Facebook Virus

Facebook Virus (Bredolab) 1/2          3 November 2009

 

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

 

Thanks,

The Facebook Team

 

Apapun aplikasi yang paling populer akan menarik perhatian orang, baik yang beritikad baik maupun yang beritikad buruk. Ambil contoh virus PC yang mayoritas mengganas di OS Windows karena memang OS tersebut yang paling populer. Contoh lain adalah virus ponsel dimana notabene saat ini ponsel yang paling menjadi incaran virus adalah ponsel dengan OS Symbian, alasannya jelas, karena ponsel dengan OS Symbian merupakan market leader di dunia ponsel. Kalau sekarang ditanya, selain kedua OS di atas, apa hal yang paling populer di jagad maya ini ? Tentunya anda akan setuju kalau dikatakan Facebook. Rupanya bukan cuma kita saja yang tahu kalau Facebook merupakan aplikasi yang paling populer, pembuat virus juga tahu. Karena itu virus-virus yang memanfaatkan kepopuleran Facebook mulai bermunculan. Sebut saja Koobface yang walaupun penyebarannya tidak terlalu tinggi sudah menjadi indikasi bahwa Facebook mulai “diperhitungkan” oleh para kriminal internet untuk menjadi sarana mencapai tujuannya. Dimasa depan, Vaksincom memperkirakan aplikasi-aplikasi jahat yang mengeksploitasi Facebook akan makin marak, karena itu bila anda pengguna Facebook, ada baiknya untuk lebih berhati-hati. Saat ini, sedang marak beredar trojan yang disebarkan memanfaatkan rekayasa sosial seakan-akan datang dari administrator Facebook dan jika diaktifkan ia akan mendownload antivirus palsu atau yang lebih dikenal dengan istilah scareware. Untuk informasi lebih jauh silahkan simak artikel Vaksincom dibawah ini.

 

Banyaknya penguna Facebook ini menjadikan celah baru bagi para pembuat virus untuk menyebarkan virus dengan memanfaatkan rekayasa sosial, jika kita tidak waspada sudah tentu  virus ini akan dapat menyebar dengan sukses di jagat maya khususnya di komunitas Facebook, seperti contoh virus yang sedang menyebar saat ini. Kami menyebutnya virus Facebook atau Norman mendeteksi sebagai W32/Obfuscated.D2!gen. Kenapa disebut virus Facebook ? Karena mempunyai ciri dimana virus ini akan mengincar korban para pengguna internet khususnya bagi mereka yang mempunyai account Facebook, dengan dalih untuk keamanan saat ber-Facebook-ria mereka (pembuat virus) mengirimkan sebuah email yang akan datang seolah-olah dari “Admin Facebook” yang attachment untuk mereset  password Facebook yang telah ada sebelumnya, karena datangnya dari admin Facebook  maka sudah tentu mereka akan mempercayai email tersebut (daripada account Facebooknya di blokir :p), alhasil bukannya Facebook anda aman tetapi komputer anda akan dijadikan sebagai server zombie untuk menyebarkan spam ke alamat yang ia dapat dan menyebarkan dirinya dengan mengirimkan email yang seolah-olah berasal dari “Admin Facebook” dengan menyertakan sebuah attachment yang mengandung virus. Jadi harap berhati-hati, tetap pantau perkembangan virus dan tetaplah ber-facebook-ria.... asal tidak menggangu pekerjaan J.

 

Apakah cukup sampai disitu??, ternyata tidak .. ibarat pribahasa “sudah jatuh tertimpa tangga ……. di gigit anjing lagi”, ternyata ia juga akan mendownload scareware / antivirus palsu yang menyamarkan dirinya sebagai antispyware dengan nama “Security Tools” yang akan terinstall secara otomatis kedalam system komputer yang telah terinfeksi. Antispyware palsu ini akan menampilkan peringatan palsu juga seolah-olah system anda sudah terinfeksi virus dengan menampilkan sederetan nama-nama virus / trojan serem yang berhasil dideteksi (tetapi sebenarnya file/virus tersebut tidak ada), jika user mencoba untuk melakukan aksi pembersihan dengan menggunakan software palsu tersebut maka ia akan menampilkan layar agar user melakukan pembelian software tersebut, jika muncul hal ini sebaiknya Anda abaikan saja karena anda tidak akan mendapatkan software antispyware tersebut. (lihat gambar 1)

 

Gambar 1, Security Tools, spyware yang menyamar sebagai program Antispyware

 

Email yang dikirimkan oleh virus Facebook ini akan mempunyai ciri-ciri berikut : (lihat gambar 2)

Gambar 2, Contoh email yang akan di kirimkan oleh virus

 

File yang di sertakan dalam email tersebut mempunyai ukuran sekitar 24 KB (ZIP) atau 30 KB (exe), file dalam bentuk exe akan mempunyai icon MS.Excel dengan type file sebagai “Application” (lihat gambar 3)

 

Gambar 3, File induk virus

 

Dengan update terbaru Norman Security Suite mendeteksi virus tersebut sebagai W32/Obfuscated.D2!genr sedangkan untuk file [reader_s.exe] dikenali sebagai W32/Pandex.YE. Dengan teknologi Sandbox Norman Security Suite juga mengenali varian baru dari virus ini [possible new, unknown virus] seperti yang terlihat pada gambar 4 dibawah ini :

 

Gambar 4, Hasil deteksi Norman Security Suite

 

Jika file tersebut di jalankan ia akan membuat beberapa file induk yang akan di jalankan pertama kali pada saat komputer dinyalakan:

 

  • C:\Documents and Settings\%user%\reader_s.exe
  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
  • C:\WINDOWS\system32\reader_s.exe
  • C:\Windows\system32\wbem\proquota.exe
  • C:\windows\system32\sdra64.exe
  • C:\Windows\system32\lowsec

-       local.ds

-       user.ds

-       user.ds.lll

  • C:\Documents and Settings\Elvina\Application Data\wiaservg.log

 

Registry

Virus ini tidak banyak bermain dengan registri karena tujuannya adalah untuk mendownload scareware yang “jika” berhasil dijalankan akan merubah segambreng regisrti, walaupun demikian ia akan tetap mencoba untuk melakukan perubahan pada registry  khususnya agar file yang dibuat tersebut dapat dijalankan pertama kali saat komputer di nyalakan, yakni:

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-       reader_s = C:\Documents and Settings\Elvina\reader_s.exe

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

-       reader_s = C:\Wincdows\system32\reader_s.exe

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

-       C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-       EnableProfileQuota =1

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\AGProtect

 

  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

 

  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

 

Download Trojan/spyware

Virus ini akan mencoba untuk melakukan koneksi ke beberapa alamat yang telah ditentukan dengan tujuan untuk mendownload trojan/spyware lain yang kemudian akan dijalankan secara otomatis, file yang berhasil di download akan di simpan di direktori berikut:

 

  • C:\Windows\temp
    • Wp%xxx%.exe (xxx ini berbeda-beda, contohnya wpv271256600826.exe)
    • _ex-08.exe
  • C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
  • C:\Documents and Settings\All Users\Application Data\47543326\ 47543326.exe

 

Berikut beberapa alamat server yang akan dituju oleh virus tersebut

  • 202.39.17.53
  • 217.23.7.162
  • 95.211.27.211
  • 202.169.46.56

 

Ia juga akan mencoba untuk melakukan koneksi ke beberapa web server berikut :

-       http://mmsfoundsystem.ru/public/controller.php?action=bot&entity_list=&uid=&first=1&guid=13441600&v=15&rnd=8520045

-       http://hostvegass.ru/cman/receiver/online

-       http://wapdodoit.ru/mn/base.cfg

-       http://www.whatsmyipaddress.com

 

Ia juga akan melakukan DNS query kesejumlah alamat MX domain yang ditentukan seperti terlihat pada gambar 5 di bawah ini:

Gambar 5, Aksi virus Facebook mencari MX Server

 

Media penyebaran (Email)

Untuk menyebarkan dirinya ia akan mengirimkan email kesemua alamat email yang telah diperolahnya dengan melampirkan sebuah file dalam bentuk ZIP. Bagi anda yang mempunyai account Facebook harap berhati-hati jika menerima email yang anda terima seolah-olah berasal dari Admin Facebook karena kemungkinan email yang Anda terima adalah email yang berisi virus.

 

Jika kita telurusi dengan tools monitoring jaringan seperti  wireshark atau command netstat dari DOS prompt maka dapat dilihat dengan jelas bahwa komputer yang telah terinfeksi virus berusaha untuk mengirimkan email ke sejumlah alamat yang telah ditemukan dengan menyertakan sebuah file attachment yang berisi virus, perhatikan gambar 6 dibawah ini:

  

Gambar 6, Aksi virus mengirimkan dirinya

 

Selain mengirimkan email yang seolah-olah datang dari Admin Facebook, ia juga akan menjadikan komputer yang terinfeksi sebagai server spam dengan mengirimkan email kesejumlah alamat email yang di dapat (lihat gambar 7)

 

Gambar 7, Aktivitas pengiriman email yang dilakukan oleh virus

 

Mengundang Antispyware palsu “Security Tools” (bersambung ke artikel 2)

Karena artikel terlalu panjang, maka Vaksincom memecahkan artikel ini menjadi dua bagian. Bagian kedua ini akan membahas bagaimana virus ini menginfeksikan spyware ke komputer korbannya dan yang terpenting adalah cara membasmi virus ini.

Salam,

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851