Conflicker botnet mampu banjirkan web dengan spam

Worm Conflicker ternyata dimanfaatkan untuk mengirim email sampah. Kemampuan Conflicker yang menginfeksi computer akan mampu mengirim milyaran email sampah setiap hari.

Kasversky Lab Moscow mengatakan pembaharuan tentang Conflicker. Beberapa kasus ternyata virus ini bekerja sama dengan bot spam Waledac sehingga mampu meremote computer menjadi mesin spamming.

Sebuah computer saja mampu mengirim 42.298 email sampah hanya dalam waktu 12 jam. Terhitung 1 hari, sebuah computer yang terinfeksi dapat diperintahkan untuk mengirim 80 ribuan email sampah. Bila terdapat 5 juta computer yang terinfeksi Conflicker dan dijadikan botnet pengirim email sampah. Tinggal dikalikan dan total 1 hari internet akan kebanjiran 400 milyar email sampah ke semua penjuru dunia akibat pekerjaan si virus Conflicker dan Waledac.

Email yang dikirim oleh Waledac masih bercerita tentang obat kuat dengan pesan obat Viagra dan Cialis. Pesan yang ada pada objek email seperti : She will dream of you days and nights!" dan "Hot life -- our help here. Ensure your potence [sic] today!". Dari mana domain yang terhubung dengan penjualan obat kuat tersebut. Ternyata sebagian besar berada di China. Berita sebelumnya juga menyebutkan, computer yang telah terinfeksi memasukan peringtan palsu. Dan memerintahkan computer korban untuk mendownload sebuah program antivirus palsu. Setelah mendownload maka computer korban akan diberikan peringatan palsu. Akhirnya untuk membersihkan virus akal akalannya si pembuat, penguna computer membayar antivirus palsu tersebut.

Saat ini bIla email anda bisanya bersih dari email sampah, bersiap saja dengan email sampah yang baru.

Slanjut'e Baca : Conflicker botnet mampu banjirkan web dengan spam

Handphone second BlackBerry booming di Nigeria

Dari sebuah investigasi sebuah TV, rupanya handphone BlackBerry bekas sedang ramai di pasar Nigeria. Harganya juga murah hanya $25 -$65 di pasar Lagos.
Konon handphone BB bekas tersebut adalah BB bekas dari US, Eropa dan Inggris. Masalahnya tidak jelas apakah itu handphone bekas beneran atau ditampung dari hasil curian yang dikirim ke pasar Afrika.
Bukan hanya handphone jenis BB yang ada, smart phone lain juga ada. Hanya yang tipe BB adalah model paling aktif diperdagangkan.

Mengenai Nigeria sendiri, beberapa oknum yang membuat kejahatan dunia Internet mencuat. Menyangkut kebiasaan masyarakat barat, umumnya juga menyimpan data penting didalam handphone mereka. Hal ini yang ditakutkan oleh penguna bahwa data penting yang ada di smartphone dapat saja dicuri.
Sebuah survei kecil yang melibatkan 600 penguna kereta bawah tanah di London mengatakan 16% penguna handphone menyimpan data bank mereka didalam handphone mereka. 24 % lainnya malah menyimpan nomor PIN dan password ditempat yang sama.
Untuk penguna bisnis, hal ini juga beresiko bila perangkat smartphone mereka hilang. Karena menyangkut data perusahaan yang disimpan didalam handphone.

Simon Steggles direksi DiskLabs sebuah perusahaan forensik pemulihan data mengatakan, sulit menghancurkan data didalam handphone karena data disimpan dalam bentuk chip. Melakukan reset pada handphone tidaklah cukup.
Smartphone BB misalnya mampu menampung data begitu besar termasuk data sejarah dari web browser untuk email.

Slanjut'e Baca : Handphone second BlackBerry booming di Nigeria

Leaked copies Windows 7 RC berisi Trojan

Windows 7 RC kali ini dikerjain, file yang disebar melalui file sharing berisi malware atau trojan. Secara resmi Microsoft baru merelease Windows 7 RC untuk publik pada 5 Mei. Tetapi versi copian Windows 7 RC sudah beredar sejak 24 April via Bittorrent.
Beberapa penyebar Windows 7 RC sengaja memasukan trojan kedalam paket Windows yang akan direlease tersebut. Hal ini dibicarakan di forum. File yang diinfeksi adalah file Setup.exe self-extracting EXE, didalam file terdapat 2 potong file yang digabung menjadi satu yaitu Setup.exe dan codec.exe.

Perusahaan Fontaine's antivirus software mengidentifikasi bahwa Codec.exe adalah file generic trojan. Dari sebuah posting mengatakan versi Windows 7 RC memang disusupi Trojan Win32.Trojangen.

