Subscribe For Free Updates!

We'll not spam mate! We promise.

Apr 14, 2007

Email.Worm.Win32.Zhelatin.ct

Baru-baru ini pihak vendor antivirus F-Secure melalui webblognya menyatakan telah mendeteksi Trojan baru yang menyebar melalui email. Trojan ini menyerang khusus platform Windows dan akan mendrop banyak malware lainya ke komputer korban. belum banyak penjelasan yang beredar mengenai trojan ini.

Pertama kali Trojan ini terdeteksi di beberapa email yang terkesan romatis yang dengan beberapa subject seperti :

  • Sending You My Love
  • The Dance of Love
  • When I'm With You
  • A Dream is a Wish
  • A Is For Attitude
  • Eternal Love
  • Eternity of Your Love
  • Falling In Love with You
  • Hugging MyPillow
  • Inside My Heart
  • Kisses Through E-mail
  • Our Journey
  • Sent with Love
  • When Love Comes Knocking
  • You're In My Thoughts
  • You're the One

Zhelatin.CT

Di email ini tidak menyertakan pesan apapun juga hanya menyisipkan attachment berisi file EXE dengan nama-nama yang romatis seperti Love Card.exe , Love Postcard.exe , Greeting Card.exe atau Postcard.exe. Semua file executable ini terdeteksi sebagai Email-Worm.Win32.Zhelatin.ct.

Penyebaran berikut terjadi beberapa jam kemudian setelah terdeteksi oleh vendor antivirus. kali ini dengan subject di email yang berbau-bau security seperti :
  • ATTN!
  • Spyware Alert!
  • Virus Alert!
  • Worm Alert!
  • Worm Detected!
Kali ini email bervirus ini menyertakan pesannya seolah-olah ada update security untuk komputer korbannya dan menyertakan password untuk membuka file attachmentnya seperti gambar dibawah ini :

Zhelatin.CT

Contoh File-file Attachment yang dikirim seperti :
  • patch-[4 atau 5 angka/huruf acak].zip
  • hotfix-[4 atau 5 angka/huruf acak].zip
Dimana semua file ZIP ini ketika di extract akan mengeluarkan file executable yang bernama Password-protected-EXE dan terdeteksi sebagai Email-Worm.Win32.Zhelatin.ct.


Setelah surf ke beberapa vendor antivirus ternyata worm ini di kenalin oleh Sophos dengan nama Troj/Dorf-B ... baca disini

Pembetulan untuk yang Advanced menurut Sophos adalah dengan cara menghapus registry di windows
HKLM\SYSTEM\CurrentControlSet\Services\wincom32 dan menghapus file Wincom32.sys di c:\windows\system32 atau mengunakan antivirus terupdate.

Berhati-hatilah jika anda menerima email tidak di kenal dengan subject seperti diatas , dan ingatlah untuk selalu mengupdate antivirus yang anda pakai.

Sumber : F-secure, Sophos, Viruslist,

Socializer Widget
SOCIALIZE IT →
FOLLOW US →
SHARE IT →

3 Comment:

CempLuk said...

aneh aneh saja si pembuat virus..Mungkin kita perlu waspada ssat ini, tambah tahun, virus makin ganas,.saat ini virus .scr bikin geram saja,,..

Agam said...

@cempluk : lho .scr kan gampang banget terdeteksi. Aku pakai Kaspersky udah sering ngehapus virus itu dari Flashdisk :)
Asal antivirusnya update rutin, saya rasa tidak ada masalah.

budhie said...

Waspadalah terhadap Virus Netsky itu juga banyak memasukan file *.scr ke folder yg mengandung kata TEMP atau DOWNLOAD , updatelah selalu antivirus anda. saya memakai NOD32 bisa detekci semua virus tsb