Akhirnya selesai juga,informasi yang PENTING BANGET bagi Anda yang suka komputer-an.Artikel ini sudah saya selesaikan selama 1 bulan!Kaget?Tisak usah,karena Aburizal orangnya gigih serta pantang menyerah (hehehe,sombong dikit boleh khan?)Inilah edisi Virus Conficker dibawah ini persembahan Aburizal.

Pernahkah anda mendengar virus ini?Apakah komputer anda terinfeksi virus ini?Memang virus ini telah menginfeksi 10 juta komputer di seluruh dunia.Tak heran pembuat virus ini kini sedang diburu oleh FBI.
Tak seperti virus-virus yang berformat EXE(Portable Executable),Conficker berformat Dynamic Link Library(DLL),dengan nama file exyencion yang berubah-ubah.Bersifat polymorphic sehingga sulit ditebak,ukurannya pun beragam,dan dengan kondisi ter-pack menggunakan UPX atau tidak.Berbagai teknologi canggih diusung virus ini mulai dari teknik enkripsi,exploitasi celah operating system,proteksi file dan registry,API hooking,hingga automatic update yang luar biasa.

Karena berbentuk DLL,maka virus ini memerlukan bantuan dari rundll32.exe.Saat file virus di-load ke memory,virus akan memeriksa apakah ia dijalankan oleh rundll32.exe.dan mencari tahu dimana service netsvcs berada,biasanya netsvcs akan dijalankan oleh process svchost .exe pada Windows XP atau Vista.Karena dijalankan process svchost.exe pada sistem tak hanya satu,tentu dia harus mencari tahu alamat asli dari svchost tersebut,yang menjalankan serbice netsvcs.Setelah berhasil ditemukan sebuah alamat di memory akan dialokasikan,lalu meng-inject-kan code-nya di situ.Perintah load library lalu akan dipanggil,berguna untuk me-load kode jahat virus ke memory.Lalu perintah CreateRemoteThread akan dipanggil,sehingga netsvcs menciptakan beberapa thread khusus yang menjalankan kode virus ini.

Saat komputer terinfeksi ,sebelumnya ia akan memilih direktori tempatnya tinggal,apakah di System32,\ProgramFiles\InternetExplorer,ProgramFiles\MovieMaker,atau \DocumentsandSettings\ApplicationData.File induk yang ditaruh diberi attribut hidden dan system agar tak terlihat.Virus ini cukup pintar dalam melakukan proteksi terhadap file dan registrynya.Conficker menerapkan security attribut pada file atau registry-nya.Dengan Access Control List,virus ini mengeset hanya LOCAL SYSTEM yang berhak mengakses file dan registry miliknya,sehingga user setara Administrator tak dapat berkutik.Dengan me-lock pada file da registry diharapkan dapat mempersulit program antivirus.Sekarang untuk dapat aktif,Conficker akan membuat key baru di registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\Set\Services\,dengan nama acak.Pada WindowsVista,saat diujicoba ia akan membuatnya pada HKLM atau HKCU\SOFTWARE\Microsoft\CurrentVersion\Run.

Tak heran perusahaan kakap seperti Microsoft juga ikut merasa gerah atas virus ini.Virus ini dapat menyebar dengan cepat dengan memanfaatkan kelemahan dari operating system Windows.Virus ini berkemamouan untuk mengexploitasi celah pada RPC(Remote Procedure Call)Server Service yang memungkinkan virus maupun attacker melakukan remote code execution.Sungguh berbahaya sehingga Microsoft pun memberikan level critical untuk bug yang satu ini,dan memberikan sayembara bagi siapa saja yang menemukan pembuat virus ini akan dihadiahi $250,000 atau sekitar dengan 2,5 Miliar rupiah!

Saat komputer terinfeksi tehubung ke jaringan,virus ini akan mengecek apakah ada sharing ADMIN$ yang terbuka,jika ketemu maka ia akan mencari tahu siapa user pemilik sharing etsebut,dan akan mencoba masuk ke komputer user itu dengan cara mem-bruteforce password user yang bersangkutan.

Saat membedah virus ini , memang di tubuhnya diteukan kumpulan string password yang biasa digunakan.Saat berhasil masuk,virus ini akan mengkopi dirinya pada %SHARE%\ADMIN$\System32\%RandonDLL%.Dan agarfile tsb di eksekusi,virus ini akan membuat sebuah job baru pada schedule task computer korban secara remote.Job tersebut berisi perintah “Rundll32.exe,%RandomDLL%,%parameter%”.Parameter berisikan dengan nama fungsi di file DLL tsb,dan otomatis saat file DLL di load,sistem akan memanggil procedure DllMain yang merupakan entrypoint darisebuah file DLL.

Pengguna setia flashdisk juga harus sangat berhati-hati.Sebab Conficker juga memanfaatkan kelemahan fitur autorun agar dapat menyebar.Triknya ia gunakan pada autorun.inf yang ia tanamkan pada perangkat removable dengan sangat unik,juga setiap perangkat removable disk yang terinfrksi virus ini akan mendapati icon folder.User dapat terkecoh dengan teknik social-engineering miliknya,contoh pada Vista,saat dialog box autorun muncul,pesannya akan sama dengan milik Windows.,”Open folder to view files” .Begitu diklik autorun.inf akan menjalankan perintah “Rundll32.exe,%RandomDLL%,%parameter%”.Ini merupakan perintah yang sama persis dengan saat ia akan lakukan  saat membuat job pada schedule task.Pada perangkat removable disk,file virus ini dapat ditemukan pada direktori  \RECYCLER\S-%x-%x-%x-%x%x%x-%x%x%x-%x%x%x-%x\%namafile_acak%.vmx,dimana x merupakan angka ,disertai nama file yang acak ,serta dengan extension VMX.

Untuk mempersulit dalam menganalisi,virus ini enggan aktif jika ia mengetahui bahwa dirinya berada pada lingkungan virtual.Beberapa program virtual machine seperti VMWare maupun Virtual PC dapat dideteksi denagn baik olehnya.saat mengetahui dirinya dijalankan pada komputer virtual,instruksi Sleep dengan parameter -1 akan dijalankan .Akibatnya virus ni akan tidur dengan waktu yang lama bahkan selamanya.

Untuk menjaga kelangsungan hidupnya,virus ini dapat menghapus system restore point.agar user tak dapat menghapus virus dengan mengembalikan ke restore point sebelum terinfeksi.Beberapa services dimatikan seperti Automatic Update , Security Center ,  dan lain sebagainya.Untuk mengetahui dangan mudah apakah komputer anda terinfeksi,cobalah  membuka situs yang berhubungan dengan antivirus.Pesan “Address not found” atau semacamnya akan muncul dan tentunya anda tak dapat mengakses situs tersebut jika komputer Anda terinfeksi.Cara yang dilakukan adalah dengan melakukan hooking pada beberapa API yang menangani masalah DNS.

Sekedar tambahan,pesawat temput angkatan laut Prancis tak dapat mendownload rencana penerbangan setelah database-nya diserang virus Conficker.Sebenarnya pihak militer Prancis sudah diinformasikan perihal virus Conficker yang menyerang sistem mereka beberapa bulan lalu.Namun peringatan ini hanya dianggap angin lalu dan tak ditindak lanjuti . Menurit angkatan Laut Prancis,virus ini mempengaruhi pertukaran informasi tapi untung tak ada informasi yang hilang.Pihak milliter Prancis juga mengatakan bahwa infeksi virus tersebur semata-mata karena keteledoran,bukan suatu kesengajaan menyerang sistem keamanan Prancis.

Advertisements