Trojan Fake, Preman Dunia Maya Yang Panjang Umur

{UNIQUE NEWS CENTER at home and abroad}

Kalau anda bertanya, malware apa yang sampai saat ini terus mengembangkan dirinya dan berani head to head melawan program antivirus dan berhasil survive dan menjadi ancaman nyata sampai hari ini bagi pengguna komputer di seluruh dunia ? Jawabannya bukan malware jawara seperti Stuxnet, Ramnit, Conficker atau Shortcut karena mayoritas program antivirus sudah mampu mendeteksi dan membasmi virus-virus jawara tersebut.

Kasus infeksi yang terjadi karena malware di atas kemungkinan besar terjadi karena kesalahan pengguna komputer yang belum melakukan patch atas celah keamanan yang dieksploitasi oleh malware-malware tersebut. Tetapi jika kita menerawang sedikit ke belakang dunia pervirusan sejak tahun 2008 (jauh sebelum virus-virus jawara hari ini menampakkan dirinya) sampai hari ini ada satu trend yang terus bertahan dan sampai hari ini masih unjuk gigi menampilkan eksistensi dirinya. Tidak lain dan tidak bukan adalah Rogue Antivirus. Sampai tahun 2012 ini, ada lebih dari 300 jenis Rogue Antivirus yang jika masing-masing memiliki 10 varian, maka ada lebih dari 3.000 jenis Rogue Antivirus yang aktif menyebar di internet, siap menerkam mangsanya. Kali ini Vaksincom akan membahas Trojan.FakeAV.MJR yang dalam minggu-minggu pertama kemunculannya di akhir Maret 2012 tidak terdeteksi oleh program antivirus dan secara cerdik menyebarkan dirinya sebagai link html melalui email

Geliat malware Antivirus palsu atau biasa disebut Rogue Antivirus tampaknya semakin bervariasi dan mendominasi hegemoni virus-virus baru. Dominasi Rogue Antivirus pada hampir setiap kemunculan-nya memiliki berbagai metode yang cukup menarik. Salah satuRogue Antivirus yang kami dapatkan pada beberapa hari belakangan ini yaitu Rogue Antivirus yang menamakan dirinya Windows Software Saver, sementara G Data mendeteksi malware ini sebagai Trojan.FakeAV.MJR. (lihat gambar 1)

Gambar 1, Trojan FakeAV.MJR

Bagi anda yang ingin mencoba Trial G Data yang menurut pengetesan Virus Bulletin RAP dan AV-Comparatives mengalahkan antivirus lainnya dalam kemampuan mendeteksi malware, anda dapat mendownload installer G Data Antivirus yang dapat di instal tanpa perlu memasukkan Serial Number dan memberikan update selama 2 (dua) bulan sampai dengan 7 Juni 2012. Silahkan download installer G Data Antivirus (230 MB) di : (pilih salah satu)

• http://www.virusicu.com/download/IDN_R_COV_2012_AV_Vaksincom.exe

• http://files.dinus.ac.id/1SWZ2MG940YG/IDN_R_COV_2012_AV_Vaksincom.exe.html(terimakasih kepada Universitas Dian Nuswantoro yang berkenan membantu memberikan link download ini guna mengurangi beban bandwidth dan mempercepat download dari wilayah Indonesia, khususnya Jawa Tengah)

• http://www.indowebster.com/idn_r_cov_2012_av_vaksincom.html

Jika anda mendapatkan kiriman link URL baik melalui e-mail atau pun dari komentar dan pesan singkat maka harap berhati-hati, karena bisa saja anda justru mendapatkan sebuah "hadiah spesial" untuk komputer anda berupa Rogue Antivirus.

Jika anda terlanjur menjalankan link URL tersebut, maka browser akan membuka sebuah situs yang mirip tampilan Windows Explorer komputer kita. Hanya saja, tampilan browsertersebut memberi informasi bahwa komputer Anda telah terinfeksi berbagai macam virus, sehingga akan diarahkan untuk men-download sebuah file aplikasi untuk dijalankan. File aplikasi tersebut lah yang merupakan antivirus palsu yang mengelabui pengguna komputer akan adanya virus pada komputer. (lihat gambar 2)

Gambar 2, FakeAV.MJR mengelabui korbannya untuk menjalankan file SETUP

Efek Trojan.FakeAV.MJR

Jika anda sudah men-download file dan mengeksekusi file Rogue Antivirus (setup.exe), maka beberapa hal yang terjadi yaitu diantaranya :

• Shortcut & Icon mirip Antivirus

Jika sudah tereksekusi, Trojan.FakeAV.MJR akan membuat shortcut pada desktop, muncul icon pada taskbar dan membuat shortcut tambahan pada Start Menu. Hal ini seolah-olah Trojan.FakeAV.MJR sudah terinstall dan berjalan pada sistem komputer layaknya sebuah program Antivirus.

• Tampilan program mirip Antivirus

Jika sudah tereksekusi, Trojan.FakeAV.MJR juga memiliki tampilan aplikasi yang mirip dengan program Antivirus, bahkan memiliki kesan yang lebih komplit dan terintegrasi dengan beberapa fitur yang lain.

• Menampilkan notifikasi peringatan pada taskbar

Melalui icon yang berjalan pada taskbar, Trojan.FakeAV.MJR membuat berbagai macam notifikasi agar pengguna komputer percaya bahwa virus telah menginfeksi komputer dan harus segera dibersihkan. (lihat gambar 3)

Gambar 3, Pesan palsu yang ditampilkan FakeAV.MJR

• Menampilkan proses otomatis scan

Hal ini digunakan oleh Trojan.FakeAV.MJR agar dapat meyakinkan pengguna komputer bahwa komputer tersebut telah ber-virus dan harus segera dibersihkan.

• Menampilkan informasi bahwa Firewall milik Rogue telah mencegah dari program tertentu

Trojan.FakeAV.MJR memberikan informasi palsu lain bahwa ada beberapa program berbahaya yang sedang berjalan pada komputer dan telah berhasil di cegah olehFirewall. Selain itu Firewall juga akan memunculkan informasi tentang IP luar yang berusaha menggunakan akun bank milik anda.

• Menampilkan informasi bahwa AntiSpam milik Rogue telah mencegah dari aksi spam

Trojan.FakeAV.MJR memberikan informasi palsu bahwa komputer anda telah terinfeksi malware yang berusaha melakukan aksi spam dan telah berhasil dicegah oleh Antispam.

• Menampilkan informasi bahwa Link-Checker milik Rogue telah mencegah link yang bersifat ilegal (Torent)

Tampaknya pembuat Trojan.FakeAV.MJR sangat update informasi, sehingga turut menyertakan aturan SOPA pada Rogue yang dibuat sehingga pengguna komputer seolah-olah diingatkan bahwa mendownload konten ilegal dapat dikenakan dan tersangkut Cybercrime. (lihat gambar 4)

Gambar 4, Pesan palsu Torrent Alert yang dimunculkan FakeAV.MJR

• Mengalihkan aplikasi Task Manager dengan membuka aplikasi Rogue yang memunculkan menu task manager

Seolah merupakan program yang komplit, Trojan.FakeAV.MJR mencoba mengalihkan aplikasi Windows Task Manager dengan aplikasi Rogue yang menampilkan menuTask manager yang disebut Advanced Proses Control.

• Mengalihkan aplikasi Regedit dengan membuka aplikasi Rogue yang memunculkan menu startup

Hampir sama dengan Task Manager, Trojan.FakeAV.MJR juga mencoba mengalihkan aplikasi Windows Regedit dengan aplikasi Rogue yang menampilkan menu Start-Upyang disebut Autorun Manager. (lihat gambar 5)

Gambar 5, Regedit diganti dengan Autorun Manager

• Mengalihkan semua fungsi aplikasi Windows dan semua aplikasi Security sehingga tidak berjalan

Semua fungsi Windows dan aplikasi keamanan akan dialihkan sehingga tidak berjalan dengan normal. Total executable yang dialihkan fungsi hingga mencapai 750 file.

• Mematikan fungsi UAC (User Account Control)

Agar dapat mengambil alih kontrol komputer pada Windows 7, Vista dan Server 2008,Trojan.FakeAV.MJR berusaha mematikan fungsi UAC. Dengan mematikan fungsiUAC akan lebih mudah menginfeksi komputer.

• Melakukan koneksi ke Remote Server untuk men-download file malware lain

Agar dapat terus menginfeksi komputer dan dapat mengirim informasi,Trojan.FakeAV.MJR melakukan koneksi ke Remote Server dan men-download filemalware lain. Beberapa IP yang terkoneksi menggunakan port 80 yaitu diantaranya :

• 95.143.37.154
• 174.129.199.91

• Memberikan informasi untuk melakukan pembayaran online untuk mengaktifkan Rogue yang masih trial

Untuk melakukan aktivasi, pengguna akan diarahkan pada browser yang berfungsi untuk melakukan aktivasi dan melakukan pembayaran secara online. Dengan melakukan hal ini seolah-olah pengguna akan dapat menggunakan produk “Windows Software Saver” yang sudah berjalan secara “full”, padahal hal ini hanya tipuan dariTrojan.FakeAV.MJR tersebut. (lihat gambar 6)

Gambar 6, Windows SoftwareSafer yang dipalsukan FakeAV.MJR guna membuat korbannya percaya melakukan transaksi finansial.

