Adi Saputra, pakar keamanan dari Vaksincom menyebutkan, pihaknya mendapatkan puluhan sample shortcut yang berbeda-beda dari worm tersebut.
“Kejadian ini mirip dengan worm YM (conime/secupdat) dan virus Sality yang juga menyebar cepat dengan varian yang berbeda-beda,” ucap Adi, pada keterangannya, 13 Oktober 2010. Dengan teknik yang sama, varian malware menyebar dengan memanfaatkan celah keamanan Windows yaitu MS10-046 (celah keamanan .lnk/shortcut),” ucapnya.
Walaupun pengguna komputer sudah mengupdate antivirus, kata Adi, tetap saja worm tersebut mampu menyerang.
“Sama seperti worm YM (conime/secupdat) dan Stuxnet, metode awal penyebaran worm ini berasal pada link website yang mengandung trojan dan link spam pada e-mail,” kata Adi. “Tetapi setelah komputer pengguna terinfeksi, worm mulai melakukan penyebaran menggunakan media removable drive/disk,” ucapnya.
Selain itu, Adi menyebutkan, dalam jaringan ia akan memanfaatkan file sharing (full) dan mapping drive dengan membuat beberapa file virus dan shortcut.
Jika sudah menginfeksi korbannya, Worm Vobfus akan melakukan beberapa hal. Berikut adalah beberapa di antaranya, seperti dituturkan oleh Adi Saputra, analis antivirus Vaksincom, dalam keterangannya
- Melindungi proses worm dan mencegah proses aplikasi/program keamanan: Worm mencoba memonitor proses yang berjalan di memori dan memastikan agar proses worm tidak dimatikan oleh program/aplikasi keamanan seperti antivirus dan removal. Jika ada program/aplikasi keamanan yang berjalan, maka worm akan mencoba menginfeksi dan membuat error pada program tersebut.
- Menyembunyikan folder dan membuat file shortcut: Salah satu aksi worm ini mampu membuat pengguna komputer dag dig dug karena menyembunyikan seluruh isi folder "My Documents" user dan menggantinya dengan file shortcut. File shortcut tersebut justru diarahkan ke salah satu file virus dengan nama acak. Beberapa varian lain hanya menyembunyikan folder dan membuat file shortcut pada removable drive/disk.
- Koneksi Remote Server dan mendownload file virus lain: Dengan memonitor proses yang berjalan, worm mencoba melakukan koneksi ke IP remote server yang dituju melalui file system yang diinfeksi seperti file explorer.exe atau svchost.exe. Setelah terkoneksi, worm mendownload varian malware lain agar tidak mudah terdeteksi dari antivirus atau removal tool.
- Modifikasi key Folder Options: Secara umum, worm ini tidak akan melakukan blok terhadap beberapa program Windows seperti regedit, Task Manager, Folder Options, dll. Tetapi worm menggunakan cara lain agar file virus tidak mudah dilihat atau dihapus, untuk itu virus memodifikasi fitur Folder Options dengan menghapus salah satu key yang ada yaitu 'Hide protected operating system files (recommended)'. Dengan selalu mengaktifkan key tersebut, pengguna komputer tidak dapat melihat file virus bahkan menghapusnya.
“Dengan maraknya penyebaran malware dengan varian yang berbeda-beda, terkadang menyulitkan bagi antivirus untuk mendeteksi varian yang sama sehingga dibutuhkan sample dari virus tersebut,” kata Adi. “Tetapi ada pula beberapa antivirus yang memiliki teknologi khusus untuk mengatasi malware tanpa membutuhkan sample,” ucapnya.
Antivirus seperti ini, kata Adi, dapat dengan mudah mendeteksi dan menambahkan sendiri virus sesuai database yang dimiliki tanpa memerlukan update
Selain itu, Adi menyebutkan, dalam jaringan ia akan memanfaatkan file sharing (full) dan mapping drive dengan membuat beberapa file virus dan shortcut.
Jika sudah menginfeksi korbannya, Worm Vobfus akan melakukan beberapa hal. Berikut adalah beberapa di antaranya, seperti dituturkan oleh Adi Saputra, analis antivirus Vaksincom, dalam keterangannya
- Melindungi proses worm dan mencegah proses aplikasi/program keamanan: Worm mencoba memonitor proses yang berjalan di memori dan memastikan agar proses worm tidak dimatikan oleh program/aplikasi keamanan seperti antivirus dan removal. Jika ada program/aplikasi keamanan yang berjalan, maka worm akan mencoba menginfeksi dan membuat error pada program tersebut.
- Menyembunyikan folder dan membuat file shortcut: Salah satu aksi worm ini mampu membuat pengguna komputer dag dig dug karena menyembunyikan seluruh isi folder "My Documents" user dan menggantinya dengan file shortcut. File shortcut tersebut justru diarahkan ke salah satu file virus dengan nama acak. Beberapa varian lain hanya menyembunyikan folder dan membuat file shortcut pada removable drive/disk.
- Koneksi Remote Server dan mendownload file virus lain: Dengan memonitor proses yang berjalan, worm mencoba melakukan koneksi ke IP remote server yang dituju melalui file system yang diinfeksi seperti file explorer.exe atau svchost.exe. Setelah terkoneksi, worm mendownload varian malware lain agar tidak mudah terdeteksi dari antivirus atau removal tool.
- Modifikasi key Folder Options: Secara umum, worm ini tidak akan melakukan blok terhadap beberapa program Windows seperti regedit, Task Manager, Folder Options, dll. Tetapi worm menggunakan cara lain agar file virus tidak mudah dilihat atau dihapus, untuk itu virus memodifikasi fitur Folder Options dengan menghapus salah satu key yang ada yaitu 'Hide protected operating system files (recommended)'. Dengan selalu mengaktifkan key tersebut, pengguna komputer tidak dapat melihat file virus bahkan menghapusnya.
“Dengan maraknya penyebaran malware dengan varian yang berbeda-beda, terkadang menyulitkan bagi antivirus untuk mendeteksi varian yang sama sehingga dibutuhkan sample dari virus tersebut,” kata Adi. “Tetapi ada pula beberapa antivirus yang memiliki teknologi khusus untuk mengatasi malware tanpa membutuhkan sample,” ucapnya.
Antivirus seperti ini, kata Adi, dapat dengan mudah mendeteksi dan menambahkan sendiri virus sesuai database yang dimiliki tanpa memerlukan update
No comments:
Post a Comment