Hati-hati !! Pengguna Windows 7 dan Vista juga terancam Stuxnet
Pada beberapa minggu ini, pengguna internet (khusus-nya yang mengikuti informasi keamanan komputer) sering mendapatkan informasi terbaru dari worm/trojan Stuxnet. Stuxnet seperti menjadi trending topic bagi para analisis dan vendor keamanan komputer, karena aksi-nya yang diduga berhubungan dengan ssstem SCADA (Supervisory Control And Data Acquisition) milik perusahaan Siemens, sebuah sistem yang digunakan pada infrastruktur industri dan pabrik.
Berdasarkan statistik hingga akhir september 2010, Iran menjadi target serangan terbesar di Asia yang di ikuti oleh Indonesia dan India. Hal ini pula yang memicu dugaan bahwa Stuxnet dirancang untuk menyerang Iran khusus-nya infrastruktur industri dan pabrik seperti tenaga nuklir, dll. (lihat gambar 1 dan 2)
Gambar 1, Statistik serangan worm/trojan Stuxnet hingga akhir september 2010
Gambar 2, Persentase serangan worm/trojan Stuxnet hingga akhir september 2010
Jika melihat statistik dan persentase serangan worm / trojan Stuxnet diatas, sangat nyata serangan tertuju pada Iran, lalu bagaimana dengan negara lain seperti Indonesia dan India ? Bagaimana dengan proses penyebarannya yang begitu cepat ? Hal ini yang akan kita bahas selanjutnya.
Target Stuxnet : Sistem SCADA atau Sistem Windows ?
Masih ingat-kah anda dengan worm Conficker yang menyerang pada akhir tahun 2008 ? Dan hingga saat ini penyebarannya masih saja belum habis di seluruh dunia. Worm ini mampu “mempermalukan” Microsoft, karena telah sanggup menginfeksi hampir seluruh platform Windows dengan hanya menyerang vulnerability dari Windows Server Service/RPC (MS08-067).
Lalu bagaimana dengan worm Stuxnet ? Worm Stuxnet sangat jelas merupakan salah satu worm yang menyerang sistem operasi dari Microsoft dan seperti halnya worm Conficker juga menyerang hampir seluruh platform Windows (baik itu perusahaan maupun individu / perorangan). Jadi, terlepas atau tidak sebuah perusahaan maupun individu menggunakan atau tidak menggunakan system SCADA akan tetap mendapatkan serangan dan efek dari worm Stuxnet. Hebatnya lagi, worm Stuxnet tidak hanya memanfaatkan celah keamanan RPC seperti Conficker tetapi juga menyerang 4 vulnerability dari Windows yang lain.
Celah Keamanan (vulnerability) dari Windows
Beberapa celah keamanan yang ternyata sanggup dimanfaatkan oleh worm Stuxnet yaitu sebagai berikut :
· Windows Server Service / RPC (MS08-067)
Dengan teknik yang sama seperti worm Conficker, memanfaatkan sistem Windows yang tidak update worm akan dengan mudah menginfeksi komputer.
· Windows Shell Icon Handler / LNK (MS10-046)
Stuxnet merupakan salah satu worm yang memanfaatkan celah ini. Dengan memanfaatkan file shortcut, worm menginfeksi komputer dengan mudah.
· Windows Print Spooler / Spoolsv (MS10-061)
Banyak kasus-kasus yang terjadi menurut pengamatan Vaksincom komputer menjadi bermasalah dengan Print Server atau share printer. Dan ternyata, worm Stuxnet juga mengeksploitasi Print Spooler dalam aksinya.
· Windows Win32K Layout Module (MS10-073)
Salah satu celah baru dari Windows yang berhasil dilewati oleh Stuxnet. Dengan memanfaatkan file w32k.sys dan menginjeksinya, maka worm Stuxnet dapat memiliki hak administrator dan dengan mudah menginfeksi komputer sekalipun “digembar-gemborkan” memiliki perlindungan tambahan terhadap serangan virus atau lebih kebal virus :p.
