Membasmi Begal Gadis Mabuk

02 Maret 2015
Membasmi Begal Gadis Mabuk
Malware Gadis Mabuk sangat menjengkelkan dan melakukan aksinya dengan sangat cerdik. Pada umumnya korbannya akan mengira bahwa ia menjadi korban karena akun Facebooknya di retas dan ada orang yang melakukan posting dan melakukan tagging masal pada semua kontak Facebooknya. Namun, sekalipun password akun Facebook sudah diganti, ternyata posting Gadis Mabuk di wall Facebook korbannya akan tetap berjalan. Hal ini tentunya menjadi jelas jika anda membaca artikel Gadis Mabuk yang ternyata tidak melakukan aksinya melalui peretasan akun atau apps / aplikasi Facebook melainkan menjalankan aksinya memanfaatkan ekstensi / add ons peramban Firefox. Jadi administrator Facebook sekalipun tidak akan bisa mencegah aksi posting yang dilakukan oleh malware ini karena eksploitasi yang dilakukan memang tidak berhubungan dengan server Facebook melainkan eksploitasi ekstensi peramban Firefox. Dalam menjalankan aksinya, malware ini makin cerdik dan canggih, dimana tidak seperti varian awalnya yang menggunakan pemendek tautan goo.gl yang sering gagal memakan korban tambahan karena diblokir oleh Google, layanan pemendek tautan yang digunakan dignati menjadi adf.ly. Selain itu, eksploitasi menggunakan dropbox juga mulai dikurangi digantikan dengan adf.ly yang selama ini kurang tanggap atas eksploitasi yang dilakukan pembuat malware dan menjadi salah satu layanan pemendek tautan favorit pembuat malware. Dalam menjalankan aksinya, pembuat malware ini juga sangat rajin membuat varian baru dan sekalipun varian Gadis Mabuk awal hanya terdeteksi oleh 16 dari 57 antivirus (menurut data Virus Total) atau sekitar 20 % antivirus, ia memilih untuk membuat varian baru yang lebih sulit di deteksi dan terbukti varian baru yang dibuatnya mampu mengelabui 96 % antivirus dan hanya terdeteksi oleh dua antivirus (lihat gambar 1) pada saat artikel ini dibuat 1 Maret 2015.
20150302I_begalgadismabuk02
Gambar 1, Malware Gadis Mabuk 2.0 yang mampu tidak terdeteksi oleh 96 % antivirus
Menggunakan 5 varian berbeda ukuran

Tidak tanggung-tanggung, pembuat malware ini membuat 5 file .xpi (Cross Platform Install) atau sering di sebut Zippy file yang dapat berjalan pada produk Mozilla Firefox sebagai extensions / Add ons dengan nama yang keren dan unik sehingga tidak menimbulkan kecurigaan korbannya dengan nama Phat Play 2.1, Safe House 1.1, Secure Pack 1.1, Ultra Play 1.1 dan Security Patch 2.3 (lihat gambar 2 dan 3)
20150302I_begalgadismabuk05
Gambar 2, Nama 4 ekstensi Firefox pelaku autoposting Gadis Mabuk 2.0 di Facebook
20150302I_begalgadismabuk06
Gambar 3, Ekstensi Firefox Secure Pack 1.1 pelaku posting Gadis Mabuk 2.0
Keseriusan pembuat malware ini juga terlihat dari setiap file .xpi yang menurut pantauan lab Vaksincom memiliki ukuran berbeda-beda dimana hal ini akan mempersulit deteksi oleh antivirus meskipun semua file ini memiliki fungsi yang sama, melakukan posting Gadis Mabuk dan tagging masal pada kontak-kontak akun Facebook korbannya.

Instalasi ekstensi juga terjadi secara random dimana pada user yang satu menggunakan ekstensi Ultra Play, sedangkan pada user yang lain ekstensi yang muncul adalah Secure Pack. Aksi ini tentunya akan mempersulit identifikasi malware ini ketika menjalankan aksinya, termasuk pada saat menghapus malware ini. Saat ini Vaksincom mendeteksi ada 5 plugin yang digunakan oleh pembuat malware ini. Namun melihat rajinnya pembuat malware ini manambah ekstensi baru, Vaksincom menyarankan pada pengguna internet untuk menggunakan program antivirus yang dapat mendeteksi malware ini dengan baik, sehingga komputer dapat terlindung dari varian baru yang mungkin muncul di kemudian hari.

Mengarahkan instalasi UC Browser

Menurut pengetesan lab Vaksincom, Gadis Mabuk hanya menginfeksi dan melakukan posting ke akun Facebook dari komputer dan tidak menginfeksi / melakukan posting dari smartphone Android. Namun pembuat malware ini menggunakan perangkat Android untuk mendapatkan keuntungan finansial. Caranya adalah dengan mengarahkan korban yang mengklik postingan Facebook Gadis Mabuk dengan memberikan kesan seolah-olah harus menginstal satu aplikasi Android jika ingin melihat video Gadis Mabuk yang dijanjikan, padahal video tersebut diambil dari Youtube dan bisa dilihat dari peramban biasa. Aksi tersebut dilakukan dengan membuka Google Play dan mengarahkan instalasi peramban Android UC Browser. (lihat gambar 4)
20150302I_begalgadismabuk07
Gambar 4, Posting Gadis Mabuk yang diklik pada Android akan mengarahkan instal UC Browser
Pihak UC Browser Indonesia menyangkal keterlibatan baik langsung dan tidak langsung dengan penyebaran malware ini, namun dari pengetesan yang dilakukan oleh Lab Vaksincom pengguna Android yang megklik lead yang diberikan oleh malware ini akan menginstal UC Browser akan menambah jumlah pengguna peramban UC Browser. Sebaiknya pihak pemilik apps menolak untuk membayar lead yang diaktifkan oleh malware seperti yang dilakukan oleh Gadis Mabuk hal ini tentunya tidak akan menjadi faktor pendorong / motivasi pembuat malware karena mendapatkan keuntungan finansial dari aktivitas yang merugikan pengguna internet Indonesia. Vaksincom tidak menyarankan anda menggunakan aplikasi yang dipromosikan / lead oleh malware.

Membasmi Gadis Mabuk 2.0

Sebenarnya, jika program antivirus anda mampu melindungi komputer dengan baik, seharusnya malware Gadis Mabuk tidak akan bisa menginfeksi komputer anda dan melakukan aksi jahat ini. (lihat gambar 5)
20150302I_begalgadismabuk01
Gambar 5, G Data Antivirus dan Total Security akan melindungi selain deteksi virus, G Data Web Protection juga melindungi anda dari akses situs yang mengandung malware
Namun, jika program antivirus anda tidak mampu mendeteksi malware Gadis Mabuk, selain mengganti dengan antivirus yang mampu melindungi anda dari ancaman Gadis Mabuk 2.0, anda dapat melakukan langkah-langkah di bawah ini :
  1. Buka peramban Firefox anda.
  2. Ketik “about:addons” (tanpa tanda petik) pada kolom alamat situs yang dituju untuk membuka layar addons pada peramban anda. Lalu klik [Extensions] pada kolom kiri untuk melihat daftar ekstensi yang terinstal di peramban Firefox anda. (lihat gambar 6).
PENTING !!!
Dalam contoh ini Vaksincom memberikan 4 ekstensi / addons yang terinstal. Satu ekstensi terinstal saja sudah cukup bagi Gadis Mabuk untuk menguasai akun Facebook anda. Kemungkinan ekstensi yang terinstal tidak sebanyak yang diberikan dalam contoh, bisa satu atau dua ekstensi saja dan tidak harus ada semua. Selain 4 ekstensi ini ada satu ekstensi yang tidak terlihat dalam contoh dengan nama “Secure Pack 1.1” (lihat gambar 3 di atas).
20150302I_begalgadismabuk03
Gambar 6, Ketik “about:addons” untuk mendapatkan daftar Add-ons yang terinstal
3. Klik tombol [Remove] pada aplikasi dengan nama “Phat Play 2.1”, “Safe House 1.1”, “Security Patch 2.3”, “Ultra Play 1.1” dan “Secure Pack 1.1” untuk menghapus ekstensi jahat yang menjadi biang keladi autoposting Facebook di komputer anda. Anda akan mendapatkan layar konfirmasi seperti pada gambar 7.
20150302I_begalgadismabuk04
Gambar 7, Konfirmasi ekstensi jahat telah dihapus.
4. Restart Firefox anda dan pastikan ekstensi jahat sudah tidak muncul lagi pada “about:addons”
Salam,

Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: