Ancaman Virus Kartu Ucapan Akhir Tahun Melalui Drive By Download

Benteng Maginot adalah suatu sistem pertahanan Perancis pada tahun 1940-an yang tersebar di sepanjang perbatasannya dengan Jerman dan Italia. Benteng ini memiliki kemampuan pertahanan yang sangat kuat dan dibangun berdasarkan pengalaman perang defensif Perang Dunia I.

Tetapi sejarah membuktikan bahwa pada Perang Dunia II, pasukan Jerman tidak bodoh dengan menyerang Perancis melalui perbatasannya sehingga harus menghadapi benteng Maginot ini, tetapi malahan menyerang Perancis melalui Belgia dan Belanda menembus hutan Ardennes dan sampai di Utara Perancis dan akhirnya seperti kita ketahui Jerman berhasil menaklukkan Perancis.

Hal yang mirip terjadi pada pertempuran di dunia IT hari ini. Para administrator mailserver yang pada mulanya memperbolehkan lampiran apapun melewati server dan tiba di mail client pengguna email.

Tetapi karena pembuat virus memanfaatkan lampiran email sebagai sarana untuk menyebarkan dirinya dan beberapa bahkan melakukan rekayasa sosial dengan memalsukan diri sebagai lampiran yang tidak berbahaya seperti .txt atau .jpg, akhirnya para administrator mailserver juga melakukan blok pada lampiran-lampiran berbahaya dan hanya membolehkan beberapa lampiran lewat seperti .zip dan .rar.

Tetapi menilik perkembangan terakhir dimana pembuat virus juga mulai menggunakan lampiran .zip dan .rar, bahkan perkembangan terakhir yang cukup mengejutkan dimana lampiran yang tidak berbahaya seperti .pdf pun menjadi lampiran yang berbahaya karena virus memanfaatkan celah keamanan pada Adobe Acrobat yang terbaru sehingga dapat menembus pertahanan OS dan melumpuhkan firewall Microsoft maka banyak administrator mengambil jalan pintas. BLOK semua lampiran.

Walaupun secara tidak langsung hal ini menurunkan derajat dimana menerima email mirip dengan menerima SMS, tetapi hal ini dipercaya dapat memberikan keamanan bagi pengguna akhir yang memang menjadi incaran para pembuat virus guna menyebarkan dirinya.

Apakah hal ini berhasil mengamankan penerima email 100 % dari serangan virus ? ALFONS TANUWIJAYA pakar anti virus dari Vaksincom dalam surat elektronik yang dikirimkannya ke suarasurabaya.net, Senin (03/12) mengibaratkan kisah sejarah Benteng Maginot.

Para pembuat virus pada mulanya tidak berdaya menghadapi bloking ini, tetapi ibarat tentara Jerman yang tidak bodoh untuk berhadapan langsung, para pembuat virus juga tidak kalah cerdik dan akhir-akhir ini berhasil menemukan cara untuk mengatasi pengamanan no attachment yang diterapkan oleh administrator mailserver yang radikal ini.

Bagaimana caranya ? Jawabannya adalah Drive by Download. Dalam papernya The Ghost in The Browser, team Google memberikan informasi yang sangat mengejutkan bahwa lebih dari 10 % website yang ada di internet mengandung malware yang ditujukan untuk menginfeksi pengunjung yang datang ke website tersebut.

Dengan kata lain, setiap 10 website yang anda kunjungi ada 1 yang mengandung malware berbahaya yang siap menerkam saat anda mengunjungi website tersebut, sebagai contoh adalah website yang menawarkan konten pornografi dan website crack.

“Anda jangan lega dulu jika tidak suka dengan pornografi dan crack, karena website umum juga ternyata banyak yang mengandung malware dan penyebabnya adalah banner-banner pertukaran iklan pada website “lurus” tersebut ataupun website yang memang berhasil ditembus dan dikuasai oleh hacker jahat. Apakah hanya begitu saja ? Menunggu korban tidak berdosa datang ke website tentu tidak efektif dan harus ada umpannya. Bagaimana para pembuat virus menggiring korbannya untuk mengunjungi website ini sehingga menjadi korban Drive by Download ?” tanya ALFONS.

Jawabannya, kata dia, adalah perkembangan dari virus W32/Luder atau dikenal juga dengan nama W32/Drev. Jika virus Luder akan datang dengan lampiran “postcard.exe” pada email dan kemungkinan besar akan berhasil di blok oleh mailserver yang menolak lampiran. Namun virus yang baru ini tidak mengandung lampiran dan akan datang sebagai email biasa sehingga tentunya tidak ada yang bisa diblok oleh mailserver.

Virus yang datang dalam lampiran postcard.exe sebenarnya merupakan varian baru dari Luder karena memiliki tampilan yang lebih canggih dan meyakinkan. Virus ini akan merekayasa dirinya seakan-akan anda mendapatkan kartu ucapan, sebagai contohnya adalah yang diterima Vaksincom “seakan-akan” ada kartu ucapan yang dikirimkan melalui Hallmark www.hallmark.com.

Baik bagian pengirim “From” dipalsukan dari [email protected] dan tampilan body email juga sangat meyakinkan kecuali salah eja “recieved” yang harusnya “received” (yang dalam waktu singkat diperbaiki oleh pembuat virus pada varian berikutnya yang bahkan datang tanpa memanfaatkan tampilan logo macam-macam dan hanya plain text saja, dengan memalsukan email dari greetings.com, domain yang juga dimiliki oleh Hallmark).

Selain itu, perbedaan utama adalah link untuk melihat kartu ucapan “To see it, click here” yang dipalsukan. Link tersebut tidak terlihat, kecuali di klik atau di lihat propertynya. Disini terlihat bahwa link tersebut mengarahkan download pada IP lain http://195.199.145.57 diluar hallmark dan jika link ini di klik, maka akan memicu download file dengan nama “postcard.exe”.(edy)