File Trojan.FakeAV.MJR

Trojan.FakeAV.MJR memiliki ciri-ciri sebagai berikut : (lihat gambar 7)

• Memiliki ukuran file sebesar 2,070 kb
• Memiliki nama file “setup.exe”
• Menggunakan icon “WinRAR SFX Archive”
• Memiliki tipe file “Application”

Gambar 7, Contoh file FakeAV.MJR

Setelah file Trojan.FakeAV.MJR dijalankan, maka akan membuat beberapa file yaitu :

• C:\Documents and Settings\[user]\Application Data\Protector-[acak].exe
• C:\Documents and Settings\[user]\Application Data\result.db

Selain itu akan membuat file shortcut pada :

• C:\Documents and Settings\All Users\Start Menu\Programs\Windows Software Saver.lnk
• C:\Documents and Settings\[user]\Desktop\Windows Software Saver.lnk

Agar tetap dapat menginfeksi komputer, Trojan.FakeAV.MJR mencoba melakukan koneksi ke Remote Server dan men-download beberapa file malware yaitu :

• C:\Documents and Settings\[user]\Application Data\NPSWF32.dll
• C:\Documents and Settings\[user]\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#local\settings.sol
• C:\Documents and Settings\[user]\Local Settings\Temporary Internet Files\galaint.coolsecupdate[1].htm
• C:\Documents and Settings\[user]\Local Settings\Temporary Internet Files\myipreal[1].htm
• C:\WINDOWS\system32\d3d9caps.dat

Modifikasi Registry

Beberapa key registry yang telah dilakukan modifikasi yaitu diantaranya :

• Menambah Registry

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Inspector : C:\Documents and Settings\[user]\Application Data\Protector-[acak].exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings

UID : [acak]

ID : 0xB

GConfig

Net : [tanggal_infeksi]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

WarnOnHTTPSToHTTPRedirect : 0x00000000

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Ad-Aware.exe, Agent.exe, AshAvast.exe, Avgnt.exe, bidef.exe, fsav.exe, kavpf.exe, kazaa.exe, kerio.exe, mcshield.exe, MSASCui.exe, nav.exe, nod32.exe, regedt32.exe, rtvscan.exe, vptray.exe, zonealarm.exe, dll (hingga 750 executable aplikasi).

Media Penyebaran

Trojan.FakeAV.MJR melakukan media penyebaran dengan memanfaatkan kiriman link URL baik melalui e-mail atau pun dari komentar dan pesan singkat. (lihat gambar 8)

Gambar 8, Link FakeAV.MJR yang dikirimkan via email sehingga tidak terdeteksi

Jika tidak ingin menjadi korban dari Trojan.FakeAV.MJR, sebaiknya hati-hati jika mendapatkan kiriman link URL yang tidak jelas baik via e-mail maupun komentar dan pesan singkat.

Metode Pembersihan

Berikut langkah-langkah pembersihan Trojan.FakeAV.MJR :

• Lakukan pembersihan Trojan.FakeAV.MJR menggunakan G Data BootCD

• • Download G Data BootCD pada alamat berikut

http://www.indowebster.com/gdatabootcd_27032012.html

• • Jika sudah selesai men-download, burning ke dalam CD dan bootingkomputer melalui CD. Pada pilihan menu pilih “G Data BootCD”, biarkan proses hingga masuk. (lihat gambar 9)

Gambar 9, Gunakan G Data Boot CD untuk membasmi FakeAV.MJR

• • Jalankan pilihan “Actions” pada “Checking Computer”, untuk membersihkan Trojan.FakeAV.MJR (lihat gambar 10)

Gambar 10, G Data boot CD memberishkan FakeAV.MJR

Jika sudah selesai, klik “Close” dan “Reboot” G Data BootCD.

Dan kali ini booting komputer tanpa menggunakan CD atau langsung bootingWINDOWS.

• Hapus key registry yang dibuat Trojan.FakeAV.MJR
  • Download aplikasi Autoruns pada alamat berikut

http://download.sysinternals.com/files/AutoRuns.zip

• • Explore dan jalankan file “autoruns.exe”. Biarkan hingga proses scanningselesai.
  • Klik pada tab “Image Hijacks”, hapus seluruh entry yang ada. (lihat gambar 11)

Gambar 11, Image Hijacks yang perlu dibersihkan

• • Klik pada tab “Logon”, hapus entry “Inspector”. Klik “Close” jika sudah selesai. (lihat gambar 12)

Gambar 12, Hapus “inspector” pada registri logon.

• Bersihkan temporary file Trojan.FakeAV.MJR
  • Klik Menu Start -> Run
  • Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
  • Pada drive system (C) klik OK, biarkan proses scan drive.
  • Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
  • Tunggu hingga selesai.

• Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali malware ini dengan baik.

Sumber : Vaksincom