Baidu PC Faster Foistware

17 Februari 2014
Baidu PC Faster Foistware
Trojan.Generic.9038304
Tanggapan dari Baidu Indonesia atas artikel ini (20 Februari 2014) :
Dari hasil review ini, kami akan menginformasikan kepada pengguna kami bahwa "Baidu  sangat menjaga keamanan para pengguna dan tidak akan terlibat dalam tindakan illegal seperti menyebarkan malware. Saat ini kami secara aktif melakukan investigasi terhadap issue yang dilaporkan oleh Vaksin.com untuk memastikan bahwa pengguna kami dalam keadaan aman, dan mendapatkan pengalaman positif dari poduk-produk kami".
Foistware adalah program tidak diinginkan yang umumnya ikut terinstal secara otomatis bersama dengan program lain, umumnya freeware yang populer. Tujuan foistware menginstalkan dirinya adalah untuk mendapatkan keuntungan finansial dari komputer yang terinstal dan umumnya dilakukan dengan cara mengganti search engine default (Google, Bing atau lainnya) dengan search engine yang berafiliasi dengan pembuat foistware sehingga hasil iklan dari search yang dilakukan pengguna komputer akan masuk ke kantong pembuat foistware. Dalam aksinya, foistware mengutamakan menampilkan hasil pencarian dari pembayar iklan tertinggi dan bukan mengutamakan keakuratan hasil pencarian. Dalam banyak kasus foistware mengarahkan korbannya ke situs yang mengandung malware dan jelas merugikan korbannya. Celakanya lagi, foistware ini tetap akan mendekam di komputer korbannya sekalipun freeware yang ditumpanginya sudah di uninstal dan ibarat cicak basah nempel di jendela, banyak foistware sulit diuninstal dan membutuhkan usaha khusus untuk dienyahkan dari komputer. Pada awal aksinya, program-program seperti Adobe Acrobat, Skype dan Java sering ditumpangi foistware. Namun karena mendapatkan banyak komplain dari para pengguna dan praktisi sekuriti pembuat aplikasi tersebut mulai menyeleksi program yang menumpang dan menolak foistware meskipun mereka kehilangan pendapatan potensial yang besar dari foistware yang menumpang. Karena itu terjadi perpindahan foistware ke freeware populer lain diluar freeware populer dari vendor aplikasi di atas. Salah satu situs freeware yang sangat banyak mengandung foistware adalah download.com. Beberapa foistware populer adalah babylon search, delta search, awesomehp.com dan terakhir adalah Baidu PC Faster yang terdeteksi oleh G Data sebagai Trojan Generic.9038304

Mengakali Dialog Box EULA
Bluestacks adalah program emulator Android yang memungkinkan komputer dengan OS Windows untuk menginstal dan menjalankan aplikasi Android. Program ini sangat populer digunakan oleh pengguna Windows dan termasuk ke dalam freeware. Jika anda mengunduh dan menginstal Bluestacks seperti yang dilakukan oleh tim laboratorium Vaksincom, kemungkinan besar anda akan mendapatkan program lain yang tidak diinginkan (Foistware) yang akan ikut terinstal bersama dengan Bluestacks. Salah satunya adalah yang terdeteksi oleh G Data Security Client Antivirus sebagai Trojan.Generic.9038304 (lihat gambar 1) dan lebih dikenal dengan nama Baidu PC Faster.
20140217I_baidufoistware03
Gambar 1, G Data Antivirus mendeteksi Baidu PC Faster sebagai Trojan.Generic.9038304
Jika anda cukup teliti, pada saat instalasi awal Bluestacks, keanehan mulai terlihat. Lazimnya, sebelum menginstalkan aplikasi apapun calon pengguna aplikasi harus menyetujui terlebih dahulu EULA (End User License Agreement) yang berisi pengaturan hak dan kewajiban pengguna dan pembuat aplikasi. Biasanya, jarang sekali pengguna aplikasi yang kerajinan membaca pelan-pelan EULA sampai habis sebelum mengklik kotak [I Agree] dan cenderung langsung disetujui saja. Mungkin sebabnya adalah karena panjangnya EULA, mana dalam bahasa Inggris dan formatnya bahasa hukum.

Disinilah PC Faster menjalankan salah satu triknya dimana, persetujuan instalasi Baidu PC Faster disatukan dengan persetujuan EULA. Jadi jika calon pengguna aplikasi setuju dengan EULA dan melakukan centang pada kotak yang disediakan, maka otomatis ia menyetujui instalasi Baidu PC Faster sehingga tidak ada pelanggaran hukum yang dilakukan oleh Foistware ini. (lihat gambar 2)
20140217I_baidufoistware04
Gambar 2, Persetujuan EULA BlueStacks yang disatukan dengan persetujuan instal Baidu PC Faster
Setelah komputer restart, otomatis Aplikasi Baidu PC Faster akan tampil dan menjalankan aksinya. menempatkan dirinya di desktop Windows pada (lihat gambar 3)
20140217I_baidufoistware07
Gambar 3, Aplikasi Baidu PC Faster di Desktop Windows
Anda bisa menemui temporari file malware ini di C:\Users\ComputerName\AppData\Local\Temp (lihat gambar 4)
20140217I_baidufoistware09
Gambar 4, Malware Trojan.Generic.9038304 di Local Temporary
Jika anda menggunakan G Data Antivirus, aplikasi Baidu PC Faster ini dibuka, ia akan dihentikan dan terdeteksi oleh G Data sebagai Trojan.Generic.9038304, lihat gambar 1 di atas. Sebaliknya, jika program antivirus anda memperbolehkan aplikasi ini berjalan, maka anda akan mendapatkan tampilan yang cukup menarik seperti pada gambar 5 di bawah.
20140217I_baidufoistware06
Gambar 5, Tampilan Aplikasi Baidu PC Faster
Sebenarnya aplikasi PC Faster ini cukup berguna, ia akan memonitor tingkat keamanan komputer, melihat apakah ada celah keamanan yang belum di tambal dan juga melakukan perbaikan sistem dan meningkatkan kecepatan komputer. Masalahnya adalah, selain fungsi positif tadi, Baidu PC Faster melakukan aksi lain mengubah peramban / Browser untuk merubah search engine yang terpasang pada peramban anda menjadi search B1. Jika anda menggunakan search engine Google, tampilan yang sebelumnya Google Search (http://google.com) akan berubah menjadi http://search.b1.org . (lihat gambar 6)
20140217I_baidufoistware05
Gambar 6, Search engine default anda akan diganti dengan B1
Ketika anda mencoba mencari suatu informasi ia akan memberikan hasil pencarian yang menguntungkan pembuat malware ini dan kemungkinan besar berbeda dengan hasil yang diberikan oleh search engine default anda. Sebagai perbandingan lab Vaksincom melakukan pencarian dengan kata kunci Download video youtube (lihat gambar 7)
20140217I_baidufoistware13
Gambar 7, Perbandingan hasil search engine Bi dengan Google.
Hasil yang diberikan oleh search B1 tidak memberikan langsung dimana atau bagaimana download video you tube yang dicari, malah menampilkan iklan yang “maksa” dicocok-cocokkan dengan keyword search yang kita lakukan. Dalam contoh ini ada 3 iklan tambahan yang muncul sehubungan dengan pencarian download video youtube adalah mobogenie.com, webcrawler.com dan hotelium.com yang jelas-jelas tidak ada hubungannya secara langsung dengan download video youtube. Pemasang iklan ini akan membayarkan sejumlah uang kepada B1 jika link iklan tersebut di klik. Seperti kita ketahui, Mobogenie adalah program PUP (Potentially Unwanted Program) http://vaksin.com/2014/0114/mobogenie%20PUP/mobogenie%20PUP.html

Menginstalkan Mobogenie
Aplikasi ini juga akan menginstalkan Mobogenie ini di perangkat anda. (lihat gambar 8)
20140217I_baidufoistware02
Gambar 8, Aplikasi Mobogenie yang di instalkan malware
Menurut pengetesan yang dilakukan oleh laboratorium malware Vaksincom, aplikasi ini sebenarnya mirip dengan Google Play dan pada umumnya tidak memiliki payload yang jahat. Namun menurut pengamatan dari beberapa situs malware, aplikasi Mobogenie for Windows digolongkan sebagai PUP Potentially Unwanted Program http://malwaretips.com/blogs/mobogenie-virus-removal/

Mobogenie memiliki dua versi, versi Windows yang bisa di instalkan pada komputer dan versi Android yang hanya bisa diinstalkan pada perangkat Android. Mobogenie versi Windows yang tergolong PUP ini biasanya ikut menginstalkan dirinya bersama-sama dengan freeware lainnya dan dalam pengetesan yang dilakukan oleh Vaksincom, Mobogenie dan Baidu PC Faster menginstalkan diri bersama dengan program freeware Bluestack.

Mobogenie Windows kebanyakan mendapatkan keuntungan finansial menggunakan OpenCandy, Quick Downloader dan Conduit yang dibundelkan dengan freeware populer. Mobogenie for PC dapat digunakan untuk transfer gambar antar PC dengan smartphone. Dalam banyak kasus pengguna komputer yang terinstal Mobogenie tidak merasa menginstal program ini dan tahu-tahu sudah ada di komputernya. Mobogenie tidak masuk kategori virus tetapi ia memiliki banyak aktivitas tidak menyenangkan / malicious seperti rootkit yang menanamkan dirinya sangat dalam ke dalam sistem operasi sehingga sangat sulit diuninstal, browser hijacking dan mengintervensi pengalaman pengguna demi kepentingannya. Jadi lebih tepat dikategorikan sebagai PUP Potentially Unwanted Program.

Jika anda menggunakan Baidu PC Faster dan tidak merasa terganggu dengan perubahan pada search engine yang dilakukan, harusnya tidak perlu terlalu khawatir asalkan sistem anda dilindungi dengan antivirus yang baik. Namun jika anda ingin menghilangkan Baidu PC Faster dari sistem anda, coba ikuti langkah-langkah di bawah ini.

Remove Baidu PC Faster dan Mobogenie dari komputer

  1.     Klik [Start] pilih [Control Panel]
  2.     Pilih [Programs and Features] Windows 7 atau [Add or Remove Programs] Windows XP.
  3.     Pilih Baidu PC Faster dan double klik untuk menghapus atau meremove Baidu PC Faster (lihat gambar 9)
  4.     Restart Komputer
20140217I_baidufoistware11
Gambar 9, Tampilan Baidu PC Faster dan Mobogenie di Program and Features
Cara mengembalikan settingan Browser

Untuk mengubah tampilan browser anda kembali seperti semula, anda perlu mengakses setting pada peramban anda. Dalam contoh ini Vaksincom menggunakan Google Chrome.

1. Pilih Setting Extensions dengan cara ketik: chrome://extensions pada kolom alamat browser Google Chrome dan cari extension dengan nama Improved Search 1.2 (lihat gambar 10)
20140217I_baidufoistware10
Gambar 10, Extension Improved Search yang menggantikan Google Search
2. Hilangkan Improved Search 1.2 dengan mengklik gambar tempat sampah (remove from Chrome) pada baris di sebelah kanan (lihat gambar 11)
20140217I_baidufoistware12
Gambar 11, Klik tempat sampah untuk buang Extension yang tidak diinginkan
3. Restart browser.

Untuk mengembalikan default search engine ke Google (asumsinya default search eingine anda adalah Google), lakukan langkah seperti berikut :
  1.     Pilih settings pada browser Google Chrome dengan cara ketik: chrome://settings di kolom alamat. (lihat gambar 12)
  2.     Pada Sub bagian Search klik drop down box dan pilih Google.
  3.     Klik done
  4.     Finish
20140217I_baidufoistware08
Gambar 12, Setting search pada Browser
Default search engine anda akan kembali menjadi Google. (lihat gambar 13)
20140217I_baidufoistware01
Gambar 13, Default search engine akan kembali menjadi Google
Salam,


A. R. Wicak
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: