Skip to main content

Mengenali dan Mengatasi Virus Conficker

Mengenal dan Mengatasi Virus Confiker -www.bringinfo.co.cc

Mengenal dan Mengatasi Virus Confiker: APAKAH komputer Anda terinfeksi virus Conficker? Tidak heran, tingkat penyebaran virus ini memang sungguh luar biasa, saat artikel ini dibuat saja, beberapa sumber menyebutkan bahwa 9 juta PC di seluruh dunia telah terinfeksi oleh virus ini dan jumlah ini terus bertambah. Tak ayal sang empunya virus pun kini dicari oleh FBI.

Dynamic Link Library

Tidak seperti virus kebanyakan yang berformat Portable Executable (EXE), virus ini berformat DLL atau Dynamic Link Library, dengan nama file serta extension yang berubah–ubah.

Sifatnya yang polymorphic membuatnya agar sulit ditebak, dan lagi ukurannya pun beragam, dengan kondisi ter-pack menggunakan UPX maupun tidak.

Berbagai teknologi canggih memang diusung virus ini mulai dari teknik enkripsi, mengeksploitasi celah operating system, proteksi file dan registry, API hooking, hingga teknik automatic update-nya yang mengagumkan.

Code Injection

Karena bentuknya yang berupa file DLL, untuk dapat aktif kali pertama, ia membutuhkan bantuan dari rundll32.exe.

Saat file virus di-load ke memory, virus ini akan memeriksa apakah ia dijalankan oleh rundll32. exe,
dan mencari tau dimana service netsvcs berada, normalnya service netsvcs akan dijalankan oleh process svchost.exe pada Windows XP atau Vista.

Karena process svchost.exe pada sistem tidak hanya satu, tentunya ia harus mencari tau alamat asli dari svchost.exe yang bertugas menjalankan service netsvcs. Setelah ditemukan, sebuah alamat di memory akan dialokasikan, untuk kemudian meng-inject-kan code-nya di sana.

Perintah LoadLibrary lalu akan dipanggil, yang gunanya untuk me-load kode jahat virus ini ke memory. Selanjutnya, perintah CreateRemoteThread akan dipanggil, sehingga service netsvcs akan menciptakan beberapa thread khusus yang menjalankan kode jahat virus ini.

Virus Protection

Pada komputer terinfeksi, sebelumnya ia akan memilih direktori tempatnya tinggal, apakah di System32, \Program Files\Internet Explorer, Program Files\Movie Maker, atau \Documents and Settings\Application Data. File induk yang ia taruh diberi attribut hidden dan system agar tidak terlihat, dengan sebelumnya mengeset folder options untuk tidak menampilkan file hidden dan system.

Virus ini pun cukup pintar dengan melakukan proteksi terhadap file maupun registry miliknya. Conficker menerapkan security attribute pada file maupun registry miliknya. Dengan ACL (Access Control List), virus tersebut mengeset hanya LOCAL SYSTEM yang berhak mengakses file ataupun registry miliknya, user setara Administrator pun tidak dapat berkutik. Dengan me-lock pada file atau registry ini diharapkan dapat mempersulit program antivirus.

Sekarang, untuk dapat aktif otomatis, Conficker akan membuat key baru di registry HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\, dengan nama acak. Pada Windows Vista, saat diujicoba ia akan membuatnya pada HKLM atau HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Security Update MS08-067

Tak heran, perusahaan raksasa sekelas Microsoft juga ikut merasa gerah atas aksinya. Bagaimana tidak, virus ini dapat menyebar dengan cepat dengan memanfaatkan kelemahan dari operating system Windows. Virus ini memiliki kemampuan untuk mengexploitasi celah pada RPC (Remote Procedure Call) Server Service yang memungkinkan virus maupun attacker melakukan remote code execution, seperti yang diumumkan oleh microsoft pada Microsoft Security Bulletin MS08-067.

Begitu berbahayanya celah ini hingga Microsoft pun memberikan level critical untuk bug yang satu ini. Seperti yang juga dilansir dari situsnya, Microsoft pun mengadakan sayembara, bagi siapa saja yang menemukan pembuat virus ini akan diberi imbalan US $250.000 atau sektiar Rp3 Miliar jika dikurskan dengan rupiah saat ini. Tertarik?

Mengenal dan Mengatasi Virus Confiker -www.bringinfo.co.cc

Secara default, Windows memang membuka port 445/TCP. Inilah yang merupakan jalan masuk Conficker. File yang masuk ke komputer korban biasanya ber-extension BMP, GIF, PNG, atau JPG, yang dapat ditemukan pada direktori temporary.

Hebatnya, sistem yang telah diinfeksinya ini lalu di-patch secara langsung di memory dengan melakukan patch pada fungsi NetpwPathCanonicalize di netapi32.dll. Jadi, virus ini pun akan berlaku sebagai patch. Dimaksudkannya agar tidak ada virus lain yang memanfaatkan celah yang sama untuk masuk ke komputer korban.

Sharing Folder

Saat komputer terinfeksi terhubung ke jaringan, virus ini akan memeriksa apakah ada sharing ADMIN$ yang masih terbuka, kalau ketemu ia akan mencari tau siapa user pemilik sharing tersebut, dan akan mencoba masuk komputer user itu dengan cara mem-bruteforce password user yang bersangkutan.

Saat membedah virus ini, memang di dalam tubuhnya ditemukan kumpulan string password yang biasa digunakan. Saat berhasil masuk, virus ini akan mengkopikan dirinya pada %SHARE%\ ADMIN$\System32\%RandomDLL%. Dan agar file tersebut di eksekusi, virus ini akan membuat sebuah job baru pada schedule task komputer korban secara remote.

Job tersebut berisikan perintah “Rundll32.exe %RandomDLL%, %parameter%”. Parameter ini diisikan dengan nama fungsi di file DLL tersebut, dan secara otomatis saat file DLL di load, sistem akan memanggil procedure DllMain yang merupakan entrypoint dari sebuah file DLL.

Removable Disk

Pengguna setia flashdisk juga harus sangat berhati-hati. Sebab Conficker juga memanfaatkan kelemahan fitur Autorun untuk dapat menyebar. Trik yang ia gunakan pada autorun.inf yang ia tanamkan pada perangkat removable disk juga sangat unik. Juga setiap perangkat removable disk yang terinfeksi virus ini akan memiliki icon folder.

User dapat terkecoh dengan teknik social engineering-nya, contoh pada Windows Vista, saat dialog box autorun ini muncul, pesannya sama dengan milik Windows, “Open folder to view files”. Begitu diklik, autorun. inf akan menjalankan perintah “Rundll32.exe %random%.dll, %parameter%”.

Ini merupakan perintah yang mirip dengan yang ia lakukan saat membuat job pada schedule task. Pada perangkat removable disk, file virus dapat Anda temukan pada direktori \RECYCLER\S-%x-%x-%x-%x%x%x-%x%x%x-%x%x%x- %x\%nama file_acak%.vmx, di mana x merupakan angka, disertai nama file yang acak, serta dengan extension VMX.

Anti Virtual Machine

Untuk mempersulit dalam menganalisis, virus ini enggan aktif jika ia mengetahui bahwa dirinya berada di lingkungan virtual. Beberapa program virtual machine seperti VMWare maupun Virtual PC dapat dideteksi dengan baik oleh virus ini.

Saat menge tahui dirinya dijalankan pada komputer virtual, instruksi Sleep dengan parameter -1 akan dijalankan. Ini mengakibatkan virus tersebut akan tidur dengan waktu lama atau selamanya.

“Address not found”

Untuk menjaga kelangsungan hidupnya, virus ini dapat menghapus system restore point. Dimaksudkannya agar user tidak dapat menghapus virus dengan mengembalikan ke restore point sebelum terinfeksi. Beberapa services pun dimatikan seperti Automatic Update, Security Center, dan lain sebagainya.

Untuk mengetahui dengan mudah apakah komputer Anda terinfeksi, coba buka situs yang berhubungan dengan antivirus. Pesan “Address not found” atau semacamnya akan muncul dan tentunya Anda tidak dapat mengakses situs tersebut jika komputer Anda telah terinfeksi. Cara yang dilakukan adalah dengan melakukan hooking pada beberapa API yang menangani masalah DNS.

Basmi Conficker!

Untuk membersihkan secara tuntas, teman-teman bisa menggunakan PCMAV atau PCMAV Express for Conficker yang dibuat secara khusus untuk dapat membasmi dan mengenali Conficker. Pastikan computer tidak terhubung ke jaringan maupun Internet selama proses scan. Setelah proses scan and clean selesai, segera restart komputer Anda dan lakukan scan ulang (jika perlu).

Lalu update/ patch komputer Anda untuk menghindari infeksi ulang. Pastikan seluruh komputer di jaringan juga telah terbebas dari Conficker sebelum Anda kembali terhubung ke jaringan. Dan terakhir, gunakan password yang sulit ditebak. Jika langkah-langkah tersebut tidak dijalankan, besar kemungkinan Conficker dapat menyerang kembali, sebagus apapun antivirus Anda.

Popular posts from this blog

REVIEW MOTHERBOARD JETWAY TI61M5

Motherboard untuk entertainment PC Dilengkapi dengan dua tembok perlindungan anti petir, Jetway TI61M8 hadir untuk kalangan perkantoran dan usaha kecil. Feature pengaman tersebut mengamankan network port dan chip LAN dari arus listrik berlebih. Sistem perlindungan tersebut bekerja dengan cara mengalihkan arus listrik berlebih ke ground wire. Dengan teknologi ini, Jetway TI61M8 mampu bertahan dari serangan petir hingga kekuatan 9000 volt. Jetway TI61M8 menggunakan chipset H61 yang menggunakan soket LGA 1155. Hal ini membuatnya mendukung penggunaan prosesor Sandy Bridge dan prosesor terbaru dari Intel, yaitu Ivy Bridge. Chipset H61 dikembangkan oleh Intel untuk tujuan multimedia dengan memanfaatkan keunggulan tampilan grafis Sandy Bridge, yaitu Intel HD 3000. Feature yang disematkan pada chipset H61 memang tidak selengkap chipset Z68, namun chipset tersebut sudah mencukupi kebutuhan perkantoran. Jetway TI61M8 mendukung penggunaan memory dengan clock hingga 1600

Komponen TAB ADDITIONAL Delphi (BitBtn)

Komponen TAB ADDITIONAL Delphi (BitBtn): Pada Kesempatan ini kita akan membahas penggunaan beberapa komponen yang terdapat di Tab Additional pada Komponen Palette . Seperti halnya pada Tab Standart yang menyediakan komponen komponen yang siap pakai, pada Tab Additional juga menyediakan komponen yang siap pakai, namun di Tab Additional, komponen-komponen yang ditampilkan lebih Variatif, sehingga lebih membebaskan kita untuk memilih dan menggunakan komponen yang dibutuhkan dalam sebuah program . Seperti gambar diatas yang menampilkan Tab Additional berisi banyak sekali komponen yang dapat digunakan baik yang berupa Visual maupun Non Visual .Untuk lebih memperjelas pengertian tentang penggunaan komponen-komponen yang terdapat pada Tab Additional berikut disajikan contoh program yang menggunakan komponen-komponen tersebut. Contoh Latihan Pada program yang pertama ini anda akan membuat sebuah program yang menampilkan bentuk-bentuk yang dapat dihasilkan oleh komponen BitBtn

Mengetik bahasa arab di Windows XP

Seorang Ikhwan yang agak gaptek terheran-heran saat melihat lawan chattingnya mengirim pesan dalam bahasa arab, rasa penasarannya semakin bertambah ketika melihat artikel-artikel di sebuah website Islam dalam bahasa arab, dan semakin bertambah heran lagi ketika artikel-artikel dalam bahasa arab tersebut bisa dicopy paste ke sebuah program aplikasi. Pada windows versi lama (windows 3.1, windows95, windows 98 dan windows me) agar keyboard bisa berfungsi untuk mengetik huruf arab, maka operating system yang diinstall harus mendukung bahasa arab, operating system windows ini ditandai dengan "Arabic Enable", tentu sangat merepotkan apabila kita ingin mengetik karakter dalam bahasa lain dimana harus menginstall OS yang berbeda, dan masalah ini pernah penulis alami saat masih menggunakan Windows 98 Arabic Enable untuk mengetik bahasa arab. Kedatangan Windows XP telah merubah kesulitan-kesulitan dalam penulisan karakter-karakter selain huruf latin dengan adanya penyandi