[PR] WIN32/DELF.QCZ: Trojan dengan Modus Menawarkan Bantuan

Reading time:
August 19, 2011

Jakarta, 18 Agustus 2011. Dari sekian banyak trojan yang menyebar menggunakan media jejaring sosial facebook, ada satu yang menarik perhatian karena beberapa alasan. Saat ini threat tersebut berhasil dideteksi ESET dan diidentifikasi sebagai Win32/Delf.QCZ. Salah satu varian trojan yang mendownload malware lain dari internet. Seperti diketahui bahwa trojan menyebar luas melalui link di situs-situs jejaring sosial. Trojan mengintervensi beberapa aplikasi keamanan untuk mematikan fungsi deteksi aplikasi keamanan tersebut.

Penyebaran

Pertama tama mari kita lihat vector penyebaran trojan tersebut. Win32/Delf.QCZ menggunakan aplikasi lama “codec palsu/media player” dan link ke situs malware-laden yang menyebar lewat Facebook chat – cara seperti ini terbukti cukup inovatif. Tetapi para pembuat malware telah meng-upgradenya hingga mampu melakukan serangan secara lebih personal terhadap user yang menjadi target. Malware Win32/Delf.QCZ  tidak hanya muncul sebagai pesan spam yang seolah dikirim oleh teman facebook kita, atau mengirimkan pesan-pesan umum pada facebook wall post seperti contoh “WOW! http://_malicious_link_”, dan malware yang mengirimkan Win32/Delf.QCZ juga memalsukan percakapan kita sebelum mengirimkan malicious URL.

Link ke web-page yang tampil mirip dengan tampilan YouTube, dan biasanya malware meminta user untuk meng-upgrade Adobe Flash Player terlebih dahulu untuk dapat menyaksikan video yang dikirimkan. Agar calon korban bisa yakin dan mendorong rasa ingin tahu dari calon korban, mereka diminta untuk menjalankan malware yang dikirim. Sedangkan nama user yang mengirimkan tentu saja palsu dan diperoleh dari facebook. Ditampilkan di video yang dikirim dengan diberi judul tambahan yang terkesan sensasional.

Modus Operandi

Vector penyebaran yang digunakan oleh Win32/Delf.QCZ sangan efektif dan menarik, karena memiliki muatan sebesar layaknya video, sehingga bisa menipu. Trojan ini bisa dikategorikan sebagai antivirus palsu, tetapi skenario penyerangannya berbeda dibandingkan dengan tipikal Rogue AV yang sudah ada – yaitu tidak mempengaruhi user untuk membeli aplikasi keamanan palsu. Win32/Delf.QCZ justeru memalsukan antivirus asli yang sudah diinstall di komputer korban. Hal tersebut bisa dilihat dari munculnya tampilan peringatan serangan virus yang dibuat seakan-akan berasal dari antivirus yang ada di komputer korban, Padahal AV sudah diremove sebelumnya.

Caranya adalah dengan :

Pertama-tama trojan mendeteksi antivirus apa yang telah diinstall dengan menjalankan proses untuk menemukan proses-proses tertentu yang dijalankan oleh software keamanan yang sudah terinstall tersebut.

Ketika trojan telah menemukan AV di komputer korban, selanjutnya ia akan menjalankan proses  removing AV tersebut terutama file directory yang ada di Safe Mode. Kedua, metode yang digunakan adalah dengan menjalankan malware segera setelah restart komputer dilakukan :

  • Kerja trojan bisa berjalan dengan terinstallnya Win32/Delf.QCZ yang kemudian menjadi   wxpdrivers. Registry entries berikut ini digunakan untuk memastikan Trojan sudah berada       di Safe Mode:

◦    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\M       inimal\wxpdrivers] “(Default)” = “Service”

◦    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\N       etwork\wxpdrivers] “(Default)” = “Service”

  • mengaktifkan parameter AlternateShell : dilakukan overwrites pada default executable     (cmd.exe) untuk dijalankan saat Safe mode dengan Command Prompt option is      selected with   the malware’s executable (services32.exe):

◦    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]          “AlternateShell” = “services32.exe”

  • Trojan memperoleh data dan perintah dari remote computer atau dari Internet.
  • Mendownload beberapa file yang dibutuhkan dari internet.
  • Berisi dafter yang terdiri dari 4 URL. Menggunakan protokol HTTP.
  • Trojan akan memeriksa koneksi dengan cara melakukan koneksi terlebih dahulu ke server-server jejaring sosial termasuk facebook, youtube, blogspot, twitter:
  • Mampu mematikan beragam aplikasi keamanan.

Trojan tersebut juga mampu mengacaukan kerja dari aplikasi-aplikasi keamanan

Trojan akan akan memunculkan screen peringatan tentang virus hasil deteksi di komputer yang berhasil ter konfirm dan perlu segera dilakukan perbaikan.  Selanjutnya trojan akan menunggu sampai user melakukan restart komputer.

Jika komputer tidak direstart, peringatan bahaya virus akan muncul lagi dengan pesan bahwa tidak bisa dilakukan treatment terhadap virus sehingga  harus melakukan reboot. Screenshot tersebut muncul dalam berbagai versi termasuk versi bahasa Rusia, masing-masing versi akan muncul sesuai dengan wilayah terjadinya infiltrasi system terjadi.

Bahkan jika korban tidak meng-klik opsi restart, malware akan tetap berupaya agar komputer direstart. Pada Safe Mode, file direktori yang ada dalam aplikasi keamanan akan terhapus dan system akan me-restart secara otomatis dengan Normal Mode.

Perhatikan screenshot dari pop-up yang muncul sebagai peringatan seakan-akan berasal dari antivirus ESET NOD32 Antivirus yang terinstall di dalam komputer. Padahal ESET Antivirus tidak membuat pop-up berwarna merah.

Pop Up Eset NOD32

Setelah berhasil mengacaukan system, trojan Win32/Delf.QCZ akan menutupi jejak dengan  cara menipu user, menginformasikan bahwa AV (yang sudah dihapus) masih aktif. Shortcuts dan icon antivirusnya juga masih ada, tetapi sebenarnya Win32/Delf.QCZ sudah bisa menguasai system komputer user dan siap untuk bekerja.

Saat user meng-klik icon AV, yang muncul adalah window yang menginformasikan AV masih beroperasi dan untuk sementara bekerja dengan “enhanced protection mode”. Tampilan windownya berisi nama software keamanan lengkap dengan deskripsinya.

Motif Keuntungan Finansial

Setelah mengetahui cara Win32/Delf.QCZ menyingkirkan software keamanan di komputer yang korban, dan cara penyebarannya, pertanyaan kemudian adalah apa motif utama dari malware Win32/Delf.QCZ ?

Trojan Win32/Delf.QCZ akan bertindak sebagai downloader untuk malware lain, yaitu  backdoor yang dikenal tangguh untuk melakukan eksploitasi terhadap komputer ketika aplikasi antivirus telah dimatikan. Dibalik skenario tersebut tentu saja ada motif finansial. Pelaku yang menggunakan Win32/Delf.QCZ dimungkinkan menjadi bagian dari skema komersial dengan model pembayaran pay-per-install atau menjadi alat untuk mempermudah installasi malware pihak ke 3 untuk mendapatkan keuntungan finansial.

Aplikasi keamanan ESET antivirus berhasil mendeteksi dan menyingkirkan threat Win32/Delf.QCZ dengan memproteksi wilayah sensitif dari Windows operating system, sebelum trojan tersebut berhasil menyebar dan memperluas fungsi HIPS (Host Intrusion Prevention System).

Tentang penyebaran Win32/Delf.QCZ  tersebut, Yudhi Kukuh Technical Director PT. Prosperita – ESET Indonesia berkomentar, ”Jika mengacu pada strategy sosial masyarakat pada era belakangan ini, tidak mengherankan jika para pengembang malware kemudian memanfaatkan situs-situs jejaring sosial untuk menyebarkan program-program jahatnya. Salah satu contoh yang lekat dalam ingatan kita adalah Trojan yang diidentifikasi sebagai Koobface yaitu varian trojan dengan cara infiltrasi yang tajam. Motif dari Trojan Koobface adalah mendapatkan perhatian dengan mengirimkan pesan-pesan yang tentunya untuk menarik perhatian dari pengguna facebook. Kemudian malware tersebut akan menciptakan botnet, atau sebuah jaringan zombie yang dapat dikontrol dan diperintah secara remote oleh pelaku cybercrime”.

Berkaitan dengan kondisi tersebut, ESET merekomendasikan beberapa cara yang bisa dilakukan untuk meningkatkan keamanan saat menggunakan situs jejaring sosial :

  • Selalu gunakan software keamanan pada komputer, lengkapi dengan antivirus berperforma puncak, dan jangan lupa untuk meng-update.
  • Selalu waspada jika ada percakapan yang mencurigakan: contoh: chat dengan bahasa asing dengan susunan yang aneh.
  • Refrain from clicking on suspicious links.
  • Sesuaikan level keamanan dan privacy settings di situs jejaring sosial.
  • Terdapat banyak aplikasi yang diterbitkan oleh pihak ketiga yang dicurigai sebagai hasil kerja dari pelaku kejahatan dunia maya dan masuk sebagai spam dalam komputer user.
Load Comments

Gadget

March 5, 2024 - 0

Review vivo V30: Lebih Murah, Lebih Kencang dan Irit dengan Snapdragon + 3 Kamera 50 MP

vivo V30 , smartphone ini juga dibawa vivo hadir resmi…
March 5, 2024 - 0

Review realme 12 Pro+ 5G: Smartphone Berkamera Tele Periscope Paling Murah!

Kalau kalian mencari smartphone mid range dengan kamera telephoto terbaik…
January 26, 2024 - 0

Review vivo Y100 5G: Desain Premium, AMOLED 120 Hz, 5G, Snapdragon BARU!

vivo Y100 5G, ini adalah smartphone terbaru dari jajaran vivo…
December 30, 2023 - 0

Review CMF Watch Pro: Smartwatch dengan Layar 1,96 Inci AMOLED dan Desain Unik

CMF Watch Pro dibanderol dengan harga Rp1.149.000. Dengan harga tersebut…

Laptop

March 7, 2024 - 0

Review MSI Prestige 13 AI EVO A1M: Laptop AI PC Super Tipis, Ringan, Kencang & Irit!

Kali ini kita kedatangan salah satu “AI PC” dari MSI.…
March 6, 2024 - 0

Review Axioo Hype 5 AMD: Laptop 5 Jutaan Sekencang & Selengkap Ini?

Laptop murah yang harganya 5 jutaan ini ternyata kuat juga…
March 5, 2024 - 0

Review ASUS Vivobook Pro 16X OLED K6604: Laptopnya Kreator Profesional!

Laptop ini cocok banget untuk cari duit terlebih bagi kalangan…
February 6, 2024 - 0

Rekomendasi Laptop Premium dari HP – Mulai 10 Jutaan

Di Video rekomendasi kali ini, kami coba pilihkan untuk kalian…

Gaming

March 7, 2024 - 0

Bukan CGI, Dragon’s Dogma 2 Gunakan Video Daging Asli untuk Animasi Memasak

Apalah arti sebuah game petualangan yang tidak mampu memberikan Anda…
March 7, 2024 - 0

Frostpunk 2 Rilis Juli 2024

Membangun kota seindah dan seefektif mungkin, menatanya serapi yang Anda…
March 7, 2024 - 0

The First Berserker: Khazan Pamer Gameplay Baru, Rasa Souls

Sulit untuk membantah bahwa teaser perdananya di The Game Awards…
March 7, 2024 - 0

Persona 3 Reload Dapat “The Answer”, Rilis Berbayar di September 2024

Apa yang berhasil dilakukan oleh ATLUS dan tim Persona dengan…