Virus Conficker !!- Generic Host Process (GHP) error
Virus yang berhasil menyebar dengan sukses bukan virus paling ganas atau paling rumit, melainkan virus yang paling populer. Dalam konteks penyebaran virus, virus akan menjadi populer jika ia mampu “membuat” dirinya diaktifkan di sebanyak mungkin komputer. Caranya adalah dengan mengeksploitasi celah keamanan, memanfaatkan kelemahan sistem yang ada dan terakhir yang menjadi keahlian pembuat virus lokal, rekayasa sosial.
Hal yang sama juga kita temui pada dua virus mancanegara yang sama-sama jagoan. Mengeksploitasi celah keamanan yang sama, codingnya sama-sama rumit dan dibuat dengan tingkat ketrampilan pemrograman tinggi, bahkan yang pertama diluncurkan lebih dahulu. Tetapi nyatanya virus pertama saat ini kalah populer dengan virus kedua, hanya karena ia tidak memanfaatkan penyebaran melalui jaringan lokal juga dan mengandalkan internet saja untuk menyebarkan dirinya. Kedua virus yang sedang wara wiri di internet saat ini adalah Gimmiv yang saat ini penyebarannya menurun dan dikalahkan oleh virus pendatang baru Conficker atau juga dikenal dengan nama Downadup. Kedua virus ini mengeksploitasi celah keamanan RPC Dcom.
Pada awalnya, patch RPC Dcom yang pertama di release pada bulan Agustus 2003 khusus untuk menghadapi serangan virus Lovsan atau lebih terkenal dengan nama Blaster. Patch RPC Dcom dengan kode MS03-039 awal tersedia di http://support.microsoft.com/kb/824146 dan secara efektif berhasil menghalau dan menghentikan virus Blaster. Dan ini rupanya bukan akhir cerita eksploitasi RPC Dcom karena pada April 2004 Microsoft kembali mengeluarkan patch MS04-012 http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx karena ada beberapa spyware yang diketahui mengeksploitasi celah keamanan ini seperti W32/Rbot.AWJ. Hebatnya lagi, Rbot.AWJ rupanya tidak hanya mengeksploitasi celah keamanan MS04-012 tetapi segambreng celah keamanan lain seperti MS04-011 (LSASS), MS03-007 (WebDav), MS04-011, CAN-2003-0719 (IIS5SSL), MS01-059 (UPNP), CAN-2003-1030 (Dameware Mini Remote Control), MS04-007 (ASN.1), MS05-039 (PNP). Setelah dua kali dieksploitasi, tahun 2008 ini celah keamanan RPC Dcom kembali di “oprek” dan dieksploitasi dengan cara lain sehingga Microsoft buru-buru mengeluarkan tambalan / patch MS08-067 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.
Seberapa parah celah keamanan RPC Dcom part III ini ?
Jika anda pemain game komputer, berbeda dengan film-film Hollywood yang umumnya sekuelnya kalah sukses dengan film pertamanya. Game komputer dengan seri makin tinggi pada umumnya makin canggih dan makin menarik perhatian gamer dan selalu berhasil mengalahkan game pertamanya. Contohnya adalah game Warcraft III yang jelas lebih bagus dari Warcraft I, atau Civilization IV yang tentu lebih menyenangkan dimainkan ketimbang Civilization I dst. Celakanya, celah keamanan RPC Dcom ini juga mengikuti jejak game komputer. Tidak seperti celah keamanan RPC Dcom awal, celah keamanan RPC Dcom part III ini bukan saja mampu mengeksploitasi celah keamanan di Windows XP Service Pack 3 dan Windows Server 2003 Service Pack 2, tetapi Windows Vista dan Windows Server 2008 juga rentan terhadap ancamana celah keamanan ini. Bahkan gilanya Windows 7 Pre Beta juga rentan terhadap eksploitasi celah keamanan RPC Dcom III ini.
Untuk detailnya silahkan lihat daftar OS-OS yang rentan terhadap serangan virus Conficker yang mengeksploitasi celah keamanan RPC Dcom III :
Operating System | Service Pack | Severity Rating |
Windows 2000 | SP 4 | Critical |
Windows XP - 32 bit | SP 3 | Critical |
Windows XP - 64 bit | SP 2 | Critical |
Windows Server 2003 | SP 3 | Critical |
Windows Server 2003 - 64 bit | SP 2 | Critical |
Windows Vista | SP 1 | Important |
Windows Vista – 64 bit | SP 1 | Important |
Windows Server 2008 – 32 bit | | Important |
Windows Server 2008 – 32 bit | | Important |
Keterangan :
· Severity Rating Critical artinya virus mampu menyebarkan dirinya secara otomatis tanpa dapat di cegah oleh pengguna komputer.
· Severity Rating Important artinya ada persetujuan yang perlu diberikan user dengan mengklik sesuatu. Dalam Vista bentuknya adalah Pop up User Account Control.
Jika kita perhatikan, Windows Vista dan Windows Server 2008 relatif lebih aman terhadap eksploitasi celah keamanan RPC Dcom 3 ini dibandingkan Windows XP, Windows Server 2003 dan Windows 2000. Tetapi hal ini bukan menunjukkan bahwa Vista dan Server 2008 tidak dapat di eksploitasi. Yang membedakan “hanya” satu pop up yang pada Windows Vista dinamakan User Account Control (UAC). Seperti kita ketahui, mayoritas pengguna Windows yang awam akan cenderung mengklik tombol [Continue] [Ok] [Yes] [I Agree] dibandingkan [Cancel] [No] tanpa berpikir panjang. Apalagi jika Pop up UAC ini muncul terus menerus jika di klik [Cancel] dan mengganggu aktivitasnya, kemungkinan besar supaya Pop Up UAC tidak muncul lagi pengguna komputer pada akhirnya akan memilih mengklik [Continue] yang akan menjalankan virus ini di komputernya.
Ciri komputer / jaringan terserang Conficker
Jika mendadak komputer anda mendapatkan pesan Generic Host Process (GHP) Error dan setelah itu koneksi internet dari komputer tersebut mati, maka kemungkinan besar jaringan komputer anda sudah tercemar oleh Conficker. Penyebabnya bukanlah komputer yang menampilkan pesan GHP error tersebut, melainkan karena (minimal) salah satu komputer di jaringan anda sudah terinfeksi Conficker dan secara otomatis melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua komputer yang rentan atau belum di patch MS 06-037.
Jika ada komputer yang berhasil di infeksi, maka Conficker akan melakukan beberapa rutin canggih yang membuat geleng-geleng kepala antara lain :
1. Melumpuhkan System Restore.
Conficker akan melumpuhkan System Restore dengan cara mereset “Restore Point” guna mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point. System Restore adalah fasilitas “Mesin Waktu” yang tersedia di beberapa OS Windows seperti ME, XP dan Vista yang berfungsi sebagai backup system OS dan dapat membantu mengembalikan setting komputer pada keadaan normal jika suatu saat terjadi kesalahan instal program yang tidak diingini ataupun karena terinfeksi virus.
2. Membuat HTTP Server.
Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) bagi jaringan lokal. Jika ada komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch, maka ia akan mencoba menyerang dan jka berhasil maka komputer korbannya akan mendownload ke HTTP server yang dibuat tadi untuk mendownload file virus dan menjalankannya. Selain itu, dalam aksinya ini Conficker menyebabkan matinya Internet connection Sharing.
3. Melakukan patch pada komputer korbannya.
Setelah berhasil menginfeksi komputer korbannya, Conficker akan melakukan patching pada komputer korbannya, jangan berterimakasih dulu kepada virus ini. Tujuannya melakukan patch adalah untuk mencegah infeksi ulang yang malahan akan mengakibatkan komputer tidak stabil sehingga tidak bisa mencari korban baru.
4. Download File untuk update dirinya.
Conficker meniru antivirus akan berusaha mendownload file (kemungkinan updatenya di masa depan) ke beberapa website yang telah disiapkan daftarnya (250 domain) dengan tujuan mempersulit vendor antivirus untuk memblok domain-domain update tersebut satu persatu. Domain-domain tersebut antara lain :
1) pdmqxeumc.info
2) fntkbzdcdpp.net
3) clhosan.biz
4) dynppafxww.biz
5) rnsnpgtql.org
6) ubuwka.biz
7) nbykxprbx.biz
8) lgjse.info
9) sqyjtz.biz
10) qrmbw.info
11) jlopa.net
12) pisaonnpht.info
13) zdimkl.org
14) jbaporuw.biz
15) tzjxlmwzwr.com
16) jlispc.org
17) xxzynv.com
18) obzueobl.org
19) tsmaeeil.info
20) mpqqqnp.com
21) cxqlmwgp.com
22) pdesl.com
23) wfgpaosz.org
24) bwssb.info
25) cupgw.biz
26) hdunbnus.org
27) pijtber.org
28) gcqnhcxkubp.com
29) dpdszcxxw.net
30) osbeaescr.biz
31) yeszvf.com
32) hhdecyyznvj.info
33) rncviqzt.info
34) yvwhkimeub.com
35) zhmpqdetg.net
36) ixdrqyfm.info
37) ohnviuwnuf.biz
38) hxbrrbnrdet.net
39) zbuqkgqoeg.info
40) mgroq.info
41) tagumbpqa.com
42) hfhlitaauh.com
43) mawsezpa.com
44) gbqxdo.com
45) ihkifipkob.com
46) lxlwjany.info
47) rmzchhf.info
48) ubtyckmg.com
49) hohwolepnvb.net
50) xmirfew.com
51) espvtm.net
52) wrmfc.com
53) pkxsngzrc.com
54) qfszswn.com
55) oepsmq.info
56) timpsb.com
57) saewkwhy.info
58) hdbvwlhmy.info
59) atffhfyr.info
60) ixukyfoyarg.com
61) nbgsq.info
62) yxgoqcg.biz
63) hfpmgvkimks.net
64) yezzqntd.org
65) obopljobg.org
66) lrfyqneanck.org
67) xdofi.com
68) gxxromkhtx.org
69) fpabgx.info
70) aihbjawqll.info
71) yxljmzxmbm.com
72) gxoli.com
73) uswsaki.info
74) rofuirvnkq.info
75) ybgxlz.com
76) ttbcb.info
77) nguxos.net
78) ybjmfmlzxf.org
79) esotw.net
80) edgvfinrbc.net
81) xegmskqvmxs.info
82) lxhru.biz
83) dcpaiqzc.biz
84) gxffs.net
85) djlwuayzv.net
86) sjymarcq.com
87) kuylneworqs.info
88) czkiptwai.info
89) nxekr.com
90) uxykdjpqp.org
91) andndjmts.com
92) rpvuyeiyo.biz
93) ynsprbyapcg.biz
94) mcngeewe.net
95) uxwtykgty.info
96) supwcqpn.org
97) esmgvh.info
98) buxbpcuhgks.biz
99) mmrqzxju.org
100) tfwiypsv.info
101) ijiwdbfe.net
102) vfpbzy.biz
103) qpvxbhgdc.biz
104) ywzpzbypmgq.net
105) zfvepki.net
106) qcdfklazpwb.com
107) bqbgqkx.org
108) mkpih.net
109) zzuluunbcl.org
110) glvnmc.net
111) mcmyhkzlf.org
112) vdovf.org
113) kdgypwbe.biz
114) fdkpw.info
115) tdgoyhpua.com
116) gyvdjzkd.info
117) oplqgkc.com
118) uolctymvtl.biz
119) vxfuyk.com
120) mxjoextn.com
121) cpoqvn.org
122) inanwchr.org
123) iwetmh.net
124) kmpzc.org
125) xkdvxketsn.net
126) sanpqayp.com
127) adnherho.com
128) ryjincwdq.com
129) hatveqxgn.info
130) zthmwctg.biz
131) bpbokixgrr.com
132) ecclfke.info
133) saywd.net
134) dzoibj.info
135) qcdkcghpyhj.net
136) gquvqirf.org
137) xewkvyi.com
138) mlpuconaddf.net
139) sbywqb.com
140) ppdtaqaa.net
141) qxynx.biz
142) sfgvicncwcs.net
143) muvlf.net
144) uxbxjt.biz
145) zuiwain.info
146) tuesiglpy.net
147) bfhfa.org
148) zcpzbmii.info
149) jebzcbsaljz.biz
150) ugtfcacq.org
151) ilmenn.org
152) rxnunynbalh.com
153) snmlvr.com
154) lidrjmqi.org
155) exrudww.com
156) dsfflhy.com
157) cubbrbh.biz
158) uwhfgofog.biz
159) jjsajvu.com
160) lqjrdrh.org
161) spvdkjdp.net
162) hojmuh.com
163) pwrkfyh.org
164) zmvpqfym.com
165) zlxkgdkj.com
166) owqwsmcc.biz
167) gtgyzcq.net
168) waxet.info
169) kuyinxdwg.net
170) kaiaw.info
171) tshttkma.info
172) wydpf.org
173) rwiqvdes.biz
174) sbekp.com
175) fcwak.net
176) lpqpev.info
177) sqrffrncfm.biz
178) hzfdvzal.org
179) hzxqfyuy.org
180) dwbxwdjvg.com
181) maiow.biz
182) xjvppmge.net
183) lnbslx.org
184) munrulnyoxr.com
185) slnzxx.biz
186) germtbzda.com
187) npxmlclpzop.net
188) neacdkow.com
189) jnuiamwb.biz
190) uflir.info
191) ahzvceeg.biz
192) byqibg.net
193) arrqczqj.com
194) zcatwgmi.biz
195) nelkzm.net
196) fbtbsshxtqc.com
197) nxdcbqyism.info
198) xfclsh.net
199) qazvsxhgloa.info
200) usimkdlizxu.org
201) hbdaaqpgj.biz
202) orvehkxvpo.biz
203) agiwjyx.biz
204) nelxfbw.biz
205) jwdqzdqsj.net
206) gdxsk.biz
207) qpcbthly.com
208) yefcelcnl.biz
209) namvkxkdxmm.info
210) aftzwhcjk.info
211) hlflxstgcs.net
212) yrhvlci.com
213) qxnwhtob.com
214) yopmwpnmzvg.net
215) utazsru.net
216) yiaswysd.net
217) hyrvvlt.org
218) zpodrkmqg.net
219) zgvylvrxsj.com
220) yvvnm.net
221) ciyqydagnbi.net
222) sijrllxplcf.org
223) kuffkactpj.biz
224) nwlovpsjku.biz
225) btuzcgytmg.biz
226) dczokqhd.net
227) toxckrmg.org
228) afshu.info
229) iybkspozz.biz
230) xfrxclyxj.com
231) yfaooxcwa.com
232) dvlzq.info
233) nkzwdb.org
234) aconklcn.net
235) hkefcack.info
236) ufefitds.org
237) ltkdit.biz
238) fsbeui.biz
239) skuwzlpa.info
240) bkidqwqd.com
241) ivscm.net
242) epefw.biz
243) ycvazaatojy.biz
244) klefutkoadt.biz
245) jospdiqg.info
246) bjamrxy.info
247) xxwurg.org
248) gqsaoheic.biz
249) zkfnpv.com
250) bkzdbmwqf.org
Langkah Pencegahan
Jika komputer anda menampilkan pesan adanya virus Conficker secara berulang-ulang meskipun sudah dibersihkan oleh antivirus anda, pertama-tama yakinkan bahwa virus tersebut tidak aktif di komputer anda. Caranya adalah dengan memutuskan hubungan komputer ke jaringan. Jika setelah hubungan ke jaringan diputuskan infeksi virus terhenti, maka artinya sumber virus bukan dari komputer anda melainkan dari “salah satu” komputer di jaringan. Karena itu anda harus mencari sumber penyebar conficker di jaringan sebelum mengkoneksikan komputer anda. Logikanya, semua komputer yang belum di patch RPC Dcom 3 dan terhubung ke jaringan dimana ada satu komputer saja yang terinfeksi virus conficker akan terinfeksi conficker dalam waktu singkat, kecuali komputer-komputer tersebut di lindungi oleh Firewall yang memproteksi port :
- UDP Port 135, 137, 138 dan 445.
- TCP Port 135, 139, 445 dan 593
Cara terbaik adalah melakukan pekerjaan rumah anda patch SEMUA komputer yang OSnya rentan terhadap celah keamanan RPC Dcom 3. Untuk mendapatkan detail patchnya silahkan download ke http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx