NewApt.worm

Nama virus : NewApt.worm
Dilaporkan pada tanggal: 13 Desember 1999
Ditemukan pada tanggal : 14 Desember 1999

AVERT menerima laporan dari pelbagai negera mengenai virus ini pada tanggal 13 Desember 1999. Besar file yang dikirim melalui e-mail adalah 69.632 byte.
NewApt adalah virus email yang ditemukan pada tanggal 14 Desember 1999 dengan tingkat resiko yang tinggi (AVERT).
Virus ini menyebar melalui attachment e-mail. Isi e-mail tersebut berbeda tergantung dari apakah e-mail client kita bisa membaca HTML atau tidak.

Jika bisa membaca HTML maka akan muncul :

http://stuart.messagemates.com/index.html

Hypercool Happy New Year 2000 funny programs and animations...

We attached our recent animation from this site in our mail ! Check it out

Jika tidak maka akan muncul :

he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff

Attachment virusnya berupa (secara acak) salah satu dari file :

baby.exe
bboy.exe
boss.exe
casper.exe
chestburst.exe
cooler1.exe
cooler3.exe
copier.exe
cupid2.exe
farter.exe
fborfw.exe
goal.exe
goal1.exe
g-zilla.exe
irngiant.exe
hog.exe
monica.exe
panther.exe
panthr.exe
party.exe
pirate.exe
s.exe
saddam.exe
theobbq.exe
video.exe

Jika kita mengeksekusi file attachment ini, maka akan muncul pesan kesalahan seperti ini :

The dinamic link library giface.dll could not be found in the specified path [list of directory names]

Perhatikan pengejaan yang salah dari kata dynamic.
Jika virus ini mendeteksi adanya Outlook Express yang terinstal, maka ia akan mencari daftar alamat dari mail yang diterima pada seluruh folder di Outlook Express. Pada waktu lain jika kita memboot Windows, virus itu akan menunggu beberapa waktu dan kemudian mencoba mengirim sendiri mail seperti yang telah diceritakan di atas ke alamat yang diperolehnya.
Pada waktu virus itu mengecek bahwa telah terinstal MS Outlook Express, dua file akan ditulis pada direktori C:\Windows yaitu :
mma : yang berisi daftar e-mail address
dan
mmail : yang berisi direktori dari MS Outlook Express
File attachment ini di save didirektori Windows dan virus ini akan mengubah registri agar selalu meload file attachment ini pada startup. Caranya dengan menambah opsi command line dengan "/x".
Contohnya, jika kita menjalankan (file attachment) chestburst.exe maka registri akan berbentuk :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run tpawen = c:\windows\chestburst.exe /x

Pada waktu Windows diboot, file ini akan dimuat. Jika file ini sudah berada di memori (RAM), maka ia akan menunggu beberapa waktu kemudian berusaha mengirim mail sejenis ke e-mail address yang sudah terdaftar di file mma.
Sementara virus ini aktif di sistem Windows 9x, file DLL berikut ini yang turut bekerja :
C:\WINDOWS\SYSTEM\WSOCK32.DLL C:\WINDOWS\SYSTEM\WININET.DLL C:\WINDOWS\SYSTEM\SHLWAPI.DLL C:\WINDOWS\SYSTEM\USER32.DLL C:\WINDOWS\SYSTEM\GDI32.DLL C:\WINDOWS\SYSTEM\ADVAPI32.DLL C:\WINDOWS\SYSTEM\KERNEL32.DLL
Jika kita menjalankan Outlook Express maka akan turut bekerja pula file :
TAPI32.DLL
(gunakan program Regmon untuk melihat aktifitas virus ini)

Diagnosa
Cara mengetahui apakah komputer kita sudah tertular virus ini adalah dengan mencari file yang telah disebutkan di atas (file *.exe) di sistem komputer kita dan juga adanya kehadiran file-file (mma dan mmail) pada direktori windows serta registri.

Variants
Tidak diketahui

Aliases
I-Worm/MesMate, TROJ_NEWAPT.WORM, W32.NewApt.worm, W32/NewApt.worm

Minimum Dat
4058

Minimum Engine
4.0.25

Demikian informasi dari saya semoga berguna.
Jakarta, 24 Desember 1999

Website antivirus yang layak untuk dikunjungi :

Majalah Antivirus yang layak untuk dibaca :
Antivirus Media http://www.mikrodata.co.id/avm

Ikuti informasi virus terbaru di Virus Clinic :
Erik's Pages http://dokter.indo.net.id/