AWAS! VIRUS ZBOT MENYEBAR MELALUI CHATING FACEBOOK. KOMPUTER JADI ROBOT, JARINGAN BOLOT

Pernah-kah Anda mendapatkan pesan chat pada Facebook dari salah satu kontak Facebook Anda ? Pesan chat tersebut memberikan sebuah link tertentu. (lihat gambar 1)

Gambar 1, Pesan FB Chat bervirus

Jika Anda meng-klik link pada pesan chat tersebut, maka secara otomatis file virus akan terdownload ke dalam komputer Anda. Dan jika Anda menjalankan file tersebut, maka komputer Anda akan terinfeksi oleh virus tersebut.

Jika anda familiar dengan salah satu varian worm yang menyebar via chat seperti YM (Yahoo! Messenger) atau Skype, maka anda patut waspada, karena VaksinCom telah menerima laporan serangan worm/rootkit/trojan yang menyebar menggunakan pesan chat pada FB. Hebatnya, virus ini tidak memanfaatkan Apps Facebook sehingga administrator Facebook tidak bisa menghentikan virus ini dibandingkan dengan virus Facebook lain yang mengandalkan Apps.

Sejak pertengahan Agustus hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan worm/rootkit/trojan ini, dan varian tersebut terdeteksi oleh Norman sebagai W32/Kolab.xx. (lihat gambar 2)

Gambar 2, Norman mendeteksi varian W32/Kolab.xx

Keluarga ZBOT : Broadcast message

Keluarga ZBOT merupakan salah satu kelompok trojan/backdoor yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan khususnya yang berhubungan dengan Internet Banking.

Sedangkan varian worm/rootkit/trojan Kolab merupakan salah satu varian dari ZBOT yang muncul sejak pertengahan Agustus 2011. Varian ini memiliki kemampuan mengirim pesan yang disertai link yang memiliki konten bervirus. Link yang dikirimkan pun bermacam-macam sesuai dengan jenis varian. Trojan Kolab juga diidentifikasikan sebagai W32/Kryptik atau W32/SlenfBot.

Trojan ini memiliki kemiripan (atau mungkin merupakan bagian) dengan kelompok malware YM (ChyMine/YiMfoca, yang identik menyebar menggunakan akun YM, Skype, Gtalk, dan lain-lain) karena memiliki file dan lokasi yang sama persis dengan malware YM.

Gejala & Efek Trojan Kolab

Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

• BSOD, menumpang svchost

Trojan Kolab tidak berjalan pada proses atau services Windows, sehingga sulit menemukan dan mematikan keberadaan trojan ini. Tetapi, trojan ini justru mendompleng atau menumpang pada file svchost.exe milik Windows, sehingga Anda akan sulit mematikan-nya. Jika Anda memaksa mematikan file svchost.exe, komputer akan blue screen (lihat gambar 3). Termasuk jika Anda mencoba melakukan scan menggunakan tools removal tertentu seperti GMER (tools mendeteksi rootkit).

Gambar 3, Berusaha mematikan file svchost yang telah didompleng, akan muncul BSOD

• Broadcast ke IP-IP tertentu

Walaupun tidak berjalan pada proses atau services Windows, trojan Kolab memanfaatkan file svchost.exe Windows, untuk melakukan broadcast pada IP-IP Address tertentu. Hal ini yang membuat jaringan internet menjadi lambat. (lihat gambar 4)

Gambar 4, Aktivitas broadcast yang dilakukan oleh trojan Kolab

• Mencantumkan diri-nya pada Windows Firewall

Agar dapat berjalan bebas tanpa hambatan dan tidak di blok Firewall, trojan Kolab ikut mencantumkan diri-nya pada Windows Firewall, sehingga dapat melakukan koneksi dan broadcast pada IP-IP tertentu dengan leluasa. (lihat gambar 5)

Gambar 5, Aktivitas broadcast yang dilakukan oleh trojan Kolab

• Menyembunyikan proses berjalan

Hebatnya trojan Kolab, walaupun sedang melakukan broadcast tetapi tidak terlihat dalam proses Windows. Hal ini yang menyebabkan agak sulit untuk dimatikan secara manual. Banyak aplikasi sekuriti yang tidak mampu mendeteksi Kolab seperti :

• Windows Task Manager
• Process Explorer
• Current Process
• HijackThis
• Dll

• Aktif pada Start-Up

Bukan hanya pada Windows Firewall, trojan Kolab juga ikut mencantumkan dirinya pada start-up Windows. Sehingga jika komputer akan dijalankan, maka trojan Kolab akang langsung aktif. (lihat gambar 6)

Gambar 6, File trojan Kolab yang aktif pada Start-up

• Menyebarkan pesan chat link bervirus pada Facebook

Ini adalah gejala pamungkas, jika Anda telah terinfeksi oleh Kolab. Komputer Anda akan mengirimkan pesan chat link yang mengandung virus kepada teman-teman Facebook Anda seperti pada gambar 1 di atas atau gambar 7 di bawah ini. (lihat gambar 7).

Gambar 7, File trojan yang aktif pada Start-up

Beberapa link tersebut umumnya berasal dari website yang memberikan ijin untuk menyimpan atau menyebarkan file secara gratis seperti :

• Imageshack.com
• Imgdropbox.com
• Megafilehd.com
• Facebook.com

• Mengirim pesan chat link bervirus pada aplikasi web lain yang terhubung dengan Facebook

Salah satu aplikasi web yang terintegrasi dengan Facebook yaitu Skype juga ikut menjadi korban dari serangan trojan Kolab. Umumnya jika Anda menggunakan account Skype yang sama dengan account pada Facebook Anda, maka secara otomatis akan saling terintegrasi. Hal ini yang dimanfaatkan trojan Kolab untuk dapat menyebarkan pesan chat yang mengandung link bervirus. Hal ini juga bisa terjadi jika account Facebook Anda terintegrasi juga dengan account lain yang memiliki fitur chat. (lihat gambar 8)

Gambar 8, Trojan Kolab mengirim pesan pada Skype yang terintegrasi dengan Facebook

File Trojan Kolab

Trojan Kolab dibuat menggunakan bahasa pemrograman C++. Varian dari trojan ini sudah sangat banyak dan beragam, serta memiliki ukuran yang berbeda-beda. Berikut ciri-ciri file trojan sebagai berikut : (lihat gambar 9)

• Memiliki ukuran beragam dari 150 kb s/d 300 kb
• Type file “Application” dan “MS-DOS Application”
• Memiliki extension “com” dan “exe”

Gambar 9, File trojan Kolab

Saat trojan Kolab berhasil dijalankan, trojan hanya akan membuat 1 file induk yaitu :

• C:\WINDOWS\system32\[nama_acak.exe]

Sedangkan file yang didownload melalui link pada pesan chat seperti berikut :

• [nama_file.JPG_link_website].com

Keterangan :

• Nama_file : nama file acak, identik dengan “Picture”
• Link_website : merupakan tempat file tersebut dapat di download, misal www.facebook.com

Modifikasi Registri

Modifikasi registri yang dilakukan oleh trojan Kolab antara lain sebagai berikut :

• Menambah Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Windows Network = C:\WINDOWS\system32\[nama_acak].exe

Metode Penyebaran

Cara trojan Kolab melakukan penyebaran yaitu sebagai berikut :

• Pesan chat melalui account FB atau yang terhubung dengan FB (lihat gambar 10)

Cara satu-satunya trojan Kolab untuk menginfeksi dan melakukan penyebaran melalui media jejaring sosial Facebook melalui fitur chat. Selain itu juga dapat melalui account e-mail Facebook Anda yang digunakan pada aplikasi chat lain yang terhubung dengan Facebook semisal Skype.

Gambar 10, Trojan Kolab pada Facebook Chat

Pembersihan trojan Kolab

• Putuskan koneksi jaringan/internet.
• Lakukan pembersihan trojan pada mode “safe mode”.

Lakukan langkah-langkah berikut :

1. Restart komputer (jika dalam keadaan mati tinggal tekan tombol power)
2. Saat akan booting tekan tombol F8 pada keyboard secara secara terus menerus hingga muncul layar “Safe Mode” (lihat gambar 11)

Gambar 11, Mode “Safe Mode”

3. Pilih mode “Safe Mode”, dan klik [Enter]
4. Biarkan berjalan hingga masuk menu Login Windows.

• Matikan dan hapus trojan Kolab

Lakukan langkah-langkah berikut :

1. Download removal tools (pada komputer yang bersih) untuk membersihkan trojan Kolab pada komputer yang belum terinfeksi pada link berikut :

Norman Malware Cleaner (lihat gambar 12)

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

Gambar 12, Gunakan Norman Malware Cleaner untuk membasmi trojan Kolab

2. Setelah selesai, kompress file tersebut hingga menjadi file zip.
3. Kopi file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
4. Klik kanan file zip tersebut, kemudian klik explore.
5. Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
6. Jika sudah muncul jendela konfirmasi persetujuan Norman Malware Cleaner, klik Accept untuk menjalankan.
7. Pada tab Scan, pastikan dalam mode Quick.
8. Pada tab Options, pastikan hanya tercentang pilihan berikut :

• Enable Quarantine
• Enable Memory Scanning
• Enable FakeAV Scanning
• Enable Cleaning
• Enable Rootkit Cleaning
• Enable Sandbox
• Enable detection of potentially unwanted programs
• Enable multithreading

1. Klik Start untuk memulai Scan.
2. Biarkan hingga proses scan selesai.
3. Jika meminta untuk restart, lakukan restart komputer.

• Bersihkan temporary file dari jejak trojan Kolab.

Lakukan langkah-langkah berikut :

1. Klik Menu Start -> Run
2. Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
3. Pada drive system (C) klik OK, biarkan proses scan drive.
4. Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
5. Tunggu hingga selesai.

• Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojan Kolab dengan baik.
  -----------------------------------------------------------------------------------------------