Serangan Virus April 2004 8 Mei 2004 Netsky sang juara dan datangnya Sasser
Jika anda ingin mengatahui apa hasil akhir dari pertarungan antara Netsky VS Bagle, kami dapat informasikan kepada anda bahwa pertempuran sengit tersebut dimenangkan oleh Netsky, namun beda dengan pertandingan tinju dimana yang K.O adalah lawannya. Dalam hal ini yang K.O adalah ISP dan para pengguna email. Mengapa kami katakan hal tersebut ? Menurut catatan Vaksincom, penyebaran Netsky (khususnya) sudah mencapai tingkat yang luar biasa tinggi dan setiap kali mendownload email, terkadang jumlah email bervirus melebihi jumlah spam yang masuk. Dari segi bandwidth tentunya lebih parah lagi karena ukuran email bervirus rata-rata beberapa kali lebih besar daripada ukuran email spam. Dalam perkiraan yang "konservatif" dapat dikatakan bahwa email bervirus menghabiskan > 50 % dari bandwidth mailserver di Indonesia. Karena itulan dalam bulan Mei 2004 ini PT. Vaksincom mengajak para pihak yang berkepentingan termasuk ISP-ISP di Indonesia untuk melakukan tindakan proaktif membasmi sumber virus ini dan PT. Vaksincom akan memberikan Norman Virus Control for workstation bagi seluruh pelanggan ISP di Indonesia dengan harga Rp. 50.000,-. Program ini hanya berlaku bagi pembelian langsung ke ISP anda dan PT. Vaksincom akan memberikan support atas semua masalah teknis virus maupun instalasi antivirus via email suport@vaksin.com.
Gambar 1, Gerombolan Netsky merajai insiden virus April 2004
Netsky si Jawara Dalam 10 besar virus yang terdeteksi dan berhasil dihentikan oleh PT. Vaksincom "gerombolan" Netsky menguasai 4 tangga dimana Netsky.C menjadi jawara dengan 15.363 kasus disusul Netsky.P / Somefool.P di peringkat ke dua dengan jumlah insiden 7.776. Sedangkan Netsky.D dan Q berada di peringkat ke 9 dan 10 dengan insiden sebanyak 653 dan 519. Jika diibaratkan sebagai partai politik, Netsky menguasai mayoritas perolehan suara dengan jumlah total 66 % dari seluruh insiden sehingga pantas mendapatkan predikat jawara. Bandingkan dengan Bagle (total) yang hanya mencatat 684 insiden atau hanya 2 % dari seluruh insiden virus dan dibandingkan Netsky, Bagle dapat dikatakan sebagai virus gurem. SMTP server sendiri Banyak cerita dibalik mengganasnya keluarga Netsky ini, salah satunya adalah pelanggan PT. Vaksincom di Sudirman yang memiliki mailserver sendiri dan koneksi 128 kbps untuk akses internet kantornya. Meskipun seluruh komputer di jaringan telah terproteksi dengan baik oleh Norman Virus Control, tetapi administrator mengeluh kepada kami bahwa hampir 90 % dari seluruh bandwidthnya mailservernya di ISP dipenuhi dengan email yang mengandung virus Netsky. Dengan perlindungan proxy di setiap workstation yang terinstal Norman Virus Control, semua email masuk maupun keluar akan diperiksa terlebih dahulu sehingga workstation selalu terlindung dari serangan virus. Disamping itu, beban pemeriksaan virus dilakukan secara desentralisasi di workstation sehingga tidak menimbulkan antrian di mailserver yang pada kasus tertentu menyebabkan delay email sampai dengan beberapa hari. Pelanggan tersebut meminta kepada PT. Vaksincom untuk mencarikan solusi agar mailservernya dapat terbebas dari serangan virus dan bandwidth mailservernya dapat diselamatkan dimana salah satu solusinya adalah dengan menginstal program antivirus di mailserver ISP, namun setelah dicoba hal ini tidak membebaskan mailserver tersebut dari "spam virus" dan hanya memberikan keamanan semu dimana email bervirus yang datang ke workstation menjadi berkurang. Hal ini terjadi karena ternyata mailserver tersebut diserang oleh mailserver / smtp server dari berbagai penjuru dunia dengan bombardir virus Netsky dan hal terbaik yang dapat dilakukan adalah menghubungi administrator pemilik IP yang kebanyak IP milik ISP. Setelah diselidiki lebih jauh, ternyata pengirim email tersebut mayoritas bukan mailserver dan beberapa bahkan merupakan pelanggan dialup dan hebatnya Netsky dapat mengirimkan dirinya meskipun akses SMTP telah dibatasi dengan sangat ketat oleh ISP. Salah satu penyebab utama dari hal ini adalah karena Netsky memiliki SMTP server sendiri (terkandung dalam programnya) sehingga tidak membutuhkan SMTP mailserver ISP untuk mengirimkan dirinya. Karena itu satu-satunya jalan yang terbaik untuk mengatasi masalah ini adalah menyebarkan program antivirus ke sebanyak mungkin pelanggan sehingga virus Netsky ataupun virus lainnya dikemudian hari dapat dibasmi dan tidak menyerang komptuer lain. Pihak yang sangat berkepentingan dengan masalah ini tentunya adalah ISP karena dengan hilangnya virus dari komputer pelanggan, tadinya bandwidth yang digunakan oleh virus untuk menyebarkan dirinya akan dapat digunakan untuk kepentingan lain atau dengan kata lain utilisasi penggunaan bandwidth akan meningkat. Disamping itu, pelanggan juga akan merasa senang dan diperhatikan oleh ISP karena masalah virusnya akan dapat diselesaikan dengan baik.
Selain Netsky, beberapa virus lain yang perlu menjadi perhatian adalah JS/ Exploit, Redlof A /C yang sering menjadi jawara dan mengeksploitasi Java Virtual Machine Vulnerability dan "sangat sulit" dibasmi jika anda mengerjakannya setengah-setengah dan tidak tuntas. Catatan khsusus kami berikan pada Mywife.B dimana kami mendapatkan satu kasus Data Recovery yang datanya dihancurkan oleh virus. Setelah diselidiki, ternyata data komputer tersebut dihancurkan oleh Klez.E yang harusnya terdeteksi oleh program antivirus yang terinstal karena merupakan virus lama. Namun ternyata program antivirus dari komputer tersebut "dilumpuhkan" oleh MyWife.B sehingga Klez.E dapat dengan mudah melenggang kangkung masuk dan menjalankan aksinya.
Sasser Meskipun dibulan April masih belum menunjukkan giginya, PT. Vaksincom menyarankan kepada anda para pengguna Windows XP dan 2000 (terutama) dan windows 2003 untuk melakukan update patch OS anda secara otomatis karena hal ini ternyata terbukti sangat efektif menyelamatkan komputer anda dari serangan Sasser. Jangan mengandalkan pada update manual karena worm sekarang mampu menyebar makin hari makin cepat dimana Sasser menyebar 10 hari lebih cepat dari Blaster, dari saat pertamakali celah keamanan LSASS diumumkan 13 April 2004, hanya 17 hari setelah itu atau tepatnya 30 April 2004 sudah berhasil dibuat worm yang mengeksploitasi celah keamanan LSASS tersebut. Bagi anda yang telah terinfeksi Sasser dan mengalami kondisi restart terus menerus sehingga tidak emmungkinkan untuk melakukan patching, kami sarankan untuk melumpuhkan kemampuan windows untuk autoshutdown dengan [Start][Run] ketik "shutdown -A". Setelah itu segera patch komputer anda dan bersihkan dari Sasser lihat artikel Membasmi Sasser
HATI-HATI, Worm baru yang mengincar file Office, MP3 dan JGP sedang beredar PT. Vaksincom mendapatkan banyak laporan bahwa ada worm / trojan baru yang belum terdeteksi oleh program antivirus sedang beredar dan sudah memakan banyak korban. Dalam menjalankan aksinya, worm ini akan menghancurkan file word, excel, MP3 dan JPG dari komputer yang terinfeksi. Selain itu, file yang di sharing di jaringan juga tidak luput dari aksinya untuk dihapus. File yang dihapus tidak akan dapat diselamatkan tanpa proses Data Revocery yang baik dan benar. Proses recovery yang baik yang dimaksudkan disini adalah penanganan yang tepat mulai dari saat file dihapus dari harddisk. Dengan penanganan yang salah seperti menyalakan kembali komputer yang ingin direcover akan menurunkan probabilitas recovery secara signifikan. KArena itu PT. Vaksincom "sangat menyarankan" anda untuk segera membackup data anda secara teratur di media yang terpisah. Jika anda mencurigai komputer anda terinfeksi virus baru dan belum terdeteksi lakukan hal-hal berikut ini untuk menangkap virus tersebut :
Gratis Norman Virus Control untuk pengirim sampel virus baru PT. Vaksincom akan memberikan 1 lisensi Norman Virus Control for workstation + update 1 tahun GRATIS bagi siapapun yang mengirimkan contoh virus yang belum terdeteksi oleh Norman Virus Control dan kami memberikan jaminan 1 X 24 jam bahwa Norman Virus Control akan dapat mendeteksi dan membasmi virus baru yang anda kirimkan.
Serangan di bulan Mei Bulan Mei seperti anda ketahui ditandai dengan munculnya Sasser yang menyerang melalui scanning IP Publik dan "gerombolan" Netsky masih akan tetap merajalela. Harapan kami, dengan kegiatan SOB (Safe Our Bandwidth) yang diadakan oleh Vaksincom di beberapa kota besar di Indonesia bekerjasama dengan ISP untuk membagikan CD antivirus original Norman Virus Control for workstation + update definisi dan engine 1 tahun dengan harga Rp. 50.000,- dapat menurunkan jumlah komputer di Indonesia yang terinfeksi virus sehingga utilisasi bandwidth akan meningkat. Virus yang perlu diwaspadai muncul adalah varian berikut dari Netsky, beberapa varian Sasser yang resikonya makin rendah seiring dengan makin banyaknya komputer yang akan dipatch. Satu hal yang perlu anda waspadai adalah eksploitasi atas celah keamanan baru yang menurut "harapan" kami tidak akan terjadi dalam waktu 1 -2 bulan. Kemungkinan dalam waktu 6 bulan lagi kami ramalkan akan muncul satu worm baru yang akan seganas / lebih ganas dari Sasser, karena itu segera aktifkan update otomatis atas OS apapun yang anda miliki, Windows XP, 2000, 2003 dan tidak terkecuali pengguna Linux khususnya mailserver dan webserver untuk selalu menjaga update atas celah keamanan baru yang ditemukan dengan mengakses www.securityfocus.com.
Virus Incidents April 2004
AAT PT. Vaksincom Gedung Rifa lt. IV Prof. Dr. Satrio blok C4 / 6-7 Jakarta 12950 Telp : 62-21-526 0787 Fax : 62-21-526 0752 Email : info@vaksin.com |
