Review Serangan Virus di Tahun 2003 January 2003

Yaha.M dan Klez.H menutup akhir tahun 2002 dan menjadi bingkisan tahun baru yang tidak menyenangkan di awal tahun 2003. Klez menunjukkan kehebatannya sebagai salah satu virus paling panjang umur sepanjang masa karena dapat bertahan di peringkat satu lebih dari 1 tahun.

Klez.A muncul pertama kali di bulan Oktober 2001, dan sampai tahun 2003 variannya terutama Klez.H mampu menduduki singgasana sebagai virus yang paling banyak terdeteksi menyebar di internet. Tercatat juga pembuat virus yang mendompleng ketenaran penyanyi Avril Lavigne dengan mengeluarkan virus Lirva (kebalikan dari Avril). Selain itu, para pembuat virus tidak mau kalah dengan Chrisye dan Sofia Latjuba yang menyanyikan kembali lagu “Kangen” milik group musik Dewa.

Pada tanggal 8 Januari 2003, Explorezip.N sebuah worm yang pernah sangat ngetop di jamannya 3,5 tahun yang lalu tepatnya awal Juni 1999 dikompres dengan teknik baru dan disebarkan kembali ke internet. Dengan teknik kompresi baru, Explorezip.N merupakan tamparan bagi para vendor antivirus karena mampu mengelabui banyak program antivirus yang mengklaim memiliki kemampuan heuristic dan update definisi < 9 Januari 2003 terbukti tidak dapat mengenali virus Explorezip.N. Celakanya, Explorezip.N ini menghancurkan semua data MS Office dan hanya dapat direcover kembali dengan menggunakan teknik data recovery tingkat tinggi.

Seakan tidak cukup membuat pengguna komputer menderita, pada tanggal 27 Januari muncul satu virus baru sejenis CodeRed dengan nama Slammer yang menyerang SQL Server 2000. Di Indonesia 3 perusahaan webhosting yang cukup ternama yang terkoneksi ke IDC mengalami kondisi down servernya karena serangan DDos. Traffic yang dihasilkan oleh Slammer bukan main-main, router seklas Cisco 3600 yang termasuk middle class switch tidak mampu menampung bandwidth yang dihasilkan Slammer sehingga mau tidak mau hubungan server ke router harus di cabut dan baru dikoneksikan kembali setelah Slammer dibasmi dan SQL Server dipatch.
Opaserv.K Hukuman BSA untuk Pembajak

Setelah mengalami badai serangan virus di awal tahun, bulan February diwarnai dengan munculnya Opaserv.K, varian Opaserv yang menyebar hanya melalui jaringan, baik jaringan internet maupun jaringan komputer lokal dengan penambahan kemampuan menghancurkan harddisk komputer yang terinfeksi. Opaserv akan melakukan scanning atas port 137 dan jika berhasil ia akan menginfeksi melalui port 139.

Serangan Opaserv.K yang menghancurkan harddisk korbannya dan memunculkan pesan “seolah-olah” dari BSA (Business Software Alliance) yang menghukum pengguna komputer karena menggunakan program bajakan. Hal ini sempat membuat BSA kebakaran jenggot sehingga mengeluarkan sanggahan.

Jangan lupa dengan Sobig.C yang pada tanggal 8 Juni 2003 membuat printer anda kerja bakti menghasilkan banyak sekali print-out dengan karakter-karakter aneh.

Bugbear Reloaded, demikianlah Sophos menggambarkan aksi Bugbear.B yang pada hari pertama kemunculannya langsung menggeser semua virus top termasuk Sobig.C yang barusan mengganas dari singgasananya.

Serangan Bugbear.B ini termasuk kategori dashyat, sebagai perbandingan, perhatikan bahwa jumlah Bugbear.B diperingkat satu yang dihentikan adalah 95.000an email, bandingkan dengan Sobig.C yang menempati peringkat dua dengan jumlah email yang dihentikan 25.000an. Hal ini menunjukkan perbedaan kasus yang sangat signifikan (4 kali lipat).

Bulan Juli 2003, Fortnight.D secara diam-diam mengganas di pengguna komputer Indonesia. Vaksincom mendapatkan banyak keluhan dari aksi fortnight yang diperkirakan Fortnight.D. Cirinya adalah browser IE anda akan mendapatkan 4 icon baru yaitu Antivirus, Entertaintment, Security dan Search (lihat gambar). Fortnight memanfaatkan celah keamanan Microsoft Virtual Machine ActiveX Component yang sebenarnya sejak Oktober 2000 sudah tersedia patchnya, tapi seperti biasanya pengguna tidak ada yang melakukan patch pada program IE nya sehingga setiap kali menerima email yang mengandung Fortnight, kode virus akan berjalan secara otomatis tanpa perlu klik pada pesan email tersebut.

Bencana Besar setelah Codered
Pada tanggal 30 Juli 2003 RPC Dcom vulnerability sudah tersedia patchnya dan PT. Vaksincom sudah mengeluarkan peringatan akan pentingnya patch ini, tetapi “seperti biasa”, pengguna komputer belum merasa perlu melakukan update security patch. Tanggal 13 Agustus 2003 celah keamanan RPC Dcom yang sangat berpotensi menimbulkan masalah ini berhasil di eksploitasi oleh virus Blaster guna menyebarkan dirinya.
Hebatnya Blaster memiliki ukuran yang sangat kecil, 6 KB sehingga sangat cepat dan efektif untuk disebarkan melalui internet. Varian Blaster yang berikutnya, MSBlast.D atau Nachi melambatkan koneksi internet semua ISP di Indonesia secara signifikan sehingga selama berbulan-bulan dan beberapa ISP memutuskan untuk memblok pengguna internet yang tidak melakukan update patch RPC Dcom.

Mailserver Kerja Bakti
Setelah seminggu penuh disibukkan oleh ulah Blaster, para pengguna internet tidak mendapatkan kesempatan benafas lega, karena pada tanggal 18 Agustus 2003 telah muncul satu worm baru lagi. Kalau Blaster menyebar melalui jaringan antar komputer dengan sasaran utama sistem operasi Windows 2000 dan XP (windows NT dan 2003 tidak terlalu “diincar” oleh Blaster), maka Sobig.F menyebar menggunakan cara lama, yaitu Email. Hal ini mengingatkan pada duet maut Nimda dan CodeRed di tahun 2001.
Jangan lupa dengan Mimail, yang menyebar melalui SMTP miliknya sendiri, dan selalu membawa sebuah file attach di dalam sebuah file MESSAGE.ZIP yang bertujuan untuk mengelabui bloking executable yang banyak dilakukan oleh mailserver korporat.

Bulan Worm 2003
Agustus - September 2003 dinobatkan sebagai bulan worm. Para pengguna komputer panik. ISP lumpuh. Mungkin ini adalah salah satu berita terbesar yang pernah dialami oleh para pengguna komputer di tahun 2003. Dalam 1 minggu dari tanggal 12 Agustus sampai dengan 19 Agustus 2003 seluruh jaringan internet dunia hampir lumpuh total. Akses menjadi sangat lambat karena virus-virus worm yang mengganas. Adapun virus-virus tersebut adalah, W32/Blaster.A, W32/Nachi.A dan W32/Sobig.F@mm. Blaster dan Nachi menyerang para pengguna komputer dengan memanfaatkan celah keamanan yang ada di dalam Windows NT 4, Windows 2000, Windows XP dan Windows 2003.

Pertama-tama virus ini akan memeriksa port 135 apakah dapat ditembus atau tidak. Dengan pengertian, apakah para pemakai komputer sudah melakukan penginstalan patch yang telah diberitahukan dan diberikan oleh Microsoft jauh-jauh hari sebelum hal ini tejadi. Kalau belum dengan mudahnya virus ini masuk ke dalam komputer yang belum dipatch. Jika virus ini sudah masuk ke dalam komputer anda, maka ada kejadian-kejadian yang tidak menyenangkan akan anda alami. Ketika anda sedang mengetik sesuatu komputer anda tiba-tiba akan meminta untuk direstart atau merestart dirinya sendiri. Cukup menjengkelkan bukan. Kejadian ini banyak sekali terjadi dan hampir seluruh para pengguna komputer dengan menggunakan system operasi windows NT4, 2K, XP dan 2K3 dan terhubung dengan sebuah jaringan internet.

Lem Tikus cap Gajah
Kalau ditanya, virus apa yang di tahun 2003 mampu menjerat komputer anda seperti lem tikus, jawabannya adalah Swen. Jika komputer anda terinfeksi oleh Swen, anda tidak akan mudah membersihkannya karena setiap kali anda ingin menjalankan regedit untuk membersihkan Swen, yang anda jalankan adalah Swen sendiri karena ia mendaftarkan dirinya sebagai semua executable.

Virus Patah Hati sesudah Linong
Virus lokal (asli Indonesia) yang membuat pusing banyak pengguna warnet adalah W32.Pesin, Virus patah hati made in Indonesia. Virus yang di “klaim” dibuat oleh seorang programmer dari daratan Sumatera ini berhasil menginfeksi warnet-warnet dan pengguna disket di seluruh Indonesia dan sempat memusingkan pengguna warnet untuk waktu yang cukup lama, dari bulan September sampai dengan November 2003. Jika anda sering menggunakan disket dan termasuk pelanggan setia warnet atau sering bertukar data dengan rekan pengguna warnet, coba teliti apakah disket anda mengandung file:

My Love.exe
Kenangan.exe
Hallo.exe
Puisi Cinta.exe
My Heart.exe
Jangan Dibuka.exe
Mistery.exe

Dengan logo seperti dokumen MS Word.
Sekali anda mendapatkan pesan seperti di bawah ini,
artinya komputer anda sudah terinfeksi Pesin. Dan salah satu kemampuan yang dimiliki oleh Pesin adalah memblok akses ke regisrty editor dengan melumpuhkan keyboard dan mouse anda setiap kali membuka regedit.
Veteran

Jangan lupakan juga Funlove, Redlof dan JS/KAK@m yang beberapa kali konsisten menduduki peringkat 5 besar sebagai virus yang paling banyak terdeteksi dihentikan oleh Vaksincom. Ketiga virus ini memiliki kemampuan duplikasi yang sangat tinggi dan sangat membandel sehingga tidak dapat dengan mudah dibersihkan dari komputer, khususnya komputer yang terhubung ke jaringan. Walaupun anda sudah memformat komputer yang terinfeksi, sekali anda menghubungkan kembali komputer ke jaringan, dalam waktu singkat komputer anda akan kembali terinfeksi.

Apa yang harus anda lakukan adalah melakukan update atas celah keamanan yang tepat. Dan jika anda merasa hal ini terlalu berat karena setiap hari selalu ditemukan celah keamanan baru untuk semua software, pertimbangkan untuk menggunakan software pendeteksi celah keamanan seperti Retina dari Eeye atau outsource masalah antivirus anda dan serahkan kepada ahlinya. Kecuali anda merasa beban pekerjaan anda masih kurang dan anda siap untuk menghadapi semua serangan virus sendirian.

Penulis: Alfons Tanujaya (Tabloid PCplus No. 156 Tahun IV, 16 Desember 2003 - 05 Januari 2004)
Sumber: Tabloid PCplus