Serangan Malware Indonesia Mei 2006

Serangan Malware Indonesia Mei 2006 14 Juni 2006

Umpan pendek VS Umpan lambung



Saat ini di seluruh dunia sedang menjalar demam aneh yang membuat korbannya tidak bisa kerja dengan baik, tidur larut malam sampai pada puncaknya nanti penderita penyakit jantung dikhawatirkan menjadi korban kalau terlalu terbawa perasaan menonton bola menjagokan team favoritnya. Dunia virus juga tidak mau kalah dan untuk Piala Dunia 2006 ini terdeteksi virus bola yang disebarkan adalah Troj/Haxdoor.IN dan virus Excel XF-97/Yagnuul.A. Menurut pengamatan Vaksincom ancaman virus Piala Dunia ini tidak terlalu signifikan, beda dengan Sober.N yang pada tahun 2005 sukses besar mengelabui penerima emailnya dengan iming-iming tiket menonton Piala Dunia gratis. Ancaman virus Indonesia pada bulan Mei - Juni 2006 masih di dominasi virus lokal yang mengalahkan virus impor (sayangnya hal ini tidak terjadi pada dunia persepakbolaan Indonesia sehingga masyarakat Indonesia terpaksa menjagokan negara lain) dengan kapten Rontokbro striker Decoy berhasil mengalahkan team virus luar negeri. Sayangnya virus lokal hanya merajai serangan pendek (penyebaran melalui UFD dan jaringan lokal) dan setiap kali bertempur menggunakan operan lambung (penyebaran melalui email) virus lokal masih belum mampu mengalahkan virus luar. Untuk penyebaran melalui email, virus impor seperti Kamasutra (Small.KL / Blackmal / Nyxem), MyTob dan beberapa varian Netsky masih tetap merajai jagad internet Indonesia dan disinyalir komputer-komputer yang menjadi korbannya adalah komputer yang tidak menggunakan antivirus yang terupdate dengan baik karena semua virus ini sudah terdeteksi oleh program antivirus.



IP-IP lokal yang aktif mengirimkan virus

Menurut pantauan Vaksincom, sampai dengan awal Juni 2006 saja IP-IP lokal masih belerot yang aktif mengirimkan virus. Di dominasi oleh Kamasutra dan MyTob dan dilengkapi dengan baik oleh keluarga Netsky. Jika anda menggunakan program antivirus yang terupdate harusnya virus-virus ini sudah mampu dikenali dan dibasmi dengan mudah oleh program antivirus apa saja yang terupdate, baik yang gratisan maupun yang berbayar (beda dengan virus lokal yang malahan sangat sulit dibasmi karena melakukan berusaha restart setiap kali dicoba untuk dibasmi). Namun pengguna internet Indonesia memang beraneka ragam dan hukum piramida tetap berlaku untuk hal ini. Jadi di dasar piramida terdapat pengguna yang paling banyak dan notabene merupakan pengguna awam yang dengan tingkat pengetahuan komputer dasar, di atasnya agak sedikit adalah pengguna yang memiliki pengetahuan yang sedang dan pada puncak piramida dengan jumlah paling sedikit adalah pengguna yang cukup pakar dan berpengalaman yang terdiri dari komunitas administrator, IT Specialist dan security specialist. Kabar buruknya, pengguna yang memiliki pengetahuan dasar / awam dan berpotensial menyebarkan virus merupakan komunitas terbanyak. Kabar baiknya, untuk terhindar dari ancaman virus anda tidak perlu menjadi pakar, yang perlu adalah perduli. Asalkan pengetahuan berkomputer yang aman dan baik disebarkan secara terus menerus dan konsisten, jumlah pengguna yang sadar sekuriti akan tinggi sehingga secara otomatis pengguna yang berpotensial mengancam sekuriti karena ketidaktahuan (yang saat ini jumlah infeksi nyatanya paling banyak) akan menurun.

Anda dapat berperan aktif dalam menekan penyebaran virus via email. Caranya adalah dengan melaporkan pada pemilik IP yang bersangkutan (umumnya dimiliki ISP, kirim email berisi bukti header email bervirus kepada administrator ISP yang bersangkutan) bahwa IP yang dimilikinya mengirimkan virus kepada anda. Bagaimana caranya mengetahui IP yang mengirimkan virus kepada anda ? Jika anda tertarik untuk mengetahuinya silahkan lihat artikel "Pro Aktif Hadapi Virus E-mail" pada PC Plus terbitan terbaru (Halaman 33, PCPlus No. 260, 13 - 26 Juni 2006).

