Minggu, 09 Maret 2008

Malware Top Indonesia Nov 2007 – Jan 2008

Virus lokal kalah tawuran

Aku mau pulang ... ku ingat kamu

Aku sedang sedih ... juga ingat kamu

Aku mau ke airport ... ku ingat kamu

Oh banjir..... inikah bila ku kena.. kena banjir

Jakarta saat ini sudah menjadi kota mandiri, kalau tahun-tahun lalu penduduk Jakarta yang khawatir banjir ketat memonitor bendungan Katulampa dan berjaga-jaga atas banjir kiriman. Tahun 2008 ini kelihatannya Jakarta sudah mandiri, jadi tanpa perlu bantuan dari Bogor dan kota-kota sekitarnya sudah mampu membuat dirinya banjir sendiri. Hanya hujan satu hari saja tanpa “bantuan” banjir kiriman dan arus pasang. Bayangkan apa yang terjadi jika hal ini digabungkan, curah hujan tinggi dan lama, banjir kiriman dan arus pasang bergabung ...... hasilnya akan mirip dengan virus Viking dan Small.KI yang memiliki kemampuan gado-gado. Akibatnya ... perasaan korbannya, mirip korban banjir yang terjebak berjam-jam di Bandara Internasional Sukarno Hatta ...... Makhluk Tuhan yang paling Bete.

Selama bulan November 2007 sampai dengan Januari 2008 virus Viking ini memuncaki daftar malware yang paling banyak terdeteksi menginfeksi di Indonesia. Kalau periode September – Oktober 2007 motor virus asing adalah Small.KI, maka kali ini yang menjadi pentolannya adalah Viking. Dengan dukungan Detnat, Sohanad, Sality, Solow dan Small.KI, tidak ketinggalan pasukan spyware juga mulai unjuk gigi ikutan mengerubuti virus lokal. Hasilnya ? Malware mancanegara mempertahankan dominasinya menguasai 54 % malware yang paling banyak menyebar di Indonesia. Virus lokal yang dimotori oleh Rontokbro dengan bantuan Lightmoon, Kespo, Autorun dan VBWorm tidak mampu merebut posisi dominan tetapi tetap mengancam dengan menguasai 40 % dari total infeksi malware. (lihat gambar 1)



Gambar 1, Malware Top Indonesia November 2007 – Januari 2008

Virus mancanegara

Viking dengan total infeksi 39.331 insiden ; 23,98 % memotori virus mancanegara sebagai virus yang paling banyak beredar di Indonesia dan “jelas” harus di waspadai. Virus ini memiliki kemampuan mengubah dan mengupdate dirinya ke internet sehingga dengan mudah dapat mengelabui program antivirus yang pernah mendeteksinya. Sebenarnya rahasi kedigdayaan Viking bukan pada kemampuannya mengupdate dirinya tetapi pada metode infeksinya dimana ia mengeksploitasi default share Windows IPC$, C$ sehingga komputer yang tidak melakukan sharing sekalipun akan mampu di infeksinya. Khusus untuk pengguna Windows 2000 yang terhubung ke jaringan intranet yang terinfeksi Viking akan sangat sulit dibasmi karena Viking memanfaatkan satu celah keamanan yang mampu menginfeksi komputer Windows 2000 yang tidak melakukan share sekalipun. Sedikit diketahui oleh pengguan komputer, rupanya Small.KI / Kamasutra (peringkat 13, 1.918 insiden ;1,17%)juga memiliki kemampuan infeksi default share yang mirip dengan Viking dan hal ini menjelaskan rahasia keberhasilannya bertahan sampai hari ini sebagai virus yang paling banyak menyebar dan panjang umur.

Tiga virus mancanegara lain yang perlu diwaspadai adalah Sohanad (peringkat 4, 14.104 ; 8,60) virus yang menyebarkan dirinya dengam memanfaatkan kontak YM (Yahoo Messenger) dari komputer yang berhasil di infeksinya. Teknik ini sangat efektif karena penerima pesan YM tidak akan curiga temannya dari YM akan sengaja menjerumuskan / menjahatinya dengan mengirimi virus yang kemudian akan menggiring korban penerima pesan YM ke situs Phishing untuk mengambil username dan password Ymnya sekaligus menginstal virus Sohanad ke komputernya. Jika anda terinfeksi Sohanad / pernah mengunjungi website Phishing yang linknya dikirimkan oleh teman anda (dan teman anda ketika ditanya malah bingung karena tidak merasa mengirimi link kepada anda) Vaksincom menyarankan SEGERA ganti password Yahoo Account anda sebelum diambil oleh pembuat virus ini. Setelah Sohanad, virus yang perlu anda waspadai adalah Detnat (peringkat 6, 8.551 insiden ; 5,21 %) yang diperkirakan berasal dari Korea. Virus ini menyebarkan diri dengan cara menginfeksi network share dan menggunakan teknologi rootkit untuk menyembunyikan dirinya. Ia juga mendownload dan menjalankan PWStealer setelah mengunduhnya dari beberapa website Korea. Diikuti Solow (peringkat 7, 7.300 insiden ; 4,45 %) yang memiliki ciri khas menambahkan header “Hacked by Godzilla” atau “Hackd by Zay” pada browser komputer yang berhasil di infeksinya. Virus mancanegara lain yang perlu diperhatikan adalah Sality (peringkat 14, 1.895 insiden ; 1,16 %). Sality adalah PE Infector yang memiliki hbungan erat dengan jawara lama Bagle (musuh besar Netsky yang masih wara wiri di internet sampai hari ini). Sality di download oleh beberapa varian Bagle dan akan menginjeksinya dirinya ke dalam proses yng sedang berjalan. Sality akan mengenkrip dirinya terlebih dahulu sebelum menginjeksi file induk (host) guna menyembunyikan keberadaannya. Sality juga menyebarkan dirinyamelalui sharing intranet.

Spyware

Dua spyware yang perlu diwaspadai adalah Vundo dan Agent. Jika anda masih asing dengan Vundo, coba lihat nama lainnya, VirtuMonde atau VirtuMundo. Vundo (peringkat 9, 4.549 insiden ; 2,77 %) menunjukkan bukti bahwa Spyware Never Die. Vundo akan mengakibatkan komputer korbannya menampilkan pop up dan mempromosikan program gratisan lain yang tidak lain dan tidak bukan adalah spyware juga. Vundo menunjukkan satu hal yang menarik dimana ia tidak mengeksploitasi celah keamanan produk Microsoft tetapi sebaliknya ia mengeksploitasi celah keamanan Java 1.5 (dan sebelumnya) yang di keluarkan oleh SUN. Hal ini memang menunjukkan kecenderungan malware yang mulai mengincar celah keamanan aplikasi non Microsoft yang berjalan pada platform Windows. Sebabnya bukan karena aplikasi Microsoft tidak memiliki celah keamanan melainkan karena keberhasilan metode patching yang dilakukan oleh Microsoft menurunkan waktu rentan, dimana pada OS Windows XP (service pack 2 ke atas) dan Windows Vista (termasuk MS Office) berhasil menurunkan waktu rentan antara ditemukannya celah keamanan baru dan patchingnya menjadi sangat singkat sehingga peluang untuk di eksploitasi juga menurun dengan signifikan. Rahasia dari keberhasilan ini adalah patching otomatis yang secara default dijalankan pada saat instalasi OS / aplikasi Windows baru. Ibarat Sun Tzu, para pembuat virus tidak kalah cerdik. Jika aplikasi dan OS Microsoft sulit di eksploitasi, maka mereka mulai mengincar aplikasi non Microsot seperti Adobe Acrobat (lihat munculnya virus Pidief yang mengeksploitasi celah keamanan Adobe Acrobat lama) dan tidak tertutup celah keamanan aplikasi populer yang berjalan di OS Windows akan dieksploitasi seperti WinZip, WinAmp, Thunderbird dan Firefox.

Pop up yang dimunculkan oleh Vundo akan mengiklankan program (umumnya spyware lain) seperti Sysprotect, Storage Protector dan WinFixer. Vaksincom menyarankan anda untuk menghindari mendownload dan menjalankan program-program di atas.

Setelah Vundo, spyware lain yang perlu di waspadai adalah Agent (peringkat 10, 2.609 insiden ; 1,59 %). Spyware ini termasuk spyware KB (keluarga besar) yang mengeluarkan variannya ibarat kelinci atau tikus yang sekali beranak jumlahnya puluhan. Sampai saat ini varian Agent mencapai puluhan ribu varian. Payload varian Agent yang mengkhawatirkan adalah membuka akses komputer korbnnya sehingga dapat dikuasai oleh komputer lain.

Virus Lokal

Rupanya Rontokbro dan variannya masih tetap memiliki gigi (ini gigi beneran bukan 11 januari :P). Meskipun secara total persentase virus lokal kalah dari virus mancanegara tetapi Rontokbro masih tetap memimpin di peringkat 2 dan hanya dikalahkan oleh Viking. Total infeksi Rontokbro dan variannya adalah 32.399 insiden ; 19,75 % diikuti oleh Lightmoon di peringkat 3, 15.088 insiden ; 9,30 %. Virus Kespo berada di peringkat 5 dengan total insiden 8.764 ; 5,34 %. Sesuai perkiraan, peak virus Kespo adlaah bulan November 2007. Virus lokal lain yang menjadi perhatian adalah VBWorm (Visual Basic Worm) yang meskipun hanya berada di peringkat 11, 2.156 insiden ; 1,31 % tetapi sebenarnya kalau digabungkan dengan “saudaranya” VB.IU (peringkat 24, 658 insiden ; 0.40 %) dan VB.Troj (peringkat 25, 529 insiden ; 0.32 %) maka peringkatnya akan naik satu menggeser Agent.

Virus lokal yang perlu menjadi perhatian kali ini adalah Autorun (peringkat 8, 7.175 insiden ; 7.37 %). sebenarnya autorun ini merupakan metode infeksi virus lokal yang bertujuan untuk membuat virus mampu menginfeksi komputer secara otomatis tanpa perlu bantuan pihak ketiga. Seperti kita ketahui, berbeda dengan worm yang mampu beraksi dan menyebarkan dirinya sendiri (umumnya karena mengeksploitasi celah keamanan) virus lokal tidak memiliki kemampuan menyebarkan dirinya sendiri dan harus melakukan rekayasa sosial agar dijalankan oleh pengguna komputer. Rekayasa sosial itu adalah memalsukan Icon dirinya menjadi icon MS word, Excel, Folder dan Icon JPG. Meskipun metode ini cukup efektif, tetapi tetap memiliki satu kelemahan dimana jika pengguna komputer tidak mengklik file virus, maka virus tidak akan bisa berjalan. Karena itu pembuat virus lokal mencari akal bagaimana supaya virus dapat otomatis berjalan setiap kali UFD (USB Flash Disk) bervirus dicolokkan pada komputer lain. Akhirnya pembuat virus menemukan cara dengan memanipulasi “autorun”. Seperti kita ketahui, CD Rom memiliki fiturautorun dimana setiap kali CD dimasukkan maka komputer secara otomatis akan menjalankan CD tersebut dengan mengakses file Autorun. Nah, fitur autorun ini diadopsi oleh virus dan ditanamkan pada UFD yang di infeksinya sehingga setiap kali mencolokkan UFD bervirus akan secara otomatis menjalankan virus tersebut tanpa bantuan pihak ketiga dan menjadikan virus lokal naik kelas memiliki kemampuan penyebaran seperti worm :).

Untuk detail 20 virus yang paling banyak penyebar di Indonesia selama periode November 2007 – Januari 2008 dapat dilihat pada tabel 1 dibawah ini :


Tabel 1, Malware Top Indonesia November 2007 – Januari 2008

www.vaksin.com