Jika anda menanyakan, virus apa yang merajai dunia dan Indonesia pada
paruh tahun ke dua 2008. Jangan terkejut jika jawabannya adalah kuda
hitam Antivirus Gadungan yang banyak disebut dengan istilah Rogue
Scanner, Advance Antivirus atau Scamware. Jika anda bingung apa yang
Vaksincom bicarakan, bahasa yang lebih membumi dan membuat pengguna
komputer sadar adalah Antivirus XP 2008, Antivirus XP 2009, IE Defender,
Internet Antivirus, SpyHeal, SpySheriff yang kalau diteruskan daftarnya
akan cukup membuat pegal baik mengetik maupun membacanya. (lihat contoh
Antivirus XP di gambar 1).
Gambar 1, XP Antivirus / Antispyware 2009 yang memalsukan diri sebagai
program antivirus.
Jumlah Antivirus Gadungan saat ini yang terdeteksi adalah 304 antivirus
gadungan. Data yang dikumpulkan statistik virus Vaksincom didukung data
statistik Norman Network Protector (NNP) yang di instal di beberapa ISP
mengkonfirmasikan hal ini. Dapat dipastikan ribuan komputer di Indonesia
yang terkoneksi ke internet terinfeksi virus ini dan celakanya virus ini
memiliki genetik Spyware dan memiliki kemampuan mengupdate dirinya
sendiri, sehingga untuk membersihkannya membutuhkan perjuangan berat dan
beberapa user yang kesal memilih jurus Pasopati (format :P).
Antivirus Gadungan ini memiliki banyak cara menyebarkan dirinya, menurut
pengamatan Vaksincom metode ini selalu diperbaharui setiap kali
ditemukan cara efektif mengatasinya. Adapun metode yang umum digunakan
adalah sebagai berikut :
*
Mengeksploitasi celah keamanan (Java Script) browser waktu mengunjungi
website tertentu sehingga akan terinstal secara otomatis dan
menampilkan peringatan palsu.
*
Menawarkan scan malware gratis atau tune up sistem komputer gratis.
*
Email, dalam hal eksploitasi email pembuat virus ini cukup kreatif.
Adapun bentuk-bentuk email yang terdeteksi adalah sebagai berikut :
*
Kartu ucapan / greeting card. Email yang datang juga memiliki banyak
varian, baik yang datang dalam lampiran bervirus (biasanya di kompres
/ zip) maupun hanya link download yang memanfaatkan fitur "drive
by download".
*
Breaking News dari CNN atau situs berita yang lain.
*
Menawarkan film porno artis ternama seperti Angelina Jolie yang
dikombinasikan dengan baik sekali dengan rekayasa sosial pada situs
You Tube. Dimana file yang mengandung virus seakan-akan harus di
download sebagai codec (file yang diperlukan untuk menonton file film
di You Tube). Lihat artikel
http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html<
http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html>
*
Datang dalam lampiran terkompres seperti yang terakhir ditemui
Vaksincom datang sebagai email konfirmasi pengiriman barang dari UPS
yang meminta kita mencetak invoice .doc yang sebenarnya adalah file
virus karena memiliki ekstensi ganda (ups_letter.
doc.exe). Supaya
lampiran ini tidak diblok di mailserver ia di kompres terlebih dahulu
dengan nama "ups_letter.zip". (lihat gambar 3)
Masih ingatkah anda pada artikel virus "anjelina jolie" atau yang lebih
dikenal dengan "AntivirusXP 2008", virus yang umum-nya menyerang para
pengguna e-mail yang kemudian alih-alih justru mendownload serta
meng-install antivirus palsu. Berikut informasi selengkapnya pada,
http://vaksin.com/2008/0708/anjelina-jolie/anjelina-jolie.html
<http://vaksin.com/2008/0708/anjelina-jolie/anjelina-jolie.html> , dan
http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html
<http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html> .
Bagi anda yang masih "trauma" dengan kasus virus tsb, maka kali
ini anda harus bersiap-siap dengan kedatangan varian terbaru virus tsb.
Jika sebelumnya menggunakan nama "AntivirusXP 2008", maka kali
ini menggunakan nama "XP AntiSpyware 2009".
Jika anda menerima e-mail dari UPS (United Parcel Service) yang disertai
lampiran UPS_letter.zip (lihat gambar 2)
Gambar 2, Antivirus Gadungan mengeksploitasi kelemahan mailserver dengan
mengirimkan virus melalui file terkompres.
maka sebaiknya jangan sekali-kali dibuka karena akan menginfeksikan
komputer anda dengan Antivirus Gadungan.
E-mail tsb menyertakan attachment file dengan nama
"UPS_letter.zip", yang didalamnya berisi sebuah file virus yang
memiliki ekstensi ganda, UPS_letter.doc.exe, dan menggunakan icon word
serta berukuran 42 kb. (lihat gambar 3)
Gambar 3, Isi file virus
Jika anda sudah terlanjur membuka attachment tsb, maka file virus yang
terdapat pada attachment file tsb secara otomatis akan tereksekusi dan
membuat beberapa file virus pada komputer anda. Berikut beberapa file
virus yang akan dibuat oleh virus :
- C:\WINDOWS\system32\braviax.exe (10 kb)
- C:\WINDOWS\brastk.exe (10 kb)
- C:\WINDOWS\system32\brastk.exe (10 kb)
- C:\WINDOWS\karna.dat (6 kb)
- C:\WINDOWS\system32\karna.dat (6 kb)
- C:\WINDOWS\system32\delself.bat (1 kb)
- C:\WINDOWS\Tasks\SA.dat (1 kb)
- C:\Program Files\Microsoft Common\wuauclt.exe (42 kb)
- C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary
Internet Files\content.ie5\4jkxkjch\kashi[1].exe (43 kb)
- C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary
Internet Files\content.ie5\4jkxkjch\kashi[1].exe (43 kb)
Kemudian setelah membuat beberapa file virus dan aktif pada proses
windows, virus akan mulai beraksi dengan memberikan sebuah pesan palsu
(menyerupai program windows), yang seolah-olah memberitahu anda bahwa di
komputer kita terdapat spyware/virus. (lihat gambar 4)
Gambar 4, Pesan palsu yang dibuat oleh virus.
Dengan pesan tsb, virus ini akan "memaksa" anda untuk mengklik
link yang dituju. Jika anda sudah mengklik pesan tsb, maka virus akan
mendownload secara otomatis file instalasi antispyware palsu, yang
secara otomatis pula akan menginstall dirinya (lokasi file download tsb
yaitu http://xpas-2009.com/install/Installer.exe
<http://xpas-2009.com/install/Installer.exe> ). (lihat gambar 5)
Gambar 5, Instalasi AntiSpyware palsu.
Saat anda melanjutkan proses selanjutnya, antispyware palsu ini akan
mendownload beberapa file virus berikut file instalasi antispyware tsb.
Beberapa file yang didownload oleh virus tsb, yaitu :
- C:\Program Files\Common Files\ : ibureqag.dll, nysexireh.vbs,
ybofomas._sy (nama file acak)
- C:\WINDOWS\ : yvohidol.bin, dyfype._dl (nama file acak)
- C:\ WINDOWS\system32\iceze.dl (nama file acak)
- C:\Documents and Settings\all users\Documents\ : isir.sys, tucyf.sys
(nama file acak)
- C:\Documents and Settings\%user%\Application Data\ : iwin.dat,
jikym.vbs, ojahu.pif, pejax.exe, ypehij.db (nama file acak)
- C:\Documents and Settings\%user%\Cookies\ : ahicixicyd.reg,
ihowed.exe, itaw.bin, lebiwige.db, ytar.vbs (nama file acak)
- C:\Documents and Settings\%user%\Local Settings\Application Data\ :
awapufu.lib, iqodud.lib, umyh._sy (nama file acak)
- C:\Documents and Settings\%user%\Local Settings\Temporary Internet
Files\ibykotit.vbs (nama file acak)
Gambar 6, Antivirus Gadungan menjalankan aksinya menakuti-nakuti
korbannya dengan memberikan peringatan adanya infeksi virus palsu.
Selanjutnya virus meng-install program antispyware palsu yaitu "XP
AntiSpyware 2009". Program ini tidak jauh berbeda seperti halnya
program antispyware lain, seperti terdapat shortcut pada desktop,
terinstall pada C:\Program Files, terdapat shortcut pada Start Menu,
icon pada taskbar dan terdaftar pada Add Remove Program (lihat gambar
7). Bedanya adalah program ini bukan antispyware, melainkan spyware :P.
Untuk meyakinkan korbannya mendownload lebih banyak spyware lagi, ia
akan menjalankan aksinya menampilkan pesan "seram" bahwa
komptuer tersebut terinfeksi virus-virus dengan resiko tinggi (lihat
gambar 6).
Gambar 7, Untuk meyakinkan korbannya bahwa ia adalah program
"baik-baik" XP Antispyware 2009 akan mendaftarkan dirinya pada
Program Files Windows.
Setelah terinstall dengan mudah, program antispyware palsu akan
menjalankan aksi-nya (melakukan scanning palsu dan menampilkan pesan
palsu).
Setelah selesai menjalankan aksinya, virus akan memberikan report palsu
serta meminta anda untuk melakukan register program antispyware palsu
tsb. Jika anda tidak ingin melakukan register, maka program akan
menampilkan pesan infeksi virus secara terus menerus, dan virus akan
terus menambah atau mendownload file virus. (lihat gambar 8)
Gambar 8, Report program antispyware palsu, meminta anda untuk register.
Jika anda melakukan register, maka anda akan di bawa ke sebuah website
yaitu : http://www.xp-antispyware2009.com/buy.html
<http://www.xp-antispyware2009.com/buy.html> , dimana anda harus
membayar sebesar $49.95 hingga $79.95 secara online dengan menggunakan
kartu kredit (lihat gambar 9). Hebatnya website ini berfungsi dan
memiliki sistem untuk mendebet Kartu Kredit anda. Kalau anda merasa
cukup banyak uang dan memiliki kartu kredit untuk membeli antivirus ini.
Maka ibarat kata pepatah, "Sudah Jatuh, Tertimpa Tangga, Di gigit
anjing Tetangga, anjingnya Rabies lagi"alias sial banget. Mengapa ?
Karena :
1.
Anda sudah dibodohi dengan peringatan virus palsu (sudah rugi moril).
2.
Anda kehilangan uang (rugi materi)
3.
Anda akan mendapatkan produk yang anda kira antivirus, tetapi ternyata
virus / spyware juga. Jadi anda membayar untuk mendapatkan spyware.
4.
Kartu kredit anda akan di charge besar, tidak sesuai dengan nominal
yang tertera pada saat transaksi.
5.
Kartu kredit anda akan dijadikan sebagai daftar Fraud. Jadi, jika anda
pernah bertransaksi membeli antivirus gadungan ini, Vaksincom
menyarankan sebaiknya segera matikan nomor kartu kredit anda dan ganti
dengan nomor baru.
Gambar 9, Website yang digunakan untuk menerima pembayaran secara
online. Perhatikan Award yang tercantum adalah palsu semua.
Jika dilihat sekilas, ibaratnya mata-mata Korea Utara yang cantik,
website tsb mampu menipu user dengan menampilkan beberapa data palsu
seperti definisi virus terbaru, penghargaan dari beberapa majalah IT
dunia, testimonial dari para pengguna program antispyware palsu serta
beberapa keuntungan menggunakan program antispyware palsu tsb, dll.
Selain itu, jika suatu ketika anda gagal browsing ke sebuah website atau
website yang anda kunjungi tidak dapat ditemukan, maka virus akan
menggantikan halaman yang error (page error), dengan halaman website
pengganti (lihat gambar 10)
Gambar 10, Halaman web pengganti page error.
yang sudah dipersiapkan oleh virus ini (yang tentu-nya juga akan
menampilkan pesan untuk melakukan register dan diarahkan ke website
palsu virus). Pokoknya benar-benar lengkap dan profesional cara kerja
Antivirus Gadungan ini.
Registri Windows
Agar dapat aktif saat komputer dijalankan, virus akan membuat string
registry sebagai berikut :
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
braviax = C:\WINDOWS\system32\braviax.exe
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Windows
AppInit_DLLs = karna.dat
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
braviax = C:\WINDOWS\system32\braviax.exe
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
brastk = brastk.exe
Selain itu, virus membuat string berikut :
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image
File Executions Options\Explorer.exe
Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe
Untuk mengubah default web, virus pun membuat string berikut :
*
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
Search Bar = http://www.google.com/ie <http://www.google.com/ie>
Search Page = http://www.google.com <http://www.google.com/>
Start Page = http://www.google.com <http://www.google.com/>
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
Default_Search_URL = http://www.google.com/ie
<http://www.google.com/ie>
Search Page = http://www.google.com <http://www.google.com/>
Start Page = http://www.google.com <http://www.google.com/>
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
SearchAssistant = http://www.google.com <http://www.google.com/>
Selain itu, virus pun membuat string pada security windows berikut :
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = 1
FirewallDisableNotify = 1
UpdateDisableNotify = 1
Untuk mempermudah penyebaran, virus pun membuat string :
*
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\
MountPoints2\{706ab86c-937e-11dd-a04c-000c290bc510}\Shell\AutoRun\Comman\
d
(Default) = C:\WINDOWS\system32\RunDLL32.EXEShell32.DLL,
ShellExec_RunDLL system.exe
*
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\
MountPoints2\{706ab86c-937e-11dd-a04c-000c290bc510}\Shell\Explorer\Comma\
nd
(Default) = %drive%:\system.exe
*
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\
MountPoints2\{706ab86c-937e-11dd-a04c-000c290bc510}\Shell\Open\Command
(Default) = %drive%:\system.exe
Menyebarkan diri melalui Flash Disk
Kelihatannya virus ini juga "belajar" dari pembuat virus
Indonesia. Sebagai media penyebaran awal, virus mencoba menggunakan
media "Flashdisk" ataupun "Disket", dengan memanfaatkan
system autoplay windows agar dirinya dapat aktif secara otomatis setiap
kali user akses ke Flashdisk tersebut (lihat gambar 11). File yang di
buat yaitu :
*
autorun.inf
*
system.exe
Gambar 11. File virus infect disket atau flashdisk
Selain itu, ia pun dapat menyebar melalui e-mail (dengan mengirim pesan
palsu dengan lampiran), dan media chatting seperti IRC.
Cara pembersihan virus Rogue Spyware
*
Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
*
Scan komputer anda dengan menggunakan removal tool dari Norman.
Anda dapat menggunakan removal tool dari Norman untuk membersihkan-nya
(dapat anda download melalui link dibawah ini).
http://download.norman.no/public/Norman_Malware_Cleaner.exe
<http://download.norman.no/public/Norman_Malware_Cleaner.exe> (lihat
gambar 12)
Gambar 12, Gunakan Norman Malware Cleaner untuk memberishkan virus
*
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah
dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Internet Explorer\Main, Search Bar, 0
HKCU, Software\Microsoft\Internet Explorer\Main, Search Page, 0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Default_Search_URL, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Search Page, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Start Page, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant, 0
HKLM, SOFTWARE\Microsoft\Security Center, AntiVirusDisableNotify, 0
HKLM, SOFTWARE\Microsoft\Security Center, FirewallDisableNotify, 0
HKLM, SOFTWARE\Microsoft\Security Center, UpdateDisableNotify, 0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,
AppInit_DLLs, 0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, braviax
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, braviax
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, brastk
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2,
{706ab86c-937e-11dd-a04c-000c290bc510}
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executions
Options, Explorer.exe
Gunakan notepad, kemudian simpan dengan nama "Repair.inf"
(gunakan pilihan Save As Type menjadi All Files agar tidak terjadi
kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus
tidak aktif kembali.
*
Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya
menggunakan antivirus yang ter-update dan mengenali seluruh file
instalasi virus ini dengan baik seperti Norman Security Suite.
