Tampilan sering mengelabui kita, apalagi kita hidup di dunia yang dapat dikatakan lebih mengutamakan kulit daripada isi. Jika kita dihadapkan pada orang yang rapih, memakai kemeja yang disetrika rapih lengkap dengan dasi yang bermerek berjalan beriringan dengan seorang yang memakai kaus oblong dan sepatu sandal. Dapat dipastikan kita akan lebih menghargai orang yang memakai kemeja rapih dan berdasi. Padahal tidak ada jaminan kalau orang yang penampilannya necis, keren dan mobilnya mahal itu lebih tajir daripada orang yang penampilannya biasa-biasa saja. Malahan sebenarnya yang terjadi terkadang kebalikannya. Karena ingin tampil keren dan mentereng dengan barang-barang bermerek, sebagian besar gaji tersedot untuk membeli barang-barang tersebut dan tidak bisa digunakan untuk tujuan yang produktif seperti menabung atau keperluan lain yang lebih penting. Akibatnya malah hutang menumpuk, plafond kartu kredit mentok dan hanya bayar cicilan minimal tiap bulan. Kalau hal itu terjadi di dunia nyata, rupanya di dunia maya (tanpa “luna”) hal itu juga terjadi. Saat ini banyak sekali menyebar program antivirus palsu yang aktivitasnya jelas bukan melindungi komputer, tetapi mencuri data dan menakut-nakuti korbannya. Tetapi hebatnya, tampilan antivirus palsu ini sangat bagus dan nama-nama yang digunakan juga sangat keren. Karena itu para pengguna komputer harus berhati-hati, “Don’t judge the book from the cover”.

Jika anda menerima email dengan lampiran ”aneh” dari siapapun, baik orang yang anda kenal maupun dari orang yang tidak di kenal, anda harus selalu waspada. Definisi ”aneh”  disini bukan lampiran dengan logo tabung gas hijau, itu sih semua langsung tiarap :p.

Aneh yang dimaksudkan adalah lampirannya disertakan tidak lazim seperti “hanya” menyertakan link untuk download suatu file, mengandung lampiran executable terlebih jika menggunakan icon yang di manipulasi / tidak sesuai dengan asosiasi file nya (contohnya: menggunakan icon word tetapi mengandung ekstensi .EXE) karena bisa jadi ini merupakan ulah virus dalam upaya menyebarkan dirinya karena saat ini sudah banyak virus lokal maupun mancanegara yang menggunakan teknik rekayasa sosial seperti ini.

Virus yang menyebar saat ini biasanya akan menggunakan beberapa media yang biasa di akses atau di gemari oleh pengguna komputer sehingga hal ini sangat ”membantu” penyebarannya seperti situs jejaring sosial (facebook, twitter, myspace) atau media chating seperti Yahoo Messager.

Trend antivirus gadungan

Makin maraknya penyebaran virus baik local maupun mancanegara saat ini “memaksa” user harus menginstal piranti pengamanan berupa antivirus, sayangnya hal ini tidak ditunjang dengan pengetahuan dari user itu sendiri tentang bagaimana menerapkan cara berkomputer yang baik dan kurang mengikuti perkembangan virus, hal inilah yang menjadi salah satu celah yang akan dimanfatkan oleh virus.

Kurangnya dari sisi pengetahuan user menjadikan mereka ”mudah” dijebak oleh virus, anda tentu masih ingat dengan jelas dengan kasus virus yang menyamarkan dirinya sebagai ”antivirus palsu” pada beberapa waktu lalu dan sampai saat ini pun peredarannya sudah sangat luas dan sudah menghasilkan banyak varian, beberapa contoh yang sempat booming diantaranya ”Antivirus XP 2008, antivirus XP 2009, Antivirus Xp 2010 atau Internet Security 2010. JIka dibandingkan dengan antivirus alsi, antivirus palsu tersebut mempunyai tampilan yang sangat menarik, antivirus palsu ini juga dilengkapi dengan  fitur-fitur yang sama persis dengan antivirus asli seperti fasilitas scan hard disk, update definisi, firewall, email protection dan setting optimalisasi antivirus tersebut sehingga user tidak dapat membedakan antara antivirus palsu tersebut dengan antivirus asli. Antivirus palsu ini lebih “agresif” dibandingkan dengan antivirus asli dengan menampilkan beberapa peringatan  hasil deteksi virus “yang tentunya juga palsu”  dengan tingkat resiko yang membuat user menjadi lebih “paranoid”.

