Facebook Trojan W32/Kolab.xx (Trojan.Click1.xxxx) Part II

 Kiriman URLFake / URLJoke yang merekaya dirinya sedemikian rupa seakan-akan kiriman gambar (.jpg) tetapi dalam kenyataannya mengunduh varian virus baru. Kiriman tersebut berasal dari beberapa teman Facebook melalui pesan singkat chat. (lihat gambar 1)

Gambar 1, Varian Kolab baru yang menyebar

Jika diperhatikan, cara dan isi dari kiriman tersebut sangat mirip dengan virus Facebook Chat W32/Kolab pada september lalu. Hanya saja link URL yang diberikan sudah berbeda dengan yang sebelum-sebelumnya.

G Data Antivirus mendeteksi varian terbaru dari virus Facebook Chat tersebut sebagai Trojan.Generic.6956508. (lihat gambar 2)

Gambar 2, G Data Antivirus merupakan salah satu antivirus yang paling cepat mendeteksi virus ini

Gdata Antivirus adalah antivirus asal Jerman yang memiliki kemampuan deteksi virus yang mumpuni dan mendapatkan rekomendasi tinggi dalam Gartner Quadrant of antivirus. Pengetesan terakhir oleh AV-comparatives.org menunjukkan bahwa Gdata merupakan antivirus terbaik dalam On-Demand Detection of Malicious Software Agustus 2011. (lihat gambar 3)

http://www.av-comparatives.org/images/stories/test/ondret/avc_od_aug2011.pdf

Gambar 3, G Data merupakan antivirus terbaik mendeteksi malicious software mengalahkan produk antivirus lainnya.

SOCIAL ENGINEERING

Begitu mudahnya trojan ini menginfeksi komputer tidak lain karena memanfaatkan rekayasa sosial. Pengguna komputer yang terinfeksi, secara tidak langsung tidak akan menyadari bahwa komputer yang digunakan telah terinfeksi dan trojan yang ada pada komputer tersebut berusaha mencoba mengirimkan pesan chat kepada teman-teman Facebook anda, saat Anda tidak sedang ada ditempat atau anda tidak sedang menggunakan media chat tersebut.

Di sisi lain, bagi teman anda yang mendapatkan pesan chat tersebut tentunya masih banyak yang tidak mengira bahwa pesan yang dikirimkan tersebut merupakan "aksi" dari trojan. Dan banyak yang justru terpancing / tertipu menjalankan link yang ada pada pesan chat tersebut, terlebih link file tersebut yang menyamar menjadi file gambar (JPG) yang tidak berbahaya.

URL FAKE / URL JOKE

Trojan.Generic.6956508 memiliki metode yang sama seperti virus Facebook Chat W32/Kolab dengan menggunakan URL Fake / URL Joke yang seolah-olah mencoba mengakses file gambar, tetapi justru mendownload file virus. (lihat gambar 4)

Gambar 4, Link download virus yang dipalsukan seakan-akan gambar .JPG

Saat kita mencoba mengakses link yang telah diberikan tersebut dan berharap akan muncul sebuah gambar yang mungkin cukup menarik. Tetapi justru browser malah mendownload sebuah file yang telah di kompres dalam zip. (lihat gambar 5)

Gambar 5, Yang di download adalah file.zip dan bukan .jpg

METAMORPHIC

Trojan.Generic.6956508 merupakan salah satu malware jenis ZBOT yang memiliki kemampuan berubah-berubah pada kode (hash) file walaupun memiliki ukuran atau nama file yang sama. Teknik ini disebut juga "metamorphic". Dengan kemampuan tersebut, trojan baru akan sulit dideteksi walaupun antivirus sudah mendapatkan sample database dari file trojan sebelumnya. Setiap kumpulan file trojan yang memiliki ukuran dan nama file yang sama, akan sangat sulit terdeteksi oleh program antivirus. Oleh karena itulah, kenapa sangat sulit mencegah serangan trojan ini, meskipun anda sudah menggunakan antivirus terkenal dan terupdate sekalipun. (lihat gambar 6)

Gambar 6, Kemampuan metamorphic Kolab membuatnya sangat sulit di deteksi oleh antivirus

MIGRATION ATTACK

Jika pada tahun-tahun sebelumnya penyebaran trojan via chat identik dengan aplikasi chat seperti YM, SKype, GTalk, MSN Messenger, dan lain-lain, tampaknya tahun ini serangan sudah berubah arah kiblat dengan berbasis web.

Di tahun ini saja sebenarnya sudah pernah terjadi serangan via Facebook Chat dengan memberikan link URL yang mengandung trojan (April 2011). Tetapi, saat itu serangan identik menggunakan URL Shortener seperti bit.ly, goo.gl, tinyurl, dan lain-lain. (lihat gambar 7)

Gambar 7, Serangan awal virus Facebook awal yang memanfaatkan url shortener

Pada september lalu, trojan via chat mencari sasaran dengan memanfaatkan link URL Fake beberapa server hosting gratis seperti, imageshack, megafilehd, dropbox, tinypic dan bahkan menggunakan link URL Fake Facebook. (lihat gambar 8)

Gambar 8, Perkembangan virus Facebook yang memanfaatkan hosting gratis untuk menyimpan file virusnya
Terlebih lagi dengan semakin banyak-nya situs-situs web jejaring sosial yang menyediakan integrasi dengan situs-situs web aplikasi (contohnya Facebook yang dapat mudah integrasi dengan pengguna Skype dan Yahoo), maka akan memudahkan penyebaran URL Fake /URL Joke yang mendownload file virus.

Cara Aman Hindari Serangan

Beberapa hal yang dapat Anda lakukan sebelum menjadi korban yaitu :

1. Hindari melakukan klik pada link yang dikirim pada Anda, baik melalui pesan chat FB atau status SEKALIPUN file / link yang dikirim tersebut kelihatannya aman dan tidak mengandung virus.
2. Jika anda ingin melakukan hal tersebut, Vaksincom menyarankan untuk melakukan dari komputer / browser yang tidak memiliki cookie informasi login akun Facebook anda.
3. Beritahukan pada teman Anda, bahwa komputer tersebut telah terinfeksi virus, dan segera lakukan update dan scan komputer dengan antivirus yang terupdate.
4. Jangan meninggalkan FB Anda dalam keadaan aktif/login, sebaiknya Anda logout dahulu hingga Anda kembali.
5. Gunakan Secure HTTP / HTTPS pada fitur sekuriti Facebook. Hal ini akan mempersulit virus atau program apps jahat menginfeksi dan menipu diri anda.
6. Gunakan program antivirus yang memiliki support lokal dan laboratorium virus lokal yang selalu memonitor ancaman terbaru sehingga anda mendapatkan proteksi yang maksimal.

Artikel Terkait or related articles: