W32/Sasser.Worm 3 Mei 2004 Muncul 10 hari lebih cepat dari Blaster
Belum lagi reda serangan gerombolan Netsky dan Bagle melalui email, pada tanggal 30 April 2004 muncul worm baru sejenis Blaster yang mampu menginfeksi komputer tanpa sepengetahuan pengguna komputer dan memanfaatkan celah keamanan Local Security Authority Subsystem System (LSSAS) yang diumumkan pada tanggal 13 April 2004. Karena mengeksploitasi LSSAS, maka worm ini disebut dengan nama SASSER dan sampai saat ini telah muncul 2 varian yang berbeda. Hal yang cukup memprihatinkan adalah Sasser muncul hanya 17 hari setelah celah keamanannya diumumkan atau 10 hari lebih cepat dari Blaster yang membutuhkan waktu 27 hari untuk muncul setelah celah keamanan RPC Dcom ditemukan.
Menyebabkan Crash pada lssas.exe Ciri khas dari komputer yang terinfeksi Sasser adalah terjadinya restart berulang pada komputer dan error pada LSA Shell. (lihat gambar 1)
Gambar 1
Disamping itu, pada saat start komputer akan muncul pesan error pada aplikasi lsass.exe (gambar 2).
Gambar 2
Sebenarnya cara untuk mengeksploitasi celah keamanan ini disebarkan melalui internet pada tanggal 29 April 2004 oleh "houseofdabus" dan hanya dalam waktu kurang dari satu hari worm Sasser yang memanfaatkan kode tersebut muncul. Sasser menyerang port 445, yang digunakan untuk mengirimkan SMB (Server Message Blocks) dan sekaligus digunakan oleh Sasser untuk mengidentifikasi OS korbannya. Setelah berhasil mengidentifikasi korbannya, Sasser akan memanfaatkan port 5554 dan 9996 untuk menyebarkan dan mengaktifkan dirinya. Karena itu, kami sarankan anda untuk memblok akses pada port tersebut di atas, terutama port 445 pada firewall anda. Kegiatan scanning yang dilakukan oleh Sasser cukup tinggi, yaitu 128 usaha dan berulang tidak terbatas sehingga dikhawatirkan akan mengakibatkan kemacetan pada akses internet seperti yang terjadi pada saat serangan Blaster.
Lebih Cerdas Adapun OS yang rentan terhadap serangan Sasser adalah Windows XP, Windows 2000 dan Windows 2000 Server. Windows NT, Windows 98 dan Windows ME tidak rentan dari serangan ini. Dibandingkan dengan Blaster, Sasser memiliki fitur yang lebih cerdas dan lebih tepat sasaran karena menghindari scanning IP lokal 127.0.0.1, 10.x.x.x, 172.[16-31].x.x, 192.168.x.x, dan 169.254.x.x. Kabar buruk yang dapat kami tambahkan adalah LSASS ini hanya merupakan "salah satu" dari 14 celah keamanan yang diumumkan pada Microsoft Security Bulletin MS04-011 http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx yang secara agregat ke empatbelas celah keamanan tersebut dikategorikan sebagai kritis (sangat berbahaya). Karena itu Vaksincom SANGAT MENYARANKAN para pengguna OS windows untuk segera melakukan update atas semua celah keamanan tersebut di atas. Vaksin.com akan segera mengumumkan detail teknis cara pengupdatean bagi semua OS windows. Bagi seluruh pelanggan PT. Vaksincom akan segera mendapatkan layanan update langsung oleh teknisi Vaksincom secara Gratis, segera hubungi support@vaksin.com jika anda pelanggan Vaksincom dan ingin mendapatkan prioritas untuk segera mendapatkan update.
Apa yang harus anda lakukan jika komputer anda terinfeksi Sasser :
AAT PT. Vaksincom Gedung Rifa lt. IV Prof. Dr. Satrio blok C4 / 6-7 Jakarta 12950 Telp : 62-21-526 0787 Fax : 62-21-526 0752 Email : info@vaksin.com |
