Ryan

Ada-ada saja akal para hacker untuk menyusupi komputer incarannya. Mereka mampu memanfaatkan celah IE untuk mendownload trojan, bahkan tanpa perlu campur tangan pengguna IE. Bagaimana cara mereka?
Di internet, Microsoft telah menemukan software jahat yang dapat memanfaatkan celah keamanan Internet Explorer (IE). Software tersebut digunakan untuk mendownload Trojan Horse. Microsoft telah menambahkan kemampuan untuk mendeteksi dan menghapus TrojanDownloader:Win32/Delf.DH pada peralatan pemindai keamanan miliknya.
"Konsumen dapat mengunjungi Windows Live Safety Center dan menggunakan pilihan Complete Scan untuk memeriksa dan menghapus software jahat serta varian lain," ujar Microsoft dalam laporan update keamanannya
Sebelumnya bug IE diketahui hanya menyebabkan serangan denial of service (DoS), sehingga menyebabkan IE tertutup. Tetapi ternyata para pakar menemukan hal lain, celah tersebut juga dapat digunakan untuk menjalankan kode pada komputer yang terinfeksi.

Saat ini Microsoft belum memperbaiki celah tersebut, tetapi mereka sedang mengembangkan perbaikannya. Secunia menilai celah tersebut sebagai extremely critical.

Celah tersebut berdampak pada komputer bersistem operasi Windows 98, Windows Millennium Edition, Windows 2000 dan Windows XP. Hacker dapat menyusup ke dalam sistem dengan menyusupkan kode pengganggu ke sebuah situs. Ketika pengguna IE mengunjungi situs tersebut, kode dapat berjalan sendiri tanpa perlu campur tangan pengguna.

Meskipun belum mengeluarkan perbaikan untuk masalah tersebut, Microsoft menganjurkan untuk mengubah setting di IE dengan menonaktifkan script, atau mengeluarkan peringatan saat kode tersebut nyaris teraktifkan

Para peneliti keamanan di Trend Micro menilai, teknologi Really Simple
Syndication (RSS) akan menjadi sasaran empuk serangan worm bot
berikutnya. Hal ini dipertegas David Sancho, senior teknisi riset
antivirus di Trend Micro.
Menurutnya, Internet Explorer 7 (IE7) berpotensi dibajak, karena browser besutan Microsoft itu dilengkapi fitur RSS built-in.
Seperti yang dipaparkan lewat tulisannya yang berjudul "The Future of
Bot Worms", Sancho menilai IE7 membuka peluang bagi pembuat worm untuk
mengeksploitasi browser tersebut.
Bagaimana worm mengambil keuntungan dari popularitas RSS? Caranya adalah dengan membajak konfigurasi client feed, dan membuat sistem yang bisa secara otomatis men-download worm ke komputer yang terinfeksi. Worm akan menyerang feed reader dan mengubah konfigurasinya. Selanjutnya RSS akan merujuk ke situs jahat.
Sancho memperkirakan, RSS feed yang dibajak akan menjadi point download pasif. Alhasil worm dengan mudah bisa melewati firewall pribadi dan barrier keamanan lainnya.
"Download itu masih akan berjalan sekalipun worm terdeteksi dan telah dihapus. Untuk menyingkirkannya, sebaiknya ada tool pembersih yang bisa menghapus konfigurasi di client feed," imbuh Sancho.
Guna meminimalisir serangan worm, periset antivirus mengajurkan agar
perusahaan mengembangkan metode untuk menyaring trafik HTTP. Pasalnya
pembuat worm bot kini lebih cerdik.
Mereka telah menemukan cara baru untuk mengeksploitasi keringkihan
dengan cepat. Contohnya worm Nimda butuh waktu 366 hari untuk menyebar.
Sementara worm Zotob hanya membutuhkan waktu 4 hari.
Sancho mendesak agar pemilik personal computer (PC) rumahan segera menambal sistem dengan update-an
yang tersedia di situs Microsoft. Sedangkan untuk kalangan korporat,
Sancho menganjurkan agar admin IT mengembangkan sistem software dan
hardware yang secara khusus dirancang untuk melawan ancaman worm bot.
Sancho bahkan mendesak agar perusahaan memakai intrusion detection
systems (IDS) dan sistem antivirus jaringan yang lebih spesifik.
Pasalnya antivirus terbaik terkadang tidak bisa mengenali jenis malware
ini. Diduga, eksploitasi polymorphic shellcode juga akan menjadi teknik baru serangan worm.    

Polisi mengingatkan akan ada virus yang menyerang jaringan komputer,
sehari sebelum ancaman tersebut terbukti terjadi. Vendor antivirus
Symantec, mengidentifikasinya sebagai Sober.S.
Virus tersebut diduga mengancam Jerman dan Inggris. Secara tak terduga,
pihak kepolisian di Bavaria, kawasan di Jerman bagian Selatan,
mengeluarkan keterangan pers sehari sebelum serangan virus benar-benar
terjadi.
Vnunet  melansir, aktivitas penyebar Sober sudah diawasi sejak setahun belakangan.
Selain memperingatkan pengguna, polisi juga menyediakan informasi
terkait detil e-mail yang jadi kendaraan bagi penyebaran virus
tersebut. Polisi juga mengimbau agar pengguna komputer tidak
sembarangan membuka file attachment yang ada di lampiran e-mail. Terlebih kalau e-mail tersebut datang dari orang tak dikenal.
Sober.S mendomplengi sebuah e-mail di Jerman atau Inggris. E-mail
tersebut berisi pengakuan bahwa e-mail tersebut sampai ke tangan
penerima karena kesalahan konfigurasi. Di e-mail disertakan lampiran
yang dijanjikan berisi screenshot dan isi e-mail nyasar itu.
Sober.S pertama kali muncul pada Oktober 2003. Virus jenis ini berkembang pesat dan penyebarannya paling luas.
Vendor antivirus Trend Micro menilai varian Sober ini sebagai ancaman
tingkat rendah. Menurutnya penyebaran virus tersebut terbatas. Meski
begitu, kerusakan yang ditimbulkan dan daya sebarnya dinilai tinggi.

Mungkinkah dalam hardisk yang baru dibeli ternyata terselip program
jahat jenis Trojan? Ya! Hal itu terjadi gara-gara keteledoran sebuah
produsen hardisk asal Jepang.
Adalah perusahaan asal Jepang, IO Data, yang membuat keteledoran
tersebut. Beberapa hardisk eksternal buatan perusahaan itu diketahui
terinfeksi program jahat Tompai-A.
Tompai-A disinyalir telah menginfeksi hardisk seri HDP-U. Tompai-A adalah sebuah worm yang memungkinkan hacker jahat mengakses backdoor untuk menyusupi komputer.
Setelah menginfeksi sistem, worm akan berusaha menghubungkan sistem ke
Internet. Setelah itu, Tompai-A menunggu perintah lebih lanjut dari
pembuatnya.
Jika sistem terinfeksi worm ini, maka sistem secara efektif bisa diubah
menjadi komputer zombie. Bahkan sistem bisa dipakai untuk melakukan
pencurian identitas.
Ancaman worm tersebut telah lama beredar. Dan seharusnya kebanyakan
aplikasi antivirus yang ada bisa mendeteksi dan menyingkirkan Tompai-A
sebelum menyebabkan berbagai kerusakan.
Hardisk yang terinfeksi hanya yang dipasarkan di Jepang
saja. Vendor bahkan tidak menyediakan tool bagi pengguna untuk menghilangkan program jahat itu.
Yang ada, vendor malah mengimbau agar pelanggan memakai aplikasi
keamanan mereka sendiri, atau versi uji coba 30 hari yang gratisan,
untuk menghapus Tompai-A. Alternatif lainnya, pengguna bisa menukar
hardisk tersebut secara cuma-cuma.
Sebagai informasi, hard disk eksternal UDP berkapasitas 40GB dijual
dengan bandrol US$96 (US$1 = Rp 10.047). Sedangkan
untuk yang berkapasitas 80GB dijual dengan bandrol US$159.
Menurut IO Data, drive tersebut memiliki fitur pelindung mounting yang dilapisi dengan silicon gel. Hal ini diklaim bisa melindungi hilangnya data saat drive jatuh.
Tidak dijelaskan bagaimana Tompai-A bisa menginfeksi hardisk-hardisk tersebut. Namun pastinya ini adalah buah keteledoran.

Berikut rincian model dan serial number hardisk IO Data yang terinfeksi:
HDP-U40: YBS0000001xx - YBS0005520xx
HDP-U60: YBT0000001xx - YBT000100xx
HDP-U80: YBV0000001xx - YBV0002480xx

Masih ingat e-mail bervirus yang mengaku dari FBI dan CIA beberapa waktu lalu? Pakar antivirus mengenali virus tersebut sebagai varian terbaru Sober, W32/SOber.AA@mm.
Varian ini memiliki sejumlah alias, yang diberikan perusahaan
antivirus, yaitu: W32/Sober.X [Symantec], CME-681, WORM_SOBER.AG [Trend
Micro], W32/Sober-{X, Z} [Sophos], Win32.Sober.W [Computer Associates],
Sober.Y [F-Secure], W32/Sober@MM!M681 [McAfee].
Alfons Tanujaya, spesialis antivirus dari perusahaan antivirus PT
Vaksincom mengungkap hal tersebut.
Virus ‘bule’ ini, sudah sampai di Indonesia dan ratusan komputer di
Indonesia diperkirakan terinfeksi virus ini. "Vaksincom sendiri
menerima kiriman Sober.AA ini Selasa sore 22 November 2005, dari IP
milik salah satu ISP yang berkantor pusat di Graha Citra Caraka, Gatot
Subroto," kata Alfons.
Mengapa Sober.AA ini yang mengakibatkan insiden besar dan bukan Sober
yang lain? Alfons menjelaskan, hal ini disebabkan karena selain
Sober.AA, masih ada teman-temannya yang lain yaitu Sober.T, U, V, W dan
lainnya. Setelah diteliti lebih jauh, ternyata Sober.AA ini menjalin
hubungan ‘Teman Tapi Mesra’ dengan Sober yang lain.
Varian Sober lain yang telah berhasil menginfeksi banyak komptuer di
seluruh dunia, secara bersamaan melakukan pengiriman Sober.AA ini
secara masif.
Untuk bisa melakukan itu secara bersamaan, ternyata kawanan Sober ini
melakukan sinkronisasi atas waktu komputer korbannya. Ini dilakukan
dengan menghubungi NTP server (server pemberitahu jam) sehingga
waktunya sama dan terhindar dari kesalahan setting waktu lokal.

E-mail Bervirus
Email yang mengandung Sober.AA akan datang dalam lampiran .zip. Menurut
Alfons, dari sampel yang diterima Vaksincom, ukuran asli file setelah
dimekarkan (unzip) tidak berbeda dengan ukuran file .zip.
"Dapat disimpulkan alasan pengiriman dirinya dalam lampiran .zip adalah
untuk menghindari aksi mailserver yang memblok eksekutabel (.exe, .com,
.bat, .scr, dst), namun meloloskan .zip," kata Alfons.
"Seperti kita ketahui, .zip merupakan salah satu standar kompresi yang
digunakan oleh banyak pengguna e-mail dalam menyebarkan lampiran,
sehingga banyak administrator mailserver yang meloloskan lampiran .zip
ini," paparnya.
Sober.AA akan datang dalam berbagai bentuk seperti menyerukan email dari FBI, CIA ataupun Bundeskriminal dengan berbagai macam subject. Selain itu, Sober ini juga memiliki kemampuan dua bahasa.
Untuk domain yang berhubungan dengan Jerman akan mendapatkan e-mail
dalam Bahasa Jerman, di luar itu akan mendapatkan e-mail bervirus dalam
Bahasa Inggris.