JS:Redirector-PV (JS:Pdfka-gen)

13 Maret 2012
JS:Redirector-PV (JS:Pdfka-gen)
Virus Email pengeksploitasi 4 celah keamanan Adobe Acrobat
“Dahulu kala”, email sempat menjadi sarana penyebaran virus yang paling efektif dan dominan. Dari virus Melissa, I Love You, Sircam, Nimda dan Klez yang semuanya merupakan jawara virus pada zamannya semuanya memanfaatkan email sebagai sarana utama untuk menyebarkan dirinya. Hal ini disebabkan karena email secara de facto sudah menjadi sarana komunikasi yang handal, efisien dan dimiliki oleh banyak pengguna internet. Dapat dikatakan email pada zamannya sudah menjadi killer application di internet. Namun seiring dengan perkembangan internet yang sangat cepat, khususnya web 2.0 dan Smartphone, kelihatannya email sudah mendapatkan pesaing . Ibarat serangan K-Pop yang pelan secara sangat cepat menjalari seluruh penggemar lagu ABG masa kini, malware kini mulai rame-rame beralih mengeksploitasi Facebook dan OS Android. Namun, jangan remehkan email karena secara de facto, email merupakan alat komunikasi resmi yang diakui oleh korporat dan saat ini kelihatannya korporat belum ada yang menggantikan alamat emailnya dengan alamat Facebooknya. Pada artikel di bawah ini, terlihat bahwa pembuat virus yang memanfaatkan email untuk menyebarkan dirinya ternyata juga sadar akan kondisi hari ini dan selain memanfaatkan html, virus yang terdeteksi oleh G Data sebagai JS.Redirector ini mengeksploitasi celah keamanan Adobe Acrobat dan tidak tanggung-tanggung 4 celah Adobe Acrobat. Adapun email yang memalsukan dirinya seakan-akan dari Xerox ini adalah sebagai berikut : (lihat gambar 1 di bawah)

======Contoh Email======
Please open the attached document. It was scanned and sent
to you using a Xerox WorkCentre Pro.

Sent by: JACQULINE
Number of Images: 8

Attachment File Type: .HTML [Internet Explorer Format]

Xerox WorkCentre Location: machine location not set
Device Name: XEROX5378OD1ID056
======Akhir dari contoh email======
20120313I_redirectoreksplitasi01
Gambar 1, Redirector yang menyebar melalui email dalam lampiran .htm 
Redirector akan datang sebagai email yang dikirimkan secara otomatis oleh "Xerox WorkCentre Pro" dan menyertakan lampiran file htm. Karena menyamarkan diri dalam lampiran .htm, program email gratis Gmail yang terkenal konservatif dalam memblok lampiran email bervirus (dimana lampiran .zip dan .rar yang berpassword sekalipun diblok oleh mailserver Gmail) meloloskan lampiran .htm ini. Padahal jika dijalankan ia akan mengeksekusi rutin instalasi virus.

Jika anda mendapatkan e-mail tersebut, sebaiknya anda perlu berhati-hati karena Vaksincom telah mendeteksi varian ini yang menyebar dengan cepat sejak Februari dan teridentifikasi oleh G Data Antivirus sebagai Trojan JS:Redirector-PV, JS:Trojan.JS.Agent.AT atau JS:Pdfka-gen. (lihat gambar 2 dan 3)
20120313I_redirectoreksplitasi02
Gambar 2, G Data Antivirus mendeteksi virus ini sebagai JS:Trojan.JS.Agent.AT 
20120313I_redirectoreksplitasi03
Gambar 3, Nama lain virus ini adalah JS:Pdfka.gen atau JS:Redirector.PV 
Sejarah Redirector
Trojan JS:Redirector-PV merupakan salah satu varian malware jenis scam yang mencatut mesin "Xerox WorkCentre Pro". Malware jenis ini menyebar memanfaatkan penggunaan e-mail yang disertai attachment malware.

Malware scam "Xerox WorkCentre Pro" sebenarnya sudah teridentifikasi varian awalnya sejak pertengahan 2010. Saat itu varian malware ini menyebar lewat e-mail dengan pesan yang berisi attachment trojan yang sudah di-kompres (ZIP). Di dalam file kompresi tersebut berisi file dengan dobel extension “doc.exe

Varian malware yang ke-2 menyebar dan teridentifikasi pada bulan Februari/Maret 2011. Varian ini menyebar dengan memanfaatkan celah keamanan dari PDF (Adobe Reader) dan javascript, bahkan ada 4 celah keamanan yang berhasil dimanfaatkan yaitu : CVE-2007-5659, CVE-2008-2992, CVE-2009-0927 and CVE-2009-4324. (lihat gambar 4)
20120313I_redirectoreksplitasi04
Gambar 4, Varian awal Redirector di awal 2011
Sedangkan varian ke-3 malware “Xerox WorkCentre Pro” menyebar (juga pada bulan Juli/Agustus) 2011 dengan teknik dan metode yang sama persis seperti jenis yang pertama.

Ke-3 jenis malware scam "Xerox WorkCentre Pro" ini di-identifikasi oleh berbagai antivirus dengan nama Oficla, Bredolab dan Dofoil.

Sedangkan varian ke-4 yang saat ini (juga sama menyebar bulan pada Februari / Maret 2012) menyebar menggunakan metode yang sama tetapi jenis yang berbeda yaitu dengan memanfaatkan penggunaan attachment .htm (javascript). Varian ini teridentifikasi sebagai JS:Redirector-PV atau JS:Pdfka-gen. Varian ini ternyata juga memanfaatkan celah keamanan dari PDF.

Dampak/Akibat Trojan JS:Redirector-PV
Beberapa dampak/akibat jika anda sudah terinfeksi Trojan JS:Redirector-PV yaitu sebagai berikut :

  • Membuka page loading & PDF yang error
Setelah anda melakukan klik pada e-mail yang mengandung attachment malware tersebut, anda akan dibawa mengkases sebuah URL yang ternyata menuju ke Remote Server. Saat sudah terkoneksi anda pun seolah-olah komputer akan mencoba menjalankan file PDF yang telah didownload pada URL tersebut. Dan ternyata file PDF tersebut error dan tidak bisa dibuka. Hal ini merupakan trik dari pembuat malware untuk menyusupkan malware kedalam komputer korban. (lihat gambar 5)
20120313I_redirectoreksplitasi05
Gambar 5,Trik malware untuk menyusupkan diri ke sistem anda 
  • Melakukan koneksi ke Remote Server
Trojan JS:Redirector-PV berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan berbagai macam port pada IP-IP tertentu seperti : (lihat gambar 6)
46.105.97.103, 46.137.251.11, 50.31.1.105, 50.57.77.119, 50.57.118.247, 50.76.184.100, 68.232.44.119 69.60.117.183, 72.22.83.93, 78.83.233.242, 78.159.118.226, 87.120.41.155, 88.191.97.108, 93.189.88.198, 95.156.232.102, 98.158.180.244, 111.94.254.10, 111.94.254.18, 111.94.254.24, 173.203.51.174, 173.255.229.33, 174.122.121.154, 184.106.151.78, 184.106.237.210, 190.106.129.43, 200.169.13.84, 204.12.252.82, dll
20120313I_redirectoreksplitasi06
Gambar 6, Aksi Redirector mengirimkan informasi ke Remote Server. 
  • Komputer menjadi lambat
Jika anda sudah terinfeksi, komputer akan mencoba melakukan koneksi ke remote server secara terus menerus hal ini yang membuat komputer anda akan terasa lambat. Dengan begitu, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer.

  • Mendownload malware
Selain melakukan koneksi ke remote server, Trojan JS:Redirector-PV juga melakukan download malware agar komputer pengguna terinfeksi tidak mudah dibersihkan oleh antivirus. File-file malware yang di-download umumnya berupa script yang telah dimanipulasi (jar, swf, class, php). (lihat gambar 7)
20120313I_redirectoreksplitasi07
Gambar 7, Aksi redirector download malware. 
  • Mendownload file malware PHP/PDF
Sama seperti Trojan “Xerox WorkCentre Pro” varian ke-2, malware ini mendownload file PHP & PDF yang ternyata modifikasi script malware. File PHP & PDF ini berisi file kosong yang ternyata aktif dengan memanfaatkan celah keamanan dari PDF yaitu : CVE-2007-5659, CVE-2008-2992, CVE-2009-0927 dan CVE-2009-4324. (lihat gambar 8)
20120313I_redirectoreksplitasi08
Gambar 8, Malware ini mengeksploitasi 4 celah keamanan Adobe Acrobat 
File Trojan JS:Redirector-PV
Trojan JS-Redirector-PV merupakan attachment malware scam dari e-mail, yang memiliki ciri-ciri sebagai berikut : (lihat gambar 9)
  •     Berukuran 3 kb
  •     Type file “HTML Document”
  •     Ber-ekstensi “htm”
20120313I_redirectoreksplitasi09
Gambar 9, File malware Redirector dalam bentuk .htm 
Setelah attachment tersebut dijalankan, maka akan mendownload beberapa malware yaitu :
  •     Aublbzdni.php
  •     dwhnfphlflcrymj7.php (file PHP sendiri tidak berbeda dengan file PDF)
  •     gugvyoknarjmesf.pdf
Setelah dieksekusi file PHP/PDF tersebut ternyata mengextract malware lain pada lokasi :
  •     C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll
  •     C:\a4c5984e10.exe (malware FakeAV)
File malware FakeAV tersebut juga akan mengextract menjadi beberapa file :
  •     C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\POS1.tmp
  •     C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\POS1.tmp.BAT
  •     C:\Documents and Settings\Administrator\Application Data\KB00159637.exe
Metode Penyebaran Trojan JS:Redirector-PV
Sesuai dengan kategori malware-nya, Trojan JS-Redirector-PV melakukan media penyebaran melalui trafik e-mail dengan mengirimkan scam email yang memiliki attachment malware. Walaupun begitu tidak tertutup kemungkinan Trojan ini juga dapat menyebar melalui milis, forum / blog yang menyediakan komen atau post yang dapat dilakukan dengan menyebarkan link URL.

Pembersihan Trojan JS:Redirector-PV

1. Putuskan koneksi jaringan/internet.

2. Lakukan pembersihan trojan pada mode “safe mode”. Untuk masuk pada mode “safe mode”, tekan tombol F8 pada keyboard saat komputer dinyalakan.

3. Matikan dan hapus trojan JS:Redirector-PV. Download dan scan menggunakan removal tools berikut untuk membersihkan trojan, dapat anda download pada URL berikut :


4. Bersihkan temporary file dari jejak trojan JS:Redirector-PV.

Lakukan langkah-langkah berikut :
  • Klik Menu Start -> Run
  • Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
  • Pada drive system (C) klik OK, biarkan proses scan drive.
  • Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
  • Tunggu hingga selesai.
5. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali malware ini dengan baik. 
Salam,

Adi Saputra
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: