DNSChanger 2, FlappyDNS ,Saudara Flappy Bird yang memalsukan Update Your Flash Player

Vietnam rupanya bukan saja sumber programmer jago pembuat game seperti Flappy Bird yang sangat populer, namun disinyalir menjadi sumber dari malware yang menggemparkan dunia internet dan berhasil menginjeksi lebih dari 300.000 router di seluruh dunia termasuk Indonesia. Jika rata-rata router memberikan koneksi kepada 5 komputer, maka diperkirakan lebih dari 1,5 juta komputer di dunia yang mengalami pengalihan DNS oleh saudara jauh Flappybird ini.

Malware yang satu ini sangat meresahkan, jika sudah terinfeksi akan sangat sulit untuk dikembalikan dan kebanyakan user angkat tangan karena ia tidak mempan dibersihkan menggunakan antivirus apapun, atau bahkan format dan instal ulang komputer tidak akan memecahkan masalah ini. Hal ini terjadi karena yang diinjeksi bukan komputer melainkan router internet. Jika anda pengguna router sejuta umat TP-Link yang menurut data IDC 2013 merupakan merek router dengan penjualan terbesar di dunia, anda perlu ektra hati-hati karena banyak produk TP-Link yang rentan terhadap eksploitasi yang jika berhasil mengubah DNS router akan mengalihkan akses dari situs Google, Facebook dan Youtube ke IP lain yang telah dipersiapkan, meskipun tampilan alamat situs tidak berubah dan tetap www.google.com (lihat gambar 1), www.facebook.com dan www.youtube.com. Sebagai catatan, karena DNS server yang digunakan kemungkinan besar dibawah kendali pembuat malware ini, maka sangat mudah bagi pemilik DNS ini melakukan aksi lain dan mengalihkan akses selain tiga situs besar di atas. Beberapa hal yang dikhawatirkan adalah jika yang dialihkan adalah akses e-commerce dan internet banking yang sudah jelas akan menimbulkan kerugian finansial yang besar. Jika anda bukan pengguna TP-Link, anda jangan bergembira dulu, karena eksploitasi ini juga bisa berjalan pada router Airlive, D-Link, Micronet, Tenda dan Zyxel.

Gambar 1 : Tampilan Update Your Flash Player

Jika anda mengklik tombol install ia akan mengunduh aplikasi dengan nama setup.exe. Jika dijalankanklik, maka bukan update Flash Player yang anda dapatkan, melainkan gerombolan siberat alias malware lain yang akan dijalankan pada komputer anda.

Gambar 2 : Tampilan Setup.exe

Mengubah IP situs tujuan ke situs lain

Laboratorium Vaksincom mengadakan pengetesan untuk membuktikan kalau DNS server yang diinjeksikan ini mengubah akses dari IP yang seharusnya ke IP lain (lihat tabel 1 di bawah)

Website	Original IP	DNSChanger 2 - IP
Google.com	111.94.248.24	194.28.172.232
facebook.com	173.252.110.27	194.28.172.232
Youtube.com	74.125.200.93	194.28.172.232

Tabel 1, Pengalihan IP server yang dilakukan oleh DNSChanger 2.

Dari tabel 1 di atas terlihat dari komputer yang menggunakan DNS yang belum diinjeksi di Indonesia mengakses ketiga situs di atas mala IP Google.com adalah 117.102.117.208, Facebook.com 173.252.110.27 dan Youtube 74.125.200.136 (lihat gambar 3).

Gambar 3 : IP situs asli

Namun jika diakses dari DNS yang telah diinjeksi semuanya mengarahkan ke server dengan alamat IP 194.28.172.232. (lihat gambar 4).

Gambar 4 : Tampilan PING ke situs Google, Facebook dan Youtube dari DNS yang telah diinjeksi

Menurut penelusuran Laboratorium Vaksincom, IP tersebut kemungkinan besar berasal dari Ukraina, bisa dilihat pada gambar 4 di bawah ini :

Gambar 4 : Server IP sumber malware berasal dari Ukraina

Untuk menuntaskan masalah ini cukup sulit dan menutup server phishing yang dipersiapkan tidak akan efektif karena pembuat malware tinggal menginjeksikan malware yang telah dipersiapkan ke IP lain yang telah dipersiapkan. Lalu informasi IP tersebut diupdate ke DNS server yang dikuasainya. Dan dalam banyak kasus besar kemungkinan pemilik IP tersebut tidak mengetahui bahwa servernya dijadikan sebagai hosting malware dan servernya berhasil dikuasai karena kecerobohannya tidak melakukan update atau melakukan perlindungan yang baik pada servernya.

