W32/Zbot.DBB 16 November 2009
Virus Webforgery Facebook
Ikuti Seminar Akhir Tahun Vaksincom "Evaluasi Malware 2009, Trend 2010 dan Antisipasinya http://www.vaksin.com/2009/1209/seminar/seminar.html
Tidak dapat disangkal kalau Facebook adalah program yang sangat populer dan seperti di ulas pada artikel Vaksincom sebelumnya tentang virus Bredolab http://vaksin.com/2009/1109/facebook/facebook.html telah muncul virus yang mengincar pengguna Facebook dan Vaksincom memperkirakan hal ini akan berlanjut dan saat ini notabene Facebook ibaratnya ST12 yang lagi ngetop akan menjadi sasaran serangan virus, baik dari rekayasa sosial maupun pencurian identitas account Facebook. Dalam waktu beberapa hari saja, setelah munculnya Bredolab, muncul satu virus baru yang mengeksploitasi pengguna Facebook yang bertujuan untuk menginstal virus (yang dipalsukan sebagai update Facebook) dan celakanya pembuat virus ini sangat cerdik dan berhasil melakukan rekayasa pesannya sehingga pesan palsunya tidak hanya muncul pada email penerima saja, tetapi juga muncul pada aplikasi Facebook for Blackberry.
Dalam artikel ini Vaksincom akan memberikan sedikit gambaran bagaimana pesan ini muncul dan trik rekayasa sosial yang digunakan dalam memancing korbannya guna mendapatkan account Facebook untuk di eiksploitasi. Vaksincom juga melakukan testing atas beberapa browser yang populer seperti Internet Explorer, Firefox, Safari dan Chrome untuk mengetahui seberapa jauh perlindungan yang diberikan oleh browser tersebut terhadap situs-situs webforging sehubungan dengan virus yang di deteksi Norman sebagai W32/Zbot ini.
Email yang mengandung virus Zbot ini akan datang dengan tampilan yang sangat meyakinkan (lihat gambar 1)
Gambar 1, Tampilan email yang
memalsukan diri sebagai pesan dari Facebook
Tampilan dan isi email yang datang sangat meyakinkan, dengan isi email kira-kira seperti ini :
Pengguna Facebook,
Dalam rangka meningkatkan pengalaman online anda lebih aman dan
menyenangkan, Facebook akan mengimplementasikan sistem login baru yang akan
diterapkan bagi semua pengguna Facebook. Perubahan-perubahan ini memberikan
fitur baru dan meningkatkan pengamanan akun Facebook anda.
Sebelum anda dapat menggunakan sistem login yang baru, anda perlu
memperbarui akun anda.
Klik disini untuk memperbarui akun anda secara online.
Jika anda memiliki pertanyaan, silahkan lihat di New User Guide.
Terimakasih,
Team Facebook
Jika anda pengguna Facebook, tentunya anda akan hakul yakin bahwa pesan tersebut datang dari administrator Facebook. Tetapi jika anda perhatikan link pada tulisan “here” (disini) maka link tersebut juga dibuat seolah-olah datang dari Facebook …… padahal bukan. Link tersebut sangat mirip dengan link facebook yang selalu diawali dengan www.facebook.com, tetapi jika anda teliti lebih jauh, maka link tersebut sebenarnya bukan www.facebook.com tetapi www.facebook.com.qwease.eu. (lihat gambar 2)
Gambar 2, Link palsu yang diberikan
oleh virus Zbot.
Jika anda melanjutkan dengan memasukkan data Facebook anda dengan memasukkan “Email” dan “Password” (sebagai informasi, pada tahap ini sebenarnya rekening akun Facebook anda sudah direkam oleh virus ini pada server login tadi, maka jika anda pernah mengalami hal ini Vaksincom menyarankan anda untuk SEGERA mengganti password Facebook anda) maka anda akan dibawa ke tahap berikutnya untuk mendownload file “update” Facebook (lihat gambar 3)
Gambar 3, Situs forging Facebook yang
memberikan updatetool palsu yang sebenarnya virus.
Jika anda mendownload file “updatetool.exe” dan menjalankan file ini, TIDAK ADA yang akan berubah pada fitur Facebook anda, melainkan komputer anda akan terinfeksi virus Zbot dan salah satu aksinya adalah menjadikan komputer anda sebagai host untuk mengirimkan SPAM yang berisi email seperti pada gambar 1 di atas. Jika anda menggunakan Norman Security Suite, file “updatetool.exe” ini akan terdeteksi sebagai W32/Zbot.DBB dan akan langsung dibasmi oleh Norman. (lihat gambar 4a dan 4 b)
Gambar 4a
Gambar 4b, Norman Security Suitedengan
teknologi Sandbox dan DNS Matching technology mendeteksi virus Facebook baru
ini sebagai W32/Zbot.DBB
Perlindungan dari Browser
PENTING !!!
