Conficker : Virus berharga US$250.000 ~ gilang samudra

Apakah komputer anda terinfeksi virus Conficker ? Tidak heran jika tingkat penyebaran virus ini sungguh luar biasa, saat artikel ini dibuat saja, beberapa sumber menyebutkan bahwa 9 juta pc diseluruh dunia telah terinfeksi oleh virus ini dan jumlah ini terus bertambah. Tak ayal sang empunya virus kini dicari oleh FBI..

Dynamic Link Library

Tidak seperti virus kebanyakan yang berformat portable Executable (EXE), virus ini berformat DLL (Dynamic Link Library) dengan nama file dan exstension yang berubah – ubah. Sifatnya yang polymorphic membuatnya agar sulit ditebak, dan lagi ukurannya pun beragam, dengan kondisi ter-pack menggunakan UPX maupun tidak.

Berbagai teknlogi canggih memang diusung virus ini mulai dari tehnik enkripsi, mengekploitasi celah operating system, proteksi file dan registry, API hooking, hingga tehnik automatic up-date yang mengagumkan.

Code Injection

Karena bentuknya yang berupa file DLL, untuk dapat aktif kali pertama, ia membutuhkan bantuan dari rundll32.exe. Saat file virus diload ke memory, virus ini akan memeriksa apakah ia dijalankan oleh rundll32.exe, dan mencari tau dimana service netsvcs berada, normalnya service netsvcs akan dijalankan oleh process svchost.exe pada Windows Xp atau Vista.karen proses svchost.exe pada system tidak hanya satu, tentunya ia harus mencari tau alamat asli dari svchost.exe yang bertugas menjalankan service netsvcs. Setelah ditemukan sebuah alamat di memory akan dialokasikan, untuk kemudiaan meng-inject-kan code-nya disana.

Virus Protection

Pada komputer yang terinfeksi sebelumnya ia kan memilih direktori tempatnya tinggal, apakah di system32, \Program file\Internet explorer, Program file\Movie maker, atau \Documents and setting \Aplication Data. File induk yang ia taruh diberi file hiden dan system agar tak terlihat, dengan sebelumnya mengeset folder option untuk tidak menampilkan file hiden dan system.

Security Update MS08-067

Tak heran jika perusahaan raksasa sekelas Microsoft juga ikut merasa gerah atas aksinya. Virus ini dapat menyebar dengan cepat dengan memanfaatkan kelemahan dari operating System Windows.Virus ini memiliki kemampuan untuk mengekploitasi celah pada RPC (Remote Procedure Call) Server service yang memungkinkan virus ataupun attacker melakukan remote code execution, seperti yang diumumkan oleh Microsoft pada Microsoft Security Bulletin MS08-067. Begitu berbahayanya celah ini hingga Microsoft pun memberikan level critical untuk bug yang satu ini. Microsoft pun mengadakan sayembara bagi siapa saja yang dapat menemukan pembuat virus ini akan diberi imbalan US$250.000 tertarik.?

Sharing Folder

Saat komputer terinfeksi terhubung ke jaringan, virus ini akan memeriksa apakah ada sharing ADMIN$ yang masih terbuka, kalau ketemu ia akan mencari tau siapa user pemilik sharing tersebut, dan akan mencoba masuk komputer user itu dengan cara mem-bruteforce password user yang bersangkutan. Saat membedah virus ini, memang didalam tubuhnya ditemukan kumpulan string password yang biasa digunakan. Saat berhasil masuk , virus ini kan mengkopikan dirinya pada %SHARE%\ADMIN$\Systen32\%RandomDLL%. Dan agar file tersebut dieksekusi, virus ini akan membuat sebuah job baru pada schedule task komputer korban secara remote. Job tersebut berisikan perintah “Rundll32.exe %RandomDLL%, %parameter%”.

Conficker : Virus berharga US$250.000

Removable Disk

Setiap perangkat removable disk yang terinfeksi virus ini akan memiliki icon folder. User dapat terkecoh dengan tehnik engineering-nya, contoh pada Windows Vista, saat dialog box autorun ini muncul, pesannya sama dengan milik Windows, “Open folder to view files”. Begitu diklik, autorun.inf akan menjalankan perintah “Rundll32.exe %Random%.dll,%parameter%”. Ini merupaka perintah yang mirip dengan yang ia lakukan saat membuat job pada schedule task.

“Address not found”

Untuk menjaga kelangsungan hidupnya, virus ini dapat menghapus system restore point. Dimaksudkan agar user tidak dapat menghapus virus dengan mengembalikan ke restore point sebelum terinfeksi. Beberapa service pun dimatikan seperti Automatic Update, Security center, dan lain sebagainya.(www.dunia-komputer.com)