Kalau statistik virus diibaratkan sebagai kejuaraan sepakbola, di piala Konfederasi, Conficker ibaratBrazil boleh menjadi jawara virus yang paling banyak terdeteksi menginfeksikomputer di Indonesia di bulan Mei – Juni 2009, tetapi yang siap-siap mendepakConficker sangat banyak. Dari Obfuscated, Sohanad, Virut dan Autorun yang dapatdiandaikan sebagai team AS dan Spanyol (lihat gambar 1). Tetapi lain pialakonfederasi, lain lagi piala UEFA, dimana pada ranah virus online yang menyebarmelalui traffic ISP (http, pop, smtp, ftp, irc dan smb) yang menjadi jawaraadalah virus W32/Onlinegames dengan variannya yang segambreng, diikuti Salityyang menyebar melalui lampiran email dan spyware 180solutions yang berhasil di deteksidan dihentikan oleh NNP Norman Network Protector yang dipasang Vaksincom di ISPDataUtama Kedoya sehingga melindungi seluruh traffic ISP dari virus di porthttp, smtp, pop, ftp baik pada traffic upload maupun download.
Gambar 1, Malware Top Indonesia Mei – Juni 2009 by Vaksincom
Top 10 Virus Indonesia
Conficker sampai bulan Juni 2009secara meyakinkan berhasil menguasai 66.88 % insiden virus Indonesia denganjumlah insiden sebanyak 14,805. Virus yang sangat memusingkan pengguna internetdi seluruh dunia ini membuat administrator jaringan kewalahan karenakemampuannya menginfeksi hampir seluruh OS Windows yang memiliki kelemahan padaRPC Dcom vulnerability dan belum di patch. Bagi anda yang PCnya terinfeksiConficker dan ingin membasmi virus ini silahkan lihat artikel Vaksincom MegaTest Tools Conficker di http://vaksin.com/2009/0409/Conficker%20Tools/mega%20test%20conficker%20tools.htm.Bagi anda administrator jaringan yang kerepotan menghadapi Conficker danmembutuhkan tools pendeteksi Conficker di jaringan, lab Vaksincom jugamengadakan pengetesan atas 5 tools pendeteksi Conficker di jaringan (Gratis)dan artikel tersebut disa anda dapatkan di http://vaksin.com/2009/0409/Conficker%20Scanner/conficker%20scanner%20review.htm.
Menyusul Conficker adalah virusyang di golongkan Norman sebagai Obfuscated virus 12.09 % / 2,677 insiden.Obfuscated virus adalah virus yang sengaja di coding supaya sulit di deteksidan kebanyakan menggunakan trik hidden sehingga sekali masuk ke komputer akansulit ditemukan oleh antivirus. Menyusul di tempat ketiga adalah virus Sohanad5.84 % / 1,293 insiden, salah satu varian Sohanad yang marak menyebar diIndonesia menurut pantauan Vaksincom adalah virus Vietnam yang mengirimkanpesan YM dalam bahasa Vietnam (jangan heran yah, walaupun Vaksincom dan orangIndonesia umumnya tidak mengerti bahasa Vietnam tetapi secara de facto virusini mampu menyebar di Indonesia dan menduduki peringkat 3). Untuk informasidetail mengenai Sohanad dapat di lihat di http://www.vaksin.com/2008/0508/sohanad-vietnam/Sohanad-Dloader.html.Setelah Sohanad, kita dihadapkan pada virus yang kalau mau dibandingkan secaracoding tidak kalah canggih dengan Conficker dan membingungkan korbannya karenaaksinya menginjeksi file dan dalam banyak kasus jika satu file di ijneksi lebihdari satu kali akan mengakibatkan file tersebut rusak dan tidak dapatdiperbaiki oleh program antivirus. Virus mancanegara yang satu ini dikenaldengan nama Virut dan Vaksincom mencatat 1,047 insiden atau 4.73 %. Kiprahvirus lokal masih tetap terlihat dimana pada peringkat 5 bertengger virusAutorun dengan total insiden 920 / 4.16 %. Pada peringkat 6 – 10 di dominasioleh Spyware seperti Starter (6) 217 / 0.98 %, Dloader (9) 107 / 0.48 %, RoqueAntivirus (10) 104 / 0.47 %, Agent (12) 70 / 0.32 % dan Dialer (13) 68 / 0.31%.
Untuk detail Top 20 virusIndonesia bulan Mei – Juni 2009 dapat dilihat pada tabel 1 dibawah ini.
| No | Virus | Jumlah | % |
| 1 | Conficker | 14,805 | 66.88% |
| 2 | Obfuscated | 2,677 | 12.09% |
| 3 | Sohanad | 1,293 | 5.84% |
| 4 | Virut | 1,047 | 4.73% |
| 5 | Autorun | 920 | 4.16% |
| 6 | Starter | 217 | 0.98% |
| 7 | Suspicious | 159 | 0.72% |
| 8 | Sality | 146 | 0.66% |
| 9 | Dloader | 107 | 0.48% |
| 10 | Roque Antivirus | 104 | 0.47% |
| 11 | Smalltroj | 95 | 0.43% |
| 12 | Agent | 70 | 0.32% |
| 13 | Dialer | 68 | 0.31% |
| 14 | Alman | 64 | 0.29% |
| 15 | Rontokbro | 57 | 0.26% |
| 16 | VBTroj | 54 | 0.24% |
| 17 | Alchemic | 45 | 0.20% |
| 18 | Vundo | 39 | 0.18% |
| 19 | Qhost | 31 | 0.14% |
| 20 | Smalldrp | 25 | 0.11% |
| Other | 115 | 0.52% | |
| Total | 22,138 | 100.00% |
Tabel 1, Top 20Virus Indonesia 2009 oleh Vaksincom
Virus Online
Selain ancaman virus yangmenyebar melalui jaringan intranet (file sharing) dan flash disk / medialainnya, Vaksincom bekerjasama dengan Data Utama, NAP di Kedoya melakukanfiltering atas semua traffic internet Data Utama Kedoya dan membersihkan semuatraffic tersebut dari virus, baik virus yang di download maupun di upload.Adapun alat yang digunakan adalah NNPNorman Network Protector yang berjalan sebagai Transparent Proxy sehinggauser tidak merasakan adanya perubahan dan tidak perlu mengadakan perubahansetting apapun pada proxy atau koneksi internetnya. Adapun port yang di filteradalah port HTTP, POP3, SMTP, IRC, FTP, RPC (termasuk RPC Dcom), CIFC/SMB danTFTP. Bagi anda yang tertarik untuk mencoba NNP silahkan hubungi info@vaksin.com.
Hasil filtering yang berjalansampai hari ini sehingga membebaskan pelanggan ISP dari virus baik pada saatbrowsing, menerima email, upload ftp, chatting irc, file sharing Windowsataupun RPC call yang di eksploitasi oleh Conficker memberikan hasil yangmengejutkan. NNP sukses mendeteksi ratusan virus dan posisi utama ditempatioleh W32/OnlineGames dengan varian segambreng. OnlineGames adalah virus yangmenyebar melalui situs tertentu dan memiliki kemampuan mengupdate dirinya.Virus ini mengaktifkan dirinya di komputer korbannya dengan cara mengijeksikanDLLnya ke Explorer.exe, proses Windows Explorer. Tujuan virus ini adalah untukmencuri data-data penting di komputer korbannya. Saat ini yang diincar adalahdata pelanggan game online populer seperti WOW.EXE (World of Warcraft), ElementClient.exe (Perfect World) dan CabalMain.exe (Cabal Online). Selain itu, virusini juga melakukan aktivitas keylogging yang tujuan awalnya adalah untukmendapatkan username dan password dari onlinegames ini, tetapi bahaya yanglebih tinggi akan timbul jika data penting seperti username dan passwordpenting seperti rekening bank, kartu kredit dan lainnya juga dicuri dandikirimkan ke pembuatnya yang mayoritas merupakan IP yang ada di RRC.
Lihat gambar 2 dibawah untukmendapatkan hasil scanning NNP terhadap IP-IP luar yang mengandung virus danaktif menyebarkan dirinya ke Indonesia.
Gambar 2, URL yang mengirimkan virus dan dihentikan oleh NNP.
Vaksincom mencoba mendownload link yang diblok oleh NNP dan setelah berhasil di download, memang benar bahwafile yang dihentikan oleh NNP tersebut mengandung virus W32/OnLineGames.IXXS(lihat gambar 3)
Gambar 3, Norman Security Suite mendeteksi virus OnLineGames
0 Komentar untuk "Malware Top Indonesia Mei – Juni 2009"