Serangan Mematikan Kido

Beberapa waktu belakangan ini, sebuah worm bernama Kido (nama lainnya Conficker atau Downdup) sangat ramai diberitakan terutama karena tingkat bahaya yang tinggi. Dengan adanya rumor yang mengatakan bahwa virus tersebut telah melakukan update besar-besaran pada tanggal 1 April 2009 lalu, membuat worm ini makin berbahaya.

Kido merupakan sebuah virus yang menyerang celah pada Windows, tepatnya celah MS08-067. Sebenarnya, Windows sudah menambal celah yang ada, namun masih saja terdengar kabar bahwa worm tersebut masih merajalela dengan mudah. Hal ini disebabkan karena masih banyak orang yang belum melakukan update pada Windows mereka. Worm ini juga ternyata memiliki kemampuan untuk membuat dirinya tak terdeteksi dan dapat menghindari perbaikan. Selain itu, worm ini juga membatasi akses user untuk melakukan update. Hal ini membuat worm Kido semakin berbahaya.

Hingga saat ini Kido telah memasuki versi ketiga. Versi ketiga ini tetap menjadi ancaman yang sangat berarti terutama dengan kemampuannya untuk melakukan update pada dirinya sendiri secara otomatis melalui website yang terus-menerus berubah. Selain itu, Kido juga menyebar melalui jaringan lokal untuk melakukan update pada diriya sendiri. Virus yang sangat berbahaya ini juga dibungkus dengan kode enkripsi yang sangat baik dan rumit yang dapat mematikan feature keamanan.

Setelah mengetahui sekilas tentang Kido, mari kita simak bagaimana cara mengetahui apabila komputer Anda sudah terinfeksi worm ini atau belum:

• Jika salah satu komputer dalam jaringan Anda sudah terinfeksi, maka lalu lintas jaringan Anda akan meningkat, karena disebabkan oleh komputer yang terinfeksi secara terus menerus berusaha menginfeksi komputer yang belum terinfeksi dalam jaringan.
• Jika Anda menggunakan antivirus yang memiliki feature “Intrusion Detection Systems” maka akan ada peringatan yang isinya : Intrusion.Win.NETAPI.buffer-overflow.exploit.

Berikut cara kerja Kido pada komputer yang telah terinfeksi

• Kido membuat file autorun.inf dan RECYCLED\{SID<....>}\RANDOM_NAME.vmx pada media penyimpanan seperti USB flash disk (kadang-kadang di folder yang di-share pada jaringan).
  
• Kido menempatkan dirinya dalam sistem sebagai file DLL dengan nama acak, misalnya c:\windows\system32\zorizr.dll.
  Dalam sistem, Kido terdaftar dalam service dengan nama acak, misalnya knqdgsm.
• Kido mencoba menyerang komputer dalam jaringan dengan port 445 atau 139 TCP, menggunakan celah MS08-067
  
• Kido mencoba menghubungkan diri ke situs-situs web berikut ini (kami sarankan penggunaan firewall untuk mengawasi koneksi ke situs-situs web ini):

o http://www.getmyip.org
o http://getmyip.co.uk
o http://www.whatsmyipaddress.com
o http://www.whatismyip.org
o http://checkip.dyndns.org
o http://schemas.xmlsoap.org/soap/envelope/
o http://schemas.xmlsoap.org/soap/encoding/\
o http://schemas.xmlsoap.org/soap/envelope/
o http://schemas.xmlsoap.org/soap/encoding/
o http://trafficconverter.biz/4vir/antispyware/loadadv.exe
o http://trafficconverter.biz
o http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz
Untuk mencegah seluruh komputer dan server terinfeksi Kido, Anda disarankan melakukan langkah-langkah berikut ini:
Instal patch dari Microsoft yang digunakan untuk menutup celah MS08-067, MS08-068, MS09-001.

• Pastikan password account administrator lokal tidak dapat dibobol dengan mudah—password minimal harus terdiri dari 6 karakter yang merupakan perpaduan antara huruf kapital dan non-kapital, angka, serta karakter spesial seperti tanda baca.
• Matikan feature yang menjalankan file dalam USB flash disk secara otomatis (Auto

Source: Kaspersky Lab