Monday 15 February 2010

Mengenali Virus Facebook Maling Teriak Rampok

Masih ingat virus Bredolab yang menggunakan rekayasa sosial dengan sasaran member Faceebook? Rupanya masalah itu terus berlanjut, namun dengan cara lebih canggih.

Agar tidak mengundang kecurigaan dari user, kini penyebarannya dengan menyertakan attachment seperti sebelumnya, tetapi akan muncul sebagai email dari admin Faceebok.

Isinya menginformasikan agar user melakukan update akun dengan alasan kenyamanan dan keamanan saat mengunjungi situs itu.

Jika tombol update diklik maka user akan diantar ke login web yang sudah dipalsukan. Padahal web login ini bukanlah asli milik Facebook, tapi untuk menampung username dan password korbannya.

Web login palsu ini mempunyai alamat yang berbeda-beda, misalnya saja http://www.facebook.com.xxxxx.eu/globaldirectory/LoginFacebook.php?ref=1584270691543478059651590405901802254672004589860384285&email=xxxxxxx@xxxx.com. Di mana xxxxx adalah karakter acak.

Jika diperhatikan sepintas, web login palsu ini mirip dengan web login asli Faceebok. Tetapi jika ditelusuri lebih teliti maka terdapat beberapa perbedaan mencolok.

Pada saat user mengisi username dan password, ia akan membuka halaman baru yang berisi link untuk download tool update account dengan nama [updatetool.exe] yang sebenarnya adalah sebuah virus/trojan yang akan menginfeksi komputer.

Subject email yang dikirimkan oleh virus ini biasanya akan berbeda-beda seperti New login system, Facebook account update, Facebook Update Tools. Virus itu mempunyai ukuran file sekitar 105 KB dengan nama [updatetools.exe].

Jika file tersebut dijalankan maka akan membuat file induk dengan nama [C:WINDOWSsystem32sdra64.exe] dan bertugas menginjeksi beberapa proses Windows seperti : C:WindowsSyste32services.exe, C:WindowsSystem32lsass.exe, C:WindowsSystem32svchost.exe, C:WindowsSystem32alg.exe, C:ProgramFilesinternet exploreriexplore.exe.

Agar tidak mudah di hapus oleh virus, file tersebut akan disembunyikan walaupun user sudah menampilkan file yang tersembunyi. Selain itu juga akan membuat beberapa file yang juga akan disembunyikan dengan tujuan agar tidak mudah di hapus. C:Windowssystem32lowsec, local.ds, user.ds, user.ds.lll.

Untuk menyebarkan diri, virus akan mengirimkan email phishing ke semua alamat yang telah diperoleh dan berisi pemberitahuan kepada user yang mempunyai akun Facebook untuk melakukan update tehadap akunnya.

Jadi harap berhati-hati jika menerima email walaupun dari Admin Facebook. Jika email dengan subyek di atas sebaiknya langsung dihapus dan jangan ikuti informasi yang terdapat dalam email tersebut.[ito-inilah]