Malware Top Indonesia Oktober 2014

10 November 2014
Malware Top Indonesia Oktober 2014
Big Hero 6 di jajaran Adware
Menjelang tutup tahun 2014, penyebaran malware di Indonesia masih di dominasi oleh 4 besar yang ibarat microbots yang jumlahnya sangat besar mengancam para pengguna komputer Indonesia. Selain 4 besar Trojan, Adware, Exploit dan Worm. Khusus pada kategori Adware, tercatat 6 adware dominan yang menguasai lebih dari 75 % infeksi adware, mengingatkan pada Baymax dan 5 jagoan Marvel lainya yang bergabung menjadi Big Hero 6. Pada bulan Oktober 2014 tercatat ada satu malware yang cukup dominan dan infeksinya bahkan bisa mengalahkan Exploit dan Worm. Malware tersebut adalah Sality yang sendirian berhasil mengalahkan Worm dan Exploit. Untuk detail malware yang menginfeksi Indonesia Oktober 2014 dapat ditemukan pada uraian dan gambar 1 di bawah ini :
20141110I_malwaretopindonesia02
Gambar 1, Statistik Malware Indonesia Oktober 2014
Trojan 42,5 %

Trojan berhasil menguasai hampir 50 % dari infeksi malware di Indonesia pada bulan Oktober 2014 dan aksi ini dimotori oleh Trojan.Crypt.HO dan JS.Runner.BH yang bertanggung jawab atas 44 % dan 32 % dari total infeksi Trojan. Sedangkan peringkat 3 - 5 ditempati oleh Trojan Autorun (2,7 %), Dropper (3,66 %) dan Trojan.LNK (8,02%) yang bertanggung jawab atas banyaknya penebaran malware Shortcut di Indonesia.

Sebagai informasi, Trojan.Crypt.HO adalah saudara Sality dan kedua malware ini saling mendukung satu dengan lainya. Tingginya penyebaran Trojan.Crypt.HO secara langsung akan menyebabkan tingginya penyebaran Sality. Hal ini terlihat dari statistik malware bulan Oktober 2014 dimana malware Sality berhasil menempati peringkat 3 mengalahkan Exploit dan Worm.

Sedangkan JS.Runner.BH adalah trojan berbahaya yang memfokuskan dirinya guna mencuri data rahasi a komputer korbannya. Biasanya infeksi JS.Runner.BH terjadi dari bundling dengan program yang di crack dan torrent. JS.Runner juga akan mengunduh malware lain dan mengaktifkannya, selain itu ia akan membuka celah keamanan dari sistem operasi komputer yang di infeksinya. Dalam banyak kasus, program yang terinfeksi JS.Runner akan mengalami penurunan performa menjadi sangat lambat yang disebabkan malware ini menghabiskan terlalu banyak sumber daya komputer. Kabar buruknya, JS.Runner.BH sulit dibasmi, karena ia memodifikasi registri dan menyamar sebagai sistem file Windows yang resmi. Setiap kali di hapus, ia akan kembali dan kembali lagi. Untuk dafatr lengkap Trojan yang terdeteksi dapat dilihat pada tabel 1 di bawah ini.
20141110I_malwaretopindonesia04
Tabel 1, Trojan Top yang menginfeksi Indonesia Oktober 2014
Adware 24,7 %

Kalau Trojan di dominasi oleh 2 jenis Crypt dan JS.Runner yang menguasai 76 % dari total infeksi Trojan, maka Adware memiliki penyebaran lebih merata. Ibarat Big Hero 6, butuh 6 nama adware untuk menguasai 74 % infeksi adware di bulan Oktober 2014. Ke enam nama tersebut adalah BrowseFox (34,81%), Adware.Graftor yang menguasai 12,04 %, Swiftbrowse (9,06%), Search Protect, Browsefox.H dan Relevant Knowledge.


Browsefox mulai terdeteksi menjalankan aksinya pada pertengahan 2014 dan termasuk ke dalam PUP (Potentially Unwanted Program) alias program yang sebenarnya tidak diinginkan dan dengan cara yang terkadang tricky menginstalkan dirinya pada komputer korbannya bersama program populer lain yang biasanya gratis dari Brothersoft, Softonic dan Cnet (download.com). Dalam banyak kasus PUP malah dibuat oleh perusahaan software resmi tetapi memiliki kepedulian rendah terhadap keamanan dan kenyamanan pengguna komputer dan hanya mementingkan keuntungan perusahaan di atas segalanya.

Adware.Graftor sama seperti Browsefox juga terinstal bersama freeware lain dan dalam banyak kasus berbentul Add On browser atau toolbar tambahan untuk browser. Harap berhati-hati menambahkan toolbar atau add on baru para peramban anda guna menghindari infeksi Adware. Untuk daftar lengkap Adware yang menginfeksi Indonesia di bulan Oktober 2014 bisa dilihat pada tabel 2 di bawah ini.
20141110I_malwaretopindonesia01
Tabel 2, Top 10 Adware Indonesia Oktober 2014
Setelah adware, Win32/Sality adalah satu-satunya malware tunggal yang mampu menempati peringkat 3 dengan infeksi sebanyak 9,1 % sebagai malware yang paling banyak dihentikan oleh G Data. Jika berhasil menginfekis sistem anda, Sality akan menjalankan payloadnya melakukan aksi spamming dengan memanen alamat email dari Outlook dan cached Internet Explorer. Ia memiliki kemampuan menembus perlindungan Windows Firewall dan menghindari bloking perusahaan antispam dalam menjalankan aksinya.


Exploit 6,7 %

Sama seperti periode sebelumnya, exploitasi yang paling banyak dieksploitasi adalah CVE-2010-2568 (81,30%) dan CVE-2011-0979 (lihat tabel 3 di bawah ini :
20141110I_malwaretopindonesia05
Tabel 3, Exploit yang paling banyak dihentikan oleh G Data dengan anti Exploit
Celah keamanan adalah ketidak sempurnaan atau kesalahan dalam pemrograman (bug) pada semua software buatan manusia seperti Microsoft Windows, Linux, MS Office, Adobe Acrobat, Java, Browse (IE, Chrome, Firefox etc), OpenSSL, Squid dan seterusnya yang biasanya tidak disadari / tidak disengaja. Bug ini dapat menyebabkan sistem tidak stabil, crash atau sistem bisa diakses / dikuasai oleh orang lain yang tidak berhak. Celah keamanan selalu ditemukan setiap hari dan tidak ada cara menghindari ancaman eksploitasi celah keamanan ini selain melakukan penambalan (patch) seperti yang anda lakukan setiap hari dalam update software. Celah keamanan sifatnya cross platform dan tidak hanya monopoli satu sistem operasi tertentu. Malahan dalam kasus aplikasi yang populer seperti Acrobat Readers atau Java yang sangat populer dan digunakan berbagai sistem operasi memungkinkan ekploitasi silang pada sistem operasi dimana aplikasi yang mengandung celah keamanan tersebut di instal. Karena itu, adalah sangat penting untuk memiliki perlindungan yang memadai terhadap eksploitasi celah keamanan pada sistem anda dengan selalu melakukan update software terkini untuk mendapatkan patch atas vulnerability. Jika memungkinkan dan anda memiliki dana, pastikan program antivirus yang anda miliki memiliki perlindungan terhadap eksploitasi celah keamanan guna memaksimalkan perlindungan sistem anda. Perlindungan aktif terhadap exploit ini sangat penting karena pada sistem yang mengandung celah keamanan yang belum di tambal (patch) akan dapat diinfeksi oleh malware yang mengeksploitasi celah keamanan tesebut SEKALIPUN sistem tersebut sudah diproteksi dengan program antivirus yang terupdate. Jadi eksploitasi celah keamanan bisa membypass perlindungan yang diberikan oleh program antivirus. Adapun 2 eksploitasi celah keamanan yang paling banyak dihentikan Gdata dengan Anti Exploit ini adalah :

  • CVE-2010-2568 adalah celah keamanan LNK.Shorcut yang sebenarnya berumur lebih dari 4 tahun namun sampai saat ini masih termasuk ke dalam celah keamanan yang paling banyak di eksploitasi (81,30 %), Celah keamanan ini menjadi favorit karena bisa dieksploitasi untuk menguasai banyak sekali OS Microsoft Windows baik workstation maupun server seperti Windows XP SP3, Server 2003 SP2, Vista SP1 dan SP2, Server 2008 SP2 dan R2, Windows 7 yang memungkinkan penyerang untuk menguasai komputer korban dengan file .LNK atau PIF shorcut file yang telah dipersiapkan sebelumnya. Celah keamanan ini juga diekslpoitasi oleh Stuxnet melalui CVE-2010-2772 pada Siemens WinCC SCADA sistem.

  • CVE-2011-0979 adalah celah keamanan pada Microsoft Excel 2002 SP3, 2003 SP3, 2007 SP2, 2010. Office 2004, 2008 dan 2011 for Mac, Open XML File Format Converter for Mac dan Excel Viewer SP2. Celah keamanan ini memungkinkan penyerang menjalankan program lain guna menguasai komputer yang memiliki celah keamanan ini. Pada bulan Oktober 2014, celah keamanan ini menempati nomor 2 di bawah LNK Shortcut dengan tingkat eksploitasi sebanyak 17,89 %

Worm

Apa beda worm dengan virus ? Secara definitif, worm dan virus adalah salam-sama termasuk ke dalam golongan malware. Namun jika virus untuk menyebarkan dirinya biasanya membutuhkan bantuan pihak ketiga, karena itu biasanya ia akan menyamarkan dirinya sebagai folder, file JPEG, MS Office dan file lainnya yang menarik. Worm memiliki keahlian berbeda dimana ia tidak membutuhkan bantuan pihak ketiga untuk menginfeksi komputer dan secara otomatis akan mampu menginfeksi seluruh komputer dalam jaringan. Syaratnya adalah komputer yang diinfeksinya memiliki kerentanan (vulnerability) yang akan dieksploitasinya guna menjalankan dirinya secara otomatis. 2 worm yang paling bnayak dihentikan oleh G Data adalah downadup (69,7 %) dan LNK.Runner (18,08). Downadup adalah malware lama yang sempat menjadi malware nomor 1 di Indonesia berbulan-bulan. Malware ini memiliki nama lain yang mungkin lebih anda kenal, Conficker. Conficker memiliki kemampuan menginfeksi komputer dalam jaringan, khususnya yang memiliki celah keamanan MS08-067 yang terdapat pada Windows 2000, XP, Vista, Server 2003 dan Server 2008. Bagi anda yang ingin terhindar dari aksi Conficker, harap melakukan penambalan celah keamanan tersebut di atas. Selain Conficker dan LNK.Runner yang mengeksploitasi celah keamanan shortcut, Vaksincom mencatat aksi malware VBS Dunihi, Beagle, Nimda dan Palevo seperti pada tabel 4 di bawah ini.
20141110I_malwaretopindonesia03
Tabel 4, Worm yang paling banyak dihentikan Oktober 2014
Selain malware-malware yang disebutkan di atas, tercatat Zusy, Buzy, Virtob, Autorun dan Trojan Dropper yang merajai penyebaran malware di Indonesia pada bulan Oktober 2014. Adapun daftar lengkap statistik malware yang menginfeksi Indonesia dan dihentikan oleh G Data Antivirus Enterprise bisa di lihat pada tabel 5 di bawah ini.
20141110I_malwaretopindonesia06
Tabel 5, Malware Top Indonesia Oktober 2014
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: