MyDoom

Deskripsi

mydoom juga dikenal sebagai, my.doom , W32.MyDoom@mm , Novarg , Mimail.R , Shimgapi , W32/Mydoom@MM , WORM_MYDOOM , Win32.Mydoom adalah worm komputer yang mempengaruhi Microsoft Windows . Ini pertama kali terlihat pada 26 Januari 2004. Ini menjadi worm email dengan penyebaran tercepat yang pernah ada, melebihi rekor sebelumnya yang dibuat oleh Sobig worm dan ILOVEYOU , sebuah rekor yang pada tahun 2022 belum dapat dilampaui.

MyDoom tampaknya telah ditugaskan oleh spammer email untuk mengirim email sampah melalui komputer yang terinfeksi. Worm berisi pesan teks “andy; Saya hanya melakukan pekerjaan saya, tidak ada masalah pribadi, maaf,” membuat banyak orang percaya bahwa pencipta worm itu dibayar. Awalnya, beberapa perusahaan keamanan menyatakan keyakinan mereka bahwa worm itu berasal dari seorang programmer di Rusia. Penulis sebenarnya dari worm tidak diketahui.

Worm tersebut tampaknya merupakan email yang terkirim dengan buruk, dan kebanyakan orang yang awalnya menerima email worm mengabaikannya, mengira itu adalah spam. Namun, akhirnya menyebar menginfeksi setidaknya 500 ribu komputer di seluruh dunia.

Analisis awal MyDoom menunjukkan bahwa itu adalah varian dari worm Mimail —maka nama alternatifnya Mimail.R— menimbulkan spekulasi bahwa orang yang sama bertanggung jawab atas kedua worm tersebut. Analisis selanjutnya kurang meyakinkan mengenai hubungan antara kedua cacing tersebut.

MyDoom dinamai oleh Craig Schmugar, seorang karyawan perusahaan keamanan komputer McAfee dan salah satu penemu worm paling awal. Schmugar memilih nama setelah melihat teks “mydom” di dalam baris kode program. Dia mencatat: “Sudah jelas sejak awal bahwa ini akan menjadi sangat besar. Saya pikir memiliki ‘malapetaka’ dalam nama akan tepat.”

Cara Kerja MyDoom

MyDoom dibuat oleh Lto3 dan terutama ditransmisikan melalui email , muncul sebagai kesalahan transmisi, dengan baris subjek termasuk “Kesalahan”, “Sistem Pengiriman Surat”, “Tes” atau “Transaksi Surat Gagal” dalam berbagai bahasa, termasuk bahasa Inggris dan Prancis . Email tersebut berisi lampiran yang, jika dieksekusi , mengirim ulang worm ke alamat email yang ditemukan di file lokal seperti buku alamat pengguna. Itu juga menyalin dirinya sendiri ke “folder bersama” dari aplikasi berbagi file peer-to-peer Kazaa dalam upaya untuk menyebar seperti itu.

MyDoom menghindari penargetan alamat email di universitas tertentu, seperti Rutgers , MIT , Stanford dan UC Berkeley , serta perusahaan tertentu seperti Microsoft dan Symantec . Beberapa laporan awal mengklaim bahwa worm menghindari semua alamat .edu , tetapi ini tidak terjadi.

Versi aslinya, Mydoom.A , di gambarkan membawa dua muatan :

• Sebuah pintu belakang pada port 3127/tcp untuk memungkinkan kendali jarak jauh dari PC yang di tumbangkan (dengan meletakkan file SHIMGAPI.DLL-nya sendiri di direktori system32 dan meluncurkannya sebagai proses anak dari Windows Explorer ); pada dasarnya ini adalah pintu belakang yang sama yang di gunakan oleh Mimail .
• Serangan penolakan layanan terhadap situs web perusahaan kontroversial SCO Group , di jadwalkan mulai 1 Februari 2004. Banyak analis virus meragukan apakah muatan ini benar-benar berfungsi. Pengujian selanjutnya menunjukkan bahwa itu berfungsi hanya dalam 25% dari sistem yang terinfeksi.

