Trojan.DNSChanger

07 Maret 2012
Trojan.DNSChanger
Manipulator DNS keluarga ZLOB
Apa kabar pengguna internet ? Dalam beberapa bulan ini tampaknya para pengguna internet di seluruh dunia sangat disibukkan oleh berbagai berita seputar internet dan FBI. Dari mulai RUU ACTA, SOPA & PIPA hingga sebuah "isu besar" ditutupnya internet oleh FBI karena sebuah trojan.

Jika karena RUU ACTA bos besar MegaUpload (Kim DotCom) ditangkap oleh FBI karena dugaan penyimpanan konten-konten ilegal sehingga situs MegaUpload ditutup, dan kali ini internet "ditutup" karena server DNS sementara yang dipasang FBI akan dilepas.

Tahun lalu (tepatnya Nopember 2011) FBI telah menangkap 6 orang di Estonia yang diduga bertanggung jawab akan penyebaran sebuah trojan yang menginfeksi lebih dari 100 negara (ratusan ribu komputer di dunia). Dampak trojan ini yang akan menyebabkan DNS komputer dari pengguna internet berubah, dan pengguna internet secara tidak sadar akan mengakses situs/website yang berbeda/salah (walaupun terlihat sama dan mirip). Dengan cara ini maka pembuat malware akan dengan mudah mendapatkan informasi dari pengguna internet yang telah terinfeksi. Walau kelompok tersebut sudah ditangkap, tetapi karena banyak-nya pengguna komputer yang terinfeksi maka FBI memasang sementara server DNS yang diakses oleh pengguna komputer yang terinfeksi (hingga 8 maret 2012), sementara bagi pengguna internet yang sudah terinfeksi disarankan untuk segera membersihkan trojan tersebut dari komputer. Jika sudah melewati tanggal 8 Maret 2012, maka server DNS tersebut akan dimatikan oleh FBI, dan pengguna internet yang masih terinfeksi trojan tersebut tentunya tidak dapat mengakses internet.

Sejak Nopember 2011, hingga kini masih banyak pengguna komputer yang terinfeksi oleh malware ini yang diidentifikasi sebagai Trojan.DNSChanger
20120307I_trojandnschanger01
Varian Keluarga ZLOB
Keluarga ZLOB merupakan salah satu kelompok trojan/backdoor yang dirancang untuk menginfeksi sistem komputer memanfaatkan kelemahan aplikasi pada browser/explorer. Melalui pihak ketiga (browser) maka ZLOB dapat dengan mudah menginfeksi komputer yang berbeda sistem operasi (seperti Windows atau Mac).

Trojan DNS.Changer biasa juga disebut TDSS, Tidserv, Alureon, Flush, dan Zlob. Varian ini sudah muncul sejak 2007 dan begitu terkenal di dunia pada tahun 2008 karena kemampuan merubah DNS Server pada komputer korban. Trojan.DNSChanger tidak hanya menginfeksi komputer Windows tetapi juga menginfeksi komputer Macintosh. Trojan ini memiliki cara kerja yang mirip dengan FakeAV karena merupakan salah satu keluarga dari varian malware ZLOB.

Pada Nopember 2011, trojan DNS.Changer muncul kembali dan menginfeksi ratusan ribu komputer di dunia hingga saat ini.

Gejala/Dampak Trojan.DNSChanger
  • Tidak bisa mengakses situs/website keamanan dan situs/website tertentu
Jika anda sudah terinfeksi oleh Trojan.DNSChanger maka komputer anda tidak dapat mengakses situs/website keamanan seperti situs antivirus (McAfee, Symantec, Kaspersky, Gdata, Eset, dll). Hal ini digunakan agar menjaga komputer tetap dalam keadaan terinfeksi dan mencegah update antivirus. Hal sama juga berlaku pada situs/website tertentu seperti Google.com. (lihat gambar 1) 
20120307I_trojandnschanger02
Gambar 1, Trojan DNSchanger mengakibatkan bloking pada situs Google.com 
  • Dapat mengakses situs/website, tetapi berbeda/salah (walau terlihat sama dan mirip)
Cara ini digunakan oleh varian malware FakeAV agar pengguna yang terinfeksi mengakses situs/website yang telah disiapkan dan berharap pengguna internet dapat dikelabui dan mendapatkan informasi yang dimiliki pengguna komputer.
  • Koneksi internet lambat
Hal ini dikarenakan koneksi internet melalui DNS yang telah dirubah dan aktivitas internet yang justru digunakan Trojan.DNSChanger untuk melakukan broadcast, sinkronisasi, update dan download malware pada server pembuat malware.
  • DNS komputer berubah
Secara otomatis DNS komputer akan dialihkan pada beberapa IP Address yang telah ditentukan pembuat malware. Hal ini yang menyebabkan pengguna internet tidak sadar bahwa DNS komputer telah berubah.
Beberapa IP Address yang digunakan diantaranya :
  •     85.255.112.0 - 85.255.127.255
  •     67.210.0.0 - 67.210.15.255
  •     93.188.160.0 - 93.188.167.255
  •     77.67.83.0 - 77.67.83.255
  •     213.109.64.0 - 213.109.79.255
  •     64.28.176.0 - 64.28.191.255
Metode Penyebaran Trojan.DNSChanger
Pembuat malware Trojan.DNSChanger melakukan penyebaran melalui berbagai cara yang dilakukan persis dengan metode FakeAV melalui internet.
  • Melakukan posting pada komentar sebuah blog, posting pada forum-forum komunitas, dan aktif posting pada milis dan jejaring sosial.
Dengan cara ini pembuat malware mencoba mengirim sebuah link URL yang diarahkan untuk menuju situs tertentu yang telah disisipkan Trojan.DNSChanger.
  • Membuat situs palsu dan mengeksploitasi situs tertentu.
Dengan cara ini pembuat malware akan menyisipkan script malware pada situs yang dibuat sehingga pengguna internet yang tidak sengaja mengakses situs ini akan mendowload Trojan.DNSChanger. (lihat gambar 2) 
20120307I_trojandnschanger03
Gambar 2, Contoh situs yang telah disispi DNSchanger 
Jika Trojan.DNSChanger telah berhasil didownload melalui browser/explorer, maka memanfaatkan celah browser akan langsung terinstall/aktif secara otomatis. Disinilah Trojan.DNSChanger akan aktif dan melakukan aksinya.

Selama anda aktif menggunakan internet via browser (IE, Firefox,dll), maka selama itu pula komputer anda akan berjalan melalui DNS Server yang telah dirubah oleh Trojan.DNSChanger. (lihat gambar 3) 
20120307I_trojandnschanger04
Gambar 3, Aktivitas DN Schanger 

Tips Memastikan komputer anda tidak terinfeksi Trojan.DNSChanger
** (Lakukan salah satu saja, tidak perlu lakukan semua langkah ini)
  • Cek DNS komputer via Command Prompt
  •         Pada Start Menu [All Programs] [Accessoris] [Command Prompt] (atau ketik CMD pada Menu RUN).
  •         Pada Command Prompt, ketik : ipconfig/all
  •         Pastikan DNS Server anda tidak berubah. (lihat gambar 4)
20120307I_trojandnschanger05
Gambar 4, Cek DNS komputer dari command prompt dengan mengetikkan “ipconfig /all”
  • Cek DNS komputer via Network Connection
  •         Klik Kanan pada “Local Area Connection” pada taskbar dan pilih “Status”.
  •         Pada “Local Area Connection Status”, klik pada tab “Support” dan klik “Details”.
  •         Pastikan DNS Server anda tidak berubah. (lihat gambar 5)
20120307I_trojandnschanger06
Gambar 5, Cek DNS dari “Network Connection”
  • Cek file Host
  • Pada [Start] Menu [All Programs] [Accessoris][Command Prompt] (atau ketik notepad pada Menu RUN).
  •         Pada Notepad, klik File  Open. Akses ke C:\WINDOWS\system32\drivers\etc.
  •         Pada “Files of type” rubah jadi “All Files”. Pilih “hosts” dan klik Open.
  •         Pastikan HOSTS file anda tidak berubah. (lihat gambar 6)
20120307I_trojandnschanger07
Gambar 6, Cek DNS dari Hosts file Windows.
  • Cek konfigurasi browser
  • Pada Internet Explorer, dapat diakses pada Tools  Internet Options. Pada tab “Connection”, klik pada “Lan Settings".
  • Pada Mozilla Firefox, dapat diakses pada Tools  Options. Pada tab “Advanced”, klik tab “Network”, dan klik “Settings”.
  • Pada Google Chrome, pada Customize and control…  Options Under the Hood. Pada tab Network, klik “Change Proxy Setting”.
  • Pastikan konfigurasi browser anda tidak berubah. (lihat gambar 7)
20120307I_trojandnschanger08
Gambar 7, Cek konfigurasi Browser
  • Cek DNS pada router
Bagi anda yang menggunakan jaringan korporat, sebaiknya lakukan pula pengecekan pada DNS yang ada pada router/firewall anda.
  • Cek IP Address anda dengan mengunjungi situs : www.dns-ok.us (lihat gambar 8)
20120307I_trojandnschanger09
Gambar 8, Situs untuk mengecek IP terinfeksi DNSchanger

Tips Mencegah Trojan.DNSChanger
  • Aktifkan Windows Firewall atau gunakan software firewall yang lain. Hal ini untuk mencegah dari akses yang tidak di-inginkan.
  • Pastikan komputer sudah mendapatkan update terbaru dari system Windows. Untuk mempermudah gunakan update otomatis dari system seperti "Automatic Updates". Atau bisa juga dengan men-download patch terbaru dari website Microsoft.
  • Gunakan antivirus yang selalu terupdate dengan baik. Hal ini untuk mempermudah terhadap varian-varian dari malware yang baru.
  • Pastikan aplikasi yang digunakan juga sudah terupdate, terutama aplikasi browser, chat/messenger dan aplikasi email.
  • Install aplikasi tambahan yang melindungi browser anda dari penyebaran malware Trojan.DNSChanger. Salah satunya adalah Gdata Cloud Security untuk melindungi aktivitas browsing anda yang dapat di download secara gratis dari http://www.free-cloudsecurity.com/. (lihat gambar 9)
20120307I_trojandnschanger10
Gambar 9, G Data Cloud Security yang membantu memblok situs berbahaya
  • Berhati-hati saat membuka file attachment e-mail atau saat menerima transfer file dari orang yang tidak dikenal. Pastikan selalu di scan dengan antivirus yang terupdate. Dan juga berhati-hati terhadap link URL yang disertakan pada email. Informasikan kepada pengirim email mengenai link URL yang dikirimkan.
  • Berhati-hati terhadap program crack/keygen atau program-program yang tidak dikenal. Karena bisa saja sudah terinfeksi atau mengandung malware.
  • Berhati-hati saat mengakses sebuah website atau forum yang menyediakan link-link tertentu untuk di-download atau di-install.
  • Jika anda merasa sudah terinfeksi, sebaiknya lakukan perubahan seluruh password yang digunakan terutama yang berhubungan dengan internet seperti email, online-banking, jejaring social, chat/messenger dan lain-lain.
Salam,

Adi Saputra
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: