Tapi akibat, ulah sejumlah hacker yang menggunakan keahliannya untuk tujuan jahat seringkali hacker mendapat pandangan negatif dari masyarakat.

Perjalanan untuk menjadi seorang hacker sendiri dilalui melalui perjalanan yang panjang. Untuk menjadi seorang hacker terkenal, tak jarang harus berhadapan dengan penjara. Tengok saja perjalanan 10 hacker ternama dunia berikut seperti dilansir Telegraph, Minggu (29/11).

1. Kevin Mitnick
Pria kelahiran 6 Agustus 1963 ini adalah salah satu hacker komputer yang paling kontroversial di akhir abad ke-20. Pengadilan Amerika Serikat bahkan menjulukinya sebagai buronan kriminal komputer yang paling dicari di Amerika. Kevin diketahui pernah membobol jaringan komputer milik perusahaan telekomunikasi besar seperti Nokia, Fujitsu and Motorola.

Kevin Mitnick ditangkap FBI pada Januari 1995 di apartemennya di kota Raleigh, North Carolina atas tuduhan penyerangan terhadap pemerintahan. Saat ini, ia berprofesi sebagai seorang konsultan keamanan sistem jaringan komputer.

2. Kevin Poulson
Jauh sebelum menjadi senior editor di Wired News, Pria bernama lengkap Kevin Lee Poulsen  ini dikenal sebagai seorang hacker jempolan. Pria kelahiran Pasadena Amerika Serikat, 1965 ini pernah membobol jaringan telepon tetap milik stasiun radio Los Angeles KIIS-FM, sehingga ia seringkali memenangkan kuis-kuis radio. Bahkan lewat kuis telepon via radio ia bisa memenangkan sebuah hadiah utama, mobil Porsche.

3. Adrian Lamo
Nama Adrian Lamo sering dijuluki sebagai ‘the homeless hacker’ pasalnya ia sering melakukan aksi-aksinya di kedai-kedai kopi, perpustakaan atau intenetcafe. Aksinya yang paling mendapatkan perhatian adalah ketika ia membobol jaringan milik perusahaan Media, New York Times dan Microsoft, MCI WorldCom, Ameritech, Cingular. Tak hanya itu, ia juga berhasil menyusupi sistem milik AOL Time Warner, Bank of America, Citigroup, McDonald’s and Sun Microsystems. Kini pria tersebut berprofesi sebagai seorang jurnalis.

4. Stephen Wozniak
‘Woz’ begitu ia biasa disapa. Saat ini mungkin lebih dikenal sebagai seorang pendiri Apple. Tapi saat menjadi mahasiswa, Wozniak pernah menjadi seorang hacker yang cukup mumpuni. Pria berusia 59 tahun itu diketahui pernah membobol jaringan telepon yang memungkinkannya menelepon jarak jauh tanpa membayar sedikit pun dan tanpa batas waktu. Alat yang dibuat semasa menjadi mahasiswa itu dikenal dengan nama ‘blue boxes’

5. Loyd Blankenship
Pria berjuluk The Mentor ini pernah menjadi anggota grup hacker kenamaan tahun 1980 Legion Of Doom.  Blakenship adalah penulis buku The Conscience of a Hacker (Hacker Manifesto). Buku yang ditulis setelah ia ditangkap dan diumumkan dalam ezine hacker bawah tanah Phrack.

6. Michael Calce
Sejak usia muda Calce memang dikenal sebagai seorang Hacker. Aksinya membobol situs-situs komersial dunia dilakukannya ketika ia berusia 15 tahun. Pria yang menggunakan nama MafiaBoy dalam setiap aksinya itu, ditangkap ketika membobol pada tahun 2000 mengacak-acak  eBay, Amazon and Yahoo.

7. Robert Tappan Morris
Nama Morris dikenal sebagai seorang pembuat virus internet pada tahun 1988, atau dikenal sebagai ‘Morris Worm’ yang diketahui merusak sekira 6.000 komputer. Akibat ulahnya ia dikenai sanksi untuk bekerja sosial selama 4000 jam. Kini ia bekerja sebagai pendidik di Massachusetts Institute of Technology.

8. The Masters Of Deception
The Masters Of Deception (MoD) merupakan kelompok hacker yang berbasis di New York. Kelompok ini sering mengganggu jaringan telepon milik perusahaan telekomunikasi seperti AT&T. Sejumlah anggota kelompok ini ditangkap pada tahun 1992 dan dijebloskan ke penjara.

