Ada apa dibalik kesaktian MyDoom 13 Februari 2004 (artikel) Artikel PC Plus 161, Februari 2004 Meskipun tidak ada manusia yang dapat memberikan tanggal pasti terjadinya kiamat, pada tanggal 27 Januari 2004 para pengguna komputer mengalami kiamat “kecil” dengan munculnya virus MyDoom.A. Pada hari pertama kemunculannya MyDoom.A langsung menduduki peringkat pertama tangga pervirusan seantero jagad dan berhasil menginfeksi jutaan komputer. Di Indonesia sendiri MyDoom dikonfirmasikan berhasil menginfeksi ribuan komputer dan membuat sibuk ratusan mailserver selain membuat bingung pengguna komputer dengan memfitnah alamat email orang lain sebagai pengirim virus dengan teknik spoofing. Selain itu, kiamat juga dialami oleh website Santa Cruz Operation Inc. www.sco.com yang pada tanggal 1 Februari 2004 diserang oleh semua komputer yang terinfeksi MyDoom.A sehingga websitenya lumpuh dan tidak bisa diakses sehingga harus berpindah alamat ke www.thescogroup.com. Mungkin karena kesal dengan pembuat MyDoom ini, SCO menawarkan hadiah US $ 250.000 (Rp. 2,1 milyard) bagi siapapun yang dapat membantu menemukan pembuat MyDoom. Sebenarnya ada varian MyDoom lain yaitu MyDoom.B yang kemudian menyerang Microsoft www.microsoft.com, tetapi karena rendahnya jumlah komputer yang terinfeksi menjadikan serangan tersebut tidak sampai berpengaruh pada website Microsoft. Jika MyDoom.A bukan menyerang SCO melainkan Microsoft, bukan tidak mungkin website microsoft.com akan berhasil dilumpuhkan. MyDoom mengeksploitasi kebiasaan buruk user Satu hal yang menarik untuk menjadi kajian disini adalah MyDoom tidak mengeksploitasi celah keamanan. Seperti kita ketahui, pada umumnya virus memanfaatkan celah keamanan untuk membantu menyebarkan dirinya. Ambil contoh celah keamanan Imime / Iframe exploit yang memungkinkan virus-virus top (Klez, Nimda etc) secara otomatis dijalankan hanya dengan mengklik email yang mengandung virus tanpa klik attachment, atau celah keamanan Virtual Machine ActiveX Vulnerability yang dimanfaaatkan oleh Redlof untuk menginfeksi komputer secara otomatis ketika mengakses website yang terinfeksi. Rupanya pembuat MyDoom memiliki prinsip daripada saya eksploitasi celah keamanan software windows, lebih baik saya eksploitasi celah keamanan pada usernya. Atau dengan kata lain kebiasaan buruk pengguna komputer yang membantu MyDoom untuk menginfeksi komputer dan menyebarkan dirinya. Mengelabui Administrator Mailserver Sudah menjadi pakem yang umum dari para administrator mailserver untuk memblok semua lampiran yang berbahaya (umumnya executable) seperti .exe, .com, .bat, .pif, .scr, .vbs etc dan tidak diteruskan ke user. Sedangkan lampiran seperti .jpg, .doc, .xls dan terutama .zip selama ini aman dan diteruskan ke mailbox user, bahkan .zip ini sudah menjadi standar pengiriman lampiran dimana jika anda ingin mengirimkan lampiran .exe yang diblok oleh mailserver kepada kolega anda anda tinggal mengkompres lampiran tersebut ke dalam format .zip. Hal ini terbukti sangat efektif mencegah virus yang mengirimkan dirinya kepenerima email karena umumnya virus akan berusaha mengirimkan dirinya dalam bentuk executable. Tetapi sekali lagi terbukti bahwa dunia virus adalah dunia yang sangat dinamis dan kebijakan yang hari ini terbukti efektif mencegah penyebaran virus dalam waktu singkat akan menjadi tidak efektif dalam waktu singkat atau bahkan menjadi bumerang membantu penyebaran virus. Trik 1, lampiran dalam bentuk .zip MyDoom yang berhasil mengelabui mailserver dan user adalah yang datang dalam bentuk lampiran .zip. Karena bentuknya .zip dan diloloskan oleh mailserver ke mailbox penerima. Sesampainya di mailbox penerima email, lampiran .zip ini akan terlihat tidak berbahaya sehingga lampiran tersebut akan dibuka (lihat gambar 1)
gambar 1 Trik 2, double ekstensi dengan spasi banyak untuk mengelabui user. Setelah penerima email membuka kompresi, maka file yang terkandung di dalamnya seakan-akan tidak berbahaya, salah satunya adalah “document.doc” yang merupakan file MS Word dan aman untuk di buka (lihat gambar 2).
gambar 2 Padahal, jika diamati lebih jauh, nama file tersebut bukan file MS Word “document.doc” tetapi “document.doc (spasi) .exe” yang merupakan file executable yang jika diklik akan langsung mengaktifkan virus (lihat gambar 3) dan menginfeksi komputer tersebut.
gambar 3 Hal ini sekali lagi membuktikan teori bahwa virus yang berhasil menyebar bukanlah virus yang paling canggih, melainkan virus yang paling cerdik memanfaatkan kelengahan dan rekayasa sosial pengguna komputer. Pemborosan Bandwidth Dalam dua minggu terakhir ini anda pasti sering menerima email peringatan dari mailserver yang memberitahukan bahwa komputer anda terinfeksi virus MyDoom dan mengirimkan virus tersebut kepada user pada mailserver tersebut. Tentunya hal ini akan menimbulkan kepanikan yang tidak perlu dan konyolnya hal ini terjadi karena alamat email anda dipalsukan oleh MyDoom. Apa yang terjadi sebenarnya adalah MyDoom yang menginfeksi satu komputer akan mengumpulkan semua alamat email dari komputer tersebut dan mengirimkan dirinya dengan memalsukan alamat email pengirim, yang kebetulan adalah alamat email anda. Ketika email bervirus tersebut diterima oleh mailserver yang dapat mengindentifikasi MyDoom, maka secara otomatis MyDoom akan ditangkap dan sebuah email peringatan akan dikirimkan oleh mailserver ke alamat sender antivirus yang sebenarnya telah dipalsukan. Kesalahan pada setting mailserver ini sebenarnya sudah berlangsung lebih dari satu tahun dan dieksploitasi dengan sukses oleh Klez, tetapi herannya sampai dengan hari ini masih banyak mailserver yang secara otomatis mengirimkan peringatan virus kepada sender yang sebenarnya merupakan aksi pemborosan bandwidth karena setiap kali mailserver menerima satu email bervirus maka akan dikirimkan satu email peringatan sebagai gambaran, jika mailserver menerima 1.000 email bervirus, akan dikirimkan 1.000 peringatan juga. Kami menyarankan administrator mailserver untuk mempertimbangkan kembali hal ini, daripada mengirimkan pesan otomatis yang tidak berguna dan memboroskan bandwidth lebih baik menganalisa detail sender dari email bervirus dimana dapat diketahui IP mailserver yang mengirimkan virus dan menghubungi administrator mailserver tersebut. Solusi Dari pengalaman MyDoom ini, kita dapat mengambil kesimpulan bahwa selama manusia masih hidup, masalah virus akan selalu ada dan tidak ada satupun solusi yang dapat MENJAMIN anda selamanya aman dan selamat dari ancaman virus. Kecuali anda tidak menyalakan komputer anda. Tetapi karena keterikatan yang makin hari makin besar antara dunia IT dengan dunia nyata, mau tidak mau kita harus berinteraksi dengan komputer dan saran kami untuk anda adalah gunakan program antivirus yang terupdate. Untuk anda yang terhubung ke dalam jaringan, gunakan antivirus untuk jaringan yang memiliki kemampuan update definisi antivirus secara otomatis tanpa perlu melibatkan user.
Salam, Alfons Tanujaya |
