Malware Apa yang Paling Banyak Beredar di Indonesia?

Jakarta, CNN Indonesia -- Kalau pada paruh pertama 2014 Mobogenie sukses menempati tempat ketiga sebagai malware yang paling banyak dihentikan oleh G Data Antivirus di Indonesia, terjadi sedikit pergeseran di bulan Agustus 2014 di mana Mobogenie terlempar dari Top 10 dan posisinya digantikan oleh gerombolan Worm yang naik dari peringkat 6 ke peringkat 3 dengan tingkat infeksi 9,86 %.

Untuk malware peringkat 1 dan 2 di bulan Agustus 2014 tidak terjadi perubahan, dan jawara malware tetap dipegang oleh Trojan yang berhasil hooked 34,50 % infeksi malware dan Adware sebesar 21,63 %.

Posisi 4 dan 5 terjadi pergantian posisi di mana Exploit menempati posisi 4 dengan infeksi 6,37 % yang menggusur gerombolan Malware ke posisi 5 yang bulan Agustus 2014 hanya berhasil menginfeksi 4,33 %.

Sebagai informasi, saat ini tidak mudah bagi satu jenis malware untuk menginfeksi komputer secara masif dan dengan tujuan menghindari deteksi program antivirus, pembuat malware berusaha mengimbangi dengan membuat varian malware sebanyak mungkin setiap kali terdeteksi oleh antivirus.

Akibatnya adalah, banjir varian malware yang mengakibatkan perusahaan antivirus memiliki pekerjaan rumah tiada henti. Untuk detail malware yang menginfeksi Indonesia dan terdeteksi oleh G Data antivirus pada pelanggan korporat dan home user Vaksincom, silahkan ikuti laporan di bawah ini.

Trojan

Gerombolan Trojan yang menempati peringkat 1 terdiri dari 37 jenis trojan yang menguasai 34,5 % infeksi malware Indonesia. Ada pun beberapa trojan yang paling sering terdeteksi adalah Trojan.Generic, Trojan Crypt, Autorun, LNK, HTML.Ramnit, dropper dan redirector.

Trojan Generic sebenarnya adalah trojan baru yang belum terdeteksi dalam update definisi antivirus, namun ada teknologi behavioural analysis yang berhasil mendeteksi aksi mencurigakan dan menghentikan trojan-trojan ini.

Latar belakang banyaknya Trojan Generic ini disinyalir berhubungan dengan usaha mengeksploitasi transaksi keuangan online (e-commerce) dan internet banking.

Perusahaan e-commerce dan bank mengamankan komunikasi data transaksi online dan internet banking antara komputer dengan server transaksi, dengan enkripsi yang sulit di tembus oleh kriminal. Sehingga cara yang dipilih untuk mendapatkan dan mengeksploitasi data tersebut adalah dengan mendapatkan langsung pada komputer sebelum dienkripsi di browser.

Hal ini dapat dicapai menggunakan trojan yang melakukan serangan pada browser dan lebih dikenal dengan nama, serangan Man in the Browser.

Trojan ini biasanya dirancang berumur pendek hanya menjalankan aksinya dalam hitungan jam dan segera setelah tujuannya tercapai ia akan langsung menghilang dan menunggu waktu yang tepat untuk menjalankan aksinya kembali dengan varian yang kembali diperbarui.

Kabar buruknya, sistem proteksi program antivirus terbaik saat ini hanya mampu mendeteksi 27 % banking trojan pada hari pertama.

Teknologi pertahanan deteksi antivirus konvensional seperti deteksi dengan definisi dan deteksi heuristik sekali pun dalam banyak kasus berhasil dikelabui trojan. Vendor antivirus berusaha mencari terobosan untuk mendapatkan solusi atas masalah ini.

Salah satu teknologi yang cukup berhasil mendeteksi dan menghentikan 99% trojan internet banking adalah, Bank Guard yang tersedia secara gratis pada seluruh produk G Data melindungi transaksi online dan internet banking.

Bank Guard memonitor proses dll browser yang dirubah oleh trojan dalam melakukan serangan Man in the Browser, dan langsung menghentikan proses tersebut sekalipun tidak ada malware terdeteksi menurut definisi antivirus.

Data statistik yang didapatkan di atas menunjukkan bukti efektivitas Bank Guard menghentikan Trojan tidak terdeteksi definisi antivirus yang berusaha untuk mengeksploitasi aktivitas e-commerce ataupun internet banking komputer korbannya.

Mengikuti Trojan.Generic, Trojan Crypt mengekor di peringkat kedua. Trojan Crypt adalah aplikasi jahat yang memungkinkan kriminal untuk mengakses komputer anda ecara remote dan melakukan aksi lain seperti mengubah file, mencuri data penting sampai menginstalkan program lain yang tidak diinginkan.

Selain Crypt, Vaksincom mencatat Trojan.Autorun.AET, Trojan.LNK (Shortcut), HTML Ramnit, Trojan.Heur (Heuristics), Trojan Dropper VHT dan Trojan Redirector.

Adware

Setelah Trojan, Adware berhasil menempati peringkat dua sebagai malware yang paling banyak dihentikan di Indonesia.

Sama seperti Trojan, jenis adware yang terdeteksi Vaksincom sangat beragam dan total jenis yang terdeteksi dan dihentikan oleh G Data di Indonesia adalah 34 jenis adware, di mana yang menjadi jawara adware Agustus 2014 adalah SwiftBrowse yang mendominasi lebih dari 28 % dari total infeksi.

Diikuti oleh Adware Generic pada peringkat 3 dan 7 (11,67 %), BHO (Browser Helper Object) Protector di peringkat 4 dan 6 (11,67), Agent (5,56 %), AdGazelle (5 %), Kazy (4,44 %) dan SaveByClick (3,89 %). Diluar Top 10 adware yang disebutkan di atas, 24 jenis adware mendominasi 29,44 % infeksi adware di Indonesia.

Worm

Setelah lelah kerubuti oleh gerombolan trojan dan adware di peringkat 1 dan 2 yang jumlah totalnya bisa mencapai lebih dari 60 varian, kita beranjak pada ancaman yang pada tahun-tahun sebelumnya menjadi jawara infeksi malware di Indonesia, worm.

Walaupun posisinya digusur oleh Trojan dan Adware ke peringkat 3 dengan total infeksi 9,86 %, worm tetap berusaha menjalankan aksinya. Namun memang jumlahnya tidak sebanyak varian Trojan dan Adware di mana pada Agustus 2014, Vaksincom mencatat 5 jenis worm yang paling banyak dihentikan Downadup, LNK Runner, Conficker dan Worm.Autorun.

Eksploit

Jika anda mengira ancaman sekuriti yang berbahaya dan patut diwaspadai oleh pengguna perangkat komputasi didominasi oleh malware saja, anda perlu kami perkenalkan dengan yang namanya eksploitasi celah keamanan (exploit). Apa itu celah keamanan ?

Celah keamanan adalah ketidak sempurnaan atau kesalahan dalam pemrograman (bug) pada semua software buatan manusia seperti Microsoft Windows, Linux, MS Office, Adobe Acrobat, Java, Browse (IE, Chrome, Firefox etc), OpenSSL, Squid dan seterusnya yang biasanya tidak disadari / tidak  disengaja, bug ini menyebabkan adanya celah keamanan dapat berakibat sistem tidak stabil, crash atau sistem bisa diakses / dikuasai oleh orang lain yang tidak berhak.

Celah keamanan selalu ditemukan setiap hari dan tidak ada cara menghindari ancaman eksploitasi celah keamanan ini selain melakukan penambalan (patch) seperti yang anda lakukan setiap hari dalam update software.

Celah keamanan sifatnya cross platform dan tidak hanya monopoli satu sistem operasi tertentu. Malahan dalam kasus aplikasi yang populer seperti Acrobat Readers atau Java yang sangat populer dan digunakan berbagai sistem operasi memungkinkan ekploitasi silang pada sistem operasi dimana aplikasi yang mengandung celah keamanan tersebut di instal.

Karena itu, adalah sangat penting untuk memiliki perlindungan yang memadai terhadap eksploitasi celah keamanan pada sistem anda dengan selalu melakukan update software terkini untuk mendapatkan patch atas vulnerability.

Jika memungkinkan dan anda memiliki dana, pastikan program antivirus yang anda miliki memiliki perlindungan terhadap eksploitasi celah keamanan guna memaksimalkan perlindungan sistem anda.

Perlindungan aktif terhadap exploit ini sangat penting karena pada sistem yang mengandung celah keamanan yang belum di tambal (patch) akan dapat diinfeksi oleh malware yang mengeksploitasi celah keamanan tesebut sekalipun sistem tersebut sudah diproteksi dengan program antivirus yang terupdate.

Jadi eksploitasi celah keamanan bisa membypass perlindungan yang diberikan oleh program antivirus. Adapun 5 eksploitasi celah keamanan yang paling banyak dihentikan Gdata dengan Anti Exploit ini adalah :

1.    CVE-2010-2568 adalah celah keamanan LNK.Shorcut yang sebenarnya berumur lebih dari 4 tahun, namun sampai saat ini masih termasuk ke dalam celah keamanan yang paling banyak di eksploitasi (75,47 %).

Celah keamanan ini menjadi favorit karena bisa dieksploitasi untuk menguasai banyak sekali OS Microsoft Windows baik workstation maupun server seperti Windows XP SP3, Server 2003 SP2, Vista SP1 dan SP2, Server 2008 SP2 dan R2, Windows 7 yang memungkinkan penyerang untuk menguasai komputer korban dengan file .LNK atau PIF shorcut file yang telah dipersiapkan sebelumnya.

Celah keamanan ini juga diekslpoitasi oleh Stuxnet melalui CVE-2010-2772 pada Siemens WinCC SCADA sistem.

2.    CVE-2011-0979 adalah celah keamanan pada Microsoft Excel 2002 SP3, 2003 SP3, 2007 SP2, 2010. Office 2004, 2008 dan 2011 for Mac, Open XML File Format Converter for Mac dan Excel Viewer SP2.

Celah keamanan ini memungkinkan penyerang menjalankan program lain guna menguasai komputer yang memiliki celah keamanan ini. Pada bulan Agustus 2014, celah keamanan ini menempati nomor 2 di bawah LNK Shortcut dengan tingkat eksploitasi sebanyak 11,32 %

3.    CVE-2013-2729 adalah exploit yang menyerang Adobe Acrobat Reader yang lebih dikenal dengan nama Adobe Reader BMP/RLE heap corruption vulnerability.

Celah keamanan ini dimanfaatkan oleh pembuat malware menyebarkan dirinya. Salah satunya digunakan untuk mengirimkan email yang jika dijalankan akan mengunduh dan menjalankan GOZ Game Over Zeus. Eksploitasi yang muncul sejak tahun 2013 ini terdeteksi menguasai usaha exploit yang dihentikan oleh G Data anti exploit sebanyak 5,66 %.

Selain ketiga eksploitasi yang harus menjadi perhatian para pengguna internet Indonesia karena menguasai lebih dari 90 % insiden eksploit yang dihentikan G Data, tiga eksploit lain yang terdeteksi adalah Exploit.RTL-Zip.gen, JPG:MS04-028 [Expl] dan HTML:Includer-CA[Expl].

Di luar dari 4 kategori di atas, sebenarnya masih ada malware (4,33 %), Zusy (3,85 %), Dropper (1,80 %), InstallBrain (2,16 %) berturut-turut menghuni peringkat 5 – 8 dan ditutup oleh jawara lama Ramnit (2,04 %) di peringkat 9 dan Virtob.gen (1,68 %) di peringkat 10.

*) Penulis Alfons Tanujaya adalah pakar antivirus dari vaksincom, penggemar kuliner ini bisa dihubungi di [email protected]