Beberapa bulan kebelakang, facebook pernah diramaikan dengan banyak bermunculannya spammer-spammer di layanan Chatting nya. Dari banyak spammer-spammer tersebut masing-masing mempunyai tujuan yang berbeda-beda, yaitu ada yang hanya ingin mempromosikan produk (sperti Weight Loss), ada juga yang di gunakan untuk mencari traffik blog, dan yang lebih parah adalah ada yang mencuri identitas dari akun facebook korban (paswword dll.). Namun semenjak pertengahan Juli sampai dengan pertengahan Agsustus kemarin saya sudah tak menjumpai lagi spamer-spammer yang bergentayangan di Facebook, entah mungkin Facebook sudah memperbaiki celah keamanannya menjadi lebih baik?
Tapi pagi ini saya mendapatkan chat yang aneh dan sama seperti pada saat maraknya spammer di Facebook. Isi chatnya berupa kata-kata: “haha loloqo” dan kemudian diikuti link http://www.radiosector.com/uploads/req.php?id1584-album341&get=MyPhoto03.JPG.
Chat Spam
Karena penasaran saya ingin coba membuka link tersebut namun dengan menggunakan browser yang berbeda soalnya takutnya terjadi sesuatu yang tak diinginkan kalau dibuka berbarengan dengan akun Facebook. Dari link diatas, sekilas pandangan kita akan menyangka kalau itu merupakan link yang menuju ke sebuah file gambar (*.jpg). Tapi setelah saya buka, ternyata link tersebut mengarah ke file berbentuk *.zip yang akan langsung didownload jika kita klik link itu. Nama file nya adalah MyPhoto39.JPG.zip, file ini berukuran sekitar 136 kb (zipped) dan setelah saya intip isinya ternyata berupa file aplikasi tepatnya MS-DOS Aplication bernama “MyPhoto39.JPG_www.facebook.com”, ukuran filenya 155 kb. Dari sini saya menyangka kalau ini merupakan sebuah file yang berbahaya atau bisa dikatakan file virus!
virus FBRasa penasaran tentang isi file arsip tersebut, kemudian mengantarkan saya untuk menelusurinya lewat google dan saya menemukan sebuah topic di page Security Facebook tentang pengaduan hal ini, yaitu pengaduan bahwa ada virus yang disebarkan melalui chat di Facebook ( silahkan lihat di http://www.facebook.com/topic.php?uid=31987371885&topic=20174&post=97976 ) dari sana saya mendapatkan informasi bahwa file ini adalah virus (walaupun saya belum pernah mengistallnya di PC saya :) ). Kemungkinan penyebarannya belum lama karena saya lihat di sana pelapor pertamanya baru menuliskan laporannya sekitar 12 jam yang lalu dan dari info yang ada di file arsipnya juga tertulis “modified 8/19/2011 6:31 AM”. Dari banyaknya link yang dilaporkan disana, saya melihat sepertinya linknya bervariasi tidak selalu seperti yang saya dapat diatas, tapi mungkin dari beberapa link berikut ini:
http://www.radiosector.com/images/find.php?userid4253-album526&req=Picture00.JPEG
http://www.radiosector.com/uploads/res.php?id1002-album361&get=NewPhoto32.JPEG
http://www.radiosector.com/uploads/res.php?id1573-album333&get=NewPhoto51.JPEG
Dan mungkin masih banyak lagi link-link lainya yang tentunya berbeda.
Semoga kalian yang belum dan sudah mendapatkan pengalaman serupa seperti saya agar bisa lebih berhati-hati, jangan sampai percaya begitu saja terhadap link yang di share di Facebook walaupun yang kirim teman terdekat kita. Karena kita tak tahu link apa yang dishare dan apa dampaknya terhadap kita.
Oke terimakasih, saya hanya ingin share informasi saja. Semoga bermanfaat.
UPDATE!
Apa yang akan terjadi jika kita menjalankan file didalam arsip tersebut?
Saya mendapatkan info dari salah satu forum, disana ada salah seorang yang menjadi korban “Jebakan Betmen” ini dan tanpa pikir panjang langsung klik link download kemudian membuka isi filenya. Ternyata setelah itu systemnya langsung terinfeksi malware New.Heur.Icon(72) dan Malware.Behavior (smadav). Setelah itu setiap akun facebook yang diakses melalui komputer yang telah terinfeksi akan menyebarkan pesan Chat seperti diatas kepada setiap teman kita yang sedang online. Hal ini terjadi setiap kali kita mengakses akun facebook. Parahnya ada salah seorang yang juga terkena malware ini dan melaporkan data-data di Hardisk nya hilang. kaskus
# Jika kita mengakses domain http://www.radiosector.com maka akan mengarah ke situs Facebook, entah apa tujuannya.
## Domain itu mengandung malware (Heur.HTML.Malware – Avira)
UPDATEE!!
Sepertinya direktori domain http://www.radiosector.com sudah dikosongkan dan tak lagi mengarah ke facebook.com. File virus yang dituju oleh link pada chat juga sudah dihapus (Not Found). Apakah yang punya udah tobat kali ya? :D Atau mungkin hanya berpura-pura saja untuk menjalankan aksi lainnya? Kita harus tetap berhati-hati sob… ;)
UPDATE 23 Agustus 2011
Penyebaran dari domain radiosector.com sudah dihapus, tapi pagi ini saya mendapat kejadian serupa namun dari link (domain) yang bebeda yaitu dari domain http://www.judoas.com. Kasusnya sama persis dengan yang saya ulas diatas, namun sekarang link yang disebarkanya adalah http://www.judoas.com/userfiles/res.php?userid8716-album685&get=Picture45.JPG. Dari informasi file arsip yang saya download, disana tertulis “modified 8/22/2011 6.42 PM”, masih anget. :)
Tetap waspada…
Berikut ini hasil scan beberapa antivirus terhadap file yang disebarkan lewat chat facebook tersebut. Dan sampai sekarang ini masih banyak bermunculan dan selalu muncul link-link terbaru yang berbeda-beda.
(click to zoom image)
w32kolab-detection
Walaupun sudah ada beberapa antivirus yang bisa mendeteksinya, tapi bukan berarti bisa membersihkannya jika sudah menginfeksi sistem, jadi lebih baik mencegah daripada mengobati. Dari beberapa kesaksian korban, worm ini sangat sulit dibersihkan jika sudah menginfeksi sistem. Tetap hati-hati dan waspada…