.webp)
Tidak mau kalah dengan pemilihan presiden, perusahaan keamanan internet Vaksincom juga mengeluarkan data statistik persentase serangan malware di Indonesia sampai dengan pertengahan 2014.
Data ini memang mirip quick count pilpres, tetapi bisa dipastikan jika data tersebut bukan dari lembaga survei abal-abal dan ada data pendukung otentik. Jadi kalau ada yang ingin melakukan audit data ini masih bisa dipertanggungjawabkan karena data yang dijadikan rujukan oleh Vaksincom adalah data seluruh pengguna G Data Antivirus di Indonesia yang berpartisipasi untuk memberikan laporan malware yang terdeteksi dan dihentikan G Data.
Salah satu hal yang menarik dari data yang didapatkan kali ini adalah kecerdikan kriminal melakukan eksploitasi celah keamanan. Seperti kita ketahui, salah satu jalan tol untuk menembus pertahanan komputer yang terproteksi oleh antivirus yang terupdate adalah mengeksploitasi celah keamanan.
SCROLL TO CONTINUE WITH CONTENT
Kabar baiknya, G Data Antivirus memiliki kemampuan anti eksploit untuk mencegah aksi ini sehingga komputer Anda tetap terlindung dari eksploitasi sambil menunggu penambalan celah keamanan dilakukan. Celah keamanan sendiri bisa sangat banyak dan tersebar pada setiap piranti lunak dan kriminal akan mengincar piranti lunak dengan pengguna terbanyak dan paling mudah di eksploitasi.
Dalam statistik kali ini kita melihat bahwa eksploitasi terbanyak ditujukan pada CVE.2010-2568 alias celah keamanan Shortcut yang terkandung pada Windows XP, Vista, 7, Server 2003 dan Server 2008 baik 32 maupun 64 bit disusul oleh eksploitasi pada aplikasi yang sangat populer dan banyak digunakan pengguna komputer Acrobat Reader CVE.2010-0188.
Selain eksploitasi celah keamanan, beberapa aksi malware yang mengancam pengguna komputer di Indonesia dan dihentikan oleh G Data adalah Trojan, Adware dan Mobogenie. Untuk detail data quick count malware Top Indonesia sampai dengan Juni 2014.
Gambar 1: Statistik Malware Indonesia sampai Juni 2014.
Trojan
Menurut pantauan statistik Vaksincom, malware yang paling banyak terdeteksi sampai pertengahan tahun 2014 adalah jenis Trojan yang menguasai 24,30% serangan malware di Indonesia.
Namun kali ini bukan satu trojan yang menyerang, tidak mau kalah dengan partai politik yang melakukan koalisi, gerombolan trojan juga melakukan koalisi menyerang pengguna komputer di Indonesia seperti trojan Crypt, Autorun, Dropper, trojan Java Script dan Agent.
Adapun daftar lengkap 10 trojan yang paling banyak terdeteksi menyerang pengguna komputer di Indonesia adalah:
1. Trojan Dropper.VHT
2. Trojan Generic
3. Trojan Heuristic
4. Trojan Crypt
5. Trojan AutorunINF, AET
6. Trojan Dropper Sality
7. Trojan.JS.Redirector
8. Trojan.JS.Agent
9. Trojan LNK
10. Trojan Agent
Adware
Setelah Trojan yang menguasai 24,30% serangan malware, gerombolan si berat kedua yang terdeteksi menyerang pengguna komputer Indonesia adalah Adware yang menguasai infeksi malware Indonesia 23,83%.
Adware sejatinya adalah program untuk menampilkan iklan dan pada awalnya tidak ditujukan untuk merugikan pengguna komputer, namun di tangan kriminal adware ini digunakan untuk menampilkan iklan yang tidak diinginkan oleh pengguna komputer.
Jenis adware ini ada yang ringan seperti menampilkan iklan atau pop up yang mengganggu sampai memiliki aksi seperti virus dan trojan komputer. Beberapa jenis adware memiliki kemampuan memata-matai korbannya dan sering disebut sebagai spyware.
Adapun beberapa Adware yang paling sering muncul adalah NewNextMe yang tergolong PUP, sejenis Mobogenie. Diikuti oleh Adware.Agent yang memiliki kemampuan rootkit dimana sekali terinstal pada komputer, ibarat cicak basah menempel di badan Anda, akarnya akan tertanam sangat dalam dan sulit sekali dibasmi.
Adware.Agent biasanya terinstal pada saat Anda menginstal freeware yang biasanya diunduh dari Cnet, Brothersoft atau Softonic. Selain dua adware di atas, ada adware.Graftor yang cukup berbahaya karena ia merupakan turunan dari TrojanVundo.
Trojan Vundo terkenal sebagai adware yang bandel (tidak tahu malu karena tidak mau di-uninstal) dan pernah menjalankan aksi memasang iklan Rogue Antivirus (antivirus palsu).
Beberapa varian Vundo yang lebih jahat memiliki aksi Ddos dan mirip aksi cryptolocker menyandera data komputer korbannya untuk mendapatkan tebusan.
Adapun daftar lengkap Adware yang terdeteksi oleh G Data Antivirus sampai pertengahan tahun 2014 adalah sebagai berikut:
1. Adware.NewNextMe
2. Adware.Dropper
3. Adware.Gen
4. Adware.Agent.NSJ, OBZ, ODR, NZG
5. Adware.Mplug
6. Adware.BHO.Bprotector
7. Adware.Swiftbrowse
8. Adware.Plankton
9. Adware.Plush
10. Adware.BHO.Agent
11. Adware.Bettersurf
12. Adware.Heur
13. Adware.PUQG
14. Adware.Softango
15. Adware.Graftor
16. Adware.Strictor
17. Adware.Hotbar
18. Android.Adware.Plankton
Mobogenie 8,4%
Mobogenie adalah produk piranti lunak dari negeri China yang dikeluarkan oleh Yang Fan Jing He Condulting Co (Beijing) dan bertujuan untuk mendapatkan keuntungan finansial menggunakan program monetisasi seperti OpenCandy dan Conduit.
Program ini sebenarnya ada manfaatnya seperti transfer gambar, video dan data lain antara komputer dengan smartphone anda. Namun karena lebih banyak mudaratnya maka oleh banyak vendor sekuriti Mobogenie ini dimasukkan sebagai golongan PUP Potentially Unwanted Program.
Seperti kita lihat di atas, sekalipun sudah dimasukkan ke dalam blacklist dan di deteksi sebagai malware, pembuat mobogenie ini berjuang keras menjalankan aksinya dengan mengeluarkan varian-varian baru yang sulit dideteksi.
Adapun varian Mobogenie yang terpantau oleh G Data di Indonesia adalah Mobogenie J, K, L, M, O dan R.
Eksploit 6,07%
Setelah gerombolan Trojan, Adware dan Mobogenie. Ancaman malware yang datang bergerombol adalah eksploit. Eksploit ini sebenarnya bukan malware, melainkan aksi untuk memanfaatkan kelemahan piranti lunak yang timbul karena adanya celah keamanan yang ujung-ujungnya adalah menginstalkan malware pada komputer korbannya.
Ada 3 eksploit utama yang paling sering terdeteksi oleh G Data dengan eksploit protection sebagai berikut:
1. Eksploit.CVE-2010-2568
2. Eksploit.RTL-7Zip.gen
3. Eksploit.JS.2010-0188.B
Eksploit CVE-2010-2568
Eksploit.CVE.2010-2568 adalah eksploit terhadap Windows Shell yang bisa mengakibatkan berjalannya eksekusi kode lain secara remote.
Eksploit ini pertama kali diumumkan pada 16 Juli 2010 dan sampai saat ini masih menjadi eksploit favorit pembuat malware karena efektivitasnya. Eksploit ini juga dikenal dengan nama Eksploit LNK.Shortcut atau Shortcut Icon Loading Vulnerability.
Mitigasi yang diberikan oleh Microsoft untuk mencegah eksploit ini sebenarnya cukup efektif, tetapi ada sedikit masalah kecil dan membuat tampilan komputer tidak cantik karena setelah mitigasi dilakukan banyak shortcut yang jadi tidak menampilkan iconnya lagi, termasuk menu Start dan icon Quick Launch.
Celah keamanan ini akan menyebabkan kode malware berjalan cukup hanya melihat icon file .lnk yang telah dipersiapkan sebelumnya.
Sebagai contoh, pada komputer yang belum ditambal, sekalipun Anda sudah menonaktifkan autorun, hanya dengan mencolokkan UFD (USB Flash Disk) ke komputer dan hanya melihat isi UFD tersebut pada Windows Explorer sudah cukup untuk menjalankan kode jahat dan menyebabkan komputer anda terinfeksi malware.
Beberapa malware populer yang mengeksploit celah keamanan ini adalah virus Shortcut, LNK.Autostart, Sality dan Ramnit yang sempat merajai puncak penyebaran malware di Indonesia pada 2010 s/d 2013.
Sebagai catatan, tidak ketinggalan virus Stuxnet juga mengeksploit celah keamanan ini. Salah satu penyebab eksploit ini favorit karena OS yang tercakup cukup luas seperti:
• Windows XP SP 3.
• Windows Server 2003 SP2
• Windows Vista SP2
• Windows Server 2008 SP2 – 32 bit dan 64 bit
• Windows Server 2008 R2 – 32 bit dan 64 bit
• Windows 7 32 bit dan 64 bit
Bagi Anda yang tidak menggunakan G Data Antivirus dengan eksploit protection, Vaksincom menyarankan anda untuk segera melakukan penutupan celah keamanan dengan mengunduh tambalan dari MS10-046 https://technet.microsoft.com/library/security/ms10-046.
G Data Antivirus dengan eksploit protection memiliki kemampuan untuk mencegah eksploitasi celah keamanan sekalipun aplikasi yang memiliki celah keamanan belum ditambal. Hal ini memberikan perlindungan ekstra sambil menunggu tambalan celah keamanan dilakukan.
Eksploit 2010-0188.B
Eksploit CVE-2010-0188.B adalah eksploit yang datang dalam bentuk file .PDF (Adobe Acrobat) yang diunduh eksploit kit Blackhole dalam rangka menyerang kelemahan pada program Adobe Acrobat.
Ketika file PDF yang telah dipersiapkan sebelumnya dijalankan, Acrobat Reader akan membuka lalu menutup kembali. Seketika itu pula, file .exe yang telah dipersiapkan sebelumnya dan biasanya terkandung dalam file PDF akan dikopikan ke drive C. File exe yang dikopikan tadi akan mencoba menghubungi satu situs yang telah dipersiapkan semelumnya dan mengunduh file lain dalam bentuk JavaScript untuk dieksekusi.
Adobe sudah mengeluarkan update untuk celah keamanan ini dan jika Anda tidak dilindungi oleh eksploit protection Vaksincom menyarankan anda untuk segera mengaplikasikan tambalan dari http://www.adobe.com/support/security/bulletins/apsb10-07.html atau selalu menggunakan Acrobat Reader versi terbaru.
Sebagai cara terbaik untuk terlindung dari eksploitasi celah keamanan, selain menggunakan perlindungan anti eksploit, Anda juga harus memastikan selalu menggunakan piranti lunak yang terbaru, jadi usahakan selalu melakukan update piranti lunak jika diminta.
Adapun data lengkap malware yang terdeteksi sampai dengan pertengahan tahun 2014 oleh G Data Antivirus dapat dilihat pada tabel 1 di bawah ini:
Tabel 1: Tabel malware Indonesia s/d Juni 2014.
*) Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.
(ash/ash)
