Siapa dibalik penyebaran video porno Rihanna dan Kim Kardashian?

04 Maret 2013
Siapa dibalik penyebaran video porno Rihanna dan Kim Kardashian?
Google Plus dan Youtube juga jadi sarana penyebaran Malware
Ada gula ada semut, gula-gulanya kali ini adalah para pengguna media sosial terutama Facebook yang mengira ditawari “gula-gula” video porno Rihanna dan Kim Kardashian, sebaliknya sebenarnya merekalah yang menjadi gula-gula alias menjadi korban malware. Perkembangan terakhir yang yang dipantau Vaksincom memperlihatkan bahwa selain Facebook, pada kriminal juga mulai memanfaatkan Google +, Youtube dan dikombinasikan dengan URL Shortener untuk menyamarkan alamat asli situs penyebar malware dan disempurnakan dengan eksploitasi program populer “AVS Media Player.exe” palsu yang dirancang sedemikian rupa untuk mengelabui calon korbannya guna mengunduh dan menjalankan file yang jelas-jelas berbahaya. Lalu bagaimana ia memancing korbannya untuk menjalankan file tersebut ? Salah satu cara yang terbukti efektif adalah rekayasa sosial memanfaatkan figur publik khususnya gula-gula selebriti dan tidak jauh-jauh pancingan video sex vulgar. Beberapa nama selebriti yang sempat digunakan adalah Kim Kardashian dan Rihanna (lihat gambar 1)
20130304I_sexyrihanna01
Gambar 1, Posting pancingan video sex gula-gula Rihanna di Facebook (sumber http://thatsnonsense.com/blog/facebook-hit-by-rihanna-sex-tape-spam/)
Yang dalam waktu 3 X 24 jam dari kemunculannya langsung dibasmi oleh administrator Facebook dari seluruh wall korbannya dan saat artikel ini dibuat sudah hilang tak berbekas :). Namun hal yang patut diwaspadai adalah para kriminal tinggal mencari nama selebriti lain dimana meskipun metoda yang digunakan adalah lagu lama tetapi konyolnya tetap memakan korban. Selain karena rasa keingin tahuan korbannya, salah satu sebab lainnya adalah aplikasi yang digunakan “AVS Media Player.exe” palsu yang ternyata sampai saat artikel ini dibuat tidak dapat terdeteksi dengan baik oleh mayoritas program antivirus.

Memanfaatkan Google +, URL Shortener dan Youtube
Selain memanfaatkan platform media sosial semilyar umat Facebook, para pembuat malware juga mulai memanfaatkan Google + (lihat gambar 2)
20130304I_sexyrihanna03
Gambar 2, Jaringan Google Plus mulai diincar untuk menyebarkan malware
Dan You tube dalam menjalankan aksi jahatnya. Hebatnya, pemanfaatan media sosial tersebut dapat dilakukan secara independen dan tinggal diintegrasikan dimana satu dengan lainnya dimana sekalipun posting pancingan instalasi yang mengarah ke situs instalasi malware di Facebook sudah dimatikan oleh administrator Facebook, tetapi posting di Google Plus atau media sosial lainnya tetap aktif termasuk akun di situs Youtube yang digunakan untuk menyebarkan link asli malwarenya (lihat gambar 3).
20130304I_sexyrihanna05
Gambar 3, Selain Google +, pembuat malware juga memanfaatkan akun di Youtube untuk menyebarkan informasi link infeksi malware.
Sebenarnya file video yang diunggah ke Youtube tersebut bukan file video sex yang dijanjikan dan hanya merupakan sarana iklan untuk menginformasikan alamat URL yang sebenarnya yang beralamat di hdmoviesp**l.com. Karena URL master masih aktif, kriminal tinggal merubah tema rekayasa sosial dan sarana penyebaran malware ini dan dengan bantuan URL Shortener (pemendek URL) korbannya tidak akan dapat melihat dimana alamat sebenarnya yang dituju dan kemunculan versi lain dari video yang mengarahkan korbannya untuk mengunduh codec malware ini tinggal menunggu waktu sehingga para pengguna media sosial dan internet harus waspada dengan tawaran instalasi codec atau program tambahan yang tidak dikenal yang mampu mengelabui deteksi 90 % produk antivirus.

Jika alamat tersebut di klik, maka ia akan membawa korbannya ke situs penyebar malware yang sudah dipersiapkan dengan baik hdmoviesp**l.com yang menjanjikan korbannya untuk bisa mengunduh segudang film-film dalam kualitas HD, dimana sebelumnya diharuskan mengunduh codec (yang sebenarnya tidak diperlukan dan sebaliknya malah berbahaya karena mengandung adware) dengan nama “AVS_Media_Player.exe”. (lihat gambar 4)
20130304I_sexyrihanna02
Gambar 4, Jika anda tertarik untuk mengunduh film yang dijanjikan, anda harus mengunduh codex dengan nama “AVS_Media_Player.exe”
Menurut pantauan Vaksincom, AVS Media Player sebenarnya merupakan program keluaran Online Media Technologies www.avsmedia.com yang berukuran 82 MB dan memang berfungsi untuk membuka file AVI, MPEG, WMV, MP4, DVR-MS, MKV, FLV, OGG dan lainnya dan bisa didapatkan dari Cnet, Softpedia dan merupakan aplikasi yang tidak berbahaya dengan nama file “AVSMediaPlayer.exe” dan dapat di unduh dari http://download.avsmedia.com/distributives/AVSMediaPlayer.exe. Tetapi file “AVS_Media_Player.exe” yang ditawarkan oleh situs hddmoviesp**l.com ini hanya berukuran 258 KB dan melakukan banyak kegiatan jahat. Hebatnya aplikasi malware ini sampai saat artikel ini dibuat masih belum terdeteksi dengan baik oleh program-program antivirus (menurut pengetesan yang dilakukan pada Virus Total www.virustotal.com) dan hanya terdeteksi oleh kurang dari 10 % dari program-program antivirus. (lihat gambar 5)
20130304I_sexyrihanna06
Gambar 5, Malware ini hanya terdeteksi oleh kurang dari 10 % dari program antivirus yang dipindai oleh virus Total pada 3 Maret 2013.
Norman Virus Control mendeteksi malware ini sebagai winpe/Solimba.EDRK (lihat gambar 6)
20130304I_sexyrihanna04
Gambar 6, Norman Virus Control mendeteksi malware ini sebagai winpe/Solimba.EDRK
Adapun kemungkinan nama lain yang sering digunakan oleh malware ini adalah :
  1.     AVS Media Player.exe
  2.     codecupdatechange.exe
  3.     AVSMediaPlayer.exe
  4.     AVS%20Media%20Player.exe
  5.     AVS%20MediaPlayer.exe
  6.     AVS_Media_Player.exe
  7.     AVSMediaPlayer.exe
  8.     AVS
Adapun Solimba sendiri adalah aplikasi adware yang akan berusaha menginstalkan aplikasi pihak ke tiga yang akan berusaha menjalankan file dari jaringan. Perkembangan terakhir yang mengkhawatirkan adalah ia akan mengumpulkan data dari komputer korbannya. Ia mampu berjalan pada OS Windows 2000 sampai Windows 7. 
Salam,

Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: