“Dahulu kala”, email sempat menjadi sarana penyebaran virus yang paling efektif dan dominan. Dari virus Melissa, I Love You, Sircam, Nimda dan Klez yang semuanya merupakan jawara virus pada zamannya semuanya memanfaatkan email sebagai sarana utama untuk menyebarkan dirinya. Hal ini disebabkan karena email secara de facto sudah menjadi sarana komunikasi yang handal, efisien dan dimiliki oleh banyak pengguna internet. Dapat dikatakan email pada zamannya sudah menjadi killer application di internet. Namun seiring dengan perkembangan internet yang sangat cepat, khususnya web 2.0 dan Smartphone, kelihatannya email sudah mendapatkan pesaing . Ibarat serangan K-Pop yang pelan secara sangat cepat menjalari seluruh penggemar lagu ABG masa kini, malware kini mulai rame-rame beralih mengeksploitasi Facebook dan OS Android. Namun, jangan remehkan email karena secara de facto, email merupakan alat komunikasi resmi yang diakui oleh korporat dan saat ini kelihatannya korporat belum ada yang menggantikan alamat emailnya dengan alamat Facebooknya. Pada artikel di bawah ini, terlihat bahwa pembuat virus yang memanfaatkan email untuk menyebarkan dirinya ternyata juga sadar akan kondisi hari ini dan selain memanfaatkan html, virus yang terdeteksi oleh G Data sebagai JS.Redirector ini mengeksploitasi celah keamanan Adobe Acrobat dan tidak tanggung-tanggung 4 celah Adobe Acrobat. Adapun email yang memalsukan dirinya seakan-akan dari Xerox ini adalah sebagai berikut : (lihat gambar 1 di bawah)
======Contoh Email======
Please open the attached document. It was scanned and sent
to you using a Xerox WorkCentre Pro.
Sent by: JACQULINE
Number of Images: 8
Attachment File Type: .HTML [Internet Explorer Format]
Xerox WorkCentre Location: machine location not set
Device Name: XEROX5378OD1ID056
======Akhir dari contoh email======
Gambar 1, Redirector yang menyebar melalui email dalam lampiran .htm
Redirector akan datang sebagai email yang dikirimkan secara otomatis oleh "Xerox WorkCentre Pro" dan menyertakan lampiran file htm. Karena menyamarkan diri dalam lampiran .htm, program email gratis Gmail yang terkenal konservatif dalam memblok lampiran email bervirus (dimana lampiran .zip dan .rar yang berpassword sekalipun diblok oleh mailserver Gmail) meloloskan lampiran .htm ini. Padahal jika dijalankan ia akan mengeksekusi rutin instalasi virus.
Jika anda mendapatkan e-mail tersebut, sebaiknya anda perlu berhati-hati karena Vaksincom telah mendeteksi varian ini yang menyebar dengan cepat sejak Februari dan teridentifikasi oleh G Data Antivirus sebagai Trojan JS:Redirector-PV, JS:Trojan.JS.Agent.AT atau JS:Pdfka-gen. (lihat gambar 2 dan 3)
Gambar 2, G Data Antivirus mendeteksi virus ini sebagai JS:Trojan.JS.Agent.AT
Gambar 3, Nama lain virus ini adalah JS:Pdfka.gen atau JS:Redirector.PV
Sejarah Redirector
Trojan JS:Redirector-PV merupakan salah satu varian malware jenis scam yang mencatut mesin "Xerox WorkCentre Pro". Malware jenis ini menyebar memanfaatkan penggunaan e-mail yang disertai attachment malware.
Malware scam "Xerox WorkCentre Pro" sebenarnya sudah teridentifikasi varian awalnya sejak pertengahan 2010. Saat itu varian malware ini menyebar lewat e-mail dengan pesan yang berisi attachment trojan yang sudah di-kompres (ZIP). Di dalam file kompresi tersebut berisi file dengan dobel extension “doc.exe”
Varian malware yang ke-2 menyebar dan teridentifikasi pada bulan Februari/Maret 2011. Varian ini menyebar dengan memanfaatkan celah keamanan dari PDF (Adobe Reader) dan javascript, bahkan ada 4 celah keamanan yang berhasil dimanfaatkan yaitu : CVE-2007-5659, CVE-2008-2992, CVE-2009-0927 and CVE-2009-4324. (lihat gambar 4)
Gambar 4, Varian awal Redirector di awal 2011
Sedangkan varian ke-3 malware “Xerox WorkCentre Pro” menyebar (juga pada bulan Juli/Agustus) 2011 dengan teknik dan metode yang sama persis seperti jenis yang pertama.
Ke-3 jenis malware scam "Xerox WorkCentre Pro" ini di-identifikasi oleh berbagai antivirus dengan nama Oficla, Bredolab dan Dofoil.