Jika DNSserver jahat yang dibasmi, hal ini bisa menghentikan aksi DNSserver tersebut, namun kembali pembuat malware bisa dengan mudah mengalihkan DNSserver dan mengupdate informasi ini ke agen-agen infeksinya yang kebanyakan disebarkan di situs-situs yang sering dikunjungi dan secara otomatis akan mengupdate kembali informasi IP DNSserver jahat yang telah dimatikan ini dengan IP baru.

Cara paling efektif untuk mencegah diri anda menjadi korban adalah melakukan update firmware router yang memiliki celah keamanan, mengubah settingan default dan mengubah password administrator default. Sebagai informasi, meskipun anda sudah mengubah password administrator default dan anda belum melakukan update firmware, skrip injeksi DNS yang telah dipersiapkan akan mampu tetap mengubah DNS router anda. Karena itu, update firmware merupakan salah satu hal yang sangat penting anda lakukan agar terhindar dari eksploitasi. Namun Vaksincom menyarankan anda ektra hati-hati dalam mengupdate firmware karena kesalahan dalam update firmware akan menyebabkan router anda menjadi rusak / tidak bisa berfungsi dengan baik. Jika anda tidak mengerti cara mengupdate firmware silahkan berkonsultasi dengan toko penjual router anda atau teknisi yang berkompeten seperti Vaksinis.

Menurut catatan Vaksincom, beberapa tipe reouter yang memiliki celah keamanan dan bisa diinjeksi oleh skrip pengubah malware adalah :

• TP-Link WR1043ND V1 dengan firmware 3.3.12 build 120405 ke bawah.
• TP Link TL-MR3020 firmware 3.14.2 build 120817 release 55520n
• TP-Link TL-MR3020 firmware 3.15.2 build 130326 release 58517n
• TP-Link TL-MR3220 firmware 3.13.1 build 121123 release 57760n
• TP-Link WDR3500 firmware 3.13.22 build 120807 release 36604n
• TP-Link MR3420 V1 firmware 3.13.1 build 121123 release 57630n
• TP-Link TD-W8901G firmware 3.0.0 build 090730 release 08665
• TP-Link TD-W8901G firmware 3.0.0 build 090730 release 08665
• TP-Link TD-W8961ND

Untuk mengetahui apakah router anda memiliki kelemahan atau tidak, silahkan ikuti petunjuk dari Jakob Lell sebagai berikut :

1. Buka peramban anda dan login ke router anda.
2. Masuk ke setting DHCP server dan perhatikan Primary DNS dan Secondary DNS. Seharusnya IP DNSserver adalah 0.0.0.0 atau IP DNS server ISP anda. (lihat gambar 5)

Gambar 5, Setting DNS server di TPLink

3. Jalankan skrip di bawah ini di peramban anda klik pada "script" di bawah ini : 

Script :

Gambar 6, Jalankan skrip untuk mengetahui apakah router anda bisa dieksploitasi

4. Jika alamat primary dan secondary DNS anda berubah menjadi seperti gambar 7 di bawah ini, maka router anda rentan terhadap eksploitasi DNSchanger 2.

Gambar 7, DNS yang dieksploitasi oleh router

PENTING !!!
DNS 180.131.144.144 dan 180.131.145.145 adalah DNS Nawala dan bukan DNS jahat. Script ini dibuat untuk mengecek apakah setting router anda bisa dirubah dengan script yang dijalankan dari browser. Vaksincom menggunakan DNS Nawala hanya sebagai contoh untuk memberikan gambaran kalau DNS router anda rentan terhadap perubahan yang dilakukan dari browser.

Jika anda ingin berbagi informasi mengenai router di luar daftar yang dimiliki Vaksincom yang rentan, harap berpartisipasi mengupdate komentar FB comment di http://vaksin.com/2014/0314/dnschanger2/dnschanger2.html

salam,

Uki

info@vaksin.com

Virus Zusy Pemakan Bandwidth Komputer

Zusy, si seksi dari Kazakhstan pemakan bandwidth yang suka judi

Gdata : Gen:Variant.Zusy.74842

Dalam mencari teman bergaul, tentunya kita menghindari teman yang suka moroti, berjudi atau membawa-bawa nama kita dan menggunakannya untuk kepentingannya tanpa sepengetahuan kita. Kalau untuk teman saja anda menghindari 3 hal di atas, sudah pasti anda akan sangat berhati-hati dengan malware yang satu ini. Namanya cukup menarik seksi: Zusy, namun sekali menginfeksi komputer anda, dijamin anda akan pusing 3 keliling karena 3 aktivitas utama yang dilakukan tadi. Menghabiskan bandwidth (moroti) anda, mengakses situs-situs berbahaya seperti situs malware dan situs judi dan terakhir menjadikan komputer anda sebagai zombie untuk melakukan keinginannya. Untuk informasi lebih detail silahkan lihat artikel di bawah ini dan bagi anda yang memiliki akses ke Youtube, silahkan nikmati video Youtube dari artikel ini di http://youtu.be/aqwtPOb5opY

Malware yang terdeteksi oleh G Data sebagai Gen:Variant.Zusy.74842, atau Trojan Downloader: Win32/Cutwail.BS adalah varian dari Win32 Cutwail. Varian malware yang dapat mengunduh dan mengeksekusi file tanpa sepengetahuan pemilik komputer. Fungsi ini terutama digunakan untuk menginstal komponen Cutwail tambahan dan malware lain pada komputer yang terinfeksi seperti yang dilakukan oleh Zbot yang mengunduh Cryprolocker ke komputer yang berhasil di infeksinya. Secara umum, variant Cutwail digunakan untuk remote komputer dan mengarahkan mereka dengan berbagai cara untuk keuntungan pembuat malware, biasanya untuk keuntungan finansial. Malware ini dapat beroperasi dikomputer yang terinfeksi untuk mendistribusikan malware tambahan, mengirim spam, menghasilkan pendapatan iklan 'bayar per klik', mencuri alamat email dan melakukan bruteforce (suatu cara yang digunakan cracker untuk menebak password). Komponennya bervariasi, tetapi mencakup trojan downloader, spammer dan virus. Cutwail juga menggunakan rootkit dan teknik lain untuk menghindari pendeteksian dan penghapusan. Jika anda pengguna G Data, Cutwail dan variannya tetap dapat terdeteksi seperti yang terlihat pada gambar 1 di bawah ini.

Gambar 1, G Data bisa mendeteksi varian Cutwail sebagai Zusy.74842

Dalam aksinya yang menjadikan komputer korbannya zombie dan menginfeksikan malware lain ke komputer korbannya, Cutwail tidak terlalu kentara menghabiskan sumberdaya komputer. Sebaliknya, kalau diamati dengan seksama, terjadi penurunan yang cukup berarti pada performa jaringan. Jika dilihat dari tools analisa, malware ini bekerja pada protocol NBNS NetBios Naming Services (sistem penamaan untuk mendaftarkan nama user pada jaringan) yang melakukan broadcast (mengirimkan banyak paket data) terus menerus pada domain random .kz .com .fr .net .ca .ru .pl .de dan .org. Kemungkinan ini adalah aksi Cutwail berusaha mencari C&C Command and Control Server guna mendapatkan perintah selanjutnya apa yang harus dilakukan oleh Cutwail dari komputer korbannya. Aksi inilah yang akhirnya akan membuat jaringan komputer menjadi lambat (lihat gambar 2).

Gambar 2. IP client yang terinfeksi selalu mengakses ke domain acak

Beberapa contoh domain yang diakses malware ini adalah : (lihat gambar 3)

• QAXEAGEAMIBU.KZ
• PUWIMJOREBDU.KZ
• COQOSNECPAL/KZ
• KOQWALPOZO.KZ
• FABIXLAGITNE.KZ
• RUZPIFEKNE.KZ
• SIHUVIJEIRIC.KZ
• KADEOXERENUP.KZ
• MANCEKSEK.KZ
• POZIJANMITCU
• BISEAZARURQI.KZ
• PIFIFOMIVUZ.KZ
• XOQWADXIP.KZ
• KALDEABIPI.KZ
• XIWUDACOGBI.KZ

Gambar 3. Pada protocol NBNS diatas terlihat IP yang terinfeksi selalu mekakses ke domain berakhiran .kz (Kazakhstan)

Proses malware aktif

Jika pada saat infeksi tidak memberikan pengaruh yang signifikan, sebaliknya pada saat malware ini aktif anda dijamin akan jengkel dan terganggu karena aksi malware ini menyedot bandwidth. Berikut perbedaan aktivitas jaringan komputer pada Gambar A yang tidak terinfeksi malware dan Gambar B yang terinfeksi malware. (lihat gambar 4)

Gambar 4. Dalam waktu 22 menit, aktivitas jaringan yang dikirim dan diterima pada Gambar A hanya mencapai 106 packets yang dikirim dan 16 packet yang diterima, sedangkan pada Gambar B mencapai 8.577 packets yang dikirim dan 46 packet yang diterima dalam keadaan komputer tidak di operasikan oleh user.

Cara Kerja Malware

Malware ini memodifikasi entri registry untuk mengaktifkan dirinya, menambah nilai: "veanosudxeax" dengan data: "C:\Documents and Setting\<user>\veanosudxeax.exe (lihat gambar 5)

Gambar 5. Jalannya malware pada image path c:\documents and settings\<user>\ veanosudxeax.exe

Ke subkunci: HKCU\Software\Microsoft\windows\currentversion\run

Zusy juga melakukan aksi menghubungi remote host, kemungkinan untuk menjalankan aksi berikutnya sesuai dengan keinginan pembuat malware ini. Adapun beberapa kemungkinan perintah yang dilakukan adalah :

• Untuk menerima perintah tambahan dari pembuat malware seperti menyerang satu alamat situs tertentu (Ddos).
• Mengunduh malware lain dan mengeksekusinya seperti kasus yang terjadi pada Zbot yang mengunduh Cryptolocker.
• Mencuri data dari komputer yang terinfeksi
• Menjadi mesin pencari uang seperti yang ditentukan oleh komputer remote seperti : mengirimkan spam, melakukan klik atas iklan guna kepentingan pembuat malware, menghubungi situs tertentu sesuai perintah CC&C server sampai menyerang IP / komputer lain jika diperlukan

Beberapa contoh situs yang kemungkinan akan menjadi tempat pembuat malware menempatkan file / perintah tambahan guna meremote komputer korban malware dan diakses oleh Zusy adalah (lihat gambar 6).

Gambar 6. Malware mengakses situs-situs ini tanpa persetujuan / sepengetahuan pemilik komputer

HTTP requests

- URL: http://leadershipforum.us

TYPE: POST

- URL: http://sspackaginggroup.com/

TYPE: POST

- URL: http://beechwoodmetalworks.com/

TYPE: POST

- URL: http://myfilecenter.com/

TYPE: POST

- URL: http://espace-hotelier.com/

TYPE: POST

- URL: http://urantiaproject.com/

TYPE: POST

- URL: http://jeangatz.com/

TYPE: POST

Selain mengakses URL di atasm Zusy juga mengakses DNS seperti : (lihat gambar 7). Jika Zusy berhasil mengalihkan DNS komputer yang di infeksinya, hal ini harus diwaspadai dan menjadi perhatian anda, karena DNS server bisa digunakan untuk mengalihkan akses ke situs yang dituju ke situs phishing yang telah dipersiapkan. Hal ini sangat berpotensi menimbulkan kerugian finansial besar khususnya jika komputer yang terinfeksi banyak digunakan untuk melakukan aktivitas internet banking atau e-commerce.

Gambar 7. Beberapa DNS yang diakses oleh Malware ini

DNS requests

• smtp.live.com
• gamblingonlinemagazine.com
• berkshirebusiness.org
• automa.it
• guberman.com.br
• austriansurfing.at
• ompgp.co.jp
• goodvaluecenter.com
• ctr4process.org
• redconeretreat.com
• unslp.edu.bo
• plus.ba
• jeangatz.com

Selain hal-hal yang merugikan di atas, malware ini juga mengakses banyak situs, termasuk situs yang dilarang oleh Ustad seperti gamblingonlinemagazine.com, guberman.com dan lainnya. (lihat gambar 7)

Gambar 7. Situs judi yang yang diakses oleh Zusy ini

Pembersihan Zusy:

• Bersihkan malware ini dengan G data Antivirus. (lihat gambar 8)

Gambar 8. Bersihkan Zusy dengan G data


Untuk mengunduh G Data Antivirus silahkan kun jungi situs virusicu.com di

http://www.virusicu.com/product/antivirus2014.php untuk G Data Antivirus 2014 atau

http://www.virusicu.com/product/Totalprotection2014.php untuk G Data Total Protection

Untuk menghadapi malware yang membandel, anda bisa menggunakan G Data Boot CD yang bisa anda buat secara gratis jika anda menggunakan G Data Antivirus atau G Data total Protection (lihat gambar 9).

Gambar 9. Scaning menggunakan G Data Boot CD

Untuk menghapus registri yang dibuat oleh malware dapat menggunakan script registry dibawah ini :

[Version]

signature="$Chicago$"

Provider=vaksicom Oyee 2014

[DefaultInstall]

DelReg=del

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion, AppManagement

HKCU, Software\Microsoft\Windows\CurrentVersion, veanosudxeaxzap

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, veanosudxeax

Masukan script tersebut didalam notepad, kemudian simpan dengan nama DelReg.inf (Save As Type menjadi All Files agar tidak terjadi kesalahan). Kemudian jalankan DelReg.inf dengan klik kanan, kemudian pilih install.

Salam,

Fazar Dwi Herdiana

info@vaksin.com