Welcome To My Blog

Sabtu, 29 Oktober 2011

Virus Facebook: Hati-Hati Saat Mereset Password

Ada virus ‘Facebook’ baru, W32/Oficla.FA yang mirip dengan Bredolab atau Pendex.

Bukan hanya scam Facebook palsu tetapi mengandung virus berbahaya

Dimana ada gula, disitu ada semut, pepatah lama ini terbukti berlaku sampai hari ini. Perkembangan situs jejaring sosial yang sangat luar biasa dimana Facebook adalah salah satu situs jejaring sosial dengan perkembangan pengguna yang sangat tinggi dan seperti yang diperkirakan, virus yang mengeksploitasi Facebook juga bermunculan sejak pertengahan tahun 2009. Seperti Bredolab, Koobface, lihat artikel Vaksincom disini dan disini. Sebenarnya tidak ada hal yang baru dari satu virus yang di deteksi Norman sebagai W32/Oficla.FA karena payloadnya memang sangat mirip dengan Bredolab atau Pendex. Dan kabar buruknya, walaupun varian awalnya sudah terdeteksi oleh program antivirus di akhir tahun 2009, virus ini memiliki kemampuan mengupdate dirinya setiap kali di deteksi oleh program antivirus dan setiap kali menginfeksi ia akan mendownload virus baru ke situs yang telah dipersiapkannya. Jika anda menerima virus ini, bukan cuma scam (email bohong) yang anda terima, tetapi email mengandung virus yang akan menginstalkan program jahat dengan isi yang direkayasa sedemikian rupa sehingga sangat meyakinkan sehingga pengguna awam Facebook akan langsung menjalankan lampiran tersebut tanpa berpikir dua kali. Hal ini terjadi karena perkembangan pembuat malware saat ini sudah bukan programmer iseng yang ingin menunjukkan jati dirinya dengan membuat virus, tetapi sudah menjadi kejahatan terorganisir dimana membuat virus dan mengarahkan ke Rogue Antivirus / Fake Antivirus sudah menjadi mata pencaharian bagi sebagian kalangan. Ibaratnya anda kalau bermain game Warcraft melawan komputer, walalupun memainkan level yang paling sulit sekalipun (level Hell) cepat atau lambat dapat dipastikan anda akan dapat mengalahkan komputer karena komputer memiliki keterbatasan dalam berpikir dibandingkan otak manusia. Tetapi jika anda bermain multiplayer melawan manusia lain, yang terjadi adalah sebaliknya, cepat atau lambat dapat dipastikan anda akan kalah karena lawan anda adalah manusia yang tidak kalah pintar dari anda. Barcelona saja bisa kalah J (Jangan bilang …… gimana PSSI :p.)

Akibat yang ditimbulkan oleh virus ini dapat dibilang sangat merepotkan, bukan hanya password Facebook anda yang dapat hilang, tetapi dengan menjalankan virus ini anda sudah memberikan akses pada semua kredensial (username dan password) di komputer anda, termasuk data kartu kredit dan data keuangan lain yang pernah atau akan anda gunakan untuk transaksi online. Karena itu, salah satu cara yang terbaik untuk terhindar dari virus ini adalah jangan mudah mempercayai apa yang datang di email karena semuanya bisa dipalsukan. Jangankan pesan, gambar atau background yang bisa dibuat semirip mungkin dengan situs Facebook, pengirim (from) juga dapat dipalsukan seakan-akan dari administrator Facebook.

Trend penggunaan berbagai aktifitas jejaring sosial seperti Facebook dan Twitter sudah sangat umum digunakan bagi semua orang. Kemudahan aktivitas jejaring sosial tersebut dapat digunakan sebagai sarana informasi dan juga komunikasi dengan sesama pengguna. Banyak fitur-fitur yang dilengkapi agar semakin memudahkan pengguna menggunakannya. Salah satu yang umum yaitu fitur “Forgot your password?”. Fitur ini dapat membantu pengguna jika kehilangan atau lupa “password” yang digunakan saat akan login/masuk. Dengan mencantumkan alamat e-mail, maka akan dikirimkan sebuah e-mail yang berisi sebuah link yang akan digunakan untuk me-reset passwordyang baru.

Tetapi bagaimana jika yang dikirimkan bukanlah sebuah link konfirmasi untuk me-reset password, tetapi justru dikirimkan sebuah informasi yang disertakan attachment file? Jika seperti itu, maka anda harap berhati-hati karena bisa jadi anda telah menjadi sasaran serangan virusFacebook. Jika sebelumnya anda pernah membaca salah satu artikel Vaksincom tentang virus Facebook atau Bredolab yaitu http://wp.me/pyx30-w3, maka kali ini kami menemukan salah satu varian terbaru virus Facebook tersebut dengan nama Oficla.

Email yang dikirimkan dan mengandung virus Oficla memiliki ciri yang sama dengan Bredolab seperti : (lihat gambar 1)

Gambar 1. Email yang dikirimkan dan mengandung virus Oficla

FILE VIRUS

Attachment file yang disertakan mengandung virus Oficla yang telah di kompress zip, berisikan file virus yang berukuran 48 kb dan memiliki icon mirip dokumen. Jika anda menjalankan file tersebut, maka virus akan membuat beberapa file induk yaitu :

- C:\Documents and Settings\klasnich\reader_s.exe

- C:\Documents and Settings\klasnich\Local Settings\Application Data\ave.exe

- C:\WINDOWS\system32\reader_s.exe

GEJALA & EFEK VIRUS

Beberapa gejala dan efek yang terjadi jika anda terinfeksi varian virus Oficla yaitu sebagai berikut :

ü Scareware Fake Antivirus/Antispyware

Sama seperti varian virus Bredolab, varian virus ini mendownload dan menjalankan file program yang mengindikasikan sebagai sebuah antivirus/antispyware. Dengan aksi palsu-nya program ini mencoba memberitahu pengguna bahwa di komputer tersebut terdapat banyak virus. (lihat gambar 2)

Gambar 2. Scareware fake Antivirus/Antispyware beraksi

Dan untuk hal itu antivirus/antispyware palsu tersebut meminta pengguna segera menggunakan program antivirus/antispyware palsu tersebut dengan syarat membayar sejumlah tertentu melalui online. (lihat gambar 3)
Gambar 3. Website yang digunakan untuk melakukan pembelian Antivirus palsu secara online

ü Mematikan firewall dan Security Center Windows dan mengganti-nya dengan fake Firewall dan fake Security Center

Sama dengan hal-nya fake antivirus/antispyware, virus juga menggantikan fungsi dari Firewall Windows dan Security Center. (lihat gambar 4)

Gambar 4. Fake Firewall beraksi menggantikan fungsi Firewall Windows.

Dengan hal ini bertujuan agar meyakinkan pengguna serta membuat panik pengguna karena ada-nya serangan virus yang mencoba masuk komputer pengguna (lihat gambar 5)

Gambar 5. Fake Security Center beraksi menggantikan fungsi Security Center Windows.

ü Melakukan Koneksi ke server, update dan download trojan/spyware

Agar sulit di deteksi oleh antivirus karena ia akan selalu mengupdate dirinya dan melakukan release ulang/download guna mencegah deteksi program antivirus. Anda tidak dapat menghentikan proses download yang berlangsung, sekalipun anda menutup browser anda karena proses download akan berlangsung di background (tidak terlihat).

Untuk melihat aktivitas dari virus melakukan koneksi, update dan download trojan, dapat menggunakan perintah “netstat” pada command prompt. (lihat gambar 6)

Gambar 6. Aksi virus melakukan koneksi, update dan download.

ü Melakukan spam ke alamat e-mail tertentu

Untuk menyebarkan dirinya ia akan mengirimkan email kesemua alamat email yang telah diperolahnya dengan melampirkan sebuah file dalam bentuk ZIP. Bagi anda yang mempunyai account Facebook harap berhati-hati jika menerima email yang anda terima seolah-olah berasal dari Admin Facebook karena kemungkinan email yang Anda terima adalah email yang berisi virus.

Jika kita telurusi dengan tools monitoring jaringan seperti wireshark atau perintah “netstat” dari command prompt maka dapat dilihat dengan jelas bahwa komputer yang telah terinfeksi virus berusaha untuk mengirimkan email ke sejumlah alamat e-mail yang telah ditemukan dengan menyertakan sebuah file attachment yang berisi virus. (lihat gambar 7)

Gambar 7. Aksi virus melakukan penyebaran melalui spam e-mail dengan attachment virus.

REGISTRI VIRUS

Tidak banyak perubahan registry yang dilakukan oleh virus Oficla, beberapa yang dilakukan perubahan yaitu :

- Menambah Registry

· Start-Up

Agar virus dapat aktif pada saat start-up, maka virus membuat string berikut :

Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Reader_s = C:\WINDOWS\System32\reader_s.exe

Ø HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

reader_s = C:\Documents and Settings\%user%\reader_s.exe

· Executable virus

Agar virus dapat berjalan saat pengguna menjalankan file executable, maka virus membuat string berikut :

Ø HKEY_CLASSES_ROOT\.exe\DefaultIcon

Ø HKEY_CLASSES_ROOT\.exe\Shell

- Merubah Registry

· Executable virus

Agar virus dapat berjalan saat pengguna menjalankan file executable, maka virus merubah string berikut :

Ø HKEY_CLASSES_ROOT\.exe

(default) = secfile

PEMBERSIHAN VIRUS

Sebelum melakukan pembersihan virus , download dan install terlebih dahulu antivirus Norman Security Suite Pro (NSS Pro) dengan Intrusion Guard. Anda dapat melakukan download dengan melakukan registrasi form trial pada link berikut :

http://www.norman.com/downloads/trial_registrations/58627/en

Langkah-langkah yang harus dilakukan dalam melakukan pembersihan virus Oficla adalah sebagai berikut :

- Putuskan koneksi jaringan/internet.

- Matikan System Restore pada System Properties My Computer. (lihat gambar)
Gambar 8. Matikan System Restore Windows.

- Matikan proses virus (menggunakan Advanced System Reporter). Bagi pengguna Norman Security Suite Pro dapat menggunakan fitur dari Intrusion Guard yaitu Advanced System Reporter.

· Klik kanan logo/icon Norman, pilin Norman Security Suite. (lihat gambar 9)
Gambar 9. Logo/Icon Norman

· Pada Norman Security Suite, klik [Intrusion Guard] kemudian klik [Advanced System Reporter]. (lihat gambar 10)
Gambar 10. Menu Norman Security Suite Pro

· Pada Menu Advanced System Reporter, klik icon paling bawah di kiri yang bergambar roda gigi dengan kaca pembesar atau klik link[Processes] [Go to view]. (lihat gambar 11)
Gambar 11. Menu Advanced System Reporter

· Pada tab Other, matikan proses virus yang aktif/berjalan. (lihat gambar 12)
Gambar 12. Menu Proses pada Advanced System Reporter

ü Pilih file virus dengan nama file “ave.exe”

ü Klik kanan, dan klik Terminate Process

· Pada tab Auto Start, matikan proses virus yang aktif/berjalan pada start-up Windows. (gambar 13)
Gambar 13. Menu Proses pada Advanced System Reporter

ü Pilih file virus dengan nama file “reader_s.exe”

ü Klik kanan, dan klik dahulu Terminate Process kemudian klik Remove Autorun

ü Lakukan sama pada file “reader_s.exe” yang lain.

- Perbaiki registry Windows. Salin script dibawah ini untuk memperbaiki registry dengan menggunakan Notepad.

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCR, .exe,,,exefile

HKCR, .txt,,,txtfile

HKCR, .reg,,,regfile

HKCR, .vbs,,,VBSFile

HKCR, exefile,,,Application

HKCU, Software\Microsoft\CommandProcessor, Autorun,0,0

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

[del]

HKCR, .exe\DefaultIcon

HKCR, .exe\shell

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_s

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_s

Gunakan notepad, simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install

- Hapus file virus induk virus Oficla yaitu sebagai berikut :

· C:\Documents and Settings\klasnich\reader_s.exe

· C:\Documents and Settings\klasnich\Local Settings\Application Data\ave.exe

· C:\WINDOWS\system32\reader_s.exe

- Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya scan kembali menggunakan antivirus Norman Security Suite Pro (NSS Pro) yang ter-update. (lihat gambar 14)
Gambar 14. Scan ulang virus dengan Norman Security Suite Pro (NSS Pro)

Tidak ada komentar:

Posting Komentar

 
Buku Tamu