FacebookPernahkah Anda menerima pesan dari teman-teman Anda yang berisi pemberitahuan atau undangan, seperti undangan untuk mengunjungi situs tertentu, ditambah dengan pesan yang menarik, seperti “Hei, lihat ini, sungguh keren!”?
Dalam kebanyakan kasus, penerima pesan akan senang untuk mengikutinya, terutama jika pesan itu dikirim oleh salah satu teman terbaik Anda, yang Anda percaya. Namun, apakah Anda pernah berpikir bahwa hal itu bisa saja dikirim oleh penyusup, spam, atau bahkan virus?
Seperti yang terjadi kemarin, seseorang menerima “kejutan” dari Facebook, tetapi kemudian segera menyadari bahwa komputernya sekarang telah terinfeksi trojan, serta membuatnya menjadi “mesin spam”.

malicious site
Seperti yang Anda lihat, situs itu bukan asli dari Facebook, tetapi “hxxp://facebook-surprise-njwv.tk/”. Melalui teknik rekayasa sosial, pembuat trojan ini sengaja membuat tampilan situsnya seperti situs facebook yang asli, tentu saja, untuk memberikan para pengguna rasa aman (tetapi palsu).
Dan ketika mouse dilewatkan di atas halaman itu, akan tampak bahwa itu adalah link yang mengarah ke sebuah file “suprise.exe” (hxxp://facebook-surprise-njwv.tk/surprise.exe). File itu sendiri menggunakan icon yang sangat mirip dengan icon default file gambar:

icon
Setelah pengguna menjalankan file tersebut, yang terjadi  hanyalah menampilkan gambar “hadiah” seperti ini:

gift
Namun, tanpa disadari, sebuah Trojan telah menginfeksi komputer secara diam-diam.
Ternyata, semuanya berasal dari pesan yang diterima di akun Facebook-nya. Pesan akan terlihat seperti ini: “Saya punya kejutan untukmu di www.nyhelyofedoerej.blogspot.com” (“I got u surprise www.nyhelyofedoerej.blogspot.com.”).

spam message
Ketika link di-klik akan mengarah ke sebuah website di Blogspot, dan kemudian dialihkan lagi ke hxxp://facebook-surprise-kjeg.tk/.

blogspot redirect
blogspot redirect 2
Setelah file “surprise.exe” dijalankan, trojan ini akan memantau semua aktivitas pengguna, dengan cara menyuntikkan diri pada browser yang sedang aktif, seperti Internet Explorer atau Mozilla Firefox. Jika pengguna mencoba untuk login ke account Facebook-nya, malware akan mencatat username dan password, yang nantinya akan digunakan untuk mengirim spam ke setiap teman di akun Facebook. Pengguna dapat mengetahuinya dengan melihat pada folder “terkirim”.

sent folder
Menariknya, sang pembuat trojan mengatakan kepada kita apa yang dilakukannya di belakang layar (atau dia lupa untuk menghapus string debug-nya?). Pesan-pesan ini akan muncul ketika kita menjalankan debugger, atau DebugView untuk memantau output debug. Seperti isi log berikut ketika malware sedang mencoba untuk login ke account facebook:

dbgview
Dan berikut ini ketika trojan mengirim spam ke semua teman-teman di akun Facebook:

dbgview spamming
Sebelum melakukan spam, ia melakukan ‘GET request’ untuk mengatasi “ddk1000.org/ab/setup.php?act=fb_get” untuk memperoleh data yang bisa digunakan untuk bahan spam, seperti subjek, pesan lengkap, dan url berbahaya yang digunakan untuk spam.
Trojan ini tercatat sebagai ‘Trojan-Downloader.Win32.FraudLoad‘ oleh Emsisoft Anti-Malware.

NaraSumber