This blog is infected by TR/Dldr.Multi.CN.1. The trojan infected it over an sql injection methods. If wordpress server couldn’t detect it, i my self will close this blog forever, as soon as possible..
Perhatian, blog ini (masbadar.wordpress.com) dan wbmsmart.wordpress.com telah saya tenggarai terinfeksi TR/Dldr.Multi.CN.1, kuda troya dari china, karenanya jika pihak wordpress tidak dapat mendeteksinya, saya dgn terpaksa akan segera menutupnya.
———–
Silahkan download halaman ini dan scan menggunakan avira terakhir, atau abaikan saja dan biarkan komputer anda terinfeksi lalu koneksi internet anda jadi putus-nyambung, putus nyambung..
Mohon maaf dgn ketidak nyamanan ini, bagi para user di smartnet, insyallah saya akan segera membangun blog yg lain..
buat yg memiliki kode ini: js.tongji.cn.yahoo.com atau log2.soft.cn.yahoo.com, pertempuran belum selesai…, but the real war has just begun..
bagi yg ingin download dan ucapkan selamat tinggal; kalian punya waktu 1x 48 jam..
bagi yg punya solusi, silahkan kontak 0813 8393 4797, masbadar@yahoo.co.id
—————————————————————
update: alhamdulillah, sudah teratasi utk sementara.
dibahas juga di sini, dan di forum detikinet.
masbadar
dhanand
16 comments
Comments feed for this article
4 Juli 2008 pada 5:34 am
ANAS
TERINFEKSI DARIMANA? SEMUA BLOG MMG DEMIKIAN ATAU HANYA BLOG MASBADAR? SARAN:HPS SEMUA POSTING, KOMENTAR,WIDGET. DRPD BUAT BRU SYG NAMANYA SDH BGS
—————–
syukron akh..sarannya, gimanapun, infeksi ini adalah jenis baru. mungkin beberapa bulan mendatang ana bisa saja dituduh menyebarkan infeksi trojan ini, karenanya, tetap akan ana hapus, baru saja ana bikin backup xml-nya, padahal sayang emang, udah dapet rangking 5. saya nanti akan coba bikin blog dgn nama yg sama. Jadi berpikir lagi untuk dijadikan masbadar.com..
pokoknya kalo gak percaya, silahkan save halaman ini dan nikmati remote control terhadap bandwitdh..
4 Juli 2008 pada 1:54 pm
abasosay
Sepertinya pernah baca yang js di antivirus yang dipakai kantor. Tapi belakangnya beda.
Sepertinya infeksi sudah menyebar ke seluruh dunia. Karena ketika dicari dengan om Google hasil pencariannya banyak. Dan salah satunya merujuk ke http://bimosaurus.multiply.com/journal/item/192
Semoga bermanfaat dan terima kasih.
————————
sangat bermanfaat, saya akan mengumpulkan info semacam ini. Semalam saya coba who-is sana who-is sini, dapetnya info ini:
———————————–
Domain Name : 222.216.28.25
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 222.216.0.0 – 222.218.255.255
netname: CHINANET-GX
descr: CHINANET Guangxi province network
descr: China Telecom
descr: No1,jin-rong Street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CR766-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-GX
mnt-routes: MAINT-CHINANET-GX
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation’s account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: 20040324
source: APNIC
role: CHINANET GUANGXI
address: No.35,Minzhu Road,Nanning 530015
country: CN
phone: +86-771-2815987
fax-no: +86-771-2839278
e-mail:
trouble: send spam reports to
trouble: send abuse reports to
trouble: times in GMT+8
admin-c: CR76-AP
tech-c: BD37-AP
nic-hdl: CR766-AP
remarks: http://www.gx.cninfo.net
notify:
mnt-by: MAINT-CHINANET-GX
changed: 20021024
source: APNIC
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail:
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: 20070416
mnt-by: MAINT-CHINANET
source: APNIC
————————————-
berdasarkan no ip yg terlihat ketika loading halaman blog ini dan tercatat lewat netstat di command promt. thanks bro.. udah mampir..
4 Juli 2008 pada 3:20 pm
abasosay
Mmm… Saya jadi iseng liat wordpress.com dan botd barusan… Dan muncul di status browser (saya pakai Firefox) : Waiting for js.tongji.cn.yahoo.com… Lalu saya iseng juga refresh dasbor-nya… Dan ternyata ada juga… Apakah ini memang defaultnya WP? Apa jaringan kantor saya kena juga ya? Waduh… Bisa lembur sampai pagi kalau gini caranya…
Thanks infonya bro…
———————–
masbadar: ok, ternyata banyak respons. saya masih menggunakan avira untuk menghadang trojan ini yg meminta update, tetapi avira gak bisa mendetectnya ketika scanning. AVG malah lebih parah. gak bisa ngapa-ngapain. Coba gunakan internet explorer yg versi 6 ke atas, kayaknya script ini trojan ini di blok lho. Saya barusan buang firefox 3.0 nya, karena alasan ini, security. ketika mengakses halaman page ini (masbadar.wordpress.com) meski agak lambat, pake ie ternyata cukup aman.
nb; insyallah malam ini saya akan mulai proses mematikan blog ini
4 Juli 2008 pada 6:22 pm
Bode
assalammualaikum\ Mas di kompiku juga kena itu… ampe pusing koneksi kok lelet banget.
gimana ya cara solusinya kirim ke e-mail saya please…wassalam
Bode
———
masbadar: waalaikumussalam, untuk sementara, gunakan avira atau bitdefender, coba norton, lalu deep scanning, jgn gunakan fire fox dulu, karantina komputer anda, bila terpaksa backup semua data dan reformat aja partisi systemnya. ttg email, mungkin lain kali, lagi sibuk nih..
5 Juli 2008 pada 8:31 am
aglc
JUST INFo….
———-
welcome back ..
5 Juli 2008 pada 6:51 pm
gombal trendy
saya menggunakan Firefox 3,
dan sudah mencoba mendownload halaman ini,namun tidak menemukan hal yg aneh. Anti virus dan anti malware (update signature base) tidak mendeteksi apapun.
Jaringan saya pun aman-aman saja. Kemungkinan besar komputer / jaringan anda belum clean dari trojan ini. Bila antivirus anda mendeteksi sesuatu (trojan ini), bukan berarti komputer anda telah bersih.
Saya juga pernah mengalami hal yang sama. Saat itu Kaspersky selalu memberikan warning dan berhasil membloknya (berdasarkan pesan yg diberikan kaspersky)
Namun nyatanya jaringan saya masih terinfeksi. Hingga saya keluarkan jurus pamungkas …..
Instal ulang semua pc tanpa terkecuali ….
Untuk memastikannya, coba akses halaman blog anda di tempat lain, di luar jaringan anda (yg belum terkena trojan ini). Apakah memiliki efek yg sama.
Semoga anda terhindar dari musibah (menghapus blog yg telah susah payah anda buat)
Salam
GomBaL VanBeLL
——————————-
masbadar: yup, siap-siap lembur. Saran anda saya terima, dan tadi malam sudah saya lakukan reformat 2 pc dan install win xp sp3.., akhirnya, gak jadi ngebuang firefox 3.
7 Juli 2008 pada 10:49 am
masbadar
Terima kasih untuk semua komentator. Saran kalian semua sangat berharag. Al Hamdulillah, jaringan dan pc serta blog ini sekarang, pagi ini, udah bersih dari trojan, semoga gak sementara. Thank you all..
7 Juli 2008 pada 1:12 pm
Suluh
weleh kirain wp.com kena trojan beneran… ternyata cuma jaringannya toh… hik hik hik…. syukurlah…
————-
masbadar: alhamdulillah, hari ini saya udah bisa bernafas lega..
7 Juli 2008 pada 9:19 pm
Arif
saya dapat dari temen :
sementara dapat mengatasi,
1. open file ‘hosts’, yang ada di folder:
c:\windows\system32\drivers\etc
2. tambahkan:
127.0.0.1 mx.content-type.cn
Solusi ini cukup membantu untuk memulihkan kecepatan akses internet.
———————-
masbadar: trims’ sarannya, langsung sy praktekkan
17 Juli 2008 pada 2:29 pm
hanco
bukan blognya mas, tapi networknya yang telah terpoisoning oleh salah satu pc yang terinfeksi tongji.
di tempat saya ada 4 model adsl speedy.
hanya satu pc yang terinfeksi dan di gateway kan ke modem1
sedangkan saya modem 2.
ketika saya pindah gateway 1 ternyata ada loading dari firefox ke situs berikut.
log2.soft.cn.yahoo.com
js.tongji.cn.yahoo.com
dt.tongji.cn.yahoo.com
tetapi ketika saya pindahkan ke modem yang lain aman2 saja, bersih.
begitupun juga ketika saya membuka settingan modem yang telah terpoisoning jaringannya. maka akan keluar loading seperti diatas. tp tidak untuk 3 modem yang lain. Sepertinya itu disebabkan mac address dari modem yang terinfeksi sama dengan mac address dari pc yang terinfeksi.
Tentunya itu membuat kita bingung ketika kita hanya punya 1 gateway.
Semoga membantu
——————
masbadar: ya betul..tadinya saya mau me-reset modem, tapi, mendingan pasang modem yg lama aja dari pada kelamaan nyetting..
Komentar anda sangat membantu, bukan saja buat saya tapi buat semua temen2 yg punya masalah yg sama dan nyasar ke sini..
17 Juli 2008 pada 9:36 pm
Bode
assalammualaikum… Mas Badar.. Makasih atas infonya, saya juga dapet info dari milis dan web yang membahas tentang trojan ini banyak sekali.. semua kompi saya udah saya install ulang, dan sudah pake deep freeze tapi masih kadang2 sering muncul di broser link tersebut. kemungkinan kalau router kena trojan ini bisa ga?. Router Modem saya , bukan PC, jadi merek SMC. apa mungkin saya udah reset manual dan upgrade firmware masih kena juga dan router ini bisa terinfeksi.
Untuk tambahan info saja, Pake deepfreeze versi 6 sepertinya tidak mempengaruhi trojan tetep bisa muncul kembali.
Terus saya agak curiga denga File dengan extensi *.gif biasanya namana angka 1,2,atau 9 dst kalo ini muncul biasanya broser firefox akan memunculkan trojan ini. file ini bercokol di C:\Documents and Settings\Win\Local Settings\Temporary Internet Files. dan C:\Documents and Settings\Win\Local Settings\Temp
terus ada virus yang ngubah Jpeg menjadi .exe.
Niatnya aku mau format semua PC dan intall ulang. dan saya masih ragu apakah virus ini akan juga menginfeksi data backup saya. dan semua yang saya lakukan juga percuma. Saya udah ga tidur beberapa hari oleh kerjaan virus ini. untuk semuanya semoga info saya dan sharingnya saya ucapkan terima kasih.
Semoga solusi terbaik yang bisa ditemukan.
amin… wass.
Tantobode
——————————
masbadar: Walaikum salam, saat ini di jaringan saya, cuma ada 12 pc sih, udah terbebas dari serangan ini. Langkah2 yg telah sy lakukan adalah; update system dalam hal ini win-xp, ke sp3, aktivkan antivirus avira, scan semua ip dalam jaringan; dalam hal ini gunakan software ip scanner yg baik yg mampu memantau setiap aktivitas di jaringan sehingga kita tahu pc mana yg tengah berkomunikasi dengan server trojan ini sebab satu saja pc yg tetap terhubung dgn server ini, tahu sendiri kan, semua pc dlm jaringan yg sama pasti kena..
pantau terus perkembangan virus ini lewat link2 yg ada di halaman ini.
kalao ente punya YM, silahkan add ane, masbadar
21 Juli 2008 pada 1:19 am
[cgi-error]
wkowkwokwo blog gue juga kena ama Network ku kwowkowkoww..wkowkow. Santai dimana2 pirus emang bikin mumet kepala .. war just begin bener kui kang mas badar. Emang koneksi kita jadi lelet and sering putus-putus
—————-
masbadar: emang, bikin mumet kepala. koneksi jadi lelet, download sering diinterupsi alias di remote dari entah di mana sin tongji ngumpet. Ah sial emang nge-remote koneksi orang seenaknya.
21 Juli 2008 pada 8:16 pm
[cgi-error]
heheheh .. tapi ada berkahnya juga tuh .. kena paman tongji
lmyn dapet sourcecode tongji.js ama day.js bisa dimerger ama noclose.1 a.k.a noclose.js
..oya mengenai blog .. gak perlu di tutup benernya cukup di ganti aja wordpress yg lama di delete aja ..instal wp baru .. and theme juga …ganti yg fresh dari pada nutup blog sayang banget
————————–
masbadar: ya setiap musibah selalu ada hikmah. Semoga temuan anda bermanfaat bagi rekan2 lain yg terkena tong ji. Bagi2 ilmua donk ke temen2 lain ttg itu..
eh, wp saya udah normal kok, lagian saya ndak pake wp.org yg diinstal, tapi wp com yg gampangan saja he..he
24 Juli 2008 pada 5:15 pm
Trend Tekno
mas badar.. pc saya juga kena dan saya juga menggunakan firefox3. Saat ini, saya mendownload add on yaitu no script. ada saran lain?
—————————
masbadar: update win xp ke sp3, reset modem jika pake adsl, hapus semua chache dari fire fox. Saya udah pake firefox 3 lagi dan gak pake noscript sama sekali, bikin ribet. Silahkan klik di forum2 pada link2 di halaman ini.
25 Juli 2008 pada 9:11 am
Trend Tekno
mas badar, apa harus di install ke windows XP? sebab sekarang saya menggunakan win 2000. Saya sendiri sudah mereset modem ADSL jaringan, dan keliatannya, tidak ada masalah dengan ADSL. Saya sudah baca komentar mas badar, untuk melakukan scan kepada IP dengan menggunakan mac ip scanner. Bisa dijelaskan mas badar?
——————————
masbadar: win2000 mah berat, apalagi kalo diinstal ke-4 spnya. Dah ganti aja, kalo emang bisa beli xp. scan ip pake colasoft mac ip scanner aja, guampang.
25 Juli 2008 pada 9:41 am
Trend Tekno
Mas badar, aku udah scan dengan colasoft mac address, dan memang ternyata ada MAC yang sama dengan mac modem. Tapi anehnya, sewaktu aku ping -a, dia RTO. Apakah selalu begitu ya?
—————————
masbadar: nah, kalo udah ketemu coba fokusin ke pc dgn ip itu. Apain kek, pasang antivirus terupdate, misal avg atau avira, bitdefender atau apa yg paling bagus, lalu scan sampe abis. Di jaringan saya, telah tedeteksi pc mana yg terinfeksi, karena saya pasang antivir, dalam hal ini, avira, karena avira aktiv maka itu kode di folder chache gak bisa ke mana-mana, dan pada akhirnya saya hapus ketika scanning. Jaringan saya kini udah aman dan normal.