9. David L. Smith
Smith dikenal sebagai penemu Mellisa worm, yang pertama kali ditemukan pada 26 Maret 1999. Mellisa sering juga dikenal sebagai “Mailissa”, “Simpsons”, “Kwyjibo”, atau “Kwejeebo”. Virus ini didistribusikan lewat email.  Smith sendiri akhirnya diseret ke penjara karena virusnya telah menyebabkan kerugian sekira USD80 juta

10. Sven Jaschan
Jaschan menorehkan namanya sebagai seorang penjahat dunia maya pada tahun 2004 saat membuat program jahat Netsky dan Sasser worm. Saat ini ia bekerja di sebuah perusahaan keamanan jaringan.

Okezone

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Tentunya anda akan setuju kalau dikatakan Facebook. Rupanya bukan cuma kita saja yang tahu kalau Facebook merupakan aplikasi yang paling populer, pembuat virus juga tahu. Karena itu virus-virus yang memanfaatkan kepopuleran Facebook mulai bermunculan.

Sebut saja Koobface yang walaupun penyebarannya tidak terlalu tinggi sudah menjadi indikasi bahwa Facebook mulai “diperhitungkan” oleh para kriminal internet untuk menjadi sarana mencapai tujuannya. Dimasa depan, Vaksincom memperkirakan aplikasi-aplikasi jahat yang mengeksploitasi Facebook akan makin marak, karena itu bila anda pengguna Facebook, ada baiknya untuk lebih berhati-hati. Saat ini, sedang marak beredar trojan yang disebarkan memanfaatkan rekayasa sosial seakan-akan datang dari administrator Facebook dan jika diaktifkan ia akan mendownload antivirus palsu atau yang lebih dikenal dengan istilah scareware. Untuk informasi lebih jauh silahkan simak artikel Vaksincom dibawah ini.

Banyaknya penguna Facebook ini menjadikan celah baru bagi para pembuat virus untuk menyebarkan virus dengan memanfaatkan rekayasa sosial, jika kita tidak waspada sudah tentu  virus ini akan dapat menyebar dengan sukses di jagat maya khususnya di komunitas Facebook, seperti contoh virus yang sedang menyebar saat ini. Kami menyebutnya virus Facebook atau Norman mendeteksi sebagai W32/Obfuscated.D2!gen. Kenapa disebut virus Facebook ? Karena mempunyai ciri dimana virus ini akan mengincar korban para pengguna internet khususnya bagi mereka yang mempunyai account Facebook, dengan dalih untuk keamanan saat ber-Facebook-ria mereka (pembuat virus) mengirimkan sebuah email yang akan datang seolah-olah dari “Admin Facebook” yang attachment untuk mereset  password Facebook yang telah ada sebelumnya, karena datangnya dari admin Facebook  maka sudah tentu mereka akan mempercayai email tersebut (daripada account Facebooknya di blokir :p), alhasil bukannya Facebook anda aman tetapi komputer anda akan dijadikan sebagai server zombie untuk menyebarkan spam ke alamat yang ia dapat dan menyebarkan dirinya dengan mengirimkan email yang seolah-olah berasal dari “Admin Facebook” dengan menyertakan sebuah attachment yang mengandung virus. Jadi harap berhati-hati, tetap pantau perkembangan virus dan tetaplah ber-facebook-ria…. asal tidak menggangu pekerjaan J.

Apakah cukup sampai disitu??, ternyata tidak .. ibarat pribahasa “sudah jatuh tertimpa tangga ……. di gigit anjing lagi”, ternyata ia juga akan mendownload scareware / antivirus palsu yang menyamarkan dirinya sebagai antispyware dengan nama “Security Tools” yang akan terinstall secara otomatis kedalam system komputer yang telah terinfeksi. Antispyware palsu ini akan menampilkan peringatan palsu juga seolah-olah system anda sudah terinfeksi virus dengan menampilkan sederetan nama-nama virus / trojan serem yang berhasil dideteksi (tetapi sebenarnya file/virus tersebut tidak ada), jika user mencoba untuk melakukan aksi pembersihan dengan menggunakan software palsu tersebut maka ia akan menampilkan layar agar user melakukan pembelian software tersebut, jika muncul hal ini sebaiknya Anda abaikan saja karena anda tidak akan mendapatkan software antispyware tersebut. (lihat gambar 1)

Gambar 1, Security Tools, spyware yang menyamar sebagai program Antispyware

Email yang dikirimkan oleh virus Facebook ini akan mempunyai ciri-ciri berikut : (lihat gambar 2)

Gambar 2, Contoh email yang akan di kirimkan oleh virus

File yang di sertakan dalam email tersebut mempunyai ukuran sekitar 24 KB (ZIP) atau 30 KB (exe), file dalam bentuk exe akan mempunyai icon MS.Excel dengan type file sebagai “Application” (lihat gambar 3)

Gambar 3, File induk virus

Dengan update terbaru Norman Security Suite mendeteksi virus tersebut sebagai W32/Obfuscated.D2!genr sedangkan untuk file [reader_s.exe] dikenali sebagai W32/Pandex.YE. Dengan teknologi Sandbox Norman Security Suite juga mengenali varian baru dari virus ini [possible new, unknown virus] seperti yang terlihat pada gambar 4 dibawah ini :

