Perusahaan keamanan Eset menyebut ini merupakan salah satu varian trojan yang mendownload malware lain dari internet. Seperti diketahui bahwa trojan menyebar luas melalui link di situs-situs jejaring sosial dan beraksi dengan mengintervensi beberapa aplikasi keamanan untuk mematikan fungsi deteksi aplikasi keamanan tersebut.
Win32/Delf.QCZ dikatakan memakai aplikasi lama 'codec palsu/media player' dan link ke situs malware-laden yang menyebar lewat Facebook chat. Tetapi para pembuat malware telah mengupgradenya hingga mampu melakukan serangan secara lebih personal terhadap user yang menjadi target.
Malware Win32/Delf.QCZ tidak hanya muncul sebagai pesan spam yang seolah dikirim oleh teman Facebook kita, atau mengirimkan pesan-pesan umum pada Facebook wall post seperti contoh "WOW! http://_malicious_link_", dan malware yang mengirimkan Win32/Delf.QCZ juga memalsukan percakapan kita sebelum mengirimkan malicious URL.
Link ke web page yang tampil mirip dengan tampilan YouTube, dan biasanya malware meminta user untuk mengupgrade Adobe Flash Player terlebih dahulu untuk dapat menyaksikan video yang dikirimkan.
Agar lebih meyakinkan dan mendorong rasa ingin tahu dari calon korban, mereka diminta untuk menjalankan malware yang dikirim. Sedangkan nama user yang mengirimkan tentu saja palsu dan diperoleh dari Facebook. Ditampilkan di video yang dikirim dengan diberi judul tambahan yang terkesan sensasional.
Modus
Vektor penyebaran yang digunakan oleh Win32/Delf.QCZ sangat efektif dan menarik, karena memiliki muatan sebesar layaknya video, sehingga bisa menipu. Trojan ini bisa dikategorikan sebagai antivirus palsu, tetapi skenario penyerangannya berbeda dibandingkan dengan tipikal Rogue AV yang sudah ada -- yaitu tidak mempengaruhi user untuk membeli aplikasi keamanan palsu.
Win32/Delf.QCZ justru memalsukan antivirus asli yang sudah diinstall di komputer korban. Hal tersebut bisa dilihat dari munculnya tampilan peringatan serangan virus yang dibuat seakan-akan berasal dari antivirus yang ada di komputer korban, padahal antivirus sudah diremove sebelumnya.
Trojan Win32/Delf.QCZ akan bertindak sebagai downloader untuk malware lain, yaitu backdoor yang dikenal tangguh untuk melakukan eksploitasi terhadap komputer ketika aplikasi antivirus telah dimatikan.
Nah, menurut Eset kepada detikINET, Jumat (19/8/2011), di balik skenario tersebut tentu saja ada motif finansial. Pelaku yang menggunakan Win32/Delf.QCZ dimungkinkan menjadi bagian dari skema komersial dengan model pembayaran pay-per-install atau menjadi alat untuk mempermudah instalasi malware pihak ketiga untuk mendapatkan keuntungan finansial.
Aplikasi keamanan ESET antivirus mendeteksi dan menyingkirkan threat Win32/Delf.QCZ dengan memproteksi wilayah sensitif dari OS Windows, sebelum trojan tersebut berhasil menyebar dan memperluas fungsi HIPS (Host Intrusion Prevention System).
detik.com
