Share

Hati-hati dengan antivirus gadungan       16 Maret 2009

Artikel Chip November 2008 

Serigala berbulu domba. Ungkapan ini patut di ingat-ingat oleh para pengguna komputer yang mendadak mendapatkan peringatan bahwa di komputernya di temukan virus / spyware dan langsung ditawarkan removalnya saat itu juga. Peringatan yang muncul banyak variasinya, dari perubahan wallpaper, muncul pesan di “system icons” di pojok kanan bawah layar komputer (sebelah jam) atau pesan pop up. (lihat gambar 1 dan 2)

 

Gambar 1, Scareware Antivirus-2008 yang merubah Wallpaper komputer korbannya menjadi peringatan palsu adanya spyware dan menawarkan removal yang sebenarnya palsu.

 

Gambar 2, Peringatan palsu adanyaSpyware yang ditampilkan oleh Antivirus 2008

 

Istilah yang diberikan pada program antivirus gadungan ini adalah Rogue Scanner, Advance Antivirus atau Scareware. Dikatakan sebagai scareware karena cara kerjanya yang menakut-nakuti korbannya bahwa komputernya terinfeksi virus dan spyware dengan tingkat bahaya yang sangat tinggi dan disarankan untuk mendownload antivirus gadungan (yang sebenarnya juga spyware) ke situs yang telah dipersiapkan terlebih dahulu. Jika korban berhasil ditakuti dan masuk ke situs yang telah dipersiapkan, ia akan ditawari untuk membeli antivirus gadungan dan membayar dengan kartu kreditnya. Kemungkinan besar korbannya ini akan terperdaya karena memang aplikasi scareware dan situs-situs pendukung ini sudah dipersiapkan dengan baik dan tampilan aplikasi dan websitenya terlihat cukup profesional. Dimana tampilan scareware tersebut tidak kalah dengan tampilan program antivirus terkini dan hebatnya situs yang dikunjungipun memiliki sistem penerimaan pembayaran dengan kartu kredit yang online. Masalahnya adalah, sebenarnya peringatan tentang belasan virus yang berhasil di deteksi oleh scareware tersebut adalah peringatan palsu, dimana sebenarnya tidak ada virus yang dimaksudkan di komputer korban. Namanya juga scareware (ingat scarecrow, patung-patungan palsu untuk manakuti burung (gagak) supaya tidak memakani padi) tujuan utamanya adalah menakuti korbannya untuk tujuan komersial dan celakanya cara yang dipakai kurang terpuji dengan memberikan peringatan virus palsu. Selain itu, jika korbannya setuju untuk mendownload program scareware yang ditawarkan. Maka ibarat kata pepatah, “Sudah Jatuh Tertimpa Tangga” …. (di gigit anjing lagi :P) maka selain membayar untuk sesuatu yang tidak perlu, kemungkinan besar kartu kredit yang digunakan untuk membeli scareware tersebut akan dijadikan sebagai sasaran fraud. Banyak laporan yang menyebutkan bahwa biaya yang ditagihkan ke kartu kredit tidak sesuai dengan yang tertera pada saat transaksi dan bisa beberapa kali lipat. Karena itu sebaiknya anda segera memblokir kartu kredit tersebut dan mengganti dengan yang baru untuk menjaga kemungkinan digunakan untuk fraud.

 

Metode infeksi

Scareware akan datang dalam banyak alternatif :

  • Mengeksploitasi celah keamanan (Java Script) browser waktu mengunjungi website tertentu sehingga akan terinstal secara otomatis dan menampilkan peringatan palsu.
  • Menawarkan scan malware gratis atau tune up sistem komputer gratis.
  • Email, dalam hal eksploitasi email pembuat virus ini cukup kreatif. Adapun bentuk-bentuk email yang terdeteksi adalah sebagai berikut :
    •  Kartu ucapan / greeting card. Email yang datang juga memiliki banyak varian, baik yang datang dalam lampiran bervirus (biasanya di kompres / zip) maupun hanya link download yang memanfaatkan fitur “drive by download”.
    • Breaking News dari CNN atau situs berita yang lain.
    • Menawarkan film porno artis ternama seperti Angelina Jolie yang dikombinasikan dengan baik sekali dengan rekayasa sosial pada situs You Tube. Dimana file yang mengandung virus seakan-akan harus di download sebagai codec (file yang diperlukan untuk menonton file film di You Tube). Lihat artikel http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html
    • Datang dalam lampiran terkompres seperti yang terakhir ditemui Vaksincom datang sebagai email konfirmasi pengiriman barang dari UPS yang meminta kita mencetak invoice .doc yang sebenarnya adalah file virus karena memiliki ekstensi ganda (ups_letter.doc.exe). Supaya lampiran ini tidak diblok di mailserver ia di kompres terlebih dahulu dengan nama “ups_letter.zip”.  (lihat gambar 3)

 

Gambar 3, Cara terbaru scareware menyebarkan dirinya dengan mengirimkan dirinya sebagai lampiran melalui email.

 

 

Ada puluhan varian scareware

Sebenarnya seberapa gawat sih masalah scareware ini dan seberapa banyak varian scareware ini ? Pada awalnya Vaksincom mengira scareware ini seperti kata pepatah “hangat-hangat tahi ayam”, paling dalam waktu beberapa bulan akan menghilang dan digantikan oleh spyware / malware lainnya. Dan varian scareware ini meskipun cukup banyak tetapi menurut perkiraan Vaksincom tidak akan melebihi belasan varian. Tetapi kenyataannya sangat mengejutkan, karena ternyata sampai saat ini sudah tedeteksi 85 scareware yang beredar di internet yang lengkap dengan infrastruktur pendukungnya seperti website dan sistem pembayaran online. Beberapa nama yang digunakan juga cukup menjebak seperti Antivirus XP 2008, Antivirus XP 2009, Vista Antivirus 2008, WinFixer, Spyware Stormer, Smart Antivirus 2008, Smart Antivirus 2009, PC-Antispyware, MS Antispyware, MS Antivirus, IE Antivirus, ID Defender, Antivirus 2008, Antivirus 2009 dan masih banyak lagi. Melihat hal ini dapat disimpulkan bahwa pembuat scareware ini cukup terorganisir,  profesional, ditunjang oleh back up finansial yang kuat dengan motif ekonomi dan bukan hanya melakukan hit and run seperti pembuat virus.

 

 

Beberapa ciri scareware yang sedang aktif

Beberapa ciri scareware yang saat ini sedang marak menyebar di internet adalah sebagai berikut :

  • Jika komputer korbannya mendapatkan peringatan adanya malware tetapi tidak melakukan tindakan seperti mendownload scareware yang disarankan, maka komputer tersebut akan terus menerus mendapatkan peringatan pop up windows yang meninformasikan adanya malware di komputernya. Dalam beberapa kasus, bahkan komputer korban “dikerjai” seperti drive C: dihilangkan dari Windows Explorer dan menghilangkan folder-folder baik di harddrive lokal maupun folder sharing di jaringan sehingga makin menambah kepanikan pengguna komputer korbannya.
  • Scareware ini sulit di deteksi antivirus karena ia akan selalu mengupdate dirinya dan melakukan release ulang guna mencegah deteksi program antivirus.
  • Menurut pantauan Vaksincom, saat ini banyak scareware sudah mampu menginfeksi Widnwos Vista, jadi korbannya tidak hanya terbatas pada Windows XP / 2000 saja.
  • Walaupun anda sudah klik [Cancel] atau [X] untuk menutup box dialog ketika ditanyakan apakah mau mendownload scareware, aksi yang dilakukan TETAP akan mendownload scareware. Bahkan beberapa scareware secara otomatis mendownloadkan dan menginstalkan dirinya ke komputer korbannya.
  • Anda tidak dapat menghentikan proses download yang berlangsung, sekalipun anda menutup browser anda karena proses download akan berlangsung di background (tidak terlihat). Salah satu cara yang cukup efektif untuk menghentikan download adalah menggunakan key [Alt][F4].
  • Administrator jaringan di korporat dapat mempertimbangkan memblok akses ke situs-situs download scareware seperti winfixer.com, winantivirus.com, systemdoctor.com tetapi seperti kita ketahui jumlah scareware yang mencapai lebih dari 80 pada saat ini dan dalam waktu singkat akan mencapai lebih dari 100 scareware membuat proses blokir website scareware ini sangat melelahkan. Salah satu cara yang efektif mengatasi infeksi scareware adalah menggunakan filter jaringan yang dipasang di router backbone internet anda seperti Norman Network Protector yang akan melakukan scanning seluruh traffic yang masuk ke jaringan intranet baik itu traffic http, smtp, pop maupun ftp. Dengan adanya Network Protector ini pengguna jaringan akan terlindung dari download dan upload scareware maupun malware tanpa perlu melakukan perubahan pada setting komputer karena scanner ini berfungsi sebagai bridge (transparent proxy). (lihat gambar 4)

Gambar 4, NNP yang mampu mendeteksi dan menghentikan scareware yang secara otomatis mendownload dirinya pada protokol http, smtp, pop dan ftp

 

Bagaimana cara menghindari dan mengatasi scareware

Jika anda menanyakan bagaimana cara menghindari dan mengatasi scareware, jawabannya mungkin klasik. Pastikan komputer anda dilindungi program antivirus / spyware yang terupdate dan jangan sembarangan memilih antivirus yang belum anda kenal. Kalau anda paranoid hindari email html (set sebagai plain text saja) untuk mencegah kesalahan karena klik pada email html yang memicu download scareware. Jangan sembarangan menggunakan software atau scanner online yang tidak anda ketahui kompetensinya. Lakukan patch (penambalan celah keamanan) secara teratur, usahakan untuk melakukan automatic patch pada OS anda jika komputer anda memiliki hubungan ke internet.

Jika komputer anda sudah terinfeksi scareware, satu hal yang paling penting anda lakukan adalah “putuskan hubungan ke internet”, hal ini penting untuk mencegah scareware mengupdate dirinya. Gunakan Norman Security Suite dengan update terakhir yang bisa anda dapatkan pada DVD / CD Chip terbaru untuk membasmi scareware ini.

Salam,

Aa Tan

info@vaksin.com

Jl. Tanah Abang III /19E

JAkarta 10160

Ph : 021 345 6850

Fx : 021 345 6851