Hariadi Yutanto

How to delete Trojan.DNSChanger

Trojan.DNSChanger, also identified as DNSChanger or Trojan.DNS_Changer is a malicious program that changes Windows TCP/IP settings (DNS values) to redirect victims to corrupt web sites. Usually Trojan.DNSChanger spread via dubious p2p and freeware applications or via porn websites. The Trojan.DNSChanger is a dangerous hijacker that may initiate critical damage your system!

Download Trojan.DNSChanger Remover (Windows 98, ME, 2000 or XP)

Windows Vista Version - Click Here

Aliases: TROJ_DNSCHAN.XOR, DNSChanger.f, Trojan.Win32.DNSChanger.in, DNSChanger.d,Trojan.Flush.A, Trojan.Win32.DNSChanger.ih, DNSChanger.gen, Puper.gen.d, Trojan.Adclicker, Trojan.Flush.G, Trojan.Flush.K, Trojan.Win32.DNSChanger.hm, Trojan.Win32.DNSChanger.ik, Trojan-Downloader.Win32.Agent.tc Trojan.Win32.DNSChanger.aa

Trojan.DNSChanger signs:

• Missing windows desktop tray and desktop icons
• Loss of data, familiar errors and system crashes (Blue screen of death)
• Drops system boot and re-boot performance and freeze Windows
• Can’t modify your desktop wallpaper
• Unclassified/unknown task manager system processes
• Disable pop-up blocker, annoying popups even offline
• Slow internet connection speed, declined bandwidth
• Browser hijacked by phony websites
• Trojan.DNSChanger sets the registry to resume itself automatically at starup
• Unable to delete strange desktop icons

Trojan.DNSChanger Activities:

• Records surfing activity to create equivalent pop-up ads
• Trojan.DNSChanger infects PC through TCP/IP settings security leaks
• Bypass firewalls and antivirus programs by hide itself as genuine windows software
• Sends keystrokes and username information to hackers
• Tracks system activity and registry settings

Run Trojan.DNSChanger Scanner and find out if your computer is infected. Get rid of all DNSChanger variants for good!

Trojan.DNSChanger Removal (Windows 98, ME, 2000 or XP)

Windows Vista Version - Click Here Sumber : http://www.scanforfree.com

Antivirus Gadungan Menyerbu Indonesia 17 Oktober 2008

Pengantar :

Jika anda menanyakan, virus apa yang merajai dunia dan Indonesia pada paruh tahun ke dua 2008. Jangan terkejut jika jawabannya adalah kuda hitam Antivirus Gadungan yang banyak disebut dengan istilah Rogue Scanner, Advance Antivirus atau Scamware. Jika anda bingung apa yang Vaksincom bicarakan, bahasa yang lebih membumi dan membuat pengguna komputer sadar adalah Antivirus XP 2008, Antivirus XP 2009, IE Defender, Internet Antivirus, SpyHeal, SpySheriff yang kalau diteruskan daftarnya akan cukup membuat pegal baik mengetik maupun membacanya. (lihat contoh Antivirus XP di gambar 1).

Gambar 1, XP Antivirus / Antispyware 2009 yang memalsukan diri sebagai program antivirus.

Jumlah Antivirus Gadungan saat ini yang terdeteksi adalah 304 antivirus gadungan. Data yang dikumpulkan statistik virus Vaksincom didukung data statistik Norman Network Protector (NNP) yang di instal di beberapa ISP mengkonfirmasikan hal ini. Dapat dipastikan ribuan komputer di Indonesia yang terkoneksi ke internet terinfeksi virus ini dan celakanya virus ini memiliki genetik Spyware dan memiliki kemampuan mengupdate dirinya sendiri, sehingga untuk membersihkannya membutuhkan perjuangan berat dan beberapa user yang kesal memilih jurus Pasopati (format :P).

Antivirus Gadungan ini memiliki banyak cara menyebarkan dirinya, menurut pengamatan Vaksincom metode ini selalu diperbaharui setiap kali ditemukan cara efektif mengatasinya. Adapun metode yang umum digunakan adalah sebagai berikut :

• Mengeksploitasi celah keamanan (Java Script) browser waktu mengunjungi website tertentu sehingga akan terinstal secara otomatis dan menampilkan peringatan palsu.

• Menawarkan scan malware gratis atau tune up sistem komputer gratis.

• Email, dalam hal eksploitasi email pembuat virus ini cukup kreatif. Adapun bentuk-bentuk email yang terdeteksi adalah sebagai berikut :

  • Kartu ucapan / greeting card. Email yang datang juga memiliki banyak varian, baik yang datang dalam lampiran bervirus (biasanya di kompres / zip) maupun hanya link download yang memanfaatkan fitur “drive by download”.

  • Breaking News dari CNN atau situs berita yang lain.

  • Menawarkan film porno artis ternama seperti Angelina Jolie yang dikombinasikan dengan baik sekali dengan rekayasa sosial pada situs You Tube. Dimana file yang mengandung virus seakan-akan harus di download sebagai codec (file yang diperlukan untuk menonton file film di You Tube). Lihat artikel http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html

  • Datang dalam lampiran terkompres seperti yang terakhir ditemui Vaksincom datang sebagai email konfirmasi pengiriman barang dari UPS yang meminta kita mencetak invoice .doc yang sebenarnya adalah file virus karena memiliki ekstensi ganda (ups_letter.doc.exe). Supaya lampiran ini tidak diblok di mailserver ia di kompres terlebih dahulu dengan nama “ups_letter.zip”.  (lihat gambar 3)

Masih ingatkah anda pada artikel virus “anjelina jolie” atau yang lebih dikenal dengan “AntivirusXP 2008“, virus yang umum-nya menyerang para pengguna e-mail yang kemudian alih-alih justru mendownload serta meng-install antivirus palsu. Berikut informasi selengkapnya pada, http://vaksin.com/2008/0708/anjelina-jolie/anjelina-jolie.html, dan http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html .

Bagi anda yang masih “trauma” dengan kasus virus tsb, maka kali ini anda harus bersiap-siap dengan kedatangan varian terbaru virus tsb. Jika sebelumnya menggunakan nama “AntivirusXP 2008”, maka kali ini menggunakan nama “XP AntiSpyware 2009”.

Jika anda menerima e-mail dari UPS (United Parcel Service) yang disertai lampiran UPS_letter.zip (lihat gambar 2)

Gambar 2, Antivirus Gadungan mengeksploitasi kelemahan mailserver dengan mengirimkan virus melalui file terkompres.

maka sebaiknya jangan sekali-kali dibuka karena akan menginfeksikan komputer anda dengan Antivirus Gadungan.

E-mail tsb menyertakan attachment file dengan nama “UPS_letter.zip”, yang didalamnya berisi sebuah file virus yang memiliki ekstensi ganda, UPS_letter.doc.exe, dan menggunakan icon word serta berukuran 42 kb. (lihat gambar 3)

Gambar 3, Isi file virus

Jika anda sudah terlanjur membuka attachment tsb, maka file virus yang terdapat pada attachment file tsb secara otomatis akan tereksekusi dan membuat beberapa file virus pada komputer anda. Berikut beberapa file virus yang akan dibuat oleh virus :

- C:\WINDOWS\system32\braviax.exe (10 kb)

- C:\WINDOWS\brastk.exe (10 kb)

- C:\WINDOWS\system32\brastk.exe (10 kb)

- C:\WINDOWS\karna.dat (6 kb)

- C:\WINDOWS\system32\karna.dat (6 kb)

- C:\WINDOWS\system32\delself.bat (1 kb)

- C:\WINDOWS\Tasks\SA.dat (1 kb)

- C:\Program Files\Microsoft Common\wuauclt.exe (42 kb)

- C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\content.ie5\4jkxkjch\kashi[1].exe (43 kb)

- C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\content.ie5\4jkxkjch\kashi[1].exe (43 kb)

Kemudian setelah membuat beberapa file virus dan aktif pada proses windows, virus akan mulai beraksi dengan memberikan sebuah pesan palsu (menyerupai program windows), yang seolah-olah memberitahu anda bahwa di komputer kita terdapat spyware/virus. (lihat gambar 4)

Gambar 4, Pesan palsu yang dibuat oleh virus.

Dengan pesan tsb, virus ini akan “memaksa” anda untuk mengklik link yang dituju. Jika anda sudah mengklik pesan tsb, maka virus akan mendownload secara otomatis file instalasi antispyware palsu, yang secara otomatis pula akan menginstall dirinya (lokasi file download tsb yaitu http://xpas-2009.com/install/Installer.exe). (lihat gambar 5)

Gambar 5, Instalasi AntiSpyware palsu.

Saat anda melanjutkan proses selanjutnya, antispyware palsu ini akan mendownload beberapa file virus berikut file instalasi antispyware tsb. Beberapa file yang didownload oleh virus tsb, yaitu :

- C:\Program Files\Common Files\ : ibureqag.dll, nysexireh.vbs, ybofomas._sy (nama file acak)

- C:\WINDOWS\ : yvohidol.bin, dyfype._dl (nama file acak)

- C:\ WINDOWS\system32\iceze.dl (nama file acak)

- C:\Documents and Settings\all users\Documents\ : isir.sys, tucyf.sys (nama file acak)

- C:\Documents and Settings\%user%\Application Data\ : iwin.dat, jikym.vbs, ojahu.pif, pejax.exe, ypehij.db (nama file acak)

- C:\Documents and Settings\%user%\Cookies\ : ahicixicyd.reg, ihowed.exe, itaw.bin, lebiwige.db, ytar.vbs (nama file acak)

- C:\Documents and Settings\%user%\Local Settings\Application Data\ : awapufu.lib, iqodud.lib, umyh._sy (nama file acak)

- C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\ibykotit.vbs (nama file acak)

Gambar 6, Antivirus Gadungan menjalankan aksinya menakuti-nakuti korbannya dengan memberikan peringatan adanya infeksi virus palsu.

Selanjutnya virus meng-install program antispyware palsu yaitu “XP AntiSpyware 2009”. Program ini tidak jauh berbeda seperti halnya program antispyware lain, seperti terdapat shortcut pada desktop, terinstall pada C:\Program Files, terdapat shortcut pada Start Menu, icon pada taskbar dan terdaftar pada Add Remove Program (lihat gambar 7). Bedanya adalah program ini bukan antispyware, melainkan spyware :P. Untuk meyakinkan korbannya mendownload lebih banyak spyware lagi, ia akan menjalankan aksinya menampilkan pesan “seram” bahwa komptuer tersebut terinfeksi virus-virus dengan resiko tinggi (lihat gambar 6).

Gambar 7, Untuk meyakinkan korbannya bahwa ia adalah program “baik-baik” XP Antispyware 2009 akan mendaftarkan dirinya pada Program Files Windows.

Setelah terinstall dengan mudah, program antispyware palsu akan menjalankan aksi-nya (melakukan scanning palsu dan menampilkan pesan palsu).

Setelah selesai menjalankan aksinya, virus akan memberikan report palsu serta meminta anda untuk melakukan register program antispyware palsu tsb. Jika anda tidak ingin melakukan register, maka program akan menampilkan pesan infeksi virus secara terus menerus, dan virus akan terus menambah atau mendownload file virus. (lihat gambar

Gambar 8, Report program antispyware palsu, meminta anda untuk register.

Jika anda melakukan register, maka anda akan di bawa ke sebuah website yaitu : http://www.xp-antispyware2009.com/buy.html, dimana anda harus membayar sebesar $49.95 hingga $79.95 secara online dengan menggunakan kartu kredit (lihat gambar 9). Hebatnya website ini berfungsi dan memiliki sistem untuk mendebet Kartu Kredit anda. Kalau anda merasa cukup banyak uang dan memiliki kartu kredit untuk membeli antivirus ini. Maka ibarat kata pepatah, “Sudah Jatuh, Tertimpa Tangga, Di gigit anjing Tetangga, anjingnya Rabies lagi“alias sial banget. Mengapa ?

Karena :

1. Anda sudah dibodohi dengan peringatan virus palsu (sudah rugi moril).

2. Anda kehilangan uang (rugi materi)

3. Anda akan mendapatkan produk yang anda kira antivirus, tetapi ternyata virus / spyware juga. Jadi anda membayar untuk mendapatkan spyware.

4. Kartu kredit anda akan di charge besar, tidak sesuai dengan nominal yang tertera pada saat transaksi.

5. Kartu kredit anda akan dijadikan sebagai daftar Fraud. Jadi, jika anda pernah bertransaksi membeli antivirus gadungan ini, Vaksincom menyarankan sebaiknya segera matikan nomor kartu kredit anda dan ganti dengan nomor baru.

Gambar 9, Website yang digunakan untuk menerima pembayaran secara online. Perhatikan Award yang tercantum adalah palsu semua.

Jika dilihat sekilas, ibaratnya mata-mata Korea Utara yang cantik, website tsb mampu menipu user dengan menampilkan beberapa data palsu seperti definisi virus terbaru, penghargaan dari beberapa majalah IT dunia, testimonial dari para pengguna program antispyware palsu serta beberapa keuntungan menggunakan program antispyware palsu tsb, dll.

Selain itu, jika suatu ketika anda gagal browsing ke sebuah website atau website yang anda kunjungi tidak dapat ditemukan, maka virus akan menggantikan halaman yang error (page error), dengan halaman website pengganti (lihat gambar 10)

Gambar 10, Halaman web pengganti page error.

yang sudah dipersiapkan oleh virus ini (yang tentu-nya juga akan menampilkan pesan untuk melakukan register dan diarahkan ke website palsu virus). Pokoknya benar-benar lengkap dan profesional cara kerja Antivirus Gadungan ini.

Registri Windows

Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

braviax = C:\WINDOWS\system32\braviax.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Windows

AppInit_DLLs = karna.dat

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

braviax = C:\WINDOWS\system32\braviax.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

brastk = brastk.exe

Selain itu, virus membuat string berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Executions Options\Explorer.exe

Debugger”=”C:\Program Files\Microsoft Common\wuauclt.exe

Untuk mengubah default web, virus pun membuat string berikut :

• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\

Search Bar = http://www.google.com/ie

Search Page = http://www.google.com

Start Page = http://www.google.com

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

Default_Search_URL = http://www.google.com/ie

Search Page = http://www.google.com

Start Page = http://www.google.com

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search

SearchAssistant = http://www.google.com

Selain itu, virus pun membuat string pada security windows berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

AntiVirusDisableNotify = 1

FirewallDisableNotify = 1

UpdateDisableNotify = 1

Untuk mempermudah penyebaran, virus pun membuat string :

• HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2\{706ab86c-937e-11dd-a04c-000c290bc510}\Shell\AutoRun\Command

(Default) = C:\WINDOWS\system32\RunDLL32.EXEShell32.DLL, ShellExec_RunDLL system.exe

• HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2\{706ab86c-937e-11dd-a04c-000c290bc510}\Shell\Explorer\Command

(Default) = %drive%:\system.exe

• HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2\{706ab86c-937e-11dd-a04c-000c290bc510}\Shell\Open\Command

(Default) = %drive%:\system.exe

Menyebarkan diri melalui Flash Disk

Kelihatannya virus ini juga “belajar” dari pembuat virus Indonesia. Sebagai media penyebaran awal, virus mencoba menggunakan media “Flashdisk” ataupun “Disket”, dengan memanfaatkan system autoplay windows agar dirinya dapat aktif secara otomatis setiap kali user akses ke Flashdisk tersebut (lihat gambar 11). File yang di buat yaitu :

• autorun.inf

• system.exe

Gambar 11. File virus infect disket atau flashdisk

Selain itu, ia pun dapat menyebar melalui e-mail (dengan mengirim pesan palsu dengan lampiran), dan media chatting seperti IRC.

Cara pembersihan virus Rogue Spyware

• Putuskan hubungan komputer yang akan dibersihkan dari jaringan.

• Scan komputer anda dengan menggunakan removal tool dari Norman.

Anda dapat menggunakan removal tool dari Norman untuk membersihkan-nya (dapat anda download melalui link dibawah ini).

http://download.norman.no/public/Norman_Malware_Cleaner.exe (lihat gambar 12)

Gambar 12, Gunakan Norman Malware Cleaner untuk memberishkan virus

• Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″”"

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKCU, Software\Microsoft\Internet Explorer\Main, Search Bar, 0

HKCU, Software\Microsoft\Internet Explorer\Main, Search Page, 0

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page, 0

HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Default_Search_URL, 0

HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Search Page, 0

HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Start Page, 0

HKLM, SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant, 0

HKLM, SOFTWARE\Microsoft\Security Center, AntiVirusDisableNotify, 0

HKLM, SOFTWARE\Microsoft\Security Center, FirewallDisableNotify, 0

HKLM, SOFTWARE\Microsoft\Security Center, UpdateDisableNotify, 0

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, braviax

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, braviax

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, brastk

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2, {706ab86c-937e-11dd-a04c-000c290bc510}

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executions Options, Explorer.exe

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

• Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali seluruh file instalasi virus ini dengan baik seperti Norman Security Suite.

Gambar 12. Norman Security Suite mendeteksi seluruh file instalasi Antivirus Gadungan sehingga mencegah infeksi dan membersihkan komputer yang telah terinfeksi.

Sumber : vaksin.com

ARP Spoofing

Otak intelektual dibalik keganasan virus Microsoft.pif.

Artikel Chip Agustus 2008

Pada era sebelum Windows XP SP2, cara favorit dan efektif bagi virus untuk menyebarkan dirinya adalah dengan mengeksploitasi celah keamanan OS yang populer pada waktu itu, Windows 98, Windows 2000 / NT workstation, Windows Server NT/2000 dan Windows XP. Hal ini terbukti dari virus CodeRed yang sukses mengeksploitasi celah keamanan IIS Server yang notabene digunakan oleh seluruh webserver berbasis Microsoft pada waktu itu. Platform lain yang populer seperti Apache pada Linux juga tidak luput dari serangan virus, katakanlah Slapper yang sukses mengeksploitasi celah keamanan Apache.

Tetapi para pembuat OS tidak tinggal diam dan berusaha menganalisa penyebab celah keamanan ini dapat di eksploitasi oleh virus dan mengapa dapat dimanfaatkan oleh virus. Sebagai informasi, celah keamanan adalah kelemahan dalam sistem sehingga dapat dimanfaatkan oleh pihak yang tidak berhak untuk menjalankan aksinya. Celah keamanan akan selalu ada dan akan selalu ditemukan setiap hari. Celakanya, virus yang mengeksploitasi celah keamanan akan TETAP berhasil menguasai komputer yang di serangnya “sekalipun” komputer tersebut sudah dilindungi dengan antivirus yang sudah dapat mendeteksi virus tersebut. Jadi “satu-satunya” cara untuk menghadapi virus yang mengeksploitasi celah keamanan adalah melakukan patching atau menambal celah keamanan tersebut.

Jika anda menanyakan mengapa celah keamanan itu ada, apakah sengaja diciptakan oleh pembuat software supaya mereka memiliki bisnis (pendekatan telenovela yang selalu mencurigai adanya skenario tersembunyi dalam banyak hal). Penjelasannya kira-kira begini, software adalah ciptaan manusia. Manusia itu tidak ada yang sempurna, jadi ciptaannya tentu tidak sempurna juga. Perkembangan software dan hardware makin hari membuat ukuran aplikasi makin besar (saat ini OS Windows Vista sudah mencapai ukuran GB) dan adalah suatu hal yang sangat sulit (untuk tidak mengatakan mustahil) untuk menciptakan software yang 100 % sempuirna dan tidak memiliki celah keamanan. OS Linux Debian 4.0 juga datang dalam beberapa DVD dan adalah merupakan hal yang mustahil untuk menjamin OS tersebut sempurna dan tidak mungkin ditembus. Jadi pertanyaan yang sebaiknya anda tanyakan dalam sekuriti bukanlah; Apakah suatu OS dapat di eksploitasi atau tidak ? Tetapi yang lebih tepat adalah; Apakah hacker ingin mengeksploitasi OS tersebut atau tidak ? Atau lebih tepatnya; Apakah OS tersebut cukup menarik / menantang untuk di serang ? Banyak fakta yang mendukung kenyataan di atas dan terakhir adalah OS Macintosh yang berhasil di eksploitasi dalam suatu kompetisi hacking dan sewaktu ditanyakan mengapa menyerang OS Macintosh tersebut ?(yang sempat mengangkat issue tidak diserang virus sebagai salah satu keunggulan produkknya ) tersebut ? Jawabannya si pemenang adalah dari 3 OS yang tersedia, Windows Vista Full Pacth, Debian Full Patch dan Macintosh Full Patch, si penyerang menganggap bahwa Macintosh lebih mudah ditaklukkan daripada OS lainnya.

Lalu apakah berdasarkan fakta di atas apakah berarti kita sudah harus menyerah dan mengibarkan bendera putih kepada penyerang. Kembali ke zaman dulu dan menggunakan sempoa lagi ? TIDAK. Security is a process, jadi anda harus selalu mengikuti perkembangan terkini agar tidak menjadi korban eksploitasi celah keamanan yang selalu ditemukan setiap hari. Kami tidak menyarankan anda memelototi website Security Focus www.securityfocus.com setiap hari untuk mencari dan menutupi celah keamanan aplikasi yang anda gunakan, karena vendor aplikasi sudah mengerjakan PR tersebut untuk anda. Tugas anda adalah melakukan setting yang benar. Solusi apa yang diberikan oleh vendor aplikasi yang dapat menekan eksploitasi celah keamanan ?

Jawabannya : Automatic Patching dan Internet.

Kembali ke zaman Codered dan Slapper, penyebab utama suatu server / komputer berhasil “ditaklukkan” virus adalah karena patching belum dilakukan. Kalaupun dilakukan, tenggang waktu antara ditemukannya celah keamanan dan keluarnya patch (tambalan) sangat panjang, mencapai waktu lebih dari 30 hari. Sehingga virus yang mengeksploitasi celah keamanan dan biasanya muncul beberapa hari sesudah diumumkannya satu celah keamanan akan memiliki tenggang waktu sekitar 30 hari untuk wara-wiri tanpa ada yang mampu mencegahnya. Dan berdasarkan pengalaman, waktu yang dibutuhkan oleh virus untuk mencapai penyebaran maksimalnya ke seluruh dunia adalah kurang dari 1 minggu.

Rupanya vendor aplikasi belajar dari hal tersebut dan makin hari tenggang waktu tersebut makin sempit dan puncaknya adalah pada saat SP 2 (Service Pack 2) Windows XP di luncurkan. Sejak saat itu, virus-virus yang berusaha mengeksploitasi celah keamanan menurun drastis dan penyebaran virus sempat menurun drastis. 1 : 1 untuk Vendor lawan Virus.

Hal ini makin baik sewaktu Windows vista di luncurkan. Berbeda dengan Windows sebelumnya, setting default (awal) adalah “Automatic Update”. Jadi setiap kali Windows Vista di instalasikan pada komputer secara otomatis komputer sudah melakukan automatic update untuk patching dirinya sehingga secara teknis hal ini memungkinkan terjadinya Zero Day Vulnerability pada Windows Vista yang di instal. Zero Day Vulnerability dapat tercapai jika patch / tambalan langsung tersedia pada saat ditemukannya celah keamanan DAN di instal pada aplikasi yang mengandung kelemahan tersebut sebelum aplikasi jahat (virus) muncul memanfaatkan celah keamanan tetrsebut. Dengan kata lain tenggang waktu virus untuk mengeksploitasi celah keamanan yang baru ditemukan menjadi sangat kecil (dengan asumsi ada koneksi internet yang memadai sehingga OS Windows Vista tersebut dapat terupdate setiap hari).

Tetapi apakah berarti Saruman sudah dikalahkan dan perang sudah selesai ? Ternyata perkembangan selanjutnya menunjukkan bahwa hal ini masih jauh dari selesai dan pembuat malware berusaha mencari teknik-teknik baru untuk mencapai tujuannya. Tujuan akhir TETAP menguasai di komputer, tetapi kalau dulu caranya adalah dengan mengeksploitasi celah keamanan di Operating System komputer, sekarang karena patching sudah berjalan dengan baik maka peluang tersebut semakin kecil. Sekarang yang menjadi target utama eksploitasi adalah aplikasi-aplikasi non Operating System yang populer seperti Adobe, Firefox, Internet Explorer dan Winamp. Prinsipnya adalah aplikasi-aplikasi yang populer, karena pembuat malware ingin mendapatkan dampak maksimal dari usahanya. Celakanya, rupanya yang memiliki celah keamanan bukan hanya software saja, tetapi hardware dan sistem IP. Karena pada prinsipnya tidak ada hardware yang berjalan tanpa software pendukung, jadi dengan menguasai software yang menjalankan hardware tertentu dapat menguasai hardware tersebut untuk kemudian digunakan menguasai komputer. Tujuan akhirnya tetap ingin menguasai sistem komputer, hanya caranya saja yang berbeda.

Hal ini bukan isapan jempol, kalau tidak percaya silahkan lihat virus terbaru yang memanfaatkan celah keamanan ARP (Address Resolution Protocol) atau dikenal dengan nama APR (ARP Poison Routing) yang saat ini sukses menyebar di seluruh dunia dan celakanya, tidak ada obat efektif yang dapat menjamin jaringan komputer tidak di eksploitasi oleh virus ini kecuali mengganti hardware jaringan anda dengan switch yang memiliki fitur “DHCP Snooping” atau secara manual mengeset IP Address dan Mac Address Gateway internet jaringan di setiap PC dengan perintah “arp -s” dari Dos Prompt.

Gejala jaringan terinfeksi virus

Jika koneksi internet di kantor anda tahu-tahu mengalami kelambatan yang signifikan padahal koneksi internet dari ISP tidak ada masalah di tambah komputer dalam jaringan “berulang-ulang” mendapatkan insiden virus atau ketika menjalankan Yahoo Messenger anda mendapatkan pesan “An error has occured in the script on this page”. Para pengguna Norman Virus Control setiap kali menjalankan Yahoo Messenger / MSN Messenger atau menjalankan browser, maka Norman akan mendeteksi (berulang-ulang) virus dengan nama W32/Agent.FUVR. Atau di sistem Windows anda ada file dengan nama Microsoft.vbs, Microsoft.bat atau Microsoft.pif maka kemungkinan besar komputer / jaringan anda ada yang terinfeksi virus W32/Agent.FUVR.

Aksi virus ini pada beberapa OS adalah sebagai berikut :

l Windows XP tanpa antivirus / antivirus tidak terupdate.

Tidak ada gejala apa-apa dan dapat langsung terinfeksi, sekaligus akan menjadi host virus di dalam jaringan.

l Windows XP dengan antivirus terupdate dan mampu mendeteksi virus ini.

“Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet Explorer, Firefox, Safari, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan bahwa ada virus terdeteksi di sistem Windows.

l Windows Vista.

“Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet Explorer, Firefox, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan download error script dari site :

l http://root.51113.com/root.gif

l http://hk.www404.cn:53/ads.js

l http://err.www404.cn:443/014.html

Catatan : Website di atas hanya beberapa yang teridentifikasi oleh Vaksincom dan terus bertambah.

Antivirus saja tidak cukup !!

Sebenarnya hampir semua antivirus sudah dapat mendeteksi virus ini. Ada yang mendeteksi sebagai W32/Agent.FUVR (Norman), Trojan Downloader, Trojan-Downloader.JS.Agent.byh (Kaspersky), HEUR/Exploit.HTML (Avira), Mal/ObfJS-X (Sophos), JS_PSYME.CPZ (Trend Micro). Berarti virus ini tidak dapat menginfeksi komputer yang terlindung antivirus yang terupdate. Tetapi masalahnya adalah dalam kenyataannya di lapangan “sangat sulit” melindungi seluruh komputer di jaringan terlindung dengan antivirus yang terupdate, apalagi jika ada komputer dari luat / notebook dari luar jaringan yang dihubungkan ke jaringan intranet, cukup satu saja komputer yang terinfeksi maka dalam waktu singkat ia akan memalsukan diri sebagai router / geteway dan menyebarkan dirinya ke seluruh komputer lain dalam intranet yang mengakses internet.

Selain itu, virus ini memiliki kemampuan mengupdate dirinya secara otomatis (seperti antivirus) sehingga deteksi antivirus akan menjadi percuma jika pembuatnya meluncurkan varian baru dan dijamin langsung akan menaklukkan semua antivirus sampai vendor antivirus mendapatkan samplenya dan mendeteksi virus tersebut dengan update terbaru.

Masalah kedua dalam patching adalah selama celah kemanan tidak ditutup, maka sekalipun ada antivirus yang melindungi komputer, virus ini tetap akan mampu wara-wiri di dalam jaringan sampai celah keamanan di tutup. Yang menjadi pertanyaan adalah bagaimana menutup celah keamanan yang disebabkan oleh sistem IP yang mengandung kelemahan ARP Spoofing ini ? Salah satu caranya adalah mengganti switch dengan yang mendukung DHCP Snooping. Sebenarnya ada cara lain yang cukup hemat biaya yaitu dengan menggunakan perintah “arp -s” dari DOS Prompt guna mengunci IP dan Mac Address gateway di tiap PC, tetapi kalau PCnya ribuan dan tersebar di banyak lokasi rasanya solusi ini dapat dikatakan patching membawa sengsara bagi administrator. Belum lagi kalau terjadi perubahan hardware pada gateway.

Masalahnya bukannya apakah antivirus sudah dapat mendeteksi virus ini atau belum, tetapi selama celah keamanan yang di eksploitasi oleh virus ini tidak di tutup dan setiap kali virus ini mengeluarkan varian baru yang “sudah hampir pasti” sulit terdeteksi oleh antivirus yang terupdate sekalipun akan kembali menginfeksi dan melumpuhkan jaringan komputer, sekalipun yang sudah terproteksi oleh antivirus yang terupdate sekalipun. Satu-satunya cara yang tuntas adalah menghilangkan peluang eksploitasi celah kemanan ini. Baik dengan menggunakan hardware yang mendukung DHCP Snooping atau secara manual mengeset IP dan Mac Address Router di setiap PC yang terkoneksi ke internet melalui gateway.

Bagaimana mengatasinya sistem terinfeksi ?

Jika anda terinfeksi oleh virus ini dan pusing karena setiap kali dibersihkan kok virusnya kembali lagi. Tenang saja, bukan anda saja yang pusing. Para administrator lain juga pusing, jadi setidaknya anda tidak sendirian :).

Langkah pertama adalah menemukan komputer yang terinfeksi virus dan memalsukan diri sebagai gateway. Bagaimana caranya ?

Anda dapat menggunakan tools gratisan Colasoft Mac Scanner http://www.colasoft.com/mac_scanner/mac_scanner.php dan jalankan di komputer yang terhubung ke jaringan intranet anda. Lalu lihat IP yang memiliki Mac Address yang sama dengan Gateway / proxy (lihat gambar 1)

Gambar 1, Colasoft Mac Scanner mendeteksi IP komputer dan Mac Address

Dalam gambar di atas, Gateway adalah IP 192.168.1.1 dengan MAC Address 00:01:6C:CD:D5:24. Terlihat bahwa IP 192.168.1.106 memiliki MAC Address yang sama dengan Gateway. Jadi langkah pertama yang harus anda lakukan adalah memutuskan hubungan 192.168.1.106 dari jaringan dan membersihkan dari virus ini.

Langkah pamungkas

Sebagai langkah pamungkas, anda dapat mencegah komputer-komputer di jaringan untuk dibodohi oleh ARP Spoofing ini. Gunakan perintah “arp -s [IP Gateway / Proxy] [MAC Address Gateway / Proxy]” untuk menetapkan static IP dan MAC Address di setiap komputer.

Jika anda memiliki banyak komputer dalam jaringan, kami sarankan untuk mempertimbangkan menggunakan switch yang mensupport DHCP Snoop. Jangan langsung beli dulu, cek dulu apakah switch yang anda miliki memiliki fitur ini. Kalau ada, langsung aktifkan dan set paremeter dengan baik guna terhindar dari ARP Spoofing.

Sumber : vaksin.com

RPC Dcom part III, Conficker mengganas di Indonesia       17 Desember 2008

Generic Host Process (GHP) error

Dunia virus sebenarnya mirip dengan Indonesia Idol, dimana banyak orang yang ingin menjadi Idol, tetapi pada akhirnya hanya segelintir yang mampu mencapai puncak ketenaran. Demikian pula dengan virus, setiap hari ribuan virus baru di sebarkan diseluruh dunia, tetapi hanya beberapa yang mampu menyebarkan dirinya dengan sukses dan menginfeksi ribuan sampai jutaan komputer di seluruh dunia. Ada apa dibalik kesuksesan penyebaran virus ? Pertanyaan yang sama dapat ditanyakan pada Delon atau Mike, apa sih yang ada dibalik keberhasilan mereka ? Apakah karena paling tinggi oktaf suaranya, paling tampan / cantik atau ada faktor lainnya ? Soal suara, memang harus ada standar minimal kemampuan vokal untuk masuk Idol, tetapi seperti kata Simon Cowell tidak menjadi jaminan bahwa pemenang Idol adalah peserta dengan suara paling indah. Karena pemenang Idol bukan kontes vokal melainkan kontes popularitas. Jadi yang menang adalah yang paling populer . Disini faktor luck / keberuntungan juga berperan dan ini di luar kontrol peserta. Kembali lagi ke virus, hal yang mirip2 juga terjadi. Virus yang berhasil menyebar dengan sukses bukan virus paling ganas atau paling rumit, melainkan virus yang paling populer. Dalam konteks penyebaran virus, virus akan menjadi populer jika ia mampu “membuat” dirinya diaktifkan di sebanyak mungkin komputer. Caranya adalah dengan mengeksploitasi celah keamanan, memanfaatkan kelemahan sistem yang ada dan terakhir yang menjadi keahlian pembuat virus lokal, rekayasa sosial.

Hal yang sama juga kita temui pada dua virus mancanegara yang sama-sama jagoan. Mengeksploitasi celah keamanan yang sama, codingnya sama-sama rumit dan dibuat dengan tingkat ketrampilan pemrograman tinggi, bahkan yang pertama diluncurkan lebih dahulu. Tetapi nyatanya virus pertama saat ini kalah populer dengan virus kedua, hanya karena ia tidak memanfaatkan penyebaran melalui jaringan lokal juga dan mengandalkan internet saja untuk menyebarkan dirinya. Kedua virus yang sedang wara wiri di internet saat ini adalah Gimmiv yang saat ini penyebarannya menurun dan dikalahkan oleh virus pendatang baru Conficker atau juga dikenal dengan nama Downadup. Kedua virus ini mengeksploitasi celah keamanan RPC Dcom.

Pada awalnya, patch RPC Dcom yang pertama di release pada bulan Agustus 2003 khusus untuk menghadapi serangan virus Lovsan atau lebih terkenal dengan nama Blaster. Patch RPC Dcom dengan kode MS03-039 awal tersedia di http://support.microsoft.com/kb/824146 dan secara efektif berhasil menghalau dan menghentikan virus Blaster. Dan ini rupanya bukan akhir cerita eksploitasi RPC Dcom karena pada April 2004 Microsoft kembali mengeluarkan patch MS04-012 http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx karena ada beberapa spyware yang diketahui mengeksploitasi celah keamanan ini seperti W32/Rbot.AWJ. Hebatnya lagi, Rbot.AWJ rupanya tidak hanya mengeksploitasi celah keamanan MS04-012 tetapi segambreng celah keamanan lain seperti MS04-011 (LSASS), MS03-007 (WebDav), MS04-011, CAN-2003-0719 (IIS5SSL), MS01-059 (UPNP), CAN-2003-1030 (Dameware Mini Remote Control), MS04-007 (ASN.1), MS05-039 (PNP). Setelah dua kali dieksploitasi, tahun 2008 ini celah keamanan RPC Dcom kembali di “oprek” dan dieksploitasi dengan cara lain sehingga Microsoft buru-buru mengeluarkan tambalan / patch MS08-067 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.

Seberapa parah celah keamanan RPC Dcom part III ini ?

Jika anda pemain game komputer, berbeda dengan film-film Hollywood yang umumnya sekuelnya kalah sukses dengan film pertamanya. Game komputer dengan seri makin tinggi pada umumnya makin canggih dan makin menarik perhatian gamer dan selalu berhasil mengalahkan game pertamanya. Contohnya adalah game Warcraft III yang jelas lebih bagus dari Warcraft I, atau Civilization IV yang tentu lebih menyenangkan dimainkan ketimbang Civilization I dst. Celakanya, celah keamanan RPC Dcom ini juga mengikuti jejak game komputer. Tidak seperti celah keamanan RPC Dcom awal, celah keamanan RPC Dcom part III ini bukan saja mampu mengeksploitasi celah keamanan di Windows XP Service Pack 3 dan Windows Server 2003 Service Pack 2, tetapi Windows Vista dan Windows Server 2008 juga rentan terhadap ancamana celah keamanan ini. Bahkan gilanya Windows 7 Pre Beta juga rentan terhadap eksploitasi celah keamanan RPC Dcom III ini.

Untuk detailnya silahkan lihat daftar OS-OS yang rentan terhadap serangan virus Conficker yang mengeksploitasi celah keamanan RPC Dcom III :

Operating System	Service Pack	Severity Rating
Windows 2000	SP 4	Critical
Windows XP - 32 bit	SP 3	Critical
Windows XP - 64 bit	SP 2	Critical
Windows Server 2003	SP 3	Critical
Windows Server 2003 - 64 bit	SP 2	Critical
Windows Vista	SP 1	Important
Windows Vista – 64 bit	SP 1	Important
Windows Server 2008 – 32 bit		Important
Windows Server 2008 – 32 bit		Important

Keterangan :

· Severity Rating Critical artinya virus mampu menyebarkan dirinya secara otomatis tanpa dapat di cegah oleh pengguna komputer.

· Severity Rating Important artinya ada persetujuan yang perlu diberikan user dengan mengklik sesuatu. Dalam Vista bentuknya adalah Pop up User Account Control.

Jika kita perhatikan, Windows Vista dan Windows Server 2008 relatif lebih aman terhadap eksploitasi celah keamanan RPC Dcom 3 ini dibandingkan Windows XP, Windows Server 2003 dan Windows 2000. Tetapi hal ini bukan menunjukkan bahwa Vista dan Server 2008 tidak dapat di eksploitasi. Yang membedakan “hanya” satu pop up yang pada Windows Vista dinamakan User Account Control (UAC). Seperti kita ketahui, mayoritas pengguna Windows yang awam akan cenderung mengklik tombol [Continue] [Ok] [Yes] [I Agree] dibandingkan [Cancel] [No] tanpa berpikir panjang. Apalagi jika Pop up UAC ini muncul terus menerus jika di klik [Cancel] dan mengganggu aktivitasnya, kemungkinan besar supaya Pop Up UAC tidak muncul lagi pengguna komputer pada akhirnya akan memilih mengklik [Continue] yang akan menjalankan virus ini di komputernya.

Ciri komputer / jaringan terserang Conficker

Jika mendadak komputer anda mendapatkan pesan Generic Host Process (GHP) Error dan setelah itu koneksi internet dari komputer tersebut mati, maka kemungkinan besar jaringan komputer anda sudah tercemar oleh Conficker. Penyebabnya bukanlah komputer yang menampilkan pesan GHP error tersebut, melainkan karena (minimal) salah satu komputer di jaringan anda sudah terinfeksi Conficker dan secara otomatis melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua komputer yang rentan atau belum di patch MS 06-037.

Jika ada komputer yang berhasil di infeksi, maka Conficker akan melakukan beberapa rutin canggih yang membuat geleng-geleng kepala antara lain :

1. Melumpuhkan System Restore.

Conficker akan melumpuhkan System Restore dengan cara mereset “Restore Point” guna mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point. System Restore adalah fasilitas “Mesin Waktu” yang tersedia di beberapa OS Windows seperti ME, XP dan Vista yang berfungsi sebagai backup system OS dan dapat membantu mengembalikan setting komputer pada keadaan normal jika suatu saat terjadi kesalahan instal program yang tidak diingini ataupun karena terinfeksi virus.

2. Membuat HTTP Server.

Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) bagi jaringan lokal. Jika ada komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch, maka ia akan mencoba menyerang dan jka berhasil maka komputer korbannya akan mendownload ke HTTP server yang dibuat tadi untuk mendownload file virus dan menjalankannya. Selain itu, dalam aksinya ini Conficker menyebabkan matinya Internet connection Sharing.

3. Melakukan patch pada komputer korbannya.

Setelah berhasil menginfeksi komputer korbannya, Conficker akan melakukan patching pada komputer korbannya, jangan berterimakasih dulu kepada virus ini. Tujuannya melakukan patch adalah untuk mencegah infeksi ulang yang malahan akan mengakibatkan komputer tidak stabil sehingga tidak bisa mencari korban baru.

4. Download File untuk update dirinya.

Conficker meniru antivirus akan berusaha mendownload file (kemungkinan updatenya di masa depan) ke beberapa website yang telah disiapkan daftarnya (250 domain) dengan tujuan mempersulit vendor antivirus untuk memblok domain-domain update tersebut satu persatu.

Langkah Pencegahan

Jika komputer anda menampilkan pesan adanya virus Conficker secara berulang-ulang meskipun sudah dibersihkan oleh antivirus anda, pertama-tama yakinkan bahwa virus tersebut tidak aktif di komputer anda. Caranya adalah dengan memutuskan hubungan komputer ke jaringan. Jika setelah hubungan ke jaringan diputuskan infeksi virus terhenti, maka artinya sumber virus bukan dari komputer anda melainkan dari “salah satu” komputer di jaringan. Karena itu anda harus mencari sumber penyebar conficker di jaringan sebelum mengkoneksikan komputer anda. Logikanya, semua komputer yang belum di patch RPC Dcom 3 dan terhubung ke jaringan dimana ada satu komputer saja yang terinfeksi virus conficker akan terinfeksi conficker dalam waktu singkat, kecuali komputer-komputer tersebut di lindungi oleh Firewall yang memproteksi port :

• UDP Port 135, 137, 138 dan 445.
• TCP Port 135, 139, 445 dan 593

Cara terbaik adalah melakukan pekerjaan rumah anda patch SEMUA komputer yang OSnya rentan terhadap celah keamanan RPC Dcom 3. Untuk mendapatkan detail patchnya silahkan download ke http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Sumber : vaksin.com