Hati-hati ancaman virus kartu ucapan akhir tahun melalui drive by download !!
(Artikel Chip 11 – 2007 (November))
Benteng Maginot adalah suatu sistem pertahanan Perancis pada tahun 1940-an yang tersebar di sepanjang perbatasannya dengan Jerman dan Italia. Benteng ini memiliki kemampuan pertahanan yang sangat kuat dan dibangun berdasarkan pengalaman perang defensif Perang Dunia I. Tetapi sejarah membuktikan bahwa pada Perang Dunia II, pasukan Jerman tidak bodoh dengan menyerang Perancis melalui perbatasannya sehingga harus menghadapi benteng Maginot ini, tetapi malahan menyerang Perancis melalui Belgia dan Belanda menembus hutan Ardennes dan sampai di Utara Perancis dan akhirnya seperti kita ketahui Jerman berhasil menaklukkan Perancis.
Hal yang mirip terjadi pada pertempuran di dunia IT hari ini. Para administrator mailserver yang pada mulanya memperbolehkan lampiran apapun melewati server dan tiba di mail client pengguna email. Tetapi karena pembuat virus memanfaatkan lampiran email sebagai sarana untuk menyebarkan dirinya dan beberapa bahkan melakukan rekayasa sosial dengan memalsukan diri sebagai lampiran yang tidak berbahaya seperti .txt atau .jpg maka akhirnya para administrator mailserver juga melakukan blok pada lampiran-lampiran berbahaya dan hanya membolehkan beberapa lampiran lewat seperti .zip dan .rar. Tetapi menilik perkembangan terakhir dimana pembuat virus juga mulai menggunakan lampiran .zip dan .rar, bahkan perkembangan terakhir yang cukup mengejutkan dimana lampiran yang tidak berbahaya seperti .pdf pun menjadi lampiran yang berbahaya karena virus memanfaatkan celah keamanan pada Adobe Acrobat yang terbaru sehingga dapat menembus pertahanan OS dan melumpuhkan firewall Microsoft maka banyak administrator mengambil jalan pintas. BLOK semua lampiran. Walaupun secara tidak langsung hal ini menurunkan derajat dimana menerima email mirip dengan menerima SMS, tetapi hal ini dipercaya dapat memberikan keamanan bagi pengguna akhir yang memang menjadi incaran para pembuat virus guna menyebarkan dirinya. Apakah hal ini berhasil mengamankan penerima email 100 % dari serangan virus ? Ibarat Benteng Maginot, para pembuat virus pada mulanya tidak berdaya menghadapi bloking ini, tetapi ibarat tentara Jerman yang tidak bodoh untuk berhadapan langsung, para pembuat virus jugatidak kalah cerdik dan akhir-akhir ini berhasil menemukan cara untuk mengatasi pengamanan no attachment yang diterapkan oleh administrator mailserver yang radikal ini. Bagaimana caranya ? Jawabannya adalah “Drive by Download”.
Dalam papernya “The Ghost in The Browser”, team Google memberikan informasi yang sangat mengejutkan bahwa lebih dari 10 % website yang ada di internet mengandung malware yang ditujukan untuk menginfeksi pengunjung yang datang ke website tersebut. Dengan kata lain, setiap 10 website yang anda kunjungi ada 1 yang mengandung malware berbahaya yang siap menerkam saat anda mengunjungi website tersebut, sebagai contoh adalah website yang menawarkan konten pornografi dan website crack. Anda jangan lega dulu jika tidak suka dengan pornografi dan crack, karena website umum juga ternyata banyak yang mengandung malware dan penyebabnya adalah banner-banner pertukaran iklan pada website “lurus” tersebut ataupun website yang memang berhasil ditembus dan dikuasai oleh hacker jahat. Apakah hanya begitu saja ? Menunggu korban tidak berdosa datang ke website tentu tidak efektif dan harus ada umpannya. Bagaimana para pembuat virus menggiring korbannya untuk mengunjungi website ini sehingga menjadi korban Drive by Download ?
Jawabannya adalah perkembangan dari virus W32/Luder atau dikenal juga dengan nama W32/Drev. Jika virus Luder akan datang dengan lampiran “postcard.exe” pada email dan kemungkinan besar akan berhasil di blok oleh mailserver yang menolak lampiran, sudah lampiran, .exe lagi (ibarat manusia, dosanya bertumpuk tapi mau masuk surga, mana mungkin dikasih lewat :P). Namun virus yang baru ini tidak mengandung lampiran dan akan datang sebagai email biasa sehingga tentunya tidak ada yang bisa diblok oleh mailserver. (Lihat gambar 1)
Gambar 1, Email virus baru yang memanfaatkan fitur Drive by Download untuk menyebarkan dirinya
Tampilan Rekayasa Sosial yang canggih
Virus yang datang dalam lampiran postcard.exe sebenarnya merupakan varian baru dari Luder karena memiliki tampilan yang lebih canggih dan meyakinkan. Virus ini akan merekayasa dirinya seakan-akan anda mendapatkan kartu ucapan, sebagai contohnya adalah yang diterima Vaksincom “seakan-akan” ada kartu ucapan yang dikirimkan melalui Hallmark www.hallmark.com. Baik bagian pengirim “From” dipalsukan dari E-cards@hallmark.com dan tampilan body email juga sangat meyakinkan kecuali salah eja “recieved” yang harusnya “received” (yang dalam waktu singkat diperbaiki oleh pembuat virus pada varian berikutnya yang bahkan datang tanpa memanfaatkan tampilan logo macam-macam dan hanya plain text saja, dengan memalsukan email dari greetings.com, domain yang juga dimiliki oleh Hallmark). Selain itu, perbedaan utama adalah link untuk melihat kartu ucapan “To see it, click here” yang dipalsukan. Link tersebut tidak terlihat, kecuali di klik atau di lihat propertynya. Disini terlihat bahwa link tersebut mengarahkan download pada IP lain http://195.199.145.57 diluar hallmark dan jika link ini di klik, maka akan memicu download file dengan nama “postcard.exe” (lihat gambar 2).
Gambar 2, Link download kartu ucapan yang memicu download virus dengan nama file “postcard.exe”.
Guna memastikan bahwa Postcard.exe adalah virus, maka penulis melakukan scan dengan Norman Virus Control dan hasilnya adalah Norman Virus Control dengan teknologi Sandboxnya mampu mendeteksi file tersebut sebagai virus W32/Hidewindows.C.dropper. (lihat gambar 3)
Gambar 3, Norman mendeteksi file “postcard.exe” sebagai virus dengan nama W32/Hidewindows.C.dropper.
Dari penelusuran di atas, pembaca tentunya dapat mengambil kesimpulan bahwa para pembuat virus sekarang tidak kalah pintar dengan tentara Jerman yang dulu menyerang Perancis di tahun 1940. Daripada berhadapan langsung dengan pertahanan benteng Maginot yang sudah siap menghadapi serangan, Jerman memilih menyerang Perancis dari Belgia dan Belanda yang tidak memiliki benteng Maginot. Daripada repot-repot memikirkan cara menghadapi bloking lampiran oleh administrator mailserver sehingga efektivitas penyebaran virusnya menurun maka pembuat virus memilih untuk tidak mengirimkan virus melalui lampiran email, tetapi memanfaatkan email untuk mengarahkan penerimanya mendownload / menjalankan file virus dari browser (Drive by Download).
Virus ini perlu diwaspadai, dan terbukti pada Lebaran 2007 virus ini berusaha memanfaatkan event tersebut dengan mengirimkan dirinya seakan-akan kartu ucapan lebaran. Apalagi akhir tahun dimana pengiriman kartu ucapan mencapai tingkat tertinggi, maka virus ini akan mendapatkan momentum yang terbaik di bulan Desember 2007.
Salam,
Aa Tan
info@vaksin.com
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 345 6850
Fx : 021 345 6851
