JS:Redirector-PV (JS:Pdfka-gen),Virus Email pengeksploitasi 4 celah keamanan Adobe Acrobat
"Dahulu
kala", email
sempat menjadi
sarana
penyebaran
virus yang
paling efektif
dan dominan.
Dari virus
Melissa, I
Love You,
Sircam, Nimda
dan Klez yang
semuanya
merupakan
jawara virus
pada zamannya
semuanya
memanfaatkan
email sebagai
sarana utama
untuk
menyebarkan
dirinya. Hal
ini disebabkan
karena email
secara de facto
sudah menjadi
sarana
komunikasi yang
handal,
efisien dan
dimiliki oleh
banyak pengguna
internet.
Dapat
dikatakan
email pada
zamannya sudah
menjadi killer
application di
internet.
Namun seiring
dengan
perkembangan
internet yang
sangat cepat,
khususnya web
2.0 dan
Smartphone,
kelihatannya
email sudah
mendapatkan
pesaing .
Ibarat serangan
K-Pop yang
pelan secara
sangat cepat
menjalari
seluruh
penggemar lagu
ABG masa kini,
malware kini
mulai
rame-rame
beralih
mengeksploitasi
Facebook dan
OS Android.
Namun, jangan
remehkan email
karena secara
de facto,
email
merupakan alat
komunikasi
resmi yang
diakui oleh
korporat dan
saat ini
kelihatannya
korporat belum
ada yang
menggantikan
alamat emailnya
dengan alamat
Facebooknya.
Pada artikel
di bawah ini,
terlihat bahwa
pembuat virus
yang
memanfaatkan
email untuk
menyebarkan
dirinya
ternyata juga
sadar akan
kondisi hari
ini dan selain
memanfaatkan
html, virus
yang
terdeteksi
oleh G Data
sebagai
JS.Redirector
ini
mengeksploitasi
celah keamanan
Adobe Acrobat
dan tidak
tanggung-tanggung
4 celah Adobe
Acrobat.
Adapun email
yang memalsukan
dirinya
seakan-akan
dari Xerox ini
adalah sebagai
berikut :
(lihat gambar
1 di bawah)
======Contoh Email======
Please open the attached document. It was scanned and sent
to you using a Xerox WorkCentre Pro.
Sent by: JACQULINE
Number of Images: 8
AttachmentFile Type: .HTML [Internet Explorer Format]
Xerox WorkCentre Location: machine location not set
Device Name: XEROX5378OD1ID056
======Akhirdari contoh email======
Gambar 1, Redirector yang menyebar melalui email dalam lampiran .htm
Redirectorakan datang sebagai email yang dikirimkan secara otomatis oleh "XeroxWorkCentre Pro" dan menyertakan lampiran file htm. Karena menyamarkan diri dalam lampiran .htm, program email gratis Gmail yang terkenal konservatif dalam memblok lampiran email bervirus (dimana lampiran .zip dan .rar yang berpassword sekalipun diblok oleh mailserver Gmail) meloloskan lampiran .htm ini. Padahal jika dijalankan ia akan mengeksekusi rutin instalasi virus.
Jikaanda mendapatkan e-mail tersebut, sebaiknya anda perlu berhati-hati karena Vaksincom telah mendeteksi varian ini yang menyebar dengan cepat sejak Februari dan teridentifikasi oleh G Data Antivirus sebagai Trojan JS:Redirector-PV, JS:Trojan.JS.Agent.AT atau JS:Pdfka-gen. (lihat gambar 2 dan 3)
Gambar2, G Data Antivirus mendeteksi virus ini sebagaiJS:Trojan.JS.Agent.AT
Gambar3, Nama lain virus ini adalah JS:Pdfka.gen atau JS:Redirector.PV
Sejarah Redirector
TrojanJS:Redirector-PV merupakan salah satu varian malware jenis scam yang mencatut mesin "XeroxWorkCentre Pro". Malware jenis ini menyebar memanfaatkan penggunaan e-mail yang disertai attachment malware.
Malware scam "XeroxWorkCentre Pro" sebenarnya sudah teridentifikasi varian awalnya sejak pertengahan 2010. Saat itu varian malware ini menyebar lewat e-mail dengan pesan yang berisi attachment trojan yang sudah di-kompres (ZIP). Di dalam file kompresi tersebut berisi file dengan dobel extension "doc.exe"
Varian malware yang ke-2 menyebar dan teridentifikasi pada bulan Februari/Maret 2011. Varian ini menyebar dengan memanfaatkan celah keamanan dari PDF (Adobe Reader) dan javascript, bahkan ada 4 celah keamanan yang berhasil dimanfaatkan yaitu : CVE-2007-5659,CVE-2008-2992, CVE-2009-0927 and CVE-2009-4324. (lihat gambar 4)
Gambar4, Varian awal Redirector di awal 2011
Sedangkanvarian ke-3 malware "Xerox WorkCentre Pro" menyebar (juga pada bulan Juli/Agustus) 2011 dengan teknik dan metode yang sama persis seperti jenis yang pertama.
Ke-3jenis malware scam "Xerox WorkCentre Pro" ini di-identifikasi oleh berbagai antivirus dengan nama Oficla, Bredolab dan Dofoil.
Sedangkanvarian ke-4 yang saat ini (juga sama menyebar bulan pada Februari / Maret 2012) menyebar menggunakan metode yang sama tetapi jenis yang berbeda yaitu dengan memanfaatkan penggunaan attachment.htm (javascript). Varian ini teridentifikasi sebagai JS:Redirector-PV atau JS:Pdfka-gen. Varian ini ternyata juga memanfaatkan celah keamanan dari PDF.
Dampak/AkibatTrojan JS:Redirector-PV
Beberapadampak/akibat jika anda sudah terinfeksi Trojan JS:Redirector-PV yaitu sebagai berikut :
Gambar5,Trik malware untuk menyusupkan diri ke sistem anda
46.105.97.103, 46.137.251.11, 50.31.1.105, 50.57.77.119, 50.57.118.247, 50.76.184.100, 68.232.44.119 69.60.117.183, 72.22.83.93, 78.83.233.242, 78.159.118.226, 87.120.41.155, 88.191.97.108, 93.189.88.198, 95.156.232.102, 98.158.180.244, 111.94.254.10, 111.94.254.18, 111.94.254.24, 173.203.51.174, 173.255.229.33, 174.122.121.154,184.106.151.78, 184.106.237.210, 190.106.129.43, 200.169.13.84, 204.12.252.82, dll
Gambar6, Aksi Redirector mengirimkan informasi ke Remote Server.
Gambar7, Aksi redirector download malware.
Gambar 8, Malware ini mengeksploitasi 4 celah keamanan Adobe Acrobat
FileTrojan JS:Redirector-PV
Trojan JS-Redirector-PV merupakan attachment malware scam dari e-mail, yang memiliki ciri-ciri sebagai berikut : (lihat gambar 9)
Gambar9, File malware Redirector dalam bentuk .htm
Setelahattachment tersebut dijalankan, maka akan mendownload beberapa malware yaitu :
Setelahdieksekusi file PHP/PDF tersebut ternyata mengextract malware lain pada lokasi :
File malware FakeAV tersebut juga akan mengextract menjadi beberapa file :
MetodePenyebaran Trojan JS:Redirector-PV
Sesuaidengan kategori malware-nya, TrojanJS-Redirector-PV melakukan media penyebaran melalui trafik e-mail dengan mengirimkan scam email yang memiliki attachment malware. Walaupun begitu tidak tertutup kemungkinan Trojan ini juga dapat menyebar melalui milis, forum / blog yang menyediakan komen atau post yang dapat dilakukan dengan menyebarkan link URL.
Pembersihan TrojanJS:Redirector-PV
======Contoh Email======
Please open the attached document. It was scanned and sent
to you using a Xerox WorkCentre Pro.
Sent by: JACQULINE
Number of Images: 8
AttachmentFile Type: .HTML [Internet Explorer Format]
Xerox WorkCentre Location: machine location not set
Device Name: XEROX5378OD1ID056
======Akhirdari contoh email======
Gambar 1, Redirector yang menyebar melalui email dalam lampiran .htm
Redirectorakan datang sebagai email yang dikirimkan secara otomatis oleh "XeroxWorkCentre Pro" dan menyertakan lampiran file htm. Karena menyamarkan diri dalam lampiran .htm, program email gratis Gmail yang terkenal konservatif dalam memblok lampiran email bervirus (dimana lampiran .zip dan .rar yang berpassword sekalipun diblok oleh mailserver Gmail) meloloskan lampiran .htm ini. Padahal jika dijalankan ia akan mengeksekusi rutin instalasi virus.
Jikaanda mendapatkan e-mail tersebut, sebaiknya anda perlu berhati-hati karena Vaksincom telah mendeteksi varian ini yang menyebar dengan cepat sejak Februari dan teridentifikasi oleh G Data Antivirus sebagai Trojan JS:Redirector-PV, JS:Trojan.JS.Agent.AT atau JS:Pdfka-gen. (lihat gambar 2 dan 3)
Gambar2, G Data Antivirus mendeteksi virus ini sebagaiJS:Trojan.JS.Agent.AT
Gambar3, Nama lain virus ini adalah JS:Pdfka.gen atau JS:Redirector.PV
Sejarah Redirector
TrojanJS:Redirector-PV merupakan salah satu varian malware jenis scam yang mencatut mesin "XeroxWorkCentre Pro". Malware jenis ini menyebar memanfaatkan penggunaan e-mail yang disertai attachment malware.
Malware scam "XeroxWorkCentre Pro" sebenarnya sudah teridentifikasi varian awalnya sejak pertengahan 2010. Saat itu varian malware ini menyebar lewat e-mail dengan pesan yang berisi attachment trojan yang sudah di-kompres (ZIP). Di dalam file kompresi tersebut berisi file dengan dobel extension "doc.exe"
Varian malware yang ke-2 menyebar dan teridentifikasi pada bulan Februari/Maret 2011. Varian ini menyebar dengan memanfaatkan celah keamanan dari PDF (Adobe Reader) dan javascript, bahkan ada 4 celah keamanan yang berhasil dimanfaatkan yaitu : CVE-2007-5659,CVE-2008-2992, CVE-2009-0927 and CVE-2009-4324. (lihat gambar 4)
Gambar4, Varian awal Redirector di awal 2011
Sedangkanvarian ke-3 malware "Xerox WorkCentre Pro" menyebar (juga pada bulan Juli/Agustus) 2011 dengan teknik dan metode yang sama persis seperti jenis yang pertama.
Ke-3jenis malware scam "Xerox WorkCentre Pro" ini di-identifikasi oleh berbagai antivirus dengan nama Oficla, Bredolab dan Dofoil.
Sedangkanvarian ke-4 yang saat ini (juga sama menyebar bulan pada Februari / Maret 2012) menyebar menggunakan metode yang sama tetapi jenis yang berbeda yaitu dengan memanfaatkan penggunaan attachment.htm (javascript). Varian ini teridentifikasi sebagai JS:Redirector-PV atau JS:Pdfka-gen. Varian ini ternyata juga memanfaatkan celah keamanan dari PDF.
Dampak/AkibatTrojan JS:Redirector-PV
Beberapadampak/akibat jika anda sudah terinfeksi Trojan JS:Redirector-PV yaitu sebagai berikut :
- Membuka page loading & PDF yang error
Gambar5,Trik malware untuk menyusupkan diri ke sistem anda
- Melakukan koneksi ke Remote Server
46.105.97.103, 46.137.251.11, 50.31.1.105, 50.57.77.119, 50.57.118.247, 50.76.184.100, 68.232.44.119 69.60.117.183, 72.22.83.93, 78.83.233.242, 78.159.118.226, 87.120.41.155, 88.191.97.108, 93.189.88.198, 95.156.232.102, 98.158.180.244, 111.94.254.10, 111.94.254.18, 111.94.254.24, 173.203.51.174, 173.255.229.33, 174.122.121.154,184.106.151.78, 184.106.237.210, 190.106.129.43, 200.169.13.84, 204.12.252.82, dll
Gambar6, Aksi Redirector mengirimkan informasi ke Remote Server.
- Komputer menjadi lambat
- Mendownload malware
Gambar7, Aksi redirector download malware.
- Mendownload file malware PHP/PDF
Gambar 8, Malware ini mengeksploitasi 4 celah keamanan Adobe Acrobat
FileTrojan JS:Redirector-PV
Trojan JS-Redirector-PV merupakan attachment malware scam dari e-mail, yang memiliki ciri-ciri sebagai berikut : (lihat gambar 9)
- Berukuran 3 kb
- Type file "HTML Document"
- Ber-ekstensi "htm"
Gambar9, File malware Redirector dalam bentuk .htm
Setelahattachment tersebut dijalankan, maka akan mendownload beberapa malware yaitu :
- Aublbzdni.php
- dwhnfphlflcrymj7.php (file PHP sendiri tidak berbeda dengan file PDF)
- gugvyoknarjmesf.pdf
Setelahdieksekusi file PHP/PDF tersebut ternyata mengextract malware lain pada lokasi :
- C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll
- C:\a4c5984e10.exe (malware FakeAV)
File malware FakeAV tersebut juga akan mengextract menjadi beberapa file :
- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\POS1.tmp
- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\POS1.tmp.BAT
- C:\Documents and Settings\Administrator\Application Data\KB00159637.exe
MetodePenyebaran Trojan JS:Redirector-PV
Sesuaidengan kategori malware-nya, TrojanJS-Redirector-PV melakukan media penyebaran melalui trafik e-mail dengan mengirimkan scam email yang memiliki attachment malware. Walaupun begitu tidak tertutup kemungkinan Trojan ini juga dapat menyebar melalui milis, forum / blog yang menyediakan komen atau post yang dapat dilakukan dengan menyebarkan link URL.
Pembersihan TrojanJS:Redirector-PV
- Putuskan koneksi jaringan/internet.
- Lakukan pembersihan trojan pada mode "safe mode". Untuk masuk pada mode "safe mode", tekan tombol F8 pada keyboard saat komputer dinyalakan.
- Matikan dan hapus trojan JS:Redirector-PV. Download dan scan menggunakan removal tools berikut untuk membersihkan trojan, dapat anda download pada URL berikut :
- Bersihkan temporary file dari jejak trojan JS:Redirector-PV.
Lakukan
langkah-langkah
berikut :
- Klik Menu Start -> Run
- Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
- Pada drive system (C) klik OK, biarkan proses scan drive.
- Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
- Tunggu hingga selesai.
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali malware ini dengan baik.
0 comments:
Posting Komentar