Satu hal yang perlu digarisbawahi dalam mengidentifikasi IP ini adalah Administrator ISP tidak bersalah dan jangan dimarahi (kecuali dia menjamin jaringan ISP nya bebas virus, seperti satu ISP yang berlokasi di Jend. Sudiman, Jakarta tetapi terbukti jaringan yang diklaimnya kebal virus kebobolan juga oleh virus kuno Netsky). IP yang umumnya terinfeksi virus adalah IP Dynamic, artinya IP tersebut digunakan oleh User / pelanggan ISP secara bergantian (rupanya IP bebas juga berbahaya seperti seks bebas). Namun jika kita berhasil mendapatkan informasi IP User (dan ISP pemilik IP) yang mengirimi kita virus dan timestamp (waktu pengiriman) nya, informasi yang kita dapatkan hanya terbatas disitu saja. Kita tidak tahu siapa tepatnya yang mengirimi virus "karena" data detail pengguna internet E.G nomor telepon yang melakukan dial up, Account yang melakukan dial up merupakan data ISP yang sifatnya confidential (karena dilindungi oleh Undang Undang perlindungan konsumen). Karena itu tentunya partisipasi aktif ISP justru merupakan salah satu faktor kunci dalam kegiatan pro aktif membasmi virus e-mail ini karena karena hanya ISP yang tahu user anda yang mana tepatnya yang mengirimkan virus e-mail.



Adapun IP-IP yang pada awal Juni 2006 terdeteksi mengirimkan virus adalah sebagai berikut (lihat tabel 1) :No
IP
ISP
Timestamp
Virus
1 202.147.196.** PT. Infokom Elektrindo www.infokom.net Sun, 04 Jun 2006 21:12:36 -0700 Netsky.P
2 219.83.18.** Indosat.net.id Sun, 04 Jun 2006 23:37:46 -0700 Kamasutra
3 202.73.115.1** CBN Kabel Vision Mon, 05 Jun 2006 07:50:21 -0700 My Tob@mm
4 202.159.61.1** Indonet VPN Mon, 05 Jun 2006 21:22:34 -0700 Netsky.C
5 202.169.36.1** PT. NewJass Baltrans biz.net.id Mon, 05 Jun 2006 02:16:37 -0700 Netsky.N
6 202.155.144.1** Indosat.net.id Mon, 05 Jun 2006 01:34:31 -0700 Kamasutra
7 202.147.225.1** www.bit.net.id Mon, 05 Jun 2006 18:20:09 -0700 Netsky.P
8 203.153.117.** Net2cyber Indonesia Mon, 05 Jun 2006 22:55:59 -0700 Kamasutra
9 202.53.232.** Indonet Client dial up Bandung Tue, 06 Jun 2006 00:27:26 -0700 Netsky.D
10 202.159.38.** Indonet Subnet Tegal Tue, 06 Jun 2006 01:58:53 -0700 Netsky.C
11 202.62.21.1** Internux.co.id Tue, 06 Jun 2006 17:39:15 -0700 MyTob
12 202.173.66.1** Elganet Cirebon Tue, 06 Jun 2006 20:45:07 -0700 Netsky.P
13 61.5.17.** Telkom Indonesia - Jatinegara Wed, 07 Jun 2006 01:23:11 -0700 Kamasutra
14 202.159.67.2** Wasantaranet Wed, 07 Jun 2006 00:24:03 -0700 MyTob.AG
15 61.5.36.1** Telkom Indonesia - Jatinegara Wed, 07 Jun 2006 00:17:30 -0700 Kamasutra
16 202.152.39.** Institut Teknologi Nasional - Lintasarta Wed, 07 Jun 2006 00:04:48 -0700 MyTob.AG
17 202.158.105.1** CBN Dialup Tue, 06 Jun 2006 22:38:00 -0700 Kamasutra
18 202.159.67.2** Wasantaranet Tue, 06 Jun 2006 19:19:28 -0700 My Tob.AG
19 202.149.90.** PT. OLAMI TINELO LIPU, www.sat.net.id Mon, 05 Jun 2006 23:41:23 -0700 Netsky.P


Tabel 1, IP-IP Indonesia yang aktif mengirimkan virus pada awal Juni 2006



Spyware dikalahkan virus 1 : 3

Ibarat pertandingan Jepang lawan Australia, Spyware di bulan Mei - Juni 2006 dikalahkan dengan cukup telak oleh virus dengan perbandingan 1 : 3. Motor virus tetap virus lokal dan Spyware dimotori oleh Agent, Gator dan Dloader. Untuk perbandingan detialnya silahkan lihat gambar 1.



Gambar 1, Spyware dikalahkan virus 25 % : 75 %



Virus lokal merajai infeksi virus, Decoy menjadi rising star

Sama seperti bulan April - Mei 2006, Rontokbro tetap memimpin penyebaran virus dengan kontribusi 44,03 % atas total infeksi virus. Catatan penting perlu diberikan pada Decoy yang pada bulan lalu hanya menduduki peringkat 4, tetapi bulan ini naik signifikan menjadi peringkat dua dengan kontribusi 20,69 %. Mengalahkan Suspicious_M.gen dan Small.KL (Kamasutra) yang tergusur ke peringkat 3. Virus lama WYX / Polyboot yang menghapus boot sector harddisk perlu diwaspadai karena berada pada peringkat ke 4, disusul pada peringkat 5, Suspicious_M.gen yang merupakan virus-virus lokal baru (generik) yang terdeteksi oleh Sandbox Technology dari Norman (Sanbox adalah teknologi pendeteksian varian virus baru tanpa terlalu tergantung pada update definisi virus dan hanya dimiliki oleh Norman Virus Control). Untuk detailnya silahkan simak gambar 2 dan tabel 2 dibawah ini :



Gambar 2, Virus Top Indonesia Mei - Juni 2006

No Virus Jumlah %
1 Rontokbro 2,835 44.03%
2 Decoy 1,332 20.69%
3 Small 969 15.05%
4 Wyx 334 5.19%
5 Susp.M.gen 164 2.55%
6 Korgo 120 1.86%
7 Pesin 117 1.82%
8 Renos 108 1.68%
9 Sober 80 1.24%
10 Malware 69 1.07%
Lainnya 311 4.83%
Total 6,439 100%


Tabel 2, Detail infeksi dan persentase virus Indonesia Mei - Juni 2006



Infeksi Spyware menurun 50 %

Dibandingkan bulan lalu, total infeksi spyware menurun 50 %. Meskipun demikian, tidak seperti virus yang menonjolkan aksi individu dimana infeksi Rontokbro dan Decoy saja sudah mengambil 60 % dari total infeksi virus. Spyware mengutamakan teamwork, hal ini terlihat dari jumlah Spyware yang banyak sekali dan persentase penyebarannya relatif lebih merata dibandingkan virus. Tetapi sama seperti permainan bola, meskipun dimotori aksi individual pada beberapa bulan terakhir ini virus selalu berhasil mempecundangi Spyware. Beda dengan tahun lalu dimana Spyware berjaya mengalahkan virus. Detail penyebaran Spyware bulan Mei - Juni 2006 tertuang dalam gambar 3 dan tabel 3 dibawah ini.



Gambar 3, Spyware Top Indonesia Mei - Juni 2006

No Adware Jumlah %
1 Agent 654 30.03%
2 Gator 326 14.97%
3 Dloader 310 14.23%
4 Look2me 143 6.57%
5 Dialer 136 6.24%
6 Funweb 89 4.09%
7 Lowzones 67 3.08%
8 Webhancer 56 2.57%
9 Hotbar 53 2.43%
10 Mywebsearch 38 1.74%
11 Lop 31 1.42%
12 Comet 30 1.38%
13 Savenow 29 1.33%
14 Dyfuca 27 1.24%
15 Winfixer 23 1.06%
16 Locksky 21 0.96%
17 Startpage 21 0.96%
18 Smalldoor 17 0.78%
19 Swizzor 14 0.64%
20 Downloader 13 0.60%
21 Newdotnet 13 0.60%
22 180solution 11 0.51%
23 Bonzo 10 0.46%
24 Virtumonde 9 0.41%
25 Istbar 7 0.32%
Lainnya 30 1.38%
Total 2,178 100%


Tabel 3, Detail penyebaran dan persentase infeksi Spyware Mei - Juni 2006 (AAT)



salam,

Alfons Tanujaya

PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160


Email : info@vaksin.com
Telp : 021-345 6850
Fax : 021-345 6851