Insiden virus bulan Juli diwarnai dengan turunnya jawara selama 6 bulan terakhir ini, Conficker yang tidak tanggung-tanggung terlempar ke peringkat 3 dari peringkat Top 20 Malware yang paling banyak menyebar di Indonesia. Kalau turunnya Conficker ini dapat dikatakan sebagai hal yang ditunggu-tunggu dan menjadi pertanyaan siapa yang berhasil menggusurnya. Tetapi ibarat raja obat bius Pablo Escobar yang menjadi buruan top pemerintah Columbia. Setelah berhasil di tangkap (tertembak mati), bukan berarti otomatis penyebaran obat bius terhenti karena otomatis akan ada orang lain yang segera menggantikan posisinya. Begitu pula dengan Conficker, dan yang menggendong Conficker ke peringkat 3 ternyata virus lama Alman http://www.vaksin.com/2008/0708/alman/Alman.html dan OnLineGames.
Menurut pengamatan Vaksincom, dari evaluasi serangan di bulan Juli 2009 yang cukup mengkhawatirkan adalah duet serangan OnLineGames dan Smalltroj yang ternyata juga secara online terdeteksi oleh Norman Network Protector (yang menyaring semua traffic http / smtp / pop / irc/ ftp / rpc / file sharing dan di pasang di ISP Datautama) terbukti secara aktif disebarkan oleh IP-IP milik ISP di China.
Gambar 1, Malware Top Indonesia Juli 2009
Alman, jawara lawas
Ibarat Jetfire, walaupun ia termasuk virus lama dan menurut catatan Vaksincom dideteksi mengganas pada pertengahan tahun 2008, Alman pada bulan Juli 2009 mampu memuncaki peringkat virus di Indonesia. Virus yang menyebar pada saat virus ARP menyebar di Indonesia pada masanya sangat banyak menginfeksi komptuer tanpa disadari korbannya. Salah satu ciri khas dari virus ini adalah kehebatannya dalam mengubah semua file yang memiliki ekstensi .EXE sehingga jelas mengganggu korbannya karena aplikasi di komputer yang menjadi korban virus ini akan menjadi kacau.Virus ini menyebar cukup cepat dengan memanfaatkan media Flash Disk atau Disket melalui jaringan.Untuk menyebar melalui Flash Disk / Disket, ia akan membuat 2 buah file yakni boot.exe (40KB) dan autorun.inf. Virus ini akan aktif secara otomatis setiap kali Flash Disk tersebut dihubungkan ke komputer atau pada saat pengguna komputer mengakses ke Flash Disk tersebut. File autorun.inf ini berisi script untuk menjalankan file boot.exe. Selain membuat 2 file tersebut, ia juga akan menginfeksi semua file yang mempunyai ekstensi EXE. File yang sudah terinfeksi tersebut akan bertambah 32 KB dari ukuran semula. Sedangkan untuk menyebar melalui jaringan, ia akan menginfeksi semua file EXE yang ada di folder yang di sharing yang mempunyai akses “Full”. Selain itu ia juga akan mencoba untuk mengakses drive lokal pada komputer target (C:\) dengan menggunakan username administrator serta melakukan simple Brute force. Pada bulan Juli 2009, Alman mencatat insiden spektakuler dimana ia menguasai 50,31 % dari total insiden virus dengan total insiden 14.380.
Pada peringkat dua dan lima berturut-turut adalah malware OnLineGames 26,82 % ; 7.666 insiden dan Smalltroj 3,90 % ; 1.114 insiden. Menurut pengamatan Vaksincom, kedua virus kembar ini perlu diwaspadai karena secara de facto terdeteksi aktif sekali disebarkan secara online melalui internet dan IP yang menyebarkan virus tersebut 117.23.205.*** ternyata berasal dari IP yang dimiliki oleh ISP negeri Panda. Bagi jaringan perusahaan yang tidak memiliki perlindungan terhadap traffic internet anda akan menyebabkan download dan instalasi virus ini ke komputer-komputer client. Jika anda tidak memiliki NNP untuk melindungi traffic internet anda, pastikan antivirus anda mampu mendeteksi dan mencegah infeksi pada komputer anda. Jika anda pengguna NSS (Norman Security Suite) atau NPro (Norman Endpoint Protection) dan anda tetap mendownload virus ini, Norman akan mendeteksi virus ini sebagai varian OnLineGames. (lihat gambar 2)
Gambar 2, Norman Security Suite mendeteksi virus yang disebarkan secara online melalui browser ini sebagai W32/OnLineGames atau W32/Smalltroj.
Conficker, jagoan yang selama semester pertama tahun 2009 merajai penyebaran virus di Indonesia, pada paruh kedua harus merelakan tahtanya di”gendong” oleh virus lain dan menempati peringkat 3 dengan total infeksi 1.405 atau 4,92 % dari total infeksi. Tergusurnya Conficker ke peringkat tiga ini disinyalir karena penyebaran informasi mengenai bagaimana cara membasmi Conficker yang tersedia sangat banyak di internet dan aktivitas patching yang secara efektif menghentikan penyebaran Conficker. Apakah Conficker mampu kembali ke singgasananya seperti virus Klez yang dulu smepat merajalela selama belasan bulan, hanya waktu yang bisa menjawab. Tetapi dengan keluarnya Windows 7 di bulan Oktober 2009, kemungkinan Conficker untuk menandingi Klez sangat tipis.
