Simply And Enjoy's : Virus Email pengeksploitasi 4 celah keamanan Adobe Acrobat

Thanks Vaksin.com

“Dahulu kala”, email sempat menjadi sarana penyebaran virus yang paling efektif dan dominan. Dari virus Melissa, I Love You, Sircam, Nimda dan Klez yang semuanya merupakan jawara virus pada zamannya semuanya memanfaatkan email sebagai sarana utama untuk menyebarkan dirinya. Hal ini disebabkan karena email secara de facto sudah menjadi sarana komunikasi yang handal, efisien dan dimiliki oleh banyak pengguna internet. Dapat dikatakan email pada zamannya sudah menjadi killer application di internet. Namun seiring dengan perkembangan internet yang sangat cepat, khususnya web 2.0 dan Smartphone, kelihatannya email sudah mendapatkan pesaing . Ibarat serangan K-Pop yang pelan secara sangat cepat menjalari seluruh penggemar lagu ABG masa kini, malware kini mulai rame-rame beralih mengeksploitasi Facebook dan OS Android. Namun, jangan remehkan email karena secara de facto, email merupakan alat komunikasi resmi yang diakui oleh korporat dan saat ini kelihatannya korporat belum ada yang menggantikan alamat emailnya dengan alamat Facebooknya. Pada artikel di bawah ini, terlihat bahwa pembuat virus yang memanfaatkan email untuk menyebarkan dirinya ternyata juga sadar akan kondisi hari ini dan selain memanfaatkan html, virus yang terdeteksi oleh G Data sebagai JS.Redirector ini mengeksploitasi celah keamanan Adobe Acrobat dan tidak tanggung-tanggung 4 celah Adobe Acrobat. Adapun email yang memalsukan dirinya seakan-akan dari Xerox ini adalah sebagai berikut : (lihat gambar 1 di bawah)

======Contoh Email======
Please open the attached document. It was scanned and sent
to you using a Xerox WorkCentre Pro.

Sent by: JACQULINE
Number of Images: 8

Attachment File Type: .HTML [Internet Explorer Format]

Xerox WorkCentre Location: machine location not set
Device Name: XEROX5378OD1ID056
======Akhir dari contoh email======

Gambar 1, Redirector yang menyebar melalui email dalam lampiran .htm

Redirector akan datang sebagai email yang dikirimkan secara otomatis oleh "Xerox WorkCentre Pro" dan menyertakan lampiran file htm. Karena menyamarkan diri dalam lampiran .htm, program email gratis Gmail yang terkenal konservatif dalam memblok lampiran email bervirus (dimana lampiran .zip dan .rar yang berpassword sekalipun diblok oleh mailserver Gmail) meloloskan lampiran .htm ini. Padahal jika dijalankan ia akan mengeksekusi rutin instalasi virus.

Jika anda mendapatkan e-mail tersebut, sebaiknya anda perlu berhati-hati karena Vaksincom telah mendeteksi varian ini yang menyebar dengan cepat sejak Februari dan teridentifikasi oleh G Data Antivirus sebagai Trojan JS:Redirector-PV, JS:Trojan.JS.Agent.AT atau JS:Pdfka-gen. (lihat gambar 2 dan 3)

Gambar 2, G Data Antivirus mendeteksi virus ini sebagai JS:Trojan.JS.Agent.AT

Gambar 3, Nama lain virus ini adalah JS:Pdfka.gen atau JS:Redirector.PV

Sejarah Redirector
Trojan JS:Redirector-PV merupakan salah satu varian malware jenis scam yang mencatut mesin "Xerox WorkCentre Pro". Malware jenis ini menyebar memanfaatkan penggunaan e-mail yang disertai attachment malware.

Malware scam "Xerox WorkCentre Pro" sebenarnya sudah teridentifikasi varian awalnya sejak pertengahan 2010. Saat itu varian malware ini menyebar lewat e-mail dengan pesan yang berisi attachment trojan yang sudah di-kompres (ZIP). Di dalam file kompresi tersebut berisi file dengan dobel extension “doc.exe”

Varian malware yang ke-2 menyebar dan teridentifikasi pada bulan Februari/Maret 2011. Varian ini menyebar dengan memanfaatkan celah keamanan dari PDF (Adobe Reader) dan javascript, bahkan ada 4 celah keamanan yang berhasil dimanfaatkan yaitu : CVE-2007-5659, CVE-2008-2992, CVE-2009-0927 and CVE-2009-4324. (lihat gambar 4)

Gambar 4, Varian awal Redirector di awal 2011

Sedangkan varian ke-3 malware “Xerox WorkCentre Pro” menyebar (juga pada bulan Juli/Agustus) 2011 dengan teknik dan metode yang sama persis seperti jenis yang pertama.

Ke-3 jenis malware scam "Xerox WorkCentre Pro" ini di-identifikasi oleh berbagai antivirus dengan nama Oficla, Bredolab dan Dofoil.

Sedangkan varian ke-4 yang saat ini (juga sama menyebar bulan pada Februari / Maret 2012) menyebar menggunakan metode yang sama tetapi jenis yang berbeda yaitu dengan memanfaatkan penggunaan attachment .htm (javascript). Varian ini teridentifikasi sebagaiJS:Redirector-PV atau JS:Pdfka-gen. Varian ini ternyata juga memanfaatkan celah keamanan dari PDF.

Dampak/Akibat Trojan JS:Redirector-PV
Beberapa dampak/akibat jika anda sudah terinfeksi Trojan JS:Redirector-PV yaitu sebagai berikut :

Membuka page loading & PDF yang error

Setelah anda melakukan klik pada e-mail yang mengandung attachment malware tersebut, anda akan dibawa mengkases sebuah URL yang ternyata menuju ke Remote Server. Saat sudah terkoneksi anda pun seolah-olah komputer akan mencoba menjalankan file PDF yang telah didownload pada URL tersebut. Dan ternyata file PDF tersebut error dan tidak bisa dibuka. Hal ini merupakan trik dari pembuat malware untuk menyusupkan malware kedalam komputer korban. (lihat gambar 5)

Gambar 5,Trik malware untuk menyusupkan diri ke sistem anda

Melakukan koneksi ke Remote Server

Trojan JS:Redirector-PV berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan berbagai macam port pada IP-IP tertentu seperti : (lihat gambar 6)
46.105.97.103, 46.137.251.11, 50.31.1.105, 50.57.77.119, 50.57.118.247, 50.76.184.100, 68.232.44.119 69.60.117.183, 72.22.83.93, 78.83.233.242, 78.159.118.226, 87.120.41.155, 88.191.97.108, 93.189.88.198, 95.156.232.102, 98.158.180.244, 111.94.254.10, 111.94.254.18, 111.94.254.24, 173.203.51.174, 173.255.229.33, 174.122.121.154, 184.106.151.78, 184.106.237.210, 190.106.129.43, 200.169.13.84, 204.12.252.82, dll

Gambar 6, Aksi Redirector mengirimkan informasi ke Remote Server.

Komputer menjadi lambat

Jika anda sudah terinfeksi, komputer akan mencoba melakukan koneksi ke remote server secara terus menerus hal ini yang membuat komputer anda akan terasa lambat. Dengan begitu, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer.

Mendownload malware

Selain melakukan koneksi ke remote server, Trojan JS:Redirector-PV juga melakukan download malware agar komputer pengguna terinfeksi tidak mudah dibersihkan oleh antivirus. File-file malware yang di-download umumnya berupa script yang telah dimanipulasi (jar, swf, class, php). (lihat gambar 7)

Gambar 7, Aksi redirector download malware.

Mendownload file malware PHP/PDF

Sama seperti Trojan “Xerox WorkCentre Pro” varian ke-2, malware ini mendownload file PHP & PDF yang ternyata modifikasi script malware. File PHP & PDF ini berisi file kosong yang ternyata aktif dengan memanfaatkan celah keamanan dari PDF yaitu : CVE-2007-5659, CVE-2008-2992, CVE-2009-0927 dan CVE-2009-4324. (lihat gambar 8)

Gambar 8, Malware ini mengeksploitasi 4 celah keamanan Adobe Acrobat

File Trojan JS:Redirector-PV
Trojan JS-Redirector-PV merupakan attachment malware scam dari e-mail, yang memiliki ciri-ciri sebagai berikut : (lihat gambar 9)

Berukuran 3 kb

Type file “HTML Document”

Ber-ekstensi “htm”

Gambar 9, File malware Redirector dalam bentuk .htm

Setelah attachment tersebut dijalankan, maka akan mendownload beberapa malware yaitu :

Aublbzdni.php

dwhnfphlflcrymj7.php (file PHP sendiri tidak berbeda dengan file PDF)

gugvyoknarjmesf.pdf

Setelah dieksekusi file PHP/PDF tersebut ternyata mengextract malware lain pada lokasi :

C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll

C:\a4c5984e10.exe (malware FakeAV)

File malware FakeAV tersebut juga akan mengextract menjadi beberapa file :

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\POS1.tmp

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\POS1.tmp.BAT

C:\Documents and Settings\Administrator\Application Data\KB00159637.exe

Metode Penyebaran Trojan JS:Redirector-PV
Sesuai dengan kategori malware-nya, Trojan JS-Redirector-PV melakukan media penyebaran melalui trafik e-mail dengan mengirimkan scamemail yang memiliki attachment malware. Walaupun begitu tidak tertutup kemungkinan Trojan ini juga dapat menyebar melalui milis, forum / blog yang menyediakan komen atau post yang dapat dilakukan dengan menyebarkan link URL.

Pembersihan Trojan JS:Redirector-PV

Putuskan koneksi jaringan/internet.

Lakukan pembersihan trojan pada mode “safe mode”. Untuk masuk pada mode “safe mode”, tekan tombol F8 pada keyboard saat komputer dinyalakan.

Matikan dan hapus trojan JS:Redirector-PV. Download dan scan menggunakan removal tools berikut untuk membersihkan trojan, dapat anda download pada URL berikut :

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe