Peringatan Virus Yang Baik 7 Mei 2004 Artikel PC Plus
Perhatian !! Program antivirus kami menemukan worm.Somefool.P pada email yang anda kirimkan. Harap segera update program antivirus anda dan scan komputer anda. Dalam beberapa minggu terakhir ini selain menerima banjir virus, para pengguna email pasti sering menerima peringatan seperti ini. Bagi yang cukup mengerti mengenai apa yang sebenarnya terjadi tentunya tidak akan panik berlebihan, tetapi bagi pengguna awam yang tidak mengetahui apa yang sebenarnya terjadi pasti akan panik dan buru-buru scan komputernya dengan berbagai macam program antivirus seperti yang diperintahkan oleh email peringatan tersebut. Padahal menurut statistik yang kami dapatkan, email peringatan akan adanya komputer yang mengirimkan virus hampir semuanya “salah alamat” alias alamat email pengirim dipalsukan oleh virus. Lantas, siapa sebenarnya yang mengirimkan peringatan yang membuat panik tersebut ?
Automatic Virus Warning Pada dasarnya setiap penemuan manusia diciptakan untuk tujuan yang baik dan memudahkan pekerjaan manusia. Ide demikian juga ada di benak pembuat program antivirus untuk mailserver. Jika anda menginstal program antivirus untuk mailserver untuk memproteksi email perusahaan, anda akan dihadapkan pada opsi mengaktifkan Automatic Virus Warning kepada pengirim email yang mengandung virus. Pada era awal (sebelum virus Klez muncul di tahun 2002) fitur ini sangat bermanfaat karena tingkat akurasi dari peringatan virus ini cukup tinggi karena metode yang digunakan oleh virus pada saat itu masih “konvensional”, yaitu memanfaatkan mail client komputer yang terinfeksi untuk mengirimkan dirinya sehingga bagian “Sender” pada email yang bervirus adalah benar pengirim virus dan jika anda menerima peringatan bahwa komputer anda mengirimkan virus maka anda harus segera memeriksakan komputer anda ke dokter (menginstal program antivirus J), pada era sebelum Klez peringatan virus otomatis termasuk “barang mewah” dan hanya dijumpai pada program antivirus korporat yang harganya cukup mahal. Namun sejalan dengan perkembangan jaman, sekarang hampir semua program antivirus mailserver baik untuk platform Windows maupun Linux sudah memiliki fitur tersebut dan sempat menjadi fitur andalan antivirus untuk mailserver. Celakanya, perkembangan virus yang dikenal sangat cepat dan dinamis memanfaatkan kelemahan dari email dimana alamat pengirim email dapat dipalsukan dengan teknik “forging” dan virus pertama yang sukses memanfaatkan kelemahan ini adalah Klez, dimana pada awal munculnya menimbulkan kepanikan pada banyak pengguna komputer yang kebingungan karena “dituduh” mengirimkan email bervirus, padahal setelah di scan komputernya bersih kinclong tidak mengandung virus. Bahkan beberapa virus termutakhir yang beredar sekarang seperti Netsky dan Bagle sudah tidak memanfaatkan mailclient atau settingan SMTP dan POP dari registri untuk menyebarkan dirinya, lebih dari itu mereka memiliki kemampuan membuat SMTP server sendiri (terkandung di dalam tubuh virus tersebut) sehingga sekalipun mailserver yang anda gunakan sudah memiliki fitur blok akses SMTP ilegal atau memiliki program antivirus untuk menjaga email bervirus tidak akan mampu mencegah Netsky menyebarkan dirinya karena SMTP server anda tidak digunakan oleh Netsky untuk mengirimkan dirinya. Demikian pula dengan pemblokiran akses SMTP seperti yang dilakukan oleh salah satu ISP terbesar di Indonesia yang memblok akses ke server SMTP ISP lain tidak akan mampu mencegah Netsky menyebarkan dirinya dan kami banyak sekali menerima email bervirus yang dikirimkan oleh pelanggan dari ISP tersebut.
Pemborosan dan pembingungan Teknik forging / pemalsuan alamat email pengirim yang dieksploitasi oleh virus jika dipadukan dengan Automatic Virus Warning pada mailserver mengakibatkan “kanker” (kantong kering) karena terjadi pemborosan bandwidth. Sebagai gambaran jika mailserver menerima 1.000 email yang mengandung virus dan alamat pengirim dipalsukan oleh virus akan secara otomatis mailserver akan mengirimkan 1.000 peringatan virus yang hampir dapat dipastikan semuanya salah alamat dan kontra produktif. Penerima email peringatan yang alamatnya dipalsukan tersebut menjadi bingung atau panik, belum lagi bila alamat email yang dipalsukan tersebut sudah tidak aktif maka mailserver yang menerima peringatan virus akan “berbaik hati” memberikan balasan yang menginformasikan bahwa alamat tersebut sudah tidak aktif / tidak ada dengan menyertakan email asli yang nyasar tadi……. Benar-benar pemborosan bandwidth yang tidak perlu. Karena itu kami sarankan bagi anda yang menginstal program antivirus pada mailserver anda, sebaiknya non aktifkan fitur Automatic Virus Warning to email Sender daripada memboroskan bandwidth dan membingungkan orang lain. Kalaupun kebijakan perusahaan mengharuskan anda mengaktifkan fitur ini, sangat dianjurkan untuk menyertakan “header” email bervirus yang asli supaya penerima peringatan akan dapat melakukan crosscheck apakah IP komputer yang mengirimkan virus tersebut memang benar sesuai dengan komputernya.
Tindakan yang dapat dilakukan Jika anda menerima email peringatan bahwa komputer anda mengirimkan virus, langkah pertama yang anda lakukan jangan panik dan periksa apakah email peringatan tersebut mengandung “header” email bervirus yang dimaksudkan. Jika header email yang di klaim bervirus tidak disertakan, tidak ada yang dapat anda lakukan selain mengkontak admin / postmaster pengirim email peringatan untuk meminta header email tersebut atau kalau tidak mau repot di diamkan saja daripada memboroskan bandwidth dan waktu untuk kegiatan yang tidak perlu. (lihat gambar 1)
Gambar 1
Tidak ada hal lain yang dapat anda lakukan selain diam saja atau mengkontak postmaster untuk meminta header email yang mengandung virus untuk dilakukan crosscheck. Namun hal ini kemungkinan besar mubazir karena kemungkinan besar postmaster belum tentu mau melayani permintaan anda dan kemungkinan besar alamat email anda dipalsukan oleh virus.
Jika peringatan virus datang disertai dengan header asli email yang diklaim mengandung virus, hal ini akan sangat membantu “menenangkan” anda karena anda dapat mengecek pada header tersebut apakah benar dari IP komputer anda yang mengirimkan virus atau bukan. (Lihat Gambar 2)
Gambar 2
Pada Gambar 2, terlihat bahwa email support@vaksin.com dipalsukan oleh virus Somefool.P alias Netsky.P untuk mengirimkan dirinya ke alamat email komisi-5@dpr.go.id dan berhasil diidentifikasi dan dihentikan oleh program antivirus CLAMD yang terinstal di mailserver. Program tersebut secara otomatis mengirimkan peringatan ke alamat sender support@vaksin.com, padahal berdasarkan header yang disertakan pada email peringatan, terlihat bahwa email tersebut dikirimkan dari IP lokal 192.5.1.18 dengan identitas dpr.go.id.
Hubungi Pemilik IP Jika anda adalah administrator mailserver, kami menyarankan anda untuk tidak menjalankan semuanya secara default karena pembuat virus yang anda hadapi adalah programmer yang sangat cerdik dan cepat sekali memanfaatkan kelemahan program dan melakukan rekayasa sosial. Jika anda ingin melakukan hal yang lebih berguna untuk menekan jumlah virus yang beredar, daripada mengirimkan peringatan yang salah alamat lebih baik anda lacak IP dari server yang mengirimkan email tersebut dan kirimkan pemberitahuan kepada administrator / contact email dari IP tersebut. Kalau IP tersebut milik ISP kirimkan ke bagian support / abuse pada ISP tersebut, jangan lupa untuk menyertakan email asli / header dari email bervirus untuk keperluan pembuktian. Pada umumnya administrator ISP memiliki sense yang sangat tinggi dan sangat tanggap serta siap membantu atau menjelaskan masalah yang sebenarnya terjadi.
AAT PT. Vaksincom Gedung Rifa lt. IV Prof. Dr. Satrio blok C4 / 6-7 Jakarta 12950 Telp : 62-21-526 0787 Fax : 62-21-526 0752 Email : info@vaksin.com |
