Update Your Flash Player

20 Maret 2014
Update Your Flash Player
Return of the DNSChanger, Malware yang bilang Rapopo sekalipun sudah diformat
Setelah cukup lama Rapopo, para pengguna komputer dan gadget di Indonesia akhir-akhir ini sering mengalami penampakan (hal yang aneh). Setiap kali komputernya mengakses Google, Facebook dan Youtube akan menampilkan permintaan untuk Update Flash Player Pro dengan logo yang mirip Adobe Flash Player dengan pesan sebagai berikut :

Update Your Flash Player (RECOMMENDED)
  •     Download any Movie, Video, TV shows From Any Website
  •     Watch any Video in Full 1080i HD
  •     Faster Playback and Streaming in Firefox, Chrome and Internet Explorer
  •     Total Privacy. Prevent Others From Tracking What You are Watching (lihat gambar 1)
20140320I_updateflashplayer01
Gambar 1, Permintaan untuk update Flash Player setiap kali mengakses Google, Facebook dan Youtube
Tombol yang tersedia hanya dua [Install] dan [Remind me later]. Asal tahu saja, tombol manapun yang anda pilih akan mengakibatkan peramban anda mengunduh program setup.exe yang jika dijalankan akan membuat komputer anda tidak bisa bilang Rapopo lagi karena akan terinfeksi malware. G Data Antivirus mendeteksi malware ini sebagai Trojan.GenericKD.1602846.

Tidak hanya OS Windows dan Android tetapi semua perangkat
Hebatnya hal ini tidak hanya terjadi pada OS Windows yang sering menjadi incaran malware. Peringatan ini juga muncul pada perangkat Android. Tentunya ada sebagian orang yang langsung menebak, mungkin malware ini juga sudah memiliki varian di Android sehingga bisa menjalankan aksinya di sistem operasi Android. Namun kalau Vaksincom informasikan bahwa malware ini juga muncul di Mac OS dan Linux, apakah anda masih bilang Rapopo ? Bagaimana dengan program antivirus ? Apakah bisa mengatasi masalah ini ? Kabar buruknya, program antivirus juga bilang Rapopo dan tidak bisa melakukan apa-apa dalam mengatasi masalah ini. Kalau begitu, bagaimana kalau kita keluarkan senjata pamungkas yang paling ditakuti malware, Pasopati alias format ulang. Malware sesakti apapun tentunya akan tamat riwayatnya jika harddisk di format ulang dan OS di instal ulang. Namun, berbeda dengan malware lain yang bisa dikalahkan dengan jurus Pasopati (termasuk pemilik komputer yang mungkin nangis-nangis karena harus instal ulang semua aplikasinya), malware ini cuma bilang Rapopo alias ngga apa-apa dan dengan santai dia akan muncul setelah komptuer anda format setiap kali anda mengakses Google, Facebook dan Youtube.

Bagi anda yang cukup paham dengan cara kerja komputer dan jaringan, mungkin sudah mulai bisa menduga-duga apa yang kira-kira sedang terjadi. Perangkat yang mengakses situs Google, Facebook dan Youtube tidak terinfeksi secara langsung dan pasti ada perangkat lain yang berhasil dikuasai oleh malware ini dan menjalankan aksinya seperti di atas. Jadi komputer, smartphone dan perangkat lain yang Rapopo dan justru perangkat router internet yang popo.


Router ibarat kokpit pesawat
Jika ada malware berhasil menguasai router. Lalu jaringan komputer dan internet anda di ibaratkan pesawat terbang. Maka dapat dikatakan kalau kokpit pesawat sudah berhasil dikuasai oleh malware dan seluruh perangkat yang terhubung ke internet, baik komputer, smartphone, TV internet dan lainnya ibarat hanya penumpang saja dan tidak bisa apa-apa dan pasrah saja kemana si pilot di kokpit mengarahkan pesawatnya. Jika pilot beritikad tidak baik, maka para penumpang tentu akan ikut celaka. Dalam hal ini diarahkan ke situs phishing tanpa disadari oleh pengakses internet. Dalam kasus di atas, akses ke Google, Facebook dan Youtube dialihkan ke IP lain untuk mengunduh Flash Player gadungan. Perlu anda cermati dalam gambar 1 di atas bahwa alamat situs tidak berubah facebook.com namun sebenarnya anda tidak mengakses IP server Facebook tetapi mengakses IP server lain karena DNS server di router anda telah dirubah. Asal tahu saja, hal di atas masih tidak terlalu buruk dalam artian tidak mengakibatkan kerugian finansial langsung. Namun kerugian finansial terdeteksi oleh CERT Polandia dimana pelanggan dari 5 bank di Polandia di incar oleh salah satu DNS server palsu ini. Untuk memberikan sedikit gambaran Vaksincom memberikan skenario di bawah ini.

Sebagai contoh, jika komputer mengakses situs internet banking dan sudah menjalankan semua tips dari bank seperti :
  •     Mengakses alamat situs yang benar dan tidak salah ketik
  •     Memperhatikan sertifikat keamanan situs dan ada gambar gembok / kunci
  •     Sudah menggunakan program antivirus
Namun karena DNS router sudah dikuasai kriminal, maka sekalipun sudah mengetikkan alamat situs bank yang benar, akses tetap akan dialihkan oleh DNS server tersebut ke situs phishing yang telah dipersiapkan dan jika pembuat situs phishing memiliki ketrampilan tinggi dalam membuat sithus phishingnya, secara kasat mata akan sangat sulit dibedakan dan mayoritas pengakses internet akan tertipu, termasuk memunculkan gambar gembok atau menjalankan https di situs phishingnya. Yang membedakan sebenarnya adalah IP situs yang diakses dimana jika IP internet banking yang seharusnya diakses adalah 202.1.2.3 namun dialihkan oleh server DNS palsu ini ke alamat IP yang lain EG : 65.1.2.3. Hal ini sama sekali tidak akan tampak dan pengguna internet banking akan tetap mendapatkan tampilan alamat internet banking yang diaksesnya Rapopo. Persis seperti situs Facebook.com yang diakses pada gambar 1 di atas dimana alamat situs tetap Facebook.com tetapi karena DNSnya sudah dikuasai kriminal, akses dialihkan ke IP lain yang telah dipersiapkan.

Reset Router Anda
Lalu, kalau komputer di jaringan anda sudah mengalami hal ini, apa yang harus dilakukan ?

Jika anda pelanggan Vaksincom silahkan hubungi info@vaksin.com untuk mendapatkan support bantuan langsung. Jika anda memiliki cukup pengetahuan dan ingin melakukan sendiri anda dapat melakukan hal di bawah ini :
  •     Akses router anda.
  •     Reset router ke factory default.
  •     Ganti password router.
  •     Rubah IP Router dan tidak disarankan menggunakan IP default yang digunakan router
  •     Update firmware router.
Laboratoriun Vaksincom sedang melakukan pengetesan intensif terhadap malware ini dan akan terus memberikan informasi lebih lanjut mengenai bagaimana infeksi terjadi, router apa saja yang terinfeksi dan bagaimana mencegahnya.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: