Virus Lokal AGR yang Mengacak-acak IE

VBWorm.AGR, Virus Lokal yang Mengacak-acak IE
Salah satu virus lokal yang patut diwaspadai pengguna komputer adalah VBWorm.AGR. Meski tidak terlalu ganas, virus ini mampu mengacak-acak tampilan Internet Explorer.

Dijelaskan analis antivirus dari Vaksincom, Adang Jauhar Taufik, virus ini akan mengubah default page IE ke sebuah blog yang beralamat di http://www.hellspawn.de.be dan memberikan ‘bonus’ mengubah default search page ke salah satu akun di Friendster.

Virus ini dibuat dengan program bahasa Visual Basic dengan ukuran file sekitar 58 KB, tipe file ‘Application’ dan ekstensi file ‘EXE’.

“Sebenarnya tidaklah terlalu sulit untuk mengenali virus ini, salah satunya adalah dengan melihat halaman awal dan search page dari Internet Explorer. Selain itu, pada saat menjalankan program regedit maka akan muncul pesan error,” jelasnya kepada detikINET, Selasa (9/3/2010).

Pada saat virus ini aktif di komputer korban, maka ia akan membuat beberapa file induk yang akan dijalankan pertama kali saat komputer dinyalakan. Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registri windows.

“Untuk mempertahankan dirinya, ia akan melakukan blok terhadap beberapa fungsi windows utama seperti Task Manager, Registry Editor, Msconfig atau system restore, cara ini juga dilakukan untuk mengaktifkan dirinya pada saat user mengeksekusi aplikasi tersebut, Virus ini juga akan menyembunyikan file regedit.exe dan notepad.exe,” lanjut Adang.

Target utama dari virus ini adalah menyembunyikan folder dan subfolder yang ditemukan. Sementara untuk menyebarkan dirinya ia akan menggunakan media Flash Disk dengan membuat file duplikat sesuai dengan nama file yang disembunyikan.

“Tidak seperti yang dilakukan oleh kebanyakan virus lokal, ia tidak akan menggunakan fitur autorun Windows untuk mengaktifkan dirinya,” pungkasnya. ( ash / faw )

Sumber : http://www.detik.com

Ciri-Ciri Email Pembawa Virus Facebook

Virus selalu mencari jalan untuk masuk kedalam aplikasi komputer kita.
Salah satu Virus ini memfaatkan jalur jejaring sosial besar Facebook.
Virus Facebook ini menyebarkan virus nya melalui email dengan ciri-cirinya seperti dibawah ini:

From : The Facebook Team”
Subject : Facebook Password Reset Confirmation.
Attachment : Facebook_Password_xxx.zip (Facebook_Password_xxx.exe)
Message :

Hey [nama penerima email],

Because of the measures taken to provide safety to our clients, your password has been changed.

You can find your new password in attached document.

Thanks,
The Facebook Team

Catatan: xxx adalah karakter acak

Jika kita telah terkena virus ini, ikuti langkah-langkah disite ini untuk membersihkannya dari komputer kita.

Selamat mencoba.

Info Virus Stargate

virus stargate

Jika ingin menggapai mimpi yang lebih indah
laksanakan dan kerjakan

Demikian bunyi pesan yang akan ditampilkan virus setiap kali menjalankan browser Internet Explorer (IE). Saat ini tengah beredar virus Stargate yang konon ‘cukup’ sulit untuk dibersihkan. Salah satu penyebab virus ini mampu bertahan adalah kemampuannya untuk me-redirect file eksekusi (exe/com/bat/pif/VBS/REG dan lnk) ke file virus.

Gejala lain yang muncul jika komputer Anda terkena virus ini adalah tipe file setiap direktori/folder akan berubah menjadi “Stargate” dan Anda juga tidak dapat membuka properties My Computer. Bukan cuma itu saja, virus ini juga akan memblok hampir semua aplikasi yang terinstal sehingga tidak dapat dijalankan dan muncul pesan error. Gejala lainnya, jika membuka “Folder Option” maka komputer akan langsung restart.

Virus Stargate terdeteksi sebagai W32/Agent.DRRU. Ciri lain file virus ini antara lain menggunakan tipe file “Application” dan berekstensi exe.

Stargate dibuat dengan program bahasa Visual Basic. Untuk mengelabui pengguna, virus ini menggunakan icon Folder dengan ukuran file sebesar 46 KB. Jika file tersebut dijalankan maka ia akan membuat file induk yang akan dijalankan setiap kali komputer dinyalakan.

Stargate juga akan membuat string registry untuk memblok beberapa fungsi Windows seperti Task Manager, Regedit, Msconfig, Folder Option dan beberapa program keamanan termasuk antivirus, baik dengan cara memblok langsung/redirect ke file virus atau debugger ke program notepad.

Untuk mempertahankan dirinya, selain melakukan blok terhadap beberapa fungsi Windows dan program keamanan, Stargate juga akan aktif pada mode “safe mode” atau “safe mode with command prompt” sehingga semakin sulit untuk membersihkan virus ini.

Mengubah Startpage IE dan Icon MP3

Tidak ketinggalan, aplikasi Internet Explorer Windows menjadi sasaran virus ini yakni dengan mengubah startpage (halaman pembuka) untuk menjalankan file html yang sudah dibuat oleh virus tersebut. Halaman pembuka IE pun berubah menjadi hitam.

Virus stargate juga akan mengubah icon sejumlah file seperti MP3, Jpeg, Mpeg dan Txt, menjadi icon Folder. Ini merupakan salah satu rekayasa sosial yang akan digunakan untuk mengelabui user agar user beranggapan bahwa file tersebut merupakan file duplikat yang dibuat oleh virus atau file yang sudah diinjeksi oleh virus dengan harapan user akan menghapus file tersebut.

Jika komputer Anda sudah terinfeksi Stargate, maka pada saat Anda membuka folder/drive maka akan muncul layar “Search Windows”. Stargate juga akan mencoba untuk memblokir akses ke MMC file dengan memunculkan pesan error seolah-olah user tidak mendapat akses untuk membuka file tersebut, contohnya gpedit.msc atau secpol.msc.

Agar virus ini dapat aktif secara otomatis tanpa harus menjalankan file virus, Stargate akan memanfaatkan fungsi Autorun Windows dengan membuat beberapa file yakni desktop.ini, folder.htt dan autorun.inf. Ketiga file ini akan dibuat di setiap drive termasuk di media Flash Disk sehingga dengan hanya mengakses drive tersebut secara otomatis akan mengaktifkan virus ini.

Flash Disk masih merupakan salah satu media yang akan digunakan oleh virus ini untuk menyebarkan dirinya dengan membuat beberapa file berikut:

  • Autorun.inf
  • Desktop.ini
  • Folder.htt
  • Msvbvm60.dll
  • DCIM.exe
  • Dirlist.exe

Keterangan gambar: Pesan Stargt.html ditampilkan setiap kali user menjalankan aplikasi Internet Explorer (IE). 

Ini cara membersihkannya. Klik Disini

Laporan Ancaman Virus Semester I 2007

Laporan Ancaman Virus Semester I 2007
Achmad Rouzni Noor II – detikInet

Jakarta, Era penyebaran virus secara besar-besaran telah berakhir. Dewasa ini, ancaman-ancaman yang muncul lebih bersifat low profile, berskala regional dan lebih terarah, bercampur aduk dan menyerang secara berkala, berbasis web dan bermotifkan keuntungan finansial.

Perusahaan antivirus jaringan Trend Micro, dalam surat elektroniknya yang diterima detikINET, Senin (23/7/2007), menjelaskan, pada semester I 2007 ini masih ditemukan pertumbuhan yang luar biasa dari serangan berbasis web, sementara penggunaan sarana komunikasi untuk penyebaran ancaman masih tetap popular.

Selain itu, pada semester ini juga ditemukan sejumlah serangan yang menggunakan kombinasi kedua ranah metode serangan di atas. Sebagai tambahan dari metode serangan kombinasi tersebut, teknologi dan teknik-teknik yang digunakan juga kian semakin canggih.

Celah Pada Infrastruktur

Celah-celah pada infrastruktur menjadi ancaman yang berasalkan dari kelemahan pada bagian keamanan di dalam aplikasi-aplikasi, arsitektur jaringan atau pada sistem operasional.

Para pembuat malware mengandalkan celah keamanan pada aplikasi dalam melancarkan serangan-serangan mereka. Beberapa dari para pembuat malware tersebut secara proaktif mencari celah keamanan dan menjual informasi mengenai celah tersebut di pasar gelap digital. Sedangkan yang lainnya menunggu pengumuman publik dari celah keamanan, yang kemudian akan dijadikan bekal dalam membuat file pengeksploitir yang diharapkan dapat menyerang sebelum penambal celah dari vendor aplikasi diluncurkan.

Beberapa pengeksploitasian celah keamanan yang tercatat adalah, trojan yang mengekploitasi aplikasi-aplikasi Microsoft Windows, terutama MS Word, MS Excel, dan MS PowerPoint, dan trojan yang mengekploitasi file kursor Microsoft Windows (.ANI). Sebuah celah keamanan pada Windows 2000, XP, Server 2003, dan Vista yang mana berguna dalam penggunaan format kursor animasi dan ikon

Celah-celah infrastruktur terjadi tidak hanya pada produk-produk piranti lunak, namun juga pada aplikasi-aplikasi Internet. Contohnya, aplikasi pen-skrip-an lintas situs (cross-site scripting/XSS) , sebuah aplikasi populer yang digunakan situs-situs berbasis Web 2.0 termasuk di dalamnya MySpace dan YouTube, juga sangat terkenal di kalangan pembuat malware yang mengeksploitir celah keamanan XSS dalam melakukan aktivitas Phising dalam volume yang tinggi pada situs-situs interaktif.

Ancaman Berdampak Besar

Ancaman-ancaman berdampak besar adalah ancaman-ancaman yang memiliki kapasitas dalam mengakibatkan kerusakan besar yang berskala lokal. Contoh dari jenis ancaman ini adalah penyebaran virus secara regional dan serangan-serangan terarah.

Ancaman-ancaman berdampak besar yang terjadi pada semester I tahun ini menggambarkan bagaimana para pembuat malware telah mampu menerapkan kode yang secara spesifik menyasar calon korban dengan menggukan taktik rekayasa sosial. Worm NUWAR adalah salah satu contoh sukses dari serangan tersebut.

Worm NUWAR muncul pada akhir 2006 lalu, menyebarkan diri melalui email dengan judul yang berhubungan dengan perang dan menyerang file-file yang mampu membuat PC menjadi sumber dari spam atau penyebar email berisikan worm.

Baru ketika di awal Januari 2007, sejak munculnya varian Trojan yang menyebar melalui email dan menyerang banyak komputer barulah malware ini mendapatkan perhatian banyak pihak. Memanfaatkan badai dengan kekuatan 200-kph yang menyerang bagian timur benua Eropa, Trojan ini memakan banyak korban yang secara tidak sengaja membuka lampiran yang berisikan file berjudul full clip.exe, full story.exe, full video.exe, dan read more.exe.

Para pembuat malware lainnya melancarkan serangan berdampak besar dengan memanfaatkan kepopuleran beberapa situs tertentu.

Pada minggu pertama bulan Febuari 2007, para pembuat malware ini melancarkan serangan dengan memanfaatkan event Super Bowl XLI di Amerika Serikat. Mereka menciptakan skrip berbahaya, membajak situs resmi dari Miami Dolphins Stadium, dan secara diam-diam memasukkan sebuah file keylogger ke semua orang yang mengunjungi situs tersebut.

Baru-baru ini, pada bulan Juni, lebih dari 3.000 situs di Italia tertular Trojan ini dan lebih dari 15.000 pengguna internet terjangkiti keyloggers dan piranti lunak bot (liat siaran pers dari Trend Micro tentang Italian Job yang telah disebarkan minggu lalu).

Ancaman Berbasis Konten

Ancaman-ancaman berbasis konten adalah ancaman-ancaman yang disebarkan oleh para kriminal di dunia maya melalui email atau konten situs. Spam dan phishing adalah tipe yang paling terkenal dari ancaman-ancaman berbasis konten ini.

Ancaman Phising banyak bermunculan pada bulan Januari 2007. Sempat mereda beberapa bulan dan kemudian kembali muncul pada bulan Mei. Hal ini sesuai dengan ciri khas serangan ini, yaitu memanfaatkan booming penggunaan belanja online yang banyak memanen untung pada saat liburan. Sepuluh besar situs yang terkena Phising pada 6 bulan belakangan adalah eBay, PayPal, Bank of America, Wachovia, Fifth Third Bank, BB&T, Poste Italiane, Sparkasse, Regions Bank, VolksBank.

Ancaman Berbasis Proses

Ancaman-ancaman berbasis proses adalah ancaman tipikal yang menyebar melalui aplikasi-aplikasi yang sudah ada pada komputer calon korban. Contoh dari ancaman ini termasuk malware, spyware dan adware. Hitungan terakhir dari penyebaran ancaman ini menunjukkan pertumbuhan dua kali lipat selama bulan Desember 2006 hingga Mei 2007.

Ancaman-ancaman berbasis proses yang terdeteksi dewasa ini adalah, file-file penular canggih (virus-virus yang menempelkan diri secara otomatis pada file-file program), spyware yang menyasar online gaming, piranti lunak anti-spyware kacangan yang mengandung malware

Ancaman Terdistribusi

Ancaman-ancaman terdistribusi adalah ancaman-ancaman yang menggunakan bot, atau botnet, guna membangkitkan serangan pada pihak ketiga dari korban. Karena keampuhan dan kecanggihan dari bot dan botnet, ancaman jenis ini tetap menjadi pilihan para hacker di tahun 2007. Kemampuan ancaman ini dalam menghindar dari deteksi dan dapat dipadu padankan dengan ancaman spam, phishing, denial of service (DoS), keylogging dan malware atau crimeware lainnya, menjadikan ancaman ini pemain inti dari landscape ancaman tahun 2007.

Seperti yang telah terlihat pada beberapa bulan belakangan ini, telah terjadi sebuah upaya khusus dari para pakar botnet, terutama upaya dalam mengirimkan spam (berisikan NUWAR dan STRAT) guna meningkatkan angka tingkat penularan dengan menggunakan teknik rekayasa sosial.

Cara efektif melawan ancaman

Untuk dunia bisnis, disarankan untuk melakukan pendekatan keamanan berlapis, termasuk menerapkan metode-metode pemindaian HTTP, jangan mengijinkan protokol (contohnya aplikasi komunikasi seperti Yahoo Messenger, ICQ, dll) yang tidak perlu memasuki jaringan perusahaan, menerapkan pemindaian celah keamanan pada aplikasi-aplikasi di dalam jaringan, membatasi kebebasan yang diterima pengguna di dalam jaringan, menerapkan pemindaian anti-spyware, kampanyekan “Kesadaran Para Pengguna terhadap Ancaman” di dalam perusahaan.

Untuk para pengguna personal, direkomendasikan untuk waspada terhadap halaman-halaman situs yang meminta menginstal aplikasi tertentu, pindai semua program dan file yang di download dari email atau situs, waspada pada email yang terasa aneh, terlepas dari orang yang anda kenal sekalipun, serta selalu operasikan fasilitas pemindaian antivirus secara real-time.

IP Address Penyebar Virus

IP Address Penyebar Virus

Sebuah tulisan menarik disebarluaskan oleh Vaksin.com tanggal 24 Mei 2006 lalu. Disebutkan, terdapat sejumlah IP Address lokal yang rajin menyebarluaskan virus melalui email. Karena itu, merupakan tanggung jawab kita bersama untuk mengatasinya.

Untuk mengetahui siapa pengirim sebuah virus yang terkirim lewat email, cara terbaik bukanlah dengan melihat alamat email si pengirim. Sebab seringkali terjadi, si virus “meminjam” alamat email orang lain untuk menyebarluaskan virus tersebut. Suatu saat nanti, Anda mungkin kaget karena menerima email bervirus dari alamat email Anda sendiri. Padahal Anda sama sekali tak pernah mengirim email tersebut. (Penulis beberapa kali menerima email caci maki dari netter yang menerima email bervirus atas nama alamat email penulis. Mungkin si pencaci maki sedang emosi, dan belum tahu bahwa virus bisa melakukan apa saja, termasuk “melakukan fitnah” dengan cara meminjam alamat email orang yang tak bersalah).

Alfons Tanujaya dari Vaksin.com mengatakan, cara terbaik untuk mengetahui siapa yang mengirimkan email bervirus tersebut adalah dengan membaca header si email. Seperti kita ketahui, siapa saja dapat mengirim surat lewat pos dengan menggunakan “alamat pengirim palsu”. Tapi satu hal yang tak dapat disembunyikan adalah “cap pos” yang mengindikasikan dari kantor pos mana surat tersebut dikirim.

Nah, email pun demikian. Setiap orang dapat mengirim email dengan menggunakan alamat palsu. Namun, yang tidak dapat dipalsukan adalah IP (Internet Protocol) dari server pengirim email. Berdasarkan IP dan waktu pengiriman email inilah identitas komputer yang mengirimkan virus dapat ditentukan.

Untuk melihat (Full) Header pada Yahoo Mail, silahkan klik di sini. Sedangkan untuk layanan email lainnya, coba klik di sini.

Setelah IP-nya ketahuan, langkah berikutnya adalah mengidentifikasi siapa pemilik blok IP tersebut. Salah satu penyedia layanan untuk tujuan ini adalah http://www.apjii.or.id/tools. Anda tinggal memasukkan alamat IP pengirim virus ke dalam tools, dan dalam waktu singkat Anda akan mendapatkan informasi yang memadai.

Memang, ISP pada umumnya melindungi data pribadi pelanggan, sehingga kita tidak dapat mengetahui data detil tentang si pengguna IP Address tersebut. Namun, data yang kita miliki dapat dijadikan alat bukti yang cukup ampuh untuk melakukan pelaporan ke ISP. Alamat email yang biasa digunakan oleh ISP untuk menerima pengaduan SPAM atau virus adalah admin@nama_ isp atau abuse@nama_isp. Untuk CBN, Anda dapat mengirim email ke abuse@cbn.net.id.

Menurut Vaksin.com, ada beberapa hal yang perlu kita lakukan jika menerima email bervirus.

1. Jangan marah atau langsung reply, karena anda akan malu sendiri. Email sender (pengirim) virus umumnya dipalsukan oleh virus.

2. Lihat header email dan tentukan IP pengirim virus. (Kalau anda menggunakan Outlook, klik-kanan pada email dan pilih [Options] dan lihat data di “Internet Headers”. Kalau datanya banyak, copykan ke Notepad dan lihat pelan-pelan sambil makan siang.

3. Identifikasi pemilik IP, umumnya anda dapat temukan informasi ini di X-originating IP. Tetapi dalam beberapa kasus, informasi ini kurang akurat dan kami sarankan anda untuk menganalisa Header email lengkap. Kalau membutuhkan bantuan, minta bantuan Admin ISP anda.

4. Gunakan tools identifikasi IP yang banyak tersedia di internet. Salah satunya adalah http://www.apjii.or.id/tools.

5. Kalau pemiliknya sudah diketahui, kirimkan Full Header email tersebut ke Admin ISP dan informasikan bahwa IPnya mengirimkan virus. Menurut pengalaman Vaksincom selama ini, semua admin ISP sangat kooperatif dan mereka senang sekali membantu karena hal ini juga membantu mengefisienkan bandwidth ISP yang bersangkutan.

Berikut adalah sejumlah IP Address yang terdeteksi mengirimkan virus (data dari Vaksin.com).

202.155.43.1**
202.53.232.**
61.5.68.1**
202.73.115.1**
202.150.80.**
202.159.61.**
202.155.144.1**
203.130.215.**
4.79.181.**
202.169.224.**
203.153.117.**
202.169.245.**
202.62.21.1**
4.79.181.**
202.78.207.2**
202.147.196.**
202.95.157.**
202.78.207.2**
202.62.21.1**
203.153.117.**
202.62.21.1**
202.169.224.**
210.210.131.**
61.5.100.**
202.169.224.**
219.83.18.**
202.169.36.1**
202.51.237.2**
202.51.237.2**
202.152.7.**
202.147.196.**
202.43.165.1**
202.152.7.**

(jonru/sumber:vaksin.com)
Sumber foto: http://web.inet.ba/