Happy Images. JPG Malware FBChat yang Sulit Dideteksi Antivirus

Para pengguna Facebook harap berhati-hati jika menerima FB Chat dari siapapun, baik itu teman, pacar, istri atau keluarga anda. Khususnya jika pesan yang dikirimkan adalah tautan / link yang jika di klik akan menyebabkan pengunduhan file. (lihat gambar 1)

Gambar 1, FBChat yang menuntun pada instalasi program jahat

Jika anda tertipu dan menjalankan file yang diunduh, malware akan menginfeksi komputer anda dan akan melakukan banyak aksi-aksi jahat dan tidak terduga seperti mengunduh file lain dan menjalankannya, termasuk menggunakan akun Facebook anda untuk mengirimkan link berisi malware ke kontak-kontak Facebook anda melalui FBChat. Kabar baiknya, malware ini hanya berjalan di komputer yang menjalankan OS Windows dan tidak bisa berjalan di perangkat Android. Kabar buruknya, malware ini memiliki kemampuan untuk membuat varian baru dengan sangat cepat dan cukup sulit terdeteksi dengan sempurna oleh program antivirus. Pada saat pengetesan, sangat sedikit program antivirus yang mampu mendeteksi malware ini. Menurut data VirusTotal, per 7 Mei 2014 hanya 10 dari 52 merek antivirus yang mampu mendeteksi malware ini atau 19 % merek antivirus yang mampu mendeteksi malware ini, sedangkan sisanya 42 merek antivirus atau 81 % tidak mampu mendeteksi malware ini. Antivirus yang mampu mendeteksi malware ini antara lain :

• AVG
• AhnLab
• Gdata
• Malwarebytes
• McAfee
• Qihoo
• Sophos
• Trend Micro

dan sisanya tidak mampu mendeteksi malware ini. (lihat gambar 2)

Gambar 2, Hanya 19 % antivirus yang mampu mendeteksi malware ini

Jika anda pengguna antivirus G Data, teknologi Behavior Monitoring G Data mampu mendeteksi dan mencegah aksi malware ini tanpa update. Dengan update terbaru, G Data mendeteksi malware ini sebagai Win32.Trojan-Dropper.Injector.AP.

Aksi Malware
Jika korbannya melakukan klik pada tautan yang diberikan maka ia akan otomatis melakukan pengunduhan file. Adapun nama file yang diunduh sudah direkayasa sedemikian rupa seakan-akan file gambar JPG yang tidak berbahaya. Padahal file tersebut memiliki ekstensi ganda .exe. (lihat gambar 3)

Gambar 3, File malware yang disamarkan seolah-olah gambar

Pada saat ini, ada dua domain yang menjadi domain tautan link pengunduhan malware, yaitu :

• disaronno.com
• silutesnaujienos.lt

Namun alamat halaman situs kelihatannya dibuat acak dan bervariasi. Selain itu, file malware selain disimpan di situs yang (kemungkinan besar) berhasil di hack dan digunakan untuk hosting file malware juga disimpan di 4shared. Jadi jika dilakukan pemblokiran atas dua situs di atas, dengan mudah pembuat malware ini memindahkan hosting malwarenya apakah ke situs lain atau file server lain dan mengupdate informasi ini ke malwarenya yang secara otomatis akan mengubah alamat ini pada pesan FBChat yang dikirimkan. Adapun beberapa variasi nama file yang digunakan oleh malware ini adalah (lihat gambar 4) :

• HOT_IMAGE_ALBUM_SHARED_001.JPG.exe
• CUTE_PHOTO_COLLECTION_IMG912.JPG.exe
• Photo_Image_Collection_Album_001.JPG.exe

Gambar 4, Tampilan file malware yang menggunakan ekstensi ganda untuk mengelabui korbannya

dengan ukuran 96 KB dan 192 KB. Meskipun semua file ini .exe, namun pada banyak komputer ekstensi .exe akan tidak ditampilkan dan file-file di atas akan terlihat seperti file gambar dengan ekstensi .JPG.
Jika korbannya tertipu dan menjalankan file ini maka malware ini akan menginfeksi komputernya dan dampak yang terjadi cukup memprihatikan, komputer yang terinfeksi akan melakukan pengiriman tautan dari akun Facebook apapun yang terbuka. Bahkan jika satu komputer membuka beberapa akun Facebook yang berbeda (dengan peramban yang berbeda), semua akun Facebook tersebut akan diperintahkan untuk mengirimkan FBChat dengan tautan malware ke kontak-kontak Facebooknya secara berkala. (lihat gambar 5)

Gambar 5, Aksi malware mengirimkan FBChat untuk menginfeksi komputer pengguna Facebook lain

Behavior Monitoring
Anda boleh berlega hati jika program antivirus anda memiliki kemampuan Behavior Monitoring seperti G Data, karena sekalipun anda mencoba menjalankan program ini. Tanpa mengenali malware ini secara definisi (update) G Data dapat mendeteksi ancaman ini sebagai unknown threatdan menyarankan penggunanya untuk menghentikan program ini (lihat gambar 6)

Gambar 6, G Data mendeteksi happy_images_2014_jpg.exe sebagai program berbahaya

 sedangkan dengan G Data yang terupdate, malware ini terdeteksi sebagai Virus:Win32.Trojan-Dropper.
Injector.AP (lihat gambar 7)

Gambar 7, G Data update terbaru mendeteksi malware ini dan file yang ditanamkannya sebagai Injector.AP

Tidak terjalan di android
Karena file .exe yang tidak kompatibel dengan perangkat Android, maka pengguna Android saat ini cukup aman dari infeksi malware ini (lihat gambar 8).

ambar 8, Malware ini hanya berjalan pada OS windows dan tidak bisa berjalan di Android

Namun tidak tertutup kemungkinan di masa depan jika program yang dibuat dapat dijalankan pada smartphone, maka para pengguna smartphone harus berhati-hati untuk tidak sembarangan mengklik dan menjalankan tautan apapun yang diberikan sekalipun dari kontak Facebook anda yang terpercaya.

Cara membasmi malware ini
Jika anda terinfeksi malware ini dan antivirus yang anda gunakan tidak bisa mendeteksi dan membersihkan malware ini, anda dapat menggunakan G Data Antivirus Trial yang dapat anda unduh dari http://www.virusicu.com/product/antivirus2014.php. Instal G Data Antivirus dan update dengan definisi terbaru. Lalu scan dan bersihkan malware ini. (lihat gambar 9)

Gambar 9, Basmi malware ini secara tuntas dengan G Data Antivirus

salam,
Alfons Tanujaya

info@vaksin.com
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330

Website : http://www.vaksin.com

http://www.virusicu.com

Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Ph : 021 3190 3800

Sumber : http://vaksin.com/2014/0514/FBChat_happy_images/awas%20JPG%20berbahaya%20di%20FBChat.html