Sabtu, 05 Februari 2011

MENGENAL VIRUS STUXNET

00.32 perubahan No comments

MENGENAL VIRUS STUXNET

Belum kering keringat karena disibukkan oleh Conficker yang merajalela di komputer window kita, baru-baru ini, Vaksin.com merilis temuan baru yang cukup menakutkan. Adalah Stuxnet yang mampu menyerang pengguna Window 7/Vista. [Berarti XP aman dong...!]

Mendengar Stuxnet, kita pasti teringat dengan berita tentang sebuah virus yang menyerang fasilitas nuklir Iran, yang menggunakan system berbasis SCADA bikinan Siemens. Kok Windows bisa kena juga? Begitulah kenyataannya....

Gejala & Efek Virus
Beberapa gejala yang terjadi jika komputer kita sudah terinfeksi Stuxnet yaitu:
  • Melakukan instalasi driver baru (replace driver lama). Saat Worm Stuxnet sudah menginfeksi, worm akan mencoba menghapus drive dari Realtek atau Jmicron dan menggantinya dengan driver yang baru versi worm Stuxnet. Stuxnet menginstall driver menggunakan 2 file virus yaitu : MRXCLS.SYS dan MRXNET.SYS.
  • Mematikan aktivitas Print Share. Worm menginjeksi file spoolsv, sehingga aktivitas print (cetak data) menjadi terhenti. Komputer yang terinfeksi tidak akan bisa melakukan print. Sebagai ganti dari aktivitas print tersebut worm membuat 2 file yaitu : - C:-WINDOWS-system32-winsta.exe (file utama worm Stuxnet) dan C:-WINDOWS-system32-wbem-mof-sysnullevnt.mof
  • Low Disk Space. Akibat dari aktivitas print yang terus dipaksakan, membuat file Winsta akan terus membengkak sehingga membuat space hardisk anda menjadi habis dan tentunya akan mendapat sebuah peringatan Low Disk Space dari sistem Windows.
  • Tidak bisa menyimpan data atau menjalankan program tertentu. Karena file Winsta yang bertambah besar dan membuat space harddisk anda berkurang, menyebabkan anda tidak bisa menyimpan data. Selain itu program/aplikasi pun tidak bisa dijalankan karena membutuhkan cache (ruang penyimpan) yang semuanya dihabiskan oleh file Winsta yang membengkak.
  • Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus. File sistem Windows yang akan menjadi sasaran injeksi worm Stuxnet yaitu : - C:-WINDOWS-system32-svchost.exe (file sistem yang berhubungan dengan koneksi jaringan, dengan menginjeksi akan membuat jaringan terputus) - C:-WINDOWS-system32-lsass.exe (file sistem yang berhubungan dengan aktivitas komputer, dengan menginjeksi akan membuat komputer hang/lambat).
  • Melakukan koneksi ke Remote Server. Worm Stuxnet melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Remote Server yang digunakan yaitu : - www.premierfutbol.com - www.todaysfutbol.com [Dua url tersebut sudah dilaporkan sebagai reported attack page]
  • Membuat file Scheduled Task. Mirip cara yang dilakukan oleh Conficker, worm Stuxnet juga membuat file scheduled task agar dapat aktif dan menginfeksi komputer.
File Worm Stuxnet
Saat worm Stuxnet dijalankan, worm akan menginjeksi beberapa file sistem Windows yaitu :
  • C:-WINDOWS-system32-lsass.exe
  • C:-WINDOWS-system32-svchost.exe
  • C:-WINDOWS-system32-spoolsv.exe
Selain itu juga membuat 2 file driver yaitu :
  • C:-WINDOWS-system32-driver-mrxcls.sys
  • C:-WINDOWS-system32-driver-mrxnet.sys
Dan beberapa file konfigurasi yaitu :
  • C:-WINDOWS-inf-oem6c.pnf
  • C:-WINDOWS-inf-oem7a.pnf
  • C:-WINDOWS-inf-mdmeric3.pnf
  • C:-WINDOWS-inf-mdmcpq3.pnf
Serta 2 file yang lain yaitu:
  • C:-WINDOWS-system32-KERNEL32.DLL.ASR.xxx/SHELL32.DLL.ASR.xxx
  • C:-addins-DEFRAG[angka_acak].TMP
Selain itu membuat file schedule task yaitu :
  • C:-WINDOWS-Tasks-At1.job
Saat menginfeksi file spoolsv.exe, worm membuat 2 file kembali yaitu :
  • C:-WINDOWS-system32-winsta.exe (file inilah yang jika aktif akan semakin besar ukurannya)
  • C:-WINDOWS-system32-wbem-mof-sysnullevnt.mof
Selain itu pada removable disk/drive akan membuat beberapa file yaitu :
  • Autorun.inf
  • Copy of Shortcut.lnk
  • Copy of Copy of Shortcut.lnk
  • Copy of Copy of Copy of Shortcut.lnk
  • Copy of Copy of Copy of Copy of Shortcut.lnk
  • ~WTR[angka_acak].tmp
  • ~WTR[angka_acak].tmp
Modifikasi Registry
Beberapa modifikasi registry yang dilakukan oleh worm Stuxnet antara lain sebagai berikut :
  • Menambah Registry
    HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-MRxCls 
    HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-MrxNet 
    HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Services-MrxNet 
    HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Services-MRxCls 
    HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Enum-Root-LEGACY_MRX HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Enum-Root-LEGACY_MRXNET HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Enum-Root-LEGACY_MRXCLS HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Enum-Root-LEGACY_MRXNET
Metode Penyebaran
Beberapa cara worm Stuxnet melakukan penyebaran yaitu sebagai berikut :
  • Removable drive / disk Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Worm (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :
    1. Autorun.inf
    2. Copy of Shortcut.lnk
    3. Copy of Copy of Shortcut.lnk
    4. Copy of Copy of Copy of Shortcut.lnk
    5. Copy of Copy of Copy of Copy of Shortcut.lnk
    6. ~WTR[angka_acak].tmp
    7. ~WTR[angka_acak].tmp
Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK akan langsung dieksekusi pada saat drive tersebut diakses.

Jaringan Metode ini dengan memanfaatkan celah keamanan dari sistem Windows yaitu :
  • MS08-067 (Windows Server Service), seperti hal-nya Conficker memanfaatkan celah ini dengan melakukan akses C$ dan ADMIN$
  • MS10-061 (Windows Print Spooler), memanfaatkan printer sharing worm menginfeksi pengguna komputer yang mencoba akses ke printer server.

Posted in: ,,

0 komentar:

Posting Komentar

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | Powerade Coupons