Sebagai blog “pecinta freeware”, artikel ini sungguh menarik. Walau pemenangnya sesuai dengan prediksi, yaitu Avira. Berikut adalah ulasan singkat dari artikel tersebut.

Avira Antivir Personal memiliki proteksi heuristic paling baik yang membuatnya paling unggul ketika menghadapi ancaman yang belum diidentifikasi (misalkan virus baru). Kecepatan waktu scan juga merupakan nilai tambah walau tampilannya mendapat nilai minus karena tidak begitu bersahabat bagi pengguna awam. Terdapat juga iklan untuk upgrade ke versi Pro yang (cukup) menggangu, namun terdapat cara untuk mengakalinya. Bagi pengguna non-awam, Avira sangat sesuai untuk Anda.

Alwil Avast Antivirus Home Edition memiliki mekanisime anti-malware yang sangat baik & mendukung scan terhadap POP3 (sangat penting bila Anda menggunakan email client seperti Outlook dan lain-lain), namun tampilan program ini yang lebih mirip dengan music player (program ini mendukung skin, dan mengganti skin adalah hal pertama yang saya lakukan setelah menginstall Avast) membuat antivirus ini dipandang sebelah mata. Namun masalah tampilan ini nampaknya akan hilang pada versi 5 (sekarang ini masih dalam versi beta). Ada satu hal lagi yang sedikit merepotkan, walaupun gratis Avast meminta Anda untuk memperpanjang lisensi setiap setahun sekali. Ini bukanlah masalah bagi saya, namun bagi pengguna awam, kadang kala mereka tidak mengetahui hal ini dan membiarkan lisensi tersebut habis (ketika lisensi habis Avast tidak akan mendownload update antivirus). Hal ini saya temukan pada laptop kakak saya .

AVG 8.5 Free merupakan salah satu antivirus gratis favorit, memiliki tampilan yang mudah digunakan walau pada versi 8 kinerjanya jauh menurun. AVG berfungsi sangat baik untuk mencegah serangan dari web, namun sayangnya kemampuannya melawan malware di bawah rata-rata.

Microsoft Security Essentials (MSE) Beta (sekarang sudah resmi keluar) adalah pemain baru, walaupun sebenaranya adalah reinkarnasi dari Windows Defender + fungsi antivirus. MSE mendapat sambutan yang cukup hangat ketika baru diluncurkan, karena skor antivirus ini sudah cukup bagus sebagai pemula walaupun banyak yang menanggapi skeptis awalnya karena dibuat oleh Microsoft. Perlu dicatat bahwa engine MSE dikembangkan dari Microsoft Forefront yang merupakan paket keamanan untuk korporat. Kelebihan lainnya, MSE juga gratis untuk SOHO (small office home office) dimana antivirus lain (kecuali Comodo Internet Security & ClamWin) tidak memperbolehkannya (program antivirus lain hanya untuk pengguna rumahan dan non-komersil). Kelemahan dari MSE adalah waktu scan yang lama, namun karena ini baru versi awal ada kemungkinan besar sisi ini akan diperbaikin pada versi berikutnya. Sebagai catatan, ketika menginstall MSE akan meminta validasi keaslian Windows Anda karena MSE termasuk dalam program WGA (Windows Genuine Advantage).

PCTools Antivirus memiliki rating yang rendah terutama pada proteksi terhadap malware. PCTools juga memiliki skor terendah untuk deteksi virus/ancaman baru. Secara default tidak dijadwalkan scan maupun update secara otomatis, dan Anda harus mengkonfigurasikannya secara manual setelah instalasi.

Comodo Internet Security (CIS) memiliki kelebihan tersendiri karena boleh digunakan untuk keperluan komersil, dan paket CIS sudah termasuk firewall dimana Comodo firewall sudah terkenal kehandalannya (walau fungsi firewallnya tidak di uji coba oleh PC World). Sayangnya CIS memilki banyak kekurangan. Instalasi default akan mengubah mesin pencari default pada browser, melakukan instalasi toolbar & merubah homepage browser Anda ke hopsurf.com. Wow! Sayangnya lagi, kemampuan deteksi malware antivirus ini sangat rendah & menghasilkan false-positive (salah deteksi, program yang tidak berbahaya dianggap sebagai ancaman) terbanyak dibanding program lain.

Beberapa kali disebutkan namun tidak masuk dalam penghitungan akhir adalah ClamWin (yang dianggap belum siap karena tidak adanya real time scan & kemampuan deteksi virus yang sangat lemah) & pemain baru lain: Panda Cloud Antivirus, yang nampaknya cukup meyakinkan nantinya.

Sebagai perbandingan berikut adalah RAP (Reactive and Proactive) Quadrant keluaran VirusBulletin untuk menunjukkan kefektivitasan sebuah antivirus (versi komersil, dan biasanya versi gratisnya memiliki engine yang sama).

Image by ?Felix? via Flickr

Worm? Mungkin kata ini belum familiar bagi sebagian orang. Worm masih berkerabat dekat dengan virus komputer. Yang membedakan adalah worm hampir sebagian besar menyebar melalui jaringan (LAN), membuat jaringan lamban, & sering kali target utamanya adalah server. Conficker adalah salah satu worm terbaru yang telah menginfeksi >9 juta komputer di seluruh dunia (sumber).

Tulisan ini merupakan pengalaman pribadi menghadapi Conficker alias Win32/Conficker.A/B (CA, Microsoft), W32.Downadup (Symantec), W32/Downadup.A (F-Secure), Conficker.A (Panda), Net-Worm.Win32.Kido.bt (Kaspersky) di kantor yang bikin pusing tujuh keliling..

Teknik Infeksi

Worm ini mengeksploitasi celah keamanan Windows yang dikenal sebagai MS08-067. Secara teknis, worm ini menyebar secara primer (cara sekunder adalah melalu flash disk) melalui kelemahan buffer overflow pada Server Service di Windows. Worm ini akan membuat RPC (Remote Procedure Call) request spesial untuk menjalankan kode di komputer target. Microsoft telah mengeluarkan update untuk menutup celah ini, jadi pastikan Windows anda selalu diupdate.

Setelah terinfeksi, worm ini akan membuka jalur ke sebuah server yang akan menginstruksikan worm ini untuk melakukan tindakan selanjutnya, mengambil data-data pribadi anda, dab mengunduh & menginstall malware/trojan.

Tanda-tanda Terinfeksi

• Muncul pesan Generic Host Process (GHP) error.
• Beberapa servis Windows seperti Automatic Update, Backgorund Intelligent Transfer (BITS), Windows Defender tidak berjalan.
• Anda tidak bisa mengujungi beberapa website antivirus (Symantec, AVG, dll). Namun anda masih mengunjungi website tersebut jika mengetahui IP addressnya (ketik IP address di browser).

Khusus untuk kantor/jaringan (terutama yang memakai Active Directory):

• Sering muncul account locked out (jika aturan ini diaktifkan). Jika server sudah terinfeksi, account lockout policy otomatis di reset oleh worm.
• Domain Controler akan lamban merespon request client. Jika anda memperhatikan Task Manager, maka proses CPU terlihat lebih tinggi dari biasanya. Hal ini dikarenakan worm ini mencoba membobol password admin ratusan/ribuan kali dalam sedetik (brute force attack). Aktifkan Audit Directory Object di server untuk mengetahui hal ini (untuk server 2003 lihat disini). Jadi pastikan Account Lockedout Policy diaktifkan jika tidak ingin server anda bobol.
• Jaringan secara keseluruhan menjadi lamban.

Teknik Membersihkan

1. Install patch untuk celah keamanan Windows (KB958644) di: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
2. Unduh Microsoft Windows Malicious Software Removal Tool/MSRT (KB890830) dari http://www.microsoft.com/security/malwareremove/default.mspx dan jalankan untuk membersihkan worm ini.
3. Disable autorun (KB953252), karena teknis infeksi sekunder worm ini melalui flash disk: http://support.microsoft.com/kb/953252 & import  key registry berikut dari halaman ini: http://www.us-cert.gov/cas/techalerts/TA09-020A.html
4. Update antivirus anda, dan lakukan scan menyeluruh.

Khusus untuk kantor/jaringan (terutama yang memakai Active Directory):

• Karena worm ini akan berusaha membobol password Administrator jaringan maka ganti password dengan yang lebih kuat (mengandung huruf besar/kecil, angka, tanda baca, & minimal 6 digit).
• Jangan login ke komputer menggunakan account domain, khususnya account Administrator jaringan. Cabut komputer yang terinfeksi dari jaringan, lalu login ke komputer dengan account admin local (this computer), dan lakukan langkah-langkah di atas. Disarankan anda juga mengganti password admin local dengan yang lebih aman juga.
• Khusus untuk server yang tidak ada admin local (Active Directory), langkah kedua (membersihkan worm) dapat dilakukan dengan booting server dengan CD anti virus. Saya menggunakan keluaran Avira (http://www.free-av.de/en/tools/12/avira_antivir_rescue_system.html). Cabut kabel jaringan dari server, boot & bersihkan dengan CD, restart server, patch Windows (jika belum) dan jalankan MSRT untuk amannya.
• Jika anda menggunakan WSUS (Windows Server Update Services) pastikan semua KB (update) yang saya sebutkan di atas sudah di deploy ke seluruh komputer. Jika belum, anda harus sedikit mem “push” nya dengan mengatur deadline (misalkan satu minggu).

Referensi:

• http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx
• http://www.vaksin.com/2008/1208/conficker/conficker.htm
• http://en.wikipedia.org/wiki/Conficker

Lalu apa penggantinya? Tentu saja saya mencari program freeware lagi untuk penggantinya. Tapi ada baiknya kita lihat-lihat dulu nih hasil benchmark antivirus belakangan ini. Di situs Virus Bulletin, terdapat hasil uji coba badan independent AV-Test.org yang melakukan uji coba antivirus bulan September lalu. Berikut hasil uji coba mereka:

Notes
(1) AVK 2008 uses the Avast and Kaspersky scan engines
(2) AVK 2009 uses the Avast and BitDefender scan engines
(3) WebWasher uses the Avira engine and a self-developed heuristic engine
(4) the free (personal) edition does not include ad- and spyware detection, so the results would be –

Dapat dilihat bahwa Avira Antivir & Avast, dua antivirus yang jadi kandidat pengganti AVG memperoleh score yang cukup baik. Perlu di catat bahwa yang diuji bukanlan versi yang gratisan, untuk Avira adalah edisi Premium Security Suite 2008 sedangkan Avast merupakan versi Professional Edition 4.8.

Bagaimana dengan performa kedua antivirus ini? Performa di sini bukan mengancu pada kehandalan antivirus membasmi virus, namun pada kecepatan Scan, penggunaan RAM (Memory). Untuk uji coba ini mari kita lihat hasil uji coba PassMark (uji coba ini nampaknya atas permintaan Symantec, karena semua hasil uji coba yang berhubungan dengan Norton di beri warna berbeda).

Sumber: www.passmark.com, hasil lengkap dalam bentuk file PDF, 68 Halaman, 1,73 MB.

Pilihan pertama saya jatuh pada Avira AntiVir Free karena berdasarkan kedua benchmark di atas, Avira memberikan hasil yang cukup bagus. Namun setelah bertandang ke situsnya dan membandingkan antara versi Premium & Free saya baru lihat kalau ternyata versi yang gratisan tidak mendukung scanning email POP3. Wah, wah… walau sekarang web based email sudah cukup mumpuni, tetep saja saya lebih suka membaca email di program mail client seperti Outlook (atau Thunderbird kalau mau yang gratisan).

Akhirnya saya mendownload Avast!, uninstall AVG & mulai menginstall Avast. Tampilan Avast! memang “cukup trendy” (lebih mirip audio player), namun kita bisa mendownload skin penggantinya di situs Avast. Hasilnya: cukup oke sejauh ini. Ketika memanggil Outlook tidak selamban dahulu ketika menggunakan AVG. Dan secara keseluruhan, saya merasa sistem saya sedikit lebih responsif dibanding menggunakan AVG. Dan dengan berat hati akhirnya saya mengucapkan selamat tinggal pada AVG, dan selamat datang untuk Avast!.

Minggu lalu sebuah server di kantor saya tidak bisa diakses oleh para staff. Selidik punya selidik, ada sebuah process yang bernama Services.exe (dengan huruf “S” besar) yang menggunakan memory hingga ratusan mega. Setelah di cek di  log antivirus (CA eTrust Antivirus 7.1 Corporate), ternyata anti virus ini menemukan virus Win32/Sality.W yang menginfeksi banyak file dan beberapa diantaranya gagal di bersihkan. Waduh! Gawat nih, saya pikir dalam hati.

Langkah pertama tentu saja “selidiki musuh mu”. Dengan bantuan mbah Google, saya mulai mencari informasi mengenai virus ini. Sality ternyata bukan virus yang terlalu berbahaya, namun dia menginfeksi file berekstensi .exe dan ini yang rada merepotkan: ia termasuk virus polymorphic. Polymorphic? Secara singkat, virus polymorphic adalah virus yang bisa memodifikasi dirinya sendiri. Jadi virus ini bisa memiliki varian/turunan. Jika dilihat dari nama virus di atas Sality.W, maka bisa di asumsikan bahwa sudah ada varian dari huruf abjad A s/d V,  dan perlu teknik yang berbeda-beda untuk membersihkan tiap varian ini. Weleh-weleh…

Oke, sekarang masuk tahap kedua: “bagaimana cara membersihkannya?”. Berhubung saya sudah menggunakan antivirus (walaupun gagal membersihkan virus ini dengan baik & benar), saya berusaha mencari “pembersih” lain yang tidak perlu diinstall (bukanlah ide yang baik untuk menggunakan 2 anti virus pada sistem yang sama, karena hanya akan memberatkan sistem). Saya juga tidak mungkin mengganti dengan yang lain karena antivirus ini asli bawaan pas beli server (dan sumpah deh, saya sudah coba cari solusi freeware antivirus yang mumpuni untuk Windows Server 2003, dan sejauh ini saya bilang tidak ada.) Jadi berhubung sudah dapet gratisan pas beli sever yah di manfaatin aja, walau gak ampuh-ampuh banget… Yah dari pada gak ada? Nah kembali ke permasalahan tadi, sekarang pilihan saya ada dua: cleaner atau rescue disk. Hmm apa beda & kelebihannya?

Cleaner atau sering disebut removal tool biasanya adalah program standalone (tidak perlu diinstall, dan sering kali hanya merupakan 1 file exe). Cleaner ini bisa untuk menghapus satu jenis virus saja, atau beberapa virus. Untuk hasil yang terbaik, jalankan cleaner ini ketika Windows sedang dalam safe mode.Hampir semua produsen antivirus punya sejenis cleaner ini, dan biasanya gratis . Kok bisa gratis? Karena seperti saya telah sebutkan sebelumnya, program ini hanya “membersihkan” & tidak akan memberikan perlindungan 24/7 seperti layaknya program anti virus yang di install. Ini saya beri beberapa contoh:

• AVG Removal Tool
• Avira AntiVir Removal Tool
• McAfee Avert Stinger
• Norton/Symante Virus & Threat Removal Tools
• Norman Virus removal tool
• Kaspersky Virus Removal Tool (per virus)
• AVZ Anti-Viral Toolkit (Kaspersky. Tool ini bisa juga digunakan untuk mengirim log ke Kaspersky Lab.)
• AVP Tool (Kaspersky juga.. Baik ya Kaspersky? Tapi jangan harap bisa lihat 2 tool ini tampil di website utama Kaspersky)

Rescue disk biasanya merupakan bootable CD. Jadi kita cukup download file .iso nya, bakar ke CD kosong, lalu boot sistem yang bermasalah dengan CD ini. Tunggu beberapa saat, dan sistem Anda akan bersih kembali! Praktis kan? Ini link beberapa vendor yang menyediakan rescue CD:

• Avira Antivir Rescue System (57 MB)
• BitDefender Rescue CD (488 MB)
• Kaspersky Rescue Disk (FTP) (85 MB)
• Kaspersky Rescue Disk (85 MB)
• Download F-Secure Rescue CD 3.00 (153 MB)

Sumber link & artikel lengkapnya: Rescue CD gratis dari Avira, BitDefender, Kaspersky dan F-Secure

Perlu diingat, setiap vendor punya solusi yang berbeda-beda ketika ia tidak bisa “menyembuhkan” sebuah file: ada yang langsung main hapus & ada yang juga punya solusi lain seperti me-rename nama file menjadi ektensi yang berbeda (.xxx misalkan). Bahkan ketika bisa disembuhkan tidak selalu file tersebut kembali ke kondisi seperti semula. Jadi selalu backup data Anda terlebih dahulu sebelum menjalankan tool yang mana pun!

Nah kembali ke permasalahan saya, server yang terinfeksi sialnya juga merupakan Active Directory. Jadi saya hanya punya waktu yang terbatas jika ingin mematikan server ini (atau usernya bakal ngamuk-ngamuk). Setahu saya, server yang jadi Active Directory tidak bisa masuk safe mode (benar tidak ya ini? Perasaan pernah coba tapi tidak bisa). Jadi sudah pasti teknik menggunakan cleaner tidak bakal efektif. Jadi saya pilih teknik rescue CD. Karena keterbatasan waktu, saya hanya bisa mendownload Avira Antivir Rescue System (karena paling kecil), langsung saya bakar dan begitu jam pulang, server saya matikan dan boot dari CD ini. Data sudah aman semua, karena tiap malam sudah di back-up otomatis.

Proses kerja Avira cukup lama, karena harus men-scan 2 hard disk (80 GB & 250 GB). Avira berhasil menyembuhkan beberapa file, namaun yang tidak berhasil di rename menjadi nama_file.exe.XXX. Hmm artinya belum tuntas nih. Setelah boot lagi, saya lihat bahwa process yang mencurigakan sudah hilang (Services.exe, dangan huruf “S” besar) dan server sudah berjalan normal kembali, kecuali eTrust yang setiap beberapa kali muncul melaporkan menemukan virus Sality.W tapi gagal menyembuhkan. Wah nampaknya perlu langkah selanjutnya.

Dari blog bakazero di bagian komentar artikel, ada yang menyarankan pakai Norman untuk membasmi Sality. Saya langsung ke website Norman dan mendownload (mengunduh? sorry, sampai sekarang kata mengunduh masih janggal sekali di telinga saya) Norman Malware Cleaner. Perlu saya beritahu kalau program ini tidak memberi pilihan apa-apa ketika tidak bisa membersihkan… langsung di hapus! Gilee bener… Namun dalam posisi saya (karena Sality hanya menginfeksi file berakhiran .exe), hal ini tidak jadi masalah. Dokumen jauh lebih penting dari pada file program. Sekedar info, terdapat pilihan tidak membersihkan dengan menambahkan “/noclean” sebagai command line switch. Untuk lengkapnya bisa di lihat di web Norman dengan menggunakan link di atas.

Setelah Norman di jalankan, baru ketahuan ternyata yang menginfeksi adalah Win32/Sality.AA (bukan versi W & sudah dua digit). Pantas saja eTrust tidak bisa nyembuhin, mungkin mereka belum punya signature untuk bersihin varian yang ini. Cukup oke juga nih Norman, walau proses bersihinnya lumayan lama. Segala perubahan di catet dalam file log dan otomatis di simpan di desktop. Setelah selesai, saya cukup mengecek file apa saja yang di hapus sama Norman dan coba restore kembali dari backup (yang sudah dipastikan bersih dari virus tentunya). Sekarang tinggal mencari PC mana dalam jaringan yang jadi sumber kekisruhan ini…

Sepandai-pandai tupai melompat, akhirnya jatuh juga. Secanggih-canggihnya anti-virus masih bisa bobol juga. Apalagi kalau kita stuck dengan anti virus cupu! (tahun depan begitu lisensinya habis kemungkinan besar saya akan cari vendor lain…). Tapi jangan menyerah, sistem masih bisa diselamatkan dengan tool gratisan dari vendor anti-virus lain.