Virus Yang Menyamar Sebagai Anti Virus

Makin maraknya penyebaran virus baik lokal maupun mancanegara, mau tak mau memaksa user harus menginstal software antivirus. Sayangnya, banyak user yang pengetahuannya tentang perkembangan virus dan antivirus itu sendiri masih sangat awam sehingga mudah dijebak oleh virus.

Kasus terbaru menyebutkan, sebuah varian virus bernama W32/Bredolab.GY terdeteksi menyamar sebagai antivirus dan mendomplengi software antivirus besutan Microsoft. Antivirus palsu tersebut dikenali oleh Norman Security Suite sebagai W32/FakeAV.

Virus ini mempunyai tugas untuk membuka port dan melakukan koneksi ke website yang telah ditentukan kemudian men-download Trojan/virus lain. Virus ini juga akan mendownload dan menginstall sebuah program antivirus palsu dengan nama “Security Essentials 2010″ secara otomatis, memakai nama yang hampir sama dengan antivirus besutan Microsoft yaitu “Microsoft Security Essentials. Perbedaannya terdapat dari segi tampilan.

Selain itu untuk mendapatkan versi full dari program “Security Essentials 2010″ ini, Anda akan ditawarkan untuk melakukan pembelian terlebih dahulu. Padahal software “Microsoft Security Essentials” ditawarkan secara gratis oleh Microsoft.

Antivirus palsu yang diinstall oleh W32/Bredolab.GY ini memang cukup menarik perhatian. Apalagi ia akan menampilkan beberapa nama virus berbahaya yang berhasil dikenali serta peringatan-peringatan lain yang mengiformasikan adanya upaya dari pihak luar yang mencoba untuk menyusup ke dalam komputer yang berhasil ditangkal oleh Firewall palsu dari antivirus tersebut. Antivirus palsu ini juga mempunyai fasilitas untuk update definisi layaknya antivirus asli.

Untuk mengelabui user, W32/Bredolab.GY  akan mengunakan rekayasa sosial dengan memanfaatkan icon MS.Word dengan ekstensi EXE. Virus ini akan dikompresi dengan menggunakan UPX dan mempunyai ukuran sekitar 50 KB (sebelum dikompres mempunyai ukuran 76 KB).

Untuk menarik perhatian korban, antivirus palsu tersebut akan menampilkan beberapa peringatan palsu berupa hasil deteksi virus dilengkapi dengan tingkat resiko dari virus tersebut beserta dengan tombol pembersih [Remove Threats]. Nah, jika user memilih tombol tersebut maka W32/FakeAV akan menampilkan sebuah layar konfirmasi yang mengharuskan Anda untuk melakukan aktivasi/register program tersebut terlebih dahulu. Jika user tidak memiliki kode aktivasi, W32/FakeAV akan menyediakan tombol bantu lain untuk mendapatkan kode aktivasi yakni “Get License”.

Jika user klik tombol tersebut maka W32/FakeAV akan menggiring korban untuk mengisi sederetan kolom-kolom yang akan ditampilkan oleh website yang sudah dipersiapkan, yang merupakan website jebakan dengan dalih untuk mendapatkan produk “full version”. Anda diimbau untuk tidak mengisinya karena bukan antivirus palsu tersebut yang Anda dapatkan melainkan sejumlah uang akan melayang dengan percuma tanpa bisa membersihkan virus tersebut.

Agar tidak mudah dibersihkan oleh user, W32/FakeAV akan melumpuhkan beberapa  fungsi Windows seperti Task Manager, Registry Editor atau CMD. Selain itu ia juga akan memblok sederetan proses yang mempunyai nama tertentu dengan menampilkan peringatan palsu yang seolah-olah file tersebut telah terinfeksi virus.

W32/FakeAV diklaim akan melakukan serangkaian aktifitas pengiriman email ke sejumlah alamat email yang terdapat pada komputer target. Aktivitas ini dilakukan dalam upaya untuk menyebarkan dirinya.

Sumber: Vaksin.com