Test ini tidak untuk memberikan penilaian browser mana yang baik atau
jelek karena anya mengambil contoh kasus 1 virus saja. Aksincom berusaha
memberikan gambaran obyektif khusus untuk kasus virus Zbot pada saat pertama
kali muncul. Pengguna komputer disarankan untuk melakukan riset dan
pertimbangan sesuai kepentingan masing-masing dalam menentukan browser apa
yang ingin dipakai.
Jika anda perhatikan contoh pada gambar 2 dan 3 di atas, test ini dilakukan pada tanggal 4 November 2009 pukul 16:30 WIB. Mungkin anda tidak sadari mengapa tampilan pada gambar 2 menggunakan browser Safari dan tampilan gambar 3 menggunakan browser Internet Explorer terbaru. Hal tersebut bukan terjadi secara kebetulan, tetapi karena browser yang penulis gunakan sehari-hari (Firefox) dalam waktu yang sangat singkat sudah berhasil mendeteksi bahwa situs yang diberikan oleh email tersebut di atas adalah situs palsu alias Webforging. Pada waktu yang sama, penulis menampilkan link http://www.facebook.com.qweaso.eu/globaldirectory/LoginFacebook.php?ref=8071104215053895800324382049018649693735364451460452&email=bradleynn@vaksin.com menggunakan 4 browser, Chrome, Firefox, Internet Explorer dan Safari untuk melakukan riset live kecil-kecilan atas kecepatan response browser-browser tersebut terhadap website palsu / webforging dalam rangka melindungi penggunanya.
Seperti yang anda lihat pada gambar 2 di atas, browser Safari menampilkan link di atas dengan baik, begitupula browser Internet Explorer (lihat gambar 5)
Gambar 5, Browser Internet Explorer
menampilkan situs forging dengan baik
Begitupula browser Chrome yang di test pada saat yang sama tetap menampilkan situs webforging tersebut seperti Satari dan Internet Explorer (lihat gambar 6)
Gambar 6, Google Chrome pada tanggal 4
November 2009, pkl 16:30 menampilkan sutis forging dengan baik tanpa
peringatan apapun
Berbeda dengan 3 browser di atas, Firefox langsung mendeteksi situs tersebut sebagai webforging (lihat gambar 7)
Gambar 7, Firefox menampilkan
peringatan bahwa situs yang ingin dikunjungi adalah situs palsu yang
berbahaya.
Browser Firefox menampilkan peringatan lengkap dengan icon berwarna merah dengan gambar polisi membawa tanda dilarang masuk bahwa situs www.facebook.com.qweasi.eu sudah dipalorkan sebagai situs palsu dan diblok. Anda memiliki 3 pilihan dimana dua pilihan tertama membatalkan niat anda dan menanyakan mengapa situs tersebut diblok dengan mengklik dua tombol “Get me out of here!” dan “Why was this site blocked?” atau jika anda tetap kekeuh ingin melihat apa isi situs tersebut anda bisa mengklik link yang dibuat sangat kecil di pojok kanan bawah “Ignore this warning”.
Jika sudah diperingatkan dan anda masih tetap anggap belum “batal kawin :p” dan ingin melanjutkan, maka Firefox akan memberikan anda akses terhadap situs tersebut tetapi dengan tampilan yang sangat jelek, dimana htmlnya dimatikan (settingan mungkin berbeda tergantung setting sekuriti browser anda). Dan ada peringatan dengan pita berwarna merah bahwa situs ini adalah situs palsu (lihat gambar 8)
Gambar 8, Situs palsu yang terdeteksi sebagai Web Forging ditampilkan
tanpa html supaya pengguna tidak tertipu
Andaikan ada pengguna yang (keterlaluan banget) masih saja percaya dan memasukkan akun Facebooknya ke situs yang tampilannya sudah seperti Tessi dibandingkan dengan tampilan Facebook yang asli tersebut maka Firefox akan membukakan layar baru tetap dengan peringatan dengan pita merah dengan tanda dilarang masuk “Reported Web Forgery !” seperti pada gambar 9. Bandingkan dengan tampilan pada gambar 3 yang ditampilkan oleh Internet Explorer yang sangat meyakinkan pengguna bahwa situs tersebut adalah situs Facebook yang benar.
Gambar 9, tahap terakhir setelah
pengguna diperingati berulang kali baru pengguna Firefox akan mendapatkan
link download virus Zbot.
Sedangkan pengetesan yang penulis lakukan pada 3 browser lainnya, pada awalnya ketiganya meloloskan situs tersebut dan akhirnya semua browser memblok akses ke situs tersebut, browser Safari dan Chrome dalam waktu yang lebih cepat dari Internet Explorer mendeteksi dan memperingatkan atas ancaman web forging ini pada penggunanya.
Salam,
Aa Tan
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 3456850
Fx : 021 3456851