 |
 |
 |
 |
 |
 |
 |
|||||||
 |
|
||||||||||||
 |
 |
 |
|
||||||||||
 |
|
||||||||||||
 |
|
||||||||||||
 |
 |
 |
 |
 |
 |
 |
 |
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Malware Top Indonesia November 2007 – Januari 2008
Virus lokal kalah tawuran
Aku mau pulang ... ku ingat kamu
Aku sedang sedih ... juga ingat kamu
Aku mau ke airport ... ku ingat kamu
Oh banjir..... inikah bila ku kena.. kena banjir
Jakarta saat ini sudah menjadi kota mandiri, kalau tahun-tahun lalu penduduk Jakarta yang khawatir banjir ketat memonitor bendungan Katulampa dan berjaga-jaga atas banjir kiriman. Tahun 2008 ini kelihatannya Jakarta sudah mandiri, jadi tanpa perlu bantuan dari Bogor dan kota-kota sekitarnya sudah mampu membuat dirinya banjir sendiri. Hanya hujan satu hari saja tanpa “bantuan” banjir kiriman dan arus pasang. Bayangkan apa yang terjadi jika hal ini digabungkan, curah hujan tinggi dan lama, banjir kiriman dan arus pasang bergabung ...... hasilnya akan mirip dengan virus Viking dan Small.KI yang memiliki kemampuan gado-gado. Akibatnya ... perasaan korbannya, mirip korban banjir yang terjebak berjam-jam di Bandara Internasional Sukarno Hatta ...... Makhluk Tuhan yang paling Bete.
Selama bulan November 2007 sampai dengan Januari 2008 virus Viking ini memuncaki daftar malware yang paling banyak terdeteksi menginfeksi di Indonesia. Kalau periode September – Oktober 2007 motor virus asing adalah Small.KI, maka kali ini yang menjadi pentolannya adalah Viking. Dengan dukungan Detnat, Sohanad, Sality, Solow dan Small.KI, tidak ketinggalan pasukan spyware juga mulai unjuk gigi ikutan mengerubuti virus lokal. Hasilnya ? Malware mancanegara mempertahankan dominasinya menguasai 54 % malware yang paling banyak menyebar di Indonesia. Virus lokal yang dimotori oleh Rontokbro dengan bantuan Lightmoon, Kespo, Autorun dan VBWorm tidak mampu merebut posisi dominan tetapi tetap mengancam dengan menguasai 40 % dari total infeksi malware. (lihat gambar 1)
Gambar
1, Malware Top Indonesia November 2007 – Januari 2008
Virus mancanegara
Viking dengan total infeksi 39.331 insiden ; 23,98 % memotori virus mancanegara sebagai virus yang paling banyak beredar di Indonesia dan “jelas” harus di waspadai. Virus ini memiliki kemampuan mengubah dan mengupdate dirinya ke internet sehingga dengan mudah dapat mengelabui program antivirus yang pernah mendeteksinya. Sebenarnya rahasi kedigdayaan Viking bukan pada kemampuannya mengupdate dirinya tetapi pada metode infeksinya dimana ia mengeksploitasi default share Windows IPC$, C$ sehingga komputer yang tidak melakukan sharing sekalipun akan mampu di infeksinya. Khusus untuk pengguna Windows 2000 yang terhubung ke jaringan intranet yang terinfeksi Viking akan sangat sulit dibasmi karena Viking memanfaatkan satu celah keamanan yang mampu menginfeksi komputer Windows 2000 yang tidak melakukan share sekalipun. Sedikit diketahui oleh pengguan komputer, rupanya Small.KI / Kamasutra (peringkat 13, 1.918 insiden ;1,17%)juga memiliki kemampuan infeksi default share yang mirip dengan Viking dan hal ini menjelaskan rahasia keberhasilannya bertahan sampai hari ini sebagai virus yang paling banyak menyebar dan panjang umur.
Tiga
virus mancanegara lain yang perlu diwaspadai adalah Sohanad
(peringkat 4, 14.104 ; 8,60) virus yang menyebarkan dirinya dengam
memanfaatkan kontak YM (Yahoo Messenger) dari komputer yang berhasil
di infeksinya. Teknik ini sangat efektif karena penerima pesan YM
tidak akan curiga temannya dari YM akan sengaja menjerumuskan /
menjahatinya dengan mengirimi virus yang kemudian akan menggiring
korban penerima pesan YM ke situs Phishing untuk mengambil username
dan password Ymnya sekaligus menginstal virus Sohanad ke komputernya.
Jika anda terinfeksi Sohanad / pernah mengunjungi website Phishing
yang linknya dikirimkan oleh teman anda (dan teman anda ketika
ditanya malah bingung karena tidak merasa mengirimi link kepada anda)
Vaksincom menyarankan SEGERA ganti password Yahoo Account anda
sebelum diambil oleh pembuat virus ini. Setelah Sohanad, virus yang
perlu anda waspadai adalah Detnat (peringkat 6, 8.551 insiden ; 5,21
%) yang diperkirakan berasal dari Korea. Virus ini menyebarkan diri
dengan cara menginfeksi network share dan menggunakan teknologi
rootkit untuk menyembunyikan dirinya. Ia juga mendownload dan
menjalankan PWStealer setelah mengunduhnya dari beberapa website
Korea. Diikuti Solow (peringkat 7, 7.300 insiden ; 4,45 %) yang
memiliki ciri khas menambahkan header “Hacked by Godzilla”
atau “Hackd by Zay” pada browser komputer yang berhasil
di infeksinya. Virus mancanegara lain yang perlu diperhatikan adalah
Sality (peringkat 14, 1.895 insiden ; 1,16 %). Sality adalah PE
Infector yang memiliki hbungan erat dengan jawara lama Bagle (musuh
besar Netsky yang masih wara wiri di internet sampai hari ini).
Sality di download oleh beberapa varian Bagle dan akan menginjeksinya
dirinya ke dalam proses yng sedang berjalan. Sality akan mengenkrip
dirinya terlebih dahulu sebelum menginjeksi file induk (host) guna
menyembunyikan keberadaannya. Sality juga menyebarkan dirinyamelalui
sharing intranet.
Spyware
Dua spyware yang perlu diwaspadai adalah Vundo dan Agent. Jika anda masih asing dengan Vundo, coba lihat nama lainnya, VirtuMonde atau VirtuMundo. Vundo (peringkat 9, 4.549 insiden ; 2,77 %) menunjukkan bukti bahwa Spyware Never Die. Vundo akan mengakibatkan komputer korbannya menampilkan pop up dan mempromosikan program gratisan lain yang tidak lain dan tidak bukan adalah spyware juga. Vundo menunjukkan satu hal yang menarik dimana ia tidak mengeksploitasi celah keamanan produk Microsoft tetapi sebaliknya ia mengeksploitasi celah keamanan Java 1.5 (dan sebelumnya) yang di keluarkan oleh SUN. Hal ini memang menunjukkan kecenderungan malware yang mulai mengincar celah keamanan aplikasi non Microsoft yang berjalan pada platform Windows. Sebabnya bukan karena aplikasi Microsoft tidak memiliki celah keamanan melainkan karena keberhasilan metode patching yang dilakukan oleh Microsoft menurunkan waktu rentan, dimana pada OS Windows XP (service pack 2 ke atas) dan Windows Vista (termasuk MS Office) berhasil menurunkan waktu rentan antara ditemukannya celah keamanan baru dan patchingnya menjadi sangat singkat sehingga peluang untuk di eksploitasi juga menurun dengan signifikan. Rahasia dari keberhasilan ini adalah patching otomatis yang secara default dijalankan pada saat instalasi OS / aplikasi Windows baru. Ibarat Sun Tzu, para pembuat virus tidak kalah cerdik. Jika aplikasi dan OS Microsoft sulit di eksploitasi, maka mereka mulai mengincar aplikasi non Microsot seperti Adobe Acrobat (lihat munculnya virus Pidief yang mengeksploitasi celah keamanan Adobe Acrobat lama) dan tidak tertutup celah keamanan aplikasi populer yang berjalan di OS Windows akan dieksploitasi seperti WinZip, WinAmp, Thunderbird dan Firefox.
Pop up yang dimunculkan oleh Vundo akan mengiklankan program (umumnya spyware lain) seperti Sysprotect, Storage Protector dan WinFixer. Vaksincom menyarankan anda untuk menghindari mendownload dan menjalankan program-program di atas.
Setelah
Vundo, spyware lain yang perlu di waspadai adalah Agent (peringkat
10, 2.609 insiden ; 1,59 %). Spyware ini termasuk spyware KB
(keluarga besar) yang mengeluarkan variannya ibarat kelinci atau
tikus yang sekali beranak jumlahnya puluhan. Sampai saat ini varian
Agent mencapai puluhan ribu varian. Payload varian Agent yang
mengkhawatirkan adalah membuka akses komputer korbnnya sehingga dapat
dikuasai oleh komputer lain.
Virus Lokal
Rupanya Rontokbro dan variannya masih tetap memiliki gigi (ini gigi beneran bukan 11 januari :P). Meskipun secara total persentase virus lokal kalah dari virus mancanegara tetapi Rontokbro masih tetap memimpin di peringkat 2 dan hanya dikalahkan oleh Viking. Total infeksi Rontokbro dan variannya adalah 32.399 insiden ; 19,75 % diikuti oleh Lightmoon di peringkat 3, 15.088 insiden ; 9,30 %. Virus Kespo berada di peringkat 5 dengan total insiden 8.764 ; 5,34 %. Sesuai perkiraan, peak virus Kespo adlaah bulan November 2007. Virus lokal lain yang menjadi perhatian adalah VBWorm (Visual Basic Worm) yang meskipun hanya berada di peringkat 11, 2.156 insiden ; 1,31 % tetapi sebenarnya kalau digabungkan dengan “saudaranya” VB.IU (peringkat 24, 658 insiden ; 0.40 %) dan VB.Troj (peringkat 25, 529 insiden ; 0.32 %) maka peringkatnya akan naik satu menggeser Agent.
Virus
lokal yang perlu menjadi perhatian kali ini adalah Autorun (peringkat
8, 7.175 insiden ; 7.37 %). sebenarnya autorun ini merupakan metode
infeksi virus lokal yang bertujuan untuk membuat virus mampu
menginfeksi komputer secara otomatis tanpa perlu bantuan pihak
ketiga. Seperti kita ketahui, berbeda dengan worm yang mampu beraksi
dan menyebarkan dirinya sendiri (umumnya karena mengeksploitasi celah
keamanan) virus lokal tidak memiliki kemampuan menyebarkan dirinya
sendiri dan harus melakukan rekayasa sosial agar dijalankan oleh
pengguna komputer. Rekayasa sosial itu adalah memalsukan Icon dirinya
menjadi icon MS word, Excel, Folder dan Icon JPG. Meskipun metode ini
cukup efektif, tetapi tetap memiliki satu kelemahan dimana jika
pengguna komputer tidak mengklik file virus, maka virus tidak akan
bisa berjalan. Karena itu pembuat virus lokal mencari akal bagaimana
supaya virus dapat otomatis berjalan setiap kali UFD (USB Flash Disk)
bervirus dicolokkan pada komputer lain. Akhirnya pembuat virus
menemukan cara dengan memanipulasi “autorun”. Seperti
kita ketahui, CD Rom memiliki fiturautorun dimana setiap kali CD
dimasukkan maka komputer secara otomatis akan menjalankan CD tersebut
dengan mengakses file Autorun. Nah, fitur autorun ini diadopsi oleh
virus dan ditanamkan pada UFD yang di infeksinya sehingga setiap kali
mencolokkan UFD bervirus akan secara otomatis menjalankan virus
tersebut tanpa bantuan pihak ketiga dan menjadikan virus lokal naik
kelas memiliki kemampuan penyebaran seperti worm :).
Untuk
detail 20 virus yang paling banyak penyebar di Indonesia selama
periode November 2007 – Januari 2008 dapat dilihat pada tabel 1
dibawah ini :
Tabel
1, Malware Top Indonesia November 2007 – Januari 2008
salam,
Aa Tan
info@vaksin.com
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta
10160
Ph : 021 345 6850
Fx : 021 345 6851