Apa kabar pengguna internet ? Dalam beberapa bulan ini tampaknya para pengguna internet di seluruh dunia sangat disibukkan oleh berbagai berita seputar internet dan FBI. Dari mulai RUU ACTA, SOPA & PIPA hingga sebuah "isu besar" ditutupnya internet oleh FBI karena sebuah trojan.
Jika karena RUU ACTA bos besar MegaUpload (Kim DotCom) ditangkap oleh FBI karena dugaan penyimpanan konten-konten ilegal sehingga situs MegaUpload ditutup, dan kali ini internet "ditutup" karena server DNS sementara yang dipasang FBI akan dilepas.
Tahun lalu (tepatnya Nopember 2011) FBI telah menangkap 6 orang di Estonia yang diduga bertanggung jawab akan penyebaran sebuah trojan yang menginfeksi lebih dari 100 negara (ratusan ribu komputer di dunia). Dampak trojan ini yang akan menyebabkan DNS komputer dari pengguna internet berubah, dan pengguna internet secara tidak sadar akan mengakses situs/website yang berbeda/salah (walaupun terlihat sama dan mirip). Dengan cara ini maka pembuat malware akan dengan mudah mendapatkan informasi dari pengguna internet yang telah terinfeksi. Walau kelompok tersebut sudah ditangkap, tetapi karena banyak-nya pengguna komputer yang terinfeksi maka FBI memasang sementara server DNS yang diakses oleh pengguna komputer yang terinfeksi (hingga 8 maret 2012), sementara bagi pengguna internet yang sudah terinfeksi disarankan untuk segera membersihkan trojan tersebut dari komputer. Jika sudah melewati tanggal 8 Maret 2012, maka server DNS tersebut akan dimatikan oleh FBI, dan pengguna internet yang masih terinfeksi trojan tersebut tentunya tidak dapat mengakses internet.
Sejak Nopember 2011, hingga kini masih banyak pengguna komputer yang terinfeksi oleh malware ini yang diidentifikasi sebagai Trojan.DNSChanger.
Varian Keluarga ZLOB
Keluarga
ZLOB
merupakan
salah satu
kelompok
trojan/backdoor
yang dirancang
untuk menginfeksi
sistem
komputer
memanfaatkan
kelemahan
aplikasi pada
browser/explorer.
Melalui pihak
ketiga
(browser) maka
ZLOB dapat
dengan mudah
menginfeksi
komputer yang
berbeda sistem
operasi
(seperti
Windows atau
Mac)
Trojan DNS.Changer biasa juga disebut TDSS, Tidserv, Alureon, Flush, dan Zlob. Varian ini sudah muncul sejak 2007 dan begitu terkenal di dunia pada tahun 2008 karena kemampuan merubah DNS Server pada komputer korban. Trojan.DNSChanger tidak hanya menginfeksi komputer Windows tetapi juga menginfeksi komputer Macintosh. Trojan ini memiliki cara kerja yang mirip dengan FakeAV karena merupakan salah satu keluarga dari varian malware ZLOB
Trojan DNS.Changer biasa juga disebut TDSS, Tidserv, Alureon, Flush, dan Zlob. Varian ini sudah muncul sejak 2007 dan begitu terkenal di dunia pada tahun 2008 karena kemampuan merubah DNS Server pada komputer korban. Trojan.DNSChanger tidak hanya menginfeksi komputer Windows tetapi juga menginfeksi komputer Macintosh. Trojan ini memiliki cara kerja yang mirip dengan FakeAV karena merupakan salah satu keluarga dari varian malware ZLOB
Pada Nopember 2011, trojan DNS.Changer muncul kembali dan menginfeksi ratusan ribu komputer di dunia hingga saat ini.
Gejala/Dampak Trojan.DNSChanger
- Tidak bisa mengakses situs/website keamanan dan situs/website tertent. Jika anda sudah terinfeksi oleh Trojan.DNSChanger maka komputer anda tidak dapat mengakses situs/website keamanan seperti situs antivirus (McAfee, Symantec, Kaspersky, Gdata, Eset, dll). Hal ini digunakan agar menjaga komputer tetap dalam keadaan terinfeksi dan mencegah update antivirus. Hal sama juga berlaku pada situs/website tertentu seperti Google.com. (lihat gambar 1)
Gambar 1, Trojan DNSchanger mengakibatkan bloking pada situs Google.com |
- Dapat mengakses situs/website, tetapi berbeda/salah (walau terlihat sama dan mirip. Cara ini digunakan oleh varian malware FakeAV agar pengguna yang terinfeksi mengakses situs/website yang telah disiapkan dan berharap pengguna internet dapat dikelabui dan mendapatkan informasi yang dimiliki pengguna komputer.
- Koneksi internet lambat. Hal ini dikarenakan koneksi internet melalui DNS yang telah dirubah dan aktivitas internet yang justru digunakan Trojan.DNSChanger untuk melakukan broadcast, sinkronisasi, update dan download malware pada server pembuat malware.
- DNS komputer berubah. Secara otomatis DNS komputer akan dialihkan pada beberapa IP Address yang telah ditentukan pembuat malware. Hal ini yang menyebabkan pengguna internet tidak sadar bahwa DNS komputer telah berubah.
Beberapa IP
Address yang
digunakan
diantaranya :
- 85.255.112.0 - 85.255.127.255
- 67.210.0.0 - 67.210.15.255
- 93.188.160.0 - 93.188.167.255
- 77.67.83.0 - 77.67.83.255
- 213.109.64.0 - 213.109.79.255
- 64.28.176.0 - 64.28.191.255
Pembuat malware Trojan.DNSChanger melakukan penyebaran melalui berbagai cara yang dilakukan persis dengan metode FakeAV melalui internet.
- Melakukan posting pada komentar sebuah blog, posting pada forum-forum komunitas, dan aktif posting pada milis dan jejaring sosial. Dengan cara ini pembuat malware mencoba mengirim sebuah link URL yang diarahkan untuk menuju situs tertentu yang telah disisipkan Trojan.DNSChanger.
- Membuat situs palsu dan mengeksploitasi situs tertentu. Dengan cara ini pembuat malware akan menyisipkan script malware pada situs yang dibuat sehingga pengguna internet yang tidak sengaja mengakses situs ini akan mendowload Trojan.DNSChanger. (lihat gambar 2)
Gambar 2, Contoh situs yang telah disispi DNSchanger |
Jika Trojan.DNSChanger
telah berhasil
didownload
melalui
browser/explorer,
maka memanfaatkan
celah browser
akan langsung
terinstall/aktif
secara
otomatis.
Disinilah
Trojan.DNSChanger
akan aktif dan
melakukan
aksinya.
Selama anda aktif menggunakan internet via browser (IE, Firefox,dll), maka selama itu pula komputer anda akan berjalan melalui DNS Server yang telah dirubah oleh Trojan.DNSChanger. (lihat gambar 3)
Gambar 3, Aktivitas DNSchanger |
** (Lakukan salah satu saja, tidak perlu lakukan semua langkah ini)
- Cek DNS komputer via Command Prompt
- Pada Start Menu [All Programs] [Accessoris] [Command Prompt] (atau ketik CMD pada Menu RUN).
- Pada Command Prompt, ketik : ipconfig/all
- Pastikan DNS Server anda tidak berubah. (lihat gambar 4)
Gambar 4, Cek DNS komputer dari command prompt dengan mengetikkan “ipconfig /all” |
- Cek DNS komputer via Network Connection
- Klik Kanan pada “Local Area Connection” pada taskbar dan pilih “Status”.
- Pada “Local Area Connection Status”, klik pada tab “Support” dan klik “Details”.
- Pastikan DNS Server anda tidak berubah. (lihat gambar 5)
Gambar 5, Cek DNS dari “Network Connection” |
- Cek file Host
- Pada [Start] Menu [All Programs] [Accessoris][Command Prompt] (atau ketik notepad pada Menu RUN).
- Pada Notepad, klik File Open. Akses ke C:\WINDOWS\system32\drivers\etc.
- Pada “Files of type” rubah jadi “All Files”. Pilih “hosts” dan klik Open.
- Pastikan HOSTS file anda tidak berubah. (lihat gambar 6)
Gambar 6, Cek DNS dari Hosts file Windows. |
- Cek konfigurasi browser
- Pada Internet Explorer, dapat diakses pada Tools Internet Options. Pada tab “Connection”, klik pada “Lan Settings".
- Pada Mozilla Firefox, dapat diakses pada Tools Options. Pada tab “Advanced”, klik tab “Network”, dan klik “Settings”.
- Pada Google Chrome, pada Customize and control… Options Under the Hood. Pada tab Network, klik “Change Proxy Setting”.
- Pastikan konfigurasi browser anda tidak berubah. (lihat gambar 7)
Gambar 7, Cek konfigurasi Browser |
- Cek DNS pada router. Bagi anda yang menggunakan jaringan korporat, sebaiknya lakukan pula pengecekan pada DNS yang ada pada router/firewall anda.
- Cek IP Address anda dengan mengunjungi situs : www.dns-ok.us (lihat gambar 8)
Gambar 8, Situs untuk mengecek IP terinfeksi DNSchanger |
Tips Mencegah Trojan.DNSChanger
- Aktifkan Windows Firewall atau gunakan software firewall yang lain. Hal ini untuk mencegah dari akses yang tidak di-inginkan.
- Pastikan komputer sudah mendapatkan update terbaru dari system Windows. Untuk mempermudah gunakan update otomatis dari system seperti "Automatic Updates". Atau bisa juga dengan men-download patch terbaru dari website Microsoft.
- Gunakan antivirus yang selalu terupdate dengan baik. Hal ini untuk mempermudah terhadap varian-varian dari malware yang baru.
- Pastikan aplikasi yang digunakan juga sudah terupdate, terutama aplikasi browser, chat/messenger dan aplikasi email.
- Install aplikasi tambahan yang melindungi browser anda dari penyebaran malware Trojan.DNSChanger. Salah satunya adalah Gdata Cloud Security untuk melindungi aktivitas browsing anda yang dapat di download secara gratis dari http://www.free-cloudsecurity.com/. (lihat gambar 9)
Gambar 9, G Data Cloud Security yang membantu memblok situs berbahaya |
- Berhati-hati saat membuka file attachment e-mail atau saat menerima transfer file dari orang yang tidak dikenal. Pastikan selalu di scan dengan antivirus yang terupdate. Dan juga berhati-hati terhadap link URL yang disertakan pada email. Informasikan kepada pengirim email mengenai link URL yang dikirimkan.
- Berhati-hati terhadap program crack/keygen atau program-program yang tidak dikenal. Karena bisa saja sudah terinfeksi atau mengandung malware.
- Berhati-hati saat mengakses sebuah website atau forum yang menyediakan link-link tertentu untuk di-download atau di-install.
- Jika anda merasa sudah terinfeksi, sebaiknya lakukan perubahan seluruh password yang digunakan terutama yang berhubungan dengan internet seperti email, online-banking, jejaring social, chat/messenger dan lain-lain.
Tidak ada komentar:
Posting Komentar