Perhatian para pengguna komputer dalam beberapa bulan terakhir ini banyak tersita pada Stuxnet, Sality, Virut dan Shortcut. Termasuk perkembangan virus lokal yang secara tidak langsung menantang kreativitas programmer-programmer untuk memunculkan program antivirus lokal seperti Artav yang digawangi oleh anak SMP :). Perhatian user yang cukup besar terhadap virus lokal jangan sampai mengakibatkan lengah dengan keberadaan virus mancanegara, seperti salah satu virus yang sedang menyebar saat ini.

Baca Selengkapnya......

Penyebaran malware menggunakan jejaring sosial memang makin meningkat. Salah satu malware yang menarik perhatian adalah Win32/Delf.QCZ. Antivirus ESET mendeteksi malware ini sebagai Trojan yang mampu mengunduh malware lain dari internet.
Namun demikian, Trojan ini diketahui juga mampu mengintervensi beberapa aplikasi keamanan untuk mematikan fungsi deteksi aplikasi keamanan tersebut.
Modus penyebaran Win32/Delf.WCZ ini adalah menggunakan aplikasi lama “codec palsu/media player” dan link ke situs malware-laden yang menyebar lewat Facebook chat. Hebatnya, si pembuat malware kini juga telah meng-upgrade serangan menjadi lebih personal terhadap pengguna yang dijadikan target.

Dalam penyebarannya, selain muncul sebagai pesan spam yang dikirim seolah dari teman Facebook kita atau mengirimkan pesan-pesan umum pada Facebook wall post, malware ini juga mampu memalsukan percakapan kita sebelum mengirimkan malicious URL.

Link yang tampil ke web-web tersebut sangat mirip dengan tampilan pada YouTube. Ciri khasnya, biasanya malware ini akan meminta user untuk meng-upgrade Adobe Flash Player terlebih dahulu untuk dapat menyaksikan video yang dikirimkan. Salah satu trik yang digunakan agar calon korbannya tertarik adalah dengan meminta user menjalankan malware yang dikirim. Sedangkan nama user yang mengirimkan sudah tentu palsu karena diperoleh dari Facebook. Judul video yang ditampilkan di YouTube pun menggunakan judul tambahan agar terkesan sensasional.


Sumber

Baca Selengkapnya......

Hampir semua perusahaan antivirus menempatkan Styxnet sebagai ancaman masa depan yang bisa memicu perang dunia maya. Bagaimana tidak, virus tersebut punya kemampuan menyusup ke mesin industri dan berpotensi mengacau fasilitas penting yang dikenadalikan pembuatnya dari jarah jauh. Kasus terakhir adalah serangan Stuxnet ke fasilitas nuklir Iran. Namun, di samping menembus keamanan platform berbasis SCADA buatan Siemens yang biasa digunakan di mesin-mesin industri, Stuxnet juga dilaporkan menyerang komputer berbasis Windows. Perusahaan solusi keamanan dari Indonesia, Vaksincom, mencatat serangan Stuxnet ke komputer pribadi berbasis Windows Vista dan Windows 7. Serangan tersebut menyebabkan komputer menjadi tidak berfungsi normal dan yang pasti bakal mengganggu kegiatan penggunanya. Belum lagi, kalau malware (malicious software) atau software berbahaya ini mengacak-acak data atau mencuri informasi penting dari komputer Anda. Nah, sebelum menyesal karena terlambat mengenali infeksi malware ini, ketahui tanda-tandanya. Gejala & Efek Virus Beberapa gejala yang terjadi jika komputer Anda sudah terinfeksi Stuxnet yaitu: 
1. Install driver baru (replace driver lama) Saat Worm Stuxnet sudah menginfeksi, worm akan mencoba menghapus drive dari Realtek atau Jmicron dan menggantinya dengan driver yang baru versi worm Stuxnet. Stuxnet menginstall driver menggunakan 2 file virus yaitu : MRXCLS.SYS dan MRXNET.SYS.

2. Mematikan aktivitas Print Share Worm menginjeksi file spoolsv, sehingga aktivitas print (cetak data) menjadi terhenti. Komputer yang terinfeksi tidak akan bisa melakukan print. Sebagai ganti dari aktivitas print tersebut worm membuat 2 file yaitu : - C:-WINDOWS-system32-winsta.exe (file utama worm Stuxnet) - C:-WINDOWS-system32-wbem-mof-sysnullevnt.mof

3. Low Disk Space Akibat dari aktivitas print yang terus dipaksakan, membuat file Winsta akan terus membengkak sehingga membuat space hardisk anda menjadi habis dan tentunya akan mendapat sebuah peringatan Low Disk Space dari sistem Windows. 

4. Tidak bisa menyimpan data atau menjalankan program tertentu. Karena file Winsta yang bertambah besar dan membuat space harddisk anda berkurang, menyebabkan anda tidak bisa menyimpan data. Selain itu program/aplikasi pun tidak bisa dijalankan karena membutuhkan cache (ruang penyimpan) yang semuanya dihabiskan oleh file Winsta yang membengkak. 

5. Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus. File sistem Windows yang akan menjadi sasaran injeksi worm Stuxnet yaitu : - C:-WINDOWS-system32-svchost.exe (file sistem yang berhubungan dengan koneksi jaringan, dengan menginjeksi akan membuat jaringan terputus) - C:-WINDOWS-system32-lsass.exe (file sistem yang berhubungan dengan aktivitas komputer, dengan menginjeksi akan membuat komputer hang/lambat). 

6. Melakukan koneksi ke Remote Server Worm Stuxnet melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Remote Server yang digunakan yaitu : - www.premierfutbol.com - www.todaysfutbol.com 

7. Membuat file Scheduled Task Cara yang sama dilakukan oleh Conficker, worm Stuxnet juga membuat file scheduled task agar dapat aktif dan menginfeksi komputer. File Worm Stuxnet Saat worm Stuxnet dijalankan, worm akan menginjeksi beberapa file sistem Windows yaitu : - C:-WINDOWS-system32-lsass.exe - C:-WINDOWS-system32-svchost.exe - C:-WINDOWS-system32-spoolsv.exe Selain itu juga membuat 2 file driver yaitu : - C:-WINDOWS-system32-driver-mrxcls.sys - C:-WINDOWS-system32-driver-mrxnet.sys Dan beberapa file konfigurasi yaitu : - C:-WINDOWS-inf-oem6c.pnf - C:-WINDOWS-inf-oem7a.pnf - C:-WINDOWS-inf-mdmeric3.pnf - C:-WINDOWS-inf-mdmcpq3.pnf Serta 2 file yang lain yaitu: - C:-WINDOWS-system32-KERNEL32.DLL.ASR.xxx atau SHELL32.DLL.ASR.xxx - C:-addins-DEFRAG[angka_acak].TMP Selain itu membuat file schedule task yaitu : - C:-WINDOWS-Tasks-At1.job Saat menginfeksi file spoolsv.exe, worm membuat 2 file kembali yaitu : - C:-WINDOWS-system32-winsta.exe (file inilah yang jika aktif akan semakin mengembang / membengkak ukurannya) - C:-WINDOWS-system32-wbem-mof-sysnullevnt.mof Selain itu pada removable disk/drive akan membuat beberapa file yaitu : - Autorun.inf - Copy of Shortcut.lnk - Copy of Copy of Shortcut.lnk - Copy of Copy of Copy of Shortcut.lnk - Copy of Copy of Copy of Copy of Shortcut.lnk - ~WTR[angka_acak].tmp -~WTR[angka_acak].tmp Modifikasi Registry Beberapa modifikasi registry yang dilakukan oleh worm Stuxnet antara lain sebagai berikut : - Menambah Registry HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-MRxCls HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-MrxNet HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Services-MrxNet HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Services-MRxCls HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Enum-Root-LEGACY_MRX HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Enum-Root-LEGACY_MRXNET HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Enum-Root-LEGACY_MRXCLS HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Enum-Root-LEGACY_MRXNET Metode Penyebaran Beberapa cara worm Stuxnet melakukan penyebaran yaitu sebagai berikut : - Removable drive / disk Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Worm (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu : 

1. Autorun.inf 
2. Copy of Shortcut.lnk 
3. Copy of Copy of Shortcut.lnk 
4. Copy of Copy of Copy of Shortcut.lnk 
5. Copy of Copy of Copy of Copy of Shortcut.lnk
6. ~WTR[angka_acak].tmp 
7. ~WTR[angka_acak].tmp Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK akan langsung dieksekusi pada saat drive tersebut diakses. - Jaringan Metode ini dengan memanfaatkan celah keamanan dari sistem Windows yaitu : 1. MS08-067 (Windows Server Service), seperti hal-nya Conficker memanfaatkan celah ini dengan melakukan akses C$ dan ADMIN$ 2. MS10-061 (Windows Print Spooler), memanfaatkan printer sharing worm menginfeksi pengguna komputer yang mencoba akses ke printer server. 

Sumber : Kompas Tekno

Baca Selengkapnya......