Image by ?Felix? via Flickr

Worm? Mungkin kata ini belum familiar bagi sebagian orang. Worm masih berkerabat dekat dengan virus komputer. Yang membedakan adalah worm hampir sebagian besar menyebar melalui jaringan (LAN), membuat jaringan lamban, & sering kali target utamanya adalah server. Conficker adalah salah satu worm terbaru yang telah menginfeksi >9 juta komputer di seluruh dunia (sumber).

Tulisan ini merupakan pengalaman pribadi menghadapi Conficker alias Win32/Conficker.A/B (CA, Microsoft), W32.Downadup (Symantec), W32/Downadup.A (F-Secure), Conficker.A (Panda), Net-Worm.Win32.Kido.bt (Kaspersky) di kantor yang bikin pusing tujuh keliling..

Teknik Infeksi

Worm ini mengeksploitasi celah keamanan Windows yang dikenal sebagai MS08-067. Secara teknis, worm ini menyebar secara primer (cara sekunder adalah melalu flash disk) melalui kelemahan buffer overflow pada Server Service di Windows. Worm ini akan membuat RPC (Remote Procedure Call) request spesial untuk menjalankan kode di komputer target. Microsoft telah mengeluarkan update untuk menutup celah ini, jadi pastikan Windows anda selalu diupdate.

Setelah terinfeksi, worm ini akan membuka jalur ke sebuah server yang akan menginstruksikan worm ini untuk melakukan tindakan selanjutnya, mengambil data-data pribadi anda, dab mengunduh & menginstall malware/trojan.

Tanda-tanda Terinfeksi

• Muncul pesan Generic Host Process (GHP) error.
• Beberapa servis Windows seperti Automatic Update, Backgorund Intelligent Transfer (BITS), Windows Defender tidak berjalan.
• Anda tidak bisa mengujungi beberapa website antivirus (Symantec, AVG, dll). Namun anda masih mengunjungi website tersebut jika mengetahui IP addressnya (ketik IP address di browser).

Khusus untuk kantor/jaringan (terutama yang memakai Active Directory):

• Sering muncul account locked out (jika aturan ini diaktifkan). Jika server sudah terinfeksi, account lockout policy otomatis di reset oleh worm.
• Domain Controler akan lamban merespon request client. Jika anda memperhatikan Task Manager, maka proses CPU terlihat lebih tinggi dari biasanya. Hal ini dikarenakan worm ini mencoba membobol password admin ratusan/ribuan kali dalam sedetik (brute force attack). Aktifkan Audit Directory Object di server untuk mengetahui hal ini (untuk server 2003 lihat disini). Jadi pastikan Account Lockedout Policy diaktifkan jika tidak ingin server anda bobol.
• Jaringan secara keseluruhan menjadi lamban.

Teknik Membersihkan

1. Install patch untuk celah keamanan Windows (KB958644) di: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
2. Unduh Microsoft Windows Malicious Software Removal Tool/MSRT (KB890830) dari http://www.microsoft.com/security/malwareremove/default.mspx dan jalankan untuk membersihkan worm ini.
3. Disable autorun (KB953252), karena teknis infeksi sekunder worm ini melalui flash disk: http://support.microsoft.com/kb/953252 & import  key registry berikut dari halaman ini: http://www.us-cert.gov/cas/techalerts/TA09-020A.html
4. Update antivirus anda, dan lakukan scan menyeluruh.

Khusus untuk kantor/jaringan (terutama yang memakai Active Directory):

• Karena worm ini akan berusaha membobol password Administrator jaringan maka ganti password dengan yang lebih kuat (mengandung huruf besar/kecil, angka, tanda baca, & minimal 6 digit).
• Jangan login ke komputer menggunakan account domain, khususnya account Administrator jaringan. Cabut komputer yang terinfeksi dari jaringan, lalu login ke komputer dengan account admin local (this computer), dan lakukan langkah-langkah di atas. Disarankan anda juga mengganti password admin local dengan yang lebih aman juga.
• Khusus untuk server yang tidak ada admin local (Active Directory), langkah kedua (membersihkan worm) dapat dilakukan dengan booting server dengan CD anti virus. Saya menggunakan keluaran Avira (http://www.free-av.de/en/tools/12/avira_antivir_rescue_system.html). Cabut kabel jaringan dari server, boot & bersihkan dengan CD, restart server, patch Windows (jika belum) dan jalankan MSRT untuk amannya.
• Jika anda menggunakan WSUS (Windows Server Update Services) pastikan semua KB (update) yang saya sebutkan di atas sudah di deploy ke seluruh komputer. Jika belum, anda harus sedikit mem “push” nya dengan mengatur deadline (misalkan satu minggu).

Referensi:

• http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx
• http://www.vaksin.com/2008/1208/conficker/conficker.htm
• http://en.wikipedia.org/wiki/Conficker