[atekbl]- [Fwd: [vaksin.com] Fujack, Viking with Flash Disk infection capability]

Wed, 05 Nov 2008 20:20:39 -0800 


-------- Original Message --------
Subject:        [vaksin.com] Fujack, Viking with Flash Disk infection capability
Date:   Thu, 06 Nov 2008 04:05:39 -0000
From:   vaksincom <[EMAIL PROTECTED]>
To:     [EMAIL PROTECTED]



http://vaksin.com/2008/1108/fujack/fujack.htm

*Virus yang "Sempurna"    *    6 November 2008

Artikel Chip April 2008




Viking adalah sosok virus mancanegara yang sangat ditakuti administrator 
jaringan karena sekali berhasil menginfeksi satu komputer dalam jaringan 
akan langsung menyebar dan melumpuhkan seluruh komputer yang terhubung 
ke intranet, bahkan dalam banyak kasus mampu menembus pertahanan 
komputer dengan antivirus yang terupdate sekalipun karena kemampuannya 
polymorphic di dukung oleh kemampuan mengupdate dirinya melalui internet 
dengan sangat cepat sehingga dapat mengelabui antivirus yang telah 
mendeteksinya. Ditambah dengan ciri khas infeksinya dengan menginjeksi 
file executable dan mengeksploitasi celah keamanan IPC $ dalam rangka 
menyebarkan dirinya ke komputer lain di jaringan membuatnya tidak 
tertahankan sekali berhasil menginfeksi satu saja komputer di jaringan, 
dalam waktu singkat seluruh komputer di jaringan akan berhasil 
dikuasainya. Apakah ini sudah cukup ? Ada satu metode infeksi yang belum 
dimiliki Viking, penyebaran via external drive yang marak digunakan oleh 
virus Indonesia sehingga secara tidak langsung penyebaran Viking kurang 
efektif pada komputer-komputer yang tidak terhubung ke intranet / 
internet. Tetapi pembuat virus juga manusia, mereka belajar dari 
pengalaman masa lalu sehingga ia mengeluarkan virus baru dengan 
kemampuan tambahan menyebar melalui external drive (UFD (USB Flash 
Drive), External HDD, Memory Card dan lainnya)). Ibarat kata Gita 
Gutawa, inilah salah satu virus yang masuk kategori Sempurna.



Virus yang dikenal dengan nama W32/Fujack ini karena "bibitnya" adalah 
pembuat Viking, maka virus ini tidak kalah sakti dengan Viking. Dengan 
beberapa kesamaan seperti kemampuan polymorphic dan update diri ke 
internet, eksploitasi celah keamanan dan kemampuan penyebaran di 
jaringan yang sangat efektif. Bedanya, Fujack tidak mengeksploitasi 
celah keamanan IPC $ (kemungkinan karena IPC $ ini sangat efektif jika 
korbannya adalah Windows 2000 dan penggunanya sekarang makin berkurang), 
sebagai "gantinya" virus baru ini dibekali dengan kemampuan melakukan 
dictionary attack pada account administrator dan folder yang di password 
dimana hampir dapat dipastikan default password setting windows dan 
password lemah akan dapat ditembus oleh virus ini. Selain itu, apakah 
karena di "ilhami" oleh virus lokal buatan Indonesia, virus baru dengan 
nama Fujack ini juga memiliki kemampuan penyebaran melalui External Disk 
dan hebatnya ia akan menambahkan Autorun.inf pada external drive yang 
akan menjalankan virus yang dikopikan pada drive tersebut.




*Gamesetup.exe*


Jika mendadak komputer anda memiliki file dengan nama gamesetup.exe pada 
folder Startup, maka anda harus ekstra hati-hati karena artinya Fujack 
sudah mampir ke komputer anda. (lihat gambar 1)




/Gambar 1, Fujack datang dalam file dengan nama GameSetup.exe/

/ /


Dan bila anda terhubung ke jaringan, maka pekerjaan rumah besar menanti 
anda. Mengapa ? Seperti virus Viking, Fujack memiliki keahlian dalam 
menginfeksi jaringan. Dalam menjalankan aksinya menyebar ke jaringan, 
jangankan folder sharing yang tidak dilengkapi password (yang secara de 
facto memang sering di temukan di jaringan-jaringan intranet UKM, bahasa 
kerennya SME = Small and Medium Enterprise), folder yang dilengkapi 
dengan password sekalipun berhasil dimasuki oleh Fujack dengan 
dictionary attack yang mencapai 100 password yang paling sering 
digunakan oleh administrator seperti, pw123, mypass123, asdf, qwerty, 
login, 12345678, abc123, administrator dan mypc. Jadi jika anda 
administrator jaringan yang tidak melengkapi pertahanan dengan password 
yang baik dan semua settingan masih default bisa dipastikan Fujack akan 
dengan mudah menginfeksi komputer / jaringan intranet anda.




*Mematikan software sekuriti dan system tools windows*


Salah satu payload Fujack yang patut dikhawatirkan adalah ulahnya "balas 
dendam" mematikan beberapa program sekuriti seperti AVP, McAfee dan 
Symantec. Payload ini berbahaya karena dengan lumpuhnya program 
antivirus berarti komputer tidak memiliki pertahanan terhadap virus 
apapun sehingga secara tidak langsung Fujack membukakan pintu bagi semua 
virus ITW (In The Wild) sekalipun sebelumnya sudah terdeteksi oleh 
program antivirus tersebut. Tetapi karena antivirus sudah dilumpuhkan 
Fujack maka virus lain dengan leluasa akan dapat menginfeksi komputer. 
Celakanya, jika virus yang masuk bersifat merusak data seperti Kamasutra 
atau Kespo. Adapun system tools windows yang dilumpuhkan oleh Fujack 
adalah Task Manager dan Registry Editor.




*Menyebar melalui website dan mengupdate dirinya*


Fujack memiliki kemampuan menyebar melalui website di internet. Caranya 
adalah menginfeksi file html dan kemudian memasukkan link yang 
mengandung virus tersebut ke dalam html. Bahkan ada varian Fujack yang 
tampil sebagai file .gif yang memanfaatkan Iframe untuk membawa 
korbannya ke website yang mengandung virus.



Salah satu rahasia kehebatan Fujack adalah kemampuannya mengupdate 
dirinya melalui internet. Hal ini dilakukan melalui website 
http://www.ac86.cn/88 tetapi saat ini link update tersebut sudah tidak 
aktif lagi, namun dengan mudah pembuat Fujack mengeluarkan varian baru 
dengan link update baru. Dari sini dapat kita lihat bahwa pembuat Fujack 
meniru vendor antivirus yang mengandalkan update untuk mendeteksi dan 
membasmi varian virus baru.




*Menyebar melalui external media dan membuat file autorun.*


Berbeda dengan virus mancanegara lain yang mengandalkan penyebaran 
melalui internet, email dan intranet. Fujack memiliki satu payload 
tambahan yang mirip dengan virus lokal. Apakah di ilhami oleh virus 
Indonesia, hanya pembuat Fujack yang tahu. Payload tambahan yang menjadi 
"lagu wajib" bagi virus lokal Indonesia adalah kemampuan menyebar 
melalui External Drive seperti UFD, external harddrive dan memory card 
dimana Fujack akan mengkopikan dirinya sebagai file "setup.exe". Tetapi 
file "setup.exe" saja tidak cukup karena tidak dapat berjalan secara 
otomatis setiap kali External Drive di akses / dihubungkan ke komputer, 
karena itu virus ini juga akan membuat file "autorun.inf" yang otomatis 
akan dijalankan setiap kali External Drive dihubungkan ke komputer atau 
folder mengandung virus diakes oleh komputer. File "autorun.inf" sendiri 
nantinya akan menjalankan file virus "setup.exe" guna menginfeksi 
komputer korbannya. Fitur autorun ini pada awalnya sebenarnya merupakan 
fitur yang banyak diaplikasikan pada CD Rom / DVD Rom dimana setiap kali 
kita memasukkan CD/ DVD fitur ini akan secara otomatis menjalankan menu 
pada CD / DVD. Tetapi ibarat pistol, ditangan orang yang salah akan 
digunakan untuk tujuan yang negatif / merusak.




*Bagaimana cara efektif mengatasi Fujack*


Ada beberapa tindakan pencegahan yang perlu anda lakukan untuk mencegah 
Fujack menginfeksi komputer anda. Pertama tentunya anda harus menerapkan 
password yang baik dan benar pada username dan folder sharing di seluruh 
jaringan. Meskipun kelihatannya sepele tetapi dalam pelaksanaannya 
banyak administrator jaringan yang menghadapi kendala dalam hal ini, 
hambatan utama adalah kendala dari pengguna komputer yang mau mudah dan 
tidak mau pusing merubah kebiasaan kerja, walaupun salah. Kedua, 
walaupun klise tetapi tetap penting adalah instal antivirus yang sudah 
mampu mendeteksi virus Fujack. Menurut catatan penulis, hampir semua 
antivirus termasuk Norman sudah mampu mendeteksi Fujack (lihat gambar 2).


/Gambar 2, Norman Virus Control mendeteksi Fujack/




Yang menjadi masalah adalah Fujack mampu mengupdate dirinya dengan 
cepat sehingga sangat sulit di deteksi oleh antivirus sehingga anda 
membutuhkan cara ketiga yang merupakan sumbangan dari teknisi Vaksincom 
khusus untuk pembaca Chip dan tidak anda temui saat ini di internet atau 
di vendor antivirus lain :). Caranya adalah denga mengelabui Fujack 
bahwa komputer anda telah terinfeksi. Seperti kita ketahui, untuk 
mencegah proses looping sehingga menyebabkan crash Fujack akan mengecek 
keberadaan dirinya di komputer calon korbannya. File yang di cek adalah 
spoclsv.exe  (yang merupakan file proses virus), jika file ini ditemukan 
maka ia akan berhenti menginfeksi komputer dan komputer anda akan aman 
dari infeksi Fujack, sekalipun tanpa perlindungan antivirus. Tetapi 
ingat, metode ini efektif untuk menghadapi semua varian Fujack yang 
menyebar sampai hari ini dan tidak tertutup kemungkinan varian baru yang 
mampu mengatasi pengelabuan ini. Sekuriti adalah proses, nantinya pasti 
akan ditemukan lagi cara lain yang efektif mengelabui varian Fujack baru 
(jika ada). Untuk sementara pembuatan file palsu spoclsv.exe mampu 
menghentikan penyebarannya di jaringan.




Salam,

Aa Tan

[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>



PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160



Ph : 021 3456850

Fx : 021 3456851



--
------------------------------------------------------------------------
http://aboen.or.id - BSD051246
gtalk   : aboenx
ym      : aboenc
------------------------------------------------------------------------















    











					Kirim email ke