Virus Lokal
Kiprah virus lokal tetap terlihat, ibarat Teh Botol Sosro yang mampu eksis melawan gempuran softdrink maka di peringkat 6 – 8 dihuni oleh virus lokal seperti Autorun 864 insiden ; 3,02 % (termasuk Cryp, yang menampilkan foto yang “mirip” Mbah Surip — in memoriam 
), Lightmoon 732 insiden ; 2,56 % dan VBTroj 457 insiden ; 1,60 %. Selain itu pada Top 20 tercatat beberapa insiden virus lokal lama seperti Rontokbro di peringkat 17 (38 ; 0,13 %) dan Kang (22 ; 0.08 %) Virus lain yang perlu diwaspadai adalah Obfuscated di peringkat 9, 140 ; 0,49 % dimana coding virus ini disusun sedemikian rupa sehingga mempersulit / membingungkan antivirus / analis virus mendeteksi virus ini. Untuk detil Top 20 Malware yang menyebar di Indonesia pada bulan Juli 2009 dapat dilihat pada tabel 1 di bawah ini :
| No. |
Malware |
Jumlah |
% |
| 1 |
Alman |
14,380 |
50.31% |
| 2 |
OnLineGames |
7,666 |
26.82% |
| 3 |
Conficker |
1,405 |
4.92% |
| 4 |
Starter |
1,172 |
4.10% |
| 5 |
Smalltroj |
1,114 |
3.90% |
| 6 |
Autorun |
864 |
3.02% |
| 7 |
Lightmoon |
732 |
2.56% |
| 8 |
VBTroj |
457 |
1.60% |
| 9 |
Obfuscated |
140 |
0.49% |
| 10 |
Agent |
122 |
0.43% |
| 11 |
Sality |
90 |
0.31% |
| 12 |
Smalldrp |
78 |
0.27% |
| 13 |
Dloader |
69 |
0.24% |
| 14 |
Twaintech |
65 |
0.23% |
| 15 |
Alchemic |
62 |
0.22% |
| 16 |
Antivirus |
59 |
0.21% |
| 17 |
Rontokbro |
38 |
0.13% |
| 18 |
Kang |
22 |
0.08% |
| 19 |
Funlove |
12 |
0.04% |
| 20 |
Delf |
8 |
0.03% |
| 21 |
Other |
25 |
0.09% |
|
Total |
28,580 |
100.00% |
Tabel 1, Malware Top Indonesia Juli 2009
Virus Online
Norman Network Protector yang dipasang Vaksincom di ISP Datautama selama bulan Juli mengkonfirmasikan tingginya serangan dua virus di peringkat 2 dan 5, OnLineGames dan Smalltroj. Menurut pengamatan Vaksincom, salah satu penyebab serangan ini adalah tingginya traffic game online sehingga memancing pihak-pihak yang tidak bertanggungjawab untuk mencuri data OnLineGames. Vaksincom menyarankan anda yang bermain game online untuk ekstra hati-hati atas ancaman trojan yang akan menyimpan ketukan keyboard dengan tujuan mencuri data penting anda. Seperti data username dan password, kartu kredit dan data penting lainnya. Gunakan program antivirus yang terupdate selalu untuk melindungi komputer anda dari nfeksi Trojan.
Norman Netwok Protector (NNP) adalah produk baru dari Norman yang berjalan di OS Debian dan menyaring traffic pada layer 2 (7 OSI Layer) sehingga efisiensi dan kecepatan scannya termasuk yang tertinggi di kelasnya. NNP akan bertindak sebagai transparant proxy sehingga seluruh komputer yang trafficnya di jaga NNP tidak perlu melakukan perubahan setting apapun pada koneksi / proxynya. Adapun port yang dijaga dari malware oleh NNP adalah HTTP, SMTP, POP3, IRC, FTP, TFTP, RPC, SMB / CIFS (file sharing Windows). Selain melakukan scanning NNP juga memberikan statistik dan detail virus dan IP-IP yang mengirimkan / menerima virus, baik incoming maupun outgoing.
Gambar 3 dibawah adalah hasil statistik Malware Indonesia di bulan Juli 2009, dimana selain Smalltroj dan OnLineGames, juga terlihat gerombolan Spyware yang tetap eksis seperti Agent, Smalltroj dan BHO (Browser Helper Object).
Gambar 3, Ancaman Spyware juga mewarnai serangan malware di bulan Juli 2009
sumber : vaksin.com
Diar. Virus ini dibuat menggunakan Visual Basic. Hadir dengan ukuran file sebesar 124KB, dengan icon yang menyamar seperti sebuah folder. Dalam aksinya, virus ini akan mencoba mematikan Folder Options, Run, Find, Regedit, System Restore, bahkan Safe-Mode. Pada komputer terinfeksi, di root drive akan terdapat file baru dengan nama “diar_gb.html” dan “nitip salam ya…txt” yang berisi pesan dari si pembuat virus.
