Trojan.Generic.6956508 Facebook chat metamorphic virus
Dalam beberapa hari
ini, tim Vaksincom kembali mendapatkan kiriman URLFake
/ URLJoke yang merekaya dirinya sedemikian
rupa seakan-akan kiriman gambar (.jpg) tetapi
dalam kenyataannya mengunduh varian virus baru.
Kiriman tersebut berasal dari beberapa teman Facebook
melalui pesan singkat chat. (lihat gambar 1)
Gambar 1, Varian
Kolab baru yang menyebar
Jika diperhatikan, cara
dan isi dari kiriman tersebut sangat mirip
dengan virus Facebook Chat W32/Kolab pada september lalu.
Hanya saja link URL yang diberikan sudah berbeda
dengan yang sebelum-sebelumnya.
G Data Antivirus
mendeteksi varian terbaru dari virus Facebook
Chat tersebut sebagai Trojan.Generic.6956508.
(lihat gambar 2)
Gambar
2, G Data Antivirus merupakan salah satu
antivirus yang paling cepat mendeteksi virus
ini
Gdata Antivirus adalah
antivirus asal Jerman yang memiliki kemampuan
deteksi virus yang mumpuni dan mendapatkan
rekomendasi tinggi dalam Gartner Quadrant of
antivirus. Pengetesan terakhir oleh
AV-comparatives.org menunjukkan bahwa Gdata
merupakan antivirus terbaik dalam On-Demand
Detection of Malicious Software Agustus 2011.
(lihat gambar 3)
Gambar 3, G Data
merupakan antivirus terbaik mendeteksi
malicious software mengalahkan produk
antivirus lainnya.
SOCIAL ENGINEERING
Begitu mudahnya trojan ini
menginfeksi komputer tidak lain karena
memanfaatkan rekayasa sosial. Pengguna komputer
yang terinfeksi, secara tidak langsung tidak
akan menyadari bahwa komputer yang digunakan
telah terinfeksi dan trojan yang ada pada
komputer tersebut berusaha mencoba mengirimkan
pesan chat kepada teman-teman Facebook anda,
saat Anda tidak sedang ada ditempat atau anda
tidak sedang menggunakan media chat tersebut.
Di sisi lain, bagi teman anda yang
mendapatkan pesan chat tersebut tentunya masih
banyak yang tidak mengira bahwa pesan yang
dikirimkan tersebut merupakan "aksi" dari
trojan. Dan banyak yang justru terpancing /
tertipu menjalankan link yang ada pada pesan
chat tersebut, terlebih link file tersebut yang
menyamar menjadi file gambar (JPG) yang tidak
berbahaya.
URL FAKE / URL JOKE
Trojan.Generic.6956508
memiliki metode yang sama seperti
virus Facebook Chat W32/Kolab dengan menggunakan URL Fake / URL Joke yang seolah-olah
mencoba mengakses file gambar, tetapi justru
mendownload file virus. (lihat gambar 4)
Gambar 4, Link
download virus yang dipalsukan seakan-akan
gambar .JPG
Saat kita mencoba
mengakses link yang telah diberikan tersebut dan
berharap akan muncul sebuah gambar yang mungkin
cukup menarik. Tetapi justru browser malah
mendownload sebuah file yang telah di kompres
dalam zip. (lihat gambar 5)
Gambar 5, Yang di
download adalah file.zip dan bukan .jpg
METAMORPHIC
Trojan.Generic.6956508
merupakan salah satu malware jenis ZBOT
yang memiliki kemampuan berubah-berubah pada
kode (hash) file walaupun memiliki ukuran atau
nama file yang sama. Teknik ini disebut juga "metamorphic".
Dengan kemampuan tersebut, trojan baru akan
sulit dideteksi walaupun antivirus sudah
mendapatkan sample database dari file trojan
sebelumnya. Setiap kumpulan file trojan yang
memiliki ukuran dan nama file yang sama, akan
sangat sulit terdeteksi oleh program antivirus.
Oleh karena itulah, kenapa sangat sulit mencegah
serangan trojan ini, meskipun anda sudah
menggunakan antivirus terkenal dan terupdate
sekalipun. (lihat gambar 6)
Gambar 6, Kemampuan
metamorphic Kolab membuatnya sangat sulit di
deteksi oleh antivirus
MIGRATION ATTACK
Jika pada tahun-tahun
sebelumnya penyebaran trojan via chat identik
dengan aplikasi chat seperti YM, SKype,
GTalk, MSN Messenger, dan lain-lain,
tampaknya tahun ini serangan sudah berubah arah
kiblat dengan berbasis web.
Di tahun ini saja
sebenarnya sudah pernah terjadi serangan via Facebook
Chat dengan memberikan link URL yang
mengandung trojan (April 2011). Tetapi, saat itu
serangan identik menggunakan URL Shortener
seperti bit.ly, goo.gl, tinyurl, dan lain-lain.
(lihat gambar 7)
Gambar 7, Serangan
awal virus Facebook awal yang memanfaatkan url
shortener
Pada september lalu,
trojan via chat mencari sasaran dengan
memanfaatkan link URL Fake beberapa
server hosting gratis seperti, imageshack,
megafilehd, dropbox, tinypic dan bahkan
menggunakan link URL Fake Facebook.
(lihat gambar 8)
Gambar 8, Perkembangan virus
Facebook yang memanfaatkan hosting gratis
untuk menyimpan file virusnya
Terlebih lagi dengan
semakin banyak-nya situs-situs web jejaring
sosial yang menyediakan integrasi dengan
situs-situs web aplikasi (contohnya Facebook
yang dapat mudah integrasi dengan pengguna
Skype dan Yahoo), maka akan memudahkan
penyebaran URL Fake /URL Joke yang mendownload
file virus.
Cara Aman Hindari
Serangan
Beberapa hal yang dapat
Anda lakukan sebelum menjadi korban yaitu :
-
Hindari melakukan klik pada link yang dikirim pada Anda, baik melalui pesan chat FB atau status SEKALIPUN file / link yang dikirim tersebut kelihatannya aman dan tidak mengandung virus.
-
Jika anda ingin melakukan hal tersebut, Vaksincom menyarankan untuk melakukan dari komputer / browser yang tidak memiliki cookie informasi login akun Facebook anda.
-
Beritahukan pada teman Anda, bahwa komputer tersebut telah terinfeksi virus, dan segera lakukan update dan scan komputer dengan antivirus yang terupdate.
-
Jangan meninggalkan FB Anda dalam keadaan aktif/login, sebaiknya Anda logout dahulu hingga Anda kembali.
-
Gunakan Secure HTTP / HTTPS pada fitur sekuriti Facebook. Hal ini akan mempersulit virus atau program apps jahat menginfeksi dan menipu diri anda.
-
Gunakan program antivirus yang memiliki support lokal dan laboratorium virus lokal yang selalu memonitor ancaman terbaru sehingga anda mendapatkan proteksi yang maksimal.
0 comments:
Posting Komentar