Having problems with message search?
Hati-hati dengan antivirus gadungan
Serigala berbulu
domba. Ungkapan ini patut di ingat-ingat oleh para pengguna komputer yang
mendadak mendapatkan peringatan bahwa di komputernya di temukan virus / spyware
dan langsung ditawarkan removalnya saat itu juga. Peringatan yang muncul banyak
variasinya, dari perubahan wallpaper, muncul pesan di "system icons" di pojok
kanan bawah layar komputer (sebelah jam) atau pesan pop up. (lihat gambar 1 dan
2)
Gambar 1, Scareware Antivirus-2008 yang merubah
Wallpaper komputer korbannya menjadi peringatan palsu adanya spyware dan
menawarkan removal yang sebenarnya palsu.
Gambar 2, Peringatan palsu adanyaSpyware yang
ditampilkan oleh Antivirus 2008
Istilah yang
diberikan pada program antivirus gadungan ini adalah Rogue Scanner, Advance
Antivirus atau Scareware. Dikatakan sebagai scareware karena cara kerjanya yang
menakut-nakuti korbannya bahwa komputernya terinfeksi virus dan spyware dengan
tingkat bahaya yang sangat tinggi dan disarankan untuk mendownload antivirus gadungan
(yang sebenarnya juga spyware) ke situs yang telah dipersiapkan terlebih
dahulu. Jika korban berhasil ditakuti dan masuk ke situs yang telah
dipersiapkan, ia akan ditawari untuk membeli antivirus gadungan dan membayar
dengan kartu kreditnya. Kemungkinan besar korbannya ini akan terperdaya karena
memang aplikasi scareware dan situs-situs pendukung ini sudah dipersiapkan
dengan baik dan tampilan aplikasi dan websitenya terlihat cukup profesional.
Dimana tampilan scareware tersebut tidak kalah dengan tampilan program
antivirus terkini dan hebatnya situs yang dikunjungipun memiliki sistem
penerimaan pembayaran dengan kartu kredit yang online. Masalahnya adalah,
sebenarnya peringatan tentang belasan virus yang berhasil di deteksi oleh
scareware tersebut adalah peringatan palsu, dimana sebenarnya tidak ada virus
yang dimaksudkan di komputer korban. Namanya juga scareware (ingat scarecrow,
patung-patungan palsu untuk manakuti burung (gagak) supaya tidak memakani padi)
tujuan utamanya adalah menakuti korbannya untuk tujuan komersial dan celakanya
cara yang dipakai kurang terpuji dengan memberikan peringatan virus palsu.
Selain itu, jika korbannya setuju untuk mendownload program scareware yang
ditawarkan. Maka ibarat kata pepatah, "Sudah Jatuh Tertimpa Tangga" …. (di
gigit anjing lagi :P) maka selain membayar untuk sesuatu yang tidak perlu,
kemungkinan besar kartu kredit yang digunakan untuk membeli scareware tersebut
akan dijadikan sebagai sasaran fraud. Banyak laporan yang menyebutkan bahwa
biaya yang ditagihkan ke kartu kredit tidak sesuai dengan yang tertera pada
saat transaksi dan bisa beberapa kali lipat. Karena itu sebaiknya anda segera
memblokir kartu kredit tersebut dan mengganti dengan yang baru untuk menjaga
kemungkinan digunakan untuk fraud.
Metode infeksi
Scareware akan
datang dalam banyak alternatif :
- Mengeksploitasi celah keamanan (Java Script) browser waktu
mengunjungi website tertentu sehingga akan terinstal secara otomatis dan
menampilkan peringatan palsu.
- Menawarkan scan malware gratis atau tune up sistem komputer gratis.
- Email, dalam hal eksploitasi email pembuat virus ini cukup
kreatif. Adapun bentuk-bentuk email yang terdeteksi adalah sebagai berikut
:
- Kartu ucapan / greeting
card. Email yang datang juga memiliki banyak varian, baik yang datang
dalam lampiran bervirus (biasanya di kompres / zip) maupun hanya link
download yang memanfaatkan fitur "drive by download".
- Breaking News dari CNN atau situs berita yang lain.
- Menawarkan film porno artis ternama seperti Angelina Jolie yang
dikombinasikan dengan baik sekali dengan rekayasa sosial pada situs You
Tube. Dimana file yang mengandung virus seakan-akan harus di download
sebagai codec (file yang diperlukan untuk menonton file film di You
Tube). Lihat artikel http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html
- Datang dalam lampiran terkompres seperti yang terakhir ditemui
Vaksincom datang sebagai email konfirmasi pengiriman barang dari UPS yang
meminta kita mencetak invoice .doc yang sebenarnya adalah file virus
karena memiliki ekstensi ganda (ups_letter.doc.exe). Supaya lampiran ini
tidak diblok di mailserver ia di kompres terlebih dahulu dengan nama
"ups_letter.zip". (lihat gambar 3)
Gambar 3, Cara terbaru
scareware menyebarkan dirinya dengan mengirimkan dirinya sebagai lampiran
melalui email.
Ada puluhan varian scareware
Sebenarnya
seberapa gawat sih masalah scareware ini dan seberapa banyak varian scareware
ini ? Pada awalnya Vaksincom mengira scareware ini seperti kata pepatah
"hangat-hangat tahi ayam", paling dalam waktu beberapa bulan akan menghilang
dan digantikan oleh spyware / malware lainnya. Dan varian scareware ini
meskipun cukup banyak tetapi menurut perkiraan Vaksincom tidak akan melebihi
belasan varian. Tetapi kenyataannya sangat mengejutkan, karena ternyata sampai
saat ini sudah tedeteksi 85 scareware yang beredar di internet yang lengkap
dengan infrastruktur pendukungnya seperti website dan sistem pembayaran online.
Beberapa nama yang digunakan juga cukup menjebak seperti Antivirus XP 2008,
Antivirus XP 2009, Vista Antivirus 2008, WinFixer, Spyware Stormer, Smart
Antivirus 2008, Smart Antivirus 2009, PC-Antispyware, MS Antispyware, MS
Antivirus, IE Antivirus, ID Defender, Antivirus 2008, Antivirus 2009 dan masih
banyak lagi. Melihat hal ini dapat disimpulkan bahwa pembuat scareware ini
cukup terorganisir, profesional,
ditunjang oleh back up finansial yang kuat dengan motif ekonomi dan bukan hanya
melakukan hit and run seperti pembuat virus.
Beberapa ciri scareware yang sedang aktif
Beberapa ciri
scareware yang saat ini sedang marak menyebar di internet adalah sebagai
berikut :
- Jika komputer korbannya mendapatkan peringatan adanya malware
tetapi tidak melakukan tindakan seperti mendownload scareware yang
disarankan, maka komputer tersebut akan terus menerus mendapatkan
peringatan pop up windows yang meninformasikan adanya malware di
komputernya. Dalam beberapa kasus, bahkan komputer korban "dikerjai"
seperti drive C: dihilangkan dari Windows Explorer dan menghilangkan
folder-folder baik di harddrive lokal maupun folder sharing di jaringan
sehingga makin menambah kepanikan pengguna komputer korbannya.
- Scareware ini sulit di deteksi antivirus karena ia akan selalu
mengupdate dirinya dan melakukan release ulang guna mencegah deteksi
program antivirus.
- Menurut pantauan Vaksincom, saat ini banyak scareware sudah mampu
menginfeksi Widnwos Vista, jadi korbannya tidak hanya terbatas pada
Windows XP / 2000 saja.
- Walaupun anda sudah klik [Cancel] atau [X] untuk menutup box
dialog ketika ditanyakan apakah mau mendownload scareware, aksi yang
dilakukan TETAP akan mendownload scareware. Bahkan beberapa scareware
secara otomatis mendownloadkan dan menginstalkan dirinya ke komputer
korbannya.
- Anda tidak dapat menghentikan proses download yang berlangsung,
sekalipun anda menutup browser anda karena proses download akan
berlangsung di background (tidak terlihat). Salah satu cara yang cukup
efektif untuk menghentikan download adalah menggunakan key [Alt][F4].
- Administrator jaringan di korporat dapat mempertimbangkan memblok
akses ke situs-situs download scareware seperti winfixer.com,
winantivirus.com, systemdoctor.com tetapi seperti kita ketahui jumlah
scareware yang mencapai lebih dari 80 pada saat ini dan dalam waktu
singkat akan mencapai lebih dari 100 scareware membuat proses blokir
website scareware ini sangat melelahkan. Salah satu cara yang efektif
mengatasi infeksi scareware adalah menggunakan filter jaringan yang
dipasang di router backbone internet anda seperti Norman Network Protector
yang akan melakukan scanning seluruh traffic yang masuk ke jaringan
intranet baik itu traffic http, smtp, pop maupun ftp. Dengan adanya
Network Protector ini pengguna jaringan akan terlindung dari download dan
upload scareware maupun malware tanpa perlu melakukan perubahan pada
setting komputer karena scanner ini berfungsi sebagai bridge (transparent
proxy). (lihat gambar 4)
Gambar 4, NNP yang mampu
mendeteksi dan menghentikan scareware yang secara otomatis mendownload dirinya
pada protokol http, smtp, pop dan ftp
Bagaimana cara menghindari dan mengatasi scareware
Jika anda
menanyakan bagaimana cara menghindari dan mengatasi scareware, jawabannya
mungkin klasik. Pastikan komputer anda dilindungi program antivirus / spyware
yang terupdate dan jangan sembarangan memilih antivirus yang belum anda kenal. Kalau
anda paranoid hindari email html (set sebagai plain text saja) untuk mencegah
kesalahan karena klik pada email html yang memicu download scareware. Jangan
sembarangan menggunakan software atau scanner online yang tidak anda ketahui
kompetensinya. Lakukan patch (penambalan celah keamanan) secara teratur,
usahakan untuk melakukan automatic patch pada OS anda jika komputer anda
memiliki hubungan ke internet.
Jika komputer
anda sudah terinfeksi scareware, satu hal yang paling penting anda lakukan
adalah "putuskan hubungan ke internet", hal ini penting untuk mencegah
scareware mengupdate dirinya. Gunakan Norman Security Suite dengan update
terakhir yang bisa anda dapatkan pada DVD / CD Chip terbaru untuk membasmi
scareware ini.
S
Offline 
Send Email