tersebut akan aktif dengan menggunakan register :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Task Manager = “%Windows%\svhost32.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Svchost = “%Windows%\svhost.exe”
Selain itu worm ini juga melakukan modifikasi pada register Software Messenger,HKEY_CURRENT_USER\Software\Yahoo\pager\
View\YMSGR_buzz
content url = “http://{BLOCKED}ncerto4.net” HKEY_CURRENT_USER\Software\Yahoo\pager\
View\YMSGR_Launchcast
content url = “http://{BLOCKED}ncerto4.net”

Apakah akibat dari worm ini ?

  • Menonaktifkan task manager dan Regedit karena worm ini mengubah :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\SystemDisableRegistryTools = “dword:00000001″DisableTaskMgr = “dword:00000001″

  • Mengubah Internet Explorer

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page = “http://{BLOCKED}ncerto4.net”
Penyebaran worm ini dilakukan lewat Software Instant Messaging seperti YM, MSN dan lain-lain. Worm ini dapat melakukan replikasi pesan sehingga dapat mengirimkan pesan berupa link ke user yang mempunyai alamat pada pengirim. Jika Penerima link tersebut melakukan klik alhasil system penerima juga akan terinfeksi. Selain itu worm ini juga melakukan download secara rutin berupa file ENET.EXEBagaimana solusinya :

  • pakai linux aja lagi atau mozilla firefox sebagai browser
  • Ini ada cara membuang SVHOST.EXE dengan tools yang disediakan http://hot_kool_mohnish.tripod.com/sitebuildercontent/sitebuilderfiles/svhost32-removal.zip
  • Cara step by step untuk worm yang menginfeksi adalah SOHANAD.B menurut Sharath A.V pada situsnya,
    • Download file : http://avsharath.googlepages.com/RepairRegistry.reg
    • Jalankan file yang telah didownload dengan melakukan klik. Jika ditanya ingin mensmbah register, jawab yes.
    • Restart windows
    • Hapus file svhost32.exe dan svhost.exe dari folder windows anda.
    • Cari (search) file ENET.EXE dan hapus jika ketemu.
  • Selain itu dapat juga menggunakan cara manual seperti pada link ini
    • Tutup Browser IE dan keluar dari semua program YM atau MSN
    • Cabut kabel internet atau nonaktifkan WIFI
    • Aktifkan regedit dengan cara Start – run Ketik

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

·          

    • Aktifkan task manager dengan cara Start -run Ketik

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

·          

    • Jalankan regedit ( start – run – regedit )ganti semua default pagenya menjadi alamat yang anda inginkan misalnya, http://ai23.wordpress.com atau halaman blank
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
      HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
      HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
    • Jalankan task manager (Ctrl + Alt + Del) Kill proses svhost32.exe
    • Hapus file svhost32.exe dan svhost.exe dari folder windows
    • Yang berikut ini tambahan dari homepagenya symantec pada regedit HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz hapus “content url” = “[http://]XXXX”
      HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast hapus “content url” = “[http://]XXXX”
    • Keluar dari regedit dan Restart komputer

Semoga worm tersebut tidak menginfeksi komputer anda lagi.

 

4 Comments Add yours

  1. Ham says:

    Mas klo mau nyoba tau password account lain gmn?
    Aku kan punya dua account yahoo.
    Mau nyoba tau password(boleh dikatakan nyuri hehe) gmn to?
    Kasih tau caranya donk
    makasih ya…
    Eh ya bales lewat email aja ya mas

  2. Ham says:

    Makasih lo…..

  3. sandra says:

    Mohon bantuan nya untuk mendapatkan pasword saya kembali.. karena user bukan saya yg buat, namun bisa dipastikan bahwa itu benar2 user milik saya.. di yahoo.
    tlg bantuan nya .. saya sangat memerlukan nya.
    terimakasih.

  4. sandra says:

    mhn balas nya via email saja ya mas..
    thanks b4.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s