Serangan Malware Februari - Maret 2005          16 Maret 2005

Long Live spyware dan Messenger virus

 

     Kalau Spyware dan Virus Indonesia mengikuti komunitas hacker Indonesia dan Malaysia yang saling menyerang, kelihatannya virus akan kalah. Karena baik secara kuantitas maupun kualitas jumlah insiden spyware sudah mulai meninggalkan insiden virus di bulan Februasi s/d Maret 2005. Total spyware yang tercatat paling sering muncul di Indonesia menurut pengamatan Vaksincom adalah 36 jenis dengan jumlah insiden 38.043. Sedangkan jumlah virus yang paling sering menyerang di Indonesia adalah 25 jenis dengan total insiden 25.914. Jika dibandingkan dengan insiden bulan Januari-Februari 2005 dimana Spyware hanya unggul 4 % maka terjadi peningkatan yang cukup signifikan dimana insiden spyware melewati virus sebanyak 18 %. (Gambar 1)

 

Gambar1, Insiden Spyware Februari-Maret 2005 melewati virus sebanyak 18 %

 

Hal yang menarik lainnya dari perbandingan statistik Spyware dengan Virus adalah adanya penyebaran insiden yang cukup merata pada seluruh jenis spyware dimana Top 10 spyware menguasai 74 % (28.273) dari seluruh insiden (38.043) dan 26 % (9.770) sisanya dikuasai oleh peringkat 11 s/d 36. Sebaliknya pada insiden virus, Top 10 menguasai 98 % (25.291) dari seluruh insiden virus (25.914) sedangkan sisanya peringkat 11 s/d 25 hanya menguasai 2 % (623) insiden virus. Malahan peringkat pertama [1]Gaobot-11.889 menguasai 45 % dari seluruh infeksi yang dilaporkan, bisa dibayangkan jika tidak ada Gaobot posisi virus akan makin terpuruk dibandingkan dengan spyware.

Jangan lupa juga dengan datanya virus MSN baru yang penyebarannya di Indonesia cukup tinggi (untuk ukuran virus Messenger). Jika anda mendadak menerima peringatan kiriman file seperti gambar 2 dibawah ini, jangan sekali-kali mengklik untuk menerima file yang dikirimkan.

 

Gambar 2, Virus yang menyebar melalui MSN Messenger

 

Spyware

Dari 38 spyware yang terdeteksi, tercatat 6 pendatang baru yang pada bulan sebelumnya sama sekali tidak tercatat. Yaitu [5]Dumador-2.383 [7]Mywebsearch-2.155, [17]Bispy-537, [20]Hotbar-316, [25]Dealhelper-233dan [29]Ipend-107. Sedangkan peringkat pertama yang bulan lalu diduduki oleh [14]Krepper-851 sekarang ditempati oleh [1]Newdotnet-5,631. [6]Dluca-2,374 yang pada bulan lalu menempati peringkat 2 pada bulan ini tergeser ke peringkat 6 dan posisinya digantikan oleh [2]Bargainbuddy-4,675. Diikuti oleh [3]Gator-3,543 dan [4]Agent-3,190.

 

Pendatang baru [5]Dumador-2,383 yang merupakan Trojan dan Backdoor perlu diwaspadai karena ia akan membuka port TCP 2283 dan 10000 dan berusaha mencuri data informasi penting dari komputer korbannya seperti rekening Paypal dan Webmoney.

 

Pendatang baru lain [7] MyWebSearch-2,155 merupakan spyware yang akan menambahkan toolbar baru pada Internet Explorer anda dengan nama MyWebSearch.

 

Khusus untuk peringkat spyware 1 - 3 Vaksincom memberikan sedikit ulasan dan cara removalnya.

