Yang menjadi jawara pada kuartal 3 2008 adalah 3 serangkai virus yang terdeteksi sebagai Suspicious oleh Norman. Suspicious adalah virus baru yang berusaha menyamarkan dirinya dengan berbagai trik untuk mengelabui scanning heuristik antivirus. Tetapi Norman dengan teknologi Sandbox tetap dapat mendeteksi virus tersebut meskipun belum ada dalam definisi Norman. Sandbox mengemulasi komputer dan menjalankan file yang tidak terdeteksi sebagai virus, bila mengandung aksi mencurigakan seperti merubah registri, menghapus file, mengakses email atau jaringan maka secara otomatis akan di karantina dan Sandbox akan memberikan laporan lengkap apa saja yang dilakukan oleh virus mencurigakan tersebut.
Suspicious ini terdiri dari 3 virus utama, yaitu virus W32/Pack.Upack.A, Virus ARP Spoofing dan turunan dari virus Murlo yang menguasai 19.991 insiden atau 30,02 % dari total insiden. Murlo memiliki ciri khas akan mendownload file “ads.gif” yang diperkirakan sebagai update untuk dirinya. Kabar buruknya adalah virus ini memiliki satu kemampuan yang perlu anda takuti (kalau tidak tahu biasanya orang tidak takut …… jadi apa lebih baik tidak tahu saja yah :P). Yaitu kemampuan keylogging advance. Jadi virus ini akan menyembunyikan keberadaannya di komputer korban tetapi ia akan melakukan monitoring atas semua aktivitas komputer. Adapun aksi yang akan dilakukan adalah melakukan key logging (merekam setiap ketukan keyboard yang anda lakukan) dengan tujuan mendapatkan “Username”, “Password”, Nomor rekening bank, nomor kartu kredit dan data rahasia lain. Tidak cukup melakukan hal ini saja, ia juga akan melakukan “Print Screen” (screen capture) secara berkala, tujuan print screen secara berkala ini bukan untuk membuat artikel virus (seperti yang Vaksincom lakukan sekarang) tetapi merupakan salah satu teknik untuk menembus pertahanan pengamanan password yang menggunakan “Virtual Keyboard”, jadi dengan berbekal file hasil Print Screen dan koordinat mouse click anda waktu memasukkan password, maka password anda secara teknis bisa diketahui walaupun anda tidak mengetikkan di keyboard anda dan hanya mengklik keyboard virtual di layar komputer menggunakan mouse. Selain itu, tidak tanggung-tanggung ia juga akan melakukan logging atas program apa saja yang sedang dijalankan, isi clipboard, dokumen apa yang sedang di kirim ke printer, perubahan file, koneksi internet dan website apa saja yang dikunjungi. Pokoknya kalau komputer anda terinfeksi virus ini, anda harus berhati-hati, jangan sampai virus ini memberikan laporan akses internet anda ke istri (yang galak) atau orang tua anda (yang galak) :P. ARP Spoofing juga di tengarai menjadi member dari virus nomor satu ini karena kemampuannya bermatamorfosis (walaupun tetap terdeteksi Norman) salah satu ciri khas yang dapat ditemui adalah ia mendownload file update dengan nama “root.gif”. (lihat gambar 1)
Gambar 1, Virus Murlo dan ARP Spoofing terbukti memang merajalela dari data traffic internet Indonesia (data traffic realtime bulan September 2008 yang dikumpulkan oleh NNP dari Datautama).
Mengapa gif ?
Jika anda perhatikan, rata-rata file virus yang terdeteksi memberikan ekstensi dirinya sebagai file .gif. Padahal seperti kita ketahui file gif (Graphics Interchange Format) adalah file gambar dan bukan file eksekusi yang dapat menjalankan virus. Ternyata setelah di download, file ini akan direname menjadi file eksekusi. Artinya, komputer yang mendownload file tersebut kemungkinan besar sudah terinfeksi virus dan download file .gif ini adalah salah satu payloadnya untuk mengupdate atau menyebarkan dirinya. Beberapa metode yang mungkin dilakukan oleh pembuat virus adalah mengirimkan script simple melalui email dan (tentunya) diloloskan oleh mailserver karena tidak mengandung virus, tetapi setelah email tersebut dibuka akan mendownload file gif yang kemudian akan di rename dan dijalankan pada komputer korbannya. Cara lain adalah menyebarkan diri memanfaatkan website yang telah dimanipulasi dan mengeksploitasi celah keamanan Java Script.
Di peringkat 2 dan 4 Autorun dan VBTroj “menjaga” muka virus lokal sehingga tidak kehilangan muka dikalahkan oleh virus dari Cina. Peringkat dua di duduki oleh virus Autorun dengan jumlah insiden 10.376 atau 15,58 % dari total insiden di susul oleh VBTroj (Visual Basic Trojan) pada peringkat 4 dengan jumlah infeksi 7.118 / 10,69 %
Haxdoor dan Onlinegames
Dua virus yang keylogger lain yang juga perlu diwaspadai adalah Haxdoor 7.399 / 11,11 % pada peringkat 3 dan OnLineGames pada peringkat 7, 3.969 / 5,95 %.
Haxdoor adalah virus Trojan yang membuat file dengan nama avpu32.dll dan seperti kakaknya Murlo ia juga memiliki kebiasaan buruk “mengintip” korbannya dengan menjalankan keylogger yang di save pada file “klogini.dll”. Pada beberapa aksinya, Haxdoor akan membuka akses komputer korban supaya bisa di remote.
Sedangkan virus Onlinegames yang termasuk memiliki varian sangat banyak di kancah pervirusan sebenarnya diciptakan dengan tujuan utama mencuri data rahasia pemain game online populer seperti WOW (World of Warcraft), Element Client (Perfect world) dan Cabal Online. Trojan ini akan membaca file konfigurasi game dan mengirimkan pada IP yang telah ditentukan. Beberapa varian bahkan memiliki kemampuan keylogger. (lihat gambar 2)
Gambar 2, Virus OnLineGames termasuk virus dengan varian terbanyak yang sampai saat ini masih menjadi ancaman laten di internet.
IP-IP asal virus dari Cina
Berdasarkan data yang dikumpulkan oleh NNP (Norman Network Protector). IP-IP yang mengandung virus dan berhasil di blok oleh NNP rupanya mayoritas berasal dari negeri Panda. (lihat gambar 3).
Gambar 3, IP-IP pengirim virus ternyata berasal dari Cina
Sebagai contoh, Vaksincom mengecek IP yang terbanyak mengirimkan virus dengan alamat htt*://up.50db34d5.info/update.gif dan up.50db34d5.info mengacu pada IP 60.191.223.76 dimana IP tersebut ternyata merupakan blok IP yang dimiliki oleh Jinhua Telecom. IP 222.216.0.0 – 222.218.255.255 juga merupakan blok IP milik China Telecom di Guangxi.
Norman Network Protector
Norman Network Protector (NNP) adalah appliance (hardware) scanner malware yang bekerja pada layer 2 sehingga dapat melakukan scanning dengan kecepatan yang sangat tinggi. NNP mampu melakukan scanning pada protokol FTP, HTTP, SMTP, POP3, RPC, TFTP, IRC dan CIFS/SMB tanpa perlu melakukan perubahan setting apapun pada komputer client. NNP sangat mudah dan cepat diaplikasikan untuk melindungi jaringan intranet maupun segmen korporat. Instalasi NNP untuk melindungi sebuah jaringan korporat dapat dilakukan dalam waktu waktu kurang dari 15 menit.
Meskipun NNP berjalan pada Linux Debian (hardened), anda tidak perlu mengerti Linux untuk menjalankan NNP karena administrasi dapat dilakukan menggunakan Web Browser anda.
Sumber : Vaksin.com dengan penyesuaian
Lihat Daftar Isi !
