Mengenal dan Mengatasi Virus Confiker: APAKAH komputer Anda terinfeksi virus Conficker? Tidak heran, tingkat penyebaran virus ini memang sungguh luar biasa, saat artikel ini dibuat saja, beberapa sumber menyebutkan bahwa 9 juta PC di seluruh dunia telah terinfeksi oleh virus ini dan jumlah ini terus bertambah. Tak ayal sang empunya virus pun kini dicari oleh FBI.
Dynamic Link Library
Tidak seperti virus kebanyakan yang berformat Portable Executable (EXE), virus ini berformat DLL atau Dynamic Link Library, dengan nama file serta extension yang berubah–ubah.
Sifatnya yang polymorphic membuatnya agar sulit ditebak, dan lagi ukurannya pun beragam, dengan kondisi ter-pack menggunakan UPX maupun tidak.
Berbagai teknologi canggih memang diusung virus ini mulai dari teknik enkripsi, mengeksploitasi celah operating system, proteksi file dan registry, API hooking, hingga teknik automatic update-nya yang mengagumkan.
Code Injection
Karena bentuknya yang berupa file DLL, untuk dapat aktif kali pertama, ia membutuhkan bantuan dari rundll32.exe.
Saat file virus di-load ke memory, virus ini akan memeriksa apakah ia dijalankan oleh rundll32. exe,
dan mencari tau dimana service netsvcs berada, normalnya service netsvcs akan dijalankan oleh process svchost.exe pada Windows XP atau Vista.
Karena process svchost.exe pada sistem tidak hanya satu, tentunya ia harus mencari tau alamat asli dari svchost.exe yang bertugas menjalankan service netsvcs. Setelah ditemukan, sebuah alamat di memory akan dialokasikan, untuk kemudian meng-inject-kan code-nya di sana.
Perintah LoadLibrary lalu akan dipanggil, yang gunanya untuk me-load kode jahat virus ini ke memory. Selanjutnya, perintah CreateRemoteThread akan dipanggil, sehingga service netsvcs akan menciptakan beberapa thread khusus yang menjalankan kode jahat virus ini.
Virus Protection
Pada komputer terinfeksi, sebelumnya ia akan memilih direktori tempatnya tinggal, apakah di System32, \Program Files\Internet Explorer, Program Files\Movie Maker, atau \Documents and Settings\Application Data. File induk yang ia taruh diberi attribut hidden dan system agar tidak terlihat, dengan sebelumnya mengeset folder options untuk tidak menampilkan file hidden dan system.
Virus ini pun cukup pintar dengan melakukan proteksi terhadap file maupun registry miliknya. Conficker menerapkan security attribute pada file maupun registry miliknya. Dengan ACL (Access Control List), virus tersebut mengeset hanya LOCAL SYSTEM yang berhak mengakses file ataupun registry miliknya, user setara Administrator pun tidak dapat berkutik. Dengan me-lock pada file atau registry ini diharapkan dapat mempersulit program antivirus.
Sekarang, untuk dapat aktif otomatis, Conficker akan membuat key baru di registry HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\, dengan nama acak. Pada Windows Vista, saat diujicoba ia akan membuatnya pada HKLM atau HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Security Update MS08-067
Tak heran, perusahaan raksasa sekelas Microsoft juga ikut merasa gerah atas aksinya. Bagaimana tidak, virus ini dapat menyebar dengan cepat dengan memanfaatkan kelemahan dari operating system Windows. Virus ini memiliki kemampuan untuk mengexploitasi celah pada RPC (Remote Procedure Call) Server Service yang memungkinkan virus maupun attacker melakukan remote code execution, seperti yang diumumkan oleh microsoft pada Microsoft Security Bulletin MS08-067.
Begitu berbahayanya celah ini hingga Microsoft pun memberikan level critical untuk bug yang satu ini. Seperti yang juga dilansir dari situsnya, Microsoft pun mengadakan sayembara, bagi siapa saja yang menemukan pembuat virus ini akan diberi imbalan US $250.000 atau sektiar Rp3 Miliar jika dikurskan dengan rupiah saat ini. Tertarik?
Secara default, Windows memang membuka port 445/TCP. Inilah yang merupakan jalan masuk Conficker. File yang masuk ke komputer korban biasanya ber-extension BMP, GIF, PNG, atau JPG, yang dapat ditemukan pada direktori temporary.
Hebatnya, sistem yang telah diinfeksinya ini lalu di-patch secara langsung di memory dengan melakukan patch pada fungsi NetpwPathCanonicalize di netapi32.dll. Jadi, virus ini pun akan berlaku sebagai patch. Dimaksudkannya agar tidak ada virus lain yang memanfaatkan celah yang sama untuk masuk ke komputer korban.
Sharing Folder
Saat komputer terinfeksi terhubung ke jaringan, virus ini akan memeriksa apakah ada sharing ADMIN$ yang masih terbuka, kalau ketemu ia akan mencari tau siapa user pemilik sharing tersebut, dan akan mencoba masuk komputer user itu dengan cara mem-bruteforce password user yang bersangkutan.
Saat membedah virus ini, memang di dalam tubuhnya ditemukan kumpulan string password yang biasa digunakan. Saat berhasil masuk, virus ini akan mengkopikan dirinya pada %SHARE%\ ADMIN$\System32\%RandomDLL%. Dan agar file tersebut di eksekusi, virus ini akan membuat sebuah job baru pada schedule task komputer korban secara remote.
Job tersebut berisikan perintah “Rundll32.exe %RandomDLL%, %parameter%”. Parameter ini diisikan dengan nama fungsi di file DLL tersebut, dan secara otomatis saat file DLL di load, sistem akan memanggil procedure DllMain yang merupakan entrypoint dari sebuah file DLL.
Removable Disk
Pengguna setia flashdisk juga harus sangat berhati-hati. Sebab Conficker juga memanfaatkan kelemahan fitur Autorun untuk dapat menyebar. Trik yang ia gunakan pada autorun.inf yang ia tanamkan pada perangkat removable disk juga sangat unik. Juga setiap perangkat removable disk yang terinfeksi virus ini akan memiliki icon folder.
User dapat terkecoh dengan teknik social engineering-nya, contoh pada Windows Vista, saat dialog box autorun ini muncul, pesannya sama dengan milik Windows, “Open folder to view files”. Begitu diklik, autorun. inf akan menjalankan perintah “Rundll32.exe %random%.dll, %parameter%”.
Ini merupakan perintah yang mirip dengan yang ia lakukan saat membuat job pada schedule task. Pada perangkat removable disk, file virus dapat Anda temukan pada direktori \RECYCLER\S-%x-%x-%x-%x%x%x-%x%x%x-%x%x%x- %x\%nama file_acak%.vmx, di mana x merupakan angka, disertai nama file yang acak, serta dengan extension VMX.
Anti Virtual Machine
Untuk mempersulit dalam menganalisis, virus ini enggan aktif jika ia mengetahui bahwa dirinya berada di lingkungan virtual. Beberapa program virtual machine seperti VMWare maupun Virtual PC dapat dideteksi dengan baik oleh virus ini.
Saat menge tahui dirinya dijalankan pada komputer virtual, instruksi Sleep dengan parameter -1 akan dijalankan. Ini mengakibatkan virus tersebut akan tidur dengan waktu lama atau selamanya.
“Address not found”
Untuk menjaga kelangsungan hidupnya, virus ini dapat menghapus system restore point. Dimaksudkannya agar user tidak dapat menghapus virus dengan mengembalikan ke restore point sebelum terinfeksi. Beberapa services pun dimatikan seperti Automatic Update, Security Center, dan lain sebagainya.
Untuk mengetahui dengan mudah apakah komputer Anda terinfeksi, coba buka situs yang berhubungan dengan antivirus. Pesan “Address not found” atau semacamnya akan muncul dan tentunya Anda tidak dapat mengakses situs tersebut jika komputer Anda telah terinfeksi. Cara yang dilakukan adalah dengan melakukan hooking pada beberapa API yang menangani masalah DNS.
Basmi Conficker!
Untuk membersihkan secara tuntas, teman-teman bisa menggunakan PCMAV atau PCMAV Express for Conficker yang dibuat secara khusus untuk dapat membasmi dan mengenali Conficker. Pastikan computer tidak terhubung ke jaringan maupun Internet selama proses scan. Setelah proses scan and clean selesai, segera restart komputer Anda dan lakukan scan ulang (jika perlu).
Lalu update/ patch komputer Anda untuk menghindari infeksi ulang. Pastikan seluruh komputer di jaringan juga telah terbebas dari Conficker sebelum Anda kembali terhubung ke jaringan. Dan terakhir, gunakan password yang sulit ditebak. Jika langkah-langkah tersebut tidak dijalankan, besar kemungkinan Conficker dapat menyerang kembali, sebagus apapun antivirus Anda.