Sunday, May 23, 2010

“Virus” Facebook yang pertama

this without doubt the sexiest video ever
Candid Camera Prank ! [HQ] 
Bulan Mei 2010 dapat menjadi bulan bersejarah dalam dunia pervirusan dimana tercatat virus baru yang menyebar melalui Application (Apps) Facebook mulai menyebar. Varian pertama dengan mengusung judul “Optical Illision [HQ]” ditemukan menyebar pada tanggal 2 Mei 2010 dengan alamat Application http://apps.facebook.com/hghh_rtrt/ telah dinonaktifkan oleh Facebook. Dalam bilangan minggu, keluar varian kedua yang lebih canggih dan sampai artikel ini dibuat aplikasi Facebook tersebut menyebar dengan kecepatan luar biasa. Menurut pengamatan Vaksincom, varian kedua dengan thema “[Nama Anda], this is without doubt the sexiest video ever :p :p :p” mulai disebarkan pada hari Sabtu pagi 15 Mei 2010 dan dalam waktu 48 jam telah memakan korban belasan ribu pengguna Facebook. Aplikasi ini perlu diwaspadai karena kemampuannya mengeksploitasi sistem pengamanan Apps Facebook dimana tidak seperti Apps Facebook lainnya yang “hanya” terinstal jika pemilik account FB memberikan persetujuan [Allow], sebapiknya aplikasi ini akan memaksakan dirinya terinstal pada account FB anda sekalipun anda TIDAK PERNAH memberikan persetujuan instal aplikasi dan cukup dengan melakukan klik pada link yang diberikan, maka account FB anda sudah diambil alih oleh aplikasi ini dan ia akan mulai melakukan posting link ke kontak-kontak FB anda yang lain. Karena yang di eksploitasi adalah kerentanan pada Apps Facebook, maka ancaman eksploitasi account Facebook ini tidak terbatas pada OS Windows saja. Vaksincom menyarankan semua pemilik account Facebook untuk berhati-hati dan jangan pernah mengklik link pada gambar dan pesan seperti pada gambar 1 dibawah ini.
Gambar 1, Candid Camera Prank! [HQ]
Mencatut nama Winamp
Jika anda mengklik link yang diberikan, baik pada gambar kecil maupun link yang diberikan tanpa anda sadari secara otomatis aplikasi jahat ini akan menginstalkan dirinya secara ilegal sebagai aplikasi pada Facebook anda. Jika aplikasi Facebook yang sah seperti Birthday Reminder, Mafia Wars dn lainnya sebelum melakukan instalasi akan meminta izin anda terlebih dahulu, sebaliknya aplikasi ini secara diam-diam akan langsung terinstal dengna tujuan supaya ia bisa mengirimkan dirinya secara otomatis ke kontak Facebook anda dengan menggunakan nama anda. Hebatnya lagi, aplikasi jahat ini mencatut nama aplikasi Winamp sehingga pengguna komputer yang cukup mahir sekalipun tentunya tidak akan mencurigai Winamp sebagai aplikasi jahat dan akan mempercayainya. Tetapi akal-akalan yang dilakukan pembuat aplikasi ini adalah menggunakan nama aplikasi “Winamp on Facebook” dan bukan menggunakan nama “Winamp” (lihat gambar 2)
Gambar 2, Nama aplikasi adalah “Winamp on Facebook” supaya dikira korbannya aplikasi pemutar musik “Winamp” milik Nullsoft
Jika anda mengklik link yang diberikan, maka aplikasi yang tadinya belum terinstal (lihat gambar 3)
Gambar 3, Aplikasi “Winamp on Facebook” belum terinstal
Akan secara diam-diam menginstalkan dirinya sebagai aplikasi yang sah pada account Facebook anda (lihat gambar 4)
Gambar 4, Aplikasi “Winamp on Facebook” secara diam-diam menginstalkan dirinya pada account Facebook anda.
Jika hal ini terjadi dan tidak anda sadari, maka kontak-kontak Facebook anda akan mendapatkan kiriman pesan dari account Facebook anda seperti pada gambar 1 di atas. Dan jika kontak Facebook anda mengklik link yang diberikan, hal yang sama akan berulang kembali dimana seluruh kontaknya akan dikirimi pesan “Candid Camera Prank [HQ]”
Menurut pengamatan Vaksincom, pada beberapa kasus dimana program Winamp terinstal, klik pada link akan menyebabkan download file “vlcplayer.exe” yang sebenarnya akan mengaktifkan pengiriman pesan palsu tersebut.
Jika kita telaah lebih jauh pembuat aplikasi jahat ini, kelihatannya memang aplikasi ini sengaja dirancang untuk tujuan negatif dimana developer aplikasi ini memasang foto dengan nama “Kiley Hodge” dan menurut pengamatan Vaksincom, page developer tersebut penuh dengan segala macam sumpah serapah korban aksi jahat ini. (lihat gambar 5 dan 6)
Gambar 5, Profil pembuat aplikasi “Winamp on Facebook”
Gambar 6, Pesan-pesan korban “Winamp on Facebook” yang marah
Apa yang harus dilakukan jika anda menjadi korban “Winamp on Facebook” (WoF)
Pertama-tama, sebelum anda menjadi korban aksi jahat ini, tentunya lebih baik kalau anda tidak menjadi korban dulu. Satu-satunya cara adalah JANGAN MENGKLIK link yang diberikan. Walaupun secara hukum tindakan menginstal aplikasi tanpa persetujuan pemilik komputer adalah ilegal, tetapi terbukti aplikasi WoF ini melakukan hal ini. Anda juga bisa melakukan bloking terhadap aplikasi ini sehingga tidak akan bisa di instal pada account Facebook anda, tetapi harap ingat bahwa bloking dapat kita lakukan “hanya” pada aplikasi jahat yang telah kita ketahui sampai hari ini. Jika dikemudian hari muncul aplikasi jahat dengan alamt baru, anda harus melakukan bloking kembali. Karena itu, cara paling baik melindungi diri anda adalah JANGAN MENGKLIK link yang diberikan, sekalipun link tersebut tidak mengarahkan pada situs yang aneh. Dalam kasus WoF ini, link yang diberikan adalah link resmi Facebook dan bukan link palsu (forging). Tetapi yang diakali adalah script aplikasi yang membypass autentikasi yang seharusnya dilakukan tetapi tidak dilakukan.
Jika anda sudah menjadi korban aplikasi ini, ada dua pilihan. Pertama, anda dapat melakukan uninstal aplikasi dengan cara :
1.    Login pada account Facebook anda http://www.facebook.com
2.    Pada bagian kanan atas layar klik [Account] lalu pilih [Application Settings] anda akan mendapatkan layar “Application Settings – Recently Used”
3.    Arahkan mouse anda pada tanda silang [X] di aplikasi yang bernama “Winamp” (lihat gambar 7)
Gambar 7, Klik tanda silang pada aplikasi Winamp gadungan untuk uninstal aksi jahat ini
4.    Anda akan mendapatkan kotak dialog konfirmasi “Remove Winamp” (lihat gambar 8)
Gambar 8, Kotak konfirmasi Remove Winamp
Klik pada tombol [Remove] dan [Refresh] pada browser anda dan pastikan aplikasi “Winamp” sudah hilang dari Application Settings.