Kamis, 20 Februari 2014

Baidu PC Faster Foistware (Trojan.Generic.9038304), Parasit Yang Menumpang Masuk Komputer Anda Lewat Program Gratis Favorit Anda !


Anda pernah menjumpai tiba-tiba di desktop komputer anda tiba-tiba muncul program yang tidak anda butuh/ inginkan ?

Program tersebut menawarkan pembersihan file temporary atau menjanjikan peningkatan kinerja komputer bahkan memberitahukan bahwa komputer anda terancam serangan malware/ virus komputer, sehingga anda harus menaktifkan/ mengupdate program tersebut ?

Hat--hati, komputer anda terserang Foistware, coba ingat-ingat apakah anda sebelumnya telah menginstall suatu software ? Apakah itu Foistware, berbahayakah ? Mari kita belajar mengenalnya !



Foistware, penyusup yang tidak anda inginkan.

Foistware adalah program tidak diinginkan yang umumnya ikut terinstal secara otomatis bersama dengan program lain, umumnya freeware yang populer. Tujuan foistware menginstalkan dirinya adalah untuk mendapatkan keuntungan finansial dari komputer yang terinstal dan umumnya dilakukan dengan cara mengganti search engine default (Google, Bing atau lainnya) dengan search engine yang berafiliasi dengan pembuat foistware sehingga hasil iklan dari search yang dilakukan pengguna komputer akan masuk ke kantong pembuat foistware. Dalam aksinya, foistware mengutamakan menampilkan hasil pencarian dari pembayar iklan tertinggi dan bukan mengutamakan keakuratan hasil pencarian. Dalam banyak kasus foistware mengarahkan korbannya ke situs yang mengandung malware dan jelas merugikan korbannya. Celakanya lagi, foistware ini tetap akan mendekam di komputer korbannya sekalipun freeware yang ditumpanginya sudah di uninstal dan ibarat cicak basah nempel di jendela, banyak foistware sulit diuninstal dan membutuhkan usaha khusus untuk dienyahkan dari komputer. Pada awal aksinya, program-program seperti Adobe Acrobat, Skype dan Java sering ditumpangi foistware. Namun karena mendapatkan banyak komplain dari para pengguna dan praktisi sekuriti pembuat aplikasi tersebut mulai menyeleksi program yang menumpang dan menolak foistware meskipun mereka kehilangan pendapatan potensial yang besar dari foistware yang menumpang. Karena itu terjadi perpindahan foistware ke freeware populer lain diluar freeware populer dari vendor aplikasi di atas. Salah satu situs freeware yang sangat banyak mengandung foistware adalah download.com. Beberapa foistware populer adalah babylon search, delta search, awesomehp.com dan terakhir adalah Baidu PC Faster yang terdeteksi oleh G Data sebagai Trojan Generic.9038304.


Mengakali Dialog Box EULA

Bluestacks adalah program emulator Android yang memungkinkan komputer dengan OS Windows untuk menginstal dan menjalankan aplikasi Android. Program ini sangat populer digunakan oleh pengguna Windows dan termasuk ke dalam freeware. Jika anda mengunduh dan menginstal Bluestacks seperti yang dilakukan oleh tim laboratorium Vaksincom, kemungkinan besar anda akan mendapatkan program lain yang tidak diinginkan (Foistware) yang akan ikut terinstal bersama dengan Bluestacks. Salah satunya adalah yang terdeteksi oleh G Data Security Client Antivirus sebagai Trojan.Generic.9038304 (lihat gambar 1) dan lebih dikenal dengan nama Baidu PC Faster.


Gambar 1, G Data Antivirus mendeteksi Baidu PC Faster sebagai Trojan.Generic.9038304

Jika anda cukup teliti, pada saat instalasi awal Bluestacks, keanehan mulai terlihat. Lazimnya, sebelum menginstalkan aplikasi apapun calon pengguna aplikasi harus menyetujui terlebih dahulu EULA (End User License Agreement) yang berisi pengaturan hak dan kewajiban pengguna dan pembuat aplikasi. Biasanya, jarang sekali pengguna aplikasi yang kerajinan membaca pelan-pelan EULA sampai habis sebelum mengklik kotak [I Agree] dan cenderung langsung disetujui saja. Mungkin sebabnya adalah karena panjangnya EULA, mana dalam bahasa Inggris dan formatnya bahasa hukum.

Disinilah PC Faster menjalankan salah satu triknya dimana, persetujuan instalasi Baidu PC Faster disatukan dengan persetujuan EULA. Jadi jika calon pengguna aplikasi setuju dengan EULA dan melakukan centang pada kotak yang disediakan, maka otomatis ia menyetujui instalasi Baidu PC Faster sehingga tidak ada pelanggaran hukum yang dilakukan oleh Foistware ini. (lihat gambar 2)

Gambar 2, Persetujuan EULA BlueStacks yang disatukan dengan persetujuan instal Baidu PC Faster

Setelah komputer restart, otomatis Aplikasi Baidu PC Faster akan tampil dan menjalankan aksinya. menempatkan dirinya di desktop Windows pada (lihat gambar 3)

Gambar 3, Aplikasi Baidu PC Faster di Desktop Windows

Anda bisa menemui temporari file malware ini di C:\Users\ComputerName\AppData\Local\Temp (lihat gambar 4)

Gambar 4, Malware Trojan.Generic.9038304 di Local Temporary

Jika anda menggunakan G Data Antivirus, aplikasi Baidu PC Faster ini dibuka, ia akan dihentikan dan terdeteksi oleh G Data sebagai Trojan.Generic.9038304, lihat gambar 1 di atas. Sebaliknya, jika program antivirus anda memperbolehkan aplikasi ini berjalan, maka anda akan mendapatkan tampilan yang cukup menarik seperti pada gambar 5 di bawah.

Gambar 5, Tampilan Aplikasi Baidu PC Faster

Sebenarnya aplikasi PC Faster ini cukup berguna, ia akan memonitor tingkat keamanan komputer, melihat apakah ada celah keamanan yang belum di tambal dan juga melakukan perbaikan sistem dan meningkatkan kecepatan komputer. Masalahnya adalah, selain fungsi positif tadi, Baidu PC Faster melakukan aksi lain mengubah peramban / Browser untuk merubah search engine yang terpasang pada peramban anda menjadi search B1. Jika anda menggunakan search engine Google, tampilan yang sebelumnya Google Search (http://google.com) akan berubah menjadi http://search.b1.org . (lihat gambar 6)

Gambar 6, Search engine default anda akan diganti dengan B1

Ketika anda mencoba mencari suatu informasi ia akan memberikan hasil pencarian yang menguntungkan pembuat malware ini dan kemungkinan besar berbeda dengan hasil yang diberikan oleh search engine default anda. Sebagai perbandingan lab Vaksincom melakukan pencarian dengan kata kunci Download video youtube (lihat gambar 7)

Gambar 7, Perbandingan hasil search engine Bi dengan Google.

Hasil yang diberikan oleh search B1 tidak memberikan langsung dimana atau bagaimana download video you tube yang dicari, malah menampilkan iklan yang �maksa� dicocok-cocokkan dengan keyword search yang kita lakukan. Dalam contoh ini ada 3 iklan tambahan yang muncul sehubungan dengan pencarian download video youtube adalah mobogenie.com, webcrawler.com dan hotelium.com yang jelas-jelas tidak ada hubungannya secara langsung dengan download video youtube. Pemasang iklan ini akan membayarkan sejumlah uang kepada B1 jika link iklan tersebut di klik. Seperti kita ketahui, Mobogenie adalah program PUP (Potentially Unwanted Program) http://vaksin.com/2014/0114/mobogenie%20PUP/mobogenie%20PUP.html.


Menginstalkan Mobogenie

Aplikasi ini juga akan menginstalkan Mobogenie ini di perangkat anda. (lihat gambar 8)

Gambar 8, Aplikasi Mobogenie yang di instalkan malware

Menurut pengetesan yang dilakukan oleh laboratorium malware Vaksincom, aplikasi ini sebenarnya mirip dengan Google Play dan pada umumnya tidak memiliki payload yang jahat. Namun menurut pengamatan dari beberapa situs malware, aplikasi Mobogenie for Windows digolongkan sebagai PUP Potentially Unwanted Program http://malwaretips.com/blogs/mobogenie-virus-removal/

Mobogenie memiliki dua versi, versi Windows yang bisa di instalkan pada komputer dan versi Android yang hanya bisa diinstalkan pada perangkat Android. Mobogenie versi Windows yang tergolong PUP ini biasanya ikut menginstalkan dirinya bersama-sama dengan freeware lainnya dan dalam pengetesan yang dilakukan oleh Vaksincom, Mobogenie dan Baidu PC Faster menginstalkan diri bersama dengan program freeware Bluestack.

Mobogenie Windows kebanyakan mendapatkan keuntungan finansial menggunakan OpenCandy, Quick Downloader dan Conduit yang dibundelkan dengan freeware populer. Mobogenie for PC dapat digunakan untuk transfer gambar antar PC dengan smartphone. Dalam banyak kasus pengguna komputer yang terinstal Mobogenie tidak merasa menginstal program ini dan tahu-tahu sudah ada di komputernya. Mobogenie tidak masuk kategori virus tetapi ia memiliki banyak aktivitas tidak menyenangkan / malicious seperti rootkit yang menanamkan dirinya sangat dalam ke dalam sistem operasi sehingga sangat sulit diuninstal, browser hijacking dan mengintervensi pengalaman pengguna demi kepentingannya. Jadi lebih tepat dikategorikan sebagai PUP Potentially Unwanted Program.

Jika anda menggunakan Baidu PC Faster dan tidak merasa terganggu dengan perubahan pada search engine yang dilakukan, harusnya tidak perlu terlalu khawatir asalkan sistem anda dilindungi dengan antivirus yang baik. Namun jika anda ingin menghilangkan Baidu PC Faster dari sistem anda, coba ikuti langkah-langkah di bawah ini.



Menghapus Baidu PC Faster dan Mobogenie dari komputer

  1. Klik [Start] pilih [Control Panel]
  2. Pilih [Programs and Features] Windows 7 atau [Add or Remove Programs] Windows XP.
  3. Pilih Baidu PC Faster dan double klik untuk menghapus atau meremove Baidu PC Faster (lihat gambar 9)
  4. Restart Komputer

Gambar 9, Tampilan Baidu PC Faster dan Mobogenie di Program and Features


Cara mengembalikan settingan Browser

Untuk mengubah tampilan browser anda kembali seperti semula, anda perlu mengakses setting pada peramban anda. Dalam contoh ini Vaksincom menggunakan Google Chrome.
  • Pilih Setting Extensions dengan cara ketik: chrome://extensions pada kolom alamat browser Google Chrome dan cari extension dengan nama Improved Search 1.2 (lihat gambar 10)


Gambar 10, Extension Improved Search yang menggantikan Google Search

  • Hilangkan Improved Search 1.2 dengan mengklik gambar tempat sampah (remove from Chrome) pada baris di sebelah kanan (lihat gambar 11)

Gambar 11, Klik tempat sampah untuk buang Extension yang tidak diinginkan
  • Restart browser.


Untuk mengembalikan default search engine ke Google (asumsinya default search eingine anda adalah Google), lakukan langkah seperti berikut :
  • Pilih settings pada browser Google Chrome dengan cara ketik: chrome://settings di kolom alamat. (lihat gambar 12)
  • Pada Sub bagian Search klik drop down box dan pilih Google.
  • Klik done
  • Finish
Gambar 12, Setting search pada Browser
  • Default search engine anda akan kembali menjadi Google. (lihat gambar 13)
Gambar 13, Default search engine akan kembali menjadi Google



Sumber : http://vaksin.com/.