MAKALAH KAJIAN MENDITEKSI DAN MENGATASI ANCAMAN CONFICKER Disusun oleh Rizki kurniadi 3307220373 Politekhnik Negeri Jakarta ABSTRAK Kehidupan di era globalisasi yang serba modern dan serba berbasis komputer merupakan cerminan dari diri manusia yang semakin intelek. Seiring berkembangnya peradaban, kebutuhan akan komputer tak terelakkan lagi. Hampir setiap instansi baik swasta maupun pemerintah menggunakan komputer sebagai sarana bekerja mereka. Komputer tanpa koneksi jaringan (stand alone) bagaikan manusia tanpa dunia. Kebutuhan akan internet dan berbagai akses dari dunia maya sekarang ini sudah menjadi kebutuhan primer bagi para pecinta komputer network. Namun dengan terkoneksinya komputer dengan jaringan, itu berarti telah terbukanya gerbang bagi virus-virus internet dan aksi para hacker/cracker. Itu berarti kita harus siap akan kemungkinan terinfeksinya komputer kita oleh virus-virus yang dengan sangat cepat bisa berkembang biak dalam komputer. Sebagai antisipasi terhadap dampak dari terinfeksinya komputer oleh Conficker/worm, maka alangkah baiknya jika kita menggunakan anti virus sebagai benteng terhadap Conficker. Atau dengan membuat system keamanan jaringan pada komputer kita. Untuk itu penyusun mencoba membahas tentang bagaimana mendeteksi dan menghapus conficker. DAFTAR ISI Abstrak Daftar isi Bab I Pendahuluan 1.1 Latar Belakang Masalah 1.2 Batasan Masalah 1.3 Tujuan Penelitian 1.4 Metodologi peneltian 1.5 Sistematika Penulisan BAB II Landasan teori BAB III Pembahasan 3.1 Pengertian Conficker 3.2 Mendeteksi Conficker 3.3 Dampak-Dampak Conficker 3.4 Mengatasi Conficker BAB IV Analisa hasil pengembangan dan Pengujian BAB V Penutup BAB I PENDAHULUAN 1.1LATAR BELAKANG MASALAH Penamaan virus conficker diambil dari gabungan dua bahasa yaitu Inggris dan Jerman, configure (Inggris) serta ficker (Jerman) yang berkonotasi kasar (fucker). Virus Conficker juga dikenal sebagai Downup, Downadup dan Kido adalah virus komputer jenis worm yang menyerang sistem operasi Microsoft Windows, pertama kali diketahui menyebar pada November 2008. Conficker diyakini sebagai virus yang paling besar dampaknya serta cepat menyebar seperti halnya yang terjadi pada 2003 lalu dengan worm yang bernama SQL Slammer Worm. Virus Conficker sekarang lagi ngetrend di Indonesia. Diperkirakan sudah puluhan ribu komputer terinfeksi di Indonesia dan jutaan di dunia. Gejala Conficker yang paling umum adalah munculnya pesan Generic Host Process Error setiap kali pengguna komputer menghubungkan dirinya dengan internet. Selain itu, Conficker juga diketahui menyebabkan login username Active Directory dikunci karena ia melakukan aksi Bruteforce. 1.2BATASAN MASALAH Penulisan makalah ini akan mengupas tentang mendeteksi dan mengatasi ancaman conficker, pada jaringan computer yang terhubung dengan internet atau stand olone. Factor keamanan dari setiap computer dan bagaimana cara agar computer terbebas dari ancaman conficker. 1.3 TUJUAN PENULISAN Penulisan makalah ini bertujuan untuk mengetahui suatu jaringan computer terinfeksi conficker serta untuk menjelaskan solusi-solusi tentang cara untuk mengatasi masalah tersebut. 1.4METODOLOGI PENELITIAN Metode penelitian dengan mempelajari bagaimana suatu jaringan computer terkena conficker. Dan juga dengan memberikan suatu contoh penyelesaian yang berhubungan dengan topic. 1.5SISTEMATIKA PENULISAN BAB II LANDASAN TEORI Virus Conficker yang juga dikenal dengan nama Kido atau Downadup rasanya sudah pasti akrab di telinga administrator komputer di tahun 2009. Salah satu jenis virus berkategori worm yang melakukan penyebaran yang sangat dahsyat dan memiliki dampak yang sangat serius bagi komputer di jaringan. Conficker adalah sebuah spesies unik baru dari worm yang dapat mengupdate dirinya sendiri dan telah menyedot banyak perhatian dari orang-orang yang berurusan dengan malware. Kenyataannya, apabila kalian mengoperasikan internet honeynet (Kumpulan suatu system yang didesain untuk diserang / disusupi hacker, system ini tak punya nilai produksi) belakangan ini. conficker merupakan malware yang paling sulit untuk dihindari, Mulai dari akhir November sampai dengan December 2008 tercatat lebih dari 13.000 infeksi conficker didalam honeynet yang dibuat oleh tim MTC (Malware Threat Center) dan terlihat lebih dari 1,5 juta IP address dari 206 negara terinfeksi Belakangan ini, suatu sensus yang dilakukan oleh tim MTC terhadap salah satu varian conficker, yaitu conficker.A menunjukan bahwa worm ini telah mempengaruhi lebih dari 4,7 juta IP address, sementara varian penerusnya yaitu conficker.B mempengaruhi 6,7 juta IP address. Berdasarkan analisa tim tersebut, kedua worm itu memiliki perbandingan ukuran (kelipatan 3) dan ukuran infeksi yang aktif conficker.A dan B secera terpisah adalah 1 dan 3 juta host. Jumlah yang dilaporkan kepada masyarakat luas terlihat terlalu dilebih-lebihkan, dikatakan bahwa tidak pernah terlihat dominasi infeksi yang meledak seperti ini sejak kejadian “Sasser” di tahun 2004 dan juga kemampuan menyedihkan dari antivirus untuk mendeteksi variasi biner malware sejak “the Storm” meluas pada 2007. BAB III PEMBAHASAN 3.1 PENGERTIAN CONFICKER Penamaan virus conficker diambil dari gabungan dua bahasa yaitu Inggris dan Jerman, configure (Inggris) serta ficker (Jerman) yang berkonotasi kasar (fucker). Virus Conficker juga dikenal sebagai Downup, Downadup dan Kido adalah virus komputer jenis worm yang menyerang sistem operasi Microsoft Windows, pertama kali diketahui menyebar pada November 2008. Conficker adalah sebuah spesies unik baru dari worm yang dapat mengupdate dirinya, Varian pertama dari conficker, ditemukan pada awal November 2008, tersebar melalui internet dengan memanfaatkan kelemahan network services, pada Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, dan Windows Server 2008 R2 Beta. Windows 7 masih mempunyai kelemahan ini, oleh karena itu pihak Microsoft tidak merilis Windows 7 sampai January 2009. Walaupun Microsoft mengeluarkan patch pada23 Oktober 2008, untuk menutup kelemahan ini, tetap saja masih banyak pc yang menggunakan Windows yang belum mendapatkan patch ini. Varian kedua dari worm ini, ditemukan pada Desember 2008, pada varian ini terdapat kemampuan tambahan yaitu kemampuan untuk menyebar lewat jaringan LAN melalui removable media dan jaringan yang di share. Versi ketiga Kido saat ini tengah menyebar. Program ini menggunakan teknologi yang Sangat rumit, kido mengunduh update untuk dirinya sendiri dari beberapa alamat situs web yang terus-menerus berubah. Kido menggunakan jaringan lokal sebagai jalur tambahan untuk memperoleh update, enkripsi yang sangat baik menambah kerumitan Kido. Kido bahkan memiliki mekanisme untuk mematikan fitur keamanan. Kido melakukan update dengan mengunduh kode dari 500 domain. Domain-domain itu dipilih dari 50.000 domain yang dibuat setiap hari. Kelima ratus domain itu dipilih secara acak sehingga sulit untuk dimonitor. Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bertipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype “dll” (dynamic link library). File virus yang berusaha masuk akan berada pada lokasi temporary internet 3.2 Mendeteksi conficker Gejala Conficker yang paling umum adalah munculnya pesan Generic Host Process Error setiap kali pengguna komputer menghubungkan dirinya dengan internet. Selain itu, Conficker juga diketahui menyebabkan login username Active Directory dikunci karena ia melakukan aksi Bruteforce. Penyebabnya bukanlah komputer yang menampilkan pesan GHP error tersebut, melainkan karena (minimal) salah satu komputer di jaringan anda sudah terinfeksi Conficker dan secara otomatis melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua komputer yang rentan atau belum di patch MS 06-037. Untuk mendeteksi ada tidaknya virus conficker di dalam sebuah jaringan internet kita memerlukan suatu alikasi yang memonitoring jalur-jalur yang di lewati sebuah paket, aplikasi tersebut adalah Nmap. Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara eksklusif menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan Nmap kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif pada port yang lebih spesifik. Nmap merupakan salah satu tools yang paling banyak digunakan untuk melakukan scanning jaringan dan terkenal sebagai tool yang multi platform, cepat dan ringan. Nmap berjalan pada semua jenis OS, baik mode console maupun grafis. Nmap juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh Conficker sehingga dapat membantu administrator menentukan komputer mana saja yang masih memiliki celah keamanan yang dapat dieksploitasi oleh Conficker, ia dapat melakukan scanning komputer antar segmen. Dengan Nmap bisa melakukan Probing (probe) keseluruh jaringan dan mencari tahu service apa yang aktif pada port yang lebih spesifik. Bukan saja hanya itu tapi juga mencampur fingerprinting (Banner Grap) yang bisa membandingkan dan memberikan estimasi akan apa jenis Sistem Operasi (OS) target. Nmap juga mempunyai banyak kelebihan atau Flags yang akan memanipulasi bagaimana cara dia (Nmap) melakukan Scanning, hanya perlu melakukan tcp()connect scanning yang akan membuat full connection ke host atau syn scanning juga biasa dikenal Half Connection, testing Firewall atau mencari tahu apakah ada Firewall atau Packet Filter, Idle Scan yang akan melakukan Spoofing ke Host yang lain atau memakai Decoy yang akan membuat Jejak semakin susah untuk dilacak. 3.3 DAMPAK- DAMPAK CONFICKER Conficker mempunyai dampak mampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke website keamanan. Seperti Ccert, sans, bit9, windowsupdate, pctools, norman, clamav, avira, avast, grisoft, nod32, kaspersky, f’secure, etrust, panda, sophos, trendmicro, mcafee, norton, symantec, microsoft, defender. Conficker akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows : Service name: “[%nama acak%].dll“ Path to executable: %System32%–k netsvcs Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) : Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows. Conficker akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000), Conficker berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :” netsh interface tcp set global autotuning=disabled” Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba aks es jaringan. Conficker membuat HTTP Server pada port yang acak: http://%ExternalIPAddress%: %PortAcak(1024-10000)% Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi: http://www.getmyip.org, http://www.whatsmyipaddress.com, http://getmyip.co.uk, http://checkip.dyndns.org, Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah : “rundll32.exe .[%eks tensi acak%], [%acak]“ Conficker akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa website berikut: baidu.com, google.com, yahoo.com, msn.com, ask.com, w3.org, aol.com, cnn.com, ebay.com, msn.com, myspace.com. 3.4 MENGATASI CONFICKER 1. Putuskan komputer yang akan dibersihkan dari jaringan/internet. Matikan akses WiFi kalau ada dan cabut kabel ethernet dari jaringan LAN. 2. Matikan system restore (Windows XP/Vista). Caranya pilih Start>>All Program>>Accesories>>System Tools>>System Restore kemudian pada menu setting pilih off untuk seluruh partisi. 3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Program ini tersedia cuma-cuma dan dapat di-download di bawah ini : http://download.norman.no/public/Norman_Malware_Cleaner.exe 4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry. 5. Hapus Schedule Task yang dibuat oleh virus. (C:-WINDOWS-Tasks) 6. Hapus string registry yang dibuat oleh virus 7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mampu mendeteksi virus ini dengan baik dan patch komputer anda dengan http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx guna mencegah infeksi ulang. BAB IV ANALISA HASIL PENGEMBANGAN DAN PENGUJIAN Conficker, yang juga biasa diketahui sebagai Downup, Downadup, Kido, adalah sebuah worm komputer yang khusus menargetkan pada operating system windows, worm ini pertama kali diketahui pada November 2008. Worm ini memanfaatkan celah keamanan pada windows, untuk mengkontrol mesin yang menggunakan OS ini, dan menghubungkan mereka ke virtual komputer yang di control seara remote oleh pembuat worm ini. Conficer telah menginfeksi 7 miliar komputer dan sekarang telah berada dibawah control worm ini. Mulai dari komputer pemerintahan, bisnis, dan komputer rumah di lebih 200 negara, berdasarkan New York Times Asal usul nama dari conficker ini mengacu kepada kata portmanteau(mengkonfigurasi) dan kata ficker dari bahasa jerman. Di sisi lain analis dari Microsoft Joshua Philips mendeskripsikan nama dari conficker ini adalah suatu penyusunan ulang dari nama domain trafficconverter.biz, yang digunakan conficker versi awal untuk meng-update dirinya sendiri. Varian pertama dari conficker, ditemukan pada awal November 2008, tersebar melalui internet dengan memanfaatkan kelemahan network services, pada Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, dan Windows Server 2008 R2 Beta. Windows 7 masih mempunyai kelemahan ini, oleh karena itu pihak Microsoft tidak merilis Windows 7 sampai January 2009. Walaupun Microsoft mengeluarkan patch pada23 Oktober 2008, untuk menutup kelemahan ini, tetap saja masih banyak pc yang menggunakan Windows yang belum mendapatkan patch ini. Varian kedua dari worm ini, ditemukan pada Desember 2008, pada varian ini terdapat kemampuan tambahan yaitu kemampuan untuk menyebar lewat jaringan LAN melalui removable media dan jaringan yang di share. Gejala Conficker yang paling umum adalah munculnya pesan Generic Host Process Error setiap kali pengguna komputer menghubungkan dirinya dengan internet. Selain itu, Conficker juga diketahui menyebabkan login username Active Directory dikunci karena ia melakukan aksi Bruteforce. Ada beberapa gambar file pemicu virus confiker seperti dibawah ini adalah virus confiker yang pertama kali dirilis : Virus confiker tersebut dijalankan oleh autorun.inf untuk menginfeksi dirinya ke computer korban dan ke usb. Virus tersebut bisa berganti-ganti ekstensinya, seperti (.exe,.scr.vmx.pif,.inf,)dsb. Tidak lama kemudian sekitar 5 bulan kedepan dia mengeluarkan varian virus lagi, kemudian mengeluarkan Kiddo.db dan Kiddo.ih atau biasa disebut juga (virus W32/Conficker.DV ) pada antivirus Kaspersky virus ini juga terdeteksi dengan nama Worm/Kiddo.db/ Kiddo.ih, oleh antivirus Norman terdeteksi dengan nama Worm/ Generic. Virus ini mempunyai kebiasaan yang aneh, tetapi ada kemiripan dengan virus confiker yang lama seperti mengeluarkan pesan Generic Host Process Error. Bedanya file confiker baru isi file nya seperti file korupt. Kita lihat virus versi baru dari confiker Jika komputer terlanjur terinfeksi virus Conficker yang kini menjadi momok bagi pengguna komputer di seluruh dunia, yah, tidak perlu khawatir. Anda tidak sendirian karena diperkirakan sudah ada 12 juta komputer yang terinfeksi di seluruh dunia saat ini. Kalau antivirus pun masih gagal mengatasi, masih ada cara membasminya meskipun dibutuhkan sedikit kerja keras. BAB V PENUTUP Makalah ini di buat untuk betujuan memberitahu bagaimana sutu administrator jaringan melindungi jaringan yang telah ada dari ancaman conficker,