Conficker 2013 5/5

10 Juni 2013
Conficker 2013 5/5
Memaksa 30 perusahaan IT dunia bersatu menghadapinya
Malware apa yang dalam sepak terjangnya sampai mampu memaksa 30 perusahaan / organisasi IT terkemuka dunia termasuk Cisco, Microsoft, IBM, ICANN, IT-ISAC, Internet Storm Center dan Institut Teknologi Georgia untuk berkolaborasi secara langsung membentuk organisasi khusus untuk menghadapinya ?

Kalau anda masih belum bisa menjawab, mungkin Vaksincom berikan sedikit hint lagi, malware ini pertama kali muncul pada akhir tahun 2008 dan memiliki 5 varian, masih aktif sampai hari ini, dalam aksinya akan mengakibatkan banyak akun Username Active Directory Windows yang terkunci (Account lock out) , Microsoft mengeluarkan undian US $ 250.000 bagi siapapun yang bisa mengungkapkan pembuat Conficker ini namun sampai hari ini pembuatnya terungkap dan informasi terakhir mungkin akan membuat anda makin dekat kepada jawabannya. Sampai saat ini masih termasuk dalam malware yang paling banyak ditemukan pada jaringan perusahaan di Indonesia.

Hanya satu malware dalam sejarah virus dunia yang memiliki ciri-ciri seperti di atas, Conficker. Diluncurkan pertama kali pada tanggal 21 November 2008 dan dalam waktu kurang dari 6 bulan mengeluarkan semua 5 variannya sampai-sampai 1 April 2009 ditunggu-tunggu oleh para pengguna komputer dengan cemas karena merupakan saat penentuan apakah pembuat Conficker mengirimkan perintah pada jutaan komputer yang terinfeksi Conficker yang mengandung botnet yang akan menuruti apapun yang diperintahkan oleh pembuat Conficker melalui situs-situs yang telah dipersiapkan http://edition.cnn.com/2009/TECH/03/24/conficker.computer.worm/. Kabar baiknya, hal tersebut tidak terjadi dan pembuat Conficker kemungkinan juga sudah “tiarap” karena banyak pemburu dolar yang tergiur dengan US $ 250.000 dari Microsoft untuk mengincar siapa yang berada dibalik malware ini kalau ia jadi menjalankan aksinya.

Mempersatukan 30 perusahaan / organisasi IT dunia.
Conficker adalah satu-satunya malware dalam sejarah yang berhasil “mempersatukan” banyak pihak penting bekerja secara bersama-sama dan terkoordinasi untuk menghadapi aksinya. Bukan saja komunitas keamanan cyber, tetapi Microsoft, CISCO, ICANN (Internet Corporation for Assigned Names and Numbers), Honeynet Project, SRI International, operator registrasi domain, vendor-vendor antivirus dan periset / pakar dari dunia akademisi bersatu membentuk CWG Conficker Working Group http://www.confickerworkinggroup.org guna menghadapi ancaman yang ditimbulkan oleh Conficker, khususnya sehubungan dengan pencegahan bahaya dampak pengendalian jutaan komputer oleh botnet Conficker yang ditanamkan komputer yang di infeksinya. Adapun ke 30 organisasi yang tergabung dalam Conficker Working Group adalah sebagai berikut :
  1.     1and1
  2.     Afilias
  3.     AOL
  4.     Arbor Networks
  5.     Cisco
  6.     ESET
  7.     F-Secure
  8.     Facebook
  9.     Georgia Institute of Technology
  10.     Global Domains International
  11.     IBM-ISS
  12.     ICANN
  13.     Internet Storm Center
  14.     Internet Systems Consortium
  15.     IT-ISAC
  16.     Juniper
  17.     Kaspersky
  18.     McAfee
  19.     Microsoft
  20.     Neustar
  21.     NIC Chile
  22.     SecureWorks
  23.     Shadowserver
  24.     Sophos
  25.     SRI International
  26.     Support Intelligence
  27.     Symantec
  28.     Team Cymru
  29.     Trend Micro
  30.     Verisign
Vaksincom merasa perlu mengangkat artikel untuk membahas kembali malware ini meskipun sudah mengeluarkan 5 artikel tentang malware ini :
  • Mega Test 5 Tools Conficker Network Detection 29 April 2009
http://vaksin.com/2009/0409/Conficker%20Scanner/conficker%20scanner%20review.htm

  • MEGA Tes 8 Tools Conficker Killer 22 April 2009
http://vaksin.com/2009/0409/Conficker%20Tools/mega%20test%20conficker%20tools.htm

  • Conficker.C, Bom waktu atau April Mop ? 31 Maret 2009 http://vaksin.com/2009/0309/confickermop/Bom%20waktu%20atau%20April%20Mop.html

  • Antara Cina dan Rusia, kita kena virus, 27 Januari 2009
http://vaksin.com/2009/0109/conficker2/conficker2.htm

  • RPC Dcom part III, Conficker mengganas di Indonesia 17 Desember 2008
http://vaksin.com/2008/1208/conficker/conficker.htm

Karena menurut pantauan Vaksincom sampai hari ini, komputer yang terinfeksi Conficker di Indonesia masih sangat banyak dan sampai artikel ini dibuat diperkirakan jumlahnya masih mencapai belasan ribu komputer. Bagaimana angka tersebut bisa muncul, silahkan ikuti bagian kedua artikel ini.

Mulai menjalankan aksinya bulan November 2008 varian pertama dari 5 varian Conficker dengan nama Conficker.A mulai disebarkan dan sukses menginfeksi semua komputer dengan sistem operasi Microsoft Windows yang belum melakukan patching atas celah keamanan RPC Dcom yang baru dikeluarkan 1 minggu oleh Microsoft. Bulan Desember 2008, versi EYD (Edisi Yang telah Disempurnakan) alias Conficker B yang memiliki kemampuan menyebarkan dirinya melalui UFD (USB Flash Disk) menampakkan dirinya dan hasilnya sukses menginfeksi jutaan komputer di seluruh dunia.

Conficker A dan B memiliki salah satu payload utama membuat botnet yang akan menghubungi 250 situs internet acak yang akan mengandung perintah yang telah dipersiapkan sebelumnya oleh pembuatnya. 250 alamat situs ini tidak selalu sama dan karena sifatnya acak sehingga sangat cukup menyulitkan untuk diblok pada awal kemunculannya. Tujuan membuat botnet adalah untuk memiliki pasukan zombie cyber yang bisa di perintahkan untuk melakukan apapun yang diperintahkan pembuatnya. Di ranah internet, pasukan komputer yang terinfeksi botnet dapat diperintahkan untuk melakukan hal apa saja oleh pengontrolnya. Dari menyerang satu situs seperti melakukan Ddos sampai situs tersebut lumpuh, mencuri data dari komputer korbannya, menginfeksikan kembali dengan malware lain yang lebih jahat atau menjadikan sebagai komputer untuk melakukan aksi kejahatan lainnya. Pokoknya intinya enak bagi yang mengontrol dan tidak enak bagi yang di kontrol :p. Sebagai gambaran kalau anda memiliki komputer terinfeksi Conficker dan disuruh untuk men Ddos situs Pak Lurah, dan anak buah Pak Lurahnya galak dan memperkarakan anda, bisa-bisa anda masuk bui walaupun anda tidak tahu apa-apa namun anda tetap akan disalahkan karena ada bukti nyata di dalam log komputer dan ISP bahwa komputer anda yang melakukan Ddos ke situs resmi Pak Lurah.

Jika pembuat Conficker ini berhasil mengakses situs-situs yang akan dihubungi oleh jutaan botnet Conficker, akibat yang ditimbulkan akan lebih mengerikan dari penyebaran aksi Conficker itu sendiri (yang sudah membuat pusing administrator dari jutaan komputer). Jutaan komputer itu akan melakukan apa saja perintah yang diberikan oleh pembuat Conficker melalui situs-situs yang akan dihubungi ini. Ibarat senjata nuklir yang jatuh ke tangan orang jahat akan digunakan untuk aktivitas jahat dan tentunya harus dicegah. Namun bagaimana mencegah suatu kejahatan yang akan dilakukan kalau penjahatnya (pembuat conficker) sangat licin dan belum berhasil ditangkap ? Sementara komputer korban conficker sendiri sudah mencapai jutaan komputer. Akhirnya CWG (Conficker working Group), dibentuk hanya untuk menghadapi Conficker melakukan langkah unik, mendaftarkan dan memblokir ratusan domain yang akan dihubungi oleh botnet Conficker sehingga pembuat Conficker ini tidak memiliki akses ke situs-situs yang akan dihubungi oleh botnet-botnet Conficker. Botnet-botnet ini ibarat anak ayam kehilangan induk, namun kalau anak ayam biasanya cuty, mungkin dapat kita katakan ibarat anak T-Rex kehilangan induk dan akhirnya ancaman Ddos oleh komputer-komputer korban Conficker A dan B ini tidak terwujud. Terimakasih untuk kepada CWG.

Lalu apakah ini merupakan akhir cerita dari Conficker ? Jangan lupa, kita baru sampai pada varian kedua Conficker dan masih ada 3 varian lagi yang belum kita bicarakan. Ibaratnya Sauron yang dihalangi untuk bertemu dengan cicinnya, tentunya ia tidak tinggal diam dan mengirimkan Nazgul yang tidak bisa dikalahkan pria manapun di dunia ini, pembuat Conficker mengirimkan Conficker.C. Dan kalau Conficker B berusaha menghubungi 250 domain secara random dan CWG harus bekerja keras memblokir 250 domain dalam setiap aksi Conficker A dan B, kali ini yang dihubungi oleh Conficker.C adalah 50.000 pseudodomain di seluruh dunia dan sekali lagi CWG harus bekerja keras melakukan blocking atas 50.000 pseudodomain ke 131 negara dan kabar buruknya, mereka hanya memiliki waktu kurang dari 3 minggu sebelum Conficker.C menjalankan aksinya pada tanggal 1 April 2009. Komunitas internet pun berdebar-debar menunggu tanggal 1 April 2009 apakah pembuat Conficker jadi menjalankan aksinya menyebarkan perintah serangan ke seluruh komputer yang terinfeksi Conficker. Dan kabar baiknya, tanggal 1 April 2009 tidak terjadi kekacauan internet dan ancaman Conficker.C ini tidak terjadi. Namun apakah hal ini merupakan keberhasilan CWG memblokir 50.000 pseudodomain dalam waktu kurang dari 3 minggu atau karena pembuat Conficker yang tidak berani menjalankan aksinya karena memang sudah hingar bingar ditambah lagi pemburu hadiah US $ 250.000 dari Microsoft bagi yang berhasil membantu menangkap pembuat Conficker ini, hanya pembuat Conficker yang tahu :).

Ciri komputer terinfeksi conficker
Seperti yang di informasikan oleh PT. Vaksincom dalam artikelnya http://vaksin.com/2009/0109/conficker2/conficker2.htm, ciri-ciri komputer yang terinfeksi Conficker adalah :
  • Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.
  • Komputer mendapatkan pesan error Generic Host Process.
  • Komputer tidak bisa mengakses situs-situs sekuriti tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com dengan pesan “Address not Found” tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain dapat diakses dengan mudah.
  • Update definisi antivirus terganggu karena akses ke situs antivirus diblok.
  • Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000
Namun untuk mudahnya anda dapat mencoba melihat 6 kotak di bawah ini yang diberikan oleh Conficker Working Group. Tools ini merupakan hak cipta dari Conficker Working Group dan digunakan untuk membantu pengguna komputer awam mendeteksi apakah komputernya masih terinfeksi Conficker atau tidak :

Conficker Eye Chart by Vaksincom, inspired by Conficker Eye Chart of Conficker working Group.
20130610I_confickerindonesia01
Credit :
Conficker Working Group
Joe Stewart


Perhatian :

Conficker Eye Chart ini hanya bisa bekerja dengan baik mendeteksi PC anda jika anda terkoneksi langsung ke internet dan tidak melalui proxy.


Cara melihat dan interpretasi :
  • Melihat semua gambar :
20130610I_confickerindonesia01
Anda melihat semua gambar, analisa :
  • Komputer tidak terinfeksi Conficker.
atau
  • Komputer terinfeksi Conficker tetapi menggunakan proxy ke internet.
  • Tidak melihat logo G Data dan Norman
20130610I_confickerindonesia02
Anda hanya bisa melihat 4 gambar kecuali logo G Data dan Norman, analisa :
    • Komputer tidak terinfeksi Conficker A atau Conficker B.
  • Anda tidak melihat logo G Data, Norman dan SecureWorks
20130610I_confickerindonesia04
Anda hanya bisa melihat 3 gambar di baris bawah dan tidak bisa melihat 3 gambar di baris atas, analisa :
    • Komputer terinfeksi Conficker C atau Conficker E.
  • Anda tidak bisa melihat semua gambar
20130610I_confickerindonesia03
Anda tidak bisa melihat semua gambar, jangan khawatir dulu, ini berarti :
  • Browser anda mematikan loading image.
  • Koneksi internet jelek.
Jika anda adalah administrator jaringan dan ingin melakukan scanning jaringan anda apakah masih terinfeksi Conficker atau tidak, silahkan gunakan tools Simple Conficker Scanner dari Honeynet.org yang bisa didapatkan disini Simple Conficker Scanner.

Setelah artikel ini, Vaksincom akan memberikan sedikiti nformasi statistik Conficker di Indonesia dan bagaimana cara membasmi Conficker dengan tuntas.
Salam,

Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: