Virus Cerdas dan Canggih Hantui Indonesia
JAKARTA (Arrahmah.com) - Pergantian tahun kerap
dijadikan sebagai ajang unjuk gigi metode baru menyebarkan virus. Jika
sebelumnya virus lokal 'hopeless' telah mengawali rekan-rekan pembuat
virus lokal di 2009, maka virus mancanegara juga tak mau ketinggalan
dan muncul dengan varian virus 'Conficker'.
Analis virus dari Vaksincom Adi Saputra menilai, Conficker merupakan
virus yang canggih yang cukup cerdas, karena memiliki kemampuan
meng-update dirinya dan memiliki satu payload spesial yang sangat
menyulitkan pembuat antivirus untuk membuat tools membasmi dirinya.
"Sehingga
tak jarang, jika jaringan komputer di kantor Anda terinfeksi virus ini,
meskipun Anda sudah banting tulang membersihkan tetapi virus tersebut
tetap membandel," ujarnya dalam keterangan tertulisnya seperti yang
dilansir detikINET, Rabu (28/1).
Conficker yang dulu muncul pada
kasus 'Generic Host Process' error kali ini muncul dengan varian dengan
target serangan Windows XP, Vista, semua versi Windows Server. Bahkan,
kata Adi, Windows 7 versi Beta pun masih rentan atas serangan virus ini.
Norman
Security Suite mendeteksi varian baru virus tersebut sebagai
W32/Conficker.DV, sedangkan antivirus lain mendeteksi sebagai
Win32.Kido.CG (Kaspersky), W32.Downadup.B (Symantec), W32.Downadup.AL
(F-Secure), W32.Conficker.B (Microsoft), W32.Conficker.A (CA, Sophos
dan McAfee), Worm_Downad.AD (Trend Micro) dan W32/Conficker.C (Panda).
Ciri File Virus
Dijelaskan
Adi, virus Conficker.DV memiliki file yang dikompres melalui UPX. File
virus berukuran 162 kb. File virus yang masuk bertipe gambar (gif,
jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype 'dll'
(dynamic link library).
Selanjutnya file virus yang berusaha
masuk akan berada pada lokasi temporary internet. Jika file virus yang
masuk berhasil dijalankan, virus akan mengkopi dirinya pada salah satu
lokasi folder. File 'dll' inilah yang aktif dan mendompleng file
svchost.exe (Windows Server Service) untuk melakukan penyebaran virus
kembali.
"Virus juga akan mengcopy file '[%nama acak%].tmp' pada
folder '%WINDOWS%\system32' [contohnya : 01.tmp atau 06.tmp]. Setelah
menggunakan file tsb, kemudian virus mendelete file tsb," tukas Adi.
Nah, jika sudah terinfeksi W32/Conficker.DV, virus ini akan menimbulkan gejala/efek sebagai berikut:
* Jika varian sebelumnya mematikan service 'Workstation, Server dan
Windows Firewall/Internet Connection Sharing (ICS)'. Maka kali ini
virus berusaha untuk mematikan dan mendisable beberapa service, yaitu
wscsvc: Security Center, wuauserv: Automatic Updates, BITS : Background
Intellegent Transfer Service, ERSvc: Error Reporting Service dan yang
lainnya. * Virus mampu melakukan blok terhadap program aplikasi
yang berjalan saat mengakses website yang mengandung string berikut:
Ccert, sans, bit9, windowsupdate, wilderssecurity dan masih banyak
lagi. Hal ini dilakukan tanpa melakukan perubahan pada host file yang
ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk
melakukan update antivirus dan mencegah user saat mencoba akses ke
situs keamanan. * Virus berusaha melakukan perubahan pada sistem
Windows Vista/Server 2008 dengan menggunakan perintah: 'netsh interface
tcp set global autotuning=disabled'. Dengan perintah ini, maka windows
auto tuning akan didisable. Windows Auto-Tuning merupakan salah satu
fitur dari Windows Vista dan Server 2008 yang berguna untuk
meningkatkan performa ketika mencoba akses jaringan. * Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet.
* Virus akan memeriksa koneksi internet dan mendownload file dengan
menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus memeriksa
pada beberapa situs berikut: baidu, google, yahoo, msn, hingga ask.com
* Virus akan membuat rule firewall pada gateway jaringan lokal yang
membuat serangan dari luar terkoneksi dan mendapatkan alamat external
IP Address yang terinfeksi melalui berbagai macam port (1024 hingga
10000). * Virus akan membuat service dengan karakteristik
tertentu agar dapat berjalan otomatis saat start-up windows serta
membuat HTTP Server pada port yang acak * Virus membuat
scheduled task untuk menjalankan file virus yang sudah dikopi dengan
perintah: 'rundll32.exe .[%ekstensi acak%], [%acak]' (detikINET)
|