Parade Malware Top Indonesia Agustus 2014

09 September 2014
Parade Malware Top Indonesia Agustus 2014
Hooked on a Trojan
20140909I_malwareagustus01
Kalau pada paruh pertama 2014 Mobogenie sukses menempati tempat ketiga sebagai malware yang paling banyak dihentikan oleh G Data Antivirus di Indonesia, terjadi sedikit pergeseran di bulan Agustus 2014 dimana Mobogenie terlempar dari Top 10 dan posisinya digantikan oleh gerombolan Worm yang naik dari peringkat 6 ke peringkat 3 dengan tingkat infeksi 9,86 %. Untuk malware peringkat 1 dan 2 di bulan Agustus 2014 tidak terjadi perubahan dan jawara malware tetap dipegang oleh Trojan yang berhasil hooked 34,50 % infeksi malware dan Adware sebesar 21,63 %. Posisi 4 dan 5 terjadi pergantian posisi dimana Exploit menempati posisi 4 dengan infeksi 6,37 % yang menggusur gerombolan Malware ke posisi 5 yang bulan Agustus 2014 hanya berhasil menginfeksi 4,33 %. Sebagai informasi, saat ini tidak mudah bagi satu jenis malware untuk menginfeksi komputer secara masif dan dengan tujuan menghindari deteksi program antivirus, pembuat malware berusaha mengimbangi dengan membuat varian malware sebanyak mungkin setiap kali terdeteksi oleh antivirus. Akibatnya adalah banjir varian malware yang mengakibatkan perusahaan antivirus memiliki pekerjaan rumah tiada henti karena banyaknya varian malware baru yang muncul setiap hari. Untuk detail malware yang menginfeksi Indonesia dan terdeteksi oleh G Data antivirus pada pelanggan korporat dan home user Vaksincom, silahkan ikuti laporan di bawah ini.

Trojan

Gerombolan Trojan yang menempati peringkat 1 terdiri dari 37 jenis trojan yang menguasai 34,5 % infeksi malware Indonesia. Adapun beberapa trojan yang paling sering terdeteksi adalah Trojan.Generic, Trojan Crypt, Autorun, LNK, HTML.Ramnit, dropper dan redirector. Trojan Generic sebenarnya adalah trojan baru yang belum terdeteksi dalam update definisi antivirus, namun teknologi behavioural analysis dan Bank Guard G Data berhasil mendeteksi aksi mencurigakan dan menghentikan trojan-trojan ini. Latar belakang banyaknya Trojan Generic ini disinyalir berhubungan dengan usaha mengeksploitasi transaksi keuangan online (e-commerce) dan internet banking. Perusahaan e-commerce dan bank mengamankan komunikasi data transaksi online dan internet banking antara komputer anda dengan server transaksi dengan enkripsi yang sulit di tembus oleh kriminal sehingga cara yang dipilih untuk mendapatkan dan mengeksploitasi data tersebut adalah dengan mendapatkan langsung pada komputer sebelum dienkripsi di browser. Hal ini dapat dicapai menggunakan trojan yang melakukan serangan pada browser dan lebih dikenal dengan nama “Man in the Browser” attack. Trojan ini biasanya dirancang berumur pendek hanya menjalankan aksinya dalam hitungan jam dan segera setelah tujuannya tercapai ia akan langsung menghilang dan menunggu waktu yang tepat untuk menjalankan aksinya kembali dengan varian yang kembali diperbarui. Kabar buruknya, sistem proteksi program antivirus terbaik saat ini hanya mampu mendeteksi 27 % banking trojan pada hari pertama **.

**Information Stealer Detection inside the Web Browser, by Armin Buescher (Message Labs), Felix Leder (University of Bonn) and Thomas Siebert (G Data). RAID 2011, Springer Lecture Notes in Computer Science (Vol. 6961) / September 2011

Teknologi pertahanan deteksi antivirus konvensional seperti deteksi dengan definisi dan deteksi heuristik sekalipun dalam banyak kasus berhasil dikelabui trojan. Vendor antivirus berusaha mencari terobosan untuk mendapatkan solusi atas masalah ini. Salah satu teknologi yang cukup berhasil mendeteksi dan menghentikan 99 % trojan internet banking adalah Bank Guard yang tersedia secara gratis pada seluruh produk G Data melindungi transaksi online dan internet banking. Bank Guard memonitor proses dll browser yang dirubah oleh trojan dalam melakukan Man in the Browser attack dan langsung menghentikan proses tersebut sekalipun tidak ada malware terdeteksi menurut definisi antivirus. Data statistik yang di dapatkan di atas menunjukkan bukti efektivitas Bank Guard menghentikan Trojan tidak terdeteksi definisi antivirus yang berusaha untuk mengeksploitasi aktivitas e-commerce ataupun internet banking komputer korbannya.

Mengikuti Trojan.Generic, Trojan Crypt mengekor di peringkat kedua. Trojan Crypt adalah aplikasi jahat yang memungkinkan kriminal untuk mengakses komputer anda ecara remote dan melakukan aksi lain seperti mengubah file, mencuri data penting sampai menginstalkan program lain yang tidak diinginkan. Selain Crypt, Vaksincom mencatat Trojan.Autorun.AET, Trojan.LNK (Shortcut), HTML Ramnit, Trojan.Heur (Heuristics), Trojan Dropper VHT dan Trojan Redirector. Untuk informasi detail Trojan Top Indonesia Agustus 2014 silahkan lihat tabel 1 di bawah ini :
20140909I_malwareagustus03
Tabel 1, Top 10 Trojan yang menginfeksi Indonesia
Adware

Setelah Trojan, Adware berhasil menempati peringkat dua sebagai malware yang paling banyak dihentikan di Indonesia. Sama seperti Trojan, jenis adware yang terdeteksi Vaksincom sangat beragam dan total jenis yang terdeteksi dan dihentikan oleh G Data di Indonesia adalah 34 jenis adware dimana yang menjadi ajwara adware di bulan Agustus 2014 adalah SwiftBrowse yang mendominasi lebih dari 28 % dari total infeksi Adware diikuti oleh Adware Generic pada peringkat 3 dan 7 (11,67 %), BHO (Browser Helper Object) Protector di peringkat 4 dan 6 (11,67), Agent (5,56 %), AdGazelle (5 %), Kazy (4,44 %) dan SaveByClick (3,89 %). Diluar Top 10 adware yang disebutkan di atas, 24 jenis adware mendominasi 29,44 % infeksi adware di Indonesia. Untuk data lengkap adware yang menginfeksi Indonesia silahkan lihat pada tabel 2 di bawah ini.
20140909I_malwareagustus02
Tabel 2, Top 10 Adware Indonesia Agustus 2014
Worm

Setelah lelah dikebubuti oleh gerombolan trojan dan adware di peringkat 1 dan 2 yang jumlah totalnya bisa mencapai lebih dari 60 varian, kita beranjak pada ancaman yang pada tahun-tahun sebelumnya menjadi jawara infeksi malware di Indonesia, worm. Walaupun posisinya digusur oleh Trojan dan Adware ke peringkat 3 dengan total infeksi 9,86 %, worm tetap berusaha menjalankan aksinya. Namun memang jumlahnya tidak sebanyak varian Trojan dan Adware dimana pada bulan Agustus 2014, Vaksincom mencatat 5 jenis worm yang paling banyak dihentikan Downadup, LNK Runner, Conficker dan Worm.Autorun. Untuk detail persentasi worm yang dihentikan dapat dilihat pada tabel 3 di bawah ini.
20140909I_malwareagustus04
Tabel 3, Big 5 worm yang dihentikan bulan Agustus 2014
Eksploit

Jika anda mengira ancaman sekuriti yang berbahaya dan patut diwaspadai oleh pengguna perangkat komputasi didominasi oleh malware saja, anda perlu kami perkenalkan dengan yang namanya eksploitasi celah keamanan (exploit). Apa itu celah keamanan ?

Celah keamanan adalah ketidak sempurnaan atau kesalahan dalam pemrograman (bug) pada semua software buatan manusia seperti Microsoft Windows, Linux, MS Office, Adobe Acrobat, Java, Browse (IE, Chrome, Firefox etc), OpenSSL, Squid dan seterusnya yang biasanya tidak disadari / tidak disengaja, bug ini menyebabkan adanya celah keamanan dapat berakibat sistem tidak stabil, crash atau sistem bisa diakses / dikuasai oleh orang lain yang tidak berhak. Celah keamanan selalu ditemukan setiap hari dan tidak ada cara menghindari ancaman eksploitasi celah keamanan ini selain melakukan penambalan (patch) seperti yang anda lakukan setiap hari dalam update software. Celah keamanan sifatnya cross platform dan tidak hanya monopoli satu sistem operasi tertentu. Malahan dalam kasus aplikasi yang populer seperti Acrobat Readers atau Java yang sangat populer dan digunakan berbagai sistem operasi memungkinkan ekploitasi silang pada sistem operasi dimana aplikasi yang mengandung celah keamanan tersebut di instal. Karena itu, adalah sangat penting untuk memiliki perlindungan yang memadai terhadap eksploitasi celah keamanan pada sistem anda dengan selalu melakukan update software terkini untuk mendapatkan patch atas vulnerability. Jika memungkinkan dan anda memiliki dana, pastikan program antivirus yang anda miliki memiliki perlindungan terhadap eksploitasi celah keamanan guna memaksimalkan perlindungan sistem anda. Perlindungan aktif terhadap exploit ini sangat penting karena pada sistem yang mengandung celah keamanan yang belum di tambal (patch) akan dapat diinfeksi oleh malware yang mengeksploitasi celah keamanan tesebut SEKALIPUN sistem tersebut sudah diproteksi dengan program antivirus yang terupdate. Jadi eksploitasi celah keamanan bisa membypass perlindungan yang diberikan oleh program antivirus.

Adapun 5 eksploitasi celah keamanan yang paling banyak dihentikan Gdata dengan Anti Exploit ini adalah :

  1. CVE-2010-2568 adalah celah keamanan LNK.Shorcut yang sebenarnya berumur lebih dari 4 tahun namun sampai saat ini masih termasuk ke dalam celah keamanan yang paling banyak di eksploitasi (75,47 %), Celah keamanan ini menjadi favorit karena bisa dieksploitasi untuk menguasai banyak sekali OS Microsoft Windows baik workstation maupun server seperti Windows XP SP3, Server 2003 SP2, Vista SP1 dan SP2, Server 2008 SP2 dan R2, Windows 7 yang memungkinkan penyerang untuk menguasai komputer korban dengan file .LNK atau PIF shorcut file yang telah dipersiapkan sebelumnya. Celah keamanan ini juga diekslpoitasi oleh Stuxnet melalui CVE-2010-2772 pada Siemens WinCC SCADA sistem.
  2. CVE-2011-0979 adalah celah keamanan pada Microsoft Excel 2002 SP3, 2003 SP3, 2007 SP2, 2010. Office 2004, 2008 dan 2011 for Mac, Open XML File Format Converter for Mac dan Excel Viewer SP2. Celah keamanan ini memungkinkan penyerang menjalankan program lain guna menguasai komputer yang memiliki celah keamanan ini. Pada bulan Agustus 2014, celah keamanan ini menempati nomor 2 di bawah LNK Shortcut dengan tingkat eksploitasi sebanyak 11,32 %
  3. CVE-2013-2729 adalah exploit yang menyerang Adobe Acrobat Reader yang lebih dikenal dengan nama Adobe Reader BMP/RLE heap corruption vulnerability. Celah keamanan ini dimanfaatkan oleh pembuat malware menyebarkan dirinya. Salah satunya digunakan untuk mengirimkan email yang jika dijalankan akan mengunduh dan menjalankan GOZ Game Over Zeus. Eksploitasi yang muncul sejak tahun 2013 ini terdeteksi menguasai usaha exploit yang dihentikan oleh G Data anti exploit sebanyak 5,66 %.

Selain ketiga eksploitasi yang harus menjadi perhatian para pengguna internet Indonesia karena menguasai lebih dari 90 % insiden eksploit yang dihentikan G Data, tiga eksploit lain yang terdeteksi adalah Exploit.RTL-Zip.gen, JPG:MS04-028 [Expl] dan HTML:Includer-CA[Expl]. Untuk lebih lengkapnya silahkan lihat tabel 4 di bawah ini.
20140909I_malwareagustus6
Tabel 4, Eksploitasi yang paling banyak diserang Agustus 2014
Diluar dari 4 kategori di atas, sebenarnya masih ada malware (4,33 %), Zusy (3,85 %), Dropper (1,80 %), InstallBrain (2,16 %) berturut-turut menghuni peringkat 5 – 8 dan ditutup oleh jawara lama Ramnit (2,04 %) di peringkat 9 dan Virtob.gen (1,68 %) di peringkat 10. Adapun daftar lengkap malware yang dihentikan oleh G Data pada seluruh pelanggan Vaksincom di Indonesia pada bulan Agustus 2014 baik di jaringan korporat dan pengguna rumahan dapat dilihat pada tabel 5 di bawah ini.
20140909I_malwareagustus05
Tabel 5, Malware Top yang paling banyak dihentikan G Data Antivirus Agustus 2014
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: