DINAMIKA PENYEBARAN MALWARE DI INDONESIA

JS NEWS Ada berbagai cara malware menyebar dari satu komputer ke komputer lainnya.

Dengan memanfaatkan media internet, penyebaran malware dapat dengan mudah berpindah dari satu negara ke belahan negara lainnya. Di warnet, rental komputer atau pun jasa printing, mayoritas malware kebanyakan menyebar melalui penggunaan flashdisk. Untuk perkantoran, penyebaran malware tidak didominasikan oleh satu faktor saja. Internet, jaringan dan flashdisk merupakan faktor – faktor yang menjadi media penyebaran malware.

Malware berjenis ransomware atau penyandera data lebih banyak menyebar melalui internet seperti lampiran ­e-mail, website berbahaya yang menawarkan program update palsu hingga celah keamanan komputer seperti lemahnya password yang digunakan untuk remote desktop protocol ( RDP ).

Tren malware lain yang banyak dilaporkan, yaitu berjenis pencuri data. Untuk malware berjenis ini, dapat dikategorikan menjadi 2 jenis berdasarkan cara penyebarannya, yaitu trojan dan worm.

Berikut ini daftar malware yang masih aktif menyebar di indonesia danmedia penyebaran yang digunakannya.

OnGames.O

Trojan yang satu ini menyebar di indonesia melalui internet, tepatnya memanfaatkan website jejaringan sosial facebook. Dengan berkedok sebagai program hack game clash of clans ( CoC ), trojan ongames.o berusaha menipu target untuk memasukkan e-mail dan password untuk login CoC. Tidak tertutup kemungkinan, target malah memasukan e-mail dan password layanan e-mail yang digunakan.

Fake – FB.C

Masih bersifat trojan pencurian data dan disebar melalui facebook, malware ini berkedok sebagai profram hack facebook yang akan mencuri account pribadi gmail anda. Samaseperti ongames.o, data korban yang di curi akan langsung dikirim melalui e-mail ke ketutua123@gmail.com . Penulis berhasil masuk ke e-mail pembuatan malware dan ternyata ada beberapa malware lainnya yang disebar, dan dibuat khhusus untuk mencuri account seperti paypal.

Macoute.A

Trojan yang aktif mentebar melalui malware ini acapkali ditemukan di komputer yang digunakan secara bersama seperti di rental komputer dan warnet. Mengapa demikian? Hal ini karena adanya worm yang men-download macoute.a dengan tujuan mencuri password yang tersimpan di browser.

Trojan ini akan meng-copy file induk yang ada di lokasi berikut.

C:\Program Files\win\msn.exe dan file penanda di C:\Documents and Settings\Administrator\Local Settings\Temp\iosystem.dll.

Agar aktif di setiap startup, macoute.a membuat registry di lokasi berikut.

HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run

apo5=C:\Program Files\win\msn.exe

Untuk mengambil password tersimpan di internet explorer, trojan ini memodifikasi registry di lokasi berikut.

HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Intelliforms\Storage2

Selain mencuri account login di browser, trojan ini memiliki kemampuan untuk merekam ketikan user dan melakukan koneksi ke server 87.98.185.184.

Kryptik.vbs.BP

malware berjenis vbscript ini merupakan trojan yang membuka akses untuk pembuata malware pada komputer yang terinfeksi sehingga dapat dikendalikan secara remote. Penyebaran malware ini identik dengan worm karena menyebaran melalui flashdisk dengan file berbahaya di setiap file atau folder yang ada.

oleh karena itu, malware ini banyak ditemukan dikomputer yang digunakan untuk umum. Malware ini tidak mudah terdeteksi oleh antivirus karena kode program dienkripsi.

Berikut adalah potongan kode malware:

Execute ( (chr ) ( -809103542876+809103542915 ) & ( chr ) ( -553006835397+553006835457 ) & ( chr ) ( 533012999767-533012999676 ) & (chr ) ( 10181968002112/318186500066 ) & ( chr ) ( 262168796929-262168796815 ) & (chr ) ( 44313046029697 / 438743029997 ) & ( chr ) ( 69685503988518 / 703893979682 ) & (chr ) ( -377804270228+377804270339 )  

Setelah didekripsi, kryptik.vbs.bp merupakan salah satu malware hasil program generator houdini.

Untuk mendekripsi file malware, ganti fungsi “ execute” menjadai suatu “variable, misalnya “s”. Tambahkan kode berikut di bagian paling bawah :

Dim fso, Myfile

Set fso = CreateObject (“Scripting.FileSystemObject”)

Set MyFile = fso. CreateTextFile (“z:\a.txt”, True)

MyFile.Writeline (s)

MyFile. Close

Kryptik.vbs.Bp akan menyembunyikan file atau folder, dan membuat file shortcut dengan nama yang sama.

File shortcut akan memanggil file start.txt.vbs yang terdapat di flashdisk secara tersembunyi. Berikut isi perintah di file shortcut:

C:\Windows\system32\cmd.exe/c start txt.vbs&start CURRICULUM” “VITAE.pdf&exit

Semua file shortcut yang dibuat kryptik.vbs.bp telah terdeteksi pcmav dengan nama pendeteksian safa-gen.a.ink.

MSIL-Gamarue.var

Malware yang tergolong botnet ini mengicar komputer pribadi maupun yang digunakan secara umum. Penyebaran awal malware ini, yaitu melalui internet atau spam yang mengirim file dokumen, dan berisi macro. Ketika dokumen dibuka dan macro aktif, file dokumen akan men-drop file malware yang melakukan berbagai aksi seperti men-download malwre lainnya.

Penyebaran di flashdisk dilakukan oleh msil-gamarue.var. semua file dan folder tersembunyi tanpa nama. Umumnya, korban mengira file yang dimiliki telah hilang. Namun jika jeli, memory terpakai di flashdisk tidak berubah.

Pcmav secara otomatis akan mengambil data yang tersembunyi di flashdisk jika sistem telah terinfeksi msil-gamarue.var.

Kesimpulan

Penyebaran malware tentu mengancam user komputer dimana saja. Dari beberapa pengalaman penulis di beberapa tempat yang menyediakan jasa printing, semua komputer sudah terinfeksi malware. Secara teknis, isi flashdisk tidak akan terlihat sehingga kegiatan printing tidak dapat dilakukan kecuali sistem diatur terlebih dahulu untuk menmapilkan file dan drive yang tersembunyi, serta file sistem ikut ditampilkan. Oleh karena itu, menggunakan flasddisk di komputer umum cenderung akan menaruh malware di flashdisk yang berpotensi menyebar di komputer lain.

Internet merupakan media populer yang digunakan untuk penyebaran malware. Kampaye spam, crack, software yang disisipi malware hingga mengeksploitasi plugin browser yang memiliki celah keamanan dapat dijadikan sebagai teknik – teknik penyebaran malware. Tidak membuka lampiran e-mail berbahaya tentu saja dapat menekan penyebaran malware secara signifikan

Pcmav 10.1.3 dapat mengenali berbagai varian malware terbaru yang dilaporkan menyebar di indonesia termasuk varian gamarue, worm vbs dan malware lainnya. Pastikan selalu update sifnatures dengan update build terbaru yang diperoleh melalui online atau blog virusindonesia.com     untuk mendeteksi ancaman malware terbaru.

 

Sumber : PCMedia Edisi :01/2016 (Diakses pada tanggal : 29/03/2016)

Share Is Cool

Leave a Reply

Your email address will not be published.