Fireball Malware


fiball

Belum lagi keluarga ransomware mereda, muncul lagi malware (malicious software, perangkat lunak berbahaya) jenis lainnya yang berkembang pesat di jagat maya, kali ini ada fireball. Malware ini aslinya keluarga adware, terlihat seperti tidak berbahaya tepatnya hanya mengganggu karena terus menerus secara periodik menampilkan laman-laman iklan yang otomatis muncul, namun lambat laun program jahat ini akan menjadi browser hijacker (membajak browser) disinilah ancaman mulai muncul,  karena program jahat ini telah memiliki kemampuan untuk memanipulasi, mengubah program browser yang kita pakai.

Jika sudah memiliki kemampuan demikian maka kemudian program ini akan bertindak sebagai spyware (program jahat untuk memata-matai segala data penting yang kita punya), dan akhirnya program jahat ini mampu untuk mengunduh dan meng-install program-program miliknya sendiri atau bertindak sebagai backdoor (pintu belakang) bila diperlukan agar program jahat yang lainnya seperti, worm, trojan atau virus  bisa masuk secara diam-diam. Jika sudah demikian maka komp/laptop yang kita pakai akan menjadi botnet, mudahnya sudah seperti zombie, terserah mereka akan diapakan komputer kita beserta isinya.

Fireball ini ditenggarai dikembangkan oleh Rafotech, digital marketing agensi berbasis di Beijing, Cina. Sebagai perusahaan resmi kenapa mereka membuat program yang jahat ini? Mungkin yang bisa jawab secara detail hanya para pakar analisis keamanan internet. Walaupun kita tahu pasti ujung-ujungnya hanya duit, dan dunia maya adalah harta karun terbesar bila kita bisa mengolahnya.

Jika menurut pemahaman sederhana saya, mungkin karena mereka sang pembuat adalah digital marketing dan mereka mempunyai para pengiklan tentu butuh sesuatu agar iklan-iklan itu tepat sasaran. Maka di bikinlah sebuah perangkat lunak yang telah dikenal dengan istilah behavioral targeting, program ini akan mengumpulkan data dari perilaku kita berselancar di dunia maya, agar iklan yang muncul sesuai. Sederhananya seperti ini, saat kita berselancar di dunia maya, broswer kita akan membuat catatan akan apa saja yang kita cari, dan buka. Program ini akan mengambil catatan tersebut untuk kemudian dipergunakan ketika kita kembali membuka laman mereka. Apakah jahat? Tidak hal ini sudah jamak terjadi, dan sudah ada regulasi yang mengaturnya. Bahkan K sendiri juga memakai ad tracker jenis ini, bisa di cek menggunakan ghostery, jadi jika beberapa saat yang lalu ada yang menulis K menampilkan iklan porno, seharusnya kita tahu kebiasaan orang yang menulis itu hingga iklan tersebut bisa muncul. Selanjutnya mengapa program ini bisa menjadi jahat, saya kurang mengerti, mungkin karena tergiur akan data mining yang sangat-sangat berharga atau faktor lainnya, hanya mereka yang tahu.

Dari mana?

Seperti yang sudah-sudah, program-program yang  jahat akan cenderung ‘bersembunyi’, menggunakan social engineering,  yaitu memanfaatkan kita sebagai faktor terlemah dari sebuah sistem keamanan.

  • Bundling, ini adalah cara yang banyak dipakai untuk menyembunyikan program jahat. Ketika kita mengunduh sebuah program yang kita butuhkan dan kebetulan gratis dari internet, kemudian mulai menjalankan program tersebut, kita akan abai akan keamanan. Kebiasaan kita hanya akan menekan tombol next hinga proses instalasi selesai. Program jahat ini akan berada didalam sebagai tambahan di dalam program gratis tersebut dapat terinstall, karena kita hanya menekan tombol selanjutnya/next hinga selesai tanpa membaca satu persatu proses yang dijalankan sewaktu menginstall.
  • Stealth, Beberapa situs berbahaya mampu menginstal secara diam-diam sebuah add-ons, atau menyimpan script jahat pada temp, menunggu untuk bekerja saat komputer yang kita pakai restart/shut down kemudian dinyalakan kembali.

Pencegahan

Karena ini bermula sebagai adware, maka yang pertama kita bisa lakukan adalah memasang add-ons, Adblock. Walaupun resikonya beberapa laman-laman favorit yang kita sering kunjungi akan menggunakan adblock detector hingga kita tidak bisa masuk lagi tanpa mematikan add-ons adblock. Seperti beberapa saat yang lalu(tampilan lama) Kompas.com menggunakan script adblock detector  untuk videonya, tanpa mematikan adblock mustahil kita bisa melihat video yang ditayangkan.

Perketat keamanan browser yang kita pakai

Pada firefox,

Pertama, adalah matikan fungsi popup windows.

Gunakan private windows

Jika memungkinkan, selalu gunakan private windows (CTRL+Shift+P), dan hapus berkala history browser kita (Ctrl+Shift+Del)

Bagian penting

Ini penting, aktifkan peringatan bila laman yang kita kunjungi mencoba install add-ons, beri otoritas bagi broswer untuk Block dangerous and deceptive content. Matikan fungsi remember logins for sites, ini berbahaya bukan hanya untuk aplikasi jahat, siapapun yang membuka komputer anda bisa berpeluang untuk melihat user name/password yang kita simpan.

Remember Logins

Selanjutnya adalah cara mengetahui apakah kita sudah terjangkiti fireball ini,

Search engine tetap seperti yang kita pakai semula

Kita bisa mengganti sesuka hati, default search engine

Tidak ada Add-ons asing. Cara mengakses add-ons (firefox) (Ctrl+Shift+A) atau ketik about:addons pada address bar.

Add-ons

Tidak ada string tambahan pada target icon browser kita

Mengetahuinya, klik kanan pada ikon broswer dan pilih properties, perhatikan pada target.

“C:\Program Files\Mozilla Firefox\firefox.exe” “www.kompasiana.com” sebagai contoh. “www.kompasiana.com” adalah tambahan.

jika kita tidak bisa mengubah default search engines atau default search engines kita tiba-tiba berubah, dan ada tambahan string pada properties browser maka kita perlu waspada, jangan-jangan nih….

Mengeyahkannya

Jika antivirus yang ada tidak bisa mendeteksi adware/hijacker ini, maka selanjutnya kita membutuhkan bantuan dari 2 program kecil ini, bisa pilih salah satu, ADWCleaner atau Adware Removal Tool.

Jika selesai mengunduh, jalankan program ini dengan mengklik 2 kali, makan program akan berjalan setelah mengambil update list data tentang adwares, PUP, Toolbars and Hijackers dari server mereka,

Update

selanjutnya tinggal kita klik tombol Scan, dan tunggu prosesnya.

Adwcleaner

 

Menunggu aksi

Tunggu sampai selesai,

Hasilnya, pada pc saya ada 4 threats

Selanjutnya tinggal menekan tombol clean, maka program akan membersihkannya otomatis. Selesai.

Sebenarnya fireball malware ini saat masih pada tahap awal sebagai adware dan kemudian bermetamorfosis sebagai browser hijacker, masih mudah untuk mengenyahkannya. Tapi jangan harap bisa membunuhnya mudah jika sudah pada tahap ia mengubah dirinya menjadi backdoor, aneka malware lainnya akan leluasa menyerbu masuk.

Log file, AWDCleaner.

Seperti log file saya ini, menyepelekan adware akhirnya pusing sendiri ketika sudah menyebarkan malware lainnya. Jika pada bentuk seperti ini akan sangat-sangat susah, bahkan Windows Management Instrumentation (WMI) saya yang deep di root bisa ditembus,

Key Found:  : \root\subscription\ActiveScriptEventConsumer [ASEC]

Antivirus yang kita punya sepertinya hanya bisa bengong kemudian, karena fungsinya dapat dimatikan dengan mudah.

Jika cara diatas dirasa memusingkan, traktiran makan siang, atau secangkir kopi pada coffee corner dengan staff IT akan sangat memudahkan. hehehe

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s