Info

GarageBox.Org adalah laman teknologi dan perkara yang kami minati yang disampaikan mengikut perspektif kami sendiri dalam Bahasa Melayu. Jika ada idea baru yang masih belum diterbitkan di internet, kami akan sampaikannya dalam Bahasa Inggeris. Sebarang pertanyaan dan permintaan, sila hubungi kami di webmaster[a]garagebox.org .

 

GarageBox.Org is a website about technology and anything we like to do according to our perspective in Malay. If we have a new idea that still not publish in the internet, we will publish it in English. Any inquiry & request, please email us at webmaster[a]garagebox.org .

Pengesanan Worm Conficker PDF Print E-mail
Written by Mr Garage   
Sunday, 27 September 2009 11:25

Worm Conficker pertama kali dikesan pada November 2008. Sehingga kini telah terdapat banyak variant untuk worm ini semenjak dari variant pertama A, B, C, D dan terbaru E yang ditemui pada 7 April 2009. Worm ini menggunakan 3 langkah untuk merebak. Pertamanya, adalah mengeksploitasi vulnerablity (MS08-067) yang menjadi keutamaan. Seterusnya melalui Windows sharing service dan penstoran luaran seperti thumbdrive dan external harddisk.

Dari variant pertama sehingga yang terbaru, penciptanya sentiasa mempelajari sifat manusia dan PC seterusnya menggunakan tingkah laku manusia dan PC untuk menyebarkan worm ini walaupun 3 langkah di atas telah dapat diatasi oleh pengguna komputer. Dengan ini, telah pasti kemungkinan serangan Worm Conficker jenis baru akan muncul.

Serangan di pejabat saya dikatakan agak serius dan agak malang pada waktu itu, sokongan dari pihak yang berkaitan amatlah lambat. Pada waktu itu, apa yang dapat dilakukan adalah mengesan, membuang dan membaiki kerosakan yang dilakukan oleh worm ini tanpa sebarang pertahanan selepas itu untuk mendapatkan sebarang update pada antivirus. Kalau tidak silap, 2-3 bulan selepas itu, baru ada update dari antivirus tetapi sebelum itu, kami berhempas pulas membaiki masalah ini di semua komputer yang dijangkiti yang mana kebanyakkan dijangkiti melalui penstoran luaran.

Apa yang telah kami lalukan untuk mengatasi masalah ini, adalah tutup service Windows Sharing, port 139 dan 445. Ini telah kami laksanakan terlebih dahulu sebelum Conficker tercipta. Kerana service ini menjadi kegemaran pencipta worm dan virus untuk melancarkan payload yang bukan sahaja Conficker tetapi juga virus lain. Tetapi ini tidak menghalang virus ini terus merebak. Antivirus perlu mempunyai update terkini. Seterusnya, disable autorun pada komputer windows. Sila ke artikel sebelum ini berkenaan autorun/autoplay.

Walaupun serangan ini telah reda, di dalam 1 bulan masih ada 1 kes jangkitan. Oleh itu, saya cuba untuk mengesannya lebih awal. Dari laman SANS (http://isc.sans.org/diary.html?storyid=7195), menunjukkan beberapa langkah untuk mengesan worm ini melalui network.

  1. Kaedah SOPHOS
  • Sophos Client Firewall
  • Wireshark

2. nmap

3. tcpdump

4. SNORT

5. P2P Conficker C scanner

Jika saya mempunyai banyak masa dalam minggu ini, saya akan pilih satu kaedah dan menjalankannya di dalam network pejabat saya. Saya akan cuba memberitahu keputusannya  nanti.


Lihat bagaimana Conficker merebak di seluruh dunia. http://www.team-cymru.org/Monitoring/Malevolence/conficker.html
Last Updated on Sunday, 27 September 2009 12:12
 
You may send a trackback for this article by using the following Trackback link
Trackbacks provided by Trackback for Joomla




  
Twitter Digg Delicious Stumbleupon 

Custom Search



Slashdot