Graftor alias IRCbot.CMBJ

06 September 2012
Graftor alias IRCbot.CMBJ
Virus IRC dengan kemampuan “Abracadabra” di Facebook Chat 
Bagi pembuat malware, para pengguna akun Facebook dengan jumlah lebih dari 800 juta dapat dikatakan sebagai “makhluk Tuhan yang paling seksi” saat ini di jagad internet sehingga pembuat malware berlomba-lomba membuat apps (aplikasi) jahat untuk mengincarnya. Namun masalahnya, “makhluk Tuhan yang paling seksi ini” dijaga oleh administrator (tidak berjenggot) yang tidak segan-segan melakukan ban dan membasmi apps apapun yang berani mencoba-coba mengeksploitasi pengguna Facebook. Karena itu segala macam cara dicari untuk mendekati si seksi ini, baik sulap “abracadabra” dengan mengeksploitasi Javascript ataupun “menusuk dari belakang” menggunakan IRCbot.

Salah satu kelemahan utama malware yang menyebarkan diri melalui apps di Facebook adalah ketergantungan terhadap server apps (aplikasi) Facebook, dimana semua aktivitas apps akan dapat dimonitor dan dinonaktifkan jika terbukti mengandung aksi yang melanggar kerentuan yang ditetapkan oleh Facebook. Jadi berapapun meluasnya infeksi yang diakibatkan oleh apps jahat ini, sekali ketahuan oleh administrator Facebook maka akan langsung dihapus dan tamat riwayatnya. Salah satu cara yang digunakan untuk menghadapi ini adalah pembuat apps jahat bermain kucing-kucingan dengan administrator Facebook seperti dalam kasus apps “Siapa yang melihat profil anda” dimana setiap kali satu apps jahat berhasil dibasmi, ia akan berusaha menciptakan apps serupa dengan nama lain. Namun hal ini tentu melelahkan, baik bagi pembuat apps jahat maupun administrator apps Facebook. Karena itu banyak pembuat malware yang berusaha mencari akal untuk menghindari ketergantungan terhadap apps dalam menyebarkan dirinya seperti dengan mengeksploitasi Javascript pada browser. Tetapi kasus yang dihadapi Vaksincom dalam 3 hari terakhir ini agak berbeda. Ada satu virus varian baru yang cukup menarik (sebenarnya merupakan pengembangan dari IRCbot yang sudah wara-wiri sejak tahun 2005) dan secara pelan namun pasti berhasil menyebarkan dirinya ke pengguna Facebook melalui Facebook chat. Untuk menyebarkan dirinya, virus ini memanfaatkan fasilitas berbagi file gratis dari Sendspace (lihat gambar 1 dan gambar 2)
20120906I_ircbotinfeksifbchat01
Gambar 1, Aksi IRCbot menyebarkan dirinya melalui FB Chat 
20120906I_ircbotinfeksifbchat02
Gambar 2, IRCbot memanfaatkan “Sendspace” dan memakan cukup banyak korban di Indonesia

Virus ini memiliki kemampuan “abracadabra” karena ia mampu mengirimkan dirinya sebagai Facebook Message ke kontak Facebook sekalipun pemilik akun sebenarnya tidak mengirimkan pesan tersebut (malahan tidak menyadari sama sekali kecuali melihat send message di Facebook). Jika penerima message mengklik tautan yang diberikan, ia akan diantarkan ke situs Sendspace yang berisi file terkompresi dengan nama “IMG****.JPG.zip” (lihat gambar 3)
20120906I_ircbotinfeksifbchat03
Gambar 3, IRCbot akan mengirimkan dirinya dalam bentuk file terkompresi

Sebenarnya Sendspace kelihatannya sudah mendapatkan laporan atas aktivitas virus ini dan mulai di blok oleh Sendspace, tetapi virus ini kelihatannya “cinta mati” pada korbannya dan mati-matian mencoba mencapai tujuannya dengan membuat banyak akun dan saat ini masih ada saja akun yang lolos sehingga Sendspace harus bekerja keras memblokir pengiriman file yang dilakukan. Jika file tersebut diunzip, maka file dengan nama yang sama dalam bentuk .scr (screen saver) akan muncul. (lihat gambar 4).
20120906I_ircbotinfeksifbchat04
Gambar 4, File virus menyamarkan diri sebagai screen saver

Bila korbannya menjalankan file tersebut, otomatis virus tersebut akan aktif di sistem komputer korban (Microsoft Windows) dan guna mengelabui korbannya supaya tidak curiga (lupa) telah menjalankan file tadi ia akan langsung menghapus file tersebut. Kemungkinan besar korbannya akan membiarkan saja dan kemungkinan besar melupakan hal ini karena memang tidak terlihat hal-hal yang mencurigakan pada komputernya. Tetapi sebenarnya IRCbot ini sudah aktif dan salah satu aktivitasnya membuat dan mengirimkan virus ke kontak-kontak Facebook melalui Facebook messenger seperti pada gambar 1 dan 2 di atas.

Bagaimana cara mencegahnya

Untuk mencegah diri anda menjadi "makhluk Tuhan yang agak apes" jika terinfeksi virus ini anda tidak harus meminta bantuan jin botol, tetapi anda harus menjaga diri dari sulapan “abracadabra” pembuat virus. Salah satunya adalah menggunakan program antivirus yang terupdate. Dalam kasus di atas, jika anda menggunakan antivirus G Data, ibaratnya anda akan mendapatkan proteksi dari jin botol dimana G Data dengan 2 engine antivirus terbaik mendeteksi virus ini sebagai “Virus:Gen:Variant.Graftor.41286” (lihat gambar 5 dan 6) 
20120906I_ircbotinfeksifbchat05
Gambar 5, G Data mendeteksi virus ini sebagai Graftor.41286 
20120906I_ircbotinfeksifbchat06
Gambar 6, Sekalipun file tersebut di kompres, namun “G Data Web Protection” tetap mendeteksi keberadaan virus dan melakukan blok akses

Bagaimana kalau anda sudah terinfeksi
Bagi anda baik pengguna Facebook, IRC dan Windows Messenger yang berhasil di infeksi oleh malware ini, jangan khawatir karena Norman Virus Control memberikan solusi dengan mengeluarkan “IRCbot cleaner” yang dapat di download dari : http://www.vaksin.com/2012/0912/facebot/norman-ircbot-cleaner.exe 
Salam,

Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: