You are currently browsing the category archive for the ‘Virus dan AntiVirus’ category.

dari : www.ebsoft.web.id

 

Mungkin sebagian besar kita tahunya kalau virus itu hanya dari tipe file exe (application) saja, karena memang sebagian besar virus berupa file exe. Padahal banyak tipe file yang berpotensi terinfeksi virus dan bisa menyebarkannya ketika dijalankan. Sehingga sering kita tidak sadar bahwa file yang dijalankan ternyata bisa mengandung virus / bibit-bibit virus.

Dengan mengatahui beberapa tipe tersebut, semoga bisa lebih berhati-hati. Berikut beberapa tipe file yang sering/bisa terinfeksi virus dan sebagian bisa menyebarkannya kembali ketika file tersebut dijalankan :

Binary Executable Files
Binary Executable Files (Portable Executable / PE) merupakan file yang isinya diterjemahkan sebagai program oleh komputer. File ini terdiri dari beberapa tipe di windows :

  • EXE (Executable / Application)Tipe file ini merupakan file yang sering terinfeksi virus dan sebagian besar virus juga berupa exe. Banyak virus yang bisa menempel di file ini dan begitu dijalankan, virus aslinya menyebar dan menginfeksi komputer. Oleh karena itu, sebaiknya ketika kita memiliki master program, maka di zip saja atau di rename untuk mengurangi resiko terinfeksi virus. Beberapa virus yang menginfeksi EXE misalnya w32/Virut, Troxa, Sality dan lainnya (baca juga ini).
  • DLL (Dynamic Link Library) dan OCX yang formatnya sebenarnya sama dengan tipe EXE, hanya saja tidak langsung dijalankan, melainkan digunakan oleh file lain seperti EXE. Sehingga virus juga bisa menginfeksi tipe file ini.
  • SCR (Screensaver) File ini juga seperti format exe, hanya saja ber ekstensi scr, yang maksudnya adalah file screensaver. Sehingga ketika dijalankan, screensaver akan tampil. Oleh karena itu, virus sering menduplikasi dirinya dengan tipe ini dan menempatkan dirinya sebagai screensaver, sehingga ketika screensaver aktif, sebenarnya virus itu yang aktif.
  • COM file (Command File), bisa berupa Text atau Binary File yang dijalankan under DOS / MS-DOS. Generasi awal virus sepertinya berupa file COM ini.
  • SYS (Device Driver), merupakan file Binary yang digunakan untuk Driver

Document Files

File Dokumen yang sering terinfeksi virus adalah file Microsoft Office terutana DOC ( Word), XLS (Excel) dan MDB ( Access Database). Virus biasanya berupa virus Macro, yang aktif jika dokumen tersebut dijalankan dan bisa menginfeksi template file ( file DOT) sehingga semua file yang dibuka selanjutnya akan terkena virus.

Sekitar bulan september 2007, file PDF mulai dimanfaatkan oleh pembuat virus untuk menyertakan kode-kode tertentu dalam dokumen tersebut. Biasanya berupa trojan. Seperti juga diberitakan Avira tanggal 6 Mei 2008, kelemahan PDF dimanfaatkan untuk menyisipkan kode virus, sehingga ketika PDF dijalankan virus yang berupa trojan tersebut bisa menginstall dirinya ke komputer.

File-File Script

File script merupakan file yang berisi script / kode-kode program dan bisa diterjemahkan oleh komputer secara langsung untuk mengontrol software/aplikasi lainnya. Beberapa file ini antara lain :

  • BAT (Batch File), merupakan file script di MS-DOS dan Windows
  • VBS (VBScript), script windows dengan bahasa VISUAL BASIC yang terbatas
  • JS (Javascript), file ini tidak bisa langsung aktif, tetapi dijalankan oleh web browser, melalui file HTML

Tipe File-file Lainnya

Beberapa tipe atau file lainnya yang juga bisa terinfeksi, menyebarkan, menjalankan atau disusupi kode virus antara lain :

  • HTM, HTML, CHM (HTML Help) file-file ini bisa menyertakan kode program Javascript, sehingga tidak jarang file ini terinfeksi Virus (trojan)
  • INF Merupakan text file (jenis lain file INI) untuk menginstall Device Driver. Virus sering mengubah/memodifikasi file tipe ini (file Autorun.inf) untuk mengaktifkan virus dan menyebarkan lewat media seperti Flash Disk.
  • Folder.htt File ini merupakan file konfigurasi Folder yang bisa berisi script kode. Terkadang virus memodifikasi isinya untuk menjalankan kode tertentu. Hal ini bisa juga terjadi pada file Desktop.ini ( Konfigurasi dekstop)

Referensi
http://en.wikipedia.org/wiki/Computer_virus
http://en.wikipedia.org/wiki/Executable_file
http://en.wikipedia.org/wiki/List_of_file_formats
http://en.wikipedia.org/wiki/Cross-site_scripting
http://www.bindshell.net/papers/xssv/
http://en.wikipedia.org/wiki/COM_file
http://en.wikipedia.org/wiki/Dynamic-link_library
http://www.virusbtn.com/news/2007/10_24.xml
http://www.avira.com/en/security_news/protection_from_pdf_exploits.html
http://en.wikipedia.org/wiki/Script_%28computer_programming%29

Iklan

dari www.ebsoft.web.id

 

Jika kita menggunakan Windows XP Home maupun Professional, dan setting untuk folder-folder yang tersembunyi (Hidden system) ditampilkan, maka akan terlihat folder yang namanya “System Volume Information” di drive C: D: dan lainnya. Kadang kita tidak bisa membuka folder ini, atau jika bisa, maka untuk mengakses filenya tidak bisa. Sebenarnya apa fungsi atau kegunaan folder ini ?

Folder “System Volume Information” merupakan Hidden System folder (folder yang tersembunyi/sengaja disembunyikan oleh system windows) yang digunakan oleh System Restore untuk menyimpan informasi dan Restore points. Tetapi saat ini sering menjadi sarang virus

 

Seperti diketahui, bahwa Windows XP Home/Professional menyertakan fungsi Restore Point, yaitu fasilitas untuk mengatasi ketika ada program baru yang di install dan menyebabkan komputer bermasalah, dengan mengembalikan kondisi windows sesaat/waktu sebelum program baru tersebut di install (disebut Restore Point). Ketika melakukan restore komputer, data atau dokumen tidak akan hilang. Nah, data-data restore point ini disimpan di folder yang namanya “System Volume Information” ini.

Folder ini akan ada di setiap Drive/ Partisi windows, misalnya C:, D: dan lainnya. Memang melihat fungsinya folder ini cukup penting, tetapi kadang bisa berbahaya. Karena aksesnya yang terbatas, maka folder ini sering digunakan oleh virus untuk menyimpan duplikasi dirinya dan virus bisa menyerang lagi (kembali aktif) jika dilakukan restore. Selain itu kita biasanya tidak bisa mengakses folder ini. Bahkan antivirus yang mendeteksi ada virus di folder ini kadang juga tidak bisa menghapusnya.

Sebenarnya jika tidak begitu penting fasilitas ini bisa dimatikan, karena selain sering menjadi sarang virus, juga sering memakan space hardisk yang cukup banyak. Untuk mengaturnya bisa dibuka Start Menu > All Programs > Accessories > System Tools > System Restore. Untuk mematikan fasilitas ini cek menu “Turn off system restore for all drives”.

Jika yakin komputer kita bebas virus, maka fasilitas ini bisa juga diaktifkan, yang perlu diatur mungkin hanya penggunaan space hardisknya. Masing-masing drive C:, D: dan lainnya bisa dibatasi maksimal penggunaan space-nya dengan klik tombol Setting di masing-masing drive tersebut.

Apakah ada cara untuk mengakses folder ini ?

Ya, ada beberapa cara yang berbeda tentang bagaimana cara mengakses folder ini. Yang perlu diketahui hanya windows yang digunakan (Home atau Professional) dan tipe File System ( FAT32 atau NTFS) yang bisa diketahui dengan klik kanan Drive C:, D: atau lainnya di windows explorer dan pilih Properties. Untuk cara-cara mengakses folder ini bisa dibaca selengkapnya disini (http://ebsoft.web.id).

Referensi

dari www.ebsoft.web.id

Mungkin sebagian sudah pernah mengalami ketika antivirus mendeteksi sebuah virus atau file yang terinfeksi virus, maka biasanya akan langsung dihapus. Tidak pandang bulu apakah sebelumnya file tersebut penting atau tidak, formatnya apa dan betapa berharga dokumen tersebut bagi kita. Ini juga sering muncul di komentar atau pertanyaan di ebsoft.web.id

Berikut sedikit penjelasan mengenai beberapa hal tersebut seperti mengapa kok antivirus langsung menghapus file, yang satu mendeteksi tetapi yang satu tidak, adakah antivirus yang tidak langsung menghapus file yang terinfeksi virus dan sebagainya

 

Pada umumnya tujuan utama antivirus adalah mencegah virus menginfeksi sistem komputer kita, ini adalah prinsip utama. Meskipun kedepannya banyak antivirus yang sudah dilengkapi dengan fasilitas untuk memperbaiki sistem yang rusak. Tetapi tetap saja fungsi utama antivirus adalah untuk mencegah, dan mengobati adalah prioritas yang kesekian.

Oleh karena itu jika sistem komputer sudah terinfeksi virus, maka sebagian antivirus tidak berdaya, dan kita harus mencari alternatif lain untuk membasmi virus tersebut. Hal ini wajar, karena virus akan berusaha mematikan kinerja antivirus dan segala upaya dilakukan untuk mempertahankan dirinya. Sementara antivirus sudah tidak bisa berfungsi penuh. Maka update virus atau antivirus secara rutin akan berperan penting dalam usaha menjaga sistem dari serangan virus.

Mengapa Virus yang terdeteksi langsung dihapus ?

Hal ini sebenarnya bagi sebagian antivirus bisa diatur. Hampir semua antivirus menyediakan pengaturan akan diapakan ketika mendeteksi sebuah virus atau file yang terinfeksi virus. Dan memang biasanya pengaturan default (bawaan) akan langsung menghapus file tersebut. Maka ketika menggunakan antivirus, sebaiknya juga dilihat pengaturan tersebut. Jika tidak ingin file yang terdeteksi virus langsung dihapus, maka harus mengubah setting yang ada. Atau minimal kita mengawasi ketika proses scan berlangsung.

Hal tersebut juga merupakan pilihan sebagian besar antivirus, karena sebagian besar pengguna biasanya kurang tahu seberapa besar dampak virus tersebut, sehingga antivirus akan langsung menghapus untuk keamanan data dan sistem komputer.

Antivirus mendeteksi virus tetapi tidak bisa dihapus

Hal ini biasanya terjadi ketika komputer sudah terinfefksi virus, dan beberapa virus sudah berjalan di komputer, sehingga ketika satu virus akan dihapus, virus yang lain melindunginya atau mencegahnya sehingga gagal dihapus. Selain itu perlu juga dicermati dimana lokasi virus tersebut, jika berada di folder yang di proteksi windows (misalnya seperti di folder System Volume Information) maka biasanya tidak bisa dihapus, karena aksesnya dibatasi oleh windows. Bisa dibaca selengkapnya tentang System Volume Information

Adakah antivirus yang selalu memperbaiki, tidak menghapus ?

Jika sepenuhnya memperbaiki, sepertinya tidak ada dan mungkin tidak akan pernah ada, mengingat jumlah virus yang mencapai ribuan, bahkan ratusan ribu dan teknik infeksi file yang bermacam-macam. Memang sebagian file yang terinfeksi virus masih bisa diperbaiki, tetapi sebagian lainnya tidak. Bahkan otomatis file yang terinfeksi akan rusak dan hampir mustahil di kembalikan lagi. Hal ini sangat tergantung teknik virus yang digunakan menginfeksi file.

Maka untuk kemanan data, ketika antivirus mendeteksi virus, perlu diperiksa apakah benar 100% virus atau hanya file yang terinfeksi virus ( dokumen penting yang terinfeksi virus). Jika yakin virus dan bukan data penting langsung dihapus tidak ada masalah, tetapi jika merupakan data, sebaiknya di simpan di karantina. Selanjutnya dicatat nama virus yang menginfeksi, karena informasi ini sangat penting digunakan untuk mencari informasi bagaimana menyelamatkan datanya.

Banyak antivirus yang membuat tools khusus atau program terpisah untuk memperbaiki file yang terinfeksi virus. Sebaiknya hal ini juga diperiksa. Selain itu, jika yang menyerang virus lokal, biasanya antivirus lokal juga akan lebih akurat dalam waktu yang dekat, sedangkan antivirus luar responnya mungkin lebih lama. Tetapi tidak menutup kemungkinan antivirus luar yang berhasil mendeteksi terlebih dulu.

Dari www.ebsoft.web.id

Mungkin sebagian besar kita sudah mengetahui apa itu Autorun.inf, tetapi saya yakin masih banyak juga yang belum tahu atau masih kurang tepat memahami tentang file autorun.inf ini. Hal ini terbukti masih sering kita dengan orang bertanya tentang virus Autorun.Inf, bagaimana cara menghapusnya dan lain-lainnya.

Kali ini akan dibahas sedikit lebih dalam mengenai Autorun.inf, semoga yang sudah tahu semakin tahu dan yang belum tahu mulai sedikit paham tentang autorun.inf, baik struktur yang ada didalamnya, manfaat, bahaya dan cara mematikan autorun.inf.

 

Autorun atau autoplay merupakan fasilitas di sistem operasi yang berfungsi menjalankan file secara otomatis ketika media seperti CD-ROM, DVD-ROM, Flash disk dan lainnya di masukkan/pasang di komputer. Sehingga ketika berbagai media tersebut dimasukkan, tanpa kita menjalankan apapun, ada program yang akan otomatis berjalan sendiri. Fitur ini biasa dimanfaatkan dalam CD Driver yang disertakan ketika membeli motherboard / VGA. Tetapi saat ini tidak dipungkiri malah dimanfaatkan sebagai media penyebar virus, terutama melalui flashdisk. Apalagi dengan penggunaan flashdisk yang sudah seperti jamur di musim hujan..

Sedangkan file Autorun.inf sendiri merupakan file yang berisi instruksi tertentu, tentang apa yang otomatis dijalankan ketika media seperti flashdisk/CD dimasukkan ke komputer. Instruksi ini dapat berupa perintah untuk menjalankan file exe.

STRUKTUR AUTORUN.INF

Autorun.inf hanya berupa text file biasa dan bisa dibuka dengan text editor seperti notepad. Ada baris-baris kode yang umum dijumpai didalamnya. Sebenarnya ada beberapa bagian (Key) yang bisa ditulis di autorun, yaitu [Autorun], [Content], [ExclusiveContentPaths], [IgnoreContentPaths], dan [DeviceInstall]. Disini hanya akan dibahas beberapa struktur [Autorun] saja, karena memang ini yang sering kita lihat ( selengkapnya bisa di baca disini )

Open

Perintah ini akan otomatis menjalankan file exe yang ada. Misalnya sebagai berikut
Open=setup.exe ( akan menjalankan file setup.exe yang berada satu direktory dengan autorun /root direktory)

Open=virus\inivirus.exe (akan menjalankan file inivius.exe yang ada di folder virus)

action
Untuk menampilkan nama/pesan ketika muncul Autoplay dialog.

shellexecute

Hampir sama dengan perintah Open, tetapi bisa juga untuk selain file exe, termasuk link website dan bisa ditambah dengan parameter sesudah nama file. Contoh :

shellexecute=http://ebsoft.web.id
action=Kunjungi ebsoft.web.id

icon

Untuk memberi icon di media yang dipakai (yang berisi autorun.inf). Bisa menggunakan file .ico, .exe .dll maupun .bmp. Contohnya :

icon=MyProg.exe,1
icon=myicon.ico

label

untuk memberi label (nama) pada media yang digunakan (nama drive CD-ROM atau flashdisk yang berisi autorun.inf tersebut.

label=Flashdisk Hebat

shell

Untuk menampilkan menu ketika klik kanan drive yang bersangkutan. Misalnya contoh berikut :

shell\menu baru=buka file contoh
shell\menu-baru\command=notepad "file-contoh.txt"
shell=menu baru

dengan kode diatas, maka ketika kita klik kanan drive-nya akan muncul menu “buka file contoh”. jika baris pertama dihilangkan maka menunya “menu baru”. dan ketika menu tersebut di klik akan dijalankan notepad dengan membuka file “file-contoh.txt”. Jadi ketika baris kode tersebut saling berhubungan. Jika baris 1 da 3 sama-sama digunakan maka baris 3 akan diabaikan.

Selanjutnya ketika fasilitas Autorun di hilangkan / di non aktifkan, maka program di open dan shellexecute tidak akan berjalan secara otomatis. Tetapi label, icon dan menu klik kanan tetap akan tampil. Agar lebih aman, maka kita bisa me-nonaktifkan fasilitas Autorun ini. bagaimana caranya ? Berikut penjelasannya :

Berbagai cara Me-nonaktifkan fasilitas Autorun di Windows

  • Menekan dan menahan tombol Shift ketika kita memasang/memasukkan Flashdisk/CD-ROM ( tidak berjalan di windows Vista).
  • Me-nonaktifkan melalui Registry
  • Memanfaatkan fasilitas gpedit.msc

Me-nonaktifkan Autorun melalui Registry

  1. Buka Registry Editor, Start Menu > Run, ketikkan Regedit
  2. Buka Key berikut : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  3. Jika ada Key NoDriveTypeAutoRun, maka double klik dan isi nilainya dengan salah satu nilai berikut :
    Decimal Hexadecimal Efek yang dihasilkan
    181 b5 Autorun tidak berjalan sama ekali untuk semua media
    149 95 Autorun hanya aktif untuk CD-ROM / DVD-ROM
    177 b1 Autorun hanya aktif untuk flash drive (flashdisk dan sejenisnya)
    145 91 Autorun aktif untuk semua media
  4. Jika Key NoDriveTypeAutoRun tidak ada maka buak dengan cara klik kanan, pilih New > Binary Value. Kemudian beri nama NoDriveTypeAutoRun, dan isi nilainya ( double klik) dengan nilai diatas.
  5. Langkah diatas hanya berefek di User yang bersangkutan. Agar berefek di semua pengguna komputer, lakukan hal yang sama untuk Key : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Jika masih menggunakan Win 9x/ME maka caranya sedikit berbeda. Selengkapnya bisa dibaca artikel disini. Lebih jauh tentang caranya bisa dibaca juga artikel berikut : Mencegah virus menular melalui Flashdisk

Memanfaatkan fasilitas gpedit.msc

Ini bisa dilakukan untuk pengguna Windows 2000, Server 2003 dan Windows XP Professional, langkah-langkahnya sebagai berikut :

  1. Dari Start Menu > Run, ketikkan gpedit.msc lalu klik OK.
  2. Pilih Computer Configuration > Administrative Template dan klik System
  3. Di panel Settings, klik kanan Turn off Autoplay dan klik Properties ( di windows 2000, namanya Disable Autoplay)
  4. Klik Enabled kemudian pilih All drives di box Turn off Autoplay untuk mematikan fasilitas autorun di semua drive.
  5. Klik OK, dan tutup window dialog tersebut.
  6. Restart Komputer.

Untuk Pengguna Windows Vista, caranya sebagai berikut :

  1. Dari Start Menu ketikkan Gpedit.msc di box Start Search lalu tekan enter ( mungkin akan di tampilkan perintah untuk memasukkan password administrator)
  2. Di bagian Computer Configuration pilih Administrative Templates lalu pilih lagi Windows Components klik Autoplay Policies
  3. Di panel Details, double klik Turn off Autoplay
  4. Klik Enabled dan pilih All drives di box Turn off Autoplay untuk me-nonaktifkan Autorun di semua drive.
  5. Restart Komputer.

Jika cara diatas tidak berhasil menon aktfkan autorun, maka kemungkinan perlu download update sesuai dengan versi windows yang digunakan. Detailnya sebagai berikut :

Referensi :
http://en.wikipedia.org/wiki/Autorun.inf
http://support.microsoft.com/kb/953252/en-us
http://www.dailycupoftech.com/usb-drive-autoruninf-tweaking/
http://msdn.microsoft.com/en-us/library/bb776823.aspx

Dari www.ebsoft.web.id

Beberapa waktu terakhir muncul banyak “Antivirus Palsu” yang bisa berbahaya jika terinstall di komputer. Jika kita sedang browsing dan tiba-tiba muncul pesan untuk menginstall program atau antvirus tertentu atau pesan bahwa komputer kita terinfeksi virus, trojan, spyware dan sejenisnya, maka harus berhati-hati, bisa-bisa komputer kita di install antivirus palsu.

Mengapa Antivirus palsu ? karena melihat tampilan dan proses kerjanya, kita akan yakin bahwa program ini benar-benar antivirus atau anti spyware, malware dan sejenisnya dan hampir tidak tampak bahwa program ini menyimpan maksud tertentu diluar tampilannya yang terkesan antivirus.

Dalam dunia Virus-Antivirus (security), program ini masuk dalam kategori Rogue Security Program, yaitu software yang mengaku men-scan/mendeteksi malware ( virus, trojan, worm, spyware dan sejenisnya) atau berbagai masalah lain di komputer, tetapi pada dasarnya berusaha menipu atau mendesak penggunanya untuk membeli program tersebut dengan cara menganggu, menampilkan pesan yang tidak benar tentang kondisi komputer, menampilkan hasil scan yang tidak benar dan sejenisnya. Terkadang aplikasi ini ter install tanpa sepengetahuan pengguna atau tanpa ijin.

Jika melihat tampilan contoh-contoh diatas, mungkin tidak terpikir jika produk-produk tersebut merupakan produk yang harus diwaspadai. Masing-masing produk tersebut mempunyai tingkat atau level bahaya yang berbeda-beda.

Meski sebagian mungkin hanya menampilkan pesan agar membeli program tersebut, tetapi sebagian lainnya mempunyai tingkat bahaya yang cukup tinggi, seperti membuka celah keamanan komputer, menganggu koneksi jaringan, modifikasi file sistem, mengumpulkan informasi pribadi, menggunakan banyak resources CPU/Memory komputer dan sebagainya.

Jika di komputer terdapat salah satu program diatas atau antivirus yang belum dikenal (asing / belum terpercaya), maka sebaiknya program tersebut di uninstall. Berbagai informasi tentang software sejenis juga dapat ditemukan di alamat http://sunbeltblog.blogspot.com.

diambil dari www.vaksin.com

Tanpa bantuan Lembaga Survei manapun, tentunya para pengguna komputer sepakat bahwa Conficker merupakan virus jawara yang paling banyak menyebar di dunia, terumasuk Indonesia. Virus yang mengeksploitasi celah keamanan RPC Dcom MS 08-067 secara de facto telah membuat pusing semua pengguna komputer, khususnya administrator jaringan karena kemampuannya menyebar di jaringan dengan sangat efektif dan untuk membasmi virus ini sangat sulit. Untuk mengeyahkan Conficker dari komputer yang terinfeksi sangat sulit karena ia menempel pada proses Windows svchost yang jika di stop akan menyebabkan komputer restart. Jadi sekali menginfeksi komputer ibarat orang kalau digigit tokek, kata nenek tidak akan lepas sampai ada geledek menyambar :P./P>

 

Celakanya, rupanya pembuat Conficker tidak mudah puas dengan “prestasinya” dimana varian A dan B berhasil menginfeksi belasan juta komputer di seluruh dunia. Terakhir muncul Conficker.C yang memberikan ancaman baru bagi pengguna komputer, dimana pada tanggal 1 April 2009 seluruh komputer yang terinfeksi Conficker.C ini akan secara serentak menghubungi 50.000 situs di internet untuk mengupdate dirinya. Jika anda bertanya, mengapa 50.000 situs, dan bukan 500 situs. Bukankah bisa gempor membuat 50.000 situs ? Jawabannya adalah justru pembuat Conficker ini ingin membuat gempor para vendor antivirus karena dia belajar dari pengalaman dimana varian awalnya mengupdate ke ratusan situs, tetapi karena situs-situs tersebut di blok atas permintaan vendor antivirus maka Conficker A dan B dapat dikatakan “layu sebelum berkembang” karena misinya mengupdate dirinya gagal. Kalau virus Conficker A dan B yang “layu sebelum berkembang” saja sudah mampu membuat para korbannya babak belur dan menginfeksi belasan juta komputer di seluruh dunia, lalu apa yang akan dilakukan virus Conficker.C kalau berhasil “mekar” pada tanggal 1 April 2009 nanti ? Berdoa saja semoga ini hanya menjadi April Mop dan pembuat Conficker.C ini tidak melakukan update atau updatenya gagal. Tetapi yang jelas, secara teknis semua komputer yang terinfeksi Conficker.C dan terkoneksi ke internet sudah dapat dipastikan akan menghubungi 50.000 situs untuk mengupdate dirinya.

 

 

Pengguna Gaptek dan Provider Cuek

 

Jika anda bertanya, bagaimana sebenarnya Conficker menyebar. Caranya mudah saja, Conficker belajar dari Amway atau CNI untuk menyebarkan dirinya. Karena sifatnya worm, ia hanya perlu menginfeksi satu komputer saja di jaringan dan kemudian komputer tersebut akan melakukan scanning terhadap seluruh komputer dijaringannya dan menginfeksi semua komputer yang bisa di infeksinya. Lalu, jika komputer yang di infeksinya terkoneksi ke jaringan lain, ia akan kembali melakukan scanning dan menginfeksi komputer di jaringan lain. Hal ini berjalan terus menerus tanpa henti.

Celakanya, salah satu sumber penyebaran Conficker adalah komputer-komputer yang terkoneksi ke ISP internet baik secara dial up atau broadband. Dimana jika satu pelanggan terinfeksi oleh Conficker, maka ia akan berusaha terus menerus menginfeksi komputer lain yang terkoneksi melalui jaringan dan ISP yang sama. Perlu anda ketahui, yang dimaksud ini tidak terbatas pada dial up dan broadband konvensional tetapi juga broadband 3G. Vaksincom melakukan scanning pada salah satu jaringan 3G Broadband milik provider terbesar Indonesia pada tanggal 31 Maret 2009 dan menemukan banyak komputer-komputer yang terinfeksi Conficker.

 

Apa yang mungkin terjadi ?

 

Jika kita belajar dari kasus-kasus infeksi virus yang secara serempak digunakan untuk menyerang satu situs tertentu, kita bisa melihat contoh virus MyDoom yang pada tanggal 1 Februari 2004 berhasil memberikan “kiamat” (down) bagi situs Santa Cruz Operation karena di Ddos oleh jutaan komputer yang terinfeksi virus MyDoom. Sebabnya SCO di Ddos kemungkinan adalah karena dua hal, pertama karena SCO berseteru dengan para pengguna Linux dan yang kedua adalah karena mereka pada tanggal 27 Januari 2004 menawarkan US $ 250.000 bagi siapapun yang bisa memberikan informasi untuk menangkap pembuat virus MyDoom. Sebenarnya situs Microsoft juga sempat di Ddos oleh MyDoom pada tanggal 3 Februari 2004, tetapi “untung” tidak sampai mengakibatkan “kiamat” bagi situs Microsoft. Apakah Ddos ini disebabkan karena Microsoft juga mengeluarkan sayembara hadian US $ 250.000 bagi yang bisa membantu menangkap pembuat virus MyDoom …. Hanya pembuat MyDoom yang tahu. Yang jelas, Microsoft juga mengeluarkan sayembara US $ 250.000 bagi yang bisa membantu menangkap pembuat Conficker.

Cerita lain dari MyDoom adalah pada tanggal 26 Juli 2004 MyDoom juga menyerang 3 search engine terpopuler saat itu, Google, AltaVista dan Lycos dan serangan ini berhasil mengganggu beberapa fungsi search Google dan mengakibatkan kelambatan yang signifikan pada situs AltaVista dan Lycos.

Selain Ddos pada situs, kira-kira hal apa yang mungkin dilakukan oleh virus Conficker.C pada 1 April 2009 nanti ? Kalau virus Conficker.C tidak memiliki kebiasaan buruk dan hanya melakukan Ddos dan menggunakan komputer korbannya untuk mengirimkan SPAM, kerugian yang mungkin kita alami adalah lalu lintas internet akan sangat padat dan kemungkinan para pengguna internet pada 1 April 2009 akan mengalami kelambatan koneksi. Baik karena Ddos, penyebaran ulang varian baru Conficker ataupun karena SPAM yang disebarkan oleh komputer-komputer yang terinfeksi Conficker.

Tetapi jika pembuatnya memiliki niat jahat seperti mencuri data komputer korbannya dan menjual kepada pihak yang berminat, maka kasus serupa dengan “Goshnet” bukan tidak mungkin akan terjadi. Maka jika anda pengguna komputer yang terkoneksi ke internet dan memiliki data penting yang kalau hilang bisa membuat anda nangis bombay, Vaksincom menyarankan anda untuk melakukan backup atas data anda. Jika anda memiliki data yang conficential dan di incar orang seperti rahasia negara atau sejenisnya, khususnya untuk pekerja di kedutaan besar. Sebisa mungkin hindari menggunakan jaringan internet tanpa perlindungan yang memadai dalam berkomunikasi dan jangan sekali-kali mencampurkan komputer yang memproses data classified dengan data pribadi anda. Ingat jaringan internet adalah jalan umum yang bisa dilalui siapa saja dan jika anda mengobrol di jalan umum, kemungkinan untuk didengar orang lain sangat besar. Usahakan menggunakan jalan khusus seperti VPN, atau kalau mampu seperti Presiden Obama menggunakan jaringan GSM khusus yang terpisah dari umum untuk komunikasi Barrackberrynya (Sectera Edge).

 

 

Preventif

 

Vaksincom menyarankan para pengguna komputer Indonesia melakukan tindakan-tindakan berikut dalam mengantisipasi kemungkinan terburuk serangan Conficker.C :

  1. Lakukan PATCH semua OS di komputer-komputer jaringan anda dengan lengkap. Khusus untuk antisipasi virus Conficker perhatikan bahwa patch MS 08-067 terinstal dengan baik dan benar.

  2. BACKUP data penting anda, baik di komputer masing-masing maupun di database server. Ingat, file yang di backup ditempatkan terpisah dari komputer yang di backup dan jangan sekali-kali di simpan di harddisk yang sama dengan komputer yang di backup. Kalau bisa miliki satu harddisk backup USB atau kalau mau murah backup ke CD / DVD.

  3. Hindari menyalakan komputer yang tidak terpakai pada saat pulang kantor, apalagi komputer tersebut terhubung ke internet secara broadband karena sangat rentan digunakan untuk Ddos, menyebarkan virus atau spam.

  4. Jika anda memiliki database server, webserver atau mailserver yang harus dinyalakan 24 jam. PASTIKAN semua patch sudah terinstal dengan baik dan lindungi dengan aplikasi sekuriti yang memadai.

  5. Jika anda ingin pendekatan “paranoid”, matikan semua komputer dan internet pada malam ini 31 Maret 2009 dan jangan hidupkan internet sampai besok pagi kira-kira jam 10.00 atau sampai anda dengan persis apa yang akan dilakukan oleh Conficker.C besok.

  6. Jika anda pelanggan Vaksincom, hubungi teknisi@vaksin.com atau cs@vaksin.com untuk mendapatkan tools khusus scan jaringan dari infeksi Conficker.

Credit To :

 

Alfons Tanujaya

 

PT. Vaksincom

Jl. Tanah Abang III /19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851