Facebot menantang Facebook

10 September 2012
Facebot menantang Facebook
Hati-hati dengan file dari devora**n.com
Menurut pantauan Vaksincom, virus Facebot yang memiliki nama resmi IRCbot.CMBJ yang sebenarnya merupakan virus yang menyebarkan diri melalui IRC dan messenger, namun bermetamorfosis menyebarkan diri melalui Facebook Chat dan karena jumlah pengguna Facebook yang awam jauh lebih banyak daripada IRC dan messenger dan banyak sekali yang awam dan belum memiliki kebiasaan sekuriti yang baik karena selama ini dilindungi oleh administrator Facebook dari ancaman app jahat maka korban yang berjatuhan sangat banyak karena virus yang satu ini tidak menggunakan apps melainkan menginfeksi komputer korbannya dan menjadikannya sebagai sarana penyebaran virus melalui FB Chat. Menurut pantauan Vaksincom, selama akhir minggu tanggal 8-9 September 2012 tercatat Facebot mengubah minimal dua kali perubahan situs hosting virusnya. Kalau varian awal file virus dimasukkan ke situs berbagi file www.sendspace.com, varian berikutnya kemudian mengubah lokasi penyimpanan file virus ke www.ipic-uk.com, situs penjual frame foto magnetik yang memberikan fasilitas mengupload foto. Belum puas mengeksploitasi www.ipic-uk.com untuk menyebarkan dirinya, lalu Facebot kembali mengeksploitasi situs majalah dewasa Spanyol www.devora**n.com dan menempatkan file virusnya di situs tersebut. Selain mengubah lokasi “hosting” file virusnya, Facebot juga cukup cerdik menggunakan nama acak dan ukuran file yang berbeda-beda sehingga sangat menyulitkan untuk diblok berdasarkan nama file, hash md5 atau ukuran file. Saat ini, satu-satunya cara yang efektif adalah mengandalkan proteksi antivirus yang anda miliki (khusus pengguna OS Windows) jika anda memang “gatal” dan sembarangan mengklik file yang dikirimkan kontak Facebook anda. Namun sebenarnya, jika penerima file tidak menjalankan file yang dikirimkan oleh Facebot, maka virus ini tidak akan bisa menjalankan aksinya dan penyebarannya terhenti.

Sukses menggunakan devora**n

Penyebaran Facebot menggunakan sendspace dan ipic-uk.com tercatat mencatat korban yang cukup tinggi, namun dari data yang dikumpulkan oleh Vaksincom, penyebaran virus ini melalui devora**n mencapai tingkat yang sangat tinggi dan merata. Baik di negara Eropa khususnya Spanyol, Amerika, , Timur Tengah, India, China, Vietnam sampai Indonesia dan sangat aktif menyebarkan dirinya smapai saat artikel inidibuat. (lihat gambar 1)
20120910I_facebootvsfb01
Gambar 1, Facebot memanfaatkan situs dewasa Spanyol devora**n untuk menyebarkan dirinya

Menantang Facebook

Bukan Facebook namanya kalau tidak turun tangan membantu penggunanya. Menurutp antauan Vaksincom, administrator Facebook bekerja keras melakukan blokir atas nama-nama file yang disebarkan oleh Facebot setiap kali ada laporan dari pengguna Facebook. (lihat gambar 2)
20120910I_facebootvsfb02
Gambar 2, Facebook secara proaktif berusaha membantu memblokir link penyebaran virus.


Kalau virus ini beraksi di apps Facebook, kita sudah tahu akhir ceritanya, kemenangan akan ada di tangan administrator Facebook karena apps yang menyebarkan virus akan langsung di Boom Shakalaka (alias di delete / di nonaktifkan oleh administrator Facebook). Namun kali ini ceritanya lain, sumber infeksi virus bukan di apps Facebook tetapi ada di komputer korbannnya yang notabene diluar jangkauan adminstrator Facebook. Jadi setiap kali satu link diblokir oleh Facebook, maka dalam waktu yang singkat akan muncul link random lain untuk di klik oleh korbannya. (lihat gambar 3)
20120910I_facebootvsfb03
Gambar 3, Setiap kali satu link diblokir oleh Facebook, virus ini membuat link baru


Yang dibutuhkan oleh virus ini hanyalah rekayasa sosial yang tepat sehingga korbannya yang menerima link ini akan berkata “Wow ... Fantastic Baby” dan mengklik link yang diberikan. Kelihatannya trik ini sudah berhasil dijalankan dengan menggunakan situs devora**n sebagai host dari file ini. Bagi penggemar konten dewasa, kemungkinan besar akan tertarik jika mendapatkan file apapun dari situs dewasa seperti Playboy, Penthouse dan devora**n. Namun celakanya bukan Wow, Fantastic Baby yang didapatkan oleh korban yang menjalankan file yang dikirimkan melainkan ia akan mendapatkan “Bad Boy dan Bad Girl” pada komputernya karena sekali dijalankan ia akan menginfeksi komputer korbannya, mendelete dirinya sendiri sehingga sulit di deteksi dan mulai menyebarkan dirinya melalui FB Chat ke seluruh kontak-kontak Facebook anda melalui Facebook Chat.

Analisa lebih jauh dan detail tentang virus ini akan terus dilakukan. Vaksincom mengingatkan anda untuk menggunakan program antivirus yang dapat mendeteksi virus ini dan JANGAN pernah menerima dan menjalankan file apapun yang anda terima, sekalipun ini dikirimkan oleh teman, pacar atau siapapun, baik bad boy maupun bad girl. Bila anda pelanggan Vaksincom dan membutuhkan bantuan menghadapi virus ini, silahkan hubungi info@vaksin.com untuk mendapatkan perlindungan atau onsite support bagi pelanggan korporat Vaksincom.

Bagi anda yang ingin mengetahui lebih jauh tentang virus ini dan mendownload removal Facebot, silahkan lihat artikel Facebot pertama di http://www.vaksin.com/0912-ircbot-infeksi-fbn-chat
Salam,

Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: