Virus Lokal Annie

Sumber  

Selain virus lokal Annie yang banyak memakan korban, tahun 2013 juga ditandai dengan penyebaran virus Alice yang terdeteksi oleh G Data Antivirus sebagai Generic.ScriptWorm.8730EFFC (lihat gambar 1) yang membuat sakit kepala. Tidak diketahui apa alasan pembaut virus ini memilih nama Alice, apakah Alice yang dimaksud adalah Alice yang imut-imut dari Alice from Wonderland atau Alice yang galak, pembasmi Zombie dari Resident Evil. Walaupun pada dasarnya memiliki payload yang mirip, namun banyak aksi yang dilakukan oleh Alice berbeda dengan yang di lakukan Annie. Salah satu yang mencolok adalah Alice tidak membuat shorcut sebagai sarana penyebarannya.

Gambar 1, G Data mendeteksi Alice sebagai Generic.ScriptWorm.8730EFFC

Informasi File induk

Virus ini dibuat dengan menggunakan program bahasa VBScript dengan ukuran 1 kb lebih kecil dibandingkan saudara jauhnya (annie.sys) yakni sekitar 8 kb dan untuk mempersulit analisa, ia akan mengenkripsi file tersebut.

Berikut ciri-ciri file virus Alice (lihat gambar 2)

• Mempunyai ekstensi file *.VBE (VBScript Encoded Script File)
• Mempunyai ukuran 8 KB
• Mempunyai icon VBScript

Gambar 2, file virus Alice (Generic.ScriptWorm.8730EFFC)

Pada saat file yang mengandung virus tersebut di jalankan, ia akan langsung mengaktifkan diri dengan membuat beberapa file induk yang akan di jalankan secara otomatis setiap kali komputer dinyalakan:

• %System%\drivers\alice.sys (%system% menunjukan lokasi drive yang berbeda-beda, contohnya C:\Windows\System32\Drivers\alice.sys)

Autorun Registry Windows

Untuk memastikan agar virus ini dapat aktif secara otomatis pada saat user menyalakan komputer, virus ini akan membuat string pada registry editor berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys

NSA : The Dark Internet 2014

Sumber

Berapa waktu yang dibutuhkan oleh komputer dengan prosesor 2,2 GHZ AMD Opteron dengan RAM 2 GB menggunakan metode NFS (Number field Sieve) yang lebih efektif dari Bruteforce untuk memecahkan enkripsi sertifikat RSA 2048 bit yang akan segera di implementasikan oleh Google pada akhir tahun 2013 dan Yahoo pada kuartal pertama 2014 untuk melindungi data pada layanan mereka ? 1 tahun, 10 tahun ? Jawabannya mungkin akan mencengangkan anda. Waktu yang dibutuhkan oleh komputer tersebut untuk memecahkan enkripsi RSA 1024 bit yang sekarang digunakan Google adalah 1,5 juta tahun. Untuk memecahkan enkripsi 2048 bit dibutuhkan waktu 4,3 milyar kali lebih lama daripada waktu yang dibutuhkan untuk memecahkan enkripsi 1024 bit. Jadi secara teknis agak mustahil bagi siapapun (termasuk NSA) untuk mendekripsi data email, search dan lainnya yang dikirimkan antara pengguna layanan Google yang dilindungi dengan enkripsi 1024 bit.

Prose enkripsi di internet (kredit http://www.cohn-family.com/encryption.htm)

Namun nyatanya NSA berhasil mendapatkan data dari pengguna Google. Kalau Yahoo mungkin tidak heran karena mereka tidak melakukan enkripsi dan data pengguna Yahoo yang berseliweran saat ini ibaratnya tidak pakai baju dan bisa didapatkan lebih mudah dibandingkan data Google. Namun bagaimana dengan Google yang melakukan enkripsi 1024 bit, apakah NSA memiliki komputer super yang bisa melakukan proses sedemikian cepat dan menyelesaikan perhitungan yang harusnya dilakukan 1,5 juta tahun ? Jawabannya bukan, ibaratnya strategi perang. Meskipun memiliki dana dan sumberdaya 'hampir' tidak terbatas, NSA juga tidak bodoh menggunakan sumberdayanya. Data yang didapatkan dari Google ternyata disadap dari kabel optik antar data center Google yang tidak di enkripsi. Karena itu, Google juga mulai melakukan enkripsi termasuk pada data yang ditransmisikan antar data centernya. Jadi secara teknis sebenarnya enkripsi 1024 sampai saat ini masih aman dan hacker bisa memecahkan perlindungan enkripsi dengan mencari kelemahan dalam implementasinya, atau dengan mencari celah keamanan pada otoritas sertifikas keamanan untuk dieksploitasi.

Kalau Google sudah melakukan enkripsi sejak tahun 2010 untuk Gmail sejak diserang oleh hacker China, lain halnya dengan Yahoo yang sampai saat ini masih belum melakukan enkripsi atas Yahoomail. Namun kabar baiknya, Yahoo akan mulai mengimplementasikan eknripsi pada layanannya termasuk Yahoomail pada kuartal pertama 2014. apakah hal ini akan berpengaruh pada turunnya spam yang selama ini sering dikirimkan dari akun Yahoomail yang dibajak. Kita tunggu saja. Selain melakukan enkripsi untuk Gmail, Google juga mengimplementasikan enkripsi pada aktivitas search guna melindungi privasi penggunanya.

Download AVG 2013 Build Juni 2013

AVG 2013 Build

Size :: 

AVG anti virus :: 130.29 Mb

AVG Internet Security :: 136.34 Mb

Get complete protection from the most dangerous threats on the internet - worms, viruses, trojans, spyware, and adware.
Antivirus and antispyware protection for Windows from the world's most trusted security company. Use the Internet with confidence in your home or small office.AVG Antivirus is one of the most complete programs we have found to date. It includes many new options to make it one of the most effective virus scanners on the market. It is still plagued by horrible slowdowns at times. Even things so simple as just typing an IM can be stopped for several seconds for some reason. If you can get passed the occasional slowdowns of your computer, the scanning functionality of AVG Antivirus 8 is top of the line. With the rewrite of the scanning engine, AVG includes multi-processor support. That dual core processor you bought is actually going to start getting a workout now

Download ::

AVG Anti Virus 32 bit (putlocker)

AVG Internet Security (putlocker)

BBM VIRUS ....WARNING !!!

Burning Candle for Cancer HOAX
Burning Candle justru Menyebabkan Kanker

Kalau anda pengguna BBM (Blackberry Messanger) Indonesia kemungkinan besar anda akan menerima broadcast pesan BBM seperti di bawah ini :

• Dear Friends, Please turn ur profile pic into the Burning Candle of HOPE as on my profile. Then ask everyone on your BBM to do the same for 24 hrs for ALL Cancer Patients.  Also we wish everyone to take 1 minute to bring all Cancer patients before The Almighty in prayer. Every flame represents a prayer said for a cancer patient.

• Please turn your profile picture into the burning candle of HOPE on my profile. Then ask everyone on your BBM to do the same for 24 hrs for ALL CANCER patients. Then also ask that everyone take 1 minute to bring all Cancer patients before The Almighty God in prayers. Then we'll see how many Candles of Hope we get burning. Every flame represents a prayer said for a cancer patient. Please be an intercessor for cancer patients by doing this. God bless cancer patients. God bless you! O:)

• My sisters n brothers, Please turn your profile picture into the burning candle of HOPE on my profile. Ask everyone on your BBM to do the same for 24 hours only for ALL Cancer patients. Please take 1 minute to bring all Cancer patients before The Almighty GOD in prayer according your faith. Tomorrow we see how many candles of Hope we got burning. Every flame represents a prayer said for a cancer patient.

• pls turn ur profile pic into the burning candle of HOPE on my profile. Then ask everyone on your BBM to do the same for 24 hrs for ALL Cancer patients. Then also that everyone take 1 minute to bring all Cancer patients before The Almighty in prayer. Then tomorrow we see how many candles of Hope we got burning. Every flame represents a prayer said for a cancer patient.

<<<akhir dari BBM Broadcast 1>>>

Lalu hasil dari penyebaran Broadcast BBM message tersebut adalah seperti gambar di bawah ini (lihat gambar 1):

Gambar 1, Hasil BBM Broadcast meminta perubahan profile picture

Ciri Ramnit.net 2013

Thanks Vaksin

Pada artikel terdahulu sudah dijelaskan bagaimana sepak terjang Ramnit dan bagaimana cara membasminya. Vaksincom merasa perlu mengeluarkan artikel ke lima karena menurut pantauan Vaksincom sampai hari ini 08 Juni  2013 masih banyak situs di Indonesia yang terinfeksi Ramnit dan bahayanya jika setiap kali pengguna komputer mengakses situs tersebut, otomatis akan mendapatkan dropper file virus Ramnit dan ibarat ABG yang terancam oleh narkoba dan jika tidak mendapatkan informasi dan perlindungan yang baik dari lingkungannya (orang tua, teman) tentang bahaya narkoba, ABG akan terancam menjadi korban narkoba. Kalau dalam kasus Ramnit jelas komputer yang tidak mendapatkan perlindungan antivirus yang memiliki kemampuan mendeteksi dan mencegah infeksi Ramnit dari internet seperti Web Protection dari G Data Antivirus 2013 akan rentan menjadi korban Ramnit dengan akibat yang cukup merepotkan seperti :

Ciri dan gejala yang kasat mata

• Muncul pop-up iklan atau pop-up dengan konten pornografi/perjudian
  Dalam beberapa waktu tertentu, browser akan membuka pop-up iklan atau pop-up yang berisi konten pornografi atau perjudian (kasino). Hal ini yang terkadang membuat pengguna komputer menjadi tidak nyaman. (lihat gambar 1)
  
  Gambar 1, Pop-up iklan yang dijalankan W32/Ramnit
• Icon Removable media (USB Flash) berubah menjadi icon Folder (lihat gambar 2)

Gambar 2, Icon USB Flash yang diubah W32/Ramnit

w32 Shamoon a.k.a W32 Disttrack

Virus komputer terbaru mengancam dunia, terutama untuk kalangan korporat. Tak tanggung-tanggung, bahkan Menteri Pertahanan Amerika Serikat Leon Panneta sampai turun tangan dan memperingatkan akan bahaya virus yang diketahui bernama "Shamoon" tersebut.

Perusahaan minyak milik pemerintah Arab Saudi, ARAMCO, telah menjadi korban serangan virus yang juga memiliki nama W32 Disttrack ini. Beberapa hari setelah menyerang ARAMCO, virus itu juga menghantam jaringan komputer milik perusahaan gas alam asal Qatar, Rasgas.
Menurut Panetta, Shamoon memang mengincar jaringan komputer korporat besar, terutama di bidang energi. "Lebih dari 30.000 komputer yang terjangkit kini sudah dianggap tak berguna dan harus diganti," kata Panetta, saat berbicara di suatu forum pebisnis di New York, dikutip dari laman Reuters.

Lalu seperti apa cara Shamoon bekerja? Perusahaan antivirus Symantec pun menjelaskan proses kerja Shamoon atau W32 Disttrack, yang terdiri dari tiga komponen: dropper (taruh), wiper (hapus), dan reporter (lapor)..

Menurut penjelasan di situs Symante, di komponen dropper virus itu dilepas dan masuk ke sejumlah file resources, yang secara umum beroperasi di sistem operasi Windows. Setelah masuk, virus ini pun mulai menggandakan diri dan masuk untuk mengeksekusi diri.
Setelah masuk dan mengeksekusi diri, wiper pun akan bekerja. Setidaknya sejumlah komponen fungsional akan dihapus. Virus Shamoon ini pun akan menghapus sejumlah driver yang telah eksis di sejumlah lokasi, kemudian overwrite atau menulis ulang program dengan driver lain. 

Setelah itu, reporter pun akan beraksi. Komponen ini akan mengirimkan data atau berikan laporan kepada pelaku yang mengirim virus itu, Data yang dikirim antara lain nama domain [DOMAIN], jumlah file yang di-overwrite [MYDATA], IP address [UID], dan sejumlah angka lain secara acak [STATE]. 

Amatir?
Dalam penjelasan Leon Panetta, Shamoon akan secara otomatis mengganti data-data sistem yang penting. Sahabat anehdidunia.com kemudian virus itu akan mengganti dengan gambar sebuah bendera AS yang terbakar. Sema data riil di komputer pun akan diganti dengan sesuatu yang disebut Panetta, "data sampah".

"Bayangkan dampak serangan seperti ini bagi perusahaan Anda," kata bekas Kepala Badan Intelijen Amerika (CIA) ini, kepada para pebisnis.

Dalam pidatonya, Panetta pun meminta kalangan korporat untuk bekerja sama meningkatkan pertahanan cyber secara nasional. Panetta juga mengungkit mengenai bahayanya serangan denial of service (tolak layanan) yang melanda sejumlah bank di AS. Ini menyebabkan layanan perbankan di AS terganggu.

"Meski jenis taktik ini bukanlah hal baru, skala dan kecepatan yang ditimbulkan tidak bisa diperkirakan," kata Panetta.

Tapi menariknya, peneliti lab di perusahaan antivirus Kaspersky, Dmitry Tarakanov, mengatakan virus ini tidak dibuat oleh programmer kelas atas. Banyak sejumlah kesalahan yang dibuat, termasuk perbandingan tanggal yang cacat dan mengganti lowercase dengan uppercase dalam pemrogramannya. Ini menyebabkan tingkat kegagalan terbilang tinggi.

"Ketimbang menggunakan string dalam format yang tepat, penulis malware menggunakan '%S%S%d' dengan uppercase 'S'. Ini menyebabkan gagalnya fungsi 'sprintf' dan tak ada string dalam full path yang diciptakan. Ini berarti tak ada file yang didrop. Tak ada file, tak ada eksekusi. Jadi malware Shamoon tak berfungsi untuk mengeksekusi program lain," demikian pernyataan Tarakanov, dikutip dari ZD Net.

Kaspersky pun menduga malware ini dibuat para amatir. "Kami memiliki petunjuk bahwa orang-orang di balik malware Shamoon bukanlah programmer kelas atas. Dan kesalahan alami yang dibuat memperlihatkan bahwa skill mereka masih amatir saat mereka menciptakan malware penghancur yang bisa melakukan replikasi mandiri (self-replicating)," demikian kesimpulan yang dibuat Tarakanov.

Bukan Yang Terbaru
Shamoon bukanlah virus pertama yang memiliki dampak merusak secara dahsyat. Sebelumnya, mengutip Bussiness Week, telah dikenal virus Stuxnet yang menjebol data-data perusahaan dari sistem SCADA dan mengirimnya ke internet.

Stuxnet pun dikenal luas ketika diketahui menyerang instalasi nuklir Iran. Parahnya, Stuxnet bisa mengambil alih kendali terhadap peralatan industri. Stuxnet dipercaya ditargetkan untuk melumpuhkan sebuah peralatan yang digunakan untuk pengayaan Uranium. Ada juga yang menyebut Stuxnet bisa memberikan informasi secara detail mengenai situasi di instalasi nuklir Iran.

Kemudian muncul pula virus baru yang identik dengan Stuxnet, yaitu Duqu. Duqu bertujuan untuk mengambil data intelijen dan aset dari beberapa perusahaan. Misalnya produsen sistem kontrol industri, sehingga bisa digunakan untuk menyerang pihak ketiga dengan sangat mudah.

Selain itu dikenal pula virus Flame. Mengutip CBS News, virus ini diketahui dapat menyedot informasi dari komputer yang dijangkiti virus, juga perangkat seluler di dekatnya. Virus ini juga mampu mengendalikan keyboard dan mengambil citra layar.

Tidak hanya itu, Flame dapat mendeteksi bluetooth di sekitar komputer, seperti handphone dan laptop. Jika sudah terhubung, maka Flame akan menyedot informasi dari handphone target

22 situs berbahaya Indonesia Februari – Maret 2013

Sumber : Vaksin.com 
 

Infeksi Malware pada situs-situs Indonesia pada bulan Februari – minggu pertama Maret 2013 yang mengakibatkan pengunjung situs rentan terhadap infeksi malware pada bulan Februari – Maret 2013 terfokus pada 3 sektor utama, bisnis (swasta), pemerintah dan pendidikan. Dari 22 situs yang terdeteksi oleh Vaksincom menggunakan G Data web Protection dan Norman Network Protector sektor bisnis, pemerintah dan edukasi masing-masing memborong 27 % dari infeksi dan meninggalkan sisanya 19 % yang terbagi untuk situs media online, komunitas dan satu situs multi level marketing. (lihat gambar 1)

Gambar 1, Situs-situs berbahaya Indonesia Februari – Maret 2013

Malware-malware yang menginfeksi situs-situs ini pada umumnya adalah malware jenis trojan Java Script, Framer / iFrame, redirector dan satu malware yang juga aktif di jaringan / PC dan termasuk malware yang paling berbahaya adalah Ramnit. Selain 22 situs yang sampai saat artikel ini dibuat masih belum dibersihkan oleh webmasternya tercatat ada 2 situs yang terdeteksi mengandung malware pada bulan Februari 2013, namun pada saat artikel ini dibuat 6 Maret 2013 kedua situs tersebut ternyata sudah tidak mengandung malware lagi. Hal ini jelas menunjukkan kepedulian administrator situs akan keselamatan pengunjung situsnya dan administrator situs yang tanggap atas ancaman yang bisa menimbulkan kerugian bagi pengunjung situsnya. Bulan Februari juga ditandai dengan keluarnya hasil pengetesan RAP Reactive And Proactive Quadrant oleh Virus Bulletin, satu organisasi independen yang melakukan pengetesan atas kemampuan program-program antivirus mendeteksi malware terakhir yang hasilnya dapat dilihat di http://www.virusbtn.com/vb100/RAP/RAP-quadrant-Aug12-Feb13-1200.jpg (lihar gambar 2) dimana terlihat bahwa salah satu engine antivirus yang digunakan Vaksincom untuk memantau aktivitas situs-situs online Indonesia G Data mencatat performa yang memuaskan dan memiliki kemampuan deteksi malware terbaik dibandingkan program-program antivirus lainnya di dunia.

Gambar 2, Hasil pengetesan Virus Bulletin atas kemampuan program-program antivirus dunia mendeteksi malware yang beredar selama Juni 2012 – Feb 2013

Situs pemerintah dan pendidikan menjadi sumber utama malware online

Selain situs bisnis, situs-situs yang menjadi “primadona” adalah situs pendidikan dan pemerintahan. Apakah karena situs ini menjadi incaran atau karena administrator situs ini yang kurang memperhatikan keamanan situsnya, yang jelas infeksi dua kelompok situs ini sendiri menguasai lebih dari 50 % dari sample situs yang terinfeksi malware dan terdeteksi oleh G Data Web Protection dan Norman Network Protector.

Dua situs pemerintah yang mengurusi pendidikan terinfeksi oleh Ramnit (lihat gambar 3 dan 4) dan dikhawatirkan hal ini akan menginfeksi seluruh pengakses situs ini dan dikhawatirkan akan memakan korban terutama sekolah-sekolah dan para pelajar yang berminat mengakses konten-konten buku sekolah online yang disediakan situs-situs ini.

Gambar 3, Situs salah satu departemen yang mengurusi pendidikan nasional yang terinfeksi dan berusaha menyebarkan malware ganas Ramnit ke pengunjung situs.