Peneliti keamanan
telah mengembangkan sebuah virus USB dropper/spreader yang mampu melewati semua
produk antivirus populer komersial yang digunakan oleh pengguna internet di
seluruh dunia.
Program antivirus
yang ada saat ini dirancang untuk mengidentifikasi ancaman baik berdasarkan
signature mereka, atau perilaku mereka. Biasanya, jika malware terdeteksi oleh
satu sistem, maka yang lainnya bisa ditangkap dalam waktu singkat.
Namun, para peneliti telah menunjukkan bahwa ada cara untuk membuat elemen
berbahaya yang dapat menyebar dari satu komputer ke komputer yang lain tanpa
terdeteksi.
Soufiane Tahiri - seorang peneliti keamanan khusus dalam reverse engineering
dan perangkat lunak keamanan - telah menciptakan virus yang perilakunya tidak
dikenali oleh antivirus sebagai sesuatu yang berbahaya.
Tujuan dari malware ini adalah untuk menyalin sebuah file yang berbahaya ke
drive USB dan membuat file autorun.inf pada perangkat yang ditargetkan tanpa
terdeteksi.
"Elemen jahat"ini terus-menerus akan mencari
keberadaan removable disk. Jika salah satu sudah ditemukan, itu akan di-scan
untuk menentukan apakah itu sudah terinfeksi atau tidak.Jika tidak, file
autorun.inf dan file exe berbahaya akan disalin ke atasnya.
Jadi, bagaimana bisa hal ini bisa dicapai tanpa adanya peringatan dari
antivirus?
Hal pertama yang ahli lakukan untuk memastikan bahwa USB droppernya tidak
akan terdeteksi adalah mengubah nama fungsi yang biasanya digunakan oleh
malware untuk melakukan berbagai tugas seperti mencuri data atau memata-matai
korban.
Kemudian, daripada menggunakan metode yang jelas terlihat mencurigakan -
seperti File.Copy () dan File.Delete () - malware memanfaatkan program
perantara yang tidak memerlukan hak istimewa untuk menjalankan
perintah-perintah dasar. Yakni, Windows CMD command line.
"Dengan memberlakukan perintah Windows secara diam-diam, kita dapat
melakukan segala sesuatu yang bisa dilakukan melalui baris perintah tanpa
batasan!" Jelas Tahiri.
"Kita bisa membuat thread yang menciptakan file autorun.inf temporer di sebuah
folder sistem pengguna dan thread lainnya akan memeriksa keberadaan removable
disk yang terpasang lalu menyalin task melalui hidden instances pada command
line."
Hasilnya: sebuah software yang dapat( secara teori)menyebabkan banyak
kerusakan, namun tetap tidak terdeteksi. Ahli telah menguji temuannya itu
terhadap 5 aplikasi antivirus populer,termasuk BitDefender, Kaspersky dan
NOD32.
Rincian teknis dari penelitian tersebut bisa klik disini untuk lebih jelasnya.
