Virus Facebook: Sudah Jatuh, Tertimpa Tangga lalu Digigit Anjing

Sebuah virus komputer yang memanfaatkan popularitas Facebook membuat korbannya bagai pepatah: sudah jatuh, tertimpa tangga dan digigit anjing pula. Seperti apa virus itu? Simak analisa Vaksincom berikut ini.

Apapun aplikasi yang paling populer akan menarik perhatian orang, baik yang beritikad baik maupun yang beritikad buruk. Ambil contoh virus PC yang mayoritas mengganas di OS Windows karena memang OS tersebut yang paling populer.

Contoh lain adalah virus ponsel dimana notabene saat ini ponsel yang paling menjadi incaran virus adalah ponsel dengan OS Symbian, alasannya jelas, karena ponsel dengan OS Symbian merupakan market leader di dunia ponsel.

Kalau sekarang ditanya, selain kedua OS di atas, apa hal yang paling populer di jagad maya ini? Tentunya anda akan setuju kalau dikatakan Facebook. Rupanya bukan cuma kita saja yang tahu kalau Facebook merupakan aplikasi yang paling populer, pembuat virus juga tahu.

Karena itu virus-virus yang memanfaatkan kepopuleran Facebook mulai bermunculan. Sebut saja Koobface yang walaupun penyebarannya tidak terlalu tinggi sudah menjadi indikasi bahwa Facebook mulai “diperhitungkan” oleh para kriminal internet untuk menjadi sarana mencapai tujuannya.

Di masa depan, Vaksincom memperkirakan aplikasi-aplikasi jahat yang mengeksploitasi Facebook akan makin marak, karena itu bila anda pengguna Facebook, ada baiknya untuk lebih berhati-hati. Saat ini, sedang marak beredar trojan yang disebarkan memanfaatkan rekayasa sosial seakan-akan datang dari administrator Facebook dan jika diaktifkan ia akan mendownload antivirus palsu atau yang lebih dikenal dengan istilah scareware.

Banyaknya penguna Facebook ini menjadikan celah baru bagi para pembuat virus untuk menyebarkan virus dengan memanfaatkan rekayasa sosial, jika kita tidak waspada sudah tentu  virus ini akan dapat menyebar dengan sukses di jagat maya khususnya di komunitas Facebook, seperti contoh virus yang sedang menyebar saat ini. Kami menyebutnya virus Facebook atau Norman mendeteksi sebagai W32/Obfuscated.D2!gen.

Kenapa disebut virus Facebook? Karena mempunyai ciri di mana virus ini akan mengincar korban para pengguna internet khususnya bagi mereka yang mempunyai account Facebook, dengan dalih untuk keamanan saat ber-Facebook-ria mereka (pembuat virus) mengirimkan sebuah email yang akan datang seolah-olah dari “Admin Facebook” yang attachment untuk mereset  password Facebook yang telah ada sebelumnya, karena datangnya dari admin Facebook  maka sudah tentu mereka akan mempercayai email tersebut (daripada account Facebooknya di blokir :p), alhasil bukannya Facebook anda aman tetapi komputer anda akan dijadikan sebagai server zombie untuk menyebarkan spam ke alamat yang ia dapat dan menyebarkan dirinya dengan mengirimkan email yang seolah-olah berasal dari “Admin Facebook” dengan menyertakan sebuah attachment yang mengandung virus. Jadi harap berhati-hati, tetap pantau perkembangan virus dan tetaplah ber-facebook-ria…. asal tidak menggangu pekerjaan.

Apakah cukup sampai di situ?, ternyata tidak .. ibarat pribahasa “sudah jatuh tertimpa tangga ……. di gigit anjing lagi”, ternyata ia juga akan mendownload scareware / antivirus palsu yang menyamarkan dirinya sebagai antispyware dengan nama “Security Tools” yang akan terinstall secara otomatis ke dalam system komputer yang telah terinfeksi.

Antispyware palsu ini akan menampilkan peringatan palsu juga seolah-olah system anda sudah terinfeksi virus dengan menampilkan sederetan nama-nama virus / trojan serem yang berhasil dideteksi (tetapi sebenarnya file/virus tersebut tidak ada), jika user mencoba untuk melakukan aksi pembersihan dengan menggunakan software palsu tersebut maka ia akan menampilkan layar agar user melakukan pembelian software tersebut, jika muncul hal ini sebaiknya Anda abaikan saja karena anda tidak akan mendapatkan software antispyware tersebut.

Security Tools, spyware yang menyamar sebagai program Antispyware

Email yang dikirimkan oleh virus Facebook ini akan mempunyai ciri-ciri berikut:

File yang di sertakan dalam email tersebut mempunyai ukuran sekitar 24 KB (ZIP) atau 30 KB (exe), file dalam bentuk exe akan mempunyai icon MS.Excel dengan type file sebagai “Application”

File induk virus

Dengan update terbaru Norman Security Suite mendeteksi virus tersebut sebagai W32/Obfuscated.D2!genr sedangkan untuk file [reader_s.exe] dikenali sebagai W32/Pandex.YE. Dengan teknologi Sanbox Norman Security Suite juga mengenali varian baru dari virus ini [possible new, unknown virus].

Jika file tersebut dijalankan ia akan membuat beberapa file induk yang akan di jalankan pertama kali pada saat komputer dinyalakan:

• C:\Documents and Settings\%user%\reader_s.exe
• C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
• C:\WINDOWS\system32\reader_s.exe
• C:\Windows\system32\wbem\proquota.exe
• C:\windows\system32\sdra64.exe
• C:\Windows\system32\lowsec
• local.ds
• user.ds
• user.ds.lll
• C:\Documents and Settings\Elvina\Application Data\wiaservg.log

Registry
Virus ini tidak banyak bermain dengan registri karena tujuannya adalah untuk mendownload scareware yang “jika” berhasil dijalankan akan merubah segambreng regisrti, walaupun demikian ia akan tetap mencoba untuk melakukan perubahan pada registry  khususnya agar file yang dibuat tersebut dapat dijalankan pertama kali saat komputer di nyalakan, yakni:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
reader_s = C:\Documents and Settings\Elvina\reader_s.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reader_s = C:\Wincdows\system32\reader_s.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
EnableProfileQuota =1

HKEY_LOCAL_MACHINE\SOFTWARE\AGProtect

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

Download Trojan/spyware

Virus ini akan mencoba untuk melakukan koneksi ke beberapa alamat yang telah ditentukan dengan tujuan untuk mendownload trojan/spyware lain yang kemudian akan dijalankan secara otomatis, file yang berhasil di download akan di simpan di direktori berikut:

• C:\Windows\temp
• Wp%xxx%.exe (xxx ini berbeda-beda, contohnya wpv271256600826.exe)
• _ex-08.exe
• C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
• C:\Documents and Settings\All Users\Application Data\47543326\ 47543326.exe

Berikut beberapa alamat server yang akan dituju oleh virus tersebut

• 202.39.17.53
• 217.23.7.162
• 95.211.27.211
• 202.169.46.56

Ia juga akan mencoba untuk melakukan koneksi ke beberapa web server berikut:

• http://mmsfoundsystem.ru/public/controller.php?action=bot&entity_list=&uid=&first=1&guid=13441600&v=15&rnd=8520045
• http://hostvegass.ru/cman/receiver/online
• http://wapdodoit.ru/mn/base.cfg
• http://www.whatsmyipaddress.com

Ia juga akan melakukan DNS query ke sejumlah alamat MX domain yang ditentukan.

Sumber : http://www.detikinet.com/

Serangan Cyber Hantam 750 Ribu Facebooker

Serangan masif botnet dilaporkan menerjang sekitar 750.000 user Facebook. Menurut vendor sekuriti Cloudmark, dalam serangan ini user Facebook dikirimi pesan palsu yang menyatakan password user telah direset terkait soal keamanan.

Pesan dengan subyek “Facebook Password Reset Confirmation” itu punya attachment file yang diklaim berisi password baru. Namun sesungguhnya, file tipe .zip itu mengandung downloader Trojan yang dinamakan ‘Bredlab’ atau ‘Bredolab’.

Downloader ini menghantarkan bermacam malware termasuk software sekuriti palsu. Akibatnya, komputer korban bisa terinfeksi. Serangan tersebut membuat perusahaan sekuriti termasuk Symantec, Trend Micro dan Websense merilis peringatan.

“Varian Bredolab ini terkoneksi dengan sebuah domain Rusia dan komputer yang terinfeksi sepertinya jadi bagan dari botnet Bredolab,” tukas Shunichi Imano, peneliti di Symantec, seperti detikINET kutip dari ComputerWorld, Jumat (30/10/2009).

Sedangkan Jamie Tomasello dari Cloudmark menyatakan bahwa perusahaannya mendeteksi jumlah pesan yang disebar mencapai hampir sejuta. “Hitungan kami terus berlanjut dan ada sekitar 753.000 (pesan yang tersebar) saat ini,” ujarnya.

Sedikitnya 8% dari user yang dikirimi mengira pesan tersebut benar adanya. Meski demikian, Cloudmark tidak punya data seberapa banyak pemakai Facebook yang terkena efek serangan.

Sebelumnya, Facebook juga pernah terkena serangan virus yang bernama Koobface. Pihak Facebook pun menyarankan agar pengguna tidak membuka e-mail yang mencurigakan.

“Facebook tidak akan pernah mengirimi Anda pasword dalam bentuk attachment,” tandas juru bicara Facebook.

Kenali Ciri-Ciri Email Pembawa Virus Facebook

Sebuah virus komputer yang memanfaatkan popularitas Facebook menyebar via email. Untuk mengindarinya, simak ciri-ciri email pembawa virus tersebut dalam lanjutan analisa Vaksincom soal virus Facebook berikut ini:

Untuk menyebarkan dirinya virus Facebook akan mengirimkan email ke semua alamat email yang telah diperolehnya dengan melampirkan sebuah attachment dalam bentuk ZIP. Bagi Anda yang mempunyai account Facebook harap berhati-hati jika menerima email yang seolah-olah berasal dari Admin Facebook karena kemungkinan email itu berisi virus.

Email yang akan dikirimkan akan mempunyai ciri-ciri sebagai berikut:

From            : The Facebook Team”
Subject        : Facebook Password Reset Confirmation.
Attachment : Facebook_Password_xxx.zip (Facebook_Password_xxx.exe)
Message      :

Hey [nama penerima email],

Because of the measures taken to provide safety to our clients, your password has been changed.

You can find your new password in attached document.

Thanks,
The Facebook Team

Catatan: xxx adalah karakter acak

Jika kita telurusi dengan menggunakan bantuan sebuah tools monitoring jaringan seperti etherial atau wireshark maka dapat dilihat dengan jelas bahwa komputer yang telah terinfeksi virus berusaha untuk mengirimkan email ke sejumlah alamat yang telah ditemukan dengan menyertakan sebuah file attachment yang berisi virus.

Selain mengirimkan email yang seolah-olah datang dari Admin Facebook, ia juga akan menjadikan komputer yang terinfeksi sebagai server spam dengan mengirimkan email ke sejumlah alamat email yang didapat.

Mengundang Antispyware palsu “Security Tools”

Aksi lain yang akan dilakukan oleh virus Facebook adalah akan mendownload dan menginstal sebuah program antispyware palsu dengan nama “Security Tools”. Antispyware palsu ini akan memberikan informasi palsu dengan menampilkan sederetan nama virus/trojan yang berhasil di deteksi, informasi palsu ini biasanya akan ditampilkan secara terus-menerus pada waktu yang telah ditentukan.

Jika user mencoba untuk melakukan aksi pembersihan dengan menggunakan software palsu tersebut maka ia akan menampilkan layar agar user melakukan pembelian software tersebut, jika muncul hal ini sebaiknya Anda abaikan saja karena anda tidak akan mendapatkan software antispyware tersebut.

Antispyware ini akan secara membuat beberapa file berikut agar dirinya tetap aktif:

• C:\Documents and Settings\All Users\Application Data\47543326
• C:\Documents and Settings\Elvina\Desktop\security tools.lnk
• C:\Windows\temp\_ex-08.exe
• C:\Documents and Settings\Elvina\Start Menu\Programs\security tools.lnk

Sebagai pendukung agar dirinya tetap aktif, ia akan membuat beberapa string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
47543326= C:\DOCUME~1\ALLUSE~1\APPLIC~1\47543326\47543326.exe
PromoReg = C:\WINDOWS\Temp\_ex-08.exe

HKEY_LOCAL_MACHINE\SOFTWARE\47543326

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
UID = %user%_00127065

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
Rlist

Aksi yang dilakukan oleh antispyware “Security Tools”

• Menampilkan pesan notifikasi bahwa komputer telah terinfeksi virus/spyware
• Menampilkan konfirmasi update database Antispyware Security Tools
• Restart komputer pada waktu yang teah ditetukan dengan menampilkan layar “Blue Sreen” seolah-olah terjadi error pada system/hardware komputer yang telah terinfeksi.
• Mengganti walpaper/desktop Windows

7 Langkah Mengusir Virus ‘Mbah Surip’

Virus VBS/Cryf.A. atau yang lebih terkenal dengan sebutan virus ‘Mbah Surip’ memang cukup merepotkan. Mulai dari disusupi album porno, CD/DVD Rom komputer korban juga dibuat selalu terbuka.

Bagaimana cara untuk mengusir virus yang populer dengan lagu ‘Tak Gendong’ itu? Berikut 7 kiat singkatnya yang diramu vaksincom:

1. Matikan proses virus yang sedang aktif di memori. Untuk mematikan proses virus ini silahkan gunakan tools pengganti task manager seperti Currproses, kemudian matikan proses yang mempunyai product name ‘Microsoft (r) Windows Script Hosta’ dengan cara:

• Pilih [blok] proses yang mempunyai product name ‘Microsoft (r) Windows Script Hosta’
• Klik kanan pada proses yang sudah di blok
• Pilih [Kill Selected Processes]

2.     Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan menggunakan fitur ‘Software Restriction Policiesa’, fitur ini hanya ada di Windows XP/2003/Vista/2008. Untuk blok file tesebut lakukan langkah berikut:

• Klik menu [Start]
• Klik [Run]
• Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
• Pada layar [Local Security Policy], klik [Software restriction policies]
• Klik kanan pada [software restriction policies] dan pilih [Create new policies]
• Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule].
• Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada kolom [File information] akan terisi informasi dari file tersebut secara otomatis.
• Pada Security Level pilih [Disallowed]
• Pada kolom ‘descriptiona’ isi deskripsi dari nama file tersebut (bebas),

3. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download di alamat berikut http://www.4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry.html

4. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti ‘Explorer XP’. Silahkan download di alamat berikut:
http://www.explorerxp.com/explorerxpsetup.exe

Setelah software tersebut di install, cari dan hapus file berikut: svchost.vbs, desktop.ini, drvconfg.drv. SHELL32.dll, %Drive%:\Album BOKEP\Naughty America dan C:\windows.

5. Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.exe] yang disembunyikan oleh virus, caranya:

• Start]
• Klik [Run]
• Ketik CMD kemudian klik tombol [OK]
• Pada layar ‘Dos Prompt’ pindahkan posisi kursor ke drive yang akan di periksa
• Ketik perintah ATTRIB regedit.exe kemudian klik tombol
• Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni Taskmgr.exe, cmd.exe dan Logoff.exe

6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date.

7. Jika komputer sudah benar-benar bersih dari virus, hapus rule blok file [WSCript.exe] yang telah dibuat pada langkah nomor 2, caranya:

• Klik menu [Start]
• Klik [Run]
• Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
• Pada layar [Local Security Policy], klik 2x [Software restriction policies]
• Klik [Additional Rule]
• Hapus Rule yang pernah Anda buat sebelumnya

sumber : http://www.detikinet.com/

Langkah ‘Menyapu’ Virus FullHouse

Satu lagi virus yang mengancam pengguna komputer adalah virus FullHouse. Ciri khas virus ini adalah membuat satu drive tambahan dengan nama FullHouse Drive.

Virus ini dibuat menggunakan bahasa pemrograman Visual Basic yang dalam melakukan aksinya akan membuat drive tersendiri pada Desktop, My computer dan Control Panel yang jika dibuka akan menampilkan gambar “Han Ji Eun” artis cantik dalam serial Full House.

Untuk membersihkannya, simak langkah berikut ini:

-Scan file virus yang berada pada direktori C:\RECYCLER dengan antivirus yang sudah dapat mendeteksi virus ini dengan baik. Vaksincom menggunakan Norman Security Suite.

-Setelah selesai scan terdapat file virus dengan status file delete (defered) artinya file akan di hapus ketika windows restart

-Klik tombol Clean lalu Close pada saat itu juga Norman Security Suite akan meminta komputer untuk restart

-Untuk menormalkan kembali registri yang telah dibuat oleh virus buka Notepad lalu copy script di bawah

[Version]

Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, batfile\shell\open\command,,,”””%1″” %*”
HKCR, comfile\shell\open\command,,,”””%1″” %*”
HKCR, exefile\shell\open\command,,,”””%1″” %*”
HKCR, piffile\shell\open\command,,,”””%1″” %*”
HKCR, lnkfile\shell\open\command,,,”””%1″” %*”
HKCR, scrfile\shell\open\command,,,”””%1″” %*”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,””%1″”
HKLM, SOFTWARE\Classes\exefile,,,”Application”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, Task
Manager
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, Manager Task
HKCR, exefile, NeverShowExt
HKCR, CLSID\{10020D75-0000-0000-C000-000000000000}
HKLM, SOFTWARE\Classes\CLSID\{10020D75-0000-0000-C000-000000000000}

-Simpan dengan nama “repair.inf” pilih Save As Type menjadi All Files

-Jalankan repair.inf dengan klik kanan kemudian pilih install

-Hapus file yang dibuat oleh virus dengan ciri berikut :

• Type file “application”
• Extension “exe”
• Ukuran 168 kb

-Untuk mempermudah proses pencarian file virus gunakan “Search Windows”
dengan filter file *.exe yang mempunyai ukuran 168 KB dan date modified
pertanggal 7/8/2008

-Selanjutnya hapus “FullHouse Drive” pada Desktop, My Computer dan Contol
Panel

-Recovery Folder pada Flash Disk yang telah di Hidden

-Untuk menampilkan kembali folder yang disembunyikan pada flashdisk. Gunakan
perintah “ATTRIB” pada command prompt.

• Klik “Start”
• Klik “Run”
• Ketik “CMD”, kemudian tekan tombol “Enter”

-Pindahkan posisi directori ke drive Flash Disk, misalkan E maka ketik
perintah E: lalu tekan “enter”

-Kemudian ketik perintah ATTRIB -s -h -r /s /d kemudian tekan tombol
“enter
sumber : http://www.detikinet.com