PENTING!!!


Rukun Iman terdiri dari enam perkara: (1) Iman kepada Allah. (2) Iman kepada malaikat-malaikat Allah. (3) Iman kepada kitab-kitab Allah. (4) Iman kepada rasul-rasul Allah. (5) Iman kepada hari kiamat. (6) Iman kepada Qada dan Qadar.

Rukun Islam terdiri dari lima perkara: (1) Mengucap dua kalimat syahadat. (2) Menunaikan shalat lima waktu. (3) Mengeluarkan zakat. (4) Berpuasa pada bulan Ramadan. (5) Menunaikan Haji bagi mereka yang mampu.

Menelusuri Spam Chat Pada Facebook

Pagi ini saya mendapat hadiah dari salah seorang teman saya melalui akun jejaring sosial. Walaupun sebagian besar orang menganggpnya musibah, tapi ini merupakan berkah tersendiri bagi saya karena memang akhir-akhir ini saya babar blas tidak memiliki ide untuk posting. Mau tahu apa isi hadiahnya? Ayo kita buka bersama-sama. :)

Ini bungkusnya :



Ketika saya coba buka url yang diberikan (http://bit.ly/t365PB) pada browser, url tersebut mengarah ke sebuah halaman yang tentunya tidak asing bagi kita :



Wah.. baru tahap pertama sudah sangat menarik. Ternyata url tersebut mengarah ke Rapidshare. Eh, tunggu-tunggu! Koq urlnya http://www.thepondworld.com/users/dn.htm?id8h7r-Picture25.JPG. Sejak kapan Rapidshare ganti domain? :D

Ada satu lagi yang aneh, coba lihat ke taskbar saya! kotak dialog download IDM langsung keluar tanpa diminta menunggu sekian detik. Kayanya saya belum pernah beli premium account :p

Lanjutt..

Pada saat file tersebut selesai didownload, berukuran 121,20 kb, dengan nama "Picture25.JPG.zip"




File yang sama juga saya dapatkan setelah mengakses url lainya yang diberikan.

Setelah saya extract, terdapat sebuah file bernama "Picture25.JPG_www.facebook.com" dengan tipe MS-DOS Application sebesar 133 kb.

Disitu terlihat bahwa file tersebut bereksistensi .com yang merupakan eksistensi dari bahasa pemrograman tingkat dewa yaitu assembly :D tapi setahu saya eksistensi .com hanya berukuran maksimal 64 kb, sedangkan file tersebut berukuran 133 kb.

Hmm.. untuk memastikan, saya coba membuka file tersebut menggunakan notepad. Ternyata berawalan "MZ". 

Saya tidak punya presepsi lain lagi (karena memang hanya sebatas itu pengetahuan saya. hehe..) selain meyakini bahwa file tersebut benar-benar dibuat menggunakan bahasa assembly dan bereksistensi .com tapi kenapa ukurannya bisa lebih dari 64 kb? Entahlah, waktu kuliah teknik digital walaupun duduk paling depan tapi saya jarang memperhatikan, sedangkan di lab mikroprosessor saya cuma maen Spider Solitaire. :D

Setelah saya mematikan koneksi internet, langsung saja saya buka file "Picture25.JPG_www.facebook.com". Oleh windows defender, file tersebut terdeteksi sebagai Backdoor:win32/IRCbot.gen!k yang tidak lain dan tidak bukan merupakan trojan backdoor yang masuk dalam keluarga besar IRC-controlled backdoor trojans.

Ketika dieksekusi, malware tersebut akan meng-copy-kan diri ke direktori "%windir%" atau satu dari subdirektorinya seperti "<system folder>" atau "%windir%\system", itu berarti dia akan aktif saat sistem startup.

Sehebat Apa Backdoor:Win32/IRCbot.gen!K?

Setelah terinstal, Backdoor:Win32/IRCbot.gen!K akan menghubungkan dirinya ke server IRC menggunakan port tertentu.

Kemudian tinggal menunggu perintah dari pemegang remote (attacker). Perintah-perintah tersebut tidak terbatas, pada umumnya seperti:
  • Download dan menjalankan file
  • Melakukan update
  • Mengumpulkan informasi sistem
  • Menjalankan berbagai server pada sistem
  • Mengirim email ataupun instant messages
  • Merpartisipasi (membuat komputer kita menjadi zombie) dalam serangan DDoS
Nah, sekarang anda sudah bisa membayangkan kan apa yang mungkin terjadi bila anda sedikit saja ceroboh?

Sampai disini saja, sengaja saya tidak melanjutkan menelusuri sumber biang kerok, karena selain ilmu saya masih terlalu cetek, itu akan melanggar kode etik dunia persilatan! :p

1 komentar:

  Anonymous

December 24, 2011 at 10:52 PM

Hi. I'm the owner of the thepondworld.com and thanks to you I was able to figure out why my site was getting a lot of traffic from the Facebook. Few of my websites under one cPanel account has been hacked and hackers added folder with full of crap into my website. This virus didn't damage the website but did crazy things on my PC. Finally I got all cleared and I made the security on my websites better, hopefully it wont happen anymore.
What the virus did: After PC restart I got the IE page like my PC is locked to do email spam and porno, and only way to lock it is to pay the fine £100! Only this page and nothing didn't work. Here is what I did: I did forced restart and used System Mechanic to open start up manager and first thing I notice, there was an exe file (long number and .exe in the end). Then I used Windows 7 search to find that file and delete it, but before you have to open task manager and close running IE. After I checked with virus scanners and all was clean. Also that virus did disabled task manager (Ctrl+Alt+Delete), that I couldn't check the running programs. How to enable the task manager, you can find it here: fanhow.com/knowhow:Disable_or_Enable_Task_Manager_in_Windows_7_39287687
I hope that helps.

Post a Comment