TREN MALWARE LOKAL TERKINI

JS NEWS Jika tren malware pada zaman worm brontok hanya sekedar menyebar dan menampilkan pesan. Kini tren malware yang sedang terjadi di indonesia adalah Trojoan remote administration tools (RAT).

Jika dahulu pembuatan malware marak karena aktifnya komunitas programing lokal yang secara tidak langsung berpartisipasi dalam mempublikasikan source code yang dapat dijadikan malware seperti source code meng-copy file, membuat file aktif di startup dan penyebaran melalui flashdisk.

Seiring waktu, kini komunitas tersebut mulai pudar sehingga para pembuat malware pun mulai melirik program generator, crypter, hingga source code malware yang bocor.

Ada banyak program generator malware, seperti NJRat Generator, NanoCore, dan DarkComet. Dengan program generator ini, meski tanpa ilmu programming sekalipun, dan hanya bermodalkan mouse, trojan berbahaya pun dapat dibuat secara mudah. Ketika generator ini sendiri bertipe trojan RAT, yaitu malware yang sedang populer disebarkan oleh oknum- oknum dalam meramaikan dunia virus dalam meramaikan dunia virus di indonesia.

Hasil dari program generator cenderung dideteksi oleh mayoritas antivirus. Di sinilah peran serta dari crypter, yaitu program yang membuat file malware menjadi tidak terdeteksi antivirus dengan metode metode tertentu seperti pengekripsian, antiemulasi sehingga teknik khusus pemanggilan fungsi internal windows.

Generator menyediakan trojan dengan berbagai fitur dan crypter sebagai jalan tol untuk memuluskan penyebaran malware tanpa terdeteksi antivirus. NJRat adalah salah satu trojan generator yang source code-nya bisa didapatkan di internet.

Ada beberapa kebocoran source code malware yang sebenarnya cukup menghebohkan seperti source code, zeus, tinba, pony, rovnik dan lainnya. NanoCore sendiri merupakan trojan komersial yang sering ditemukan di indonesia. Pencurian data melalui komputer yang dibajak oleh trojan rat merupakan cerita lama. Namun, tidak sedikit user komputer yang mengulang kejadian ini. Kenapa tidak? Lihat saja berapa banyak yang masih menggunakan windows xp sehingga rentan tanpa dukungan update dari microsoft yang trerhubung dengan koneksi internet?

Analisa FakeCheat.F

Trojan yang berkedok sebagai ninja heroes hack tool generator update ini akan mencuri informasi e-mail dan password dari korban. Informasi yang di curi akan dikirim melalui e-mail ke cokren0044@gmail.com dengan password, cokren123. Program cheat ini tidak akan berfungsi , dan hanya menampilkan pesan error untuk memeriksa koneksi internet atau meng-update .NET Framework terbaru. Lantaran murni bersifat trojan, fakecheat.F tidak akan aktif pada startup atau membuat file duplikasi lainnya.

Analisis MSIL-BladaBindi.GJN

Disebarkan dengan nama regedit hacking.exe bersama fakecheat.F, trojan RAT ini dideteksi sebagai msil-bladabindi. GJN oleh PCMAV. Trojan ini merupakan modifikasi dari source code nj-rat yang dibuat dengan menggunakan bahasa pemrograman . NET. MSIL-Blada Bindi. GJN memiliki fitur keylogger yang mencatat semua ketika user serta mengizinkan pembuat malware mengendalikan komputer korban melalui internet. Pembuat malware menggunakan server hellwin.no-ip.org dengan port 1177 sebagai DNS yang akan digunakan malware. Pembuatan malware akan melakukan koneksi server ini, dan jika ada msil-blada bindi.GJN yang aktif, program client akan secara otomatis menampilkan daftar korban. Setiap komputer yang tampil di program client bisa dikontrol secara remote seperti mengksplorasi drive, meng-copy / menghapusfile, menjalankan suatu program tertentu hingga melihat webcame yang aktif.

Trojan ini menduplikasin dirinya ke C:\Documents and Settings\ Administrator\Local Settings\Temp\server.exe dan membuat registry startup pada registry berikut.

Hkey_Local_Machine\software\microsoft\windows\CurrentVersion\run\89101319951ee3af7b2a40f6b077bf91

Untuk menghindari pendeteksian firewall, trojan ini menjalankan perintah berikut.

Netsh firewall add allowedprogram C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe

Kesimpulan

Tren malware di indonesia cenderung bersifat sebagai pencuri data yang tidak memandang siapa korbannya. Sejarah membuktikan jika trojan seperti stuxnet atau duqu dibuat secara khusus dengan tujuan untuk memata-matai pihak tertentu.

Salah satu cara penyebaran malware, yaitu melalui program palsu sehingga mengelabui korbannya. Pencurian data seperti account e-mail pun dengan mudah bisa diterapkan, misalnya melalui teknik phising , yaitu membuat halaman login palsu yang menyerupai website pada jejaring sosial yang mengharuskan pengunjung untuk melakukan login terlebih dahulu merupakan cara sederhana dan efektif dalam mengecoh user internet.

Tren yang belum ditemukan di indonesia , yaitu penggunaan exploit pada browser seperti memanfaatkan celah keamanan pada flash player. Meski demikian, tidak tertutup kemungkinan teknik ini hanya digunakan dalam mengincar pihak tertentu.

Penggunaan antivirus dan firewall tentu dapat menghambat penyebaran malware secara umum. Tetapi, tetap saja tidak ada aplikasi sekuriti yang sempurna dalam membasmi semua ancaman malware karena selalu ada teknik/ program tertentu sehingga malware tidak terdeteksi oleh antivirus.

PCMAV 10.0.8 dapat mengenali fakecheat.F, dan msil-blada bindi.GJN, serta malware lainnya yang menyebar luas update signatures dengan update build terbaru yang diperoleh melalui update online atau blog VirusIndonesia.Com untuk mendeteksi ancaman malware terbaru

Sumber : PCMedia Edisi (08/2015 ) ( Diakses tanggal : 07/10/2015 )

Share Is Cool

One thought on “TREN MALWARE LOKAL TERKINI

Leave a Reply

Your email address will not be published.