Oleh: mohamadmaulanayusup | Desember 14, 2008

VIRUT (Macam dan Upaya Pencegahan)

Latar Belakang

Pada beberapa waktu yang lalu situs The Smart COP sebagai salah satu produk dari AVSoft Technologies yang berasal dari India diserang oleh Hacker Anonimious dengan cara meletakan salah satu virus ke dalam konten yang ada pada The Smart COP  yaitu sejenis virus yang dinamakan VIRUT.

Dalam hal ini sepertinya si penyerang (Hacker) ingin memancing pelanggan ataupun pengguna paket anti virus SMART COP agar mendownload konten yang berisi virus VIRUT tersebut dan juga sebagai salah satu upaya dari si hacker untuk menunjukan sesuatu yang berhubungan dengan keamanan WEB bahwa Pembuat anti virus yang memiliki sumber daya memadai saja bisa diserang oleh virus bagaimana dengan sistem keamanan WEB di komputer selain mereka.

Apabila pengguna atau pemakai dari paket anti virus The Smart Cop produk  Avsoft technologies mendownload konten tersebut maka akan secara otomatis virus VIRUT akan ikut masuk ke dalam komputer pendownload yang ditandai denagn adanya penyempitan dan penyumbatan proses pada komputer, akan tetapi virus VIRUT ini hanya menginfeksi komputer dengan sistem operasi berbasis WINDOWS saja.

VIRUT adalah virus yang menginfeksi file-file yang telah di eksekusi (.exe file) dan file-file dengan tipe .scr (.scr file) serta membuka pintu belakang dari TCP port 65520 yang terhubung dengan IRC server sehingga membuat Hacker bisa dengan mudah masuk dan mendownload dan menjalankan fungsi yang ada di komputer yang telah terinfeksi.

Yang perlu menjadi catatan kecil adalah pemberitahuan dilakukan dan setelah adanya  persetujuan dari pihak AVsoft bahwa penjelasan mengenai yg telah terjadi di lakukan hanya melalui layanan POS yang diumumkan dalam 1 halaman penuh di dalam mailing list mereka. Dan dalam hal ini pihak The Smart Cop ini tidak menjelaskan apakah pihak  mereka telah menghilangkan Virus tersebut dan sejak kapan The Smart COP telah menghilangkan virus itu dari situsnya.

Spesifikasi virus VIRUT

Wild level

:

Rendah

No. of Infection

:

0 – 49

No. of Sites

:

0 – 2

Geographical Distribution

:

Rendah

Threat Containment

:

Mudah

Removal

:

Mudah

Level of damage

:

Menengah

Level of Distribution

:

Rendah

Level of Risk

:

Sangat rendah

Motif dibalik kasus ini adalah Penyerang / Hacker ingin  setiap pengguna ataupun pemakai / user yang membuka situse The Smart COP produk dari Avsoft technologies mendownload konten / script virus yang  mereka letakan di situs The Smart COP sehingga apabila di download akan langsung menginfeksi komputer user dan dengan itu hacker akan dengan mudah mengambil informasi dari komputer user yang sudah terinfeksi sehingga hacker bisa mengetahui rahasia user yang ada di komputernya. Kemungkinan dari motif yang kedua dari kasus ini adalah untuk menumbuhkan ketidakpercayaan terhadap pengguna atau pemakai antivirus terhadap SMART COP produksi Avsoft Technologies karena ternyata Website-nya saja bisa di susupi penyerang bagaimana dengan produknya ?. Dalam hal kemungkinan kedua ini hal seperti ini bisa juga dilakukan oleh Kompetitor dari The Smart COP sendiri, mantan orang dalam The Smart COP (sindrom effect) yang sakit hati ataupun hanya Hacker iseng yang ingin melakukan testing terhadap keamanan dari situs The Smart COP produk AVsoft Technologies India.

Efek yang disebabkan oleh peristiwa ini bahwa dengan dapat di serangnya website Avsoft sebagai perusahaan penyedia antivirus menyebabkan image perusahaan tersebut jatuh dan diketahuinya oleh public bahwa sistem keamanan WEB mereka sangat rapuh, dan peristiwa ini juga menjadi pertanda serius tentang sistem keamanan WEB dan menjadi peringatan bagi surfer bahwa jika ingin surfing sebaiknya ke dalam website yang sudah terpercaya apalagi ketika akan mendownload suatu file .

Jenis Sistem operasi yang bisa terinfeksi adalah Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 dan Windows XP.
DETAIL SERANGAN

Jenis serangan pada kasus ini adalah dengan meletakan suatu konten tambahan pada situs The Smart Cop  produk dari AVsoft Technologies yang ternyata adalah virus VIRUT .

The VIRUT virus is a virus that infects .exe and/or .scr files on the compromised computer. It also opens a back door and may download potentially malicious files.

VIRUT akan menginfeksi semua akses yang menggunakan file dengan tipe .exe dan .scr yang menyebabkan merubahnya sendiri menjadi executable. VIRUT akan membuka gerbang belakang dari komputer yang terinfeksi yang terhubung dengan IRC server proxim.ircgalaxy.pl di dalam TCP port 80 .

Begitu VIRUT menginfeksi komputer akan meyebabkan terjadi penyumbatan dan penyempitan pada saat pengaksesan paket pendukung ataupun disaat penggunaan Sistem Operasi dan hacker dapat langsung mengontrol komputer untuk mendownload file dari komputer yang terinfeksi dan menjalankannya di komputer tersebut dan juga hacker dapat dengan bebas  menjalankan konten-konten bertype file .exe dan .scr yang tersedia di komputer yang terinfeksi..

Ada beberapa model VIRUT virus yang dikenal melalui cara mereka menyerang yaitu

1.      W32.Virut.W

      VIRUT ini akan menginfeksi semua akses yang berhubungan dengan file .exe dan .scr dan dapat mengeksekusi file-file tersebut dan membuka “Pintu Belakang” Komputer yang terinfeksi dengan menghubungkannya dengan IRC Server proxim.ircgalaxy.pl dalam TCP Port 80 sehingga membuat Hacker bebas untuk mengontrol dan mendownload file dari komputer yang terinfeksi

 

 

2.      W32.Virut.U

      VIRUT ini membuka “pintu belakang” yang langsung membuat penyerang mampu mengontrol dan mengeksekusi program di dalam komputer yang terinfeksi. Virus ini memiliki kapabilitas yang tinggi dalam membuka pintu bekakang dibandingkan dengan type W.

 

EFEK, DAMPAK, DAN PENCEGAHAN

Komponen  CIA Triad yang terkena serangan yaitu:

  • Confidentiality           : dimana website The Smart COP produk dari AVSoft technologies tidak aman lagi dan ini terbukti dengan dapat diserang dan terinfeksi oleh jenis virus VIRUT.
  • Integrity                     : dimana data bisa dirubah dan diakses
  • Availability                 : Sudah hilangnya kapabilitas dari AVsoft Technologies sebagai perusahaan pembuat antivirus

 

Komponen Technology, People, dan Proses yang terkena dampak yaitu

  • Technology     : System security webnya dapat ditembus
  • People             : Datanya dapat diakses dan dikendalikan
  • Proses              : Penyempitan dan penyumbatan saat akses dan dapat di executablenya file oleh penyerang (Hacker)

 

Mekanisme dan Karakteristik Akses Control

Akses control yang sebaiknya diterapkan adalah gabungan mekanisme dan karakteristik.

Untuk mekanismenya :  Logical khususnya pada keamanan

·         Update anti virus dengan seri terbaru

·         Jangan lakukan full sharing pada harddisk

·         Scan harddisk dengan rutin dengan anti virus terupdate untuk menghindari terinfeksinya komputer

Untuk karakteristiknya:

·         Preventif   : Antivirus, Scan hardisk secara rutin,jangan mendownload file yang belum dikenal.

·         Detective   :  Jangan membuka email dari alamat yang tidak dikenal, dalam hal ini bisa dilakukan dalam Firewall Server.

·         Recovery   : Scan System in safe mode. Run a full system scan

 

USULAN

 

Keamanan untuk komputer yang perlu dipertimbangkan threats nya adalah :

  • Anti virus software
  • Emails
  • Hackers
  • Users

 

Upaya pencegahan terhadap virus VIRUT :

v  Matikan dan hapus fitur-fitur yang kurang diperlukan (Turn off and remove unneeded services)

v  Lakukan disable dan pengeblokkan akses didalam jaringan komputer (If blended threat exploits one or more network service, disable or block acces )

v  Selalu update level antivirus, terutama untuk komputer layanan publik, server, firewall termasuk HTTP,FTP,mail dan DNS servis.

v  Gunakan password

v  Konfigurasikan email server untuk memblock ataupun menghapus email-email yang didalamnya bisa terdapat virus.

v  Isolasi komputer yang sduah terinfeksi

v  Lakukan pelatihan terhadap karyawan agar tidak membuka dan mendownload lampiran dari sembarang email

 

 

 

 

 

 

 

 

 

 

 

 

Iklan

Tinggalkan Balasan

Please log in using one of these methods to post your comment:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google+

You are commenting using your Google+ account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s

Kategori

%d blogger menyukai ini: