W32/Kolab.xx
Virus FB Chat
varian Zbot, komputer jadi robot, jaringan
jadi bolot
Pernah-kah Anda mendapatkan pesan
chat pada Facebook dari salah satu kontak
Facebook Anda ? Pesan chat tersebut memberikan
sebuah link tertentu. (lihat gambar 1)
Gambar 1, Pesan FB Chat
bervirus
Jika Anda meng-klik link pada
pesan chat tersebut, maka secara otomatis file
virus akan terdownload ke dalam komputer Anda.
Dan jika Anda menjalankan file tersebut, maka
komputer Anda akan terinfeksi oleh virus
tersebut.
Jika anda
familiar dengan salah satu varian worm
yang menyebar via chat seperti YM (Yahoo!
Messenger) atau Skype, maka anda
patut waspada, karena VaksinCom telah
menerima laporan serangan worm/rootkit/trojan yang menyebar
menggunakan pesan chat pada FB. Hebatnya,
virus ini tidak memanfaatkan Apps Facebook sehingga
administrator Facebook tidak bisa
menghentikan virus ini dibandingkan dengan
virus Facebook lain yang
mengandalkan Apps.
Sejak
pertengahan Agustus hingga saat ini banyak
pengguna komputer yang sudah terinfeksi
oleh serangan worm/rootkit/trojan ini, dan
varian tersebut terdeteksi oleh Norman
sebagai W32/Kolab.xx. (lihat gambar 2)
Gambar 2,
Norman mendeteksi varian W32/Kolab.xx
Keluarga
ZBOT : Broadcast message
Keluarga ZBOT merupakan
salah satu kelompok trojan/backdoor yang
dirancang untuk mencuri informasi/data
dari pengguna komputer terutama hal-hal
yang berhubungan dengan data pribadi
keuangan khususnya yang berhubungan dengan
Internet Banking.
Sedangkan
varian worm/rootkit/trojan Kolab merupakan
salah satu varian dari ZBOT yang muncul
sejak pertengahan Agustus 2011. Varian ini
memiliki kemampuan mengirim pesan yang disertai link yang memiliki
konten bervirus. Link yang dikirimkan pun
bermacam-macam sesuai dengan jenis
varian. Trojan Kolab juga
diidentifikasikan sebagai W32/Kryptik
atau W32/SlenfBot.
Trojan ini memiliki
kemiripan (atau mungkin merupakan bagian)
dengan kelompok malware YM (ChyMine/YiMfoca, yang identik
menyebar menggunakan akun YM, Skype, Gtalk, dan
lain-lain) karena memiliki file dan lokasi
yang sama persis dengan malware YM.
Gejala
& Efek Trojan Kolab
Beberapa gejala yang terjadi jika
anda sudah terinfeksi yaitu :
-
BSOD, menumpang svchost
Trojan Kolab tidak
berjalan pada proses atau services
Windows, sehingga sulit menemukan dan
mematikan keberadaan trojan ini. Tetapi,
trojan ini justru
mendompleng atau menumpang pada file
svchost.exe milik Windows, sehingga Anda
akan sulit mematikan-nya. Jika Anda
memaksa mematikan file svchost.exe,
komputer akan blue screen
(lihat gambar 3). Termasuk
jika Anda mencoba melakukan scan
menggunakan tools removal tertentu
seperti GMER (tools
mendeteksi rootkit).
Gambar 3,
Berusaha mematikan file svchost yang
telah didompleng, akan muncul BSOD
-
Broadcast ke IP-IP tertentu
Walaupun tidak
berjalan pada proses atau services
Windows, trojan Kolab memanfaatkan
file svchost.exe Windows, untuk melakukan
broadcast pada IP-IP Address tertentu. Hal ini yang membuat jaringan
internet menjadi lambat. (lihat gambar
4)
Gambar 4,
Aktivitas broadcast yang dilakukan oleh trojan Kolab
-
Mencantumkan diri-nya pada Windows Firewall
Agar dapat
berjalan bebas tanpa hambatan dan tidak di
blok Firewall, trojan Kolab ikut mencantumkan
diri-nya pada Windows Firewall, sehingga
dapat melakukan koneksi dan broadcast pada
IP-IP tertentu dengan leluasa. (lihat
gambar 5)
Gambar 5,
Aktivitas broadcast yang dilakukan oleh trojan Kolab
-
Menyembunyikan proses berjalan
Hebatnya trojan Kolab, walaupun sedang melakukan
broadcast tetapi tidak terlihat dalam
proses Windows. Hal ini yang menyebabkan agak
sulit untuk dimatikan secara manual.
Banyak aplikasi sekuriti yang tidak
mampu mendeteksi Kolab seperti :
-
Windows Task Manager
-
Process Explorer
-
Current Process
-
HijackThis
-
Dll
-
Aktif pada Start-Up
Bukan hanya pada Windows
Firewall, trojan Kolab juga ikut mencantumkan dirinya
pada start-up Windows. Sehingga jika
komputer akan dijalankan, maka trojan Kolab akang langsung aktif. (lihat
gambar 6)
Gambar 6, File trojan Kolab
yang aktif pada Start-up
-
Menyebarkan pesan chat link bervirus pada Facebook
Ini adalah gejala pamungkas,
jika Anda telah terinfeksi oleh Kolab. Komputer Anda akan mengirimkan
pesan chat link yang mengandung virus
kepada teman-teman Facebook Anda seperti
pada gambar 1 di atas atau gambar 7 di
bawah ini. (lihat gambar 7).
Gambar 7,
File trojan yang aktif pada Start-up
Beberapa link
tersebut umumnya berasal dari website yang
memberikan ijin untuk menyimpan atau menyebarkan
file secara gratis seperti :
-
Imageshack.com
-
Imgdropbox.com
-
Megafilehd.com
-
Facebook.com
-
Mengirim pesan chat link bervirus pada aplikasi web lain yang terhubung dengan Facebook
Salah satu aplikasi web yang
terintegrasi dengan Facebook yaitu Skype
juga ikut menjadi korban dari serangan
trojan Kolab. Umumnya jika Anda menggunakan
account Skype yang sama dengan account
pada Facebook Anda, maka secara otomatis
akan saling terintegrasi. Hal ini yang
dimanfaatkan trojan Kolab untuk dapat menyebarkan pesan
chat yang mengandung link bervirus. Hal
ini juga bisa terjadi jika account
Facebook Anda terintegrasi juga dengan
account lain yang memiliki fitur chat.
(lihat gambar 8)
Gambar 8,
Trojan Kolab mengirim pesan pada
Skype yang terintegrasi dengan
Facebook
File
Trojan Kolab
Trojan Kolab dibuat
menggunakan bahasa pemrograman C++. Varian
dari trojan ini sudah sangat banyak dan
beragam, serta memiliki ukuran yang
berbeda-beda. Berikut ciri-ciri file
trojan sebagai berikut : (lihat gambar 9)
-
Memiliki ukuran beragam dari 150 kb s/d 300 kb
-
Type file “Application” dan “MS-DOS Application”
-
Memiliki extension “com” dan “exe”
Gambar 9,
File trojan Kolab
Saat trojan Kolab berhasil
dijalankan, trojan hanya akan membuat 1 file induk yaitu :
-
C:\WINDOWS\system32\[nama_acak.exe]
Sedangkan file yang didownload
melalui link pada pesan chat seperti berikut :
-
[nama_file.JPG_link_website].com
Keterangan :
-
Nama_file : nama file acak, identik dengan “Picture”
-
Link_website : merupakan tempat file tersebut dapat di download, misal www.facebook.com
Modifikasi
Registri
Modifikasi
registri yang dilakukan oleh trojan Kolab antara lain
sebagai berikut :
-
Menambah Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Network = C:\WINDOWS\system32\[nama_acak].exe
Metode Penyebaran
Cara trojan Kolab melakukan
penyebaran yaitu sebagai berikut :
-
Pesan chat melalui account FB atau yang terhubung dengan FB (lihat gambar 10)
Cara satu-satunya trojan Kolab
untuk menginfeksi dan melakukan
penyebaran melalui media jejaring sosial
Facebook melalui fitur chat. Selain itu juga dapat melalui
account e-mail Facebook Anda yang
digunakan pada aplikasi chat lain yang
terhubung dengan Facebook semisal Skype.
Gambar 10,
Trojan Kolab pada Facebook Chat
Pembersihan
trojan Kolab
-
Putuskan koneksi jaringan/internet.
-
Lakukan pembersihan trojan pada mode “safe mode”.
Lakukan
langkah-langkah berikut :
-
Restart komputer (jika dalam keadaan mati tinggal tekan tombol power)
-
Saat akan booting tekan tombol F8 pada keyboard secara secara terus menerus hingga muncul layar “Safe Mode” (lihat gambar 11)
Gambar 11, Mode “Safe
Mode”
-
Pilih mode “Safe Mode”, dan klik [Enter]
-
Biarkan berjalan hingga masuk menu Login Windows.
-
Matikan dan hapus trojan Kolab
Lakukan
langkah-langkah berikut :
-
Download removal tools (pada komputer yang bersih) untuk membersihkan trojan Kolab pada komputer yang belum terinfeksi pada link berikut :
Norman
Malware Cleaner (lihat gambar 12)
Gambar 12, Gunakan Norman
Malware Cleaner untuk
membasmi trojan Kolab
-
Setelah selesai, kompress file tersebut hingga menjadi file zip.
-
Kopi file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
-
Klik kanan file zip tersebut, kemudian klik explore.
-
Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
-
Jika sudah muncul jendela konfirmasi persetujuan Norman Malware Cleaner, klik Accept untuk menjalankan.
-
Pada tab Scan, pastikan dalam mode Quick.
-
Pada tab Options, pastikan hanya tercentang pilihan berikut :
-
Enable Quarantine
-
Enable Memory Scanning
-
Enable FakeAV Scanning
-
Enable Cleaning
-
Enable Rootkit Cleaning
-
Enable Sandbox
-
Enable detection of potentially unwanted programs
-
Enable multithreading
-
Klik Start untuk memulai Scan.
-
Biarkan hingga proses scan selesai.
-
Jika meminta untuk restart, lakukan restart komputer.
-
Bersihkan temporary file dari jejak trojan Kolab.
Lakukan
langkah-langkah berikut :
-
Klik Menu Start -> Run
-
Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
-
Pada drive system (C) klik OK, biarkan proses scan drive.
-
Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
-
Tunggu hingga selesai.
-
Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojan Kolab dengan baik.
Salam,
Ad Sap
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800
Fx : 021 3190 3500