PERHATIAN: UNTUK DAPAT MELIHAT GAMBAR SECARA UTUH, KLIK GAMBARNYA. KEMUDIAN WINDOW BARU AKAN TERBUKA DAN ME-LOADING SITUS WEBSHOTS. KLIK ICON ZOOM DI CONTROL PANEL DI BAWAH GAMBAR TERSEBUT.

Menyambut berakhirnya tahun 2007 dan dimulainya era tahun 2008 tentu saja banyak hal yg dilakukan oleh banyak orang (kecuali saya krn saya bukan orang “tradisi new year”) di muka bumi ini untuk merayakan hal tersebut. Ada yang sibuk dengan ngurusin dompet untuk membeli alat-alat baru, sibuk ngecat rumah, sibuk smsan untuk party bareng, dan kesibukan lainnya. Normal dan ini memang normal. Namun, ada suatu hal baru yang benar-benar baru. Malware Codec!! Apa hubungannya dengan tahun baru??

Dewasa ini yang namanya internet sudah pasti hampir dikenal semua orang. Berbagai layanan pun diberikan mulai dari hiburan, pendidikan, politik, komunikasi, hingga ekonomi dan bisnis. So, apa yang paling banyak dicari oleh orang ketika ada event besar yang akan berlangsung? Tentunya hiburan! Ada yang memulainya dengan mengirim testimonial, mengirim e-mail, dan sebagainya. Apa yang dikirim? Tentu saja video atau clipart.

Teknik ini memakai teknik Soseng* (Social Engineering) di mana korban yang mengakses suatu video tertentu di internet akan diminta untuk mendownload file codec. Makhluk seperti apa lagi tuh codec? Codec yaitu file yang dibutuhkan oleh player maupun browser Anda untuk menjalankan file-file bertipe multimedia. Misalnya untuk video AVI Microsoft dibutuhkan codec standar AVI dari Microsoft. Untuk menjalankan video AVI dari Camtasia maka dibutuhkan codec AVI dari TechSmith. Untuk menjalankan video berformat DVD dibutuhkan codec DivX salah satunya. Dan lain sebagainya.

Bagaimana jika codec tersebut tidak tersedia di komputer kita? Simple saja. Browser ataupun player Anda akan menginformasikan bahwa file yang ingin dijalankan membutuhkan codec tertentu dan mempersilahkan Anda untuk mendownloadnya dari internet. Pesan-pesan error nya pun bermacam-macam, di antaranya “Unexpected File Format”, “Windows Media Player cannot play the file. The Player might not support the file type or might not support the codec that was used to compress the file”

Okay, selesai sudah dengan permasalahan definisi codec nya. Kini, bagaimana mengeksploitasi hal tersebut sehingga dapat membuat tahun baru ataupun event-event lainnya menjadi berbahaya di internet? Good question!

Sebelum menulis blog ini, terlebih dahulu saya bertanya ke beberapa teman saya yang ada di luar negeri (USA dan Inggris). Eitt, ini bener-bener orang bule lohh. Sengaja saya tidak bertanya ke orang Indonesia yang tinggal di sana karena kemungkinan besar mereka tidak mengetahui budaya barat dengan benar. Lalu, apa yang saya tanyakan? Simple saja. “What will you do and your friends do for new year celebration or christmas or halloween party or else using internet? N how about devilled egg?” Dan mereka kebanyakan menjawab mencari video yang berhubungan dengan “hari” itu dan men-share-kan video tersebut ke teman-teman mereka

Hal yang paling sering dilakukan oleh user yang belum terbiasa dengan situs-situs video resmi adalah mencari video tersebut melalui search engine. Biasanya Google, Yahoo, Live Search, dll. Beruntung jika situs yang ditemukan adalah situs asli dan memang menyediakan jasa video sharing. Namun, bagaimana dengan gambar yang di bawah ini?

Percayakah Anda bahwa situs tersebut adalah situs jahat? Lalu, di mana kejahatannya? Bagaimana situs tersebut mampu mencuri data-data Anda ketika Anda sedang asik men-sharing video tersebut kepada teman-teman Anda?

Pertama-tama, user yang awam mencari video tersebut di Google atau sejenisnya. Lantas, setelah ketemu link yang diinginkan (diasumsikan palsu), maka user akan dihadapkan dengan gambar situs di atas. Situs ini sendiri aslinya adalah situs blogging (www.blogger.com). Pemilik blog ini mendesain sedemikian rupa tampilan blognya agar terlihat meyakinkan dengan “player” video yang dia masukkan di blog tersebut.