Gambar 4, Hasil deteksi Norman Security Suite

ika file tersebut di jalankan ia akan membuat beberapa file induk yang akan di jalankan pertama kali pada saat komputer dinyalakan:

• C:\Documents and Settings\%user%\reader_s.exe
• C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
• C:\WINDOWS\system32\reader_s.exe
• C:\Windows\system32\wbem\proquota.exe
• C:\windows\system32\sdra64.exe
• C:\Windows\system32\lowsec
  - local.ds
  - user.ds
  - user.ds.lll
• C:\Documents and Settings\Elvina\Application Data\wiaservg.log

Registry

Virus ini tidak banyak bermain dengan registri karena tujuannya adalah untuk mendownload scareware yang “jika” berhasil dijalankan akan merubah segambreng regisrti, walaupun demikian ia akan tetap mencoba untuk melakukan perubahan pada registry  khususnya agar file yang dibuat tersebut dapat dijalankan pertama kali saat komputer di nyalakan, yakni:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  -       reader_s = C:\Documents and Settings\Elvina\reader_s.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  -       reader_s = C:\Wincdows\system32\reader_s.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  -       C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  -       EnableProfileQuota =1

• HKEY_LOCAL_MACHINE\SOFTWARE\AGProtect

• HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

• HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

Download Trojan/spyware

Virus ini akan mencoba untuk melakukan koneksi ke beberapa alamat yang telah ditentukan dengan tujuan untuk mendownload trojan/spyware lain yang kemudian akan dijalankan secara otomatis, file yang berhasil di download akan di simpan di direktori berikut:

• C:\Windows\temp
  • Wp%xxx%.exe (xxx ini berbeda-beda, contohnya wpv271256600826.exe)
  • _ex-08.exe
• C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
• C:\Documents and Settings\All Users\Application Data\47543326\ 47543326.exe

Berikut beberapa alamat server yang akan dituju oleh virus tersebut

• 202.39.17.53
• 217.23.7.162
• 95.211.27.211
• 202.169.46.56

Ia juga akan mencoba untuk melakukan koneksi ke beberapa web server berikut :
-       http://mmsfoundsystem.ru/public/controller.php?action=bot&entity_list=&uid=&first=1&guid=13441600&v=15&rnd=8520045
-       http://hostvegass.ru/cman/receiver/online
-       http://wapdodoit.ru/mn/base.cfg
-       http://www.whatsmyipaddress.com

Ia juga akan melakukan DNS query kesejumlah alamat MX domain yang ditentukan seperti terlihat pada gambar 5 di bawah ini:

Gambar 5, Aksi virus Facebook mencari MX Server

Media penyebaran (Email)

Untuk menyebarkan dirinya ia akan mengirimkan email kesemua alamat email yang telah diperolahnya dengan melampirkan sebuah file dalam bentuk ZIP. Bagi anda yang mempunyai account Facebook harap berhati-hati jika menerima email yang anda terima seolah-olah berasal dari Admin Facebook karena kemungkinan email yang Anda terima adalah email yang berisi virus.

Jika kita telurusi dengan tools monitoring jaringan seperti  wireshark atau command netstat dari DOS prompt maka dapat dilihat dengan jelas bahwa komputer yang telah terinfeksi virus berusaha untuk mengirimkan email ke sejumlah alamat yang telah ditemukan dengan menyertakan sebuah file attachment yang berisi virus, perhatikan gambar 6 dibawah ini:

Gambar 6, Aksi virus mengirimkan dirinya

Selain mengirimkan email yang seolah-olah datang dari Admin Facebook, ia juga akan menjadikan komputer yang terinfeksi sebagai server spam dengan mengirimkan email kesejumlah alamat email yang di dapat (lihat gambar 7)

Gambar 7, Aktivitas pengiriman email yang dilakukan oleh virus

Mengundang Antispyware palsu “Security Tools”

Aksi lain yang akan di lakukan oleh virus Facebook adalah akan mendownload dan menginstal sebuah program antispyware palsu dengan nama “Security Tools”. Antispyware palsu ini akan memberikan informasi palsu dengan menampilkan sederetan nama virus/trojan yang berhasil di deteksi, informasi palsu ini biasanya akan ditampilkan secara terus-menerus pada waktu yang telah ditentukan. (lihat gambar 8 dan 9)

Gambar 8, Peringatan palsu yang ditampilkan oleh antiwpyware “Security Tools”

Gambar 9, Scareware yang terinstal akan secara terus menerus memberikan peringatan palsu (Security Tool Warning)

Jika user mencoba untuk melakukan aksi pembersihan dengan menggunakan software palsu tersebut maka ia akan menampilkan layar agar user melakukan pembelian software tersebut, jika muncul hal ini sebaiknya Anda abaikan saja karena anda tidak akan mendapatkan software antispyware tersebut.

File antyspyware “security tools” mempunyai ukuran sekitar 1.103 MB dengan type file sebagai “application” (lihat gambar 10)

Gambar 10, File induk antispyware “security tools”

Antispyware ini akan secara membuat beberapa file berikut agar dirinya tetap aktif:
-       C:\Documents and Settings\All Users\Application Data\47543326
-       C:\Documents and Settings\Elvina\Desktop\security tools.lnk
-       C:\Windows\temp\_ex-08.exe
-       C:\Documents and Settings\Elvina\Start Menu\Programs\security tools.lnk

Registry antispayware Security Tools

Sebagai pendukung agar dirinya tetap aktif, ia akan membuat beberapa string pada registry berikut:
-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+  47543326= C:\DOCUME~1\ALLUSE~1\APPLIC~1\47543326\47543326.exe
+  PromoReg = C:\WINDOWS\Temp\_ex-08.exe

-       HKEY_LOCAL_MACHINE\SOFTWARE\47543326

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
+  UID = %user%_00127065

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
+  Rlist

Aksi yang dilakukan oleh antispyware “Security Tools”
·         Menampilkan pesan notifikasi bahwa komputer telah terinfeksi virus/spyware (lihat gambar 11 dan 12)

Gambar 11, Pesan pop up yang ditampilkan terus menerus oleh scareware dalam rangka menakuti korbannya

Gambar 12, Pesan peringatan dari Antispyware Security Tools

·         Menampilkan konfirmasi update database Antispyware Security Tools (lihat gambar 13)

Gambar 13, Konfirmasi update Antispyware Security Tools

·   Restart komputer pada waktu yang teah ditetukan dengan menampilkan layar “Blue Sreen” seolah-olah terjadi error pada system/hardware komputer yang telah terinfeksi.

·    Mengganti walpaper/desktop Windows (lihat gambar 14)

Gambar 14, Desktop windows yang diubah oleh antispyware “security tools”

Cara membersihkan W32/Obfuscated.D2!genr dan Antispyware Security Tools

1. Disable system restore selama proses pembersihan
2. Disconect komputer dari jaringan/internet
3. Sebaiknya lakukan pembersihan pada mode “safe mode”
4. Install software “unlocker” [http://www.filehippo.com/download_unlocker/]
5. Matikan proses virus yang aktif dimemory, gunakan tools “Security Task Manager”, silahkan download tools tersebut di alamathttp://www.neuber.com/taskmanager/download.html (lihat gambar 15)



Gambar 15, Mematikan proses virus dengan “security task manager”

6. Fix registry, untuk mempercepat proses perbaikan registry silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:

Klik kanan [repair.inf]
Klik [install]

[Version]
Signature=”$Chicago$”
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, “userinit.exe”

[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota
HKLM, SOFTWARE\AGProtect
HKLM, SOFTWARE\47543326
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

7. Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersebunyi (lihat gambar 16)



Lihat gambar 16, Menampilkan file yang tersembunyi

Kemudian hapus file berikut::
§  C:\Documents and Settings\All Users\Application Data\47543326
§  C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk
§  C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk
§  C:\Documents and Settings\Elvina\Application Data\wiaservg.log
§  C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
§  C:\WINDOWS\Temp\wpv311256600826.exe
§  C:\WINDOWS\Temp\wpv411256806849.exe
§  C:\Documents and Settings\%user%\reader_s.exe
§  C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
§  C:\WINDOWS\system32\reader_s.exe
§  C:\Windows\system32\wbem\proquota.exe
§  C:\windows\system32\sdra64.exe
§  C:\Windows\system32\lowsec
o local.ds
o user.ds
o user.ds.lll

Catatan:
Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe),  karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranya:
o Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
o Kemudian klik menu “unlocker”
o Pada layar unlocker, pilih opsi [hapus]
o Kemudian klik tombol [OK]
o Jika muncul pesan error, di abaikan saja (klik ok)

8. Hapus file temporary dan temporary interet file, gunakan tools ATF-Cleaner [http://majorgeeks.com/download.php?det=4949] (lihat gambar 17)





































Gambar 17, Menghapus file temporary internet dan temporary file

9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date. Anda juga dapat membersihkan dengan menggunakan tools Norman Malware Cleaner [http://www.norman.com/support/support_tools/58732/en-us] atau Malwarebytes Anti Malware (www.malwarebytes.org) (lihat gambar 18 dan 19)

Gambar 18, Hasil deteksi Malwarebytes Anti Malware

Gambar 19, Hasil deteksi Norman Malware Cleaner

Sumber: VaksinCOM

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.