· Windows Task Scheduler
Celah ini digunakan untuk menembus sistem baru dari Windows Vista dan Windows 7 yaitu UAC (User Account Control). Dengan membuat file schedule task agar dengan mudah menginfeksi komputer. (Kabar buruknya, pada saat artikel ini dibuat celah ini belum disediakan patch dari Microsoft).
Gejala & Efek Virus
Beberapa gejala yang terjadi jika komputer anda sudah terinfeksi yaitu :
ü Install driver baru (replace driver lama)
Saat Worm Stuxnet sudah menginfeksi, worm akan mencoba menghapus drive dari Realtek atau Jmicron dan mengganti-nya dengan driver yang baru versi worm Stuxnet. Stuxnet menginstall driver menggunakan 2 file virus yaitu : MRXCLS.SYS dan MRXNET.SYS. (lihat gambar 3)
Gambar 3, Driver yang telah di ganti oleh worm Stuxnet
ü Mematikan aktivitas Print Share
Worm menginjeksi file spoolsv, sehingga aktivitas print (cetak data) menjadi terhenti. Komputer yang terinfeksi tidak akan bisa melakukan print. Sebagai ganti dari aktivitas print tersebut worm membuat 2 file yaitu :
· C:\WINDOWS\system32\winsta.exe (file utama worm Stuxnet)
· C:\WINDOWS\system32\wbem\mof\sysnullevnt.mof
ü “Low Disk Space”
Akibat dari aktivitas print yang terus dipaksakan, membuat file Winsta akan terus membengkak sehingga membuat space harddisk anda menjadi habis dan tentunya akan mendapat sebuah peringatan Low Disk Space dari sistem Windows. (lihat gambar 4)
Gambar 4, File winsta bertambah besar, membuat space harddisk anda berkurang.
ü Tidak bisa menyimpan data atau menjalankan program tertentu.
Karena file winsta yang bertambah besar dan membuat space harddisk anda berkurang, menyebabkan anda tidak bisa menyimpan data. Selain itu program/aplikasi pun tidak bisa dijalankan karena membutuhkan cache (ruang penyimpan) yang semuanya dihabiskan oleh file Winsta yang membengkak.
ü Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus.
File sistem Windows yang akan menjadi sasaran injeksi worm Stuxnet yaitu :
· C:\WINDOWS\system32\svchost.exe (file sistem yang berhubungan dengan koneksi jaringan, dengan menginjeksi akan membuat jaringan terputus)
· C:\WINDOWS\system32\lsass.exe (file sistem yang berhubungan dengan aktivitas komputer, dengan menginjeksi akan membuat komputer hang/lambat).
ü Melakukan koneksi ke Remote Server
Worm Stuxnet melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Remote Server yang digunakan yaitu :
ü Membuat file Scheduled Task
Cara yang sama dilakukan oleh Conficker, worm Stuxnet juga membuat file scheduled task agar dapat aktif dan menginfeksi komputer. (lihat gambar 5)
Gambar 5, File scheduled task yang dibuat oleh worm Stuxnet
File Worm Stuxnet
Saat worm Stuxnet dijalankan, worm akan menginjeksi beberapa file sistem Windows yaitu :
- C:\WINDOWS\system32\lsass.exe
- C:\WINDOWS\system32\svchost.exe
- C:\WINDOWS\system32\spoolsv.exe
Selain itu juga membuat 2 file driver yaitu :
- C:\WINDOWS\system32\driver\mrxcls.sys
- C:\WINDOWS\system32\driver\mrxnet.sys
Dan beberapa file konfigurasi yaitu :
- C:\WINDOWS\inf\oem6c.pnf
- C:\WINDOWS\inf\oem7a.pnf
- C:\WINDOWS\inf\mdmeric3.pnf
- C:\WINDOWS\inf\mdmcpq3.pnf
Serta 2 file yang lain yaitu :
- C:\WINDOWS\system32\KERNEL32.DLL.ASR.xxx atau SHELL32.DLL.ASR.xxx
- C:\addins\DEFRAG[angka_acak].TMP
Selain itu membuat file schedule task yaitu :
- C:\WINDOWS\Tasks\At1.job
Saat menginfeksi file spoolsv.exe, worm membuat 2 file kembali yaitu :
- C:\WINDOWS\system32\winsta.exe (file inilah yang jika aktif akan semakin mengembang / membengkak ukurannya)
- C:\WINDOWS\system32\wbem\mof\sysnullevnt.mof
Selain itu pada removable disk/drive akan membuat beberapa file yaitu :
- Autorun.inf
- Copy of Shortcut.lnk
- Copy of Copy of Shortcut.lnk
- Copy of Copy of Copy of Shortcut.lnk
- Copy of Copy of Copy of Copy of Shortcut.lnk
- ~WTR[angka_acak].tmp
- ~WTR[angka_acak].tmp
Modifikasi Registry
Beberapa modifikasi registry yang dilakukan oleh worm Stuxnet antara lain sebagai berikut :
- Menambah Registry
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MrxNet
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MrxNet
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET
Metode Penyebaran
Beberapa cara worm Stuxnet melakukan penyebaran yaitu sebagai berikut :
- Removable drive / disk
Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Worm (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :
1. Autorun.inf
2. Copy of Shortcut.lnk
3. Copy of Copy of Shortcut.lnk
4. Copy of Copy of Copy of Shortcut.lnk
5. Copy of Copy of Copy of Copy of Shortcut.lnk
6. ~WTR[angka_acak].tmp
7. ~WTR[angka_acak].tmp
Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK akan langsung dieksekusi pada saat drive tersebut diakses.
- Jaringan
Metode ini dengan memanfaatkan celah keamanan dari sistem Windows yaitu :
1. MS08-067 (Windows Server Service), seperti hal-nya Conficker memanfaatkan celah ini dengan melakukan akses C$ dan ADMIN$
2. MS10-061 (Windows Print Spooler), memanfaatkan printer sharing worm menginfeksi pengguna komputer yang mencoba akses ke printer server. (lihat gambar 6)
Gambar 6, Metode penyebaran worm Stuxnet
Pembersihan Virus
- Putuskan koneksi jaringan/internet.
- Matikan dan hapus worm Stuxnet
Lakukan langkah-langkah berikut :
a) Download tools untuk membersihkan worm Stuxnet pada komputer yang belum terinfeksi pada link berikut : (lihat gambar 7)
http://www.freedrweb.com/download+cureit
Gabmar 7, Dr.Web CureIt! mendeteksi worm Stuxnet
b) Klik 2x file yang sudah diunduh tersebut untuk menjalankan, kemudian klik Run.
c) Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
d) Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
e) Biarkan hingga proses scan selesai.
- Repair registry yang telah dimodifikasi.
Lakukan langkah-langkah berikut :
o Salin script dibawah ini dengan notepad :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe
[del]
HKLM, SYSTEM\CurrentControlSet\Services\MRxCls
HKLM, SYSTEM\CurrentControlSet\Services\MRxNet
HKLM, SYSTEM\ControlSet001\Services\MRxCls
HKLM, SYSTEM\ControlSet002\Services\MRxNet
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXClS
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXNET
HKLM, SYSTEM\ControlSet001\Services\Enum\Root\LEGACY_MRXClS
HKLM, SYSTEM\ControlSet002\Services\Enum\Root\LEGACY_MRXNET
o Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
o Klik kanan file “repair.inf”, kemudian pilih “install”.
o Restart komputer.
- Bersihkan temporary file dari jejak virus.
Lakukan langkah-langkah berikut :
a) Klik Menu Start -> Run
b) Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
c) Pada drive system (C) klik OK, biarkan proses scan drive.
d) Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
e) Tunggu hingga selesai.
- Install security patch MS08-067, MS10-046, MS10-061, MS10-073 sesuai dengan versi windows yang anda miliki. Silahkan download pada link berikut :
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-061.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-073.mspx
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.
0 Responses So Far: