Informasi Cakrawala Multimedia

Jakarta - Virus Deadlock terbilang ganas. Jika komputer sudah terinfeksi, siap-siap saja pada tanggal 12 dan 13 semua data-data Anda akan dihancurkan, baik di hardisk, Flashdisk dan O/S Windows sehingga menampilkan pesan NTLDR is Missing.

Namun jika sudah menjadi korban Deadlock, jangan sekali-kali menginstal ulang OS Anda ke hardisk yang mengandung data yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar.

Sebab, jika Anda menginstal ulang OS ke hardisk yang mengandung data yang ingin direcover, kemungkinan keberhasilan recovery akan sangat rendah.

Namun virus ini juga bisa ditangani dengan cara manual. Berikut 6 langkah singkatnya yang diramu Vaksincom:

1. Disable [System Restore] selama proses pembersihan.

2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti ‘Process Explorer’,kemudian matikan proses yang mempunyai nama mysql.exe dan apache.exe. Silahkan download tools tersebut di url berikut: ttp://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat dieksekusi dengan mendaftarkan pada Software Restriction Policies. Fitur ini hanya ada pada komputer dengan sistem operasi Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008.

Caranya:
-. Start — Run ketik perintah SECPOL.MSC kemudian klik tombol [OK]
-. Setelah muncul layar Local Security Settings, klik kanan pada menu Software Restriction Policies lalu klik Create New Policies
-. Pada menu Software Restriction Policies, klik Additional Rules
-. Klik kanan pada Additional Rules, kemudian pilih New Hash Rule, dan akan muncul layar New Hash Rule
-. Pada kolom File hash klik tombol Browse, kemudian arahkan ke direktori [C:\Windows\system32\apache.exe] dan klik tombol [Open]
-. Pada kolom Security level pilih [Disallowed]
-. Pada kolom description boleh di isi atau dikosongkan saja
-. Klik tombol [Apply] dan [Ok]

Catatan: Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.

4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara:

-. Klik kanan file repair.inf
-. Klik [Install]

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, apache

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, mysql

5. Hapus file induk virus yang ada di direktori
-. C:\Windows\system32\apache.exe
-. C:\Windows\system32\mysql.exe

6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.

Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut: http://www.norman.com/support/support_tools/58732/en-us

Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error NTLDR Is Missing, sebaiknya lakukan install ulang.

Sementara untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.

Telkom.net dan Plasa.com adalah fasilitas email gratis yang diberikan oleh PT Telkom. Pengguna email telkomnet dan plasacom patut waswas, karena amat mudah untuk menghack email di sana. Hanya dengan membuka sebuah email yang telah dirancang khusus oleh attacker, email anda bisa menjadi milik attacker. Dalam artikel ini saya akan tunjukkan apa kelemahannya, bagaimana cara mengexploitasi kelemahan itu dan tentu saja bagaimana cara agar terhindar dari serangan itu.

Webmail Session Hijacking

Teknik hacking email dalam artikel ini adalah dengan cara hijacking session. Oleh karena itu teknik ini hanya bisa dilakukan pada webmail telkom.net dan plasa.com, pengguna telkom.net dan plasa.com yang menggunakan Outlook/Thunderbird tidak rentan terhadap serangan ini.

Karena http adalah protokol yang stateless, sedangkan untuk membuat session server harus bisa memantau state user, maka digunakanlah session ID sebagai kunci atau penanda suatu session. Bila sessionID diketahui attacker, maka attacker bisa menguasai session korban. Orang lain, siapapun yang membawa sessionID anda, akan dianggap oleh server sebagai anda. Hijacking session adalah usaha untuk mendapatkan session ID korban, dengan cara predicting, capturing, atau fixating session ID.

SessionID diberikan oleh server dan harus dikembalikan lagi oleh browser (client) setiap kali membuat request. Mekanisme penyimpanan dan pengiriman session ID bisa dilakukan dengan dua cara:

1. Session Cookie: Session ID diberikan server dalam bentuk cookie dan disimpan oleh browser. Setiap browser melakukan request, cookie tersebut akan dikembalikan ke server lagi sebagai bukti bahwa user tersebut adalah masih orang yang sama.
2. URL Rewriting: Server menyisipkan session ID dalam halaman html yang dikirimkan ke browser. Session ID tersebut dimasukkan dalam bentuk URL di tag html tertentu seperti link (tag A). Contohnya bila URL link aslinya adalah http://www.somesite.com/inbox.php Oleh server link tersebut akan disisipkan sessionID menjadi:

   <A href="http://www.somesite.com/inbox.php?PHPSESSID=xxxxxxxxx“>INBOX</A>

   Dengan cara ini setiap kali user mengklik link tersebut, maka sessionID juga akan dikirim ke server sebagai bukti bahwa user tersebut adalah pengguna session yang sah.

SessionID paling aman disimpan dan dikirim kembali ke server dalam bentuk cookie, apalagi bila cookie tersebut diamankan dengan bit secure atau httponly. Kemungkinan serangan yang bisa dilancarkan untuk mencuri cookie adalah dengan XSS attack dan sniffing attack, kedua jenis serangan itu bisa dicegah dengan bit secure dan httponly.

Bila cookie telah diamankan dengan secure bit, maka cookie tersebut tidak bisa dicuri dengan sniffing karena cookie hanya dikirim melalui https, cookie tersebut juga tidak bisa dicuri dengan serangan XSS karena akses javascript terhadap cookie telah ditutup. Bila cookie hanya dilindungi dengan httponly, maka cookie itu aman dari serangan XSS, namun rentan sniffing bila cookie dikirimkan melalui http biasa.

Berbeda dengan cookie, menyimpan Session ID dalam URL sangatlah berbahaya, karena URL mudah dilihat, dikopi dan disimpan dalam bookmark, log file dan sebagainya. Selain itu sessionID juga bisa bocor ke tempat lain melalui header Referer. Sebab header Referer bertugas membawa URL dimana sebuah request dilakukan. Bila dalam suatu halaman terjadi request untuk mengambil gambar, maka header Referer akan mengandung URL dari halaman tersebut. Dalam artikel ini saya akan menggunakan jurus header Referer untuk membajak session webmail Telkom.net dan Plasa.com. Bagi pemilik situs, tentu sering melihat header ini dengan program statistic seperti Awstats untuk melihat pengunjung situs berasal dari situs mana saja.

SessionID webmail Telkom.net dan Plasa.com disimpan pada URL sehingga memudahkan pembajakan session. Mari kita lihat bagaimana bentuk URL webmail telkom.net dan plasa.com:

http://mail.telkom.net/Session/206017-7vY8EVuJF2935NV9Fhzl-kmbcuww/mailbox.wssp?Mailbox=INBOX&
http://mail1.plasa.com/Session/70174-k2O8e3vcnJEFxmxWYpOX-kmbcuwc/mailbox.wssp?Mailbox=INBOX&

Stealing SessionID from Referer Header

Session ID pada URL telkom.net dan plasa.com disisipkan setelah /Session/ hingga karakter / (slash). Sekarang bagaimana caranya attacker bisa mengetahui URL yang sedang dibuka korban di browsernya? Di awal saya sudah menyebutkan sekilas tentang header request yang bernama Referer. Tugas dari header ini adalah mengirimkan URL halaman yang melakukan request. Agar lebih jelasnya mari kita lihat sebuah contoh.

Ketika pengunjung sedang membuka halaman dengan URL:

http://mail.telkom.net/Session/235581-9w3zNaNskYc1v7ln5DDJ-kmbcuww/Mailbox.wssp?Mailbox=INBOX

Kemudian ketika terjadi request ke sebuah file image:

http://mail.telkom.net/Session/235581-9w3zNaNskYc1v7ln5DDJ-kmbcuww/batal.gif

Maka pada request GET tersebut akan ada header seperti di bawah ini:

0
1
2
3
4
5
6
7
8
9
10
11

Pada baris ke-10 terdapat header Referer yang menunjukkan bahwa request tersebut terjadi ketika kepada user sedang berada di URL tersebut. Karena URL yang direquest adalah http://mail.telkom.net/Session/235581-9w3zNaNskYc1v7ln5DDJ-kmbcuww/batal.gif, maka web server mail.telkom.net tempat file batal.gif tersebut berada, dapat mengetahui URL ketika request tersebut terjadi. Sekarang bayangkan apa yang terjadi bila request tersebut bukan mendownload image dari mail.telkom.net, tapi dari server www.evilhackersite.com/image.jpg. Web server di www.evilhackersite.com tentu akan mendapatkan URL tempat terjadinya request dari header Referer. Dan karena URL tersebut mengandung Session ID, maka dengan mudah attacker akan membajak session anda.

Attack Scenario

Webmail telkom.net dan plasa.com menggunakan URL sebagai mekanisme pertukaran session ID. Attacker bisa menjebak korban untuk membuka sebuah email yang mengandung gambar yang berlokasi di server attacker. Tag IMG tersebut akan membuat browser korban melakukan request ke server attacker, dengan tentu saja mengirimkan URL korban dalam header Referer. Dengan mengetahui session ID korban, attacker dengan mudah menguasai account webmail korban.

Preparing the Script

Sebelum bisa melakukan serangan, yang pertama harus dilakukan adalah menyiapkan server side script sebagai target request untuk menangkap SessionID korban. Server side script ini akan di-”masking” sebagai file JPG dengan menggunakan mod_rewrite Apache (.htaccess). Server side script yang dimasking sebagai file JPG inilah yang akan dimasukkan dalam tag IMG dalam email yang dibaca korban. Bila korban membaca email attacker, maka akan terjadi request ke server side script itu, sehingga attacker bisa mendapatkan session ID korban dan menguasai emailnya.

URL yang akan kita jadikan tujuan request adalah: http://www.ilmuhacking.com/mylab/image.jpg yang sebenarnya adalah masking untuk server side script http://www.ilmuhacking.com/mylab/checkmail.php. Dengan menggunakan mod_rewrite Apache dan settings .htacess berikut ini masking checkmail.php menjadi image.jpg bisa dilakukan:

1
2
3

RewriteEngine On
RewriteBase /
RewriteRule mylab/image.jpg mylab/checkmail.php

Berikutnya saya harus menyiapkan file checkmail.php. Tugas dari script php itu adalah mendapatkan session ID kemudian langsung membajak session korban bermodalkan session ID tersebut.

“Ko, gimana seh cara update kaspersky? Gw dah install kaspersky 2009, dan key atau lisensi-nyapun ori, tapi kenapa ga bisa di update databasenya ya?”, Ujar Yhogie salah satu pengguna Kaspersky.

Ini adalah salah satu keluhan dari beribu bahkan berjuta orang yang memakai software antivirus kaspersky. Kaspersky adalah salah satu software terbaik di dunia dalam memerangi Virus, Trojan, Worm atau bahkan Spyware dan masih banyak lagi. Tapi sayangnya, kaspersky sangat susah di update. kita ambil contoh kaspersky 2009 atau 2010. lalu kita bandingkan dengan Kaspersky versi 6 atau 7. Pada kaspersky versi 6 dan 7, kita dapat mendownload atau koneksi langsung ke internet untuk mengupdate databasenya. Kalo versi 8 atau 2009-2010, tidak ada file update-an di lab kaspersky-nya. (lihat http://www.kaspersky.com/avupdates). tidak ada update-an untuk versi 8 bukan?. Padalah pada prinsipnya sama.

Langsung aja… Kalau kamu nggak bisa update kaspersky, jangan panik dulu. Jangan putus asa, dan jangan kecewa. Mari kita lihat di settingan update-an Kaspersky-nya.

Di sana ada automatic dan manual. Untuk First alias pertama kali update, lebih baik kita update live ke server lab kasperskynya. Jangan menggunakan cumul via update manual. Karena kebanyakan gagal kecuali versi 7.

Kalau kamu ga ada koneksi internet, jangan nangis dulu. Dateng aja ke warteg ehh sory … warnet terdekat … Install kaspersky di pc warnet, jalankan update live ke lab server kaspersky. Tapi ada satu yang harus kamu centang, Yaitu centang copy to folder database-nya. setting–> update. Lalu tentukan pengen disimpan difolder mana. Misal taruh aja di desktop dan kasih nama folder KIS Database.

Setelah update-an sukses, copy folder yang berisi update-an tadi ke flashdisk atau media penyimpanan lainnya. Setelah sampai di rumah, arahkan update secara manual ke folder yang kita copy dari pc warnet tadi. Jika settingan sudah benar, maka update akan berjalan dengan lancar. Dan database akan berubah menjadi tanggal saat kamu download update-annya.

Taraaa … update successfully …

Jika di lain hari terjadi masalah saat update database, pada tab update ada pilihan roll back, maka pilih roll back dan ulangi langkah di atas.

Simple dan mudah. Semoga membantu.

Sumber : www.cah-asu.com