Thursday, March 19, 2009

Jangan Lengah, Kenali Ciri-ciri Serangan Conficker

Begitu terinfeksi virus Conficker, komputer benar-benar seperti zombie yang diambil alih pihak lain. Pengguna tak berkutik terutama saat terhubung dengan jaringan Internet. Serangan Conficker akan sangat mengganggu karena tidak hanya mengambil alih sebagian kerja komputer, namun juga menelanjangi fungsi keamanan yang seharusnya melindungi komputer dari ancaman virus dan sejenisnya.
Namun, karena tidak merusak langsung seringkali serangan tersebut tak disadari. Nah, apakah komputer sudah terinfeksi Conficker atau belum dapat dikenali dari ciri-cirinya. Gejala Conficker yang paling umum adalah munculnya pesan Generic Host Process Error setiap kali pengguna komputer menghubungkan dirinya dengan internet. Selain itu, Conficker juga diketahui menyebabkan login username Active Directory dikunci karena ia melakukan aksi Bruteforce. Dalam banyak kasus malahan serangan menyebabkan terganggunya koneksi internet komputer/jaringan korbannya. Jika anda mengalami satu atau beberapa gejala dibawah ini, berarti Conficker telah menginfeksi: 1. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi. 2.Komputer mendapatkan pesan error Generic Host Process. 3.Komputer tidak bisa mengakses situs-situs tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan "Address not Found" tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan berarti. 4.Update definisi antivirus terganggu karena akses ke situs antivirus diblok. 5. Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000 Ciri File Virus Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bert ipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype "dll" (dynamic link library). File virus yang berusaha masuk akan berada pada lokasi temporary internet: 1. %Documents and Settings-Settings-Internet Files-acak%].[%gif,jpeg,bmp,png%] 2. %Documents and Settings-Settings-Temporary Internet Files- Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut : 3. %Documents and Settings%-Data-acak%].dll 4. %Program Files%-Explorer-acak%].dll 5. %Program Files%-Maker-acak%].dll 6. %WINDOWS%-acak%].dll 7. %WINDOWS%-acak%].dll File "dll" inilah yang aktif dan "mendompleng" file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali. Vi rus juga akan mengcopy file "[%nama acak%].tmp" pada folder %WINDOWS%-(contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tersebut, kemudian virus mendelete file tersebut. Gejala/Efek Virus Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut : 1. Jika varian sebelumnya mematikan service "Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)". Maka kali ini virus berusaha untuk mematikan dan men-disable beberapa service, yaitu: - wscsvc : Security Center - wuauserv : Automatic Updates - BITS : Background Intellegent Transfer Service - ERSvc : Error Reporting Service - WerSvc : Windows Error Reporting Service (Vista, Server 2008) - WinDefend : Windows Defender (Vista, Server 2008) 2. Virus m ampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke website keamanan. - Ccert. - sans. - bit9. - windowsupdate - wilderssecurity - threatexpert - castlecops - spamhaus - cpsecure - arcabit - emsisoft - sunbelt - securecomputing - rising - prevx - pctools - norman - k7computing - ikarus - hauri - hacksoft - gdata - fortinet - ewido - clamav - comodo - quickheal - avira - avast - esafe - ahnlab - centralcommand - drweb - grisoft - nod32 - f'prot - jotti - kaspersky - f'secure - computerassociates - networkassociates - etrust - panda - sophos - trendmicro - mcafee - norton - symantec - microsoft - defender - rootkit - malware - spyware - virus 3. Virus berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah : " netsh interface tcp set global autotuning=disabled" Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba aks es jaringan. Info selengkapnya pada http://support.microsoft.com/kb/947239 4. Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet. Virus melakukan download pada beberapa website berikut : aaidhe.net aamkn.cn abivbwbea.info aiiflkgcw.cc alfglesj.info amcfussyags.net amzohx.ws apaix.ws argvss.info arolseqnu.ws asoidakm.cn atnsoiuf.cc avweqdcr.cn axaxmhzndcq.cc barhkuuu.com bbuftxpskw.cc bdykhlnhak.cc bdzpfiu.biz bijkyilaugs.cn bjpmhuk.ws bmmjbsjidmt.com bzagbiwes.cc carse.cn cauksxf.biz cfhlglxofyz.biz cinsns.cc ciynbjwm.com cljivsb.biz cpeadyepcis.biz cqnxku.ws ctmchiae.ws cxjsy.net czkdu.net dbffky.cn dgbdjsb.com drpifjfxlyl.ws dtosuhc.org duahpzq.org dwrtwgsm.cn dyjomzyz.com earuldx.cn egqoab.net egxbsppn.cn ehkvku.cn elivvks.net emxmg.info eobvidij.org erwojl.org evqvmwgw.cn ewioygq.biz exxkvcz.cc ffaqk.info fhlwov.net fitjg.net fkhbumne.info fknacmvowib.cn fmdsqasqm.net fmgcjv.cn fpljpuqp.info fsrljjeemkr.info fthil.cc ftphtsfuv.net gbgklrka.cc gbmkghqcqy.net gbxyu.ws gezjwr.biz gjbwolesl.info glkzckadwu.biz gmvhjp.ws gsvrglz.cc gutvjbektzq.com gwtqx.cn hbyzvpeadkb.net hewdw.ws hjcxnhtroh.cn hltowx.com hqjazhyd.com hrmirvid.com hudphigb.org hvagbqmtxp.info idvgqlr.ws ihnvoeprql.biz iidqkzselpr.com ijthszjlb.com iklzskqoz.cn iqgnqt.org iqrzamxo.ws isjjlnv.org iudqzypn.cn iyfcmcaj.cn jayrocykoj.ws jffhkvhweds.cn jfxcvnnawk.org jgrftgunh.org jguxjs.net jhanljqti.cc jhvlfdoiyn.biz jjhajbfcdmk.net jkisptknsov.biz jknxcxyg.net jlouqrgb.org jpppffeywn.cc jradvwa.biz juqsiucfrmi.net jvnzbsyhv.org jxnyyjyo.net kaonwzkc.info kdcqtamjhdx.ws kgeoaxznfms.biz kihbccvqrz.net kimonrvh.org kjsxwpq.ws kkrxwcjusgu.cn knqwdcgow.ws koaqe.cc kodzhq.org kqjvmbst.net kufvkkdtpf.net kxujboszjnz.ws lagcrxz.cc lawwb.com lbdfwrbz.net ljizrzxu.cc lmswntmc.biz lotvecu.com lplsebah.cn lxhmwparzc.ws lyamwnhh.info mciuomjrsmn.cn mdntwxhj.cn meqyeyggu.cc mfigu.cn mimdezm.biz mkdsine.cn mmtdsgwfa.net mouvmlhz.cc mozsj.biz mpqzwlsx.ws msvhmlcmkmh.biz mtruba.ws myrmifyuqo.biz naucgxjtu.ws ncwjlti.cn nertthl.net nnxqqmdl.info nuxtzd.cn nxvmztmryie.ws nybxvgb.net nzsrgzmhay.net oadscrk.org oezepyh.info ojrswlg.net olgjkxih.org omqxqptc.ws ooudifyw.cn opkawiqb.cn oqsfz.ws orvfkx.cc otoajxfn.net oxeeuikd.net oyezli.com pfath.info plsexbnytn.com poplie.cc psbdfflh.cn qfmbqxom.ws qjvtczqu.com qpcizvlvio.biz qslhoks.cn qtcnfvf.biz qtsnk.cn qzktamrsgu.cn rbhixtifxk.cc rccoq.net rgievita.ws rlrbqpxv.org rozhtnmoudg.cc rpsctacalyd.cn rrmkv.com rtpuqxp.net rtztoupc.net satmxnz.ws sbtalilx.com sdjnaeoh.cc sirkqq.org sjkkfjcx.biz sjkxyjqsx.net stmsoxiguz.net tdeghkjm.biz tkhnvhmh.biz tmdoxfcc.org torhobdfzit.cc trdfcxclp.org tscmbj.net tuwcuuuj.com txeixqeh.biz uazwqaxlpq.info ubxxtnzdbij.com ucnfehj.org uekmqqedtfm.com uhtmou.ws uhveiguagm.biz uoieg.ws uttcx.net uyhgoiwswn.cc uyvtuutxm.cn vfxifizf.info vupnwmw.biz vzqpqlpk.ws waeqoxlrprp.org wdrvyudhg.cc wediscbpi.org whgtdhqg.net wkstxvzr.org wmrgzac.info wnwqphzao.info wsajx.com wskzbakqfvk.org wtngipaynh.info wumvjpbbmse.cc wuzunxevor.info wwftlwlvm.org xcncp.info xeeuat.com xhazhbir.biz xjnyfwt.org xlrqvoqmsxz.info xqgbn.cn xwrrxwmo.cc xxabrkhb.cc xxmgkcw.cc xxxxgvtaa.com xzoycphicpk.com ybbfrznr.info ycceqdmm.cc ydxnochqn.org ygmwharv.info ylnytttckyc.com yuvudlsdop.cc ywhaunsyez.cc ywxdggnaaad.org zindtsqq.ws zkywmqx.com zoosmv.info zqekqyq.cn zqked.org zsatn.ws ztgsd.info ztioydng.com zzczpujz.biz 5. Virus akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa wesite berikut : baidu.com google.com yahoo.com msn.com ask.com w3.org aol.com cnn.com ebay.com msn.com myspace.com 6. Virus akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000). 7. Virus akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows : Service name: "[%nama acak%].dll" Path to executable: %System32%--k netsvcs Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal "Security Windows") : Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows 8. Virus membuat HTTP Server pada port yang acak : Http://%ExternalIPAddress%:%PortAcak(1024-10000)% Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi : - http://www.getmyip.org -http://www.whatsmyipaddress.com - http://getmyip.co.uk -http://checkip.dyndns.org - Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah : "rundll32.exe .[%eks tensi acak%], [%acak]" [Vaksincom ]

0 komentar:

Post a Comment

saran, komentar dan kritikan anda sangat berharga buat saya, terima kasih.