Quick Count Malware Top Indonesia Juni 2014

17 Juli 2014
Quick Count Malware Top Indonesia Juni 2014
Ketika Malware Berkoalisi
Tidak mau kalah dengan pemilihan umum yang sedang berjalan, Vaksincom mengeluarkan data statistik persentase serangan malware di Indonesia sampai dengan pertengahan 2014. Namun data yang didapatkan meskipun mirip dengan quick count pilpres tetapi datanya bukan dari lembaga survei abal-abal dan ada data pendukung otentik berupa email yang masuk ke stat@vaksin.com. Jadi kalau ada yang ingin melakukan audit data ini masih bisa dipertanggungjawabkan :p karena data yang dijadikan rujukan oleh Vaksincom adalah data seluruh pengguna G Data Antivirus di Indonesia yang berpartisipasi dan menyediakan diri untuk memberikan laporan malware yang terdeteksi dan dihentikan G Data. Salah satu hal yang menarik dari data yang di dapatkan kali ini adalah kecerdikan kriminal melakukan eksploitasi celah keamanan. Seperti kita ketahui, salah satu jalan tol untuk menembus pertahanan komputer yang terproteksi oleh antivirus yang terupdate adalah mengeksploitasi celah keamanan. Jadi sekalipun komputer anda sudah dilengkapi dengan antivirus ternama dan terupdate, namun memiliki celah keamanan (vulnerability) yang belum ditambal (patch), maka malware tetap akan bisa menembus perlindungan tersebut dan menginfeksi komputer anda. Kabar baiknya, G Data Antivirus memiliki kemampuan anti eksploit untuk mencegah aksi ini sehingga komputer anda tetap terlindung dari eksploitasi sambil menunggu penambalan celah keamanan dilakukan. Celah keamanan sendiri bisa sangat banyak dan tersebar pada setiap piranti lunak dan kriminal akan mengincar piranti lunak dengan pengguna terbanyak dan paling mudah di eksploitasi. Dalam statistik kali ini kita melihat bahwa eksploitasi terbanyak ditujukan pada CVE.2010-2568 alias celah keamanan Shortcut yang terkandung pada Windows XP, Vista, 7, Server 2003 dan Server 2008 baik 32 maupun 64 bit disusul oleh eksploitasi pada aplikasi yang sangat populer dan banyak digunakan pengguna komputer Acrobat Reader CVE.2010-0188. Selain eksploitasi celah keamanan, beberapa aksi malware yang mengancam pengguna komputer di Indonesia dan dihentikan oleh G Data adalah Trojan, Adware dan Mobogenie. Untuk detail data quick count malware Top Indonesia s/d Juni 2014 silahkan lihat pada gambar di bawah ini (lihat gambar 1)
20140717I_quickcountmalwarejuni01
Gambar 1, Statistik Malware Indonesia s/d Juni 2014
Trojan

Menurut pantauan statistik Vaksincom, malware yang paling banyak terdeteksi sampai pertengahan tahun 2014 adalah jenis Trojan yang menguasai 24,30 % serangan malware di Indonesia. Namun kali ini bukan satu trojan yang menyerang, tidak mau kalah dengan partai politik yang melakukan koalisi, gerombolan trojan juga melakukan koalisi menyerang pengguna komputer di Indonesia seperti trojan Crypt, Autorun, Dropper, trojan Java Script dan Agent. Adapun daftar lengkap 10 trojan yang paling banyak terdeteksi menyerang pengguna komputer di Indonesia adalah :
  1.     Trojan Dropper.VHT
  2.     Trojan Generic
  3.     Trojan Heuristic
  4.     Trojan Crypt
  5.     Trojan AutorunINF, AET
  6.     Trojan Dropper Sality
  7.     Trojan.JS.Redirector
  8.     Trojan.JS.Agent
  9.     Trojan LNK
  10.     Trojan Agent
Adware

Setelah Trojan yang menguasai 24,30 % serangan malware, gerombolan siberat kedua yang terdeteksi menyerang pengguna komputer Indonesia adalah Adware yang menguasai infeksi malware Indonesia 23,83 %. Adware sejatinya adalah program untuk menampilkan iklan dan pada awalnya tidak ditujukan untuk merugikan pengguna komputer, namun di tangan kriminal adware ini digunakan untuk menampilkan iklan yang tidak diinginkan oleh pengguna komputer. Jenis adware ini ada yang ringan seperti menampilkan iklan atau pop up yang mengganggu sampai memiliki aksi seperti virus dan trojan komputer. Beberapa jenis adware memiliki kemampuan memata-matai korbannya dan sering disebut sebagai spyware. Adapun beberapa Adware yang paling sering muncul adalah NewNextMe yang tergolong PUP, sejenis Mobogenie. Diikuti oleh Adware.Agent yang memiliki kemampuan rootkit dimana sekali terinstal pada komputer, ibarat cicak basah menempel di badan anda, akarnya akan tertanam sangat dalam dan sulit sekali dibasmi. Adware.Agent biasanya terinstal pada saat anda menginstal freeware yang biasanya diunduh dari Cnet, Brothersoft atau Softonic. Selain dua adware di atas, ada adware.Graftor yang cukup berbahaya karena ia merupakan turunan dari TrojanVundo. Trojan Vundo terkenal sebagai adware yang bandel (tidak tahu malu karena tidak mau di uninstal) dan pernah menjalankan aksi memasang iklan Rogue Antivirus (antivirus palsu). Beberapa varian Vundo yang lebih jahat memiliki aksi Ddos dan mirip aksi cryptolocker menyandera data komputer korbannya untuk mendapatkan tebusan.

Adapun daftar lengkap Adware yang terdeteksi oleh G Data Antivirus sampai pertengahan tahun 2014 adalah sebagai berikut :
  1.     Adware.NewNextMe
  2.     Adware.Dropper
  3.     Adware.Gen
  4.     Adware.Agent.NSJ, OBZ, ODR, NZG
  5.     Adware.Mplug
  6.     Adware.BHO.Bprotector
  7.     Adware.Swiftbrowse
  8.     Adware.Plankton
  9.     Adware.Plush
  10.     Adware.BHO.Agent
  11.     Adware.Bettersurf
  12.     Adware.Heur
  13.     Adware.PUQG
  14.     Adware.Softango
  15.     Adware.Graftor
  16.     Adware.Strictor
  17.     Adware.Hotbar
  18.     Android.Adware.Plankton
Mobogenie 8,4 %

Mobogenie adalah produk piranti lunak dari negeri China yang dikeluarkan oleh Yang Fan Jing He Condulting Co (Beijing) dan bertujuan untuk mendapatkan keuntungan finansial menggunakan program monetisasi seperti OpenCandy dan Conduit. Program ini sebenarnya ada manfaatnya seperti transfer gambar, video dan data lain antara komputer dengan smartphone anda. Namun karena lebih banyak mudaratnya maka oleh banyak vendor sekuriti Mobogenie ini dimasukkan sebagai golongan PUP Potentially Unwanted Program. Seperti kita lihat di atas, sekalipun sudah dimasukkan ke dalam blacklist dan di deteksi sebagai malware, pembuat mobogenie ini berjuang keras menjalankan aksinya dengan mengeluarkan varian-varian baru yang sulit di deteksi. Adapun varian Mobogenie yang terpantau oleh G Data di Indonesia adalah Mobogenie J, K, L, M, O dan R. Untuk informasi lebih jauh tentang mobogenie dapat anda lihat di http://vaksin.com/2014/0114/mobogenie%20PUP/mobogenie%20PUP.html


Eksploit 6.07 %:

Setelah gerombolan Trojan, Adware dan Mobogenie. Ancaman malware yang datang bergerombol adalah eksploit. Eksploit ini sebenarnya bukan malware, melainkan aksi untuk memanfaatkan kelemahan piranti lunak yang timbul karena adanya celah keamanan yang ujung-ujungnya adalah menginstalkan malware pada komputer korbannya. Ada 3 eksploit utama yang paling sering terdeteksi oleh G Data dengan eksploit protection sebagai berikut :
  1.     Eksploit.CVE-2010-2568
  2.     Eksploit.RTL-7Zip.gen
  3.     Eksploit.JS.2010-0188.B
Eksploit CVE-2010-2568

Eksploit.CVE.2010-2568 adalah eksploit terhadap Windows Shell yang bisa mengakibatkan berjalannya eksekusi kode lain secara remote. Eksploit ini pertama kali diumumkan pada 16 Juli 2010 dan sampai saat ini masih menjadi eksploit favorit pembuat malware karena efektivitasnya. Eksploit ini juga dikenal dengan nama Eksploit LNK.Shortcut atau Shortcut Icon Loading Vulnerability. Mitigasi yang diberikan oleh Microsoft untuk mencegah eksploit ini sebenarnya cukup efektif, tetapi ada sedikit masalah kecil dan membuat tampilan komputer tidak cantik karena setelah mitigasi dilakukan banyak shortcut yang jadi tidak menampilkan iconnya lagi, termasuk menu Start dan icon Quick Launch. Celah keamanan ini akan menyebabkan kode malware berjalan cukup hanya melihat icon file .lnk yang telah dipersiapkan sebelumnya. Sebagai contoh, pada komputer yang belum di tambal, sekalipun anda sudah menonaktifkan autorun, hanya dengan mencolokkan UFD (USB Flash Disk) ke komputer dan hanya melihat isi UFD tersebut pada Windows Explorer sudah cukup untuk menjalankan kode jahat dan menyebabkan komputer anda terinfeksi malware.

Beberapa malware populer yang mengeksploit celah keamanan ini adalah virus Shortcut, LNK.Autostart, Sality dan Ramnit yang sempat merajai puncak penyebaran malware di Indonesia pada 2010 s/d 2013. Sebagai catatan, tidak ketinggalan virus Stuxnet juga mengeksploit celah keamanan ini. Salah satu penyebab eksploit ini favorit karena OS yang tercakup cukup luas seperti :
  •     Windows XP SP 3.
  •     Windows Server 2003 SP2
  •     Windows Vista SP2
  •     Windows Server 2008 SP2 – 32 bit dan 64 bit
  •     Windows Server 2008 R2 – 32 bit dan 64 bit
  •     Windows 7 32 bit dan 64 bit
Bagi anda yang tidak menggunakan G Data Antivirus dengan eksploit protection, Vaksincom menyarankan anda untuk segera melakukan penutupan celah keamanan dengan mengunduh tambalan dari MS10-046 https://technet.microsoft.com/library/security/ms10-046. G Data Antivirus dengan eksploit protection memiliki kemampuan untuk mencegah eksploitasi celah keamanan sekalipun aplikasi yang memiliki celah keamanan belum di tambal. Hal ini memberikan perlindungan ekstra sambil menunggu tambalan celah keamanan dilakukan.


Eksploit 2010-0188.B

Eksploit CVE-2010-0188.B adalah eksploit yang datang dalam bentuk file .PDF (Adobe Acrobat) yang diunduh eksploit kit Blackhole dalam rangka menyerang kelemahan pada program Adobe Acrobat. Ketika file PDF yang telah dipersiapkan sebelumnya dijalankan, Acrobat Reader akan membuka lalu menutup kembali. Seketika itu pula, file .exe yang telah dipersiapkan sebelumnya dan biasanya terkandung dalam file PDF akan dikopikan ke drive C. File exe yang dikopikan tadi akan mencoba menghubungi satu situs yang telah dipersiapkan semelumnya dan mengunduh file lain dalam bentuk JavaScript untuk dieksekusi. Adobe sudah mengeluarkan update untuk celah keamanan ini dan jika anda tidak dilindungi oleh eksploit protection Vaksincom menyarankan anda untuk segera mengaplikasikan tambalan dari http://www.adobe.com/support/security/bulletins/apsb10-07.html atau selalu menggunakan Acrobat Reader versi terbaru. Sebagai cara terbaik untuk terlindung dari eksploitasi celah keamanan, selain menggunakan perlindungan anti eksploit, anda juga harus memastikan selalu menggunakan piranti lunak yang terbaru, jadi usahakan selalu melakukan update piranti lunak jika diminta.

Adapun data lengkap malware yang terdeteksi sampai dengan pertengahan tahun 2014 oleh G Data Antivirus dapat dilihat pada tabel 1 di bawah ini :
20140717I_quickcountmalwarejuni02
Tabel 1, Tabel malware Indonesia s/d Juni 2014
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: