Kalau anda bertanya,
malware apa yang sampai saat ini terus mengembangkan dirinya dan berani head to head melawan program antivirus dan berhasil survive dan menjadi ancaman nyata sampai hari ini bagi pengguna komputer di seluruh dunia ? Jawabannya bukan
malware jawara seperti
Stuxnet, Ramnit, Conficker atau Shortcut karena mayoritas program antivirus sudah mampu mendeteksi dan membasmi virus-virus jawara tersebut. Kasus infeksi yang terjadi karena malware di atas kemungkinan besar terjadi karena kesalahan pengguna komputer yang belum melakukan patch atas celah keamanan yang dieksploitasi oleh malware-malware tersebut. Tetapi jika kita menerawang sedikit ke belakang dunia pervirusan sejak tahun 2008 (jauh sebelum virus-virus jawara hari ini menampakkan dirinya) sampai hari ini ada satu trend yang terus bertahan dan sampai hari ini masih unjuk gigi menampilkan eksistensi dirinya. Tidak lain dan tidak bukan adalah
Rogue Antivirus. Sampai tahun 2012 ini, ada lebih dari 300 jenis Rogue Antivirus yang jika masing-masing memiliki 10 varian, maka ada lebih dari 3.000 jenis Rogue Antivirus yang aktif menyebar di internet, siap menerkam mangsanya. Kali ini Vaksincom akan membahas
Trojan.FakeAV.MJR yang dalam minggu-minggu pertama kemunculannya di
akhir Maret 2012 tidak terdeteksi oleh program antivirus dan secara cerdik menyebarkan dirinya sebagai link html melalui email
Geliat malware
Antivirus palsu atau biasa disebut Rogue Antivirus tampaknya semakin bervariasi dan mendominasi hegemoni virus-virus baru. Dominasi Rogue Antivirus pada hampir setiap kemunculan-nya memiliki berbagai metode yang cukup menarik. Salah satu
Rogue Antivirus yang kami dapatkan pada beberapa hari belakangan ini yaitu
Rogue Antivirus yang menamakan dirinya
Windows Software Saver, sementara G Data mendeteksi malware ini sebagai
Trojan.FakeAV.MJR. (lihat gambar 1)
Gambar 1, Trojan FakeAV.MJR
Bagi anda yang ingin mencoba Trial G Data yang menurut pengetesan Virus Bulletin RAP dan AV-Comparatives mengalahkan antivirus lainnya dalam kemampuan mendeteksi malware, anda dapat mendownload installer G Data Antivirus yang dapat di instal tanpa perlu memasukkan Serial Number dan memberikan update selama 2 (dua) bulan sampai dengan 7 Juni 2012. Silahkan download installer G Data Antivirus (230 MB) di : (pilih salah satu)
http://files.dinus.ac.id/1SWZ2MG940YG/ID… (terimakasih kepada Universitas Dian Nuswantoro yang berkenan membantu memberikan link download ini guna mengurangi beban bandwidth dan mempercepat download dari wilayah Indonesia, khususnya Jawa Tengah)
Jika anda mendapatkan kiriman link URL baik melalui e-mail atau pun dari komentar dan pesan singkat maka harap berhati-hati, karena bisa saja anda justru mendapatkan sebuah “hadiah spesial” untuk komputer anda berupa Rogue Antivirus.
Jika anda terlanjur menjalankan link URL tersebut, maka browser akan membuka sebuah situs yang mirip tampilan Windows Explorer komputer kita. Hanya saja, tampilan browser tersebut memberi informasi bahwa komputer Anda telah terinfeksi berbagai macam virus, sehingga akan diarahkan untuk men-download sebuah file aplikasi untuk dijalankan. File aplikasi tersebut lah yang merupakan antivirus palsu yang mengelabui pengguna komputer akan adanya virus pada komputer. (lihat gambar 2)
Gambar 2, FakeAV.MJR mengelabui korbannya untuk menjalankan file SETUP
Efek Trojan.FakeAV.MJR
Jika anda sudah men-download file dan mengeksekusi file Rogue Antivirus (setup.exe), maka beberapa hal yang terjadi yaitu diantaranya :
*Shortcut & Icon mirip Antivirus
Jika sudah tereksekusi, Trojan.FakeAV.MJR akan membuat shortcut pada desktop, muncul icon pada taskbar dan membuat shortcut tambahan pada Start Menu. Hal ini seolah-olah Trojan.FakeAV.MJR sudah terinstall dan berjalan pada sistem komputer layaknya sebuah program Antivirus.
*Tampilan program mirip Antivirus
Jika sudah tereksekusi, Trojan.FakeAV.MJR juga memiliki tampilan aplikasi yang mirip dengan program Antivirus, bahkan memiliki kesan yang lebih komplit dan terintegrasi dengan beberapa fitur yang lain.
*Menampilkan notifikasi peringatan pada taskbar
Melalui icon yang berjalan pada taskbar, Trojan.FakeAV.MJR membuat berbagai macam notifikasi agar pengguna komputer percaya bahwa virus telah menginfeksi komputer dan harus segera dibersihkan. (lihat gambar 3)
Gambar 3, Pesan palsu yang ditampilkan FakeAV.MJR
*Menampilkan proses otomatis scan
Hal ini digunakan oleh Trojan.FakeAV.MJR agar dapat meyakinkan pengguna komputer bahwa komputer tersebut telah ber-virus dan harus segera dibersihkan.
*Menampilkan informasi bahwa Firewall milik Rogue telah mencegah dari program tertentu
Trojan.FakeAV.MJR memberikan informasi palsu lain bahwa ada beberapa program berbahaya yang sedang berjalan pada komputer dan telah berhasil di cegah oleh Firewall. Selain itu Firewall juga akan memunculkan informasi tentang IP luar yang berusaha menggunakan akun bank milik anda.
* Menampilkan informasi bahwa AntiSpam milik Rogue telah mencegah dari aksi spam
Trojan.FakeAV.MJR memberikan informasi palsu bahwa komputer anda telah terinfeksi malware yang berusaha melakukan aksi spam dan telah berhasil dicegah oleh Antispam.
* Menampilkan informasi bahwa Link-Checker milik Rogue telah mencegah link yang bersifat ilegal (Torent)
Tampaknya pembuat Trojan.FakeAV.MJR sangat update informasi, sehingga turut menyertakan aturan SOPA pada Rogue yang dibuat sehingga pengguna komputer seolah-olah diingatkan bahwa mendownload konten ilegal dapat dikenakan dan tersangkut Cybercrime. (lihat gambar 4)
Gambar 4, Pesan palsu Torrent Alert yang dimunculkan FakeAV.MJR
*Mengalihkan aplikasi Task Manager dengan membuka aplikasi Rogue yang memunculkan menu task manager
Seolah merupakan program yang komplit, Trojan.FakeAV.MJR mencoba mengalihkan aplikasi Windows Task Manager dengan aplikasi Rogue yang menampilkan menu Task manager yang disebut Advanced Proses Control.
*Mengalihkan aplikasi Regedit dengan membuka aplikasi Rogue yang memunculkan menu startup
Hampir sama dengan Task Manager, Trojan.FakeAV.MJR juga mencoba mengalihkan aplikasi Windows Regedit dengan aplikasi Rogue yang menampilkan menu Start-Up yang disebut Autorun Manager. (lihat gambar 5)
Gambar 5, Regedit diganti dengan Autorun Manager
* Mengalihkan semua fungsi aplikasi Windows dan semua aplikasi Security sehingga tidak berjalan
Semua fungsi Windows dan aplikasi keamanan akan dialihkan sehingga tidak berjalan dengan normal. Total executable yang dialihkan fungsi hingga mencapai 750 file.
*Mematikan fungsi UAC (User Account Control)
Agar dapat mengambil alih kontrol komputer pada Windows 7, Vista dan Server 2008, Trojan.FakeAV.MJR berusaha mematikan fungsi UAC. Dengan mematikan fungsi UAC akan lebih mudah menginfeksi komputer.
* Melakukan koneksi ke Remote Server untuk men-download file malware lain
Agar dapat terus menginfeksi komputer dan dapat mengirim informasi, Trojan.FakeAV.MJR melakukan koneksi ke Remote Server dan men-download file malware lain. Beberapa IP yang terkoneksi menggunakan port 80 yaitu diantaranya :
95.143.37.154
174.129.199.91
*Memberikan informasi untuk melakukan pembayaran online untuk mengaktifkan Rogue yang masih trial
Untuk melakukan aktivasi, pengguna akan diarahkan pada browser yang berfungsi untuk melakukan aktivasi dan melakukan pembayaran secara online. Dengan melakukan hal ini seolah-olah pengguna akan dapat menggunakan produk “Windows Software Saver” yang sudah berjalan secara “full”, padahal hal ini hanya tipuan dari Trojan.FakeAV.MJR tersebut. (lihat gambar 6)
Gambar 6, Windows SoftwareSafer yang dipalsukan FakeAV.MJR guna membuat korbannya percaya melakukan transaksi finansial.
File Trojan.FakeAV.MJR
Trojan.FakeAV.MJR memiliki ciri-ciri sebagai berikut : (lihat gambar 7)
1.Memiliki ukuran file sebesar 2,070 kb
2.Memiliki nama file “setup.exe”
3.Menggunakan icon “WinRAR SFX Archive”
4.Memiliki tipe file “Application”
Gambar 7, Contoh file FakeAV.MJR
Setelah file Trojan.FakeAV.MJR dijalankan, maka akan membuat beberapa file yaitu :
C:\Documents and Settings\[user]\Application Data\Protector-[acak].exe
C:\Documents and Settings\[user]\Application Data\result.db
Selain itu akan membuat file shortcut pada :
C:\Documents and Settings\All Users\Start Menu\Programs\Windows Software Saver.lnk
C:\Documents and Settings\[user]\Desktop\Windows Software Saver.lnk
Agar tetap dapat menginfeksi komputer, Trojan.FakeAV.MJR mencoba melakukan koneksi ke Remote Server dan men-download beberapa file malware yaitu :
C:\Documents and Settings\[user]\Application Data\NPSWF32.dll
C:\Documents and Settings\[user]\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#local\settings.sol
C:\Documents and Settings\[user]\Local Settings\Temporary Internet Files\galaint.coolsecupdate[1].htm
C:\Documents and Settings\[user]\Local Settings\Temporary Internet Files\myipreal[1].htm
C:\WINDOWS\system32\d3d9caps.dat
Modifikasi Registry
Beberapa key registry yang telah dilakukan modifikasi yaitu diantaranya :
*Menambah Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Inspector : C:\Documents and Settings\[user]\Application Data\Protector-[acak].exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings
UID : [acak]
ID : 0xB
GConfig
Net : [tanggal_infeksi]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
WarnOnHTTPSToHTTPRedirect : 0×00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Ad-Aware.exe, Agent.exe, AshAvast.exe, Avgnt.exe, bidef.exe, fsav.exe, kavpf.exe, kazaa.exe, kerio.exe, mcshield.exe, MSASCui.exe, nav.exe, nod32.exe, regedt32.exe, rtvscan.exe, vptray.exe, zonealarm.exe, dll (hingga 750 executable aplikasi).
Media Penyebaran
Trojan.FakeAV.MJR melakukan media penyebaran dengan memanfaatkan kiriman link URL baik melalui e-mail atau pun dari komentar dan pesan singkat. (lihat gambar
Gambar 8, Link FakeAV.MJR yang dikirimkan via email sehingga tidak terdeteksi
Jika tidak ingin menjadi korban dari Trojan.FakeAV.MJR, sebaiknya hati-hati jika mendapatkan kiriman link URL yang tidak jelas baik via e-mail maupun komentar dan pesan singkat.
Metode Pembersihan
Berikut langkah-langkah pembersihan Trojan.FakeAV.MJR :
*Lakukan pembersihan Trojan.FakeAV.MJR menggunakan G Data BootCD
Download G Data BootCD pada alamat berikut
*Jika sudah selesai men-download, burning ke dalam CD dan booting komputer melalui CD. Pada pilihan menu pilih “G Data BootCD”, biarkan proses hingga masuk. (lihat gambar 9)
Gambar 9, Gunakan G Data Boot CD untuk membasmi FakeAV.MJR
*Jalankan pilihan “Actions” pada “Checking Computer”, untuk membersihkan Trojan.FakeAV.MJR (lihat gambar 10)
Gambar 10, G Data boot CD memberishkan FakeAV.MJR
*Jika sudah selesai, klik “Close” dan “Reboot” G Data BootCD.
Dan kali ini booting komputer tanpa menggunakan CD atau langsung booting WINDOWS.
* Hapus key registry yang dibuat Trojan.FakeAV.MJR
*Download aplikasi Autoruns pada alamat berikut
> Explore dan jalankan file “autoruns.exe”. Biarkan hingga proses scanning selesai.
> Klik pada tab “Image Hijacks”, hapus seluruh entry yang ada. (lihat gambar 11)
Gambar 11, Image Hijacks yang perlu dibersihkan
Klik pada tab “Logon”, hapus entry “Inspector”. Klik “Close” jika sudah selesai. (lihat gambar 12)
Gambar 12, Hapus “inspector” pada registri logon.
> Bersihkan temporary file Trojan.FakeAV.MJR
- Klik Menu Start -> Run
- Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
- Pada drive system (C) klik OK, biarkan proses scan drive.
- Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
- Tunggu hingga selesai.
Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali malware ini dengan baik
salam,