Evaluasi Virus Mei 2004 10 Juni 2004 Hati-hati dengan Gaobot "Komplit Pake Telur" Bulan April sampai bulan Mei 2004 penyebaran virus lebih di dominasi oleh virus Netsky dan Bagle, kemudian ada virus Sasser yang semuanya menginfeksi komputer Windows NT/2000/XP yang masih mempunyai celah keamanan yang belum di patch.Selama 2 bulan itulah dapat dikatakan hampir semua pengguna komputer terfokus pada penyebaran virus tersebut. Bagaimana tidak, virus tersebut cukup merepotkan untuk diatasi. Sebut saja virus Bagle dan Netsky yang menyebarkan dirinya dengan melalui email menggunakan SMTP yang terkandung dalam dirinya, virus ini akan menyebarkan dirinya ke semua alamat email yang telah diperoleh dari komputer yang terinfeksi, sehingga dapat dibayangkan bagaimana lalu lintas email yang ada dijagat maya ini. Yang imbasnya dirasakan oleh semua pihak, baik ISP maupun para pengguna komputer khususnya pengguna email untuk komunikasi di jagat maya sehingga lebih dari 50 % bandwidth yang digunakan untuk download email dihabiskan percuma untuk download virus. Karena itu Vaksin.com secara aktif berusaha mengatasi masalah ini dengan melakukan kegiatas SOB, Save Our Bandwidth. Bagi anda pengguna internet yang berdomisili di kota Malang, Pandaan dan Mojokerto ada kabar gembira karena koordinator untuk ketiga kota tersebut baru saja terbentuk dan anda dapat membeli Norman Virus Control + update 1 tahun seharga Rp. 50.000,- ke Indonet Malang mlgindo@indo.net.id. Bagi anda yang berdomisili di Jawa Timur, khususnya di Surabaya kami informasikan bahwa pada tanggal 23 Juni 2004 akan diadakan seminar Save Our Bandwidth di Hotel Majapahit. SIlahkan cek website Vaksin.com untuk informasi lebih lanjut dan dapatkan hadiah Motherboard MSI dan souvenir Optical Mouse dan USB Hub 1 to 4 untuk peserta yang aktif, untuk pendaftaran hubungi info@rad.net.id. Selain Netsky dan Bagle, sebelumnya pernah menyebar virus W32/Blaster.A@mm dan W32/Sasser.A@mm. Virus Blaster.A mulai menyebar pada tanggal 12 Agustus 2003 yang memanfaatkan celah kemanan RPC DCOM untuk menyebarkan dirinya, dimana virus ini juga akan mengakibatkan system komputer menjadi tidak stabil sehingga mengakibatkan komputer sering melakukan restart atau shutdown berkali-kali. Sedangkan virus W32/Sasser.A@mm mulai menyebar pada tanggal 1 Mei 2004 atau 17 hari setelah Microsoft mengumumkan celah keamanan LSASS, dalam penyebarannya virus ini akan memanfaatkan celah keamanan LSASS pada Windows NT/2000/XP yang belum di-patch, menyebar melalui internet dan jaringan serta akan membuat system windows tidak stabil yaitu dengan melakukan restart atau shutdown dalam waktu 1 menit, bagi mereka yang menggunakan Windows NT/2000/XP harus melakukan update patch LSASS sebagai langkah preventif untuk mencegah masuknya virus ini disamping menggunakan antivirus yang up-to-date. Cukup canggihkah virus-virus tersebut di atas ? Dilihat dari cara penyebaran dan akibat yang ditimbulkan memang sudah dibilang canggih, terbukti dalam waktu yang tidak begitu lama mampu meyebarkan dirinya secara cepat dan cukup membuat repot para pengguna komputer, terbukti dari banyaknya laporan yang diterima baik dari perusahaan corporate maupun perorangan. Bayangkan saja virus Netsky dalam sebulan telah mencapai varian Netsky.AB (28 varian) sedangkan virus Bagle dalam sebulan telah mencapai varian Bagle.Z (26 varian), sedangkan untuk virus W32/Blaster.A@mm menyebabkan mayoritas ISP indonesia mengalami down. Jika anda menganggap Sasser sudah hebat, coba lihat yang satu ini seperti Nasi Goreng Spesial "Komplet pake Telur" virus GAOBOT. Virus ini sebenarnya sudah ada sejak bulan Agustus 2003, bandingkan dengan virus Netsky pada tangal 19 Januari 2004 Bagle tanggal 18 Februari 2004. Sejak kemunculan pertamanya yakni virus W32/Gaobot.AA@mm pada tanggal 21 Agustus 2003, virus ini telah mengeksploitasi beberapa celah kemanan :
Begitupun untuk varian selanjutnya yakni varian W32.HLLW.Gaobot.AE, W32.HLLW.Gaobot.AF, W32.HLLW.Gaobot.AG. Sedangkan untuk varian W32.HLLW.Gaobot.AP, W32.HLLW.Gaobot.AZ, W32.HLLW.Gaobot.BB selain menggunakan celah keamananDCOM RPC dan RPC Locator juga memanfaatkan celah kemanan WebDav vulnerability (Microsoft Security Bulletin MS03-007) menggunakan TCP port 80. Untuk varian W32.HLLW.Gaobot.AO dan W32.Gaobot.SA mengeksploitasi celah keamanan RPC DCOM dan WebDav. Yang mengeksploitasi celah kemanan paling banyak adalah W32.HLLW.Gaobot.gen dan W32.Gaobot.SY dimana paling tidak 7 celah keamanan diekspoitasi : v DCOM RPC (Microsoft Security Bulletin MS03-026) menggunakan TCP port 135. v WebDav vulnerability (Microsoft Security Bulletin MS03-007) menggunakan TCP port 80. v Workstation service buffer overrun vulnerability (Microsoft Security Bulletin MS03-049) menggunakan TCP port 445. v The Microsoft Messenger Service Buffer Overrun Vulnerability (Microsoft Security Bulletin MS03-043). v Locator service vulnerability (Microsoft Security Bulletin MS03-001) menggunakanTCP port 445. v UPnP vulnerability (Microsoft Security Bulletin MS01-059). v Microsoft SQL Server 2000 or MSDE 2000 audit (Microsoft Security Bulletin MS02-061), menggunakan UDP port 1434. Sedangkan pada varian W32/Gaobot.AFJ, W32/Gaobot.AFC, W32/Gaobot.AFW W32/Gaobot.AJD , W32/Gaobot.AJE W32/Gaobot.AJJ, W32/Gaobot.AIS, W32/Gaobot.ALO W32/Gaobot.ALU , W32/Gaobot.ALV, W32/Gaobot.ALW, W32/Gaobot.RB mengekspoitasi 7 celah keamanan sebagai berikut : v Microsoft Security Bulletin MS01-059 (UPnP NOTIFY Buffer Overflow) v Microsoft Security Bulletin MS02-061 (SQL server atau MSDE 2000 Audit (UDP Port 1434) v Microsoft Security Bulletin MS03-001 (RPC Locator (Port 445) v Microsoft Security Bulletin MS03-007 (WebDav (Port 80) v Microsoft Security Bulletin MS03-026 (RPC DCOM (Port 135) v Microsoft Security Bulletin MS03-049 (Workstation Service Buffer Overrun) v Microsoft Security Bulletin MS04-011(LSASS) Sebenarnya virus Gaobot telah memanfaatkan celah kemanan LSASS sejak kemunculan varian W32.Gaobot.AFJ pada tanggal 27 April 2004, itu berarti 5 hari lebih cepat dari W32/Sasser.A@mm yang memanfaatkan celah kemanan yang sama. Walaupun hampir semua varian dari W32/Gaobot.@mm menyerang Windows NT/2000/XP, tetapi ada sebagian varian dari virus ini yang menyerang Windows 9X/ME, seperti pada varian W32/Gaobot.AJJ, W32/Gaobot.ALO, W32/Gaobot.AIS, oleh karena itu ada baiknya melakukan update patch untuk Windows 9X/ME yakni update patch (Microsoft Security Bulletin MS01-059), update patch tersebut dapat didownload di alamat : http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx Jika Gaobot mengeksploitasi celah keamanan LSASS 5 hari lebih cepat dari Sasses, virus W32/Sasser.@mm lebih terkenal dan lebih luas penyebarannya dibandingkan virus W32/Gaobot@mm ? Sebenarnya virus W32.Gaobot@mm varian W32.Gaobot.AFJ, dapat mengakibatkan system komputer yang terinfeksi tidak stabil dan dapat melakukan restart pada komputer tersebut sama halnya yang dilakukan oleh virus W32/Sasser.A@mm, tetapi ada perbedaan yang menonjol saat melakukan aksi tersebut , dimana pada virus W32/Gaobot.AFJ system komputer akan melakukan restart bila virus tersebut menerima perintah dari pembuat virus yang mana komputer tersebut harus conect/terhubung ke server IRC yang telah ditentukan, berbeda yang dilakukan oleh virus W32/Sasser.A@mm yang akan melakukan restart tanpa menghubungkan ke server IRC terlebih dahulu dan menunggu perintah dari sang pembuat virus, singkatnya komputer akan restart begitu virus ini meng-exploit celah keamanan LSASS, seperti tampak pada gambar dibawah ini:
Itu salah satu yang menyebabkan kenapa virus W32/Sasser.A@m lebih terkenal dibanding virus W32.Gaobot.@mm, justru karena tidak mengakibatkan Restart kehadiran Gaobot tidak disadari oleh pengguna komputer. HAl ini bukan berarti bahwa virus W32/Gaobot.@mm labih buruk dari pada virus W32/Sasser.A@mm, ini terbukti dari paylod yang akan diakibatkan oleh virus ini diantaranya :
v 127.0.0.1 www.trendmicro.com v 127.0.0.1 trendmicro.com v 127.0.0.1 www.symantec.com v 127.0.0.1 securityresponse.symantec.com v 127.0.0.1 symantec.com v 127.0.0.1 www.sophos.com v 127.0.0.1 sophos.com v 127.0.0.1 www.mcafee.com v 127.0.0.1 mcafee.com v 127.0.0.1 liveupdate.symantecliveupdate.com v 127.0.0.1 www.viruslist.com v 127.0.0.1 viruslist.com v 127.0.0.1 f-secure.com v 127.0.0.1 www.f-secure.com v 127.0.0.1 kaspersky.com v 127.0.0.1 www.avp.com v 127.0.0.1 www.kaspersky.com v 127.0.0.1 avp.com v 127.0.0.1 www.networkassociates.com v 127.0.0.1 networkassociates.com v 127.0.0.1 www.ca.com v 127.0.0.1 ca.com v 127.0.0.1 mast.mcafee.com v 127.0.0.1 my-etrust.com v 127.0.0.1 www.my-etrust.com v 127.0.0.1 download.mcafee.com v 127.0.0.1 dispatch.mcafee.com v 127.0.0.1 secure.nai.com v 127.0.0.1 nai.com v 127.0.0.1 www.nai.com v 127.0.0.1 update.symantec.com v 127.0.0.1 updates.symantec.com v 127.0.0.1 us.mcafee.com v 127.0.0.1 liveupdate.symantec.com v 127.0.0.1 customer.symantec.com v 127.0.0.1 rads.mcafee.com
v BBEAGLE.EXE v D3UPDATE.EXE v I11R54N4.EXE v IRUN4.EXE v RATE.EXE v SSATE.EXE v SSATE.EXE
v www.ryan1918.net v www.ryan1918.org v www.ryan1918.com v yahoo.co.jp v www.nifty.com v www.d1asia.com v www.st.lib.keio.ac.jp v www.lib.nthu.edu.tw v www.above.net v www.level3.com v nitro.ucsc.edu v www.burst.net v www.cogentco.com v www.rit.edu v www.nocster.com v www.verio.com v www.stanford.edu v www.xo.net v de.yahoo.com v www.belwue.de v www.switch.ch v www.1und1.deverio.fr v www.utwente.nl 6. Melakukan koneksi ke Server IRC yang dikuasinya dan menunggu perintah dari pembuat virus tersebut, yang mana akan melaksanakan aksi sbb : v Menjalankan perintah v Memdapatkan file via FTP dan HTTP v Mendapatkan data dari registry v Restart komputer v Melihat proses yang sedang berjalan v Menghentikan proses tertentu v Terminate Windows services v Perform HTTP, ICMP, SYN, and UDP floods v Mendapatkan alamat email dari komputer yang terinfeksi v Mendapatkan daftar alamat email via HTTP v Mendapatkan kambali alamat URL yang telah ditentukan v Memantau lalu-lintas HTTP, FTP, dan IRC v Mengambil pooduct ID Windows dan CD key dari berbagai video Games 7. Yang lebih menarik, virus ini dapat melakukan spooling pada sebuah printer (seperti aksi yang pernah dilakukan oleh virus W32/Bugbear.A@mm)) sehingga akan mengakibatkan antrian yang cukup banyak pada printer. Dengan antrian yang sebanyak itu mengakibatkan printer tidak dapat menjalankan fungsinya dengan baik. 8. Mencoba untuk mengkopikan dirinya ke dalam direktori yang mempunyai share $, contoh C$ dengan mencoba untuk memasukan user name dan password yang ada dalam database dari virus tersebut 9. Membuat jadwal untuk menyebarkan virus tersebut melalui jaringan 10. mencoba untuk menyembunyikan (hidden) semua file yang berada pada direktori SYSTEM --------------------------------------------------------------------------------------------------------------------------------- Catatan : SYSTEM ini berbeda-beda, secara default adalah C:\WINNT\System32 (Windows NT/2000), C:\WINDOWS\System32 (Windows XP) ------------------------------------------------------------------------------------------------------------------------------ Dilihat dari penjelasan diatas, apakah anda masih menganggap Sasser lebih berbahaya dari Gaobot ? Apa yang harus kita lakukan untuk menghadapi virus W32/Gaobot@mm atau jenis virus lainnya? 1. Service Pack Sebaiknya update Sercice pack sesuai dengan OS yang terinstall. 2. Patch Sekali lagi yang perlu kita perhatikan adalah masalah sepele tetapi sangat menentukan yakni adalah gerakan up-date patch demi untuk menutup celah keamanan, celah keamana apa saja yang harus di patch : v Microsoft Security Bulletin MS01-059 (UPnP NOTIFY Buffer Overflow) v Microsoft Security Bulletin MS02-061 (SQL server atau MSDE 2000 Audit (UDP Port 1434) v Microsoft Security Bulletin MS03-001 (RPC Locator (Port 445) v Microsoft Security Bulletin MS03-007 (WebDav (Port 80) v Microsoft Security Bulletin MS03-026 (RPC DCOM (Port 135) v Microsoft Security Bulletin MS03-049 (Workstation Service Buffer Overrun) v Microsoft Security Bulletin MS04-011(LSASS) v Dan celah kemana lainnya (dapat dilihat di situs www.microsoft.com) 3. Password Ingat !!! jangan melakukan share pada ROOT C:\, apalagi tanpa menggunakan password, jika memang dokumen yang disimpan dalam suatu folder sering digunakan untuk umum, share dengaan mode “READ ONLY” atau boleh menggunkakn mode “FULL ACCESS” tetapi harus menggunakan password yang unik dan mudah diingat tetapi tidak mudah ditebak (disarankan jangan menggunakan password standar seperti 12345 atau guest), karena virus mempunyai data base password yang biasa digunakan oleh pengguna komputer. 4. Antivirus Gunakan antivirus yang dapat up-to-date untuk melindungi system komputer dari serangan virus, gunakan antivirus jaringan untuk memproteksi jaringan dan jangan menggunakan antiivrus stnadalone untuk memproteksi jaringan. 5. Human (Manusia) Tidak dapat dipungkiri memang, bahwa manusia menjadi faktor utama yang dapat menyebabkan masuknya virus kedalam system komputer, seperti v Lupa melakukan up-date data base antivirus (gunakan antivirus yang dapat melakukan automatic update setiap hari dan antivirus jaringan yang dapat mengupdate komputer lain di jaringan secara otomatis seperti Norman Virus Conrtol for Corporate workgroup). v Lupa melakukan update patch dan update software/program yang mempunyai celah keamanan (gunakan automatic update feature pada Windows 2000 / XP, untuk windows NT / 9X tugaskan EDP untuk secara teratur memantau perkembangan celah keamanan terakhir. Jika anda mengalami kesulitan dalam melakukan hal ini, pertimbangkan untuk outsource masalah patching ini ke pihak lain yang berkompeten. Setiap pelanggan Vaksin.com mendapatkan faislitas update patch dan service pack secara Gratis oleh teknisi Vaksin.com tanpa tambahan biaya apapun). v Kurang mengikuti perkembangan terakhir virus sehingga terinfeksi ivrus terbaru (daftarkan diri anda ke mailing list yang memberikan informasi virus seperti mailing list Vaksin dengan mengirimkan email kosong ke vaksin-subscribe@yahoogroups.com untuk mendapatkan informasi perkembangan virus terakhir dalam Bahasa Indonesia. v Terlalu mengandalkan pada Admin, jika administrator / EDP harus mengurusi semua masalah komputer perusahaan, dijamin tidak akan cukup waktu dan tenaga karena ntuk mengurusi satu virus komputer saja terkadang membutuhkan waktu seharian, belum lagi pekerjaan lainnya. (pertimbangkan untuk menggunakan jasa antivirus yang memberikan support secara Gratis, setiap pembelian antivirus dari Vaksincom berhak mendapatkan instalasi dan pembersihan virus ke setiap komputer, layanan support masalah virus 365 hari setahun baik berupa on call maupun on site (kunjungan langsung tanpa biaya tambahan apapun, singkat kata anda mendapatkan tenaga EDP tambahan yang ahli di bidang virus). 6. FIREWALL Gunkakan firewall untuk membatasi akses pada port yang berbahaya. salam, AJT Technical Support PT. Vaksincom Gedung Rifa lt. 4 Jl. Prof. Dr. Satrio blok C4 / 6-7 Jakarta 12950 Telp :021-526 0787 Fax : 021-526 -752 Email : info@vaksin.com |