Versi kedua, Mydoom.B , selain membawa muatan asli, juga menargetkan situs web Microsoft dan memblokir akses ke situs Microsoft dan situs antivirus online populer dengan memodifikasi file host , sehingga memblokir alat penghapus virus atau pembaruan perangkat lunak antivirus. Jumlah salinan yang lebih sedikit dari versi ini yang beredar berarti bahwa server Microsoft mengalami sedikit efek buruk.

Linimasa

26 Januari 2004: Virus MyDoom pertama kali di identifikasi sekitar pukul 08:00 EST (1300 UTC), tepat sebelum awal hari kerja di Amerika Utara. Pesan paling awal berasal dari Rusia. Selama beberapa jam di tengah hari, penyebaran cepat worm memperlambat kinerja internet secara keseluruhan sekitar sepuluh persen dan waktu pemuatan halaman web rata-rata sekitar lima puluh persen. Perusahaan keamanan komputer melaporkan bahwa Mydoom bertanggung jawab atas sekitar satu dari sepuluh pesan email saat ini.

Meskipun serangan penolakan layanan MyDoom di jadwalkan untuk di mulai pada 1 Februari 2004, situs web SCO Group menjadi offline beberapa jam setelah worm pertama kali di rilis. Tidak jelas apakah MyDoom bertanggung jawab atas hal ini. SCO Group mengklaim itu adalah target dari beberapa serangan penolakan layanan terdistribusi pada tahun 2003 yang tidak terkait dengan virus komputer.

• 27 Januari 2004: SCO Group menawarkan hadiah US$250.000 untuk informasi yang mengarah pada penangkapan pencipta worm. Di AS, FBI dan Secret Service memulai penyelidikan terhadap worm tersebut.
• 28 Januari 2004: Sebuah versi kedua dari worm di temukan dua hari setelah serangan awal. Versi baru mencakup serangan penolakan layanan asli terhadap SCO Group dan serangan identik yang di tujukan ke Microsoft.com mulai 3 Februari 2004.

Penyebaran puncak MyDoom

perusahaan keamanan komputer melaporkan bahwa Mydoom bertanggung jawab atas sekitar satu dari lima pesan email saat ini.

• 29 Januari 2004: Penyebaran MyDoom mulai menurun karena bug dalam kode Mydoom.B mencegahnya menyebar secepat yang di perkirakan pertama kali. Microsoft menawarkan hadiah US$250.000 untuk informasi yang mengarah pada penangkapan pencipta Mydoom.B.
• 1 Februari 2004: Di perkirakan satu juta komputer di seluruh dunia yang terinfeksi MyDoom memulai serangan penyangkalan layanan terdistribusi besar-besaran .
• 3 Februari 2004: Serangan penolakan layanan terdistribusi Mydoom.B pada Microsoft di mulai, yang di siapkan Microsoft dengan menawarkan situs web yang tidak akan terpengaruh oleh worm, information.microsoft.com.
• 9 Februari 2004: Doomjuice, cacing “parasit”, mulai menyebar. Worm ini menggunakan backdoor yang di tinggalkan Mydoom untuk menyebar. Itu tidak menyerang komputer yang tidak terinfeksi. Muatannya, mirip dengan salah satu Mydoom.B, adalah serangan penolakan layanan terhadap Microsoft.
• 12 Februari 2004: Mydoom.A di program untuk berhenti menyebar. Namun, pintu belakang tetap terbuka setelah tanggal tersebut.
• 1 Maret 2004: Mydoom.B di program untuk berhenti menyebar; seperti Mydoom.A, pintu belakang tetap terbuka.
• 26 Juli 2004: Sebuah varian dari MyDoom menyerang Google , AltaVista dan Lycos , benar-benar menghentikan fungsi mesin pencari Google yang populer untuk sebagian besar hari kerja, dan menciptakan penurunan yang nyata pada mesin AltaVista dan Lycos selama berjam-jam.
• 23 September 2004: MyDoom versi U, V, W dan X muncul, memicu kekhawatiran bahwa MyDoom baru yang lebih kuat sedang di persiapkan.
• 18 Februari 2005: MyDoom versi AO muncul.
• Juli 2009: MyDoom muncul kembali dalam serangan cyber Juli 2009 yang mempengaruhi Korea Selatan dan Amerika Serikat.

Editor : Rza