Darlloz tergolong virus yang hebat. Bagaimana tidak? Program jahat ini bukan cuma menyerang komputer, tapi juga router, TV, kamera, dan apapun yang bisa terhubung ke internet.

Darlloz merupakan varian worm yang memiliki kemampuan menyebarkan diri dengan cepat. Sejauh ini diketahui bahwa program tersebut dibuat berdasarkan Linux.

Program jahat tersebut awalnya dibuat untuk menyerang mesin yang menggunakan chip Intel, namun belakangan diketahui bahwa Darlloz juga bisa menyerang perangkat berbasis ARM. 

Menurut Kaoru Hayashi, analis virus dari Symantec, yang paling menakutkan dari Darlloz adalah kemampuannya menyerang berbagai perangkat apa pun yang punya kapasitas terhubung ke internet. 

"Saat menyerang, worm tersebut akan membuat IP secara acak untuk menyerang mesin yang sudah diketahui identitas dan passwordnya. Kemudian ia akan meminta HTTP Post untuk mengeksploit semua celah," jelas Hayashi, seperti dikutip dari Arstechnica.

Sejauh ini Darlloz memang belum banyak beredar, namun dengan kemampuan menyerangnya yang unik, bisa jadi ini merupakan sebuah program baru yang bakal meresahkan.

Learn more »

ZeroAccess botnet adalah salah satu botnet terbesar saat ini dengan populasi sebesar 1,9 hingga 2,2 juta komputer pada hari tertentu, berdasarkan pengamatan Symantec pada bulan Agustus 2013.

Fitur utama dari ZeroAccess botnet adalah penggunaan arsitektur komunikasi peer-to-peer (P2P) command-and-control (C&C), yang memberi botnet ketersediaan dan redundansi tingkat tinggi.

Ketika satu komputer terinfeksi ZeroAccess, komputer itu awalnya akan menjangkau peers-nya untuk melakukan pertukaran detail tentang peers lainnya dalam jaringan P2P yang diketahui. Dengan cara ini, bot memahami bagian-bagian lain dan dapat menyebarkan instruksi dan file di seluruh jaringan dengan cepat dan efisien.

Dalam ZeroAccess botnet, ada komunikasi konstan antar peers. Setiap peer akan terus terhubung dengan peers lainnya untuk bertukar daftar peer dan memeriksa file diperbarui, sehingga sangat tahan terhadap segala upaya mematikannya.

Mengingat konstruksi dan perilakunya, ZeroAccess tampaknya dirancang terutama untuk memberi muatan pada komputer yang terinfeksi. Dalam ZeroAccess botnet, kegiatan produktif (dari sudut pandang penyerang) dilakukan oleh muatan yang telah diunduh pada komputer yang diincar.

Click fraud

Salah satu jenis muatan yang kita lihat adalah penipuan click fraud Trojan. Trojan ini akan mengunduh iklan online ke komputer dan kemudian menghasilkan klik buatan pada iklan seolah-olah mereka dihasilkan oleh pengguna yang sah.

Klik palsu tersebut menghitung pembayaran dalam skema afiliasi pay-per-click (PPC).

Bitcoin mining

Mata uang virtual menciptakan daya tarik bagi para penjahat cyber. Cara setiap bitcoin muncul didasarkan pada operasional matematika yang dikenal sebagai ‘mining’ pada hardware komputer.

Kegiatan ini memiliki nilai langsung ke botmaster dan berdampak pada pengenaan sejumlah biaya terhadap korbannya yang tanpa sadar tidak mencurigainya.

Learn more »

Siapa yang tak terkesima dengan wanita cantik. Saat dijadikan pancingan, mereka kerap kali sukses menggaet para korban. Termasuk saat digunakan untuk menjalankan kejahatan cyber.

Hal ini pula yang menjadi sumber inspirasi bagi pembuat malware lokal yang sedang mengganas di Indonesia dalam beberapa bulan belakangan ini.

G Data mendeteksi virus ini sebagai Annie.sys, Beautiful Girl atau sebagai Trojan.JS.Autorun.A. Dengan iming-iming file bernama 'Beautiful Girl' alias wanita cantik, malware ini sukses menarik perhatian calon korbannya sehingga berhasil menjadi salah satu malware yang paling banyak dibicarakan di komunitas online Indonesia.

Malware ini memiliki aksi yang 'sakti' karena memiliki kemampuan injeksi html dan infeksi korban melalui file html seperti malware Ramnit.

Selain itu, ia juga memiliki payload yang cukup merepotkan seperti melakukan bloking atas banyak fungsi administrasi Windows seperti Registry Editor, Task Manager, Microsoft Management Console, File Assosiasi, System Restore, menyembunyikan ekstensi file dan tidak dapat menampilkan file yang tersembunyi (hidden).

Tidak cukup aksi di atas, ia juga melakukan blocking atas aplikasi pendukung yang biasa digunakan untuk membersihkan malware seperti Kill Process, attrib, SysInternals Autostart, SysInternals Process Explorer, RegAnalyzer, menghalangi komputer untuk menjalankan file inf dan registry dengan tujuan mencegah pembersihan virus.

Vaksincom merasa perlu untuk membahas ancaman malware ini karena malware ini memang banyak memakan korban dan hebatnya beberapa file turunannya masih sulit dideteksi oleh antivirus terkenal sekalipun.

Malware ini dapat dikatakan setingkat di atas virus lokal lainnya karena selain melakukan aktivitas yang disebutkan di atas juga memiliki kemampuan injeksi file MS Office dan html.

Celakanya, jika file html ini dijalankan di komputer lain, mirip dengan cara penularan Ramnit wanita cantik yang satu ini akan mampu menginfeksi komputer korbannya.

Hati-hati jika Anda menjumpai file dengan nama yang cukup menggoda, terlebih dengan icon video karena biasanya virus akan menggunaan nama-nama file yang 'eksotik' untuk mengundang rasa keingintahuan user terhadap file tersebut.

Seperti yang dilakukan oleh salah satu virus Trojan.JA.Autorun.A yang akan menyamarkan dirinya dengan membuat 5 file shortcut di setiap drive dengan nama Beautiful_girl_part_1.lnk s/d Beautiful_girl_part_5.lnk.

Sama seperti yang dilakukan oleh Virus Ramnit, virus ini juga akan menginjeksi file HTM/HTML untuk menyebarkan dirinya dengan menyisipkan code pada footer file HTM/HTML tersebut. G Data Antivirus dengan teknologi Active Hybryd dan Close Gap technology mendeteksi malware ini sebagai Trojan.JS.Autorun.A (lihat gambar )

Malware ini dibuat menggunakan program bahasa Java Script dengan ukuran file sekitar 9 kb. Pada saat file tersebut diaktifkan maka akan menjalankan file wmplayer.exe atau windows media player dengan tujuan mengelabui korbannya yang mengharapkan video wanita cantik.

Tujuan utama aksi ini adalah menjalankan script yang terkandung di dalam file tersebut, kemudian akan membuat beberapa file induk yang akan di simpan di beberapa lokasi.

Untuk mengelabui user, virus ini akan membuat 5 (lima) buah file shortcut (lnk) yang akan disimpan di semua root drive termasuk removable media/USB Flash.

File shortcut ini berisi script untuk menjalankan file annie.ani yang ada di drive yang sama (Script file annie.ani C:\Windows\system32\wscript.exe //e:jscript.encode annie.ani /q:1), sehingga jika user menjalankan file tersebut maka secara otomatis akan mengaktifkan virus tersebut dengan terlebih dahulu akan menjalankan program Windows Media Player (wmplayer).

Learn more »