Bot War 17 Agustus 2005 Pembuat Bot berperang pengguna Windows 2000 babak belur
Pepatah "Gajah Berperang Pelanduk Mati di Tengah Tengah" sekali lagi muncul di benak kami melihat fenomena yang terjadi beberapa hari terakhir ini di belantara internet. Setelah "peperangan" antara Netsky dan Bagle dengan korban mailbox pengguna internet dibanjiri oleh virus, pertengahan Agustus 2005 ini ditandai dengan munculnya pasukan Bot yang berlomba-lomba mengeksploitasi satu celah keamanan Microsoft Windows 2000 MS 05-039, Plug and Play (PnP) vulnerability. Jumlahnya tidak tanggung-tanggung dimana dalam waktu satu minggu jumlah Bot dan variannya mencapai belasan buah dan dipastikan akan terus bertambah karena pihak yang berperang ini akan saling meluncurkan varian baru untuk membasmi Bot musuhnya. Jika pembuat Bot ini kami analogikan sebagai "Gajah" yang berperang, siapakah "Pelanduknya" ? Kabar buruk, dalam peperangan ini semua pengguna internet merupakan pelanduknya :(.
Apa itu Bot Bot yang kita bicarakan ini tidak ada hubungan dengan nama sepatu atau nama bank, tetapi merupakan istilah dalam dunia sekuriti komputer dan merupakan kependekan dari "robot". Walaupun bot ini berbeda dengan robot yang kita kenal dalam dunia nyata, karena bot ini merupakan robot dalam dunia maya yang berwujud komputer-komputer yang terhubung ke internet / jaringan yang sistemnya telah dikuasai terlebih dahulu dan telah menjadi komputer "zombie" dalam jumlah yang sangat banyak dan dapat dikendalikan oleh pembuat bot baik melalui website, IRC (Internet Relay Chat) ataupun Newsgroup. Namun karena pengendalian melalui website biasanya gagal karena pembuat antivirus segera melakukan tindakan cepat untuk memblok / melumpuhkan website pengendali maka kebanyakan bot yang beredar memanfaatkan IRC dalam mengendalikan bot ciptaannya. Untuk menjaga komunikasi antara komputer yang terinfeksi bot dengan "bos" nya, maka setiap komputer yang terinfeksi bot akan berusaha menghubungi IRC pada channel tertentu guna menunggu perintah lanjutan. Pemilik botnet (pasukan bot) ini bagaikan jendral perang yang memiliki pasukan dan dapat melakukan banyak hal yang berbahaya seperti melumpuhkan website tertentu dengan memerintahkan semua botnet melakukan Ddos pada website tersebut atau motif ekonomi melakukan spamming menggunakan botnet yang dimilikinya tanpa perlu takut di blacklist karena IP komputer zombie yang melakukan spamming ini yang akan di blacklist dan administrator IP botnet tersebut yang akan kelabakan membuka blocklist yang dilakukan oleh server-server antispam.
Celah keamanan MS 05-039 Sebenarnya celah keamanan MS 05-039 Plug and Play vulnerability tidak terlalu luar biasa dan OS yang rentan dan dapat terinfeksi dengan mudah hanyalah OS Windows 2000 dan OS lain seperti Win XP dan Windows 2003 agak sulit untuk di eksploitasi, Windows NT, 98 atau ME tidak memiliki celah keamanan ini karena tidak memiliki kemampuan PnP (Plug and Play). Tetapi entah mengapa penyebabnya tahu-tahu dalam waktu satu minggu sejak celah keamanan Plug and Play MS 05-039 ini diumumkan sudah muncul belasan virus yang mengeksploitasi celah keamanan ini. Mungkin salah satu penyebab dari banyaknya bot yang muncul adalah karena kode eksploitasi untuk celah keamanan ini juga muncul 2 hari setelah celah keamanan ini diumumkan oleh Microsoft. Karena itulah Vaksincom memberikan peringatan kepada seluruh pengguna Windows 2000 untuk SEGERA mengupdate OS nya dan menjalankan patching untuk MS 05-039. Untuk download patch dapat dilakukan di alamat :
http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx dan ukuran download untuk update setiap OS rata-rata 0.5 MB. Pelanggan Vaksincom di sleuruh Indonesia yang mengalami kesulitan dalam mendownload / mendapatkan update patch ini harap menghubungi perwakilan Vaksincom di kota anda untuk mendapatkan bantuan atau kunjungan on site dari Vaksinis (teknisi Vaksincom) Gratis.
Menyebabkan Windows 2000 / 2000 Server restart berulang-ulang Jika anda pengguna OS Windows 2000 / 2000 server dan dalam 3 hari terakhir ini komputer anda mendadak restart berulang-ulang, anda perlu mencurigai bahwa sistem komputer perusahaan anda telah terinfeksi virus Bot yang mengeksploitasi celah keamanan ini. Meskipun komputer anda telah terproteksi program antivirus yang terupdate sekalipun, kami yakinkan bahwa komputer anda tetap rentan terhadap serangan Bot ini karena :
Karena itu sekali lagi Vaksincom menekankan pada pentingnya implementasi program antivirus yang baik dan benar, yang paling penting bukan program antivirusnya merek paling terkenal atau paling mahal tetapi antivirus terupdate yang di implementasikan dengan baik dan dukungan lain seperti update patch OS secara teratur, support on site secara teratur dalam Bahasa Indonesia ada team ahli yang setiap saat mendedikasikan waktunya mengikuti perkembangan sekuriti terakhir bekerja untuk anda. Setiap pembelian antivirus dari Vaksincom sudah "termasuk" instalasi, implementasi, update patch ke seluruh komputer dalam jaringan dan kunjungan rutin berkala tanpa ada tambahan biaya apapun.
Bot, Ada Apa Denganmu ? Sebenarnya apa sih yang sedang terjadi dan siapa saja yang saling menyerang ? Salah satu penyebab bagaimana sampai muncul belasan varian hanya dalam 1 minggu adalah karena cepatnya pemunculan kode eksploit pada dunia underground dan jangan terlalu kagum pada banyaknya varian yang muncul karena pada banyak kasus ternyata tidak ada perbedaan pada varian yang berbeda melainkan hanya pada jenis kompilasi yang dilakukan. Tujuan pembuat virus melakukan beberapa kompilasi adalah supaya virusnya tidak mudah terdeteksi oleh antivirus sehingga dianggap sebagai varian baru, cukup pintar, pembuat virus usahanya hanya mengganti program kompilasi dan pembuat antivirus setengah mati harus membuat definisi baru untuk setiap virus yang sama dengan kompilasi yang berbeda. Kompilasi (compile) adalah proses merubah kode pemrograman menjadi file yang dapat di eksekusi, jadi setelah satu program di tulis, untuk menjalankannya pada komputer program tersebut di kompilasi sehingga menjadi file yang bisa dijalankan. Program kompilasi tersebut jumlahnya cukup banyak dan metode kerjanya berbeda dan hal ini dimanfaatkan oleh pembuat virus untuk menimbulkan varian baru. Pada saat ini terlihat bahwa ada beberapa kelompok pembuat Bot yang sedang berperang yaitu pembuat Zotob (Zotob A, B, C dan F), Rbot.YN dan SDbot.ADB yang diserang oleh kelompok IRCbot (ES, ET dan EX) dan Bozori (A dan B) dimana komputer yang terinfeksi IRCbot akan mencari dan membasmi Zotob.A, Zotob.B dan Zotob.C pada komputer yang di infeksinya sedangkan Bozori selain membasmi Zotob.A, Zotob.B dan Zotob.C juga akan membasmi RBot.YN dan SDbot.ADB. Jadi genderang perang telah ditabuh dan yang kami cemaskan adalah serangan balik dari Zotob, Rbot dan SDbot yang jelas pasti akan memberikan dampak yang cukup signifikan pada lalu lintas internet. Sama seperti kasus Netsky VS Bagle maka pengguna internet yang menjadi korban pertempuran para pembuat virus. Menurut pengamatan Vaksincom, sebenarnya resiko dari Botwar ini relatif lebih rendah jika dibandingkan dampak perang virus Netsky X Bagle ataupun jika dibandingkan dengan dampak yang ditimbulkan oleh Blaster, Codered dan Sasser dampaknya tidak akan lebih besar karena celah keamanan yang di incar dalam Botwar ini cakupannya jauh lebih kecil dibandingkan RPC Dcom dan LSASS yang melegenda. Seperti yang telah diutarakan di atas PnP vulnerability "hanya" berbahaya jika menyerang komputer dengan OS Windows 2000 / 2000 Server yang belum di patch. Melihat perkembangan terakhir, OS yang makin bertambah dan mendominasi pasaran adalah Windows XP pada level workstation dan Windows 2003 pada level server sedangkan Windows 2000 / 2000 server jumlahnya stagnan dan akan menurun digantikan oleh Windows XP / 2003 Server. Secara tidak langsung, pujian juga perlu diberikan kepada Microsoft karena tindakannya dalam meningkatkan pengamanan dalam OS yang diluncurkannya (Win XP dan 2003 Server) terbukti dapat melindungi penggunanya dari eksploitasi celah keamanan ini. Penyebabnya adalah eksekusi oleh Anonymous user pada WIndows XP dan 2003 tidak dapat berjalan tanpa login local user / administrator. Perlindungan ini belum di implementasikan pada Windows 2000, namun pada bagian akhir artikel ini, kami akan menunjukkan kepada anda satu tips bagaimana membatasi eksekusi Anonymous user pada Windows 2000 / 2000 Server sehingga sekalipun komputer anda belum di patch, jika anda melakukan pembatasan eksekusi Anonymous user maka niscaya komputer anda akan terhindar dari eksploitasi.
Mencegah eksploitasi PnP vulnerability tanpa update Jika anda tidak dapat menjalankan update MS 05-039 karena satu alasan tertentu, misalnya anda kesulitan mendownload update atau anda sudah menginstal update tetapi tidak dapat melakukan restart pada komputer anda karena alasan tertentu (misalnya kalau server di restart akan menganggu produksi dan restart hanya dapat dilakukan pada hari dan kondisi tertentu saja) maka anda dapat melakukan langkah-langkah dibawah ini untuk sementara. Harap menjadi perhatian bahwa cara ini adalah temporer dan Vaksincom tetap menyarankan anda untuk melakukan update patch secara teratur dan otomatis agar terhindar dari eksploitasi sejenis di masa depan. Lakukan langkah ini untuk memblok akses Anonymous :
Jika anda menggunakan Terminal Server hal ini akan mengganggu beberapa fitur pada Windows Terminal Server dan karena solusi ini bersifat sementara, kami sarankan anda untuk tidak mengandalkan pada Restrict Anonymous kecuali anda yakin bahwa tidak ada aplikasi yang terganggu jika anda melakukan pemblokiran secara permanen. Catatan : Restrict anonymous juga dapat anda terapkan pada Windows XP dan Windows 2003 Server.
MERDEKA !!! salam, Alfons Tanujaya (AAT) Antivirus Specialist
PT. Vaksincom Tanah Abang III / 19 E Jakarta 10160 email : info@vaksin.com |
