Trojan.DNSChanger ,Manipulator DNS keluarga ZLOB
Apa
kabar pengguna
internet ?
Dalam beberapa
bulan ini
tampaknya para
pengguna
internet di
seluruh dunia
sangat
disibukkan
oleh berbagai
berita seputar
internet dan
FBI. Dari
mulai RUU
ACTA,
SOPA &
PIPA
hingga sebuah
"isu besar"
ditutupnya
internet oleh
FBI karena
sebuah trojan.
Jika karena RUU ACTA bos besar MegaUpload (Kim DotCom) ditangkap oleh FBI karena dugaan penyimpanan konten-konten ilegal sehingga situs MegaUpload ditutup, dan kali ini internet "ditutup" karena server DNS sementara yang dipasang FBI akan dilepas.
Tahun lalu (tepatnya Nopember 2011) FBI telah menangkap 6 orang di Estonia yang diduga bertanggung jawab akan penyebaran sebuah trojan yang menginfeksi lebih dari 100 negara (ratusan ribu komputer di dunia). Dampak trojan ini yang akan menyebabkan DNS komputer dari pengguna internet berubah, dan pengguna internet secara tidak sadar akan mengakses situs/website yang berbeda/salah (walaupun terlihat sama dan mirip). Dengan cara ini maka pembuat malware akan dengan mudah mendapatkan informasi dari pengguna internet yang telah terinfeksi. Walau kelompok tersebut sudah ditangkap, tetapi karena banyak-nya pengguna komputer yang terinfeksi maka FBI memasang sementara server DNS yang diakses oleh pengguna komputer yang terinfeksi (hingga 8 maret 2012), sementara bagi pengguna internet yang sudah terinfeksi disarankan untuk segera membersihkan trojan tersebut dari komputer. Jika sudah melewati tanggal 8 Maret 2012, maka server DNS tersebut akan dimatikan oleh FBI, dan pengguna internet yang masih terinfeksi trojan tersebut tentunya tidak dapat mengakses internet.
Sejak Nopember 2011, hingga kini masih banyak pengguna komputer yang terinfeksi oleh malware ini yang diidentifikasi sebagai Trojan.DNSChanger.
Varian Keluarga ZLOB
Keluarga ZLOB merupakan salah satu kelompok trojan/backdoor yang dirancang untuk menginfeksi sistem komputer memanfaatkan kelemahan aplikasi pada browser/explorer. Melalui pihak ketiga (browser) maka ZLOB dapat dengan mudah menginfeksi komputer yang berbeda sistem operasi (seperti Windows atau Mac).
Trojan DNS.Changer biasa juga disebut TDSS, Tidserv, Alureon, Flush, dan Zlob. Varian ini sudah muncul sejak 2007 dan begitu terkenal di dunia pada tahun 2008 karena kemampuan merubah DNS Server pada komputer korban. Trojan.DNSChanger tidak hanya menginfeksi komputer Windows tetapi juga menginfeksi komputer Macintosh. Trojan ini memiliki cara kerja yang mirip dengan FakeAV karena merupakan salah satu keluarga dari varian malware ZLOB.
Pada Nopember 2011, trojan DNS.Changer muncul kembali dan menginfeksi ratusan ribu komputer di dunia hingga saat ini.
Gejala/Dampak Trojan.DNSChanger
Gambar 1, Trojan DNSchanger mengakibatkan bloking pada situs Google.com
Metode Penyebaran Trojan.DNSChanger
Pembuat malware Trojan.DNSChanger melakukan penyebaran melalui berbagai cara yang dilakukan persis dengan metode FakeAV melalui internet.
Jika Trojan.DNSChanger telah berhasil didownload melalui browser/explorer, maka memanfaatkan celah browser akan langsung terinstall/aktif secara otomatis. Disinilah Trojan.DNSChanger akan aktif dan melakukan aksinya.
Selama anda aktif menggunakan internet via browser (IE, Firefox,dll), maka selama itu pula komputer anda akan berjalan melalui DNS Server yang telah dirubah oleh Trojan.DNSChanger. (lihat gambar 3)
Gambar 3, Aktivitas DNSchanger
Tips Memastikan komputer anda tidak terinfeksi Trojan.DNSChanger
** (Lakukan salah satu saja, tidak perlu lakukan semua langkah ini)
Tips Mencegah Trojan.DNSChanger
Jika karena RUU ACTA bos besar MegaUpload (Kim DotCom) ditangkap oleh FBI karena dugaan penyimpanan konten-konten ilegal sehingga situs MegaUpload ditutup, dan kali ini internet "ditutup" karena server DNS sementara yang dipasang FBI akan dilepas.
