Monday, April 12, 2010

Statistik malware Indonesia Q1 2010


TDSS mengancam, Zeus botnet ada di Indonesia
Serangan Malware kuartal 1 2010 di dominasi oleh virus mancanegara, walaupun virus jawara Autorun juga merupakan virus lokal, tetapi karena banyaknya varian Autorun sehingga menyebabkan batas antara virus lokal dan virus mancanegara menjadi kabur. Yang jelas-jelas virus lokal hanya tersisa Lightmoon di peringkat 12. Beberapa hal yang perlu menjadi perhatian para pengguna komputer Indonesia adalah naiknya peringkat virus TDSS yang sebenarnya mewakili Rogue Antivirus (antivirus gadungan) dan satu virus yang sempat menggemparkan dunia persilatan ..... eh salah, dunia internet Zeus Botnet rupanya sudah hadir di Indonesia. (lihat gambar 1)
 
Gambar 1, Malware Top Indonesia kuartal 1, 2010
Ibarat Gerombolan si Berat, peringkat 1 Autorun (58.318 ; 57,65 %) merajai penyebaran virus di Indonesia selama kuartal 1, 2010. Hal ini tidak mengherankan karena virus Autorun memiliki varian sangat banyak varian yang menurut database Norman sudah mencapai 37.377 varian L . Jika anda ingin mendapatkan Norman Malware Cleaner (gratis) yang dapat mendeteksi dan membersihkan semua virus Autorun dan semua virus lainnya secara gratis silahkan download dari http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe. Beberapa varian Autorun yang terdeteksi oleh Vaksincom adalah INI/Autorun.CYJ, Autorun.inf, BAT/Autorun.BO, Autorun.LEU, INF/Autorun.Y dan sebagai tambahan catatan beberapa virus lain seperti Sohanad, peringkat 10 (390 ; 0,39 %) juga memanfaatkan Autorun untuk menyebarkan dirinya. Peringkat dua dihuni oleh veteran yang juga sudah wara wiri di Indonesia sejak tahun 2008, Alman (18.791 ; 18,58 %). Virus Alman termasuk kelas virus generasi awal yang memanfaatkan file .dll sebagai file induknya. Seperti kita ketahui, DLL (Dynamic Link Library) adalah sistem file yang digunakan oleh sistem operasi Microsoft Windows. Dengan file bernama wmdrtc32.dll dan wmdrt32.dl_ yang akan disembunyikan ini bertugas untuk menginjeksi file-file .exe lain seperti explorer.exe sehingga langkah yang harus dilakukan dalam membersihkan virus ini adalah mengeluarkan Alman dari file .exe yang di injeksinya (umumnya ukuran file yang di injeksi Alman akan bertambah 40 KB dan 68 KB). Tetapi hal ini tidak cukup karena harus diikuti dengan langkah berikutnya mendeteksi dan membasmi file .dll yang berjalan secara hidden dan tidak dapat ditemukan jika anda menggunakan Process Explorer. Bagi pengguna NSS Pro, anda dapat Advance System Reporter yang terintegrasi pada Intrusion guard. (lihat gambar 2). Jika anda ingin mengetahui lebih jauh informasi Alman silahkan lihat di http://www.vaksin.com/2008/0708/alman/Alman.html.
 

Gambar 2, Advance System Reporter dapat digunakan untuk mendeteksi dan membasmi virus yang menyembunyikan dirinya sebagai proses .dll palsu.

Peringkat 3 dihuni oleh muka baru tetapi pemain lama, W32/TDSS (16.429 ; 16, 24 %) dan variannya yang terdeteksi paling banyak terdeteksi menyerang adalah W32/TDSS.drv.gen7. Virus TDSS sebenarnya merupakan trojan yang sangat sering ditemukan (kemungkinan besar di instal oleh) Rogue antivirus dan Alureon. Sekali berhasil menginfeksi komputer, TDSS akan menyebabkan program antivirus menjadi korup (rusak) dan TDSS juga menggunakan teknik rootkit untuk menyembunyikan dirinya. Jika anda menggunakan Security Task Manager untuk membasmi virus ini, asal tahu saja proses ini tidak akan dapat anda hentikan karena proses ini hanya terlihat di safemode. Jadi ibaratnya melihat mobil Ferrary lewat, you can see but you cannot touch :p.
Peringkat 4 dihuni oleh Conficker dengan infeksi (1.444 ; 1,43 %) diikuti oleh Obfuscated di peringkat 5 (1.368 insiden ; 1,35 %). Salah satu varian virus Obfuscated yang sangat populer dan memakan banyak korban adalah W32/Obfuscated.D2!genr yang memalsukan pesan seolah-olah dari administrator Facebook dan mengarahkan korbannya ke situs palsu (web forgery) yang sangat mirip dengan situs login Facebook dengan tujuan mendapatkan Username dan Password Facebook korbannya. Untuk informasi lebih jauh tentang virus ini silahkan lihat di link http://vaksin.com/2009/1109/facebook/facebook.html.
Keluarga Smalltroj berada di peringkat 6 dengan infeksi sebanyak 949 ; 0,94 %. Adapun varian Smalltroj yang banyak ditemui di Indonesia adalah SmallTroj.NBRB, W32/SmallTroj.WOYL dan SmallTroj.BHEZ. SmallTroj sebenarnya diawali oleh virus lama yang wara wiri sejak tahun 2007 dan variannya tetap bertambah sampai hari ini. Salah satu artikel SmallTroj yang dapat anda temui adalah http://vaksin.com/2007/1207/SmalltrojXRS.htm.
Peringkat 7 sampai 10 dihuni oleh Suspicious peringkat 7, 903 insiden ; 0,89 % diikuti oleh malware yang mengubah Title Internet Explorer IETitle di peringkat 8, 602 insiden ; 0,60 %. OnLineGames yang sempat menjajah pengguna internet Indonesia masih tetap masuk Top 10, di peringkat 9 dengan infeksi sebanyak 396 insiden ; 0,39 % diikuti oleh Sohanad pada peringkat buncit Top 10 Virus Indonesia di kuartal 1 tahun 2010 dengan insiden 390 ; 0,39 %. Untuk detail Statistik Virus Kuartal 1 2010 silahkan lihat pada tabel 1 di bawah ini :
No. Malware  Jumlah  %
1 Autorun    58.318 57,65%
2 Alman    18.791 18,58%
3 TDSS    16.429 16,24%
4 Conficker      1.444 1,43%
5 Obfuscated      1.368 1,35%
6 Smalltroj         949 0,94%
7 Suspicious         903 0,89%
8 IETitle         602 0,60%
9 OnLineGames         396 0,39%
10 Sohanad         390 0,39%
11 Zbot         359 0,35%
12 Lightmoon         268 0,26%
13 Others         933 0,92%
Total  101.150 100,00%

Tabel 1, Statistik Virus Indonesia Q1, 2010

Zeus Botnet

Satu catatan yang perlu diperhatikan oleh para pengguna komputer Indonesia, khususnya para administrator korporat adalah Zeus Botnet yang sempat menggemparkan dan sampai hari ini masih mengganas terutama di negara-negara dengan penetrasi internet tinggi dan sempat juga dituding sebagai salah satu sarana penginfeksi dan pencuri data yang menyebabkan Google memutuskan hengkang dari China. Menurut pengamatan Vaksincom, Zeus botnet sangat sulit di deteksi kecuali dengan tools khusus pemindai traffic jaringan. Tetapi salah satu indikasi adanya Zeus botnet adalah satu virus bernama Zbot yang akan di drop pada komputer korbannya yang nantinya akan berfungsi sebagai agen Zeus botnet untuk mencuri data penting korporat dan data rahasi negara. Karena Zbot terdeteksi menghuni peringat 11 dengan infeksi sebanyak 359 insiden ; 0,35 % maka Vaksincom menghimbau para pengguna internet dan administrator untuk selalu waspada mengawasi traffic data masuk dan keluar dari perusahaan anda.