Sedangkan varian ke-4 yang saat ini (juga sama menyebar bulan pada Februari / Maret 2012) menyebar menggunakan metode yang sama tetapi jenis yang berbeda yaitu dengan memanfaatkan penggunaan attachment .htm (javascript). Varian ini teridentifikasi sebagaiJS:Redirector-PV atau JS:Pdfka-gen. Varian ini ternyata juga memanfaatkan celah keamanan dari PDF.
Dampak/Akibat Trojan JS:Redirector-PV
Beberapa dampak/akibat jika anda sudah terinfeksi Trojan JS:Redirector-PV yaitu sebagai berikut :
Gambar 5,Trik malware untuk menyusupkan diri ke sistem anda
46.105.97.103, 46.137.251.11, 50.31.1.105, 50.57.77.119, 50.57.118.247, 50.76.184.100, 68.232.44.119 69.60.117.183, 72.22.83.93, 78.83.233.242, 78.159.118.226, 87.120.41.155, 88.191.97.108, 93.189.88.198, 95.156.232.102, 98.158.180.244, 111.94.254.10, 111.94.254.18, 111.94.254.24, 173.203.51.174, 173.255.229.33, 174.122.121.154, 184.106.151.78, 184.106.237.210, 190.106.129.43, 200.169.13.84, 204.12.252.82, dll
Gambar 6, Aksi Redirector mengirimkan informasi ke Remote Server.
Gambar 7, Aksi redirector download malware.
Gambar 8, Malware ini mengeksploitasi 4 celah keamanan Adobe Acrobat
File Trojan JS:Redirector-PV
Trojan JS-Redirector-PV merupakan attachment malware scam dari e-mail, yang memiliki ciri-ciri sebagai berikut : (lihat gambar 9)
Gambar 9, File malware Redirector dalam bentuk .htm
Setelah attachment tersebut dijalankan, maka akan mendownload beberapa malware yaitu :
Setelah dieksekusi file PHP/PDF tersebut ternyata mengextract malware lain pada lokasi :
File malware FakeAV tersebut juga akan mengextract menjadi beberapa file :
Metode Penyebaran Trojan JS:Redirector-PV
Sesuai dengan kategori malware-nya, Trojan JS-Redirector-PV melakukan media penyebaran melalui trafik e-mail dengan mengirimkan scamemail yang memiliki attachment malware. Walaupun begitu tidak tertutup kemungkinan Trojan ini juga dapat menyebar melalui milis, forum / blog yang menyediakan komen atau post yang dapat dilakukan dengan menyebarkan link URL.
Pembersihan Trojan JS:Redirector-PV
======Contoh Email======
Please open the attached document. It was scanned and sent
to you using a Xerox WorkCentre Pro.
Sent by: JACQULINE
Number of Images: 8
Attachment File Type: .HTML [Internet Explorer Format]
Xerox WorkCentre Location: machine location not set
Device Name: XEROX5378OD1ID056
======Akhir dari contoh email======
Gambar 1, Redirector yang menyebar melalui email dalam lampiran .htm
Redirector akan datang sebagai email yang dikirimkan secara otomatis oleh "Xerox WorkCentre Pro" dan menyertakan lampiran file htm. Karena menyamarkan diri dalam lampiran .htm, program email gratis Gmail yang terkenal konservatif dalam memblok lampiran email bervirus (dimana lampiran .zip dan .rar yang berpassword sekalipun diblok oleh mailserver Gmail) meloloskan lampiran .htm ini. Padahal jika dijalankan ia akan mengeksekusi rutin instalasi virus.
Jika anda mendapatkan e-mail tersebut, sebaiknya anda perlu berhati-hati karena Vaksincom telah mendeteksi varian ini yang menyebar dengan cepat sejak Februari dan teridentifikasi oleh G Data Antivirus sebagai Trojan JS:Redirector-PV, JS:Trojan.JS.Agent.AT atau JS:Pdfka-gen. (lihat gambar 2 dan 3)
Gambar 2, G Data Antivirus mendeteksi virus ini sebagai JS:Trojan.JS.Agent.AT
Gambar 3, Nama lain virus ini adalah JS:Pdfka.gen atau JS:Redirector.PV
Sejarah Redirector
Trojan JS:Redirector-PV merupakan salah satu varian malware jenis scam yang mencatut mesin "Xerox WorkCentre Pro". Malware jenis ini menyebar memanfaatkan penggunaan e-mail yang disertai attachment malware.
Malware scam "Xerox WorkCentre Pro" sebenarnya sudah teridentifikasi varian awalnya sejak pertengahan 2010. Saat itu varian malware ini menyebar lewat e-mail dengan pesan yang berisi attachment trojan yang sudah di-kompres (ZIP). Di dalam file kompresi tersebut berisi file dengan dobel extension “doc.exe”
Varian malware yang ke-2 menyebar dan teridentifikasi pada bulan Februari/Maret 2011. Varian ini menyebar dengan memanfaatkan celah keamanan dari PDF (Adobe Reader) dan javascript, bahkan ada 4 celah keamanan yang berhasil dimanfaatkan yaitu : CVE-2007-5659, CVE-2008-2992, CVE-2009-0927 and CVE-2009-4324. (lihat gambar 4)
Gambar 4, Varian awal Redirector di awal 2011
Sedangkan varian ke-3 malware “Xerox WorkCentre Pro” menyebar (juga pada bulan Juli/Agustus) 2011 dengan teknik dan metode yang sama persis seperti jenis yang pertama.
Ke-3 jenis malware scam "Xerox WorkCentre Pro" ini di-identifikasi oleh berbagai antivirus dengan nama Oficla, Bredolab dan Dofoil.
Sedangkan varian ke-4 yang saat ini (juga sama menyebar bulan pada Februari / Maret 2012) menyebar menggunakan metode yang sama tetapi jenis yang berbeda yaitu dengan memanfaatkan penggunaan attachment .htm (javascript). Varian ini teridentifikasi sebagaiJS:Redirector-PV atau JS:Pdfka-gen. Varian ini ternyata juga memanfaatkan celah keamanan dari PDF.
Dampak/Akibat Trojan JS:Redirector-PV
Beberapa dampak/akibat jika anda sudah terinfeksi Trojan JS:Redirector-PV yaitu sebagai berikut :
- Membuka page loading & PDF yang error
Gambar 5,Trik malware untuk menyusupkan diri ke sistem anda
- Melakukan koneksi ke Remote Server
46.105.97.103, 46.137.251.11, 50.31.1.105, 50.57.77.119, 50.57.118.247, 50.76.184.100, 68.232.44.119 69.60.117.183, 72.22.83.93, 78.83.233.242, 78.159.118.226, 87.120.41.155, 88.191.97.108, 93.189.88.198, 95.156.232.102, 98.158.180.244, 111.94.254.10, 111.94.254.18, 111.94.254.24, 173.203.51.174, 173.255.229.33, 174.122.121.154, 184.106.151.78, 184.106.237.210, 190.106.129.43, 200.169.13.84, 204.12.252.82, dll
Gambar 6, Aksi Redirector mengirimkan informasi ke Remote Server.
- Komputer menjadi lambat
- Mendownload malware
Gambar 7, Aksi redirector download malware.
- Mendownload file malware PHP/PDF
Gambar 8, Malware ini mengeksploitasi 4 celah keamanan Adobe Acrobat
File Trojan JS:Redirector-PV
Trojan JS-Redirector-PV merupakan attachment malware scam dari e-mail, yang memiliki ciri-ciri sebagai berikut : (lihat gambar 9)
- Berukuran 3 kb
- Type file “HTML Document”
- Ber-ekstensi “htm”
Gambar 9, File malware Redirector dalam bentuk .htm
Setelah attachment tersebut dijalankan, maka akan mendownload beberapa malware yaitu :
- Aublbzdni.php
- dwhnfphlflcrymj7.php (file PHP sendiri tidak berbeda dengan file PDF)
- gugvyoknarjmesf.pdf
Setelah dieksekusi file PHP/PDF tersebut ternyata mengextract malware lain pada lokasi :
- C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll
- C:\a4c5984e10.exe (malware FakeAV)
File malware FakeAV tersebut juga akan mengextract menjadi beberapa file :
- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\POS1.tmp
- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\POS1.tmp.BAT
- C:\Documents and Settings\Administrator\Application Data\KB00159637.exe
Metode Penyebaran Trojan JS:Redirector-PV
Sesuai dengan kategori malware-nya, Trojan JS-Redirector-PV melakukan media penyebaran melalui trafik e-mail dengan mengirimkan scamemail yang memiliki attachment malware. Walaupun begitu tidak tertutup kemungkinan Trojan ini juga dapat menyebar melalui milis, forum / blog yang menyediakan komen atau post yang dapat dilakukan dengan menyebarkan link URL.
Pembersihan Trojan JS:Redirector-PV
- Putuskan koneksi jaringan/internet.
- Lakukan pembersihan trojan pada mode “safe mode”. Untuk masuk pada mode “safe mode”, tekan tombol F8 pada keyboard saat komputer dinyalakan.
- Matikan dan hapus trojan JS:Redirector-PV. Download dan scan menggunakan removal tools berikut untuk membersihkan trojan, dapat anda download pada URL berikut :
- Bersihkan temporary file dari jejak trojan JS:Redirector-PV.
Lakukan langkah-langkah berikut :
- Klik Menu Start -> Run
- Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
- Pada drive system (C) klik OK, biarkan proses scan drive.
- Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
- Tunggu hingga selesai.
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenalimalware ini dengan baik.
:a
:b
:c
:d
:e
:f
:g
:h
:i
:j
:k
:l
:m
:n
:o
:p
:q
:r
:s
:t
Tidak ada komentar:
Posting Komentar