Virus yang “Sempurna” 6 November 2008

Artikel Chip April 2008

 

Viking adalah sosok virus mancanegara yang sangat ditakuti administrator jaringan karena sekali berhasil menginfeksi satu komputer dalam jaringan akan langsung menyebar dan melumpuhkan seluruh komputer yang terhubung ke intranet, bahkan dalam banyak kasus mampu menembus pertahanan komputer dengan antivirus yang terupdate sekalipun karena kemampuannya polymorphic di dukung oleh kemampuan mengupdate dirinya melalui internet dengan sangat cepat sehingga dapat mengelabui antivirus yang telah mendeteksinya. Ditambah dengan ciri khas infeksinya dengan menginjeksi file executable dan mengeksploitasi celah keamanan IPC $ dalam rangka menyebarkan dirinya ke komputer lain di jaringan membuatnya tidak tertahankan sekali berhasil menginfeksi satu saja komputer di jaringan, dalam waktu singkat seluruh komputer di jaringan akan berhasil dikuasainya. Apakah ini sudah cukup ? Ada satu metode infeksi yang belum dimiliki Viking, penyebaran via external drive yang marak digunakan oleh virus Indonesia sehingga secara tidak langsung penyebaran Viking kurang efektif pada komputer-komputer yang tidak terhubung ke intranet / internet. Tetapi pembuat virus juga manusia, mereka belajar dari pengalaman masa lalu sehingga ia mengeluarkan virus baru dengan kemampuan tambahan menyebar melalui external drive (UFD (USB Flash Drive), External HDD, Memory Card dan lainnya)). Ibarat kata Gita Gutawa, inilah salah satu virus yang masuk kategori Sempurna.

Virus yang dikenal dengan nama W32/Fujack ini karena “bibitnya” adalah pembuat Viking, maka virus ini tidak kalah sakti dengan Viking. Dengan beberapa kesamaan seperti kemampuan polymorphic dan update diri ke internet, eksploitasi celah keamanan dan kemampuan penyebaran di jaringan yang sangat efektif. Bedanya, Fujack tidak mengeksploitasi celah keamanan IPC $ (kemungkinan karena IPC $ ini sangat efektif jika korbannya adalah Windows 2000 dan penggunanya sekarang makin berkurang), sebagai “gantinya” virus baru ini dibekali dengan kemampuan melakukan dictionary attack pada account administrator dan folder yang di password dimana hampir dapat dipastikan default password setting windows dan password lemah akan dapat ditembus oleh virus ini. Selain itu, apakah karena di “ilhami” oleh virus lokal buatan Indonesia, virus baru dengan nama Fujack ini juga memiliki kemampuan penyebaran melalui External Disk dan hebatnya ia akan menambahkan Autorun.inf pada external drive yang akan menjalankan virus yang dikopikan pada drive tersebut.

 

Gamesetup.exe

Jika mendadak komputer anda memiliki file dengan nama gamesetup.exe pada folder Startup, maka anda harus ekstra hati-hati karena artinya Fujack sudah mampir ke komputer anda. (lihat gambar 1)

 

Gambar 1, Fujack datang dalam file dengan nama GameSetup.exe

 

Dan bila anda terhubung ke jaringan, maka pekerjaan rumah besar menanti anda. Mengapa ? Seperti virus Viking, Fujack memiliki keahlian dalam menginfeksi jaringan. Dalam menjalankan aksinya menyebar ke jaringan, jangankan folder sharing yang tidak dilengkapi password (yang secara de facto memang sering di temukan di jaringan-jaringan intranet UKM, bahasa kerennya SME = Small and Medium Enterprise), folder yang dilengkapi dengan password sekalipun berhasil dimasuki oleh Fujack dengan dictionary attack yang mencapai 100 password yang paling sering digunakan oleh administrator seperti, pw123, mypass123, asdf, qwerty, login, 12345678, abc123, administrator dan mypc. Jadi jika anda administrator jaringan yang tidak melengkapi pertahanan dengan password yang baik dan semua settingan masih default bisa dipastikan Fujack akan dengan mudah menginfeksi komputer / jaringan intranet anda.

 

Mematikan software sekuriti dan system tools windows

Salah satu payload Fujack yang patut dikhawatirkan adalah ulahnya “balas dendam” mematikan beberapa program sekuriti seperti AVP, McAfee dan Symantec. Payload ini berbahaya karena dengan lumpuhnya program antivirus berarti komputer tidak memiliki pertahanan terhadap virus apapun sehingga secara tidak langsung Fujack membukakan pintu bagi semua virus ITW (In The Wild) sekalipun sebelumnya sudah terdeteksi oleh program antivirus tersebut. Tetapi karena antivirus sudah dilumpuhkan Fujack maka virus lain dengan leluasa akan dapat menginfeksi komputer. Celakanya, jika virus yang masuk bersifat merusak data seperti Kamasutra atau Kespo. Adapun system tools windows yang dilumpuhkan oleh Fujack adalah Task Manager dan Registry Editor.

 

Menyebar melalui website dan mengupdate dirinya

Fujack memiliki kemampuan menyebar melalui website di internet. Caranya adalah menginfeksi file html dan kemudian memasukkan link yang mengandung virus tersebut ke dalam html. Bahkan ada varian Fujack yang tampil sebagai file .gif yang memanfaatkan Iframe untuk membawa korbannya ke website yang mengandung virus.

Salah satu rahasia kehebatan Fujack adalah kemampuannya mengupdate dirinya melalui internet. Hal ini dilakukan melalui website http://www.ac86. cn/88 tetapi saat ini link update tersebut sudah tidak aktif lagi, namun dengan mudah pembuat Fujack mengeluarkan varian baru dengan link update baru. Dari sini dapat kita lihat bahwa pembuat Fujack meniru vendor antivirus yang mengandalkan update untuk mendeteksi dan membasmi varian virus baru.

 

Menyebar melalui external media dan membuat file autorun.

Berbeda dengan virus mancanegara lain yang mengandalkan penyebaran melalui internet, email dan intranet. Fujack memiliki satu payload tambahan yang mirip dengan virus lokal. Apakah di ilhami oleh virus Indonesia, hanya pembuat Fujack yang tahu. Payload tambahan yang menjadi “lagu wajib” bagi virus lokal Indonesia adalah kemampuan menyebar melalui External Drive seperti UFD, external harddrive dan memory card dimana Fujack akan mengkopikan dirinya sebagai file “setup.exe”. Tetapi file “setup.exe” saja tidak cukup karena tidak dapat berjalan secara otomatis setiap kali External Drive di akses / dihubungkan ke komputer, karena itu virus ini juga akan membuat file “autorun.inf” yang otomatis akan dijalankan setiap kali External Drive dihubungkan ke komputer atau folder mengandung virus diakes oleh komputer. File “autorun.inf” sendiri nantinya akan menjalankan file virus “setup.exe” guna menginfeksi komputer korbannya. Fitur autorun ini pada awalnya sebenarnya merupakan fitur yang banyak diaplikasikan pada CD Rom / DVD Rom dimana setiap kali kita memasukkan CD/ DVD fitur ini akan secara otomatis menjalankan menu pada CD / DVD. Tetapi ibarat pistol, ditangan orang yang salah akan digunakan untuk tujuan yang negatif / merusak.

 

Bagaimana cara efektif mengatasi Fujack

Ada beberapa tindakan pencegahan yang perlu anda lakukan untuk mencegah Fujack menginfeksi komputer anda. Pertama tentunya anda harus menerapkan password yang baik dan benar pada username dan folder sharing di seluruh jaringan. Meskipun kelihatannya sepele tetapi dalam pelaksanaannya banyak administrator jaringan yang menghadapi kendala dalam hal ini, hambatan utama adalah kendala dari pengguna komputer yang mau mudah dan tidak mau pusing merubah kebiasaan kerja, walaupun salah. Kedua, walaupun klise tetapi tetap penting adalah instal antivirus yang sudah mampu mendeteksi virus Fujack. Menurut catatan penulis, hampir semua antivirus termasuk Norman sudah mampu mendeteksi Fujack (lihat gambar 2).

Gambar 2, Norman Virus Control mendeteksi Fujack

 

Yang menjadi masalah adalah Fujack mampu mengupdate dirinya dengan cepat sehingga sangat sulit di deteksi oleh antivirus sehingga anda membutuhkan cara ketiga yang merupakan sumbangan dari teknisi Vaksincom khusus untuk pembaca Chip dan tidak anda temui saat ini di internet atau di vendor antivirus lain🙂. Caranya adalah denga mengelabui Fujack bahwa komputer anda telah terinfeksi. Seperti kita ketahui, untuk mencegah proses looping sehingga menyebabkan crash Fujack akan mengecek keberadaan dirinya di komputer calon korbannya. File yang di cek adalah spoclsv.exe (yang merupakan file proses virus), jika file ini ditemukan maka ia akan berhenti menginfeksi komputer dan komputer anda akan aman dari infeksi Fujack, sekalipun tanpa perlindungan antivirus. Tetapi ingat, metode ini efektif untuk menghadapi semua varian Fujack yang menyebar sampai hari ini dan tidak tertutup kemungkinan varian baru yang mampu mengatasi pengelabuan ini. Sekuriti adalah proses, nantinya pasti akan ditemukan lagi cara lain yang efektif mengelabui varian Fujack baru (jika ada). Untuk sementara pembuatan file palsu spoclsv.exe mampu menghentikan penyebarannya di jaringan.

 

Salam,

Aa Tan

info@vaksin. com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: