|
Ciri-ciri email pembawa virus facebook |
 |
 |
 |
|
Written by wongapik.com
|
|
Wednesday, 04 November 2009 11:40 |
|
Sebuah virus komputer yang
memanfaatkan popularitas Facebook menyebar via email. Untuk mengindarinya,
simak ciri-ciri email pembawa virus tersebut dalam lanjutan analisa Vaksincom
soal virus Facebook berikut ini:
Untuk menyebarkan dirinya virus Facebook akan mengirimkan email ke semua alamat
email yang telah diperolehnya dengan melampirkan sebuah attachment dalam bentuk
ZIP. Bagi Anda yang mempunyai account Facebook harap berhati-hati jika menerima
email yang seolah-olah berasal dari Admin Facebook karena kemungkinan email itu
berisi virus.
Email yang akan dikirimkan akan mempunyai ciri-ciri sebagai berikut:
From : The
Facebook Team"
Subject : Facebook Password Reset
Confirmation.
Attachment : Facebook_Password_xxx.zip (Facebook_Password_xxx.exe)
Message :
Hey [nama penerima email],
Because of the measures taken to provide safety to our clients, your password
has been changed.
You can find your new password in attached document.
Thanks,
The Facebook Team
Catatan: xxx adalah karakter acak
Jika kita telurusi dengan menggunakan bantuan sebuah tools monitoring jaringan
seperti etherial atau wireshark maka dapat dilihat dengan jelas bahwa komputer
yang telah terinfeksi virus berusaha untuk mengirimkan email ke sejumlah alamat
yang telah ditemukan dengan menyertakan sebuah file attachment yang berisi
virus.
Selain mengirimkan email yang seolah-olah datang dari Admin Facebook, ia juga
akan menjadikan komputer yang terinfeksi sebagai server spam dengan mengirimkan
email ke sejumlah alamat email yang didapat.
Mengundang Antispyware palsu “Security Tools”
Aksi lain yang akan dilakukan oleh virus Facebook adalah akan mendownload dan
menginstal sebuah program antispyware palsu dengan nama “Security Tools”.
Antispyware palsu ini akan memberikan informasi palsu dengan menampilkan
sederetan nama virus/trojan yang berhasil di deteksi, informasi palsu ini
biasanya akan ditampilkan secara terus-menerus pada waktu yang telah
ditentukan.
Jika user mencoba untuk melakukan aksi pembersihan dengan menggunakan software
palsu tersebut maka ia akan menampilkan layar agar user melakukan pembelian
software tersebut, jika muncul hal ini sebaiknya Anda abaikan saja karena anda
tidak akan mendapatkan software antispyware tersebut.
Antispyware ini akan secara membuat beberapa file berikut agar dirinya tetap
aktif:
- C:\Documents and Settings\All Users\Application
Data\47543326
- C:\Documents and Settings\Elvina\Desktop\security
tools.lnk
- C:\Windows\temp\_ex-08.exe
- C:\Documents and Settings\Elvina\Start
Menu\Programs\security tools.lnk
Sebagai pendukung agar dirinya tetap aktif, ia akan membuat beberapa string
pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
47543326= C:\DOCUME~1\ALLUSE~1\APPLIC~1\47543326\47543326.exe
PromoReg = C:\WINDOWS\Temp\_ex-08.exe
HKEY_LOCAL_MACHINE\SOFTWARE\47543326
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
UID = %user%_00127065
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
Rlist
Aksi yang dilakukan oleh antispyware “Security Tools”
- Menampilkan pesan notifikasi bahwa komputer telah
terinfeksi virus/spyware
- Menampilkan konfirmasi update database Antispyware
Security Tools
- Restart komputer pada waktu yang teah ditetukan dengan
menampilkan layar “Blue Sreen” seolah-olah terjadi error pada
system/hardware komputer yang telah terinfeksi.
- Mengganti walpaper/desktop Windows (sumber Vaksin.com)
|
|
Last Updated on Wednesday, 04 November 2009 11:43 |
