Print
Category: BugandVirusandWorm
Hits: 2392

Worm Conficker pertama kali dikesan pada November 2008. Sehingga kini telah terdapat banyak variant untuk worm ini semenjak dari variant pertama A, B, C, D dan terbaru E yang ditemui pada 7 April 2009. Worm ini menggunakan 3 langkah untuk merebak. Pertamanya, adalah mengeksploitasi vulnerablity (MS08-067) yang menjadi keutamaan. Seterusnya melalui Windows sharing service dan penstoran luaran seperti thumbdrive dan external harddisk.

Dari variant pertama sehingga yang terbaru, penciptanya sentiasa mempelajari sifat manusia dan PC seterusnya menggunakan tingkah laku manusia dan PC untuk menyebarkan worm ini walaupun 3 langkah di atas telah dapat diatasi oleh pengguna komputer. Dengan ini, telah pasti kemungkinan serangan Worm Conficker jenis baru akan muncul.

Serangan di pejabat saya dikatakan agak serius dan agak malang pada waktu itu, sokongan dari pihak yang berkaitan amatlah lambat. Pada waktu itu, apa yang dapat dilakukan adalah mengesan, membuang dan membaiki kerosakan yang dilakukan oleh worm ini tanpa sebarang pertahanan selepas itu untuk mendapatkan sebarang update pada antivirus. Kalau tidak silap, 2-3 bulan selepas itu, baru ada update dari antivirus tetapi sebelum itu, kami berhempas pulas membaiki masalah ini di semua komputer yang dijangkiti yang mana kebanyakkan dijangkiti melalui penstoran luaran.

Apa yang telah kami lalukan untuk mengatasi masalah ini, adalah tutup service Windows Sharing, port 139 dan 445. Ini telah kami laksanakan terlebih dahulu sebelum Conficker tercipta. Kerana service ini menjadi kegemaran pencipta worm dan virus untuk melancarkan payload yang bukan sahaja Conficker tetapi juga virus lain. Tetapi ini tidak menghalang virus ini terus merebak. Antivirus perlu mempunyai update terkini. Seterusnya, disable autorun pada komputer windows. Sila ke artikel sebelum ini berkenaan autorun/autoplay.

Walaupun serangan ini telah reda, di dalam 1 bulan masih ada 1 kes jangkitan. Oleh itu, saya cuba untuk mengesannya lebih awal. Dari laman SANS (http://isc.sans.org/diary.html?storyid=7195), menunjukkan beberapa langkah untuk mengesan worm ini melalui network.

  1. Kaedah SOPHOS

2. nmap

3. tcpdump

4. SNORT

5. P2P Conficker C scanner

Jika saya mempunyai banyak masa dalam minggu ini, saya akan pilih satu kaedah dan menjalankannya di dalam network pejabat saya. Saya akan cuba memberitahu keputusannya  nanti.


Lihat bagaimana Conficker merebak di seluruh dunia. http://www.team-cymru.org/Monitoring/Malevolence/conficker.html