Maandag 08 April 2013

Belajar Hack.. Mengirim Virus Lewat Chatting dan Penawarna...

Cara Mengirim Virus Lewat Chating

kolab full html m5db01bba Virus FB Chat varian Zbot, komputer jadi robot, jaringan jadi bolotPernah-kah Anda mendapatkan pesan chat pada Facebook dari salah satu kontak Facebook Anda ? Pesan chat tersebut memberikan sebuah link tertentu. (lihat gambar 1)

21″ border=”0″ />

Gambar 1, Pesan FB Chat bervirus

Jika Anda meng-klik link pada pesan chat tersebut, maka secara otomatis file virus akan terdownload ke dalam komputer Anda. Dan jika Anda menjalankan file tersebut, maka komputer Anda akan terinfeksi oleh virus tersebut.

Jika anda familiar dengan salah satu varian worm yang menyebar via chat seperti YM (Yahoo! Messenger) atau Skype, maka anda patut waspada, karena VaksinCom telah menerima laporan serangan worm/rootkit/trojan yang menyebar menggunakan pesan chat pada FB. Hebatnya, virus ini tidak memanfaatkan Apps Facebook sehingga administrator Facebook tidak bisa menghentikan virus ini dibandingkan dengan virus Facebook lain yang mengandalkan Apps.

Sejak pertengahan Agustus hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan worm/rootkit/trojan ini, dan varian tersebut terdeteksi oleh Norman sebagai W32/Kolab.xx. (lihat gambar 2)

kolab full html m15309c9f Virus FB Chat varian Zbot, komputer jadi robot, jaringan jadi bolot 19″ border=”0″ />

Gambar 2, Norman mendeteksi varian W32/Kolab.xx

Keluarga ZBOT : Broadcast message

Keluarga ZBOT merupakan salah satu kelompok trojan/backdoor yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan khususnya yang berhubungan dengan Internet Banking.

Sedangkan varian worm/rootkit/trojanKolab merupakan salah satu varian dari ZBOT yang muncul sejak pertengahan Agustus 2011. Varian ini memiliki kemampuan mengirim pesan yang disertai link yang memiliki konten bervirus. Link yang dikirimkan pun bermacam-macam sesuai dengan jenis varian. Trojan Kolab juga diidentifikasikan sebagai W32/Kryptik atau W32/SlenfBot.

Trojan ini memiliki kemiripan (atau mungkin merupakan bagian) dengan kelompok malware YM (ChyMine/YiMfoca, yang identik menyebar menggunakan akun YM, Skype, Gtalk, dan lain-lain) karena memiliki file dan lokasi yang sama persis dengan malware YM.

Gejala & Efek Trojan Kolab

Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

  • BSOD, menumpang svchost

Trojan Kolab tidak berjalan pada proses atau services Windows, sehingga sulit menemukan dan mematikan keberadaan trojan ini. Tetapi, trojan ini justru mendompleng atau menumpang pada file svchost.exe milik Windows, sehingga Anda akan sulit mematikan-nya. Jika Anda memaksa mematikan file svchost.exe, komputer akan blue screen (lihat gambar 3). Termasuk jika Anda mencoba melakukan scan menggunakan tools removal tertentu seperti GMER (tools mendeteksi rootkit).

kolab full html m519a972a Virus FB Chat varian Zbot, komputer jadi robot, jaringan jadi bolot 22″ border=”0″ />

Gambar 3, Berusaha mematikan file svchost yang telah didompleng, akan muncul BSOD

  • Broadcast ke IP-IP tertentu

Walaupun tidak berjalan pada proses atau services Windows, trojan Kolab memanfaatkan file svchost.exe Windows, untuk melakukan broadcast pada IP-IP Address tertentu. Hal ini yang membuat jaringan internet menjadi lambat. (lihat gambar 4)

kolab full html 1c5662b1 Virus FB Chat varian Zbot, komputer jadi robot, jaringan jadi bolot 23″ border=”0″ />

Gambar 4, Aktivitas broadcast yang dilakukan oleh trojan Kolab

  • Mencantumkan diri-nya pada Windows Firewall

Agar dapat berjalan bebas tanpa hambatan dan tidak di blok Firewall, trojanKolabikut mencantumkan diri-nya pada Windows Firewall, sehingga dapat melakukan koneksi dan broadcast pada IP-IP tertentu dengan leluasa. (lihat gambar 5)

kolab full html 61afa6c8 Virus FB Chat varian Zbot, komputer jadi robot, jaringan jadi bolot 24″ border=”0″ />

Gambar 5, Aktivitas broadcast yang dilakukan oleh trojan Kolab

  • Menyembunyikan proses berjalan

Hebatnya trojan Kolab, walaupun sedang melakukan broadcast tetapi tidak terlihat dalam proses Windows. Hal ini yang menyebabkan agak sulit untuk dimatikan secara manual. Banyak aplikasi sekuriti yang tidak mampu mendeteksi Kolab seperti :

  • Windows Task Manager

  • Process Explorer

  • Current Process

  • HijackThis

  • Dll

  • Aktif pada Start-Up

Bukan hanya pada Windows Firewall, trojan Kolabjuga ikut mencantumkan dirinya pada start-up Windows. Sehingga jika komputer akan dijalankan, maka trojan Kolab akang langsung aktif. (lihat gambar 6)

kolab full html m72ba031f Virus FB Chat varian Zbot, komputer jadi robot, jaringan jadi bolot 20″ border=”0″ />

Gambar 6, File trojan Kolab yang aktif pada Start-up

  • Menyebarkan pesan chat link bervirus pada Facebook

Ini adalah gejala pamungkas, jika Anda telah terinfeksi oleh Kolab. Komputer Anda akan mengirimkan pesan chat link yang mengandung virus kepada teman-teman Facebook Anda seperti pada gambar 1 di atas atau gambar 7 di bawah ini. (lihat gambar 7).

kolab full html m1da60346 Virus FB Chat varian Zbot, komputer jadi robot, jaringan jadi bolot 211″ border=”0″ />

Gambar 7, File trojan yang aktif pada Start-up

Beberapa link tersebut umumnya berasal dari website yang memberikan ijin untuk menyimpan atau menyebarkan file secara gratis seperti :

  • Imageshack.com

  • Imgdropbox.com

  • Megafilehd.com

  • Facebook.com

  • Mengirim pesan chat link bervirus pada aplikasi web lain yang terhubung dengan Facebook

Salah satu aplikasi web yang terintegrasi dengan Facebook yaitu Skype juga ikut menjadi korban dari serangan trojan Kolab. Umumnya jika Anda menggunakan account Skype yang sama dengan account pada Facebook Anda, maka secara otomatis akan saling terintegrasi. Hal ini yang dimanfaatkan trojan Kolab untuk dapat menyebarkan pesan chat yang mengandung link bervirus. Hal ini juga bisa terjadi jika account Facebook Anda terintegrasi juga dengan account lain yang memiliki fitur chat. (lihat gambar icon cool Virus FB Chat varian Zbot, komputer jadi robot, jaringan jadi bolot

kolab full html 764d9b47 Virus FB Chat varian Zbot, komputer jadi robot, jaringan jadi bolot

Gambar 8, Trojan Kolab mengirim pesan pada Skype yang terintegrasi dengan Facebook

File Trojan Kolab

Trojan Kolab dibuat menggunakan bahasa pemrograman C++. Varian dari trojan ini sudah sangat banyak dan beragam, serta memiliki ukuran yang berbeda-beda. Berikut ciri-ciri file trojan sebagai berikut : (lihat gambar 9)

  • Memiliki ukuran beragam dari 150 kb s/d 300 kb

  • Type file “Application” dan “MS-DOS Application”

  • Memiliki extension “com” dan “exe”

kolab full html m7804b58d Virus FB Chat varian Zbot, komputer jadi robot, jaringan jadi bolot 231″ border=”0″ />

Gambar 9, File trojan Kolab

Saat trojan Kolab berhasil dijalankan, trojan hanya akan membuat 1 file induk yaitu :

  • C:\WINDOWS\system32\[nama_acak.exe]

Sedangkan file yang didownload melalui link pada pesan chat seperti berikut :

  • [nama_file.JPG_link_website].com

Keterangan :

  • Nama_file : nama file acak, identik dengan “Picture”

  • Link_website : merupakan tempat file tersebut dapat di download, misal www.facebook.com

Modifikasi Registri

Modifikasi registri yang dilakukan oleh trojan Kolab antara lain sebagai berikut :

  • Menambah Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Windows Network = C:\WINDOWS\system32\[nama_acak].exe

Metode Penyebaran

Cara trojan Kolab melakukan penyebaran yaitu sebagai berikut :

  • Pesan chat melalui account FB atau yang terhubung dengan FB (lihat gambar 10)

Cara satu-satunya trojan Kolab untuk menginfeksi dan melakukan penyebaran melalui media jejaring sosial Facebook melalui fitur chat.

Geplaas deur om

3 opmerkings:

Teken in op: Plaas opmerkings (Atom)