Nyaris Terinfeksi Win32:Induc

Jika Anda pernah mendengar Win32:Induc, maka ini adalah salah jenis virus komputer yang belum lama diketahui keberadaannya. Dimulai sekitar pertengahan Agustus tahun lalu, seorang penguji antivirus independen – Andreas Marx mengirimi semua perusahaan antivirus ternama sebuah berkas yang terinfeksi oleh “Delphi Source Code Infector”.

Dari situlah baru diketahui bahwa selama ini ada sejenis virus komputer yang tidak tampak seperti biasanya, karena hanya mencari “Borland Delphi compiler” pada komputer pengguna. Nah, Anda bisa membaca ini lebih banyak di “Win32:Induc, new concept of file infector?”.

Nah, tapi cerita saya agak berbeda. Beberapa hari yang lalu saya mendaftarkan paket MOBI unlimited menjadi paket 100 dari yang biasa saya gunakan adalah paket 50. Tapi ternyata konfirmasi registrasi tidak diberikan, sehingga nama pengguna dan kata kunci tidak saya terima. Setelah saya menghubungi layanan pelanggan, saya diberikan nama pengguna dan kata kunci yang baru, sayangnya ternyata modem Pantech PX-500 saya rupanya sudah dikunci dengan menggunakan nama pengguna dan kata kunci yang lama, sehingga saya tidak bisa menggunakannya. Inilah alasannya juga mengapa di Linux OpenSuse saya tidak pernah perlu menyetel username & password, sehingga tinggal pakai saja.

Hari ini saya baru bisa mengunjungi Mobile-8 Center untuk melakukan reset username & password dengan menggunakan password bank. Dan baru kemudian akses Internet saya bisa dipulihkan seperti sedia kala. Saya pun mempertimbangkan bahwa daripada mesti melakukan reset password setiap saat, mengapa tidak mengunduh sendiri program password bank ke dalam notebook saya sendiri.

Lalu saya mengunduhnya dari situs resmi Mobi, berkasnya bernama USB_SIP2.zip yang ditandai sebagai driver (saya mengubah pranalanya menjadi hxxp bukan http, sehingga tidak membahayakan).  Namun setelah selesai mengunduh, saya langsung mendapat peringatan bahwa berkas tersebut terinfeksi Win32:Induc.

Dalam benak saya sempat terdiam sejenak, apa iya driver resmi di situs resmi bisa terinfeksi. Tapi karena sifat Win32:Induc memang demikian, maka saya melakukan pengecekan ke Virus Total, hasilnya banyak antivirus yang menyatakan bahwa berkas eksekusi tersebut memang terinfeksi. Namun beberapa vendor antivirus terkemuka seperti Kaspersky, Norman, AVG tidak mendeteksinya terinfeksi. Anda bisa lihat laporannya langsung di sini, atau pada tabel di bawah.

Antivirus Version Last update Result
AhnLab-V3 2010.12.26.01 2010.12.26 Win32/Induc.worm.548864
AntiVir 7.11.0.178 2010.12.26 TR/Agent.548864.E
Antiy-AVL 2.0.3.7 2010.12.27
Avast 4.8.1351.0 2010.12.26 Win32:Induc
Avast5 5.0.677.0 2010.12.26 Win32:Induc
AVG 9.0.0.851 2010.12.27
BitDefender 7.2 2010.12.27 Win32.Induc.A
CAT-QuickHeal 11.00 2010.12.27 (Suspicious) – DNAScan
ClamAV 0.96.4.0 2010.12.27 PUA.Packed.ASPack
Command 5.2.11.5 2010.12.27 W32/MalwareF.MZPO
Comodo 7201 2010.12.27 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.12.27 Trojan.AVKill.2595
Emsisoft 5.1.0.1 2010.12.27 Virus.Win32.Induc!IK
eSafe 7.0.17.0 2010.12.26 Win32.Induc.A
eTrust-Vet 36.1.8060 2010.12.24
F-Prot 4.6.2.117 2010.12.26 W32/MalwareF.MZPO
F-Secure 9.0.16160.0 2010.12.27 Win32.Induc.A
Fortinet 4.2.254.0 2010.12.26
GData 21 2010.12.27 Win32.Induc.A
Ikarus T3.1.1.90.0 2010.12.27 Virus.Win32.Induc
Jiangmin 13.0.900 2010.12.27
K7AntiVirus 9.74.3335 2010.12.24 Riskware
Kaspersky 7.0.0.125 2010.12.27
McAfee 5.400.0.1158 2010.12.27 W32/Induc!fv
McAfee-GW-Edition 2010.1C 2010.12.26 W32/Induc!fv
Microsoft 1.6402 2010.12.27 Virus:Win32/Induc.A
NOD32 5734 2010.12.26 a variant of Win32/Induc.A
Norman 6.06.12 2010.12.24
nProtect 2010-12-27.01 2010.12.27
Panda 10.0.2.7 2010.12.26 Trj/CI.A
PCTools 7.0.3.5 2010.12.27 Spyware.Keylogger!rem
Prevx 3.0 2010.12.27 Medium Risk Malware
Rising 22.79.06.07 2010.12.27 Win32.Indcu.a
Sophos 4.60.0 2010.12.27 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2010.12.27
Symantec 20101.3.0.103 2010.12.27 Spyware.Keylogger
TheHacker 6.7.0.1.105 2010.12.26
TrendMicro 9.120.0.1004 2010.12.27 TROJ_GEN.R47C1JS
TrendMicro-HouseCall 9.120.0.1004 2010.12.27 TROJ_GEN.R47C1JS
VBA32 3.12.14.2 2010.12.24 Virus.Win32.Induc.c
VIPRE 7842 2010.12.27 Trojan.Win32.Generic!BT
ViRobot 2010.12.26.4221 2010.12.27
VirusBuster 13.6.113.0 2010.12.26 Trojan.Agent!FbN4V/s2BJI
Additional information
MD5: b056c386dfc05f01d0d828e388e66258
SHA1: 53d5d3940bd11ce5740132a0a9067b4525ea1b70
SHA256: 8dbbb80b12587a8d710386589648a9a35c25b9653badbc284058b8fbc07db703
File size: 541525 bytes
Scan date: 2010-12-27 08:11:16 (UTC)

Keraguan ini membuat saya menanyakannya langsung ke Divisi Analisis Virus Avast, beberapa jam kemudian, saya mendapatkan balasan dari Milos H., seorang virus analyst dari avast. Dan dia mengonfirmasikan bahwa berkas tersebut memang terinfeksi dan bukan positif palsu.

Sebenarnya saya hendak menghubungi pihak Mobile-8 untuk menginformasikan masalah ini, namun sepertinya surel untuk menghubungi pihak Mobile-8 belakangan tidak bisa saya jangkau (email gagal dikirim). Jika mereka membaca ini, semoga berkenan mengecek ulang driver yang disediakan bagi pengguna layanan Mobi ini.

Iklan

6 pemikiran pada “Nyaris Terinfeksi Win32:Induc

  1. Mas Cahya,

    Kalau situs resminya saja sudah menularkan virus, bagaimana dengan yang lain? Agak aneh juga sih, jika dikatakan false alarm sepertinya tidak mungkin.

    Suka

    1. Pak Aldy,
      Jika berkas tersebut merupakan compiler sebelum arstitektur Induc terbongkar pertengahan tahun lalu, dan tidak dicek lagi. Ya kemungkin saja sudah terinfeksi. Tapi seharusnya kan server memperingatkan jika ada berkas terinfeksi, tapi ya entah juga sih :).

      Suka

        1. Pak Aldy,
          Saya rasa berkas driver tersebut dibuat sebelum <code>Win32:Induc</code> diketahui keberadaannya, sehingga terinfeksi dulu sekali, namun tetap diletakkan untuk diunduh tanpa dicek lagi.

          Suka

  2. iskandaria

    Laptop saya ada compiler Delphi nih (pada Win XP). Tapi belum pernah terinfeksi virus tersebut sih. Lagian saya pakai Avast yang senantiasa diperbarui. Masih aman lah kayaknya 🙂

    Suka

    1. Mas Is,
      Sayangnya koneksi MOBI saya sedang lelet banget, bahkan ndak bisa mengirim surel dari Thunderbird, apalagi mengunduh pembaruan avast, jadi kalau pas pakai Windows sekarang saya mesti hati-hati banget, kalau pun bisa membuka blog ini, itupun mesti pakai Opera turbo.
      Jadinya sistem keamanaan saya sedang ringkih saat ini :(.

      Suka

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google+

You are commenting using your Google+ account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.