Mega Test 5 Tools Conficker Network Detection

Seiring dengan maraknya Swine Flu (Flu Babi) yang menyerang manusia dan menurut WHO sudah pada taraf kegentingan 4, bandara di seluruh dunia langsung bersiaga memantau para penumpang dari Meksiko dan Amerika Serikat. Kalau di dunia komputer yang menjadi sumber penyebaran virus adalah file yang terinfeksi virus, maka di dunia nyata, yang terinfeksi virus dan menjadi sarana penyebaran virus adalah manusia. Karena itu bandara menerapkan scanning atas penumpang yang dicurigai mengidap flu dengan menggunakan scanner suhu tubuh karena pengidap flu (apapun jenisnya) pasti mengalami peningkatan suhu tubuh karena badannya bereaksi atas adanya virus asing yang masuk. Sebenarnya prinsip di dunia komputer juga sama, kalau bandara menggunakan scanner suhu tubuh maka “bandara” di internet adalah router-router dan aplikasi yang digunakan bukan scanner tubuh manusia melainkan Firewall. Tetapi ada satu keunggulan yang dimiliki oleh dunia IT dibandingkan dunia manusia (jika dibandingkan) saat ini, dimana pada dunia manusia tidak mungkin (sangat sulit dan mahal) untuk dapat memantau seluruh manusia di satu kota dan menentukan siapa saja yang terinfeksi flu. Kalau di dunia IT kita bisa menggunakan scanner khusus untuk mendeteksi komputer mana saja yang terinfeksi virus sehingga dapat dilakukan antisipasi yang cepat dan efektif untuk menghadapi masalah virus.

Setelah melakukan test terhadap beberapa tools untuk membasmi Conficker, langkah berikutnya yang paling krusial jika anda administrator jaringan adalah mengidentifikasi komputer mana saja yang terinfeksi virus dan berusaha menyebarkan virus. Karena itu, Vaksincom melakukan pengetesan terhadap tools untuk mendeteksi komputer di jaringan yang terinfeksi Conficker dan berusaha melakukan penyebaran terhadap komputer dalam jaringan. Jika kita hanya melakukan pembersihan terhadap satu komputer saja tentu tidak masalah, tetapi bagaimana jika dalam jaringan anda terinfeksi komputer tetapi anda tidak tahu komputer mana yang terinfeksi, karena terkadang komputer yang menginfeksi jaringan kita tidak terduga-duga, misalnya komputer notebook yang sering dibawa pulang oleh pimpinan atau bagian yang sering dinas luar. Selain itu, jika kita memvonis komputer tertentu terinfeksi virus, tentunya kita harus memiliki bukti.

Conficker dan gejala (dalam jaringan....)

Jika pada mega test sebelumnya dijelaskan gejala conficker pada komputer tsb, maka kali ini kita harus mengatahui apa dampak conficker pada jaringan, sebagai berikut :

ü Berusaha mendownload dan mencoba akses pada 250 domain (conficker B) atau 50.000 domain (conficker C) yang random. Berikut beberapa domain yang random tsb :

aaidhe.net

barhkuuu.cn

cfhlglxofyz.biz

dtosuhc.org

elivvks.info

fsrljjeemkr.cc

gbmkghqcqy.ch

hudphigb.net

iqrzamxo.ws

jjhajbfcdmk.com

dst..................

ü Berusaha akses ke beberapa domain yang umum untuk mengecek waktu saat ini. Beberapa domain tsb yaitu :

baidu.com

google.com

yahoo.com

msn.com

ask.com

w3.org

aol.com

cnn.com

ebay.com

msn.com

myspace.com

facebook.com

rapidshare.com

ü Pada dasarnya virus ini berusaha melakukan penyebaran melalui default share windows menggunakan port 445, tetapi selain itu Conficker juga menggunakan port 1024 s/d 10000 untuk melakukan penyebaran pada jaringan komputer.

The Tools, Conficker Network Detection...

Dari beberapa tools yang ada, Vaksincom melakukan pengetesan beberapa tools yang familiar dan sering digunakan. Tools tsb dikeluarkan oleh beberapa vendor security untuk membantu mempermudah deteksi dari serangan Conficker pada jaringan anda.

Berikut beberapa tools yang tersedia sebagai berikut :

1) Wireshark

Wireshark/Ethereal merupakan salah satu dari sekian banyak tools Network Analyzer yang banyak digunakan oleh Network administrator untuk menganalisa kinerja jaringannya dan juga merupakan tools andalan Vaksinis (teknisi Vaksincom). Wireshark banyak disukai karena interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis. Wireshark mampu menangkap paket-paket data/informasi yang berseliweran dalam jaringan yang kita “intip”. Semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Tools ini tersedia di berbagai versi OS, seperti Windows, Linux, Macintosh, dll.

Pada awal kemunculan dan perkembangan Conficker, tools ini merupakan “pelopor” tools yang digunakan oleh beberapa vendor security untuk menganalisa paket-paket data/informasi dalam jaringan dari serangan Conficker. Anda dapat mendownload wireshark pada alamat http://www.wireshark.org/download.html.

Pada saat instalasi, perhatikan untuk mengaktifkan dan menginstall plugin MATE (Meta Analysis Tracing Engine), karena secara default belum diaktifkan. Plugin ini dapat berfungsi untuk memfilter seluruh paket-paket data dari berbagai protocol yang lewat dalam jaringan. Selain itu dalam proses instalasi juga disertakan WinPcap. Lakukan instalasi WinPcap, WinPcap merupakan driver yang digunakan untuk membaca dan mem-filter lalu lintas paket data/informasi yang lewat. (lihat gambar 1)

Gambar 1, Wireshark in action

Untuk penggunaannya cukup mudah, pada saat anda menjalankan Wireshark, pilih saja tab Capture kemudian pilih list Interfaces. Pada pilihan capture interfaces, pilih yang sesuai dengan jaringan LAN/Ethernet card anda kemudian klik tombol start. Wireshark juga memiliki kemampuan untuk melakukan scan komputer antar segmen.

Untuk deteksi Conficker, lakukan filter dengan protocol NBNS (NetBIOS Name Service) kemudian perhatikan info yang diberikan, umumnya NBNS akan membaca hostname komputer tetapi jika NBNS membaca selain hostname komputer dalam hal ini adalah domain-domain yang dituju oleh Conficker, maka source IP tsb merupakan komputer yang terinfeksi dan berusaha untuk menyebarkan dan mengupdate dirinya.

2) Nmap

Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara eksklusif menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan Nmap kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif pada port yang lebih spesifik. Nmap merupakan salah satu tools yang paling banyak digunakan untuk melakukan scanning jaringan dan terkenal sebagai tool yang multi platform, cepat dan ringan. Nmap berjalan pada semua jenis OS, baik mode console maupun grafis. Hebatnya lagi, tidak seperti Wireshark, Nmap juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh Conficker sehingga dapat membantu administrator menentukan komputer mana saja yang masih memiliki celah keamanan yang dapat dieksploitasi oleh Conficker. Selain itu, Nmap juga memiliki satu keunggulan yang mungkin membuat administrator jaringan besar jatuh cinta, ia dapat melakukan scanning komputer antar segmen.

Terhadap kemunculan dan perkembangan Conficker, Nmap dengan bantuan source code dari Tillman Werner dan Felix Leder dari The Honeynet Project, telah merilis versi baru dengan tambahan fitur deteksi terhadap komputer yang terinfeksi Conficker. Anda dapat mendownload versi terbaru pada alamat http://nmap.org/download.html.

Proses instalasi Nmap cukup mudah, sama halnya seperti wireshark, Nmap juga melakukan instalasi terhadap WinPcap (jika belum terinstall). Jika sudah terinstall WinPcap, biasanya akan terjadi error dan proses instalasi WinPcap sebaiknya di lewatkan saja. (lihat gambar 2)

Gambar 2, NMAP yang juga mampu memantau jaringan tidak kalah dari Wireshark

Untuk penggunaannya, baik mode console maupun GUI, kita tetap menggunakan perintah command. Penggunaan command untuk mendeteksi Conficker ada 2 cara :

- Scan jaringan dengan membaca port 139 & 445 (lebih cepat) :

nmap -p 139,445 -T4 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1…..)

- Scan jaringan dengan membaca seluruh port yang digunakan Conficker (agak lambat) :

nmap -p - -T4 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkall=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1….)

3) Retina Network Security Scanner (Conficker Worm)

Walaupun agak terlambat dan diluncurkan menjelang 1 April 2009, sebagai salah satu vendor keamanan komputer, eEye Digital Security juga ikut meluncurkan tools khusus dan gratis untuk mendeteksi keberadaan Conficker dalam jaringan. Tools ini didesain untuk mendeteksi keberadaan Conficker dan sekaligus mendeteksi vulnerability windows tsb dari celah keamanan Windows Server Service (patch MS08-067). Anda dapat mendownload tools ini pada alamat http://www.eeye.com/html/downloads/other/ConfickerScanner.html.

Proses instalasi sangat mudah dan cepat, anda cukup menjalankan file instalasi yang dilanjutkan perintah-perintah selanjutnya hingga selesai. (lihat gambar 3)

Gambar 3, Eeye yang merupakan pakar vulnerability Windows meluncurkan Retina Scanner untuk Conficker.

Bagi pengguna umum, tools Retina dari Eeye relatif lebih mudah dibandingkan Wireshark dan Nmap, saat anda menjalankan tools ini anda dapat langsung memilih target yang diinginkan baik single IP maupun dengan range IP. Jika sudah, anda dapat langsung klik tombol scan. Jika sudah selesai akan muncul box pesan tanda selesai. Hasil dari scan tsb terdapat 4 kategori yaitu :

- Not Tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)

- Infected (komputer terdeteksi terinfeksi Conficker)

- Patched (komputer bersih dan sudah di patch MS08-067)

- Vulnerable (komputer bersih tetapi belum di patch, rawan terinfeksi Conficker)

Sayangnya tools ini hanya membaca port 139 dan 445, sehingga sangat sulit jika komputer yang terinfeksi tidak mengaktifkan port tsb (File and Printer Sharing). Selain itu, Retina tidak dapat melakukan scanning antar segmen dan juga tidak memantau port 1024 – 10.000 yang di eksploitasi oleh Conficker.

4) SCS (Simple Conficker Scanner)

Tools simple dan canggih buatan Tillman Werner dan Felix Leder dari The Honeynet Project, yang pada saat awal diluncurkan banyak digunakan oleh Vaksincom untuk mendeteksi IP – IP ISP Indonesia yang terinfeksi Conficker ini menjadi rujukan beberapa vendor untuk membuat tools sejenis. Mereka membuat tools conficker network scanner dari bahasa Python yang kemudian beserta source code-nya dipublish secara bebas. Tercatat beberapa vendor seperti Nmap, eEye dan Foundstone menggunakan source code yang kemudian di compile dan dijadikan plugin tools masing-masing vendor untuk digunakan mendeteksi conficker. Tools ini dapat didownload pada alamat http://www.4shared.com/get/95921961/d7727fab/scs.html .

SCS tidak perlu diinstall, anda hanya perlu akstrak pada folder/drive yang anda tentukan saja. Tetapi untuk menjalankan SCS anda perlu meng-install Nmap. Hal ini dikarenakan SCS membutuhkan driver paket monitoring data. (lihat gambar 4)

Gambar 4, Simple Conficker Scanner yang simple tetapi canggih

Untuk penggunaannya, SCS menggunakan mode console atau command prompt. Pada mode command prompt, pindah pada folder scs kemudian ketik perintah berikut :

“scs [IP_Awal] [IP Akhir]” , contoh : C:\scs>scs 192.168.1.1 192.168.1.255

Sama seperti Retina, SCS hanya membaca port 139 dan 445 saja.

5) Conficker Detection Tool (MCDT)

Melalui salah satu divisi-nya yaitu Foundstone, McAfee ikut merilis salah satu tools network untuk mendeteksi keberadaan conficker. Tools yang juga menggunakan source dari Tillman Werner dan Felix Leder dari The Honeynet Project, merupakan pengembangan dari team Foundstone yang didesain untuk mendeteksi keberadaan komputer yang terinfeksi conficker, dan telah dipublish secara gratis. Anda dapat mendownload pada alamat http://www.mcafee.com/us/enterprise/confickertest.html .

Tools ini tidak perlu diinstall, anda hanya perlu ekstrak pada direktori / drive yang anda tentukan saja. (lihat gambar 5)

Gambar 5, Conficker Detection Tool in action

Untuk penggunaannya pun cukup mudah, saat anda menjalankan tools ini anda dapat langsung memilih range target yang diinginkan. Bahkan anda dapat melakukan scanning jika terdapat beberapa segmen pada jaringan komputer anda, hal ini yang tidak terdapat pada Retina. Tetapi sayangnya tools ini tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang di eksploitasi Conficker seperti Nmap dan Retina. Berbeda dengan Retina, tools ini memiliki 3 kategori hasil scan yaitu :

- INFECTED (komputer terinfeksi conficker)

- Not infected (komputer bersih atau tidak terinfeksi)

- Not tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)

Sama seperti halnya Retina dan SCS, tool ini hanya membaca port 139 dan 445 (File Printer Sharing) dan tidak melakukan pemantauan atas port 1024 – 10.000 yang di eksploitasi oleh Conficker.

Hasil Perbandingan.....

Dari beberapa tools tsb, kami me-review dan membuat tabel perbandingan-nya sebagai berikut :

Keterangan	Wireshark	Nmap	Retina	SCS	MCDT
Modus Program/Aplikasi	Installer	Installer	Installer	Portable	Portable
Modus Penggunaan	GUI	Command	GUI	Command	GUI
Deteksi Port 139	√	√	√	√	√
Deteksi Port 445	√	√	√	√	√
Deteksi Port 1024 s/d 10000	√	√	-	-	-
Status Deteksi Conficker	Broadcast	√	√	√	√
Kecepatan Scan (1-3)	1	1	3	2	3
Scan antar segmen/segmen lain	√	√	-	√	√
Scan vulnerability (patch MS08-067)	-	√	√	-	-

Dari hasil pengujian yang dilakukan oleh lab Vaksincom, terlihat bahwa tidak ada tools yang sempurna. Masing-masing tools memiliki kelebihan dan kekurangannya masing-masing. Nmap walaupun memiliki fitur yang paling lengkap tetapi memiliki kelemahan pada sisi penggunaan yang masih menggunakan command dan kecepatan scan yang lambat dibanding tools yang lain. Sementara MCDT merupakan tools yang sangat simple tanpa instalasi serta proses scan cukup cepat memilki kelemahan tidak dapat berfungsi dengan baik jika port 445 ditutup/disable (File and Printer Sharing di non aktifkan) dan tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang dieksploitasi oleh Conficker.

thx to vaksin[dot]com

Conficker.C, Bom waktu atau April Mop ?

Tanpa bantuan Lembaga Survei manapun, tentunya para pengguna komputer sepakat bahwa Conficker merupakan virus jawara yang paling banyak menyebar di dunia, terumasuk Indonesia. Virus yang mengeksploitasi celah keamanan RPC Dcom MS 08-067 secara de facto telah membuat pusing semua pengguna komputer, khususnya administrator jaringan karena kemampuannya menyebar di jaringan dengan sangat efektif dan untuk membasmi virus ini sangat sulit. Untuk mengeyahkan Conficker dari komputer yang terinfeksi sangat sulit karena ia menempel pada proses Windows svchost yang jika di stop akan menyebabkan komputer restart. Jadi sekali menginfeksi komputer ibarat orang kalau digigit tokek, kata nenek tidak akan lepas sampai ada geledek menyambar :P./P>

Celakanya, rupanya pembuat Conficker tidak mudah puas dengan “prestasinya” dimana varian A dan B berhasil menginfeksi belasan juta komputer di seluruh dunia. Terakhir muncul Conficker.C yang memberikan ancaman baru bagi pengguna komputer, dimana pada tanggal 1 April 2009 seluruh komputer yang terinfeksi Conficker.C ini akan secara serentak menghubungi 50.000 situs di internet untuk mengupdate dirinya. Jika anda bertanya, mengapa 50.000 situs, dan bukan 500 situs. Bukankah bisa gempor membuat 50.000 situs ? Jawabannya adalah justru pembuat Conficker ini ingin membuat gempor para vendor antivirus karena dia belajar dari pengalaman dimana varian awalnya mengupdate ke ratusan situs, tetapi karena situs-situs tersebut di blok atas permintaan vendor antivirus maka Conficker A dan B dapat dikatakan “layu sebelum berkembang” karena misinya mengupdate dirinya gagal. Kalau virus Conficker A dan B yang “layu sebelum berkembang” saja sudah mampu membuat para korbannya babak belur dan menginfeksi belasan juta komputer di seluruh dunia, lalu apa yang akan dilakukan virus Conficker.C kalau berhasil “mekar” pada tanggal 1 April 2009 nanti ? Berdoa saja semoga ini hanya menjadi April Mop dan pembuat Conficker.C ini tidak melakukan update atau updatenya gagal. Tetapi yang jelas, secara teknis semua komputer yang terinfeksi Conficker.C dan terkoneksi ke internet sudah dapat dipastikan akan menghubungi 50.000 situs untuk mengupdate dirinya.

Pengguna Gaptek dan Provider Cuek

Jika anda bertanya, bagaimana sebenarnya Conficker menyebar. Caranya mudah saja, Conficker belajar dari Amway atau CNI untuk menyebarkan dirinya. Karena sifatnya worm, ia hanya perlu menginfeksi satu komputer saja di jaringan dan kemudian komputer tersebut akan melakukan scanning terhadap seluruh komputer dijaringannya dan menginfeksi semua komputer yang bisa di infeksinya. Lalu, jika komputer yang di infeksinya terkoneksi ke jaringan lain, ia akan kembali melakukan scanning dan menginfeksi komputer di jaringan lain. Hal ini berjalan terus menerus tanpa henti.

Celakanya, salah satu sumber penyebaran Conficker adalah komputer-komputer yang terkoneksi ke ISP internet baik secara dial up atau broadband. Dimana jika satu pelanggan terinfeksi oleh Conficker, maka ia akan berusaha terus menerus menginfeksi komputer lain yang terkoneksi melalui jaringan dan ISP yang sama. Perlu anda ketahui, yang dimaksud ini tidak terbatas pada dial up dan broadband konvensional tetapi juga broadband 3G. Vaksincom melakukan scanning pada salah satu jaringan 3G Broadband milik provider terbesar Indonesia pada tanggal 31 Maret 2009 dan menemukan banyak komputer-komputer yang terinfeksi Conficker. (lihat gambar 1)

Gambar 1, Conficker mampu menyebar melalui jaringan broadband ISP 3G

Apa yang mungkin terjadi ?

Jika kita belajar dari kasus-kasus infeksi virus yang secara serempak digunakan untuk menyerang satu situs tertentu, kita bisa melihat contoh virus MyDoom yang pada tanggal 1 Februari 2004 berhasil memberikan “kiamat” (down) bagi situs Santa Cruz Operation karena di Ddos oleh jutaan komputer yang terinfeksi virus MyDoom. Sebabnya SCO di Ddos kemungkinan adalah karena dua hal, pertama karena SCO berseteru dengan para pengguna Linux dan yang kedua adalah karena mereka pada tanggal 27 Januari 2004 menawarkan US $ 250.000 bagi siapapun yang bisa memberikan informasi untuk menangkap pembuat virus MyDoom. Sebenarnya situs Microsoft juga sempat di Ddos oleh MyDoom pada tanggal 3 Februari 2004, tetapi “untung” tidak sampai mengakibatkan “kiamat” bagi situs Microsoft. Apakah Ddos ini disebabkan karena Microsoft juga mengeluarkan sayembara hadian US $ 250.000 bagi yang bisa membantu menangkap pembuat virus MyDoom …. Hanya pembuat MyDoom yang tahu. Yang jelas, Microsoft juga mengeluarkan sayembara US $ 250.000 bagi yang bisa membantu menangkap pembuat Conficker.

Cerita lain dari MyDoom adalah pada tanggal 26 Juli 2004 MyDoom juga menyerang 3 search engine terpopuler saat itu, Google, AltaVista dan Lycos dan serangan ini berhasil mengganggu beberapa fungsi search Google dan mengakibatkan kelambatan yang signifikan pada situs AltaVista dan Lycos.

Selain Ddos pada situs, kira-kira hal apa yang mungkin dilakukan oleh virus Conficker.C pada 1 April 2009 nanti ? Kalau virus Conficker.C tidak memiliki kebiasaan buruk dan hanya melakukan Ddos dan menggunakan komputer korbannya untuk mengirimkan SPAM, kerugian yang mungkin kita alami adalah lalu lintas internet akan sangat padat dan kemungkinan para pengguna internet pada 1 April 2009 akan mengalami kelambatan koneksi. Baik karena Ddos, penyebaran ulang varian baru Conficker ataupun karena SPAM yang disebarkan oleh komputer-komputer yang terinfeksi Conficker.

Tetapi jika pembuatnya memiliki niat jahat seperti mencuri data komputer korbannya dan menjual kepada pihak yang berminat, maka kasus serupa dengan “Goshnet” bukan tidak mungkin akan terjadi. Maka jika anda pengguna komputer yang terkoneksi ke internet dan memiliki data penting yang kalau hilang bisa membuat anda nangis bombay, Vaksincom menyarankan anda untuk melakukan backup atas data anda. Jika anda memiliki data yang conficential dan di incar orang seperti rahasia negara atau sejenisnya, khususnya untuk pekerja di kedutaan besar. Sebisa mungkin hindari menggunakan jaringan internet tanpa perlindungan yang memadai dalam berkomunikasi dan jangan sekali-kali mencampurkan komputer yang memproses data classified dengan data pribadi anda. Ingat jaringan internet adalah jalan umum yang bisa dilalui siapa saja dan jika anda mengobrol di jalan umum, kemungkinan untuk didengar orang lain sangat besar. Usahakan menggunakan jalan khusus seperti VPN, atau kalau mampu seperti Presiden Obama menggunakan jaringan GSM khusus yang terpisah dari umum untuk komunikasi Barrackberrynya (Sectera Edge).

Preventif

Vaksincom menyarankan para pengguna komputer Indonesia melakukan tindakan-tindakan berikut dalam mengantisipasi kemungkinan terburuk serangan Conficker.C :

1. Lakukan PATCH semua OS di komputer-komputer jaringan anda dengan lengkap. Khusus untuk antisipasi virus Conficker perhatikan bahwa patch MS 08-067 terinstal dengan baik dan benar.

2. BACKUP data penting anda, baik di komputer masing-masing maupun di database server. Ingat, file yang di backup ditempatkan terpisah dari komputer yang di backup dan jangan sekali-kali di simpan di harddisk yang sama dengan komputer yang di backup. Kalau bisa miliki satu harddisk backup USB atau kalau mau murah backup ke CD / DVD.

3. Hindari menyalakan komputer yang tidak terpakai pada saat pulang kantor, apalagi komputer tersebut terhubung ke internet secara broadband karena sangat rentan digunakan untuk Ddos, menyebarkan virus atau spam.

4. Jika anda memiliki database server, webserver atau mailserver yang harus dinyalakan 24 jam. PASTIKAN semua patch sudah terinstal dengan baik dan lindungi dengan aplikasi sekuriti yang memadai.

5. Jika anda ingin pendekatan “paranoid”, matikan semua komputer dan internet pada malam ini 31 Maret 2009 dan jangan hidupkan internet sampai besok pagi kira-kira jam 10.00 atau sampai anda dengan persis apa yang akan dilakukan oleh Conficker.C besok.

6. Jika anda pelanggan Vaksincom, hubungi teknisi@vaksin.com atau cs@vaksin.com untuk mendapatkan tools khusus scan jaringan dari infeksi Conficker.

MEGA Tes 8 Tools Conficker Killer

Virus Conficker yang juga dikenal dengan nama Kido atau Downadup rasanya sudah pasti akrab di telinga administrator komputer di tahun 2009 ini. Salah satu jenis virus berkategori worm yang melakukan penyebaran yang sangat dahsyat dan memiliki dampak yang sangat serius bagi komputer di jaringan.

Karena itu, vendor sekuriti berlomba-lomba mengeluarkan tools dan “mengklaim” diri sebagai yang paling baik dan paling ampuh untuk membasmi Conficker. Yang menjadi pertanyaan bagi pengguna komputer yang menjadi korban Conficker tentunya simple, apakah semua tools tersebut sesuai janjinya ? Apakah seperti Carrie Underwood yang sudah cantik dan suaranya merdu, seperti William Hung yang agak culun, suara pas-pasan dan juga tidak bisa nari (tetapi tetap ngetop J) atau seperti Susan Boyle yang sudah berumur dan tampangnya pas-pasan …. tetapi mampu membuat Simon Cowell ternganga J. Kali ini Vaksincom akan mengadakan test atas beberapa tools yang tersedia di internet dan semuanya bisa didapatkan secara Gratis.

Dan apa kesimpulan akhir dari hasil pengetesan ini, apakah benar semua tools bisa membasmi Conficker sampai ke akar-akarnya atau masih memerlukan beberapa tambahan pekerjaan manual, silahkan lihat pada tabel perbandingan yang Vaksincom berikan dan kesimpulan pada akhir artikel ini.

Conficker dan gejalanya

Sebelumnya, mari kita lihat kembali beberapa gejala komputer terinfeksi Conficker :

ü Tidak bisa akses domain name web security & tidak bisa update antivirus

Ini salah satu ciri khas dari conficker. Coba cek dengan akses pada beberapa web security semisal www.microsoft.com, www.kaspersky.com dan www.norman.com. Bandingkan dengan akses melalui ip dari web tsb, http://65.55.12.249 (microsoft), http://195.27.181.34 (kaspersky) dan http://87.238.48.130 (norman). Jika browser anda tidak bisa mengkases situs tersebut di atas dengan mengetikkan alamat situsnya TETAPI bisa diakses jika mengetikkan alamat Ipnya, maka anda perlu “hakul” yakin bahwa komptuernya terinfeksi Conficker (99 %).

Hal ini dilakukan oleh Conficker dengan cara melakukan patch pada DNS Query, sehingga jika mengakses DNS tertentu akan diblok oleh conficker.

ü Mematikan dan men-disabled beberapa Service Windows

Untuk memudahkan infeksi secara efektif, Conficker mematikan beberapa services seperti Automatic Updates (wuauserv), Background Intelligent Transfer Service (BITS), Error Reporting Service (ERSvc), Help and Support (helpsvc), Security Center (wscsvc).

ü Membuat service baru dan berjalan dengan mendompleng svchost

Hal ini bertujuan agar mudah aktif dan menginfeksi komputer lain serta mendownload file virus.

ü Membuat rule firewall baru

Hal ini digunakan agar conficker dapat keluar (menginfeksi komputer lain) dan masuk (update virus baru) dengan mudah. Conficker menggunakan port antara 1024 s/d 10000. jika port yang digunakan virus sama dengan program aplikasi kita, maka aplikasi tersebut akan terganggu.

ü Membuat scheduled task

Hal ini digunakan agar tetap running pada komputer yang terinfeksi. Agar optimal, Conficker membuat beberapa scheduled task agar running setiap saat.

ü Disable Show Hidden File & System Restore

Hal ini digunakan agar korban tidak mudah melakukan pembersihan pada virus yang sudah masuk dan berhasil menginfeksi komputer maupun drive flash / external.

ü Disable System Restore

Berfungsi agar komputer korbannya tidak dapat mengembalikan komputer ke setting awal sebelum di infeksi Conficker. Seperti kita ketahui, System Restore merupakan fitur pada Windows XP / vista yang berfungsi seperti mesin waktu yang dapat menolong kita jika terjadi salah instal / terinfeksi virus dimana hanya dengan beberapa klik kita dapat mengembalikan setting komputer pada hari / waktu sebelum komputer terinfeksi virus / salah instal.

Here are The Tools, Conficker Killer...

Dari beberapa tools yang ada, Vaksincom mereview beberapa tools yang familiar dan sering digunakan. Tools tsb terdapat 2 kategori, yaitu tools secara umum yang dikeluarkan oleh vendor seperti Kaspersky AVP Removal Tools, Microsoft Malicious Software Removal Tools, Stinger besutan Mc Afee dan Norman Malware Cleaner. Catatan khusus untuk Norman Malware Cleaner, selain berfungsi untuk membersihkan Conficker juga sekaligus berfungsi untuk membersihkan dan membasmi virus lain dan Norman Malware Cleaner tidak hanya membasmi file virus saja tetapi juga melakukan pembenahan komputer lebih jauh seperti repair host dan repair registry.

Selain itu, Vaksincom membandingkan tool khusus untuk penanganan virus conficker saja yang tidak dapat digunakan untuk membersihkan virus lain.

Berikut beberapa tools yang tesedia sebagai berikut :

1) Kaspersky AVP Removal Tool

Merupakan tools andalan dari Kaspersky Lab yang dibuat sebagai tools pengganti antivirus. Anda dapat mendownload secara gratis. Tetapi sayangnya, tools ini harus diinstall terlebih dahulu sebelum menggunakannya, sehingga jika komputer sudah terinfeksi virus akan sangat sulit jika virus memblok instalasi tools atau aplikasi sekuriti. Untuk conficker / kido, AVP sudah menyertakan database-nya. Desain interface sangat mirip dengan interface antivirus-nya. Sayang tidak bisa untuk repair registry, repair service dan repair host yang diubah oleh virus. (lihat gambar 1)

Gambar 1, Kaspersky AVP Removal Tools

2) Norman Malware Cleaner

Dibandingkan versi sebelumnya, tools GRATIS buatan Norman www.norman.com ini mengalami kemajuan yang pesat. Tools ini dapat dijadikan alternatif jika komputer terinfeksi virus, karena mampu mengembalikan registry, service dan host yang dibuat oleh virus/spyware. Untuk conficker, tools ini dapat dijadikan alternatif pembersihan. Sayangnya jika tools ini memiliki masa expire (± 14 hari), jadi anda diharuskan untuk mendownload versi yang terbaru dari website norman http://norman.com/Virus/Virus_removal_tools/24789/. Adapun aksi yang dapat dilakukan Norman Malware Cleaner adalah :

- Menghentikan proses virus yang sedang berjalan.

- Memberishkan file virus dari media (Flash Disk, Harddisk etc), termasuk komponen ActiveX dan BHO (Browser Helper Object) yang banyak di eksploitasi oleh Spyware.

- Menemukan dan membasmi rootkit.

- Mengembalikan nilai registri yang dirubah oleh virus (tidak tersedia pada removal tools lain)

- Membersihkan perubahan pada hosts file (tidak tersedia pada removal tools lain).

- Membenarkan rule Windows Firewall yang dibuat oleh virus.

Lihat gambar 2 dibawah untuk melihat Norman Malware Cleaner menjalankan aksinya.

Gambar 2, Norman Malware Cleaner in action

3) McAfee AVERT Stinger

Bagi anda pengguna McAfee, tentunya familiar dengan nama ini. Stinger buatan AVERT yang sempat menjadi salah satu pelopor tools pembersih virus andalan para pengguna komputer dimasa awal kemunculannya.

Sayangnya, perkembangan tools ini agak lambat sehingga mendapatkan saingan banyak tools-tools baru. Untuk conficker, stinger sudah menyertakan databasenya. Masih memiliki desain yang simple seperti dulu tetapi jika digunakan untuk membasmi Conficker, terkadang agak sulit jika virus sudah menginjeksi file system windows dan gagal dibersihkan. (lihat gambar 3)

Gambar 3, Stinger in action

4) Microsoft Malicious Software Removal Tool

Tools milik Microsoft yang dapat dijadikan sebagai alternatif scan virus saja. Tools ini dapat didownload secara otomatis setiap bulan dengan fitur automatic updates windows yang ada. Lokasi file ini berada pada C:\WINDOWS\system32, dengan nama MRT.exe. Tools ini memiliki fitur scan yang dapat disesuaikan dengan yang anda inginkan. Jika menemukan virus yang aktif di memory, MRT akan meminta user untuk restart. Walaupun dapat mendeteksi conficker, tetapi tools ini digunakan hanya untuk scanning virus saja, tanpa merepair registry yang sudah dibuat oleh virus. (lihat gambar 4)

Gambar 4, MWMSRT - Microsoft Windows Malicious Software Removal Tools

Sedangkan beberapa tools yang khusus dibuat untuk membasmi conficker adalah sebagai berikut :

1) KidoKiller (Kaspersky)

Tools khusus buatan Kaspersky Lab untuk virus Conficker. Tools ini sudah masuk revisi 3 yaitu mendeteksi virus conficker versi C/III. Fiturnya pun ditambah terus agar mampu mendeteksi dan mendelete scheduled task, serta mampu mngembalikan system restore. Kelebihan tools ini yaitu mampu mengembalikan fungsi DNS Query tanpa harus restart komputer. Tools ini berjalan pada modus command prompt. Berbeda dengan symantec, tools ini hanya scanning pada path tertentu saja yang dicurigai terinfeksi conficker, sehingga waktu scanning menjadi lebih cepat. (lihat gambar 5)

Gambar 5, KidoKiller by Kaspersky

2) Fix Downad (Trend Micro)

Tools keluaran Trend Micro untuk mengatasi conficker ini sayangnya tidak menyertakan database / patternnya saat di download, sehingga kita harus mendownload terlebih dahulu pattern / database-nya. Kelebihannya database / pattern tsb dapat scanning dari virus/worm lain, sehingga dapat membersihkan virus lain. Jika tools lain hanya terdiri dari satu file, tools ini memilki beberapa file baik exe maupun file lain yang ternyata terdiri dari pengecekan database / pattern, pengecekan schedule task, pengecekan patch windows, pengecekan virus, pengecekan registry dan pengecekan services. Walau terdiri dari banyak file, kita cukup menjalankan saja 1 file bat (batch file), yang kemudian akan mengeksekusi file lain. (lihat gambar 6)

Gambar 6, FixTOOL Worm_Downad oleh TrendMicro

3) W32.Downadup Removal (Symantec)

Sesuai dengan namanya, tools ini dibuat oleh perusahaan antivirus Symantec untuk mengatasi virus conficker/downadup/kido. (lihat gambar 7)

Gambar 7, Downad Removal Tool by Symantec

Sekilas tools ini sangat simple, hanya ada menu start, cancel dan about. Tools ini tidak memiliki opsi scanning drive yang diinginkan. Untuk scanning, tools ini mampu mematikan proses virus, mendelete file virus dan memperbaiki registry yang sudah diubah oleh virus. Sayangnya tools ini tidak menghapus schedule task yang dibuat oleh virus, tidak menghapus rule firewall yang dibuat oleh virus dan tidak mengembalikan system restore kembali normal. Tetapi seperti guru SD saya, tools ini memberikan “nasehat” kepada user agar segera melakukan patching windows dengan MS08-067.

Gambar 8, “Nasehat” yang diberikan oleh Downad Removal Symantec

4) EConfickerRemover (ESET/NOD32)

Tidak mau ketinggalan, ESET juga mengeluarkan tools khusus conficker bagi penggunanya. Tools ini sangat sederhana, sebenarnya kalau sederhana dan ampuh itu yang dicari. Tetapi yang terjadi adalah sangking sederhanya sehingga anda harus menjalankan melalui command prompt. Tools ini selain dapat mematikan proses virus dan mendeletenya, tetapi tidak ada hal khusus lain yang dilakukan. (lihat gambar 9)

Gambar 9, EconfickerRemover by Eset

MEGA Test Conficker Tools

Adapun hasil perbandingan 8 tools tersebut adalah sebagai berikut : (lihat tabel 1 dan 2)

Kategori Tools Umum :

Kategori	Keterangan	Kaspersky	Norman	McAfee	Microsoft
		AVP Removal Tool	Malware Cleaner	AVERT Stinger	Malicious Removal Tool
Virus Umum	Penggunaan	Instalasi	Portable	Portable	Portable
	Virus/Spyware	√	√	√	√
	Repair Host	-	√	-	-
	Repair Registry	-	√	-	-
	Update Definisi	√	√	√	√
Conficker	Matikan Proses Virus	√	√	√	√
	Delete Virus	√	√	√	Restart
	Delete Schedule Task	-	-	-	-
	Repair Service Windows	-	√	-	-
	Delete Service Virus	-	√	-	-
	Delete Rule Firewall	-	-	-	-
	Fix DNS Query	-	Restart	-	Restart
	Enable System Restore	-	-	-	-
	Repair Show Hidden	-	-	-	-

Tabel 1, Perbandingan Conficker Tools kategori tools umum

Kategori Tools Khusus :

Kategori	Keterangan	Kaspersky	TrendMicro	Symantec	Eset (NOD32)
		KidoKiller	Fix Downad	W32.Downadup Removal	Conficker Remover
Umum	Penggunaan	Portable	Portable	Portable	Portable
	Virus/Spyware	-	√	-	-
	Repair Host	-	-	-	-
	Repair Registry	-	-	-	-
	Update Definisi	-	√	-	-
Conficker	Matikan Proses Virus	√	√	√	√
	Delete Virus	√	√	√	Restart
	Delete Schedule Task	√	√	-	-
	Repair Service Windows	-	-	Restart	-
	Delete Service Virus	√	√	-	-
	Delete Rule Firewall	-	-	-	-
	Fix DNS Query	√	Restart	Restart	Restart
	Enable System Restore	√	-	-	-
	Repair Show Hidden	√	-	√	-

Tabel 2, Perbandingan Conficker Tools kategori khusus

Dari hasil pengetesan yang dilakukan oleh lab Vaksincom, baik tools khusus maupun tools umum dapat dilihat bahwa Norman Malware Cleaner membersihkan lebih lengkap dibandingkan tools umum lain karena melakukan “Repair Host”, “Repair Registry”, “Repair Service Windows” dan “Delete Service Virus” yang tidak dilakukan oleh Tools umum lainnya. Tetapi Norman Malware Cleaner tidak melakukan “Delete Schedule Task” yang dibuat oleh virus dan hal ini dilakukan oleh Kaspersky KidoKiller dan TrendMicro Fix Downad.

TrendMicro Fix downad dan Kaspersky Kido Killer tidak melakukan Repair Host dan Repair Registry.

Ada satu keunggulan Kaspersky Kido Killer dimana ia bisa melakukan Fix DNS Query tanpa mengharuskan Windows Restart dimana tools lain setelah fix DNS Query mengharuskan Windows restart.

Jadi dapat disimpulkan bahwa Norman Malware Cleaner menjadi pemenang untuk tools umum dan Kaspersky Kido Killer menjadi pemenang di kategori tools khusus.

Adapun beberapa perubahan yang dilakukan oleh Conficker yang perlu menjadi perhatian sekalipun anda sudah menggunakan tools pembersihan adalah sebagai berikut :

- Schedule Task

Hapus schedule task yang sudah dibuat oleh virus. (lihat gambar 10)

Gambar 10, Schedule Task yang dibuat oleh Conficker

- Rule Firewall

Delete rule firewall yang dibuat oleh virus. (lihat gambar 11)

Gambar 11, Hapus Rule Firewall yang dibuat oleh Conficker

- Repair Registry

Repair registry yang dirubah oleh virus (service windows yang mati dan show hidden file). Buat script pada notepad, kemudian save as menjadi repair.inf.

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x00000001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0x00000001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00000001,1

HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0x00000002,2

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

- Clean temporary file

Bersihkan temporary file, gunakan disk cleanup atau dapat menggunakan tools cleaner seperti ATF Cleaner.

Tips Pencegahan...

Dari hasil tes, walaupun sudah dibersihkan tetapi virus/worm ini masih mudah masuk dikarenakan beberapa faktor sebagai berikut :

- Autoplay/Autorun Windows

Lakukan pencegahan dengan men-disable fungsi autoplay. Fungsi ini memudahkan conficker masuk dan menginfeksi komputer.

- Default Share Windows

Fungsi ini memudahkan virus/worm berusaha masuk melalui jaringan dengan mudah. Matikan fungsi ini jika tidak diperlukan. Sebagai alternatif jika masih diperlukan gunakan password komputer (baik lokal maupun jaringan) yang unik dan tidak standar/biasa serta kombinasi angkadan huruf.

- Patch Windows

Selalu rajin patch windows. Hal ini akan mencegah dari serangan virus saat koneksi internet. Akan lebih baik jika meng-aktifkan Automatic Updates.

- Install Antivirus dan Update

Terakhir, lakukan instalasi antivirus dan selalu pastikan terupdate dengan baik.

Jika anda mengalami infeksi Conficker yang membandel dan sudah mecoba berbagai macam cara tetapi masih belum tuntas. Mungkin karena sudah gemas sampai anda memformat komputer-komputer di jaringan tetapi setelah dihubungkan ke jaringan kembali terinfeksi. Ada baiknya anda pertimbangkan untuk meminta bantuan support dari vendor antivirus anda. Bagi pengguna Norman Virus Control for Corporate dapat menghubungi teknisi Vaksincom untuk mendapatkan support onsite Free.

thx to vaksin[dot]com