Saat ini golongan mereka (virus) masih tetap setia mengincar user-user terutama yang awam untuk dijadikan korban, ini terbukti dengan kemunculan varian lain dengan nama W32/Bredolab.GY , virus ini mempunyai tugas untuk membuka port dan melakukan koneksi ke website yang telah ditentukan kemudian mendownload Trojan/ virus lain, virus ini juga akan mendownload dan menginstall sebuah program antivirus palsu dengan nama “Security essentials 2010 ” secara otomatis, jika anda melihat tampilannya anda juga tidak akan percaya bahwa antivirus tersebut sebenarnya adalah virus yang memalsukan dirinya sebagai antivirus. Jika dilihat dari namanya, antivirus palsu ini mempunyai nama yang “hampir” sama dengan program antivirus yang dikeluarkan oleh Microsoft yakni “Microsoft Security Essentials”, perbedaannya terdapat dari segi tampilan selain itu untuk mendapatkan versi full dari program “Security essentials 2010 ” ini anda akan di tawarkan untuk melakukan pembelian terlebih dahulu sedangkan “Microsoft  Security Essentials” adalah program free yang dikeluarkan langsung oleh Microsoft, apakah hal ini dilakukan untuk menjebak user ataukan ada hal lain ????. Antivirus palsu tersebut di kenali oleh Norman Security Suite sebagai W32/FakeAV (lihat gambar 1 dan 2)

Gambar 1, Tampilan antivirus “palsu” Security essentials 2010

Gambar 2, Tampilan “Microsoft Security Essentials”

Antivirus palsu yang di install oleh W32/Bredolab.GY ini memang cukup menarik perhatian apalagi ia akan menampilkan beberapa nama virus “berbahaya” yang berhasil di kenali serta peringatan-peringatan lain yang mengiformasikan adanya upaya dari pihak luar yang mencoba untuk menyusup kedalam komputer yang berhasil di tangkal oleh Firewall “palsu” dari antivirus tersebut. Antivirus palsu ini juga mempunyai fasilitas untuk update definisi layaknya antivirus. (lihat gambar 3)

Gambar 3, Hasil deteksi “palsu” dari ”Security essentials 2010 ”

Ternyata dibalik penampilan yang “menawan” tersebut tersisip sebuah ancaman yang cukup berbahaya, apa saja ancamannya …silahkan baca artikel ini lebih lanjut.

Untuk mengelabui user, W32/Bredolab.GY  akan mengunakan rekayasa sosial dengan memanfaatkan icon MS.Word dengan ekstensi EXE. Virus ini akan di kompresi dengan menggunakan UPX dan mempunyai ukuran sekitar 50 KB (sebelum di kompres mempunyai ukuran 76 KB), lihat gambar 4.

Gambar 4, Contoh File virus W32/Bredolab.GY

Dengan update definisi terakhir, Norman Security Suite berhasil mendeteksi virus ini sebagai W32/Bredolab.GY  (lihat gambar 5)

Gambar 5, Hasil deteksi Norman Security Suite

Pada saat file yang telah terinfeksi W32/Bredolab.GY  ini di aktifkan, ia akan mendownload beberapa trojan/virus lainnya yang akan di simpan dibeberapa lokasi kemudian mengeksekusi dan menginstall kan dirinya kedalam komputer target (oleh karena itu virus ini akan aktif sempurna jika komputer target mempunyai koneksi internet). Untuk mengelabui user, ia akan menginstall sebuah program antivirus palsu dengan nama ”Security essentials 2010 ”, kemudian ia akan membuat beberapa file berikut:

·         C:\Documents and Settings\%user%\orflrkuat.exe

·         C:\Program Files\Securityessentials2010\SE2010.exe

·         C:\WINDOWS\system32

o   smss32.exe

o   orflrkuat.exe

o   winlogon32.exe

o   Warning.html

o   Post.txt

o   %x%.exe (%x%, menunjukan angka)

o   Pgsb.lto

o   Adbd.sys

o   Helpers32.dll

o   ES15.exe

·         C:\Documents and Settings\%user%\Local Settings\Temp

o   *.tmp

o   *.bat

·         C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files

·         C:\windows\system32\drivers\ndis.sys (merubah isi file)

·         C:\WINDOWS\system32\ipsecndis.sys

·         C:\WINDOWS\system32\Drivers\ntndis.sys

·         C:\Documents and Settings\%user%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010 .lnk (lihat gambar 6)

Gambar 6, Program Security essentials 2010  pada tray menu

Registry Windows

W32/FakeAV  akan membuat perubahan pada sejumlah registry berikut dengan tujuan agar salah satu dari file induk tersebut dapat di aktifkan secara otomatis pada saat komputer dihidupkan

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  • orflrkuat = C:\Documents and Settings\%user%\orflrkuat.exe

  • Security essentials 2010  = C:\Program Files\Securityessentials2010\SE2010.exe

  • smss32.exe = C:\WINDOWS\system32\smss32.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • orflrkuat = C:\WINDOWS\System32\orflrkuat.exe

  • smss32.exe = C:\WINDOWS\system32\smss32.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Shell = Explorer.exe rundll32.exe pgsb.lto csxyfxr

• Userinit = C:\WINDOWS\system32\winlogon32.exe

• HKEY_CURRENT_USER\Software\SE2010

W32/FakeAV juga akan melakukan sejumlah perubahan pada registry berikut

• HKEY_USERS\S-1-5-21-1644491937-113007714-1580818891-1003\software\microsoft\internet explorer\main

  • Disable Script Debugger = ye

  • Error Dlg Displayed On Every Error = ye

  • DisableScriptDebuggerIE = ye

• HKEY_USERS\S-1-5-21-1644491937-113007714-1580818891-1003\software\microsoft\windows\currentversion\explorer

  • ShellState = 24 00 00 00 73 88 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 0D 00 00 00 00 00 00 00 00 00 00 00

  • EnableAutoTray  = 0

• HKEY_LOCAL_MACHINE\system\ControlSet001\services\winsock2\parameters\protocol_catalog9\catalog_entries\000000000012

• HKEY_LOCAL_MACHINE\system\ControlSet001\services\winsock2\parameters\protocol_catalog9\catalog_entries\000000000013

• HKEY_LOCAL_MACHINE\system\ CurrentControlSet\services\winsock2\parameters\protocol_catalog9\catalog_entries\000000000012

• HKEY_LOCAL_MACHINE\system\ CurrentControlSet\services\winsock2\parameters\protocol_catalog9\catalog_entries\000000000013

• HKEY_LOCAL_MACHINE \system\ControlSet001\services\adbd

• HKEY_LOCAL_MACHINE \system\ControlSet002\services\adbd

• HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\adbd

Lumpuhkan Fungsi Windows

Agar tidak mudah di bersihkan oleh user, W32/FakeAV akan melumpuhkan beberapa  fungsi Windows seperti Task Manager, Registry Editor atau CMD, selain itu ia akan blok sederetan proses yang mempunyai nama tertentu dengan menampilkan peringatan “palsu” seolah-olah file tersebut telah terinfeksi virus seperti terlihat pada gambar 7 di bawah ini

Gambar 7, Peringatan “palsu” dari W32/FakeAV saat menjalankan fungsi Windows atau tools security

Berikut beberapa daftar nama file yang akan dilumpuhkan oleh W32/FakeAV

• calc.exe

• notepad.exe

• control.exe

• WINWORD.exe

• winmine.exe

• vmware.exe

• uTorrent.exe

• msconfig.exe

• thebat.exe

• taskmgr.exe

• spider.exe

• sol.exe

• sndvol32.exe

• Skype.exe

• wupdmgr.exe

• GoogleEarth.exe

• chrome.exe

• MsnMsgr.Exe

• word.exe

• POWERPOI.exe

• RealPlayer.exe

• skypePM.exe

• shvlzm.exe

• RWipeRun.exe

• RwcRun.exe

• regedit.exe

• RegCloneCD.exe

• RecordingManager.exe

• POWERPNT.exe

• PokerStars.exe

• pinball.exe

• Photoshop.exe

• OUTLOOK.exe

• nfs.exe

• NeroExpressPortable.exe

• Nero.exe

• MSWorks.exe

• mspaint.exe

• msmsgs.exe

• msimn.exe

• mshearts.exe

• mplayer2.exe

• mplay32.exe

• moviemk.exe

• miranda32.exe

• Illustrator.exe

• Icq.exe

• hrtzzm.exe

• FullTiltPoker.exe

• freecell.exe

• digitaleditions.exe

• cmd.exe

• CloneCD.exe

• rstrui.exe

• AcroRd32.exe

• wmplayer.exe

• mplayerc.exe

• PowerDVD.exe

• setup_wm.exe

• winamp.exe

• windvd.exe

• realplay.exe

• WindowsAnytimeUpgradeUI.exe

• sidebar.exe

• tvp.exe

• AdvancedDVDPlayer.exe

• QuickTimePlayer.exe

• winupdate.exe

Untuk melumpuhkan beberapa  fungsi Windows di atas ia akan membuat string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

  • NoChangingWallpaper

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  • NoActiveDesktopChanges

  • NoSetActiveDesktop

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

  • DisableTaskMgr

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

  • NoChangingWallpaper

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

  • NoActiveDesktopChanges

  • NoSetActiveDesktop

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

  • EnableLUA = 0

Selain itu W32/FakeAV  juga akan mendaftarkan sejumlah website dirinya ke zona aman (trusted sites) Internet Explorer agar tidak diblok oleh dengan membuat string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com    

  • http : 0x00000002 (2)

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com

  • http : 0x00000002 (2)

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com

  • http : 0x00000002 (2)

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com

  • http : 0x00000002 (2)

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com (lihat gambar 8)

  • http : 0x00000002 (2)

Gambar 8, Kumpulan alamat website yang di amankan oleh W32/Bredolab.GY

Peringatan palsu

Untuk menarik perhatian korban, W32/FakeAV  “si antivirus palsu” akan menampilkan beberapa peringatan “palsu” berupa hasil deteksi virus dilengkapi dengan tingkat resiko dari virus tersebut lengkap dengan tombol pembersih (Remove Threats], jika user memilih tombol tersebut maka W32/FakeAV  akan menampilkan sebuah layar konfirmasi yang mengharuskan anda untuk melakukan aktivasi/register program tersebut terlebih dahulu. Jika user tidak memiliki kode aktivasi, W32/FakeAV  akan menyediakan tombol bantu lain untuk mendapatkan kode aktivasi yakni “Get License”, jika user klik tombol tersebut maka W32/FakeAV  akan menggiring korban untuk mengisi sederetan kolom-kolom yang akan ditampilkan oleh website yang sudah dipersiapkan  yang merupakan website “jebakan” dengan dalih untuk mendapatkan produk “full version”, sebaiknya jangan anda isi karena bukan antivirus “palsu” tersebut yang anda dapatkan melainkan sejumlah uang akan melayang dengan percuma tanpa bisa membersihkan virus tersebut. (lihat gambar 9 - 12)

Gambar 9