Kedua, korban akan bingung kenapa video nya tidak mulai-mulai. So, di-klik lah tombol play yang ada di “player” tersebut. Dan apa yang terjadi? Ooopsss…
Korban akan diberi pesan error mengenai codec yang belum diinstal di komputer korban. So, akan muncul kotak dialog untuk mendownload (Save) codec tersebut ataupun langsung menjalankannya (Open/Run). Mana yang lebih baik? Terserah Anda! Hahahaaha…. Silahkan lihat gambar berikut ini.

Ini adalah gambar di mana seorang user terkecoh. Ketika ia meng-klik “player” tersebut, lantas ia disuruh mendownload file codec nya yang sebenarnya tidak ada codec yang perlu di instal sama sekali. Yang di download justru malware, file yang bersifat merusak (virus, worm) ataupun sekedar Trojan.

Okay, dari tadi saya menulis kata “player” menggunakan tanda petik. Apa maksudnya? Player di blog palsu tersebut adalah player palsu. Bisa dilihat dari tampilan awalnya yaitu indikator buffer atau sering juga disebut slider nya langsung penuh atau full. Jika koneksi internet Anda memakai T1, artikel saya ini wajib Anda caci maki. Namun, jika Anda menggunakan telkomnet ataupun speedy ataupun fastnet yang speed nya jauh di bawah koneksi T1, maka hal ini (slider penuh) wajib dicurigai.

Okay, bagaimana cara membuktikan bahwa player tersebut palsu? Gampang aja. Buka resource situs tersebut (klik kanan dan pilih View Resource). Kemudian, cari (tekan Ctrl+F) kata-kata mengenai embed. Kenapa harus embed dan bukan jembed?? Hahahaha… Karena semua video yang ada di dalam situs pasti memakai tag <embed src = www.host.com/…/file_video.wmv height=”120″ width=”240″ ……..></embed>

Ketemu gak? Tentu tidak karena TIDAK ADA VIDEO SAMA SEKALI!!! So? Player tersebut adalah GAMBAR!!! Coba klik kanan gambar nya (pada browser) dan klik Image Properties (Opera) atau Properties (IE). Lihat gambar di bawah ini.

Gambar player tersebut ternyata di ambil dari http://somemisc.info/player.jpg . Trik Soseng yang sangat jitu untuk mengelabui korbannya.

Tahun Baru China

Tidak hanya itu saja aksi perusakan yang dilakukan dengan cara seperti ini. Beberapa attacker lainnya menciptakan cara yang lebih ampuh untuk menyerang korbannya. Dan kali ini menimpa hari Tahun Baru China atau Chinese New Year. Skenarionya:
1. Korban mencari video yang berhubungan dengan Tahun Baru China melalui situs search engine.
2. Korban meng-klik situs yang merupakan situs palsu.
3. Ketika situs dibuka, situs tersebut langsung di-redirect ke http://xscanner.malwarealarm.com/a/ InstallXXX.exe di mana XXX = angka acak.
4. Dan malware berjenis Downloader pun langsung bersarang di komputer korban.

Silahkan lihat gambar berikut.

<a target=”_blank” href=”http://entertainment.webshots.com/photo/2265838830057949296xAbACG” mce_href=”http://entertainment.webshots.com/photo/2265838830057949296xAbACG”><img src=”http://inlinethumb15.webshots.com/38926/2265838830057949296S200×200Q85.jpg” mce_src=”http://inlinethumb15.webshots.com/38926/2265838830057949296S200×200Q85.jpg” alt=”Fake Warn Message”></a>

Ada yang menarik di sini. Coba perhatikan gambar yang paling akhir. Perhatikan lingkaran yang berwarna kuning. Ada yang aneh? Perhatikan baik-baik. Saya menggunakan Opera namun di caption “form” nya tertulis Internet Options. Tidak hanya itu, style dari “form” tersebut bukanlah style Opera. Melainkan Internet Explorer. Lagipula, itu bukan form / window kok. Itu cuma gambar yang kalau di klik akan kembali mengirimkan malware ke komputer korban.

Okay, sekian dulu artikel kali ini.
Semoga bermanfaat.

NB: Soseng = Social Engineering (by PIRUS)…hehehe

-sky73rx3 – sky73rx7-