Mungkin sudah jadi berita besar bahwa belakangan ini virus Conficker menjadi selebritis di kancah dunia per-virusan. Banyak kasus yang terjadi dan banyak *** yang sakit kepala akibat serangan ini. Sekali lagi, tentunya obat sakit kepala tidak cukup untuk membersihkan virus ini. Namun, selain itu banyak juga anggapan yang saya rasa salah ketika menghadapi virus ini.
Saya mencoba mereview (tentunya dengan bahasa saya sendiri) mengenai virus ini, dan berharap semoga bisa menjadi sedikit solusi untuk membantu menangkal virus ini.
Let's start....
Serangan ini memanfaatkan beberapa celah yang ada sebelum patch terhadap celah tersebut dirilis. Microsoft sendiri memberi nama virus ini sebagai Win32/Conficker.b dimana virus ini meng-exploit celah pada Windows Server Service (SVCHOST.EXE) terhadap Windows 2000, Windows XP, Windows Vista, Windows Server 2003 dan Windows Server 2008. Selain itu, serangan ini juga mempunyai metode propagasi pada:
1. Workstation/Server yang belum diimplementasikan patch MS08-067 (CVE-2008-4250), detil bisa dibaca di http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
2. Penggunaan Network Shares.
3. Penggunaan fungsi Autoplay.
Masalah diatas memang riskan, namun terhadap segala jenis virus yang ada, kembali lagi ke perlakuan user terhadap workstation/server itu sendiri. Terkadang celah bisa diakibatkan oleh human error dan celah itu ada bukan karena Operating System tersebut lemah, karena masalah ini ada di level aplikasi (ingat bahwa virus merupakan sebuah program, namun bertujuan negatif).
Salah satu gambar yang saya capture dari http://blogs.technet.com/mmpc/archive/2009/01/13/msrt-released-today-addressing-conficker-and-banload.aspx cukup menjelaskan mengenai metode penyebaran dari Conficker:
Banyak vendor antivirus yang telah merilis update terbaru untuk membersihkan virus ini. Walaupun tidak semua menggunakan conficker (sebagian menggunakan nama Downadup), namun membasmi virus tidak harus selalu bergantung pada antivirus. Antivirus digunakan hanya untuk mempercepat proses pencarian file-file yang merupakan trigger dari virus, namun belum tentu memulihkan struktur registry maupun membunuh proses yang menjalankan virus. Sehingga beberapa check list tetap harus dilakukan untuk meyakinkan bahwa virus telah bersih (terutama pada Jaringan).
Beberapa akibat yang disebabkan oleh virus ini yang sering dilaporkan melalui mailing list ataupun langsung kepada saya adalah Account Locked Out (pada lingkungan domain). Jika kita lihat dari gambar diatas, user yang mempunyai password lemah (weak password), mempunyai potensi mudah terserang. Oleh karena itu, penggunaan password kompleks dan strong direkomendasikan untuk IT Security Policy yang diterapkan pada perusahaan.
OK, lanjut ke masalah penanganan pertama pada kecelakaan akibat serangan ini:
1. Stay up to date dengan patch dan hotfix terbaru.
2. Menggunakan Removal Tool atau Antivirus untuk mendeteksi dan membuang file-file virus (sebagai contoh, bisa dengan menggunakan MSRT dari Microsoft http://support.microsoft.com/kb/890830 atau antivirus dari Microsoft yaitu Forefront Client Security http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B).
3. Perkuat IT Policy terutama yang berkaitan dengan file sharing over network.
4. Gunakan password yang kompleks dan strong dan disarankan menerapkan perubahan password setiap rentang waktu tertentu.
5. Jika antivirus sudah dapat melakukan penghapusan terhadap virus, checklist registry dan hal-hal lain yang mungkin merupakan trigger dari Virus ini, mengacu ke http://support.microsoft.com/kb/962007
6. Jangan ragu untuk konsultasikan hal ini dengan vendor anda/vendor anti virus anda untuk membantu mencegah hal ini.
Terakhir, mungkin apa yang saya tulis tidak bisa membantu banyak, namun diharapkan dengan kesabaran dan kehati-hatian dalam melakukan pencegahan terhadap virus ini, diharapkan bisa benar-benar bersih (terutama dalam lingkungan infrastruktur jaringan).
Best Regards,
Raymond Engelbert