Wednesday, September 21, 2011

Virus FB yang menyebar melalui Chat FB

W32/Kolab.xx (Trojan.Click1.xxxx)
Mengirimkan link virus FB Chat sampai korbannya kalap

omg haha ck
http://img20.nimageshack.com/img20/i.php?4748-Picture**.JPG

omfg vt
http://img20.nimageshack.com/img20/i.php?6644-Picture**.JPG

haha vj
http://img20.nimageshack.com/img20/i.php?8758-Picture**.JPG

rofl haha qb
http://img20.nimageshack.com/img20/i.php?8856-Picture**.JPG

Facebook (FB), sang raja jejaring sosial memang sangat fantastis. Tidak hanya membuat iri para pesaing-nya seperti Google yang sudah sejak 2 bulan lebih telah meluncurkan produk Google+, tetapi juga memiliki daya tarik yang sangat besar bagi dunia internet. Hampir semua kalangan memiliki yang namanya akun Facebook.  Tidak seperti aplikasi jejaring sosial sebelumnya yang hanya dinikmati para anak muda, FB hampir dipunyai oleh semua orang, dari anak kecil, ABG, yang muda, anak sekolah, mahasiswa, guru, pegawai kantor, artis, hingga pejabat pemerintah di negeri ini. Hingga kini, Indonesia merupakan negara ke-2 pengguna FB di seluruh dunia. (lihat gambar 1)
Gambar 1, Indonesia sebagai negara terbesar ke-2 di dunia pengguna Facebook

Selain menimbulkan persaingan dengan para vendor jejaring sosial lain, FB juga menjadi daya tarik bagi para pembuat malware. Karena memiliki kelebihan dari jumlah pengguna di seluruh dunia, FB dijadikan sasaran sebagai salah satu media yang tepat untuk menyebarkan malware dengan mudah. Serangan pembuat malware melalui berbagai cara seperti scam atau memanfaatkan aplikasi yang tersedia pada FB seperti apps dan chat.

Jika anda familiar dengan salah satu varian worm yang menyebar via chat seperti YM (Yahoo! Messenger) atau Skype, maka anda patut waspada, karena VaksinCom telah menerima laporan serangan worm/rootkit yang menyebar menggunakan pesan chat pada FB. Hebatnya, virus ini tidak memanfaatkan Apps Facebook sehingga administrator Facebook tidak bisa menghentikan virus ini dibandingkan dengna virus Facebook lain yang mengandalkan Apps.. Sejak pertengahan Agustus hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan worm/rootkit ini, dan varian tersebut terdeteksi oleh Norman Security Suite sebagai W32/Kolab.xx. (lihat gambar 2)
Gambar 2, Norman Security Suite mendeteksi virus ini sebagai virus Kolab.

Tercatat, sudah puluhan varian sejak Agustus yang disebarkan oleh pembuat virus ini. Hebatnya, pada saat awal kemunculannya selama 2 minggu pertama mayoritas Antivirus bahkan tidak dapat mendeteksi worm/rootkit tersebut sampai dengan awal September 2011. (lihat gambar 3)
Gambar 3, Hasil scan VirusTotal pada awal September saat mendapatkan kiriman Kolab/Click1

Infeksi Kolab
Umumnya Anda akan mendapatkan pesan chat pada Facebook oleh salah satu teman Anda. Pesan chat tersebut memberikan sebuah link tertentu. (lihat gambar 4 dan 5)
Gambar 4 dan 5, Pesan chat FB yang dikirim oleh komputer yang terinfeksi Kolab/Click1

Hebatnya, akun Facebook yang di infeksi oleh virus tidak mengalami perubahan sama sekali. Bahkan tidak ada pop up FB Chat yang terbuka. Yang dibutuhkan oleh virus ini hanyalah akun Facebook tersebut sedang login saja. Kemungkinan besar hal ini terjadi supaya korban virus tidak menyadari kalau komputernya telah terinfeksi oleh Kolab/Click1 dan menyebarkan banyak sekali FB Chat ke kontak-kontak Facebooknya yang mengarahkan untuk mendownload virus ini.

Jika Anda meng-klik link pada pesan chat tersebut, maka secara otomatis file akan terdownload ke dalam komputer Anda. Dan jika Anda menjalankan file tersebut, maka komputer Anda sudah pasti telah terinfeksi.

Sulit dibasmi dan menyebabkan BSOD (Bumi Serpong Ooo Damai ??.. :p)
Kolab/Click1 tidak berjalan pada proses atau services Windows, sehingga sulit menemukan dan mematikan keberadaan worm/rootkit ini. Tetapi, worm ini justru mendompleng atau menumpang pada file svchost.exe milik Windows, sehingga Anda akan sulit mematikan-nya. Jika Anda memaksa mematikan file svchost.exe, komputer akan mengalami blue screen of death / BSOD. Termasuk jika Anda mencoba melakukan scan menggunakan tools tertentu seperti GMER, tools yang biasa digunakan untuk mendeteksi rootkit. (lihat gambar 6)
Gambar 6, Berusaha mematikan file svchost yang telah didompleng, akan muncul BSOD

Broadcast ke IP-IP tertentu
Walaupun tidak berjalan pada proses atau services Windows, Kolab/Click1 memanfaatkan file svchost.exe Windows, untuk melakukan broadcast pada IP-IP tertentu. (lihat gambar 7)
Gambar 7, Aktivitas broadcast yang dilakukan oleh Kolab/Click1

Mencantumkan diri-nya pada Windows Firewall
Agar dapat berjalan bebas tanpa hambatan, Kolab/Click1 mendaftarkan programnya pada Windows Firewall, sehingga diperbolehkan untuk melakukan koneksi dan broadcast. (lihat gambar 8)
Gambar 8, Aktivitas broadcast yang dilakukan oleh Kolab/Click1



Tips Hindari Kolab/Click1
Berikut beberapa tips bagi Anda jika tidak ingin terinfeksi dan menjadi korban dari worm/rootkit ini
  1. Hindari melakukan klik pada link yang dikirim pada Anda, baik melalui pesan chat FB atau status.
  2. Beritahukan pada teman Anda, bahwa komputer tersebut telah terinfeksi virus, dan segera lakukan update dan scan komputer dengan antivirus yang terupdate.
  3. Jangan melakukan copy link atau melakukan pemberitahuan disertai link tersebut, karena dengan begitu Anda justru ikut menyebarkan link yang mengandung virus tersebut.
  4. Jangan meninggalkan FB Anda dalam keadaan aktif/login, sebaiknya Anda logout dahulu hingga Anda kembali.
  5. Gunakan Secure HTTP / HTTPS pada saat Login FB, hal ini agar FB Anda tidak mudah diakses oleh orang lain disekitar Anda.
Source :http://vaksin.com/2011/0911/kolab/Kolab.html
Posted by index0r at
Labels: , , , ,

0 comments

Posts a comment

Related Posts Plugin for WordPress, Blogger...
 
© 2011 My Dreams
Designed by Blog Thiết Kế
Back to top