Jika Anda pernah mendengar Win32:Induc, maka ini adalah salah jenis virus komputer yang belum lama diketahui keberadaannya. Dimulai sekitar pertengahan Agustus tahun lalu, seorang penguji antivirus independen – Andreas Marx mengirimi semua perusahaan antivirus ternama sebuah berkas yang terinfeksi oleh “Delphi Source Code Infector”.
Dari situlah baru diketahui bahwa selama ini ada sejenis virus komputer yang tidak tampak seperti biasanya, karena hanya mencari “Borland Delphi compiler” pada komputer pengguna. Nah, Anda bisa membaca ini lebih banyak di “Win32:Induc, new concept of file infector?”.
Nah, tapi cerita saya agak berbeda. Beberapa hari yang lalu saya mendaftarkan paket MOBI unlimited menjadi paket 100 dari yang biasa saya gunakan adalah paket 50. Tapi ternyata konfirmasi registrasi tidak diberikan, sehingga nama pengguna dan kata kunci tidak saya terima. Setelah saya menghubungi layanan pelanggan, saya diberikan nama pengguna dan kata kunci yang baru, sayangnya ternyata modem Pantech PX-500 saya rupanya sudah dikunci dengan menggunakan nama pengguna dan kata kunci yang lama, sehingga saya tidak bisa menggunakannya. Inilah alasannya juga mengapa di Linux OpenSuse saya tidak pernah perlu menyetel username & password, sehingga tinggal pakai saja.
Hari ini saya baru bisa mengunjungi Mobile-8 Center untuk melakukan reset username & password dengan menggunakan password bank. Dan baru kemudian akses Internet saya bisa dipulihkan seperti sedia kala. Saya pun mempertimbangkan bahwa daripada mesti melakukan reset password setiap saat, mengapa tidak mengunduh sendiri program password bank ke dalam notebook saya sendiri.
Lalu saya mengunduhnya dari situs resmi Mobi, berkasnya bernama USB_SIP2.zip yang ditandai sebagai driver (saya mengubah pranalanya menjadi hxxp bukan http, sehingga tidak membahayakan). Namun setelah selesai mengunduh, saya langsung mendapat peringatan bahwa berkas tersebut terinfeksi Win32:Induc.
Dalam benak saya sempat terdiam sejenak, apa iya driver resmi di situs resmi bisa terinfeksi. Tapi karena sifat Win32:Induc memang demikian, maka saya melakukan pengecekan ke Virus Total, hasilnya banyak antivirus yang menyatakan bahwa berkas eksekusi tersebut memang terinfeksi. Namun beberapa vendor antivirus terkemuka seperti Kaspersky, Norman, AVG tidak mendeteksinya terinfeksi. Anda bisa lihat laporannya langsung di sini, atau pada tabel di bawah.
| Antivirus | Version | Last update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.12.26.01 | 2010.12.26 | Win32/Induc.worm.548864 |
| AntiVir | 7.11.0.178 | 2010.12.26 | TR/Agent.548864.E |
| Antiy-AVL | 2.0.3.7 | 2010.12.27 | – |
| Avast | 4.8.1351.0 | 2010.12.26 | Win32:Induc |
| Avast5 | 5.0.677.0 | 2010.12.26 | Win32:Induc |
| AVG | 9.0.0.851 | 2010.12.27 | – |
| BitDefender | 7.2 | 2010.12.27 | Win32.Induc.A |
| CAT-QuickHeal | 11.00 | 2010.12.27 | (Suspicious) – DNAScan |
| ClamAV | 0.96.4.0 | 2010.12.27 | PUA.Packed.ASPack |
| Command | 5.2.11.5 | 2010.12.27 | W32/MalwareF.MZPO |
| Comodo | 7201 | 2010.12.27 | UnclassifiedMalware |
| DrWeb | 5.0.2.03300 | 2010.12.27 | Trojan.AVKill.2595 |
| Emsisoft | 5.1.0.1 | 2010.12.27 | Virus.Win32.Induc!IK |
| eSafe | 7.0.17.0 | 2010.12.26 | Win32.Induc.A |
| eTrust-Vet | 36.1.8060 | 2010.12.24 | – |
| F-Prot | 4.6.2.117 | 2010.12.26 | W32/MalwareF.MZPO |
| F-Secure | 9.0.16160.0 | 2010.12.27 | Win32.Induc.A |
| Fortinet | 4.2.254.0 | 2010.12.26 | – |
| GData | 21 | 2010.12.27 | Win32.Induc.A |
| Ikarus | T3.1.1.90.0 | 2010.12.27 | Virus.Win32.Induc |
| Jiangmin | 13.0.900 | 2010.12.27 | – |
| K7AntiVirus | 9.74.3335 | 2010.12.24 | Riskware |
| Kaspersky | 7.0.0.125 | 2010.12.27 | – |
| McAfee | 5.400.0.1158 | 2010.12.27 | W32/Induc!fv |
| McAfee-GW-Edition | 2010.1C | 2010.12.26 | W32/Induc!fv |
| Microsoft | 1.6402 | 2010.12.27 | Virus:Win32/Induc.A |
| NOD32 | 5734 | 2010.12.26 | a variant of Win32/Induc.A |
| Norman | 6.06.12 | 2010.12.24 | – |
| nProtect | 2010-12-27.01 | 2010.12.27 | – |
| Panda | 10.0.2.7 | 2010.12.26 | Trj/CI.A |
| PCTools | 7.0.3.5 | 2010.12.27 | Spyware.Keylogger!rem |
| Prevx | 3.0 | 2010.12.27 | Medium Risk Malware |
| Rising | 22.79.06.07 | 2010.12.27 | Win32.Indcu.a |
| Sophos | 4.60.0 | 2010.12.27 | Mal/Generic-L |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.12.27 | – |
| Symantec | 20101.3.0.103 | 2010.12.27 | Spyware.Keylogger |
| TheHacker | 6.7.0.1.105 | 2010.12.26 | – |
| TrendMicro | 9.120.0.1004 | 2010.12.27 | TROJ_GEN.R47C1JS |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.12.27 | TROJ_GEN.R47C1JS |
| VBA32 | 3.12.14.2 | 2010.12.24 | Virus.Win32.Induc.c |
| VIPRE | 7842 | 2010.12.27 | Trojan.Win32.Generic!BT |
| ViRobot | 2010.12.26.4221 | 2010.12.27 | – |
| VirusBuster | 13.6.113.0 | 2010.12.26 | Trojan.Agent!FbN4V/s2BJI |
| Additional information |
|---|
| MD5: b056c386dfc05f01d0d828e388e66258 |
| SHA1: 53d5d3940bd11ce5740132a0a9067b4525ea1b70 |
| SHA256: 8dbbb80b12587a8d710386589648a9a35c25b9653badbc284058b8fbc07db703 |
| File size: 541525 bytes |
| Scan date: 2010-12-27 08:11:16 (UTC) |
Keraguan ini membuat saya menanyakannya langsung ke Divisi Analisis Virus Avast, beberapa jam kemudian, saya mendapatkan balasan dari Milos H., seorang virus analyst dari avast. Dan dia mengonfirmasikan bahwa berkas tersebut memang terinfeksi dan bukan positif palsu.
Sebenarnya saya hendak menghubungi pihak Mobile-8 untuk menginformasikan masalah ini, namun sepertinya surel untuk menghubungi pihak Mobile-8 belakangan tidak bisa saya jangkau (email gagal dikirim). Jika mereka membaca ini, semoga berkenan mengecek ulang driver yang disediakan bagi pengguna layanan Mobi ini.
Laptop saya ada compiler Delphi nih (pada Win XP). Tapi belum pernah terinfeksi virus tersebut sih. Lagian saya pakai Avast yang senantiasa diperbarui. Masih aman lah kayaknya 🙂
SukaSuka
Mas Is,
Sayangnya koneksi MOBI saya sedang lelet banget, bahkan ndak bisa mengirim surel dari Thunderbird, apalagi mengunduh pembaruan avast, jadi kalau pas pakai Windows sekarang saya mesti hati-hati banget, kalau pun bisa membuka blog ini, itupun mesti pakai Opera turbo.
Jadinya sistem keamanaan saya sedang ringkih saat ini :(.
SukaSuka
Mas Cahya,
Kalau situs resminya saja sudah menularkan virus, bagaimana dengan yang lain? Agak aneh juga sih, jika dikatakan false alarm sepertinya tidak mungkin.
SukaSuka
Pak Aldy,
Jika berkas tersebut merupakan compiler sebelum arstitektur Induc terbongkar pertengahan tahun lalu, dan tidak dicek lagi. Ya kemungkin saja sudah terinfeksi. Tapi seharusnya kan server memperingatkan jika ada berkas terinfeksi, tapi ya entah juga sih :).
SukaSuka
Kan kasus Induc sudah cukup lama, atau pola penyebaran virus itu berubah lagi?
SukaSuka
Pak Aldy,
Saya rasa berkas driver tersebut dibuat sebelum <code>Win32:Induc</code> diketahui keberadaannya, sehingga terinfeksi dulu sekali, namun tetap diletakkan untuk diunduh tanpa dicek lagi.
SukaSuka