Mengenal Virus Worm 32 Conficker

Conficker, juga dikenal sebagai Downup, Downadup dan Kido, adalah worm komputer yang menyerang sistem operasi Microsoft Windows, pertama kali terdeteksi pada bulan November 2008. Conficker menyebar dengan memanfaatkan beberapa kelemahan dalam sistem operasi Microsoft Windows. Berbagai varian dari virus ini telah menyebar luas di seluruh dunia sejak Oktober, sebagian besar di luar Amerika Serikat karena ada lebih banyak komputer di luar negeri menjalankan Windows bajakan. (Program ini tidak menginfeksi komputer Macintosh atau berbasis Linux.).

Hal mengejutkan dari worm yang mendarat di digital petri dish milik Philip Porras’s 18 bulan yanh lalu adalah seberapa cepat tumbuh dan menyebarnya virus ini. Porras merupakan bagian dari komunitas Geeks tingkat tinggi yang menjaga sistem komputer dan memonitor kesehatan internet dengan menjaga “Honeypots”, atau perangkat lunak berbahaya lainnya. Honeypot adalah sebuah komputer yang nyata atau yang virtual dalam sebuah komputer yang lebih besar, dirancang untuk perangkap malware. Ada juga “Honeynets,” yang merupakan jaringan honeypots. Worm adalah paket data licik yang efisien dalam kode komputer, dirancang untuk menyelinap ke dalam komputer dan membangun jaringan sendiri tanpa menarik perhatian, dan mereplikasi dirinya sendiri.

Porras, yang mengoperasikan Honeynet besar untuk SRI International di Menlo Park, California, mencatat infeksi awal, dan kemudian sebuah reinfeksi yang lain dan terus menerus. Conficker, sekali terletak di dalam komputer, mulai secara otomatis memindai komputer baru untuk diserang, sehingga menyebar secara eksponensial. Ini mengaeksploitasi cacat dalam Microsoft Windows, terutama Windows 2000, Windows XP, dan Windows Server 2003-beberapa sistem operasi yang paling umum di dunia sehingga mudah menemukan target baru. Seperti volume yang meningkat, angka infeksi ulang di Honeynet Porras’s mengalami percepatan. Dalam beberapa jam, duplikasi dari Conficker berdesakan dalam begitu cepat sehingga mereka mulai mendorong semua malware lainnya. Segera Porras mulai mendengar dari orang lain di bidangnya yang melihat hal yang sama. Mengingat sifat instan dan omnidirectional Internet, tak ada yang tahu di mana cacing itu berasal.

Varian pertama Conficker, ditemukan pada awal November 2008, tersebar melalui Internet dengan memanfaatkan kerentanan dalam layanan jaringan (MS08-067) pada Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, dan Windows Server 2008 R2 Beta. Sementara Windows 7 mungkin dapat dipengaruhi oleh kerentanan ini, namun Windows 7 Beta tidak umum tersedia sampai Januari 2009. Meskipun Microsoft merilis darurat out-of-band patch pada tanggal 23 Oktober 2008 untuk menutup kerentanan, jumlah l Arge dari PC Windows (diperkirakan sebesar 30%) tetap unpatched hingga akhir Januari 2009. Varian kedua dari worm, yang ditemukan pada bulan Desember 2008, menambahkan kemampuan untuk menyebarkan diri lebih cepat melalui LAN. Pada bulan Januari 2009, diperkirakan jumlah komputer yang terinfeksi berkisar dari hampir 9.000.000-15.000.000. Vendor perangkat lunak antivirus Panda Security melaporkan bahwa dari 2 juta komputer dianalisa melalui ActiveScan, sekitar 115.000 (6%) terinfeksi dengan Conficker.

Versi terbaru dari Conficker ini memiliki kapasitas meningkat secara signifikan untuk menghapus perangkat lunak antivirus komersial dan menonaktifkan layanan update keamanan Microsoft. Hal ini juga dapat memblokir komunikasi dengan layanan Web yang disediakan oleh perusahaan keamanan untuk memperbarui produk mereka. Bahkan secara sistematis membuka lubang di firewall dalam upaya untuk meningkatkan komunikasi dengan komputer yang terinfeksi lainnya.

Ada Lima varian dari worm Conficker diketahui dan telah dijuluki Conficker A, B, C, D dan E. Mereka ditemukan 21 November 2008, 29 Desember 2008, 20 Februari 2009, 4 Maret 2009 dan 7 April 2009. Kelompok Kerja Conficker menggunakan namings A, B, B + +, C, dan E untuk masing-masing varian yang sama. Ini berarti bahwa (CWG) B + + -> (MSFT) C dan (CWG) C -> (MSFT) D.

Varian A, B, C dan E mengeksploitasi kerentanan dalam Layanan Server pada komputer Windows, di mana sebuah komputer sumber yang sudah terinfeksi menggunakan permintaan RPC-khusus untuk memaksa buffer overflow dan mengeksekusi shellcode di komputer target. Pada komputer sumber, worm menjalankan server HTTP pada port antara 1024 dan 10000, sedangkan target shellcode menghubungkan kembali ke server ini HTTP untuk men-download salinan dari worm dalam bentuk DLL, yang kemudian menempel pada svchost.exe.

• Varian B dan C dari jarak jauh dapat menjalankan salinan dari diri mereka sendiri melalui ADMIN $ share pada NetBIOS. Jika sharing dilindungi dengan sandi, serangan dictionary dicoba, berpotensi menghasilkan sejumlah besar lalu lintas jaringan sehingga membuat user membuka user policies.

• Varian B dan C menempatkan salinan formulir DLL mereka pada removable media apapun yang melekat (seperti USB flash drive), dari mana mereka kemudian dapat menginfeksi inang baru melalui mekanisme autorun Windows.

Untuk memulai conficker saat boot sistem, worm menyimpan salinan formulir DLL untuk mengacak nama file dalam folder sistem Windows, kemudian menambahkan kunci registri untuk memiliki svchost.exe memohon bahwa DLL sebagai invisible network service.

Worm ini memiliki beberapa mekanisme untuk mendorong atau menarik muatan bau untuk dieksekusi melalui jaringan. Muatan ini digunakan oleh confiker untuk memperbarui dirinya menjadi varian baru, dan untuk menginstal malware tambahan.

• Varian A menghasilkan sebuah daftar dari 250 nama domain setiap hari di lima TLD. Nama-nama domain yang dihasilkan dari generator nomor pseudo-random unggulan dengan tanggal saat ini untuk memastikan bahwa setiap salinan dari worm menghasilkan nama yang sama setiap hari. Worm ini kemudian mencoba koneksi HTTP ke setiap nama domain pada gilirannya, mengharapkan dari salah satu payload mereka ditandatangani.

• Varian B meningkatkan jumlah TLDs ke delapan, dan memiliki generator tweak untuk menghasilkan domain menguraikan nama-nama dari varian A.

• Untuk mengatasi worm yang menggunakan nama domain pseudorandomInternet Corporation for Assigned Names and Numbers (ICANN) dan beberapa pendaftar TLD bulan Februari 2009, mulai mengkoordinasi pembatasan transfer dan pendaftaran untuk loket ini domain ini. Variant D menghasilkan secara harian 50000 pool domain di 110 TLDs, dari yang secara acak memilih 500 untuk dicoba untuk hari itu. Nama-nama domain yang dihasilkan juga diperpendek 8-11 untuk 4-9 karakter untuk membuat mereka lebih sulit untuk dideteksi dengan heuristik. New pull mechanism (yang telah dinonaktifkan hingga 1 April) tidak mungkin untuk menyebarkan payload lebih dari 1% dari host yang terinfeksi per hari, namun diharapkan dapat berfungsi sebagai mekanisme penyemaian untuk jaringan peer-to-peer cacing. Nama pendek yang dihasilkan, bagaimanapun, diharapkan berbenturan dengan 150-200 domain yang ada per hari, berpotensi menyebabkan distribusi penolakan serangan layanan (DDoS) di situs tersebut melayani domain.

• Varian C menciptakan sebuah pipa bernama, lebih dari yang dapat mendorong URL untuk muatan di download untuk terinfeksi host lain pada jaringan area lokal.

• Varian B, C dan E melakukan patch dalam-memori untuk DLL NetBIOS terkait untuk menutup MS08-067 dan menonton untuk upaya infeksi ulang melalui kerentanan yang sama. Infeksi ulang dari versi yang lebih baru Conficker diperbolehkan melalui, efektif mengubah kerentanan menjadi backdoor propagasi.

• Varian D dan E membuat iklan-hoc jaringan peer-to-peer untuk mendorong dan tarik muatan melalui Internet yang lebih luas. Aspek worm ini sangat dikaburkan dalam kode dan tidak sepenuhnya dipahami, tetapi telah diamati untuk menggunakan UDP scanning skala besar untuk membangun daftar rekan dari host yang terinfeksi dan TCP untuk transfer berikutnya muatan ditandatangani. Untuk membuat analisis yang lebih sulit, nomor port untuk koneksi adalah hash dari alamat IP dari setiap peer.

Untuk mencegah muatan dari yang dibajak, varian A muatan yang pertama SHA1-hash dan RC4-dienkripsi dengan 512-bit hash sebagai kunci. hash ini kemudian RSA menandatangani dengan kunci privat 1024-bit. payload ini dibongkar dan dieksekusi hanya jika penandatanganan memverifikasi dengan kunci publik yang tertanam dalam cacing. Varian B dan kemudian menggunakan MD6 sebagai fungsi hash mereka dan meningkatkan ukuran kunci RSA menjadi 4096 bits. Varian C worm me-reset System Restore poin dan menonaktifkan beberapa layanan sistem seperti Windows Automatic Update, Windows Security Center, Windows Defender dan Windows Error Reporting. Processes pencocokan daftar yang tersedia alat patching antivirus, diagnostik dihentikan. Sebuah patch di memori juga diterapkan pada sistem resolver DLL untuk memblokir pencarian dari nama host yang terkait dengan vendor perangkat lunak antivirus dan layanan Windows Update. Varian E dari worm adalah yang pertama untuk menggunakan basis dari komputer yang terinfeksi untuk tujuan yang tersembunyi. Berikut adalah dua payloads tambahan yang didownload oleh konficker varian E:

1. Waledac, sebuah Spambot atau dikenal untuk menyebarkan melalui lampiran e-mail. Waledac beroperasi mirip dengan worm Storm 2008 dan diyakini ditulis oleh penulis yang sama.
2. SpyProtect 2009, produk anti-virus scareware.

Symptoms

1. Account lockout policies direset secara otomatis.
2. Beberapa Microsoft Windows services seperti as Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Windows Error Reporting dinonaktifkan.
3. Domain controllers merspond lambah terhadao client requests.
4. Kemacetan local area networks (ARP flood as consequence of network scan).
5. Situs yang berhubungan dengan antivirus software atau Windows Update service tidak dapa diakses
6. User accounts dikunci

source