Masalahnya adalah, sebenarnya peringatan tentang belasan virus yang berhasil di deteksi oleh scareware tersebut adalah peringatan palsu, dimana sebenarnya tidak ada virus yang dimaksudkan di komputer korban. Namanya juga scareware (ingat scarecrow, patung-patungan palsu untuk manakuti burung (gagak) supaya tidak memakani padi) tujuan utamanya adalah menakuti korbannya untuk tujuan komersial dan celakanya cara yang dipakai kurang terpuji dengan memberikan peringatan virus palsu. Selain itu, jika korbannya setuju untuk mendownload program scareware yang ditawarkan. Maka ibarat kata pepatah, “Sudah Jatuh Tertimpa Tangga” …. (di gigit anjing lagi :P) maka selain membayar untuk sesuatu yang tidak perlu, kemungkinan besar kartu kredit yang digunakan untuk membeli scareware tersebut akan dijadikan sebagai sasaran fraud. Banyak laporan yang menyebutkan bahwa biaya yang ditagihkan ke kartu kredit tidak sesuai dengan yang tertera pada saat transaksi dan bisa beberapa kali lipat. Karena itu sebaiknya anda segera memblokir kartu kredit tersebut dan mengganti dengan yang baru untuk menjaga kemungkinan digunakan untuk fraud.
Metode infeksi
Scareware akan datang dalam banyak alternatif :
- Mengeksploitasi celah keamanan (Java Script) browser waktu mengunjungi website tertentu sehingga akan terinstal secara otomatis dan menampilkan peringatan palsu.
- Menawarkan scan malware gratis atau tune up sistem komputer gratis.
Email, dalam hal eksploitasi email pembuat virus ini cukup kreatif. - Adapun bentuk-bentuk email yang terdeteksi adalah sebagai berikut :
- Kartu ucapan / greeting card. Email yang datang juga memiliki banyak varian, baik yang datang dalam lampiran bervirus (biasanya di kompres / zip) maupun hanya link download yang memanfaatkan fitur “drive by download”.
- Breaking News dari CNN atau situs berita yang lain.
Menawarkan film porno artis ternama seperti Angelina Jolie yang dikombinasikan dengan baik sekali dengan rekayasa sosial pada situs You Tube. Dimana file yang mengandung virus seakan-akan harus di download sebagai codec (file yang diperlukan untuk menonton file film di You Tube). Lihat artikel http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html - Datang dalam lampiran terkompres seperti yang terakhir ditemui Vaksincom datang sebagai email konfirmasi pengiriman barang dari UPS yang meminta kita mencetak invoice .doc yang sebenarnya adalah file virus karena memiliki ekstensi ganda (ups_letter.doc.exe). Supaya lampiran ini tidak diblok di mailserver ia di kompres terlebih dahulu dengan nama “ups_letter.zip”. (lihat gambar di bawah ini)
Ada puluhan varian scareware
Sebenarnya seberapa gawat sih masalah scareware ini dan seberapa banyak varian scareware ini ? Pada awalnya Vaksincom mengira scareware ini seperti kata pepatah “hangat-hangat tahi ayam”, paling dalam waktu beberapa bulan akan menghilang dan digantikan oleh spyware / malware lainnya. Dan varian scareware ini meskipun cukup banyak tetapi menurut perkiraan Vaksincom tidak akan melebihi belasan varian. Tetapi kenyataannya sangat mengejutkan, karena ternyata sampai saat ini sudah tedeteksi 85 scareware yang beredar di internet yang lengkap dengan infrastruktur pendukungnya seperti website dan sistem pembayaran online. Beberapa nama yang digunakan juga cukup menjebak seperti Antivirus XP 2008, Antivirus XP 2009, Vista Antivirus 2008, WinFixer, Spyware Stormer, Smart Antivirus 2008, Smart Antivirus 2009, PC-Antispyware, MS Antispyware, MS Antivirus, IE Antivirus, ID Defender, Antivirus 2008, Antivirus 2009 dan masih banyak lagi. Melihat hal ini dapat disimpulkan bahwa pembuat scareware ini cukup terorganisir, profesional, ditunjang oleh back up finansial yang kuat dengan motif ekonomi dan bukan hanya melakukan hit and run seperti pembuat virus.
Beberapa ciri scareware yang sedang aktif
- Jika komputer korbannya mendapatkan peringatan adanya malware tetapi tidak melakukan tindakan seperti mendownload scareware yang disarankan, maka komputer tersebut akan terus menerus mendapatkan peringatan pop up windows yang meninformasikan adanya malware di komputernya. Dalam beberapa kasus, bahkan komputer korban “dikerjai” seperti drive C: dihilangkan dari Windows Explorer dan menghilangkan folder-folder baik di harddrive lokal maupun folder sharing di jaringan sehingga makin menambah kepanikan pengguna komputer korbannya.
- Scareware ini sulit di deteksi antivirus karena ia akan selalu mengupdate dirinya dan melakukan release ulang guna mencegah deteksi program antivirus.
- Menurut pantauan Vaksincom, saat ini banyak scareware sudah mampu menginfeksi Widnwos Vista, jadi korbannya tidak hanya terbatas pada Windows XP / 2000 saja.
Walaupun anda sudah klik [Cancel] atau [X] untuk menutup box dialog ketika ditanyakan apakah mau mendownload scareware, aksi yang dilakukan TETAP akan mendownload scareware. Bahkan beberapa scareware secara otomatis mendownloadkan dan menginstalkan dirinya ke komputer korbannya. - Anda tidak dapat menghentikan proses download yang berlangsung, sekalipun anda menutup browser anda karena proses download akan berlangsung di background (tidak terlihat). Salah satu cara yang cukup efektif untuk menghentikan download adalah menggunakan key [Alt][F4].
- Administrator jaringan di korporat dapat mempertimbangkan memblok akses ke situs-situs download scareware seperti winfixer.com, winantivirus.com, systemdoctor.com tetapi seperti kita ketahui jumlah scareware yang mencapai lebih dari 80 pada saat ini dan dalam waktu singkat akan mencapai lebih dari 100 scareware membuat proses blokir website scareware ini sangat melelahkan. Salah satu cara yang efektif mengatasi infeksi scareware adalah menggunakan filter jaringan yang dipasang di router backbone internet anda seperti Norman Network Protector yang akan melakukan scanning seluruh traffic yang masuk ke jaringan intranet baik itu traffic http, smtp, pop maupun ftp. Dengan adanya Network Protector ini pengguna jaringan akan terlindung dari download dan upload scareware maupun malware tanpa perlu melakukan perubahan pada setting komputer karena scanner ini berfungsi sebagai bridge (transparent proxy).