W32/Oficla.FA
29 April 2010
Bukan hanya scam Facebook palsu tetapi mengandung virus
berbahaya
Dimana ada gula, disitu ada semut, pepatah lama ini terbukti
berlaku sampai hari ini. Perkembangan situs jejaring sosial
yang sangat luar biasa dimana Facebook adalah salah satu
situs jejaring sosial dengan perkembangan pengguna yang
sangat tinggi dan seperti yang diperkirakan, virus yang
mengeksploitasi Facebook juga bermunculan sejak pertengahan
tahun 2009. Seperti Bredolab, Koobface, lihat artikel
Vaksincom
http://vaksin.com/2009/1109/facebook/facebook.html dan
http://vaksin.com/2009/1109/facebook/facebook2.html.
Sebenarnya tidak ada hal yang baru dari satu virus yang di
deteksi Norman sebagai W32/Oficla.FA karena payloadnya
memang sangat mirip dengan Bredolab atau Pendex. Dan kabar
buruknya, walaupun varian awalnya sudah terdeteksi oleh
program antivirus di akhir tahun 2009, virus ini memiliki
kemampuan mengupdate dirinya setiap kali di deteksi oleh
program antivirus dan setiap kali menginfeksi ia akan
mendownload virus baru ke situs yang telah dipersiapkannya.
Jika anda menerima virus ini, bukan cuma scam (email bohong)
yang anda terima, tetapi email mengandung virus yang akan
menginstalkan program jahat dengan isi yang direkayasa
sedemikian rupa sehingga sangat meyakinkan sehingga pengguna
awam Facebook akan langsung menjalankan lampiran tersebut
tanpa berpikir dua kali. Hal ini terjadi karena perkembangan
pembuat malware saat ini sudah bukan programmer iseng yang
ingin menunjukkan jati dirinya dengan membuat virus, tetapi
sudah menjadi kejahatan terorganisir dimana membuat virus
dan mengarahkan ke Rogue Antivirus / Fake Antivirus sudah
menjadi mata pencaharian bagi sebagian kalangan. Ibaratnya
anda kalau bermain game Warcraft melawan komputer, walalupun
memainkan level yang paling sulit sekalipun (level Hell)
cepat atau lambat dapat dipastikan anda akan dapat
mengalahkan komputer karena komputer memiliki keterbatasan
dalam berpikir dibandingkan otak manusia. Tetapi jika anda
bermain multiplayer melawan manusia lain, yang terjadi
adalah sebaliknya, cepat atau lambat dapat dipastikan anda
akan kalah karena lawan anda adalah manusia yang tidak kalah
pintar dari anda. Barcelona saja bisa kalah
J (Jangan bilang ...... gimana PSSI
:p.)
Akibat yang ditimbulkan oleh virus ini dapat dibilang sangat
merepotkan, bukan hanya password Facebook anda yang dapat
hilang, tetapi dengan menjalankan virus ini anda sudah
memberikan akses pada semua kredensial (username dan
password) di komputer anda, termasuk data kartu kredit dan
data keuangan lain yang pernah atau akan anda gunakan untuk
transaksi online. Karena itu, salah satu cara yang terbaik
untuk terhindar dari virus ini adalah jangan mudah
mempercayai apa yang datang di email karena semuanya bisa
dipalsukan. Jangankan pesan, gambar atau background yang
bisa dibuat semirip mungkin dengan situs Facebook, pengirim
(from) juga dapat dipalsukan seakan-akan dari administrator
Facebook.
Trend penggunaan berbagai aktifitas jejaring sosial seperti
Facebook dan
Twitter sudah sangat umum digunakan bagi semua orang. Kemudahan
aktivitas jejaring sosial tersebut dapat digunakan sebagai
sarana informasi dan juga komunikasi dengan sesama pengguna.
Banyak fitur-fitur yang dilengkapi agar semakin memudahkan
pengguna menggunakannya. Salah satu yang umum yaitu fitur
“Forgot your password?”. Fitur ini dapat membantu pengguna
jika kehilangan atau lupa “password” yang digunakan saat
akan login/masuk.
Dengan mencantumkan alamat e-mail, maka akan dikirimkan
sebuah e-mail yang berisi sebuah link yang akan digunakan
untuk me-reset password yang baru.
Tetapi bagaimana jika yang dikirimkan bukanlah sebuah link konfirmasi
untuk me-reset password, tetapi justru dikirimkan sebuah
informasi yang disertakan attachment file? Jika seperti itu,
maka anda harap berhati-hati karena bisa jadi anda telah
menjadi sasaran serangan virus
Facebook. Jika sebelumnya anda pernah membaca salah satu artikel
Vaksincom tentang virus
Facebook atau
Bredolab yaitu
http://vaksin.com/2009/1109/facebook/facebook.html, maka
kali ini kami menemukan salah satu varian terbaru virus
Facebook tersebut
dengan nama Oficla.
Email yang dikirimkan dan mengandung virus
Oficla memiliki ciri yang sama dengan
Bredolab seperti : (lihat gambar 1)
Gambar 1. Email yang dikirimkan dan mengandung virus
Oficla
FILE VIRUS
Attachment file yang disertakan mengandung virus Oficla yang telah di
kompress zip, berisikan file virus yang berukuran 48 kb dan
memiliki icon mirip dokumen. Jika anda menjalankan file
tersebut, maka virus akan membuat beberapa file induk yaitu
:
-
C:\Documents and Settings\klasnich\reader_s.exe
-
C:\Documents and Settings\klasnich\Local
Settings\Application Data\ave.exe
-
C:\WINDOWS\system32\reader_s.exe
GEJALA & EFEK VIRUS
Beberapa gejala dan efek yang terjadi jika anda terinfeksi varian virus
Oficla yaitu sebagai berikut :
ü
Scareware Fake Antivirus/Antispyware
Sama seperti varian virus Bredolab, varian virus ini mendownload dan
menjalankan file program yang mengindikasikan sebagai sebuah
antivirus/antispyware. Dengan aksi palsu-nya program ini
mencoba memberitahu pengguna bahwa di komputer tersebut
terdapat banyak virus.
(lihat gambar 2)
Gambar 2. Scareware fake Antivirus/Antispyware beraksi
Dan untuk hal itu antivirus/antispyware palsu tersebut meminta pengguna
segera menggunakan program antivirus/antispyware palsu
tersebut dengan syarat membayar sejumlah tertentu melalui
online. (lihat gambar 3)
Gambar 3. Website yang digunakan untuk melakukan pembelian
Antivirus palsu secara online
ü
Mematikan firewall dan Security Center Windows dan
mengganti-nya dengan fake Firewall dan fake Security Center
Sama dengan hal-nya fake antivirus/antispyware, virus juga menggantikan
fungsi dari Firewall Windows dan Security Center. (lihat gambar 4)
Gambar 4. Fake Firewall beraksi menggantikan fungsi Firewall
Windows.
Dengan hal ini bertujuan agar meyakinkan pengguna serta membuat panik
pengguna karena ada-nya serangan virus yang mencoba masuk
komputer pengguna
(lihat gambar 5)
Gambar 5. Fake Security Center beraksi menggantikan fungsi
Security Center Windows.
ü
Melakukan Koneksi ke server, update dan download
trojan/spyware
Agar sulit di deteksi oleh antivirus karena ia akan selalu mengupdate
dirinya dan melakukan release ulang/download guna mencegah
deteksi program antivirus. Anda tidak dapat menghentikan
proses download yang berlangsung, sekalipun anda menutup
browser anda karena proses download akan berlangsung di
background (tidak
terlihat).
Untuk melihat aktivitas dari virus melakukan koneksi, update dan download
trojan, dapat menggunakan perintah “netstat” pada command prompt. (lihat gambar 6)
Gambar 6. Aksi virus melakukan koneksi, update dan download.
ü
Melakukan spam ke alamat e-mail tertentu
Untuk menyebarkan dirinya ia akan mengirimkan email kesemua alamat email
yang telah diperolahnya dengan melampirkan sebuah
file
dalam bentuk ZIP. Bagi anda yang mempunyai account
Facebook harap berhati-hati jika menerima email yang anda terima
seolah-olah berasal dari Admin
Facebook karena
kemungkinan email yang Anda terima adalah email yang berisi
virus.
Jika kita telurusi dengan tools monitoring jaringan seperti
wireshark atau perintah “netstat” dari command prompt
maka dapat dilihat dengan jelas bahwa komputer yang telah
terinfeksi virus berusaha untuk mengirimkan email ke
sejumlah alamat e-mail yang telah ditemukan dengan
menyertakan sebuah file attachment yang berisi virus.
(lihat gambar 7)
Gambar 7. Aksi virus melakukan penyebaran melalui spam
e-mail dengan attachment virus.
REGISTRI
VIRUS
Tidak banyak perubahan registry yang dilakukan oleh virus Oficla,
beberapa yang dilakukan perubahan yaitu :
-
Menambah Registry
·
Start-Up
Agar virus
dapat aktif pada saat start-up, maka virus membuat string
berikut :
Ø
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Reader_s =
C:\WINDOWS\System32\reader_s.exe
Ø
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
reader_s =
C:\Documents and Settings\%user%\reader_s.exe
·
Executable virus
Agar virus
dapat berjalan saat pengguna menjalankan file executable,
maka virus membuat string berikut :
Ø
HKEY_CLASSES_ROOT\.exe\DefaultIcon
Ø
HKEY_CLASSES_ROOT\.exe\Shell
-
Merubah Registry
·
Executable virus
Agar virus
dapat berjalan saat pengguna menjalankan file executable,
maka virus merubah string berikut :
Ø
HKEY_CLASSES_ROOT\.exe
(default) =
secfile
PEMBERSIHAN VIRUS
Sebelum melakukan pembersihan virus , download dan install terlebih
dahulu antivirus Norman Security Suite Pro (NSS Pro)
dengan Intrusion Guard. Anda dapat melakukan download dengan melakukan
registrasi form trial pada link berikut :
http://www.norman.com/downloads/trial_registrations/58627/en
Langkah-langkah yang harus dilakukan dalam melakukan pembersihan virus
Oficla adalah
sebagai berikut :
-
Putuskan koneksi jaringan/internet.
-
Matikan System Restore
pada System Properties My Computer.
(lihat gambar 8)
Gambar 8. Matikan System Restore Windows.
-
Matikan proses virus (menggunakan
Advanced System
Reporter). Bagi pengguna
Norman Security Suite
Pro dapat menggunakan fitur dari
Intrusion Guard
yaitu Advanced System
Reporter.
·
Klik kanan logo/icon Norman, pilin Norman Security Suite. (lihat gambar 9)
Gambar 9. Logo/Icon Norman
·
Pada Norman Security Suite, klik
[Intrusion Guard] kemudian klik
[Advanced System Reporter].
(lihat gambar 10)
Gambar 10. Menu Norman Security Suite Pro
·
Pada Menu Advanced System Reporter, klik
icon paling bawah di kiri yang bergambar roda gigi dengan
kaca pembesar atau klik
link
[Processes]
[Go to view].
(lihat gambar 11)
Gambar 11. Menu Advanced System Reporter
·
Pada tab Other,
matikan proses virus yang aktif/berjalan.
(lihat gambar 12)
Gambar 12. Menu Proses pada Advanced System Reporter
ü
Pilih file virus dengan nama file “ave.exe”
ü
Klik kanan, dan klik Terminate Process
·
Pada tab Auto Start,
matikan proses virus yang aktif/berjalan pada start-up
Windows. (gambar 13)
Gambar 13. Menu Proses pada Advanced System Reporter
ü
Pilih file virus dengan nama file “reader_s.exe”
ü
Klik kanan, dan klik dahulu Terminate Process kemudian klik Remove
Autorun
ü
Lakukan sama pada file “reader_s.exe” yang lain.
-
Perbaiki registry Windows. Salin script dibawah ini untuk
memperbaiki registry dengan menggunakan Notepad.
[Version]
Signature="$Chicago$"
Provider=Vaksincom
Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, .exe,,,exefile
HKCR, .txt,,,txtfile
HKCR, .reg,,,regfile
HKCR, .vbs,,,VBSFile
HKCR, exefile,,,Application
HKCU, Software\Microsoft\CommandProcessor, Autorun,0,0
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\regfile\shell\open\command,,,"regedit.exe
"%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot,
AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot,
AlternateShell,0, "cmd.exe"
[del]
HKCR, .exe\DefaultIcon
HKCR, .exe\shell
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,
reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
reader_s
Gunakan notepad, simpan dengan nama “repair.inf” (gunakan
pilihan Save As Type menjadi All Files agar tidak terjadi
kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih
install
-
Hapus file virus induk virus
Oficla yaitu
sebagai berikut :
·
C:\Documents and Settings\klasnich\reader_s.exe
·
C:\Documents and Settings\klasnich\Local
Settings\Application Data\ave.exe
·
C:\WINDOWS\system32\reader_s.exe
-
Untuk pembersihan yang optimal dan mencegah infeksi ulang,
sebaiknya scan kembali menggunakan antivirus Norman Security
Suite Pro (NSS Pro) yang ter-update.
(lihat gambar 14)
Gambar 14. Scan ulang virus dengan Norman Security Suite Pro (NSS Pro)
Salam,
Ad Sap
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Telp : 021 3456850
Fax : 021 3456851