Apa
kabar pengguna internet ? Dalam beberapa bulan ini tampaknya para
pengguna internet di seluruh dunia sangat disibukkan oleh berbagai
berita seputar internet dan FBI. Dari mulai RUU ACTA, SOPA & PIPA hingga sebuah "isu besar" ditutupnya internet oleh FBI karena sebuah trojan.
Jika karena RUU ACTA bos besar MegaUpload (Kim DotCom) ditangkap oleh FBI karena dugaan penyimpanan konten-konten ilegal sehingga situs MegaUpload ditutup, dan kali ini internet "ditutup" karena server DNS sementara yang dipasang FBI akan dilepas.
Tahun lalu (tepatnya Nopember 2011) FBI telah menangkap 6 orang di Estonia yang diduga bertanggung jawab akan penyebaran sebuah trojan yang menginfeksi lebih dari 100 negara (ratusan ribu komputer di dunia). Dampak trojan ini yang akan menyebabkan DNS komputer dari pengguna internet berubah, dan pengguna internet secara tidak sadar akan mengakses situs/website yang berbeda/salah (walaupun terlihat sama dan mirip). Dengan cara ini maka pembuat malware akan dengan mudah mendapatkan informasi dari pengguna internet yang telah terinfeksi. Walau kelompok tersebut sudah ditangkap, tetapi karena banyak-nya pengguna komputer yang terinfeksi maka FBI memasang sementara server DNS yang diakses oleh pengguna komputer yang terinfeksi (hingga 8 maret 2012), sementara bagi pengguna internet yang sudah terinfeksi disarankan untuk segera membersihkan trojan tersebut dari komputer. Jika sudah melewati tanggal 8 Maret 2012, maka server DNS tersebut akan dimatikan oleh FBI, dan pengguna internet yang masih terinfeksi trojan tersebut tentunya tidak dapat mengakses internet.
Sejak Nopember 2011, hingga kini masih banyak pengguna komputer yang terinfeksi oleh malware ini yang diidentifikasi sebagaiTrojan.DNSChanger.
Varian Keluarga ZLOB
Keluarga ZLOB merupakan salah satu kelompok trojan/backdoor yang dirancang untuk menginfeksi sistem komputer memanfaatkan kelemahan aplikasi pada browser/explorer. Melalui pihak ketiga (browser) maka ZLOB dapat dengan mudah menginfeksi komputer yang berbeda sistem operasi (seperti Windows atau Mac).
Trojan DNS.Changer biasa juga disebut TDSS, Tidserv, Alureon, Flush, dan Zlob. Varian ini sudah muncul sejak 2007 dan begitu terkenal di dunia pada tahun 2008 karena kemampuan merubah DNS Server pada komputer korban. Trojan.DNSChanger tidak hanya menginfeksi komputer Windows tetapi juga menginfeksi komputer Macintosh. Trojan ini memiliki cara kerja yang mirip dengan FakeAV karena merupakan salah satu keluarga dari varian malware ZLOB.
Pada Nopember 2011, trojan DNS.Changer muncul kembali dan menginfeksi ratusan ribu komputer di dunia hingga saat ini.
Gejala/Dampak Trojan.DNSChanger
Jika karena RUU ACTA bos besar MegaUpload (Kim DotCom) ditangkap oleh FBI karena dugaan penyimpanan konten-konten ilegal sehingga situs MegaUpload ditutup, dan kali ini internet "ditutup" karena server DNS sementara yang dipasang FBI akan dilepas.
Tahun lalu (tepatnya Nopember 2011) FBI telah menangkap 6 orang di Estonia yang diduga bertanggung jawab akan penyebaran sebuah trojan yang menginfeksi lebih dari 100 negara (ratusan ribu komputer di dunia). Dampak trojan ini yang akan menyebabkan DNS komputer dari pengguna internet berubah, dan pengguna internet secara tidak sadar akan mengakses situs/website yang berbeda/salah (walaupun terlihat sama dan mirip). Dengan cara ini maka pembuat malware akan dengan mudah mendapatkan informasi dari pengguna internet yang telah terinfeksi. Walau kelompok tersebut sudah ditangkap, tetapi karena banyak-nya pengguna komputer yang terinfeksi maka FBI memasang sementara server DNS yang diakses oleh pengguna komputer yang terinfeksi (hingga 8 maret 2012), sementara bagi pengguna internet yang sudah terinfeksi disarankan untuk segera membersihkan trojan tersebut dari komputer. Jika sudah melewati tanggal 8 Maret 2012, maka server DNS tersebut akan dimatikan oleh FBI, dan pengguna internet yang masih terinfeksi trojan tersebut tentunya tidak dapat mengakses internet.
Sejak Nopember 2011, hingga kini masih banyak pengguna komputer yang terinfeksi oleh malware ini yang diidentifikasi sebagaiTrojan.DNSChanger.
Varian Keluarga ZLOB
Keluarga ZLOB merupakan salah satu kelompok trojan/backdoor yang dirancang untuk menginfeksi sistem komputer memanfaatkan kelemahan aplikasi pada browser/explorer. Melalui pihak ketiga (browser) maka ZLOB dapat dengan mudah menginfeksi komputer yang berbeda sistem operasi (seperti Windows atau Mac).
Trojan DNS.Changer biasa juga disebut TDSS, Tidserv, Alureon, Flush, dan Zlob. Varian ini sudah muncul sejak 2007 dan begitu terkenal di dunia pada tahun 2008 karena kemampuan merubah DNS Server pada komputer korban. Trojan.DNSChanger tidak hanya menginfeksi komputer Windows tetapi juga menginfeksi komputer Macintosh. Trojan ini memiliki cara kerja yang mirip dengan FakeAV karena merupakan salah satu keluarga dari varian malware ZLOB.
Pada Nopember 2011, trojan DNS.Changer muncul kembali dan menginfeksi ratusan ribu komputer di dunia hingga saat ini.
Gejala/Dampak Trojan.DNSChanger
- Tidak bisa mengakses situs/website keamanan dan situs/website tertentu
Gambar 1, Trojan DNSchanger mengakibatkan bloking pada situs Google.com
- Dapat mengakses situs/website, tetapi berbeda/salah (walau terlihat sama dan mirip)
Cara
ini digunakan oleh varian malware FakeAV agar pengguna yang terinfeksi
mengakses situs/website yang telah disiapkan dan berharap pengguna
internet dapat dikelabui dan mendapatkan informasi yang dimiliki
pengguna komputer.
- Koneksi internet lambat
Hal
ini dikarenakan koneksi internet melalui DNS yang telah dirubah dan
aktivitas internet yang justru digunakan Trojan.DNSChanger untuk
melakukan broadcast, sinkronisasi, update dan download malware pada
server pembuat malware.
- DNS komputer berubah
Secara
otomatis DNS komputer akan dialihkan pada beberapa IP Address yang
telah ditentukan pembuat malware. Hal ini yang menyebabkan pengguna
internet tidak sadar bahwa DNS komputer telah berubah.
Beberapa IP Address yang digunakan diantaranya :
- 85.255.112.0 - 85.255.127.255
- 67.210.0.0 - 67.210.15.255
- 93.188.160.0 - 93.188.167.255
- 77.67.83.0 - 77.67.83.255
- 213.109.64.0 - 213.109.79.255
- 64.28.176.0 - 64.28.191.255
Metode Penyebaran Trojan.DNSChanger
Pembuat malware Trojan.DNSChanger melakukan penyebaran melalui berbagai cara yang dilakukan persis dengan metode FakeAV melalui internet.
- Melakukan posting pada komentar sebuah blog, posting pada forum-forum komunitas, dan aktif posting pada milis dan jejaring sosial.
Dengan
cara ini pembuat malware mencoba mengirim sebuah link URL yang
diarahkan untuk menuju situs tertentu yang telah disisipkan
Trojan.DNSChanger.
- Membuat situs palsu dan mengeksploitasi situs tertentu.
Dengan
cara ini pembuat malware akan menyisipkan script malware pada situs
yang dibuat sehingga pengguna internet yang tidak sengaja mengakses
situs ini akan mendowload Trojan.DNSChanger. (lihat gambar 2)
Gambar 2, Contoh situs yang telah disispi DNSchanger
Jika Trojan.DNSChanger telah berhasil didownload melalui browser/explorer, maka memanfaatkan celah browser akan langsung terinstall/aktif secara otomatis. Disinilah Trojan.DNSChanger akan aktif dan melakukan aksinya.
Selama anda aktif menggunakan internet via browser (IE, Firefox,dll), maka selama itu pula komputer anda akan berjalan melalui DNS Server yang telah dirubah oleh Trojan.DNSChanger. (lihat gambar 3)
Tips Memastikan komputer anda tidak terinfeksi Trojan.DNSChanger
** (Lakukan salah satu saja, tidak perlu lakukan semua langkah ini)
- Cek DNS komputer via Command Prompt
- Pada Start Menu [All Programs] [Accessoris] [Command Prompt] (atau ketik CMD pada Menu RUN).
- Pada Command Prompt, ketik : ipconfig/all
- Pastikan DNS Server anda tidak berubah. (lihat gambar 4)
Gambar 4, Cek DNS komputer dari command prompt dengan mengetikkan “ipconfig /all”
- Cek DNS komputer via Network Connection
- Klik Kanan pada “Local Area Connection” pada taskbar dan pilih “Status”.
- Pada “Local Area Connection Status”, klik pada tab “Support” dan klik “Details”.
- Pastikan DNS Server anda tidak berubah. (lihat gambar 5)
Gambar 5, Cek DNS dari “Network Connection”
- Cek file Host
- Pada [Start] Menu [All Programs] [Accessoris][Command Prompt] (atau ketik notepad pada Menu RUN).
- Pada Notepad, klik File Open. Akses ke C:\WINDOWS\system32\drivers\etc.
- Pada “Files of type” rubah jadi “All Files”. Pilih “hosts” dan klik Open.
- Pastikan HOSTS file anda tidak berubah. (lihat gambar 6)
Gambar 6, Cek DNS dari Hosts file Windows.
- Cek konfigurasi browser
- Pada Internet Explorer, dapat diakses pada Tools Internet Options. Pada tab “Connection”, klik pada “Lan Settings".
- Pada Mozilla Firefox, dapat diakses pada Tools Options. Pada tab “Advanced”, klik tab “Network”, dan klik “Settings”.
- Pada Google Chrome, pada Customize and control… Options Under the Hood. Pada tab Network, klik “Change Proxy Setting”.
- Pastikan konfigurasi browser anda tidak berubah. (lihat gambar 7)
Gambar 7, Cek konfigurasi Browser
- Cek DNS pada router
Bagi anda yang menggunakan jaringan korporat, sebaiknya lakukan pula pengecekan pada DNS yang ada pada router/firewall anda.
- Cek IP Address anda dengan mengunjungi situs : www.dns-ok.us (lihat gambar 8)
Gambar 8, Situs untuk mengecek IP terinfeksi DNSchanger
Tips Mencegah Trojan.DNSChanger
- Aktifkan Windows Firewall atau gunakan software firewall yang lain. Hal ini untuk mencegah dari akses yang tidak di-inginkan.
- Pastikan komputer sudah mendapatkan update terbaru dari system Windows. Untuk mempermudah gunakan update otomatis dari system seperti "Automatic Updates". Atau bisa juga dengan men-download patch terbaru dari website Microsoft.
- Gunakan antivirus yang selalu terupdate dengan baik. Hal ini untuk mempermudah terhadap varian-varian dari malware yang baru.
- Pastikan aplikasi yang digunakan juga sudah terupdate, terutama aplikasi browser, chat/messenger dan aplikasi email.
- Install aplikasi tambahan yang melindungi browser anda dari penyebaran malware Trojan.DNSChanger. Salah satunya adalah Gdata Cloud Security untuk melindungi aktivitas browsing anda yang dapat di download secara gratis dari http://www.free-cloudsecurity.com/. (lihat gambar 9)
Gambar 9, G Data Cloud Security yang membantu memblok situs berbahaya
- Berhati-hati saat membuka file attachment e-mail atau saat menerima transfer file dari orang yang tidak dikenal. Pastikan selalu di scan dengan antivirus yang terupdate. Dan juga berhati-hati terhadap link URL yang disertakan pada email. Informasikan kepada pengirim email mengenai link URL yang dikirimkan.
- Berhati-hati terhadap program crack/keygen atau program-program yang tidak dikenal. Karena bisa saja sudah terinfeksi atau mengandung malware.
- Berhati-hati saat mengakses sebuah website atau forum yang menyediakan link-link tertentu untuk di-download atau di-install.
- Jika anda merasa sudah terinfeksi, sebaiknya lakukan perubahan seluruh password yang digunakan terutama yang berhubungan dengan internet seperti email, online-banking, jejaring social, chat/messenger dan lain-lain.
Sumber: http://www.smkn2tmg.net/2012/07/cara-jitu-menumpas-trojandnschanger.html
0 Komentar untuk "Cara Jitu Tumpas TROJAN"
coment anda sangat bermanfaat.......