Top 10 Malware Indonesia Agustus 2009          2 September 2009

Alman dan Mbah Surip sama-sama suka yang FULL

Bulan Agustus selain diwarnai oleh aksi saling menyerang antara hacker Malaysia dengan Indonesia (disinyalir) netter Malaysia mengubah syair lagu Indonesia Raya dengan syair yang melecehkan dan langsung dibalas kontan oleh (disinyalir) hacker Indonesia dengan menghadiahi deface pada 116 situs Malaysia (termasuk situs Departemen Pendidikan dan Departemen Pariwisata Malaysia) sebagai hadiah Ulang Tahun Kemerdekaan Malaysia tanggal 31 Agustus 2009.

Kalau di kancah hacker sibuk berperang mengubah teks lagu dan tampilan situs, maka di kancah pervirusan tidak terjadi perubahan berarti dimana 3 besar masih tetap dipegang oleh malware yang sama. Hanya saja terjadi perpindahan posisi dimana OnlineGames pada bulan Agustus mencatat peringkat tertinggi, diikuti oleh Alman yang jika di pikir-pikir memiliki kemiripan dengan Mbah Surip dan pada peringkat 3 tercatat Conficker yang sekali menyerang membuat admin keleyengan. Pendatang baru di Top 10 yang perlu diwaspadai adalah Virut di peringkat 8 yang dapat dikatakan sebagai virus Top 10 yang paling membuat pusing karena kemampuannya melumpuhkan driver, download malware lain dan membuat komputer yang di infeksinya mengirimkan hujan spam. Melihat tingginya infeksi Alman, Onlinegames dan Virut yang sangat memusingkan (artikel membasmi Conficker sudah banyak sekali di bahas di situs Vaksincom), maka Vaksincom memutuskan untuk membuat artikel analisa lengkap Alman, OnlineGames dan Virut yang jika sudah selesai dibuat bisa anda dapatkan pada majalah komputer terkemuka dan portal internet terbesar di Indonesia. Pada gambar 1 dibawah ini anda bisa melihat Top 10 Malware Indonesia bulan Agustus 2009.

Gambar 1, Top 10 Malware Indonesia Agustus 2009

OnlineGames (Peringkat 1, 29.350 infeksi; 35,44 %)

Secara umum, beberapa varian trojan OnlineGames hanya digunakan untuk mencuri informasi account pemain game online yang kemudian akan dikirimkan ke link URL (Uniform Resources Locator) terenkripsi yang dituju oleh trojan tsb. Untuk W32/OnlineGames.JGEV ini bukan hanya informasi account game online, tetapi beberapa account lain yang juga ikut dicuri. Pada beberapa varian trojan sebelumnya hanya mengincar beberapa game online seperti World of Warcraft (WOW), Perfect World dan Cabal Online.  Trojan ini juga mencari beberapa account yang tercatat pada script file trojan tsb yaitu :

Trojan menggunakan aktifitas keylogging yang tujuan awalnya untuk mendapatkan username dan password dari game online.

OnlineGames menyebar melalui :

-          Posting pada forum umum, kemudian memberikan link file untuk didownload.

-          Link untuk mendownload flash player, padahal yang didownload dan dijalankan adalah trojan. (biasanya dengan pop-up tertentu).

-          Posting link pada forum game sebagai FAQ (Frequently Asked Question) dari game tsb, ataupun dengan memberikan pertanyaan tentang beberapa hal pada game yang disertakan link, hingga yang membuat link tentang adanya patch terbaru pada game tertentu.

-          Mengirim e-mail yang disertakan link ataupun attachment tertentu.

-          File sharing pada jaringan, biasanya berbentuk file executable/application.

Menurut pantauan NNP (Norman Network Protector) yang dipasang di Datautama, varian-varian OnlineGames terbukti menduduki peringkat pertama sebagai malware yang paling banyak dihentikan pada bulan Agustus 2009. (lihat gambar 2)

Gambar 2, Norman Network Protector yang dipasang di NAP Datautama menunjukkan bahwa OnlineGames merupakan salah satu virus yang paling banyak didownload (dan dihentikan) pada bulan Agustus 2009.

Artikel mengenai malware OnlineGames dan cara pembasmiannya bisa anda dapatkan di majalah InfoKomputer.

Alman (Peringkat 2, 28.275 infeksi; 34,15 %)

Alman memiliki kesamaan dengan Mbah Surip, yaitu sama-sama suka yang Full. Kalau Mbah Surip suka bilang “I Love You Full”, maka Alman suka folder yang di sharing Full :p dan menginjeksi file .exe.

Jika sebelumnya kita disibukkan dengan penyebaran virus lokal sehingga terlena dengan virus racikan mancanegara, kini tengah santer menyebar virus yang dapat menginjeksi semua file yang mempunyai ekstensi EXE. Virus ini dapat menyebar dengan cepat melalui jaringan dengan memanfaatkan folder yang mempunyai share “Full” dan memanfaatkan “Default Share” [C$/D$/ADMIN$] selain itu virus ini juga akan menyebar dengan memanfaatkan Flash Disk dengan menginjeksi semua file EXE yang ada dan membuat file [boot.exe] dan [autorun.inf] yang berfungsi agar dirinya dapat aktif secara otomatis setiap kali user mengakses Flash Disk. Agar tidak diketahui user kedua file ini akan di sembunyikan.

Agar virus ini susah di hapus ia akan menyemarkan dirinya sebagai sebuah service yang akan menginfeksi sebuah file library [.dll] dari file [explorer.exe] serta memantau koneksi internet yang kemudian akan mengunduh malware lainnya dari alamat yang telah ditentukan dan secara otomatis akan menjalankan file tersebut. Virus ini dibuat dengan menggunakan program bahasa “Microsoft Visual C ++ 6.0”. Jika anda tidak sabar ingin mendapatkan artikel mengenai virus Alman, segera buru Majalah Chip.

Virut (Peringkat 8, 535 infeksi; 0,65 %)

Walaupun berada di peringkat 8, anda jangan memandang enteng virus yang satu ini. Jangankan administrator biasa, Vaksinis (teknisi Vaksincom) yang tiap hari berkutat dengan virus dan makanan sehari-harinya (selain nasi) adalah melakukan kunjungan onsite membasmi virus ke pelanggan-pelanggan korporat Vaksincom di seluruh Indonesia kalau kebagian tugas mengunjungi pelanggan yang terinfeksi Virut saja langsung deg-degan, bukan karena ada yang ditaksir atau karena kantor yang dikunjungi karyawannya cantik-cantik, tetapi kalau komputer sudah terinfeksi Virut itu artinya sudah hampir pasti akan bikin lembur. Lihat saja aksinya. Setelah berhasil menginfeksi, dia akan langsung mendelete hostnya.

Virut akan menginfeksi semua file exe tak terkecuali file-file OS Windows dan sangking banyaknya file yang di infeksi dan sangking rumitnya masalah yang ditimbulkan, beberapa vendor antivirus bahkan menyarankan langkah Pasopati alias format dan install ulang Windows jika anda terinfeksi Virut.

Selain itu, ibarat preman Tanah Abang yang sekali menguasai satu wilayah akan mengundang teman-temannya, Virut juga akan mendownload belasan virus, spyware baru dari puluihan situs di internet sehingga sekali terinfeksi Virut, cleaner yang dibutuhkan bukan hanya cleaner Virut, tetapi cleaner semua virus dan malware.

Kalau anda mengira sudah cukup menderita, anda salah, Virut juga melakukan replace terhadap file TCPIP.sys dan NDIS.sys yang memberikan akibat anda tidak akan bisa terkoneksi ke jaringan jika anda menghapus file host Virut.

Canggihnya lagi, Virut tidak mengubah tanggal asli file, sehingga anda tidak bisa mendeteksi file yang di infeksinya dengan melihat “Date Modified” atau tanggal terakhir file di rubah di Windows Explorer. Tetapi terjadi perubahan ukuran file yang di infeksinya menjadi bertambah sekitar 22 KB. Namun untuk mengetahui hal ini, anda harus membandingkan file yang sama di komputer anda dengan komputer lain.

Artikel Virut sedang di test di Laboratorium virus Vaksincom dan akan siap pada minggu kedua bulan September 2009.

Top 10 Malware Indonesia Agustus 2009

Setelah Alman, Conficker masih menunjukkan taringnya dan tetap menempati peringkat sebagai virus Elite di Indonesia dan menempati peringkat 3 (18.376; 22,19 %) sebagai virus yang paling banyak menyebar di Indonesia. Peringkat 4 ditempati oleh SmallTroj (1.867; 2,25 %) disusul oleh virus lokal Autorun di peringkat 5 (1.325 insiden; 1,60 %). Spyware Agent menempati peringkat 6 (866 insiden; 1.05 %) dan dua pendatang baru di Top 10 Malware adalah Kashu (866 insiden; 0,71 %) diikuti oleh Virut di peringkat 8 (535 insiden; 0,65 %). Posisi 9 dan 10 dikuasai oleh virus lokal Lightmoon (488 insiden; 0,59 %) dan VBTroj (457 insiden; 0,55 %). Untuk selengkapnya silahkan lihat tabel 1 di bawah ini :

Tabel 1, Top 10 virus Indonesia 2009.

Salam,

Aa Tan

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 3456851