Evaluasi Malware 2011 Trend Malware 2012

Tahun 2011 tinggal menghitung hari dan berganti dengan tahun 2012, sudah banyak peristiwa yang terjadi selama tahun 2011 mulai dari bencana alam seperti banjir, gempa bumi bahkan bencana kekeringan, lalu bagaimana dengan penyebaran virus di dunia maya?.

 

Penyebaran virus di tahun 2011, sudah mengalami banyak perubahan dibandingkan dengan tahun-tahun sebelumnya terutama dari metode penyebaran yang saat ini sudah tidak hanya memanfaatkan piranti removable media seperti USB Flash atau HDD eksternal. Perkembangan Android yang begitu cepat ditahun 2011 ikut memberikan warna baru dalam penyebaran virus, Mac yang selama ini di klaim sebagai OS paling kuat dari serangan viruspun mulai masuk dalam daftar incaran virus. Hal ini membuktikan bahwa tidak ada OS yang kebal dari serangan virus, karena semakin poluper dan semakin banyak OS tersebut di gunakan maka semakin rentan terhadap serang an virus.

 

Secara umum trend penyebaran Malware di tahun 2011 di bagi menjadi 4 (empat) jenis, yakni:

 

• Virus injection, adalah virus yang didesain secara khusus untuk menginjeksi file yang telah ditentukan, biasanya berupa file yang sering digunakan seperti file yang mempunyai ekstensi EXE. Metode ini digunakan sebagai bentuk pertahanan diri agar bisa berumur panjang dan sulit dibasmi. Di tahun 2011 terdapat beberapa virus yang  mempunyai kemampuan untuk menginjeksi file seperti Sality/Virut atau Ramnit. Khusus untuk virus Ramnit selain menginjeksi file yang mempunyai ekstensi EXE juga akan menginjeksi file dengan ekstensi DLL, HTM dan HTML hal inilah yang menjadikan Ramnit menjadi jawara selama semester pertama sebagai virus yang paling banyak menyebar.

 

• Scareware (Rouge antivirus/fake antivirus/antivirus palsu), adalah malware yang menyamarkan dirinya sebagai program keamanan seperti antivirus. Scareware dirancang untuk menakut-nakuti user dengan menampilkan peringatan palsu yang menginformasikan bahwa komputer terinfeksi program berbahaya. Untuk kasus tertentu akan menyebabkan user tidak dapat menjalankan aplikasi. Scareware/antivirus palsu biasanya bersifat trial sehingga untuk mendapatkan versi Full, user harus melakukan registrasi dengan mengirimkan sejumlah uang ke alamat yang sudah ditentukan.

 

• Phishing (Virus FaceBook), Maraknya penguna facebook saat ini menjadi salah satu faktor meningkatnya serangan phishing di tahun 2011. Phishing dirancang secara khusus untuk mengalihkan user untuk mengakases ke website yang telah ditentukan, dimana website tersebut mempunyai tampilan yang sama persis dengan website aslinya dengan tujuan untuk mencuri informasi penting seperti username dan password dan data penting lain nya termasuk data email.

 

• Virus Android, pertumbuhan Android yang luarbiasa dan ditunjukkan dengan semakin banyaknya pengguna Android ditahun 2011 semakin “memotivasi” para kriminal untuk membuat virus dan  menjadi “ladang” baru setelah sebelumnya menyerang system operasi Microsoft dengan di awali kemunculan virus yang memanfaatkan program Angry Bird dan masih, hal ini membuktikan Android saat ini bukanlan OS yang aman lagi. Macintosh yang selama ini sering mengklaim diri sebagai OS yang kebal dari serangan viruspun mulai menjadi sasaran serangan virus yang muncul di semester pertama yang menyamarkan dirinya sebagai software keamanan Macintosh dengan nama “MacSecurity”.

 

Berikut rangkuman penyebaran virus di tahun 2011

 

Stuxnet a.k.a Winsta

Stuxnet yang sudah muncul di tahun 2010 semakin menunjukan eksistensinya di tahun 2011 dengan semakin banyaknya jumlah PC yang terinfeksi (http://vaksin.com/2010/0710/Stuxnet%20winsta%20virus/Stuxnet%20winsta%20virus.htm).  

 

Walaupun belum sempat menyebar terlalu luas, namun virus ini cukup merepotkan karena mampu menggelembungkan kapasitas harddisk pada komputer yang terinfeksi sehingga berapapun besarnya harddisk yang anda miliki, jika terinfeksi virus ini akan kehabisan tempat alias Low Disk Space sehingga user tidak dapat menjalankan program aplikasi internal dan membuat komputer menjadi hang, selain  itu Stuxnet juga akan mematikan Print Sharing dan koneksi jaringan terputus. Untuk mempermudah penyebaran nya tidak tanggung-tanggung ada sebanyak 5 (lima) celah keamanan Windows yang akan di exploitasi oleh Stuxnet, termasuk kemampuan membypass perlindungan UAC (User Access Control) yang sempat digembar-gemborkan sebagai perlindungan baru yang dapat memblok virus baru, sehingga notabene Windows Vista dan Windows 7 menjadi rentan terhadap serangan ini.

 

Stuxnet yang kabarnya hanya menyerang SCADA (kebanyakan perusahaan minyak dan gas) terutama pada pengguna komputer di Iran, tetapi pada perkembangan nya juga menyerang komputer yang tidak menggunakan SCADA termasuk Windows Vista dan 7 .

 

Berikut Celah keamanan yang akan di exploitasi oleh Stuxnet

 

• Windows Server Service / RPC (MS08-067)

Denganteknik yang sama seperti worm Conficker, memanfaatkan sistem Windows yang tidak update worm akan dengan mudah menginfeksi komputer.

 

Link : http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

 

• Windows Shell Icon Handler / LNK (MS10-046)

Stuxnet merupakan salah satu worm yang memanfaatkan celah ini. Dengan memanfaatkan file shortcut, worm menginfeksi komputer dengan mudah.

 

Link : http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx

 

• Windows Print Spooler / Spoolsv (MS10-061)

Banyak kasus-kasus yang terjadi menurut pengamatan Vaksincom komputer menjadi bermasalah dengan Print Server atau share printer. Dan ternyata, worm Stuxnet juga mengeksploitasi Print Spooler dalam aksinya.

 

Link : http://www.microsoft.com/technet/security/Bulletin/MS10-061.mspx

 

• Windows Win32K Layout Module (MS10-073)

Salah satu celah baru dari Windows yang berhasil dilewati oleh Stuxnet. Dengan memanfaatkan file w32k.sys dan menginjeksinya, maka worm Stuxnet dapat memiliki hak administrator dan dengan mudah menginfeksi komputer sekalipun “digembar-gemborkan” memiliki perlindungan tambahan terhadap serangan virus atau lebih kebal virus :p.

 

            Link : http://www.microsoft.com/technet/security/Bulletin/MS10-073.mspx

 

• Windows Task Scheduler

Celah ini digunakan untuk menembus sistem baru dari Windows Vista dan Windows 7 yaitu UAC (User Account Control). Dengan membuat file schedule task agar dengan mudah menginfeksi komputer.

 

 

Ramnit (Jawara malware 2011)

Ramnit adalah virus yang paling sukses menyebar di tahun 2011, dengan kemampuan update layaknya program antivirus Ramnit berhasil mengecoh system scanner program antivirus. Virus yang muncul akhir bulan Januari 2011 ini mempunyai kemampuan untuk menginjeksi file yang mempunyai ekstensi EXE dan DLL baik berupa file program aplikasi maupun file system Windows sehingga memerlukan langkah pembersihan khusus. Bagi anda yang mempunyai webserver atau senang berselancar internet harap berhati-hati karena Ramnit juga akan menyebar dengan menginjeki file HTM dan HTML. Ramnit sempat bertengger sebagai jawara di urutan pertama sampai dengan pertengahan bulan Agustus 2011 sehingga pantas dinobatkan sebagai virus jawara di tahun 2011. Selain menginjeksi file, Ramnit juga akan menyebabkan komputer yang terinfeksi menjadi lambat dengan adanya aktivitas untuk melakukan konektifitas ke internet secara terus menerus dengan menampilkan website yang telah ditentukan.

 

Ramnit sukses menyebar dengan memanfaat beberapa celah berikut:

 

• Exploit Vulnerability (MS10-046 - KB2286198) dengan memafaatkan celah lnk/shortcut

Link : http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx

• Mendaftarkan diri sebagai proses yang sah dari microsoft (svchost) sehingga mampu mengelabui user.
• Inject ektensi .exe, dll, htm dan html
• Memanfaatkan removable media dengan memanfaatkan autorun Windows
• Menyebar via file sharing dengan menginfeksi file yang mempunyai ekstensi EXE/DLL/HTM/HTML

 

Dalam menjalankan aksinya, Ramnit tidak berjalan sendirian tetapi akan mengundang virus lain yang mempunyai kemampuan sama yakni menginjeksi file dengan ekstensi EXE seperti W32/Virut atau W32/Sality sehingga terjadi double injection dalam satu file sehingga mempersulit pada saat proses perbaikan, untuk beberapa kasus jika terjadi kegagalan dalam perbaikan file tersebut akan menyebabkan file menjadi rusak dan tidak dapat digunakan.

 

Chanet Splitter II

Untuk menangkal penyebaran Ramnit, Vaksincom bekerjasama dengan programmer muda (Bung Yayat) membuat satu tools yang berfungsi untuk membersihkan file HTM/HTML yang sudah terinjeksi Ramnit, Chanet SplitterII juga dirancang agar dapat  mematikan proses Ramnit yang aktif dimemori dan yang paling penting adalah mencegah agar komputer tidak terinfeksi kembali oleh Ramnit. (lihat gambar 1)

 

Gambar 1, Interface ChanetSplitterII

 

Untuk informasi lebih lanjut mengenai virus Ramnit, silahkan kunjungi link berikut

http://vaksin.com/2011/0111/ramnit/ramnit.html

http://vaksin.com/2011/0211/ramnit2/ramnit2.html

http://www.vaksin.com/2011/0811/immune%20from%20ramnit/Immune%20from%20Ramnit.htm

http://www.vaksin.com/2011/0811/clean%20htm%20html%20from%20Ramnit/Clean%20htm%20html%20from%20Ramnit%20injection.html

 

Scareware Fake Antivirus  (Antivirus palsu)

Trend penyebaran virus saat ini lebih di dominasi oleh virus yang mempunyai kemampuan menginjeksi file aplikasi seperti file dengan ekstensi EXE, COM atau SCR sebut saja virus W32/Alman, W32/Sality, W32/Virut atau W32/Ramnit serta masih banyak virus lainnya dengan varian yang cukup banyak. Maraknya penyebaran virus saat ini mengharuskan kita lebih waspada terhadap kemungkinan-kemungkinan virus lain yang setiap saat mengintai. Perlu langkah cermat untuk mengantisipasi agar tidak menjadi korban salah satunya dalam memilih program antivirus dan “rupanya” hal ini merupakan celah baru yang dapat di manfaatkan oleh virus untuk menyebarkan dirinya dengan cara memalsukan dirinya sebagai program keamanan (baca: antivirus). Fake antivirus atau yang lebih dikenal dengan sebutan Antivirus palsu mempunyai tampilan yang tidak kalah menarik seperti program antivirus pada umumnya yang dilengkapi dengan berbagi fitur Internet Security seperti Firewall atau Privacy Tools. Dalam hal deteksi juga cukup “Baik” karena mampu mendeteksi virus-virus yang tidak dapat di deteksi oleh program antivirus pada umumnya, tetapi anda jangan terkecoh karena semua peringatan yang muncul adalah PALSU, ujung-ujungnya kita diminta untuk mengirimkan sejumlah uang untuk mendapatkan versi full nya agar dapat menghapus virus “palsu” tersebut.

 

Sama seperti di tahun 2010, di tahun 2011 Scareware/Fake Antivirus masih menunjukan eksistensinya. Scareware sebenarnya sebuah software yang dirancang secara khusus untuk menakut-nakuti atau meneror pengguna komputer dengan beragam informasi palsu seolah-olah komputer terinfeksi program jahat yang  akan mengancam sistem komputer yang menyamar sebagai aplikasi keamanan.

 

Fake antivirus yang muncul sekitar bulan April sampai pertengahan bulan Juni 2011  menyebar dengan memanfaat kan media sosial networking seperti Yahoo Messsager, MSN Messsager maupun Facebook dengan mengirimkan link virus ke semua account yang ada pada aplikasi tersebut. Program antivirus palsu atau lebih dikenal dengan istilah Scareware saat ini sudah mencapai puluhan jenis. Kurang nya pengetahuan user terhadap perkembangan virus menjadi penyebab mudahnya antivirus gadungan ini menyebar. Dari sekian banyak  program scareware yang menyebar salah satunya adalah W32/FakeAV.AESL demikian Norman Security Suite mendeteksi virus ini. Program gadungan ini akan menyamarkan dirinya sebagai tools “Data Recovery” yang di dalamnya berisi fitur untuk melakukan pemeriksaan terhadap komputer Anda seperti pemeriksaan kondisi Hard Disk, Memory, Registry serta Operating System, sebaiknya anda jangan  percaya dengan hasil yang ditampilkan  oleh tools ini karena semua nya adalah “palsu”. Untuk beberapa varian yang lain sebut saja FakeAV Personal Shield Pro yang menyamarkan dirinya sebagai program keamanan yang menyebabkan user tidak dapat menjalankan semua program aplikasi security dan aplikasi lain yang sudah ditentukan dengan menampilkan bahwa tools tersebut telah terinfeksi oleh virus. (lihat gambar 2 dan 3)

 

Gambar 2, Antivirus palsu Personal Shiel Pro

 

Gambar 3, Peringatan palsu yang ditampilkan oleh Fake antivirus

 

Dengan dalih untuk mendapatkan versi full, Fake antivirus biasanya akan menampilkan pesan registrasi pada saat user mencoba untuk membersihkan file yang terdeteksi sebagai virus. Sebaiknya Anda jangan terkecoh dengan pesan tersebut (lihat gambar 4) karena bukan antivirus full yang anda dapatkan tapi justru informasi penting anda akan di manfaatkan untuk tujuan “jahat” tanpa mendapatkan lisensi full dari antivirus palsu tersebut. Karena sebenarnya ancaman virus yang ditampilkan adalah palsu.

 

Gambar 4, Antivirus palsu membohongi korbannya membeli perlindungan palsu

 

Facebook (Phishing)

Facebook (FB), sang raja jejaring sosial memang sangat fantastis. Tidak hanya membuat iri para pesaing-nya seperti Google yang meluncurkan produk Google+, tetapi juga memiliki daya tarik yang sangat besar bagi dunia internet. Hampir semua kalangan memiliki yang namanya akun Facebook. Tidak seperti aplikasi jejaring sosial sebelumnya yang hanya dinikmati para anak muda, akun Facebook dengan jumlah 800.000.000 akun sudah pasti menjadi daya tarik bagi penjahat ”cyber” untuk melakukan berbagai tindak kriminal mulai dari pencurian data penting berupa username dan password atau menyebarkan program berbahaya berupa virus dengan hanya mengirimkan sebuah url kepada kontak yang terdapat ada account Facebook tersebut.

 

Secara definisi Phishing adalah proses curang kriminal yang berusaha untuk mendapatkan informasi sensitif seperti username, password dan rincian kartu kredit dengan menyamar sebagai orang/bisnis yang dapat dipercaya dalam komunikasi elektronik. Komunikasi yang mengaku berasal dari situs web sosial populer, situs lelang, proses pembayaran online atau administrator IT dimana biasanya digunakan untuk memikat publik yang tidak curiga.

 

Phishing biasanya dilakukan melalui e-mail atau pesan instan, dan sering mengarahkan pengguna untuk memasukkan rincian di website yang palsu namun terasa hampir sama dengan yang sah.

 

Di tahun 2011, kejahatan phishing semakin meningkat mulai dari semester pertama sampai dengan akhir tahun 2011. Pengguna facebook yang semakin meningkat menjadi salah satu faktor semakin meningkatnya jumlah serangan phishing tersebut. Bagi pada pengguna facebook sebaiknya berhati-hati jika menerima alamat url untuk download sesuatu meskipun dari teman anda sendiri terlebih jika pesan tersebut disertai alamat url  yang di singkat (seperti bit.ly) apalagi jika mengarah ke login Facebook atau alamat lain untuk memasukan username dan password atau informasi penting lainnya. W32/Kolab atau W32/Trojan.Generic.6956508 adalah sederetan phishing Facebook yang menyebar pada  semester kedua. Dalam menyebarkan dirinya, ia akan mengirimkan pesan   singkat kepada semua kontak yang di dapat berupa alamat url untuk mendownload file virus yang sudah dipersiapkan. Alamat link yang diberikan akan berbeda-beda sehingga user tidak dapat melakukan blok terhadap alamat url tersebut. (lihat gambar 5 dan 6)

 

 

Gambar 5, Virus Facebook 2011

 

Gambar 6, Phishing site pencuri password Facebook

 

Virus Android

Pertumbuhan Android dan semakin banyaknya pengguna OS Android ditahun 2011 semakin “mengukuhkan” para penjahat kriminal untuk membuat virus dan  menjadi “ladang” baru setelah sistem operasi Microsoft yang di awali dengan kemunculan trojan Android.plankton yang memanfaatkan popularitas game Angry Bird, hal ini  membuktikan Android saat ini bukanlan OS yang aman lagi. Secara logis memang hal ini tinggal menunggu waktu, karena pembuat malware akan berusaha untuk menyerang OS yang paling populer. Saat ini malware terbanyak masih menyerang OS Windows, tetapi melihat kepopuleran Android, pembuat malware kelihatannya tergoda untuk menyerang OS ini.

 

Bersamaan dengan peluncuran versi Angry Birds yang terbaru dengan nama Angry Birds Rio, dimana seperti biasanya game yang didapatkan secara gratis pada Android Market (baik di HP maupun tablet Android) ini hanya memberikan jumlah (level) game yang terbatas (teaser) dan jika penggunanya berminat untuk memainkan lebih banyak level lagi maka ia perlu membayar untuk dapat melanjutkan permainan ke level berikutnya. Disinilah pembuat malware melihat celah dan beraksi dengan membuatkan aplikasi dengan nama “Angry Birds Rio Unlock” (lihat gambar 7) yang menjanjikan akan membuka seluruh level yang tersembunyi pada game Angry Birds Rio.

 

         

Gambar 7, Trojan Android.plankton di Angry Birds Rio Unlock

 

Banyak hal yang dapat dilakukan oleh virus android salah satunya adalah akan mengiriam SMS ke nomor premium yang akan menguras pulsa ponsel anda, Mengunduh aplikasi lain tanpa sepengetahuan pemilik perangkat serta mengirmkan data deviceID, versi SDK (software Development Kit) dan informasi mengenai hak akses dari file ke server yang telah disediakan pembuat trojan.

 

Bagaimana dengan virus Lokal??

Penyebaran virus lokal di tahun 2011 menurun dibandingkan tahun sebelumnya kalaupun ada adalah virus-virus yang pernah menyebar di tahun sebelumnya dan beberapa virus lokal lain nya dengan kemampuan yang sama yakni mendupikasi dirinya disetiap folder dan subfolder.

 

Bagaimana trend malware di tahun 2012

Dilihat dari penyebaran malware di tahun 2011, di tahun 2012 media sosial networking seperti YM dan facebook masih menjadi incaran empuk para kriminal begitupun dengan penyebaran scareware/fakeav akan masih hidup ditahun 2012. Hal lain yang perlu diwaspadai adalah bagi para pengguna Android hal ini melihat karena semakin pesat nya pertumbuhan Android dan semakin banyaknya pengguna Andorid. Perlu langkah bijak dalam menghadapi serangan ini, selalu update informasi perkembangan virus, proteksi komputer dengan menggunakan antivirus yang up-to-date serta mendapat dukungan support lokal beberapa hal yang dapat dilakukan untuk mencegah paling tidak memperkeci peluang virus untuk menyebarkan dirinya.

 

Salam dan selamat tahun baru 2012. Semoga kebahagiaan dan kesuksesan selalu beserta anda.

Aj Tau

info@vaksin.com

 

PT. Vaksincom

Jl. R.P. Soeroso 7AA

Jakarta 10330

 

Ph : 021 3190 3800

Fx : 021 3190 3500