Senin, 21 Juli 2008

Virus Baru Indonesia Kuartal Pertama 2008

Kanal: Iptek
Senin, 16-06-2008 18:18:50
oleh: AlfonsTan

Kuartal pertama tahun 2008 tidak terlihat penurunan aktivitas pembuatan virus baru di Indonesia. Dibandingkan tahun 2007 yang termasuk tahun paling aktif bagi VM (Virus Maker), rata-rata setiap bulan Laboratorium Vaksincom menerima lebih dari seratus virus baru. Jika dipukul rata setiap hari ada lebih dari 3 virus baru muncul. Sebagai catatan, data ini "hanya" sampel virus yang diterima Vaksincom di Indonesia saja. Tercatat nama-nama seperti Rontokbro, Autorun, VBWorm, Republik dan VB Troj yang merupakan produksi lokal, tetapi yang cukup mengejutkan adalah maraknya varian virus mancanegara yang diterima Vaksincom seperti Sohanad, Agent, SmallTroj, NSAnti, Bancos, Delf, Dloader dan Solow.

Sang Perawan

Sang Perawan pada dua bulan pertama tahun 2008 mencatat kesuksesan besar dalam penyebarannya karena tidak terdeteksi oleh antivirus. Norman Virus Control mendeteksi Sang Perawan sebagai W32/VBWorm.GZH sejak bulan Juli 2007. Virus yang lebih populer dikenal dengan nama W32/Dewi atau Sang Perawan dan mengganas pada bulan Februari 2008 ini memiliki ciri khas menginjeksi file gambar berformat JPEG (Joint Photographics Expert Group). Dua varian Sang Perawan yang ditemukan ini masing-masing memiliki ukuran asli sebesar 301 KB dan 91 KB (lihat gambar 1). Karena itu, file JPEG yang di injeksi kedua virus ini akan berubah menjadi.EXE dan bertambah ukurannya sebesar 301 KB atau 91 KB (tergantung varian yang menginfeksi) dan celakanya, file JPEG tersebut menjadi error dan tidak bisa dibuka kembali.

Untuk mengembalikan file JPEG yang telah "dipermak" oleh virus ini, anda dapat menggunakan tools "Chanal jpg splitter" yang dibuat oleh Yayat dan dapat anda temukan dalam DVD Chip edisi ini.

Stargate

"Jika Ingin Menggapai Mimpi Yang Lebih Indah, Laksanakan dan Kerjakan". Demikianlah pesan yang muncul setiap kali komputer yang terinfeksi virus Stargate atau W32/Agent.DRUU ini menjalankan Internet Explorer yang akan membuka file St4rgt.html. Stargate akan memalsukan dirinya dengan icon folder dan virus ini termasuk sulit untuk dibersihkan karena ia akan melakukan redirect file eksekusi untuk menjalankan dirinya. Selain itu virus ini juga berusaha melumpuhkan beberapa antivirus sehingga tidak dapat berfungsi dengan baik. Satu hal yang perlu menjadi catatan yang menarik adalah perhatian virus ini pada secpol.msc (Security Policy) dan gpedit.msc (Group Policy Editor) dimana pembuat virus ini secara khusus melakukan pemblokiran pada secpol dan gpedit sehingga akan komputer yang terinfeksi Stargate akan menampilkan pesan error setiap kali menjalankan kedua palikasi di atas. (lihat gambar 2)

Gambar 2, Pesan error pada saat menjalankan gpedit.msc atau secpol.msc


Walaupun segudang ekstensi sudah di blok, Stargate rupanya lupa memblok .scr sehingga jika anda ingin membasmi virus ini, anda tinggal merubah ekstensi menjadi .scr (E.G. rename "Process Explorer.exe" yang diblok menjadi "Proces Explorer.scr). Selain itu anda dapat menggunakan tools bantu Regalyzer untuk membuka registry jika "regedit" di blok, repair.vbs dan VRT.scr yang dibuat khusus untuk membasmi virus ini. Untuk langkah detail membasmi Stargate, silahkan masuk ke http://vaksin.com/2008/0308/Stargate/Stargate.html

Hokage

Bagi anda penggemar Manga, tentunya tahu cerita Naruto. Ninja dari desa Konoha yang berambisi menjadi Hokage (Kepala Suku). Rupanya ada pembuat virus yang juga penggemar Naruto dan selain memalsukan dirinya dengan icon Winamp, merubah icon Flash Disk pada Windows Explorer menjadi icon Winamp, virus ini juga menamai file induknya sebagai "HokageFile.exe" (lihat gambar 3).

Gambar 3, File induk virus Hokage

Hokage yang di deteksi Norman sebagai VBWorm.gen16 ini juga memiliki kemampuan menginfeksi komputer / Flash Disk secara otomatis dengan memanfaatkan fitur autorun. Virus yang disinyalir berasal dari Kalimantan Tengah/ Sampit ini tidak tanggung-tanggung membuat file autorun.inf, desktop.ini dan folder.htt yang semuanya bertujuan untuk mengeksekusi file dengan nama "Hokagefile.exe" yang merupakan file induk dari virus ini.

VBS/Repulik (Republik)

Virus yang terdeteksi oleh Norman sebagai VBS/Repulik ini melakukan aksi mirip Kespo menginjeksi file MS Office. Bedanya kalau Kespo mengincar file di komputer, Repulik merubah file MS Office di Flash Disk dan menginjeksinya dengan dirinya. File MS Word dan Excel yang di injeksi akan bertambah ukurannya sebesar 5 KB dan menjadi file virus, tetapi ekstensi file juga berubah menjadi ekstensi ganda. Misalnya file asli memiliki nama dokumen.doc, setelah di injeksi Repulik ukurannya akan bertambah 5 KB dan iconnya akan berubah menjadi VBS (Visual Basic Script) sehingga mudah dikenali.

Jika file anda di injeksi oleh virus ini, jangan putus asa dulu, karena anda bisa mendapatkan tools mengembalikan file ini di DVD Chip. Jalankan file "Splitter_VBS2DOC_XLS" untuk mengembalikan file asli anda yang telah di injeksi oleh Repulik.

Amburadul

Ibarat lagu "SMS" yang populer sehingga memunculkan lagu "Jawaban SMS". Pembuat virus Hokage yang berasal dari Sampit memunculkan pembuat virus lain yang juga berasal dari Kalimantan Tengah dan selain berusaha membasmi virus Hokage, virus Amburadul ini juga mempromosikan kota Palangkaraya sebagai tempat wisata dengan menggunakan nama Jembatan Kahayan sebagai nama file virus. Virus yang memalsukan diri sebagai file JPG ini memiliki cukup banyak varian dengan ukuran yang bervariasi, dari 51 KB s/d 56 KB dan terdeteksi oleh Norman sebagai W32/Autorun dan W32/Agent. (lihat gambar 4)

Gambar 4, Norman mendeteksi Amburadul sebagai varian Autorun dan Agent

Selain berusaha membasmi virus Hokage dan menyampaikan pesan yang dapat mendorong perang virus, Amburadul juga berusaha berusaha menggunakan perintah "Taskkill" untuk melumpuhkan program sekuriti dan antivirus serta melakukan Ddos pada website www.duniasex.com, www.data0.net dan www.rasasayang.com.my. Detail aksi lain dan cara membasmi virus ini dapat dilihat pada http://vaksin.com/2008/0408/amburadul/amburadul.html.

Virus Lokal masih mendominasi

Dari total 449 virus baru yang diterima oleh laboratorium virus Vaksincom dari Januari 2008 s/d April 2008, 32,74 % adalah varian virus yang dibuat menggunakan bahasa pemrograman VB, diikuti oleh varian virus yang autorun sebanyak 15,14 %, lainnya 16,39 % dan Rontokbro 2,67 % dapat ditarik satu kesimpulan bahwa sample virus lokal masih mendominasi > 50 % virus baru yang diterima oleh laboratorium virus Vaksincom. Meskipun sample virus lokal mendominasi lebih dari 50 % tetapi tidak serta merta virus lokal mendominasi penyebaran virus di Indonesia karena menurut statistik penyebaran virus yang didapatkan Vaksincom, saat ini penyebaran virus di Indonesia masih di dominasi oleh virus asing dengan motor Delf, Viking dan beberapa spyware. Virus lokal masih tetap berbicara tetapi untuk sementara harus mengakui kehebatan virus asing. Jadi di dalam dunia virus rupanya kualitas lebih penting dari kuantitas. Terbukti dari virus mancanegara yang varian barunya relatif sedikit dibandingkan virus lokal seperti Delf dan Viking masih bisa mengalahkan virus lokal yang variannya sangat banyak.

Adapun hal yang perlu diwaspadai adalah Sohanad (virus Messenger) yang secara mengejutkan dalam 4 bulan sudah menelurkan 42 varian (9,35 %). Terakhir, tetap spyware menjadi ancaman bagi pengguna internet, terbukti dengan munculnya 94 varian Agent 24 (5,35 %), Dloader 32 (7,13 %) dan Smalltroj 38 (8,46 %) sehingga menimbulkan ancaman baru bagi pengguna komputer. Untuk lengkapnya, silahkan lihat tabel 1 dan gambar 5 dibawah ini.

Virus Baru

Jumlah

% tase

Autorun

68

15,14%

Sohanad

42

9,35%

VB Virus

147

32,74%

Agent

24

5,35%

Dloader

32

7,13%

Smalltroj

38

8,46%

Solow

10

2,23%

Rontokbro

12

2,67%

lainnya

76

16,93%

Total

449

100,00%

Tabel 1, Varian virus baru yang diterima Vaksincom Januari - April 2008

Gambar 5, Grafik kue varian virus baru di Indonesia Jan - Apr 2008

Awas, Virus Berbahaya Bobol Rekening Bank

Fino Yurio Kristo - detikinet

Ilustrasi (ist)

Inggris - Pakar keamanan komputer memperingatkan adanya sebuah virus yang berjalan di sistem operasi Windows yang mampu mencuri informasi detail account login bank. Bulan lalu saja, program jahat ini dilaporkan membawa sampai 5000 korban, kebanyakan di Eropa.

Disebutkan, virus bernama Mebroot ini berbahaya karena mampu menyembunyikan diri dengan baik di dalam Windows untuk mencegah deteksi program anti-virus. Program jahat ini selanjutnya berusaha membobol bagian hardisk komputer bernama Master Boot Record (MBR).

"Jika Anda mampu mengendalikan MBR, Anda akan mampu juga mengendalikan sistem operasi komputer," tandas Elia Florio dari perusahaan Anti Virus terkemuka Symantec, seperti dikutip detikINET dari BBC, Senin (14/1/2008).

Sekali virus berhasil masuk, program jahat yang lain seperti keyloggers akan terunduh juga untuk mencuri informasi penting, setelah itu siap-siap bobol lah data rekening Anda. Lebih dari 900 institusi keuangan dilaporkan terinfeksi virus ini yang akan aktif begitu sang pemilik login pada sistem online perbankan.

Disebutkan pula, hanya sedikit anti virus komersial yang mampu mendeteksi keberadaan Mebroot. Mebroot yang diduga diciptakan penjahat internet dari Rusia ini bahkan tak akan bisa dihapus selama komputer masih menyala.

Adapun sistem operasi Windows XP, Windows Vista, Windows Server 2003 dan Windows 2000 beresiko terkena serangan Mebroot. Kini, sejumlah perusahaan anti-virus pun sedang mencari cara yang ampuh untuk melumpuhkan program jahat tersebut. ( fyk / fyk )