Bukan Windows 7 RC yang dijadikan sarana untuk memasukan virus. iWork 09 Suite dari Apple juga pernah disebar dan membawa software Hijacked untuk Mac.

Slanjut'e Baca : Leaked copies Windows 7 RC berisi Trojan

2 Worn baru berisi umpan hari valentin

PandaLabs menditeksi 2 virus baru Nuwar.OL dan Valentin.E.
Nuwar.OL memiliki ciri dengan pesan "I Love You Soo Much", "Inside My Heart" atau " You In My Dreams" pada subjek email.
Isi email akan menghubungkan ke sebuah situs untuk mendownload malware. Kartu elektronik dibuat sederhana dengan gambar hati berwarna pink.
Jika terinfeks, worm akan mengirim dalam jumlah besar email dari kontak list. Jaringan network dapat mengalami overload dan memperlambat kinerja computer.

Valentin.E mirip seperti Numar.
Membawa pesan " Searching for true Love" atau "True Love" dan berisi sebuah file "friends4u".
Jika dibuka, ada sebuah file yang didownload file lain.
Jika dijalankan maka worm akan mengcopy dirinya sendiri menjadi beberapa file serta mengunakan Extension worm mengunakan .scr berkamuflase agar di click.
Virus juga ikut menyebar mencari korban lain ketika user mengirim email.

Saran dari PandaLabs, tidak membuka email yang tidak anda kenal atau jangan mencoba untuk mengclick setiap link yang diterima.

Slanjut'e Baca : 2 Worn baru berisi umpan hari valentin

Worm 1 April Bukan Lelucon, Tapi Jangan Takut

Jakarta (DetikInet) - Munculnya versi baru program jahat Conficker pada 1 April 2009 diakui bukan hoax atau lelucon 1 April. Di sisi lain, pengguna internet tak perlu ketakutan.

SANS Internet Storm Center, lembaga yang memantau ‘badai’ virus dan program jahat di internet, mengatakan kemunculan versi terbaru Conficker alias DownAdUp pada 1 April bukanlah lelucon 1 April. Di sisi lain, lembaga itu juga meminta pengguna internet untuk tidak panik.

“Berdasarkan fakta dan informasi yang kami miliki, kami di Internet Storm Center percaya bahwa 1 April akan menjadi hari yang biasa saja. Tapi bukan berarti kami tak akan mengawasi situasi yang berkembang,” tukas Chris Carboni salah satu peneliti SANS Internet Storm Center yang dikutip detikINET, Selasa (31/3/2009).

Hal serupa diungkapkan Aulia Fajar Huriadi, Technical Consultant Indonesia dari perusahaan keamanan komputer Trend Micro. “Sampai sekarang semakin kencang isu virus outbreak yang akan keluar pada 1 April 2009 yaitu Worm_Downad.KK (nama lain dari Conficker -red.). Yang pasti malware ini berpengaruh paling besar ke Windows NT-platform base (NT, 2000, XP),” ujar Aulia dalam keterangan yang diterima detikINET, Selasa (31/3/2009).

Aulia mengatakan, pusat riset Trend Micro menengarai Worm_Downad itu akan mengaktifkan kemampuan download pada 1 April 2009. Semua sistem yang sudah terinfeksi akan mencoba melakukan download pada tanggal tersebut.

Meski demikian, belum ada indikasi adanya perubahan perilaku yang berbahaya selain melakukan koneksi ke 500 alamat web per hari dari 50.000 alamat web yang dibuat secara acak. Versi sebelumnya dari program jahat ini hanya menghubungi 250 alamat web per harinya.

Namun Trend Micro tetap menghimbau pengguna untuk waspada. “Namun sangat mungkin pada tanggal 1 April 2009 malware ini akan mengaktifkan diri untuk mendownload versi exploit yang lebih baru dengan melakukan koneksi ke domain baru di dalam daftar domain yang sudah terinfeksi,” ujar Aulia.

Aulia pun berbagi tips berikut untuk mencegah keganasan Worm_DownAd alias Conficker alias DownAdUp:

1. Patch MS08-067 vulnerabilities
2. Disable autorun dari semua removable device
3. Gunakan tools berikut untuk memastikan tidak ada resident downad di memory, tidak ada service downad dan safeboot registry enable (untuk memastikan bisa masuk ke safe mode).

Slanjut'e Baca : Worm 1 April Bukan Lelucon, Tapi Jangan Takut

AVI Hajar Worm Shortcut

Pernahkan anda menemukan komputer Anda tiba-tiba berat dan banyak sekali ditemukan

sampah berupa shortcut dengan nama-nama seperti Mocrosoft.lnk, SuratQ.lnk, New Harry Potter, dan .lnk lainnya? Apabila jawabannya ya, berarti komputer Anda telah terinfeksi worm VBS/Yuyun.A atau juga dikenal sebagai worm shortcut.



Worm yang menamakan diri VBS/Yuyun.A ini merupakan salah satu malware yang sedang aktif menjalar dan telah tersebar luas di Indonesia. VBS/Yuyun.A akan menginfeksi komputer dengan cara menggandakan dirinya di setiap drive, media terpasang, dan di setiap direktori bagi pakai (shared directory). Worm ini juga akan membuat hardisk pengguna komputer dipenuhi dengan shortcut dan pesan-pesan payload di setiap drive dan subdirektorinya.



Teknik infeksi yang digunakan cukup unik dan tidak seperti worm-worm VBS lokal lain

pada umumnya. VBS/Yuyun.A secara cerdik menyamarkan file VBS dengan nama menyerupai file thumbnail image cache-nya Windows 'Thumb.db' sehingga tidak tampak mencurigakan. Namun adanya penyamaran ini bukan berarti tanpa akibat, karena nama ini menyebabkan file VBS tersebut tidak dapat dieksekusi secara langsung sehingga akan menyulitkan proses infeksi dan penyebarannya.



Lalu bagaimana vxer–sebutan bagi pembuat virus/worm-tersebut mengatasi hal

ini? Dengan cerdiknya vxer membuat pemicu berupa shortcut yang akan mengeksekusi setiap baris kode worm di dalam 'Thumb.db'. Shortcut tersebut akan memanggil applikasi wscript.exe yang merupakan aplikasi untuk menjalankan file/program VBS dengan cara memparse atau mengintepretasi baris per baris perintah-perintah VBS. Apabila kita amati arah tujuan shortcut tersebut, kita akan mengetahui trik jahat dibalik nama manis Yuyun!. Contoh arah tujuan shortcut yang saya ambil dari salah satu sampel VBS/Yuyun.A adalah:



C:-WINDOWS-system32-wscript.exe //e:VBScript thumb.db "Microsoft"



Untuk mempersulit analisa, worm ini menyembunyikan kode jahat aslinya dengan cara

enkripsi. Algoritma enkripsi yang digunakan adalah home made bit XOR cipher. Karena worm ini dibuat menggunakan VBS, maka kita bisa dengan mudah melihat kode sumbernya dengan menggunakan program editor seperti notepad.



Kita bisa lihat decryptor dari enkripsinya pada baris 36-39:



For v=1 To Len(isiQ)

t=Asc(Mid(isiQ,v,1))

hsl=hsl+Chr(t Xor 7)

Next



Contoh data dalam keadaan terenkripsi:



:::::::::::::::::::::::::::::::::::::::::::::::::::::::

'J~'ifjb'='^r~ri'Qbu'6)7

'N'mrts'pfiif'tbb'bqbu~'`nuk'khhlt'indb+'ebssbu+'lnict'btwbdnfkk~'f'jhtkbj'`nuk

'e~='Fihi~jhrtb'ni'Mfsnj+'Ihqbjebu'577?

'Pobi'N'ahric'ihsoni`'ebfrs~'bktb)))'fic'sobi'N'puhsb'sont'tdunws'ahu'fkk

:::::::::::::::::::::::::::::::::::::::::::::::::::::::



Dan setelah didekripsi menjadi:

'=======================================================

' My name : Yuyun Ver 1.0

' I just wanna see every girl looks nice, better, kinds especially a moslem girl

' by: Anonymouse in Jatim, November 2008

' When I found nothing beauty else... and then I wrote this script for all

'=======================================================



Worm ini akan membuat payload dengan cara menampilkan pesan menggunakan notepad

berisi puisi di setiap tanggal 1 selain bulan Maret. Ketika sampai ke tanggal tersebut, VBS/Yuyun.A akan membuat file-file sampah secara masal di setiap drive dan subdirektori berisi pesan-pesan puisi dengan nama 'Baca AQ.rtf' dan 'My name is yuyun.rtf'.



Langkah ini juga akan memicu shortcut di setiap drive dengan nama-nama berikut:



"New Harry Potter and...", "New Folder", "SuratQ", "Rahasia", "Game", "Zvnita",

"Download", "DataQ","DataQ"



Lalu bagaimana solusinya? Gampang saja. Gunakan AVI (AntiVirus InfoKomputer) untuk membersihkan worm ini. Dapatkan AVI terbaru dalam InfoKomputer edisi April 2009 atau download di sini. Jika ada pertanyaan seputar virus dan AVI, silakan kirim email ke developer.avi@gmail.com. (Anvie a.k.a Muqorrobien MF)

Slanjut'e Baca : AVI Hajar Worm Shortcut