Sebar virus di caht Facebook

Pernah-kah Anda mendapatkan pesan chat pada Facebook dari salah satu kontak Facebook Anda ? Pesan chat tersebut memberikan sebuah link tertentu. (lihat gambar 1)
21″ border=”0″ />
Gambar 1, Pesan FB Chat bervirus

Jika Anda meng-klik link pada pesan chat tersebut, maka secara otomatis file virus akan terdownload ke dalam komputer Anda. Dan jika Anda menjalankan file tersebut, maka komputer Anda akan terinfeksi oleh virus tersebut.

Jika anda familiar dengan salah satu varian worm yang menyebar via chat seperti YM (Yahoo! Messenger) atau Skype, maka anda patut waspada, karena VaksinCom telah menerima laporan serangan worm/rootkit/trojan yang menyebar menggunakan pesan chat pada FB. Hebatnya, virus ini tidak memanfaatkan Apps Facebook sehingga administrator Facebook tidak bisa menghentikan virus ini dibandingkan dengan virus Facebook lain yang mengandalkan Apps.

Sejak pertengahan Agustus hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan worm/rootkit/trojan ini, dan varian tersebut terdeteksi oleh Norman sebagai W32/Kolab.xx. (lihat gambar 2)
19″ border=”0″ />
Gambar 2, Norman mendeteksi varian W32/Kolab.xx

Keluarga ZBOT : Broadcast message
Keluarga ZBOT merupakan salah satu kelompok trojan/backdoor yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan khususnya yang berhubungan dengan Internet Banking.

Sedangkan varian worm/rootkit/trojanKolab merupakan salah satu varian dari ZBOT yang muncul sejak pertengahan Agustus 2011. Varian ini memiliki kemampuan mengirim pesan yang disertai link yang memiliki konten bervirus. Link yang dikirimkan pun bermacam-macam sesuai dengan jenis varian. Trojan Kolab juga diidentifikasikan sebagai W32/Kryptik atau W32/SlenfBot.

Trojan ini memiliki kemiripan (atau mungkin merupakan bagian) dengan kelompok malware YM (ChyMine/YiMfoca, yang identik menyebar menggunakan akun YM, Skype, Gtalk, dan lain-lain) karena memiliki file dan lokasi yang sama persis dengan malware YM.

Gejala & Efek Trojan Kolab
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

• BSOD, menumpang svchost

Trojan Kolab tidak berjalan pada proses atau services Windows, sehingga sulit menemukan dan mematikan keberadaan trojan ini. Tetapi, trojan ini justru mendompleng atau menumpang pada file svchost.exe milik Windows, sehingga Anda akan sulit mematikan-nya. Jika Anda memaksa mematikan file svchost.exe, komputer akan blue screen (lihat gambar 3). Termasuk jika Anda mencoba melakukan scan menggunakan tools removal tertentu seperti GMER (tools mendeteksi rootkit).
22″ border=”0″ />
Gambar 3, Berusaha mematikan file svchost yang telah didompleng, akan muncul BSOD

• Broadcast ke IP-IP tertentu

Walaupun tidak berjalan pada proses atau services Windows, trojan Kolab memanfaatkan file svchost.exe Windows, untuk melakukan broadcast pada IP-IP Address tertentu. Hal ini yang membuat jaringan internet menjadi lambat. (lihat gambar 4)
23″ border=”0″ />
Gambar 4, Aktivitas broadcast yang dilakukan oleh trojan Kolab

• Mencantumkan diri-nya pada Windows Firewall

Agar dapat berjalan bebas tanpa hambatan dan tidak di blok Firewall, trojanKolabikut mencantumkan diri-nya pada Windows Firewall, sehingga dapat melakukan koneksi dan broadcast pada IP-IP tertentu dengan leluasa. (lihat gambar 5)
24″ border=”0″ />
Gambar 5, Aktivitas broadcast yang dilakukan oleh trojan Kolab

• Menyembunyikan proses berjalan

Hebatnya trojan Kolab, walaupun sedang melakukan broadcast tetapi tidak terlihat dalam proses Windows. Hal ini yang menyebabkan agak sulit untuk dimatikan secara manual. Banyak aplikasi sekuriti yang tidak mampu mendeteksi Kolab seperti :

• Windows Task Manager
• Process Explorer
• Current Process
• HijackThis
• Dll

• Aktif pada Start-Up

Bukan hanya pada Windows Firewall, trojan Kolabjuga ikut mencantumkan dirinya pada start-up Windows. Sehingga jika komputer akan dijalankan, maka trojan Kolab akang langsung aktif. (lihat gambar 6)
20″ border=”0″ />
Gambar 6, File trojan Kolab yang aktif pada Start-up

• Menyebarkan pesan chat link bervirus pada Facebook

Ini adalah gejala pamungkas, jika Anda telah terinfeksi oleh Kolab. Komputer Anda akan mengirimkan pesan chat link yang mengandung virus kepada teman-teman Facebook Anda seperti pada gambar 1 di atas atau gambar 7 di bawah ini. (lihat gambar 7).
211″ border=”0″ />
Gambar 7, File trojan yang aktif pada Start-up

Beberapa link tersebut umumnya berasal dari website yang memberikan ijin untuk menyimpan atau menyebarkan file secara gratis seperti :

• Imageshack.com
• Imgdropbox.com
• Megafilehd.com
• Facebook.com

• Mengirim pesan chat link bervirus pada aplikasi web lain yang terhubung dengan Facebook

Salah satu aplikasi web yang terintegrasi dengan Facebook yaitu Skype juga ikut menjadi korban dari serangan trojan Kolab. Umumnya jika Anda menggunakan account Skype yang sama dengan account pada Facebook Anda, maka secara otomatis akan saling terintegrasi. Hal ini yang dimanfaatkan trojan Kolab untuk dapat menyebarkan pesan chat yang mengandung link bervirus. Hal ini juga bisa terjadi jika account Facebook Anda terintegrasi juga dengan account lain yang memiliki fitur chat. (lihat gambar

Gambar 8, Trojan Kolab mengirim pesan pada Skype yang terintegrasi dengan Facebook

File Trojan Kolab
Trojan Kolab dibuat menggunakan bahasa pemrograman C++. Varian dari trojan ini sudah sangat banyak dan beragam, serta memiliki ukuran yang berbeda-beda. Berikut ciri-ciri file trojan sebagai berikut : (lihat gambar 9)

• Memiliki ukuran beragam dari 150 kb s/d 300 kb
• Type file “Application” dan “MS-DOS Application”
• Memiliki extension “com” dan “exe”

231″ border=”0″ />
Gambar 9, File trojan Kolab

Saat trojan Kolab berhasil dijalankan, trojan hanya akan membuat 1 file induk yaitu :

• C:\WINDOWS\system32\[nama_acak.exe]

Sedangkan file yang didownload melalui link pada pesan chat seperti berikut :

• [nama_file.JPG_link_website].com

Keterangan :

• Nama_file : nama file acak, identik dengan “Picture”
• Link_website : merupakan tempat file tersebut dapat di download, misal www.facebook.com

Modifikasi Registri
Modifikasi registri yang dilakukan oleh trojan Kolab antara lain sebagai berikut :

• Menambah Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Network = C:\WINDOWS\system32\[nama_acak].exe

Metode Penyebaran
Cara trojan Kolab melakukan penyebaran yaitu sebagai berikut :

• Pesan chat melalui account FB atau yang terhubung dengan FB (lihat gambar 10)

Cara satu-satunya trojan Kolab untuk menginfeksi dan melakukan penyebaran melalui media jejaring sosial Facebook melalui fitur chat.