Hati-hati, jangan asal mendownload antivirus gratis di internet. Sebab bisa saja justru itu adalah virus yang tengah menyamar. Kasus terbaru menyebutkan, ada varian yang mendompleng Microsoft Security Essential, anti virus besutan Microsoft.
Menurut analis dari Vaksincom, Adang Jauhar Taufik, varian virus yang kini tengah menjadi buah bibir tersebut bernama W32/Bredolab.GY. Norman Security Suite mengenalinya sebagai W32/FakeAV. Virus ini mempunyai tugas untuk membuka port dan melakukan koneksi ke website yang telah ditentukan kemudian mendownload trojan atau virus lain.
“Virus ini juga akan mendownload dan menginstal sebuah program anti virus palsu dengan nama ‘Security Essentials 2010’ secara otomatis, jika Anda melihat tampilannya juga tidak akan percaya bahwa anti virus tersebut sebenarnya adalah virus yang memalsukan dirinya sebagai anti virus,” paparnya, kepada detikINET, Kamis (12/8/2010).
Tentu saja, jika dilihat dari namanya yang sama dengan antivirus kepunyaan Microsoft, virus ini dapat dengan mudah menipu korbannya. Hanya saja, perbedaannya di antara keduanya dapat dibedakan dari segi tampilan.
Selain itu untuk mendapatkan versi full dari program ‘Security Essentials 2010’ gadungan ini, Anda bakal ditawarkan untuk melakukan pembelian terlebih dahulu. Padahal, ‘Microsoft Security Essentials’ yang asli adalah program gratis yang dikeluarkan langsung oleh Microsoft.
Anti virus palsu yang diinstal oleh W32/Bredolab.GY ini memang cukup menarik perhatian. Apalagi ia akan menampilkan beberapa nama virus ‘berbahaya’ yang berhasil dikenali serta peringatan-peringatan lain yang mengiformasikan adanya upaya dari pihak luar yang mencoba untuk menyusup ke dalam komputer yang berhasil ditangkal oleh Firewall palsu dari antivirus tersebut.
“Untuk menarik perhatian korban, W32/akan menampilkan beberapa peringatan palsu berupa hasil deteksi virus dilengkapi dengan tingkat risiko dari virus tersebut lengkap dengan tombol pembersih (Remove Threats). Jika user memilih tombol tersebut maka W32/FakeAV akan menampilkan sebuah layar konfirmasi yang mengharuskan Anda untuk melakukan aktivasi/register program tersebut terlebih dahulu. Jika user tidak memiliki kode aktivasi, W32/FakeAV akan menyediakan tombol bantu lain untuk mendapatkan kode aktivasi yakni ‘Get License’,” jelas Adang.
Nah, jika user mengklik tombol tersebut maka W32/FakeAV akan menggiring korban untuk mengisi sederetan kolom-kolom yang akan ditampilkan oleh website yang sudah dipersiapkan yang merupakan website jebakan dengan dalih untuk mendapatkan produk ‘full version’. Tentu saja, sebaiknya jangan Anda isi, karena bukan antivirus palsu tersebut yang Anda dapatkan melainkan sejumlah uang akan melayang dengan percuma tanpa bisa membersihkan virus tersebut.
Bahkan untuk lebih meyakinkan lagi, lanjutnya, antivirus palsu ini juga mempunyai fasilitas untuk update virus definisi layaknya antivirus sesungguhnya.
Untuk mengelabui user, W32/Bredolab.GY akan menggunakan rekayasa sosial dengan memanfaatkan icon MS.Word dengan ekstensi EXE. Virus ini akan dikompresi dengan menggunakan UPX dan mempunyai ukuran sekitar 50 KB, sedangkan sebelum dikompres mempunyai ukuran 76 KB.
“Agar tidak mudah dibersihkan oleh user, W32/FakeAV akan melumpuhkan beberapa fungsi Windows seperti Task Manager, Registry Editor atau CMD. Selain itu ia akan blok sederetan proses yang mempunyai nama tertentu dengan menampilkan peringatan ‘palsu’ seolah-olah file tersebut telah terinfeksi virus,” Adang menandaskan.