Gambar 1, Serangan malware Indonesia paruh pertama 2020.


Paruh pertama 2020, serangan malware di Indonesia didominasi gerombolan si berat. Di antaranya ada trojan yang lebih trojan dari trojan. Maksudnya?

Gerombolan pertama 176-167 adalah gerombolan malware zaman now terdiri dari trojan, ransomware dan miner (46,11%).

Gerombolan kedua 176-671 adalah penguasa lama yang dapat digolongkan sebagai malware zaman old terdiri dari worm dan malware (36,52%).

Dan terakhir, gerombolan ketiga 176-761 yang patut di waspadai adalah gerombolan millenial terdiri dari PUA, adware dan scareware (17,37%). (Lihat gambar 1)

Statistik data serangan ini dikumpulkan secara anonim dari semua pelanggan Vaksincom yang tersebar di seluruh Indonesia dan bersedia berpartisipasi.

 

Gambar 2, Statistik Antivirus dapat dikumpulkan secara realtime melalui konsol antivirus dengan teknologi cloud.



Data statistik ini secara internal juga dapat dikumpulkan oleh pengguna antivirus korporat secara mandiri dan otomatis.

Data ini dapat membantu mengidentifikasi dan analisis secara realtime informasi ancaman sekuriti lengkap dengan nama malware, ukuran malware, nama file, IP komputer yang terinfeksi, waktu terinfeksi, OS apa yang digunakan dan informasi lainnya yang dibutuhkan oleh administrator jaringan.

Dengan demikian administrator dapat mengetahui kondisi jaringan yang diproteksinya dan kebijakan atau tindakan apa yang harus dilakukan untuk proteksi jaringan yang dilindunginya. (Lihat gambar 2)


Trojan, Ransomware dan Miner


Trojan, ransomware dan miner dimasukkan ke dalam satu kelompok karena hubungan yang sangat erat antara ketiganya.

Mayoritas serangan ransomware dan miner menggunakan Trojan sebagai sarana untuk mendapatkan korbannya.

Gambar 3, Trojan generic dan BT (Backdoor Trojan) menunjukkan keterkaitan yang tinggi dengan ransomware.


Trojan sebenarnya tidak hanya digunakan untuk menyebarkan ransomware dan miner, seringkali trojan juga dimanfaatkan untuk menyebarkan malware kategori lain seperti agent yang termasuk dalam kategori adware atau keylogger yang menjalankan aksinya mencuri kredensial penting dari sistem yang di infeksinya.

Namun tingginya trojan generic (80,26%) dan Gen.BT alias Backdoor Trojan (2,45 %) menunjukkan keterkaitan yang sangat erat antara ransomware dengan trojan. (Lihat gambar 3)

Apa dasarnya mengatakan kalau trojan generic memiliki keterkaitan tinggi dengan ransomware? Dalam kasus nyata, sebenarnya sangat sulit mendapatkan ransomware yang sedang menjalankan aksinya, kecuali ransomware merupakan worm lawas seperti Wannacry dan variannya yang sebenarnya digunakan untuk cyberwar oleh Rusia dan bukan ransomware sejati.

Hal ini disebabkan ransomware yang sifatnya 'lebih trojan dari trojan'.

Apa maksudnya lebih trojan dari trojan? Seperti kita ketahui, penamaan trojan berasal dari cerita kuda troya dimana ia datang dalam keadaan seolah-olah tidak berbahaya dan secara sukarela dijalankan oleh korbannya.

Hal ini diperlukan karena apa yang dilakukan trojan merugikan korbannya seperti menjalankan program jahat guna mencuri password atau diam-diam menggunakan sumberdaya komputer (prosesor atau kartu grafis) untuk menambang bitcoin atau mata uang kripto.

Jadi kalau aksinya trojan tertangkap dan ketahuan, artinya trojan itu kurang sukses dan tentunya akan langsung dicekal dan dibasmi seperti trojan yang ditangkap oleh Webroot dalam statistik antivirus ini.

Risiko trojan tertangkap sangat tinggi karena aksinya memonitor password dan menambang Bitcoin membutuhkan proses yang berjalan secara terus menerus di komputer korban mudah terdeteksi.

Keuntungan yang didapatkan dari keylogger dan miner juga relatif rendah dan sifatnya jangka panjang.

Beda kasusnya jika trojan berhasil menginstalkan ransomware, ia tidak perlu menjalankan proses terus menerus seperti miner maupun keylogger.

Ia hanya perlu satu kali sukses menginfeksikan malware (ransomware) yang tidak terdeteksi oleh program antivirus.

Jika berhasil menginfeksi sistem dan menjalankan aksinya, maka ia akan bisa langsung 'cashout' memanen hasil kerjanya dengan meminta uang tebusan kepada korban yang datanya berhasil dienkripsi.

Untuk menjamin keberhasilan ransomware dengan menumpang trojan yang sudah bersusah payah menginfeksi sistem lalu tertangkap hanya karena menginjeksi dengan ransomware yang mudah terdeteksi antivirus, sama saja membuang peluang yang sudah ada di depan mata.

Maka, pembuat ransomware dalam menjalankan aksinya akan berusaha semaksimal mungkin menggunakan varian ransomware baru atau yang belum pernah terdeteksi oleh program antivirus.

Jika ransomware berhasil menjalankan aksinya mengenkripsi data, maka ransomware ini akan otomatis menghancurkan dirinya dan tidak dapat ditemukan jejaknya, kecuali data yang sudah dienkripsi dan pesan ransomware yang memang sengaja ditinggalkan oleh ransomware.

Hal ini dilakukan supaya ransomware yang sama dapat digunakan lagi untuk aksi ransomware di komputer lain. Karena itulah ransomware dapat dikatakan sebagai malware yang lebih trojan dari trojan.

Lalu, bagaimana melindungi diri dari malware seperti ini? Selain menjalankan backup dengan baik dan terlindung dari akses ransomware, Anda dapat mempertimbangkan solusi preventif melindungi sistem komputer dengan Vansom Protect yang dapat mengembalikan data hanya dengan beberapa kali klik sekalipun data Anda berhasil dienkripsi ransomware.

Selain gerombolan ransomware, malware yang banyak dihentikan oleh webroot adalah kelompok worm lawas : ramnit, sality dan mogoogwi dan malware seperti malware.mlpe, suspisious heuristic dan malware.generic.

Tabel 1, Insiden malware Indonesia paruh pertama 2020.


Sedangkan kelompok kedua yang dapat dikategorikan sebagai malware millenial adalah PUA Potentially Unwanted Application, Adware dan Scareware.

Adapun insiden malware paruh pertama 2020 dapat dilihat pada tabel 1 :

Learn more »

Baru-baru ini ditemukan sebuah trojan perbankan yang menyaru sebagai aplikasi bernama Coronavirus Finder. Seperti apa cara kerjanya?

Coronavirus Finder adalah trojan Ginp yang menyaru sebagai aplikasi yang memanfaatkan ketakutan orang terhadap virus corona. 

Aplikasi ini mengaku bisa menunjukkan orang di sekitar pengguna yang terkena virus corona.

Tampilan antarmukanya sederhana, di mana ia menunjukkan sejumlah orang di sekitar pengguna yang terinfeksi virus tersebut. 

Lalu aplikasinya akan memaksa pengguna untuk membayar sejumlah uang untuk memperlihatkan lokasi tepat dari orang yang terinfeksi itu.

Ditulis Kaspersky dalam keterangan persnya, aplikasi ini terlihat sangat meyakinkan untuk banyak orang. 

Terlebih lagi biaya yang dibayarkan relatif murah, dan jika si korban sudah yakin untuk melakukan transaksi tersebut, mereka akan diarahkan ke dalam sebuah laman situs.

Di laman tersebut, korban diminta untuk memasukkan data-data kartu kreditnya. Setelah data-data tersebut dimasukkan, sudah bisa ditebak, data kartu kredit itu pun resmi tercuri.

Mereka bahkan tak akan menagih biaya yang seharusnya dibayarkan untuk melihat lokasi orang yang terinfeksi virus corona itu. 

Si pencuri kini mempunyai informasi yang jauh lebih berharga ketimbang nominal tersebut.

Tentu saja si korban juga tak akan mendapat informasi mengenai lokasi orang yang positif COVID-19 itu, karena tak ada yang mempunyai informasi seperti ini, bahkan pemerintah pun tak punya data seperti itu.

Menurut Kaspersky Security Network, saat ini korban terbanyak dari Ginp berlokasi di Spanyol. 

Namun, kemudian ditemukan versi Ginp baru dengan embel-embel 'flash-2', di mana versi sebelumnya bertuliskan 'flash-es12'. 

Mungkin saja versi baru ini adalah trojan yang bakal disebarkan di luar Spanyol.

Ginp adalah satu dari sekian banyak eksploitasi yang dibuat dengan memanfaatkan virus corona. 

Sebelumnya ada banyak taktik phishing dan bermacam malware lain yang memanfaatkan isu serupa.

Learn more »

Sebuah Trojan Android baru, Simplelocker, ditemukan perusahaan keamanan Eset yang miliki kemampuan untuk mengunci SD Card. Trojan ini akan mengenkripsi kartu SD di perangkat Android apapun yang berhasil disusupi.

Tak hanya mengunci, namuan Simplelocker juga berikan ancaman lain yang bertujuan untuk memeras pemilik Android. Trojan ini akan tampilkan pesan di layar ponsel dengan pemberitahuan jika device pengguna telah terkunci.

Penguncian ini dilakukan sebab pengguna dianggap telah mendistribusikan pornografi anak. Agar ponsel bisa dibuka kembali maka pemilik wajib membayar USD 22 dalam mata uang Ukraina yang ditransfer melalui Ukrainan MoneXy.

Sebelum lakukan aksi “pemerasan”, Trojan Simplelocker setelah menyusup ke perangkat terlebih dahulu memburu file-file tertentu dan kemudian lakukan enkripsi ke kartu SD. Trojan ini diduga menyusup melalui aplikasi “tak jelas” yang diinstal pengguna.

Sejumlah berkas yang akan dienskripsi yakni berformat jpeg, gif, docx, dan txt. Sementara file lain yang diincar yakni berformat video seperti mkv, avi, dan mp4. Tak hanya dienskripsi, sejumlah berkas tersebut juga dimungkinkan untuk dilenyapkan alias hilang.

Modus software “jahat” yang mengancam pengguna kemudian meminta “tebusan” bukan kali ini saja terjadi. Sebelumnya, Eset juga mendapati virus bernama Kafeine yang mencegah pemilik Android tak bisa lakukan aksi unggah. Segala bentuk ancaman itu akan hilang bila pengguna ponsel bersedia membayar.

Learn more »

aya suka membuat dokumen dengan latex. Untuk distribusi tex saya memakai Miktex 2.9. Pada saat saya scan komputer pake Baidu Antivirus 2014 saya dapat peringatan bahwa dalam direktory MiKTeX 2.9 ada virus trojan backoor tepatnya Trojan.Backdoor.Heur.gen. Filenya biber.exe dengan ukuran 11.7 MB dlm directory Program Files/MiKTeX 2.9/miktex/bin. Tapi saya masih belum yakin apakah itu virus trojan atau bukan karena saat saya scan dengan Avira itu tidak terdeteksi. Meskipun begitu saya sudah mengkarantinanya dengan Baidu tadi. 

* Apakah itu virus trojan backdoor dan tujuannya apa?
* Dari mana asalnya virus trojan bacdoor ?
* Apakah Baidu antivirus dapat dipercaya ?
* Kenapa tidak terdeteksi oleh Avira padahal sering diupdate ?

Jawaban [Vaksincom]:

Saya jawab secara definitif dan saya tambahkan beberapa hal yang cukup penting sebagai informasi anda.

1. Virus Trojan Backdoor pada dasarnya adalah Trojan (Kuda Troya), Backdoor arti harfiahnya adalah “pintu belakang” maksudnya untuk menguatkan karakter Trojan yang bergerak secara tersembunyi dari pintu belakang dan tidak terdeteksi sehingga ia bisa melakukan aktivitas jahatnya dengan leluasa. 

Biasanya tujuan Trojan adalah untuk bercokol di komputer yang diinfeksinya dan melakukan aktivitas jahat seperti mencuri data, melakukan keylogging dan terkadang menjadikan komputer sebagai zombie untuk menjalankan perintahnya.

Trojan horse yang terbaik adalah yang tidak terdeteksi oleh antivirus karena ia bisa melakukan aktivitasnya jahatnya dengan bebas tanpa disadari oleh korbannya dan mendapatkan keuntungan atas aktivitas tersebut selama mungkin, sekali terdeteksi biasanya Trojan horse langsung dibasmi oleh antivirus dan tidak didiamkan karena akan terus melakukan aktivitas jahatnya jika tidak dimusnahkan.

2. Asal Trojan Backdoor agak sulit dijawab. Apakah maksud Anda negara yang membuat atau siapa yang membuatnya. Pembuat Trojan backdoor adalah siapapun yang berkepentingan untuk mendapatkan data dari komputer yang diincarnya dan memutuskan untuk mendapatkan data itu dengan menyebarkan Trojan. 

Kalau asalnya pada saat ini siapapun yang terhubung ke internet dengan tanpa pengetahuan pemrograman yang tinggi sekalipun bisa membuat dan menyebarkan Trojan horse dengan bantuan tools. 

Jadi pembuat trojan itu bisa script kiddie (promgrammer pemula) sampai dinas rahasia suatu negara bisa membuat malware sejenis trojan seperti Uroburos dari Rusia yang berhasil wara wiri selama 3 tahun tanpa terdeteksi dan menjalankan aksinya mencuri data komputer negara musuhnya.

3. Baidu antivirus merupakan produk antivirus gratis yang berasal dari China. Untuk mendapatkan gambaran mengenai performa antivirus, salah satu sumber independen yang cukup terpercaya adalah Virus Bulletin. 

Untuk mengetahui perbandingan performa antivirus dunia terakhir kamu bisa lihat dari Reactive and Proactive Quadrant Virus Bulletin Award di sini

4. Saya tidak mengatakan Baidu benar atau Avira yang salah dalam kasus Anda. Untuk mendapatkan gambaran yang lebih obyektif terhadap satu sampel malware kamu bisa mengupload sampel tersebut ke virustotal dimana Virus Total (yang sudah diakuisisi oleh Google) akan melakukan scanning atas sample yang kamu curigai sebagai malware tersebut dengan 48 merek antivirus. 

Di sini Anda akan bisa melihat apakah Baidu melakukan false positive (salah deteksi) atau Avira yang tidak mampu mendeteksi malware tersebut. Learn more »