Jika anda menanyakan, virus apa yang merajai dunia dan Indonesia pada paruh tahun ke dua 2008. Jangan terkejut jika jawabannya adalah kuda hitam Antivirus Gadungan yang banyak disebut dengan istilah Rogue Scanner, Advance Antivirus atau Scamware. Jika anda bingung apa yang Vaksincom bicarakan, bahasa yang lebih membumi dan membuat pengguna komputer sadar adalah Antivirus XP 2008, Antivirus XP 2009, IE Defender, Internet Antivirus, SpyHeal, SpySheriff yang kalau diteruskan daftarnya akan cukup membuat pegal baik mengetik maupun membacanya.
Jumlah Antivirus Gadungan saat ini yang terdeteksi adalah 304 antivirus gadungan. Data yang dikumpulkan statistik virus Vaksincom didukung data statistik Norman Network Protector (NNP) yang di instal di beberapa ISP mengkonfirmasikan hal ini. Dapat dipastikan ribuan komputer di Indonesia yang terkoneksi ke internet terinfeksi virus ini dan celakanya virus ini memiliki genetik Spyware dan memiliki kemampuan mengupdate dirinya sendiri, sehingga untuk membersihkannya membutuhkan perjuangan berat dan beberapa user yang kesal memilih jurus Pasopati (format :P).
Antivirus Gadungan ini memiliki banyak cara menyebarkan dirinya, menurut pengamatan Vaksincom metode ini selalu diperbaharui setiap kali ditemukan cara efektif mengatasinya. Adapun metode yang umum digunakan adalah sebagai berikut :
-
Menawarkan scan malware gratis atau tune up sistem komputer gratis.
-
Email, dalam hal eksploitasi email pembuat virus ini cukup kreatif. Adapun bentuk-bentuk email yang terdeteksi adalah sebagai berikut :
-
Kartu ucapan / greeting card. Email yang datang juga memiliki banyak varian, baik yang datang dalam lampiran bervirus (biasanya di kompres / zip) maupun hanya link download yang memanfaatkan fitur “drive by download”.
-
Breaking News dari CNN atau situs berita yang lain.
-
Menawarkan film porno artis ternama seperti Angelina Jolie yang dikombinasikan dengan baik sekali dengan rekayasa sosial pada situs You Tube. Dimana file yang mengandung virus seakan-akan harus di download sebagai codec (file yang diperlukan untuk menonton file film di You Tube). Lihat artikel http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html
-
Datang dalam lampiran terkompres seperti yang terakhir ditemui Vaksincom datang sebagai email konfirmasi pengiriman barang dari UPS yang meminta kita mencetak invoice .doc yang sebenarnya adalah file virus karena memiliki ekstensi ganda (ups_letter.doc.exe). Supaya lampiran ini tidak diblok di mailserver ia di kompres terlebih dahulu dengan nama “ups_letter.zip”. (lihat gambar 3)
Masih ingatkah anda pada artikel virus "anjelina jolie" atau yang lebih dikenal dengan "AntivirusXP 2008", virus yang umum-nya menyerang para pengguna e-mail yang kemudian alih-alih justru mendownload serta meng-install antivirus palsu. Berikut informasi selengkapnya pada, http://vaksin.com/2008/0708/anjelina-jolie/anjelina-jolie.html, dan http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html .
Bagi anda yang masih “trauma” dengan kasus virus tsb, maka kali ini anda harus bersiap-siap dengan kedatangan varian terbaru virus tsb. Jika sebelumnya menggunakan nama “AntivirusXP 2008”, maka kali ini menggunakan nama “XP AntiSpyware 2009”.
Jika anda menerima e-mail dari UPS (United Parcel Service) yang disertai lampiran UPS_letter.zip (lihat gambar 2)
Gambar 2, Antivirus Gadungan mengeksploitasi kelemahan mailserver dengan mengirimkan virus melalui file terkompres.
maka sebaiknya jangan sekali-kali dibuka karena akan menginfeksikan komputer anda dengan Antivirus Gadungan.
E-mail tsb menyertakan attachment file dengan nama “UPS_letter.zip”, yang didalamnya berisi sebuah file virus yang memiliki ekstensi ganda, UPS_letter.doc.exe, dan menggunakan icon word serta berukuran 42 kb. (lihat gambar 3)
Gambar 3, Isi file virus
Jika anda sudah terlanjur membuka attachment tsb, maka file virus yang terdapat pada attachment file tsb secara otomatis akan tereksekusi dan membuat beberapa file virus pada komputer anda. Berikut beberapa file virus yang akan dibuat oleh virus :
- C:\WINDOWS\system32\braviax.exe (10 kb)
- C:\WINDOWS\brastk.exe (10 kb)
- C:\WINDOWS\system32\brastk.exe (10 kb)
- C:\WINDOWS\karna.dat (6 kb)
- C:\WINDOWS\system32\karna.dat (6 kb)
- C:\WINDOWS\system32\delself.bat (1 kb)
- C:\WINDOWS\Tasks\SA.dat (1 kb)
- C:\Program Files\Microsoft Common\wuauclt.exe (42 kb)
- C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\content.ie5\4jkxkjch\kashi[1].exe (43 kb)
- C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\content.ie5\4jkxkjch\kashi[1].exe (43 kb)
Kemudian setelah membuat beberapa file virus dan aktif pada proses windows, virus akan mulai beraksi dengan memberikan sebuah pesan palsu (menyerupai program windows), yang seolah-olah memberitahu anda bahwa di komputer kita terdapat spyware/virus. (lihat gambar 4)
Gambar 4, Pesan palsu yang dibuat oleh virus.
Dengan pesan tsb, virus ini akan “memaksa” anda untuk mengklik link yang dituju. Jika anda sudah mengklik pesan tsb, maka virus akan mendownload secara otomatis file instalasi antispyware palsu, yang secara otomatis pula akan menginstall dirinya (lokasi file download tsb yaitu http://xpas-2009.com/install/Installer.exe). (lihat gambar 5)
Gambar 5, Instalasi AntiSpyware palsu.
Saat anda melanjutkan proses selanjutnya, antispyware palsu ini akan mendownload beberapa file virus berikut file instalasi antispyware tsb. Beberapa file yang didownload oleh virus tsb, yaitu :
- C:\Program Files\Common Files\ : ibureqag.dll, nysexireh.vbs, ybofomas._sy (nama file acak)
- C:\WINDOWS\ : yvohidol.bin, dyfype._dl (nama file acak)
- C:\ WINDOWS\system32\iceze.dl (nama file acak)
- C:\Documents and Settings\all users\Documents\ : isir.sys, tucyf.sys (nama file acak)
- C:\Documents and Settings\%user%\Application Data\ : iwin.dat, jikym.vbs, ojahu.pif, pejax.exe, ypehij.db (nama file acak)
- C:\Documents and Settings\%user%\Cookies\ : ahicixicyd.reg, ihowed.exe, itaw.bin, lebiwige.db, ytar.vbs (nama file acak)
- C:\Documents and Settings\%user%\Local Settings\Application Data\ : awapufu.lib, iqodud.lib, umyh._sy (nama file acak)
- C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\ibykotit.vbs (nama file acak)
Gambar 6, Antivirus Gadungan menjalankan aksinya menakuti-nakuti korbannya dengan memberikan peringatan adanya infeksi virus palsu.
Selanjutnya virus meng-install program antispyware palsu yaitu “XP AntiSpyware 2009”. Program ini tidak jauh berbeda seperti halnya program antispyware lain, seperti terdapat shortcut pada desktop, terinstall pada C:\Program Files, terdapat shortcut pada Start Menu, icon pada taskbar dan terdaftar pada Add Remove Program (lihat gambar 7). Bedanya adalah program ini bukan antispyware, melainkan spyware :P. Untuk meyakinkan korbannya mendownload lebih banyak spyware lagi, ia akan menjalankan aksinya menampilkan pesan “seram” bahwa komptuer tersebut terinfeksi virus-virus dengan resiko tinggi (lihat gambar 6).
Gambar 7, Untuk meyakinkan korbannya bahwa ia adalah program “baik-baik” XP Antispyware 2009 akan mendaftarkan dirinya pada Program Files Windows.
Setelah terinstall dengan mudah, program antispyware palsu akan menjalankan aksi-nya (melakukan scanning palsu dan menampilkan pesan palsu).
Setelah selesai menjalankan aksinya, virus akan memberikan report palsu serta meminta anda untuk melakukan register program antispyware palsu tsb. Jika anda tidak ingin melakukan register, maka program akan menampilkan pesan infeksi virus secara terus menerus, dan virus akan terus menambah atau mendownload file virus. (lihat gambar 8)
Gambar 8, Report program antispyware palsu, meminta anda untuk register.
Jika anda melakukan register, maka anda akan di bawa ke sebuah website yaitu : http://www.xp-antispyware2009.com/buy.html, dimana anda harus membayar sebesar $49.95 hingga $79.95 secara online dengan menggunakan kartu kredit (lihat gambar 9). Hebatnya website ini berfungsi dan memiliki sistem untuk mendebet Kartu Kredit anda. Kalau anda merasa cukup banyak uang dan memiliki kartu kredit untuk membeli antivirus ini. Maka ibarat kata pepatah, “Sudah Jatuh, Tertimpa Tangga, Di gigit anjing Tetangga, anjingnya Rabies lagi“alias sial banget. Mengapa ?
Karena :
-
Anda sudah dibodohi dengan peringatan virus palsu (sudah rugi moril).
-
Anda kehilangan uang (rugi materi)
-
Anda akan mendapatkan produk yang anda kira antivirus, tetapi ternyata virus / spyware juga. Jadi anda membayar untuk mendapatkan spyware.
-
Kartu kredit anda akan di charge besar, tidak sesuai dengan nominal yang tertera pada saat transaksi.
-
Kartu kredit anda akan dijadikan sebagai daftar Fraud. Jadi, jika anda pernah bertransaksi membeli antivirus gadungan ini, Vaksincom menyarankan sebaiknya segera matikan nomor kartu kredit anda dan ganti dengan nomor baru.
Gambar 9, Website yang digunakan untuk menerima pembayaran secara online. Perhatikan Award yang tercantum adalah palsu semua.
Jika dilihat sekilas, ibaratnya mata-mata Korea Utara yang cantik, website tsb mampu menipu user dengan menampilkan beberapa data palsu seperti definisi virus terbaru, penghargaan dari beberapa majalah IT dunia, testimonial dari para pengguna program antispyware palsu serta beberapa keuntungan menggunakan program antispyware palsu tsb, dll.
Selain itu, jika suatu ketika anda gagal browsing ke sebuah website atau website yang anda kunjungi tidak dapat ditemukan, maka virus akan menggantikan halaman yang error (page error), dengan halaman website pengganti (lihat gambar 10)
Gambar 10, Halaman web pengganti page error.
yang sudah dipersiapkan oleh virus ini (yang tentu-nya juga akan menampilkan pesan untuk melakukan register dan diarahkan ke website palsu virus). Pokoknya benar-benar lengkap dan profesional cara kerja Antivirus Gadungan ini.
Registri Windows
Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :
braviax = C:\WINDOWS\system32\braviax.exe
AppInit_DLLs = karna.dat
braviax = C:\WINDOWS\system32\braviax.exe
brastk = brastk.exe
Selain itu, virus membuat string berikut :
Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe
Untuk mengubah default web, virus pun membuat string berikut :
Search Bar = http://www.google.com/ie
Search Page = http://www.google.com
Start Page = http://www.google.com
Default_Search_URL = http://www.google.com/ie
Search Page = http://www.google.com
Start Page = http://www.google.com
SearchAssistant = http://www.google.com
Selain itu, virus pun membuat string pada security windows berikut :
AntiVirusDisableNotify = 1
FirewallDisableNotify = 1
UpdateDisableNotify = 1
Untuk mempermudah penyebaran, virus pun membuat string :
(Default) = C:\WINDOWS\system32\RunDLL32.EXEShell32.DLL, ShellExec_RunDLL system.exe
(Default) = %drive%:\system.exe
(Default) = %drive%:\system.exe
Menyebarkan diri melalui Flash Disk
Kelihatannya virus ini juga “belajar” dari pembuat virus Indonesia. Sebagai media penyebaran awal, virus mencoba menggunakan media “Flashdisk” ataupun “Disket”, dengan memanfaatkan system autoplay windows agar dirinya dapat aktif secara otomatis setiap kali user akses ke Flashdisk tersebut (lihat gambar 11). File yang di buat yaitu :
Gambar 11. File virus infect disket atau flashdisk
Selain itu, ia pun dapat menyebar melalui e-mail (dengan mengirim pesan palsu dengan lampiran), dan media chatting seperti IRC.
Cara pembersihan virus Rogue Spyware
Anda dapat menggunakan removal tool dari Norman untuk membersihkan-nya (dapat anda download melalui link dibawah ini).
http://download.norman.no/public/Norman_Malware_Cleaner.exe (lihat gambar 12)
Gambar 12, Gunakan Norman Malware Cleaner untuk memberishkan virus
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Internet Explorer\Main, Search Bar, 0
HKCU, Software\Microsoft\Internet Explorer\Main, Search Page, 0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Default_Search_URL, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Search Page, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Start Page, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant, 0
HKLM, SOFTWARE\Microsoft\Security Center, AntiVirusDisableNotify, 0
HKLM, SOFTWARE\Microsoft\Security Center, FirewallDisableNotify, 0
HKLM, SOFTWARE\Microsoft\Security Center, UpdateDisableNotify, 0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, braviax
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, braviax
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, brastk
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2, {706ab86c-937e-11dd-a04c-000c290bc510}
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executions Options, Explorer.exe
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
Gambar 12. Norman Security Suite mendeteksi seluruh file instalasi Antivirus Gadungan sehingga mencegah infeksi dan membersihkan komputer yang telah terinfeksi.
dari : vaksin.com