 

[1]Newdotnet-5,631

Hati-hati dengan jawara bulan ini Newdotnet atau biasa ditulis New.net karena ia dapat menyebabkan crash pada komputer anda. Jika anda pernah / sering mendapatkan pesan error pada Internet Explorer sebagai berikut :

This program has performed an illegal operation and will be shut down. If the problem persists, contact the program vendor.
Rundll32 caused an invalid page fault in module Unknown at 0000
Cannot find Newdot~1.dll
Error Loading C:\Windows\newdot~3.dll. The system cannot find the file specified.
Rundll32 has caused an error in newdotnet3_20.dll. Rundll will now close.

berarti komputer anda sudah terinfeksi spyware Newdotnet yang masuk ke komputer anda bersamaan dengan instalasi :

  • KaZaA

  • Go!Zilla

  • Babylon

  • Cydoor

  • Gdivx

  • WebShots

Karena itulah Vaksincom menyarankan kepada para pengguna komputer untuk berhati-hati jika menggunakan freeware.

 

Cara untuk membersihkan Newdotnet adalah dengan menguninstal program dengan nama [New.Net] pada [Add/Remove Programs] dari [Control Panel] windows. Jika program tersebut tidak anda temukan dalam [Add/Remove Programs] berarti pekerjaan anda lebih berat lagi dan kami sarankan untuk menggunakan Norman Adware yang merupakan rebranding dari Anti Adware Lavasoft untuk membersihkan Newdotnet dari komputer anda.

 

[2]Bargainbuddy-4,675

[2]Bargainbuddy-4,675 yang dikenal juga sebagai Cashback akan menampilkan jendela baru (popups) dan mengandung BHO (Browser Hijacker Object) yang akan mengambil alih browser anda untuk menampilkan web Navisearch menggantikan pesan 404 error. Untuk membersihkan Bargainbuddy, anda harus membuang program Bullseye Network, Cashback by Bargain Buddy dan Navisearch dari [Add/Remove Programs]. Setelah itu gunakan Norman Adware untuk membersihkan semua jejak registri dan file spyware yang ditinggalkan oleh Bargain Buddy.

 

[3]Gator-3,543

[3] Gator-3,543 yang sekarang berubah namanya menjadi Claria www.claria.com adalah program bantu seperti Ewallet, Date Manager, Weather Scope dan PrecisionTime yang pada banyak komputer menimbulkan masalah seperti :

  • Menampilkan iklan

  • Mengganggu kerja anda

  • Instal software tanpa sepengetahuan anda

  • Mengumpulkan informasi di komptuer anda

  • Melambatkan komputer anda

Untuk menghapus Gator, uninstal Gator dari [Add/Remove Programs] dan jangan lupa gunakan Norman Adware dengan kemampuan Adwatch untuk menscan semua registri dan harddisk dari spyware dan Adwatch yang memiliki kemampuan mendeteksi semua kegiatan spyware baru yang ingin masuk ke komputer anda.

 

Untuk informasi lebih lengkap mengenai Top 10 Spyware di Indonesia adalah sebagai berikut :

 

No

Nama

Jlh

%

1Newdotnet     5,63114.80%
2BargainBuddy     4,67512.29%
3Gator     3,5439.31%
4Agent     3,1908.39%
5Dumador     2,3836.26%
6Dluca     2,3746.24%
7Mywebsearch     2,1555.66%
8Wintool     1,4923.92%
9Dloader     1,4763.88%
10Istbar

     1,354

3.56%
 

Lainnya

9,770

25.68%

Total

38,043

100 %

Catatan : Yang ditebalkan adalah pendatang baru

 

Virus

Seperti yang kami utarakan di atas, [1]Gaobot-11,889 menyelamatkan muka virus agar tidak terlalu terpuruk dibandingkan spyware. Bayangkan, jika tidak ada Gaobot, maka infeksi virus akan kehilangan 45 % (hampir setengah) dari insidennya. Selain Gaobot, yang perlu diperhatikan adalah pendatang baru pada tangga virus (bukan virus baru) seperti [5]Pinfi-2,177, [11]JPEG Exploit-131, [13]JS Exploit-75 dan [14]P2PWorm-52.

 

 No Virus Jumlah %
     1 Gaobot

 11,889

45.88%
     2 Redlof   3,76414.52%
     3 Netsky   3,22712.45%
     4 Bagle   2,4639.50%
     5 Pinfi   2,1778.40%
     6 Funlove   8593.31%
     7 Korgo      406 1.57%
     8 CIH      227 0.88%
     9 WYX      142 0.55%
   10 Pesin      1370.53%
Lainnya      351 0.85%
Total 41,292 100.00%

Catatan : Yang ditebalkan adalah pendatang baru

 

Kebiasaan patching

Hal yang menarik dari pendatang baru adalah munculnya JPEG Exploit dan JS Exploit. Kedua malware ini meskipun tidak cukup "sakti" untuk masuk ke peringkat 10 besar tetapi masuk dalam kategori berbahaya dan "satu-satunya" obat untuk terhindar dari kedua exploit ini adalah melakukan patch atas kedua exploit di atas. Exploit adalah celah keamanan yang muncul karena ketidak sempurnaan / kesalahan dalam pemrograman software sehingga memungkinkan terjadinya eksploitasi atas celah keamanan tersebut (dengan mengirimkan kode tertentu) yang dapat berakibat pada pengambilalihan komputer, perusakan data ataupun hal lainnya yang sangat merugikan pengguna komputer. Untuk menghindari eksploitasi ini, anda harus menginstal patch yang dapat di download secara gratis dari vendor pembuat software. Bila anda pengguna Windows XP SP2 dan Windows Server 2003 kami sarankan untuk mengaktifkan automatic update sehingga komputer anda secara otomatis akan melakukan update setiap kali muncul celah keamanan yang membutuhkan patch baru.

Sebagai catatan, vulnerability atau celah keamanan adalah hal yang wajar dan "tidak ada" software buatan manusia yang bebas dari celah keamanan. Setiap hari ditemukan puluhan celah keamanan baru dari semua software maupun hardware (yang dikendalikan software) dan jika anda ingin mengetahui lebih jauh mengenai hal ini silahkan kunjungi www.securityfocus.com.

 

Jawara lama Zafi terlempar dari tangga Top 10 dan tersisa hanya [3]Netsky-3,227 dan [4]Bagle-2,463 pada peringkat 3 dan 4. Sedangkan veteran [2]Redlof-3,764 menyodok ke peringkat dua mengusur Bagle. Posisi Klez yang mengikuti jejak Zafi digantikan oleh pendatang baru [5]Pinfi-2,177 pada peringkat lima diikuti oleh veteran lain yang (seperti residivis) langganan keluar masuk Top 10 [6]Funlove-859 pada peringkat ke enam. Setelah itu peringkat 7 - 9 dihuni oleh [7]Korgo-406, [8]CIH-227, [9]WYX-142. Pada peringkat 10 terdapat penyelamat muka Indonesia [10]Pesin-137.

 

Perang Deface

Melihat perkembangan terakhir dimana hacker Indonesia dengan hacker Malaysia saling menyerang dengan mendeface website negara yang "dianggap" musuhnya, Vaksincom menyarankan bagi anda pengelola website (administrator) untuk publik khususnya website pemerintah *.*.go.id maupun website untuk kepentingan umum seperti PLN, Telkom, ISP dan lainnya untuk mengambil pelajaran dari hal yang terjadi dimana admin harus selalu waspada tidak hanya dari deface tetapi juga ancaman perusakan dan pencurian data. Jika website di deface anda tidak saja kehilangan muka, tetapi pada situasi bisnis tertentu anda bisa kehilangan bisnis karena hal ini mencerminkan kebijakan pengelolaan sekuriti yang tidak baik. Salah satu cara untuk mengamankan diri anda adalah menggunakan sekuriti appliances seperti ISA Server 2004 yang multifungsi firewall, proxy, antivirus, antispam dan antihack dalam satu alat.

 

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@vaksin.com