Aplikasi pesan instan seperti Yahoo Messenger, MSN Messenger dan Skype saat ini dapat dikatakan sebagai salah satu aplikasi favorit para pembuat virus untuk menyebarkan program jahatnya kepada user.
Salah satu sebabnya, karena penyebaran file virus melalui messenger relatif kurang diperhatikan oleh vendor antivirus. Berbeda dengan mail server yang antivirusnya bak menjadi kewajiban bagi administrator.
Dalam 1 minggu terakhir saja, Vaksincom mendapatkan gelombang laporan serangan virus yang menyebarkan diri memanfaatkan messenger seperti Skype dan Yahoo Messenger. Virus pertama yang akan dibahas dalam artikel ini adalah Worm: W32/Palevo.BQZ yang mengeksploitasi MySpace.
Adapun Facebook, Twitter dan Myspace memiliki celah dan daya tarik tersendiri untuk dimanfaatkan oleh virus untuk menyebarkan dirinya. Salah satu cara yang digunakan adalah dengan mengirimkan sebuah link atau file yang mempunyai hubungan dengan situs jaringan sosial tersebut sehingga menarik user untuk menjalankan file tersebut.
Hal ini sudah dibuktikan oleh virus Bredolab (virus Facebook) yang akan mengirimkan sebuah link untuk mendownload file yang seolah-olah dikirimkan oleh administrator pengelola situs facebook, penyebaran ini semakin sukses dengan memanfaatkan aplikasi media chating (YM) untuk mengirimkan dirinya ke semua alamat ID yang terdapat pada aplikasi YM di komputer yang telah terinfeksi.
Setelah para pengguna Facebook yang menjadi korban akibat virus bredolab, kini gililran pengguna Myspace yang akan menjadi target serangan virus. Walaupun pengguna MySpace tidak sebanyak pengguna Facebook tetapi hal ini akan tetap dimanfaatkan oleh virus untuk menjaring korban.
Sama seperti yang terjadi pada kasus virus Bredolab, virus ini juga akan memanfaatkan aplikasi YM untuk menyebarkan dirinya ke semua alamat ID berupa link untuk download sebuah file yang telah ditentukan.
Pada saat file yang telah terinfeksi W32/Palevo.BQZ dijalankan, ia akan menjalankan perintah 'explorer.exe http//browseusers.myspace.com/Browse/Browse.aspx' untuk menampilkan sebuah halaman web myspace.
Hal ini dilakukan sebagai upaya agar aksinya tidak dicurigai oleh user, agar aktivitas virus tersebut tidak diblok oleh Windows Firewall ia akan mendaftarkan dirinya dengan membuat rule firewall dengan menjalankan perintah netsh firewall add allowedprogram 1.exe 1 ENABLE.
W32/Palevo.BQZ akan mencoba untuk melakukan koneksi ke beberapa alamat IP server yang sudah ditentukan dengan menggunakan port 2345 dengan tujuan untuk download file yang telah ditentukan.
PenyebaranSaat ini media chating khususnya YM sudah menjadi primadona bagi virus untuk menyebarkan dirinya hal ini dilakukan untuk mempercepat proses penyebarannya, karena saat ini hampir semua pengguna komputer menggunakan alamat YM.
Untuk menyebarkan dirinya, W32/Palevo.BQZ juga akan akan memanfaatkan media chanting seperti YM dengan mengirimkan sebuah file yang sudah terinfeksi virus ke semua alamat ID yang terdapat pada aplikasi YM di komputer korban berupa sebuah link untuk download file virus yang telah ditentukan. Contohnya: nama file IM87654.JPG-www.myspace.com.exe atau IM25394.JPG-www.myspace.com dengan ukuran sekitar 102 KB atau 109 KB.
Jadi bagi pengguna yang mendapat pesan YM seperti di atas, waspadalah. Sebab itu bisa jadi cuma pancingan dari virus ini untuk menyebarkan benihnya.
Tapi di artikel saya sebelumnya sudah ada cara basmi virus ini,
klik disini.