Happy Images

09 Mei 2014
Happy Images
Malware FBChat yang sulit di deteksi antivirus
Para pengguna Facebook harap berhati-hati jika menerima FB Chat dari siapapun, baik itu teman, pacar, istri atau keluarga anda. Khususnya jika pesan yang dikirimkan adalah tautan / link yang jika di klik akan menyebabkan pengunduhan file. (lihat gambar 1)
20140509I_happyimages04
Gambar 1, FBChat yang menuntun pada instalasi program jahat
Jika anda tertipu dan menjalankan file yang diunduh, malware akan menginfeksi komputer anda dan akan melakukan banyak aksi-aksi jahat dan tidak terduga seperti mengunduh file lain dan menjalankannya, termasuk menggunakan akun Facebook anda untuk mengirimkan link berisi malware ke kontak-kontak Facebook anda melalui FBChat. Kabar baiknya, malware ini hanya berjalan di komputer yang menjalankan OS Windows dan tidak bisa berjalan di perangkat Android. Kabar buruknya, malware ini memiliki kemampuan untuk membuat varian baru dengan sangat cepat dan cukup sulit terdeteksi dengan sempurna oleh program antivirus. Pada saat pengetesan, sangat sedikit program antivirus yang mampu mendeteksi malware ini. Menurut data VirusTotal, per 7 Mei 2014 hanya 10 dari 52 merek antivirus yang mampu mendeteksi malware ini atau 19 % merek antivirus yang mampu mendeteksi malware ini, sedangkan sisanya 42 merek antivirus atau 81 % tidak mampu mendeteksi malware ini. Antivirus yang mampu mendeteksi malware ini antara lain :
  •     AVG
  •     AhnLab
  •     Gdata
  •     Malwarebytes
  •     McAfee
  •     Qihoo
  •     Sophos
  •     Trend Micro
dan sisanya tidak mampu mendeteksi malware ini. (lihat gambar 2)
20140509I_happyimages02
Gambar 2, Hanya 19 % antivirus yang mampu mendeteksi malware ini
Jika anda pengguna antivirus G Data, teknologi Behavior Monitoring G Data mampu mendeteksi dan mencegah aksi malware ini tanpa update. Dengan update terbaru, G Data mendeteksi malware ini sebagai Win32.Trojan-Dropper.Injector.AP.

Aksi Malware
Jika korbannya melakukan klik pada tautan yang diberikan maka ia akan otomatis melakukan pengunduhan file. Adapun nama file yang diunduh sudah direkayasa sedemikian rupa seakan-akan file gambar JPG yang tidak berbahaya. Padahal file tersebut memiliki ekstensi ganda .exe. (lihat gambar 3)
20140509I_happyimages09
Gambar 3, File malware yang disamarkan seolah-olah gambar
Pada saat ini, ada dua domain yang menjadi domain tautan link pengunduhan malware, yaitu :
  •     disaronno.com
  •     silutesnaujienos.lt
Namun alamat halaman situs kelihatannya dibuat acak dan bervariasi. Selain itu, file malware selain disimpan di situs yang (kemungkinan besar) berhasil di hack dan digunakan untuk hosting file malware juga disimpan di 4shared. Jadi jika dilakukan pemblokiran atas dua situs di atas, dengan mudah pembuat malware ini memindahkan hosting malwarenya apakah ke situs lain atau file server lain dan mengupdate informasi ini ke malwarenya yang secara otomatis akan mengubah alamat ini pada pesan FBChat yang dikirimkan. Adapun beberapa variasi nama file yang digunakan oleh malware ini adalah (lihat gambar 4) :
  •     HOT_IMAGE_ALBUM_SHARED_001.JPG.exe
  •     CUTE_PHOTO_COLLECTION_IMG912.JPG.exe
  •     Photo_Image_Collection_Album_001.JPG.exe
20140509I_happyimages03
Gambar 4, Tampilan file malware yang menggunakan ekstensi ganda untuk mengelabui korbannya
Dengan ukuran 96 KB dan 192 KB. Meskipun semua file ini .exe, namun pada banyak komputer ekstensi .exe akan tidak ditampilkan dan file-file di atas akan terlihat seperti file gambar dengan ekstensi .JPG.

Jika korbannya tertipu dan menjalankan file ini maka malware ini akan menginfeksi komputernya dan dampak yang terjadi cukup memprihatikan, komputer yang terinfeksi akan melakukan pengiriman tautan dari akun Facebook apapun yang terbuka. Bahkan jika satu komputer membuka beberapa akun Facebook yang berbeda (dengan peramban yang berbeda), semua akun Facebook tersebut akan diperintahkan untuk mengirimkan FBChat dengan tautan malware ke kontak-kontak Facebooknya secara berkala. (lihat gambar 5)
20140509I_happyimages08
Gambar 5, Aksi malware mengirimkan FBChat untuk menginfeksi komputer pengguna Facebook lain
Behavior Monitoring

Anda boleh berlega hati jika program antivirus anda memiliki kemampuan Behavior Monitoring seperti G Data, karena sekalipun anda mencoba menjalankan program ini. Tanpa mengenali malware ini secara definisi (update) G Data dapat mendeteksi ancaman ini sebagai unknown threat dan menyarankan penggunanya untuk menghentikan program ini (lihat gambar 6)
20140509I_happyimages07
Gambar 6, G Data mendeteksi happy_images_2014_jpg.exe sebagai program berbahaya
Sedangkan dengan G Data yang terupdate, malware ini terdeteksi sebagai Virus:Win32.Trojan-Dropper.Injector.AP (lihat gambar 7)
20140509I_happyimages05
Gambar 7, G Data update terbaru mendeteksi malware ini dan file yang ditanamkannya sebagai Injector.AP
Tidak terjalan di android

Karena file .exe yang tidak kompatibel dengan perangkat Android, maka pengguna Android saat ini cukup aman dari infeksi malware ini (lihat gambar 8).
20140509I_happyimages06
Gambar 8, Malware ini hanya berjalan pada OS windows dan tidak bisa berjalan di Android
Namun tidak tertutup kemungkinan di masa depan jika program yang dibuat dapat dijalankan pada smartphone, maka para pengguna smartphone harus berhati-hati untuk tidak sembarangan mengklik dan menjalankan tautan apapun yang diberikan sekalipun dari kontak Facebook anda yang terpercaya.

Cara membasmi malware ini

Jika anda terinfeksi malware ini dan antivirus yang anda gunakan tidak bisa mendeteksi dan membersihkan malware ini, anda dapat menggunakan G Data Antivirus Trial yang dapat anda unduh dari http://www.virusicu.com/product/antivirus2014.php. Instal G Data Antivirus dan update dengan definisi terbaru. Lalu scan dan bersihkan malware ini. (lihat gambar 9)
20140509I_happyimages01
Gambar 9, Basmi malware ini secara tuntas dengan G Data Antivirus
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: