Ya conficker inilah yang sejak akhir tahun 2009 lalu banyak berkeliaran di network yang gue supervise.
Pada awalnya gue nggak begitu curiga karena terlihat normal dengan menggunakan protocol tcp dan dst-port 445 yang biasa digunakan samba [smb] untuk file transfer antar komputer via jaringan. Tapi setelah diamati kok dari destination address nya IP luar dan random [broadcast] mulai curiga dan karena sudah mengganggu maka untuk sementara IP sumber nya gue drop dulu.
Gambar di atas adalah aktivitas si conficker di Network SMK Negeri 2 Cikarang Barat.
Dia [conficker-pen] broadcast ke server luar dengan dst-address random. Tujuannya kemungkinan adalah scanning port-port dari server-server tersebut untuk mencari celah yang bisa disusupi.
Variant dari virus ini adalah conficker A, B, C, D dan E nah variant E inilah yang paling powerfull dia memiliki defense dengan cara:
-Blocks DNS lookups
-Disables AutoUpdate
-Kills anti-malware
-Scans for and terminates processes with names of anti-malware, patch or diagnostic utilities at one-second intervals
Pencegahan Untuk mencegah virus ini di Mikrotik RouterOS Gue buat filter rules via console sbb:
ip firewall filter add chain=forward protocol=tcp dst-port=445 action=drop Demikian ulasan Saya mengenai conficker ini mohon maaf jika kurang mendalam, maklum accidentally network admin :D
No comments:
Post a Comment