Tahun lalu (tepatnya Nopember 2011) FBI telah menangkap 6 orang di Estonia yang diduga bertanggung jawab akan penyebaran sebuah trojan yang menginfeksi lebih dari 100 negara (ratusan ribu komputer di dunia). Dampak trojan ini yang akan menyebabkan DNS komputer dari pengguna internet berubah, dan pengguna internet secara tidak sadar akan mengakses situs/website yang berbeda/salah (walaupun terlihat sama dan mirip). Dengan cara ini maka pembuat malware akan dengan mudah mendapatkan informasi dari pengguna internet yang telah terinfeksi. Walau kelompok tersebut sudah ditangkap, tetapi karena banyak-nya pengguna komputer yang terinfeksi maka FBI memasang sementara server DNS yang diakses oleh pengguna komputer yang terinfeksi (hingga 8 maret 2012), sementara bagi pengguna internet yang sudah terinfeksi disarankan untuk segera membersihkan trojan tersebut dari komputer. Jika sudah melewati tanggal 8 Maret 2012, maka server DNS tersebut akan dimatikan oleh FBI, dan pengguna internet yang masih terinfeksi trojan tersebut tentunya tidak dapat mengakses internet.
Sejak Nopember 2011, hingga kini masih banyak pengguna komputer yang terinfeksi oleh malware ini yang diidentifikasi sebagai Trojan.DNSChanger.
Varian Keluarga ZLOB
Keluarga ZLOB merupakan salah satu kelompok trojan/backdoor yang dirancang untuk menginfeksi sistem komputer memanfaatkan kelemahan aplikasi pada browser/explorer. Melalui pihak ketiga (browser) maka ZLOB dapat dengan mudah menginfeksi komputer yang berbeda sistem operasi (seperti Windows atau Mac).
Trojan DNS.Changer biasa juga disebut TDSS, Tidserv, Alureon, Flush, dan Zlob. Varian ini sudah muncul sejak 2007 dan begitu terkenal di dunia pada tahun 2008 karena kemampuan merubah DNS Server pada komputer korban. Trojan.DNSChanger tidak hanya menginfeksi komputer Windows tetapi juga menginfeksi komputer Macintosh. Trojan ini memiliki cara kerja yang mirip dengan FakeAV karena merupakan salah satu keluarga dari varian malware ZLOB.
Pada Nopember 2011, trojan DNS.Changer muncul kembali dan menginfeksi ratusan ribu komputer di dunia hingga saat ini.
Gejala/Dampak Trojan.DNSChanger
- Tidak bisa mengakses situs/website keamanan dan situs/website tertentu
Gambar 1, Trojan DNSchanger mengakibatkan bloking pada situs Google.com
- Dapat mengakses situs/website, tetapi berbeda/salah (walau terlihat sama dan mirip)
Cara
ini digunakan
oleh varian
malware FakeAV
agar pengguna
yang
terinfeksi
mengakses
situs/website
yang telah
disiapkan dan
berharap
pengguna
internet dapat
dikelabui dan
mendapatkan
informasi yang
dimiliki
pengguna
komputer.
- Koneksi internet lambat
Hal
ini
dikarenakan
koneksi
internet
melalui DNS
yang telah
dirubah dan
aktivitas
internet yang
justru
digunakan
Trojan.DNSChanger
untuk
melakukan
broadcast,
sinkronisasi,
update dan
download
malware pada
server pembuat
malware.
- DNS komputer berubah
Secara
otomatis DNS
komputer akan
dialihkan pada
beberapa IP
Address yang
telah
ditentukan
pembuat
malware. Hal
ini yang
menyebabkan
pengguna
internet tidak
sadar bahwa
DNS komputer
telah berubah.
Beberapa IP
Address yang
digunakan
diantaranya :
- 85.255.112.0 - 85.255.127.255
- 67.210.0.0 - 67.210.15.255
- 93.188.160.0 - 93.188.167.255
- 77.67.83.0 - 77.67.83.255
- 213.109.64.0 - 213.109.79.255
- 64.28.176.0 - 64.28.191.255
Metode Penyebaran Trojan.DNSChanger
Pembuat malware Trojan.DNSChanger melakukan penyebaran melalui berbagai cara yang dilakukan persis dengan metode FakeAV melalui internet.
- Melakukan posting pada komentar sebuah blog, posting pada forum-forum komunitas, dan aktif posting pada milis dan jejaring sosial.
Dengan cara
ini pembuat
malware
mencoba
mengirim
sebuah link
URL yang
diarahkan
untuk menuju
situs tertentu
yang telah
disisipkan
Trojan.DNSChanger.
- Membuat situs palsu dan mengeksploitasi situs tertentu.
Dengan cara
ini pembuat
malware akan
menyisipkan
script malware
pada situs
yang dibuat
sehingga
pengguna
internet yang
tidak sengaja
mengakses
situs ini akan
mendowload
Trojan.DNSChanger.
(lihat gambar
2)
Gambar
2, Contoh
situs yang
telah disispi
DNSchanger
Jika Trojan.DNSChanger telah berhasil didownload melalui browser/explorer, maka memanfaatkan celah browser akan langsung terinstall/aktif secara otomatis. Disinilah Trojan.DNSChanger akan aktif dan melakukan aksinya.
Selama anda aktif menggunakan internet via browser (IE, Firefox,dll), maka selama itu pula komputer anda akan berjalan melalui DNS Server yang telah dirubah oleh Trojan.DNSChanger. (lihat gambar 3)
Gambar 3, Aktivitas DNSchanger
Tips Memastikan komputer anda tidak terinfeksi Trojan.DNSChanger
** (Lakukan salah satu saja, tidak perlu lakukan semua langkah ini)
- Cek DNS komputer via Command Prompt
- Pada Start Menu [All Programs] [Accessoris] [Command Prompt] (atau ketik CMD pada Menu RUN).
- Pada Command Prompt, ketik : ipconfig/all
- Pastikan DNS Server anda tidak berubah. (lihat gambar 4)
Gambar
4, Cek DNS
komputer dari
command prompt
dengan
mengetikkan
"ipconfig
/all"
- Cek DNS komputer via Network Connection
- Klik Kanan pada "Local Area Connection" pada taskbar dan pilih "Status".
- Pada "Local Area Connection Status", klik pada tab "Support" dan klik "Details".
- Pastikan DNS Server anda tidak berubah. (lihat gambar 5)
Gambar
5, Cek DNS
dari "Network
Connection"
- Cek file Host
- Pada [Start] Menu [All Programs] [Accessoris][Command Prompt] (atau ketik notepad pada Menu RUN).
- Pada Notepad, klik File ïƒ Open. Akses ke C:\WINDOWS\system32\drivers\etc.
- Pada "Files of type" rubah jadi "All Files". Pilih "hosts" dan klik Open.
- Pastikan HOSTS file anda tidak berubah. (lihat gambar 6)
Gambar
6, Cek DNS
dari Hosts
file Windows.
- Cek konfigurasi browser
- Pada Internet Explorer, dapat diakses pada Tools ïƒ Internet Options. Pada tab "Connection", klik pada "Lan Settings".
- Pada Mozilla Firefox, dapat diakses pada Tools ïƒ Options. Pada tab "Advanced", klik tab "Network", dan klik "Settings".
- Pada Google Chrome, pada Customize and control… ïƒ Options ïƒ Under the Hood. Pada tab Network, klik "Change Proxy Setting".
- Pastikan konfigurasi browser anda tidak berubah. (lihat gambar 7)
Gambar
7, Cek
konfigurasi
Browser
- Cek DNS pada router
Bagi
anda yang
menggunakan
jaringan
korporat,
sebaiknya
lakukan pula
pengecekan
pada DNS yang
ada pada
router/firewall
anda.
- Cek IP Address anda dengan mengunjungi situs : www.dns-ok.us (lihat gambar 8)
Gambar
8, Situs untuk
mengecek IP
terinfeksi
DNSchanger
Tips Mencegah Trojan.DNSChanger
- Aktifkan Windows Firewall atau gunakan software firewall yang lain. Hal ini untuk mencegah dari akses yang tidak di-inginkan.
- Pastikan komputer sudah mendapatkan update terbaru dari system Windows. Untuk mempermudah gunakan update otomatis dari system seperti "Automatic Updates". Atau bisa juga dengan men-download patch terbaru dari website Microsoft.
- Gunakan antivirus yang selalu terupdate dengan baik. Hal ini untuk mempermudah terhadap varian-varian dari malware yang baru.
- Pastikan aplikasi yang digunakan juga sudah terupdate, terutama aplikasi browser, chat/messenger dan aplikasi email.
- Install aplikasi tambahan yang melindungi browser anda dari penyebaran malware Trojan.DNSChanger. Salah satunya adalah Gdata Cloud Security untuk melindungi aktivitas browsing anda yang dapat di download secara gratis dari http://www.free-cloudsecurity.com/. (lihat gambar 9)
Gambar
9,
G Data Cloud
Security yang
membantu
memblok situs
berbahaya
- Berhati-hati saat membuka file attachment e-mail atau saat menerima transfer file dari orang yang tidak dikenal. Pastikan selalu di scan dengan antivirus yang terupdate. Dan juga berhati-hati terhadap link URL yang disertakan pada email. Informasikan kepada pengirim email mengenai link URL yang dikirimkan.
- Berhati-hati terhadap program crack/keygen atau program-program yang tidak dikenal. Karena bisa saja sudah terinfeksi atau mengandung malware.
- Berhati-hati saat mengakses sebuah website atau forum yang menyediakan link-link tertentu untuk di-download atau di-install.
- Jika anda merasa sudah terinfeksi, sebaiknya lakukan perubahan seluruh password yang digunakan terutama yang berhubungan dengan internet seperti email, online-banking, jejaring social, chat/messenger dan lain-lain.
0 comments:
Posting Komentar