Cha3bby’s Blog

April 24, 2009

Filed under: Uncategorized — cha3bby @ 3:23 am

JAKARTA, KAMIS – Serangan ke komputer melalui jaringan Internet masih didominasi virus dan sejenisnya yang memiliki kemampuan sebagai keylogger yang mencuri data secara diam-diam. Tiga virus paling dominan di Indonesia yang berhasil dipantau Vaksincom selama kuartal ketiga 2008, Mei-September 2008, terbukti sangat spesifik bekerja sebagai keylogger.

Ketiga serangkai virus tersebut terdeteksi sebagai Suspicious oleh Norman. Suspicious adalah virus baru yang berusaha menyamarkan dirinya dengan berbagai trik untuk mengelabui scanning heuristik antivirus. Maing-masing virus W32/Pack.Upack.A, Virus ARP Spoofing, dan turunan dari virus Murlo. Ketiganya menguasai 19.991 insiden atau 30,02 persen dari total insiden yang terdeteksi menggunakan Norman Sandbox.

Teknologi antivirus Norman dengan teknologi Sandbox yang dipakai Vaksincom tetap dapat mendeteksi virus tersebut meskipun belum ada dalam definisi Norman. Sandbox mengemulasi komputer dan menjalankan file yang tidak terdeteksi sebagai virus, bila mengandung aksi mencurigakan seperti merubah registri, menghapus file, mengakses email, atau jaringan maka secara otomatis akan di karantina dan Sandbox akan memberikan laporan lengkap apa saja yang dilakukan oleh virus mencurigakan tersebut.

Murlo memiliki ciri khas akan mendownload file “ads.gif” yang diperkirakan sebagai update untuk dirinya. Padahal, jika anda perhatikan, rata-rata file virus yang terdeteksi memberikan ekstensi dirinya sebagai file .gif. Padahal seperti kita ketahui file gif (Graphics Interchange Format) adalah file gambar dan bukan file eksekusi yang dapat menjalankan virus.

Ternyata setelah diunduh (download), file ini akan direname menjadi file eksekusi. Artinya, komputer yang mendownload file tersebut kemungkinan besar sudah terinfeksi virus dan download file .gif ini adalah salah satu payloadnya untuk mengupdate atau menyebarkan dirinya.

Beberapa metode yang mungkin dilakukan oleh pembuat virus adalah mengirimkan script simple melalui email dan tentu diloloskan oleh mail server karena tidak mengandung virus. Tetapi, setelah email tersebut dibuka akan mendownload file gif yang kemudian akan diganti nama dan dijalankan pada komputer korbannya. Cara lain adalah menyebarkan diri memanfaatkan website yang telah dimanipulasi dan mengeksploitasi celah keamanan Java Script.

Kabar buruknya adalah virus Murlo ini memiliki satu kemampuan yang perlu anda takuti yaitu kemampuan keylogging advance. Jadi virus ini akan menyembunyikan keberadaannya di komputer korban tetapi ia akan melakukan monitoring atas semua aktivitas komputer. Adapun aksi yang akan dilakukan adalah melakukan key logging atau merekam setiap ketukan keyboard yang anda lakukan dengan tujuan mendapatkan “Username”, “Password”, Nomor rekening bank, nomor kartu kredit dan data rahasia lain.

Tidak cukup melakukan hal ini saja, ia juga akan melakukan “Print Screen” atau screen capture secara berkala. Tujuan print screen secara berkala ini bukan untuk membuat artikel virus tetapi merupakan salah satu teknik untuk menembus pertahanan pengamanan password yang menggunakan “Virtual Keyboard”.

Jadi dengan berbekal file hasil Print Screen dan koordinat mouse click anda waktu memasukkan password, maka password anda secara teknis bisa diketahui walaupun anda tidak mengetikkan di keyboard anda dan hanya mengklik keyboard virtual di layar komputer menggunakan mouse. Selain itu, tidak tanggung-tanggung ia juga akan melakukan logging atas program apa saja yang sedang dijalankan, isi clipboard, dokumen apa yang sedang di kirim ke printer, perubahan file, koneksi internet, dan website apa saja yang dikunjungi.

Jadi, jangan lengah untuk selalu berhati-hati saat mengunduh file, membuka attachment email, dan tentu saja selalu melakukan update terhadap program antivirus yang Anda miliki.

Leave a Comment »

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Blog at WordPress.com.

%d bloggers like this: