Logo

Menu
    DAMPAK TERMINASI DNS SERVER DARI DNSCHANGER
    Feb. 29, 2012, 4:45 a.m. Posted by: indra

    Harap mewaspadai dan melakukan pengecekan rutin.

    Baru-baru ini, Information Security News melaporkan bahwa FBI (Federal Bureau Investigation) Amerika akan menutup DNS (Domain Name Server - Note 1) yang berhubungan dengan DNSChanger Botnet pada tanggal 8 Maret.

    Apa dampak dari insiden ini pada para pengguna Internet?

    HKCERT (Hong Kong Computer Emergency Response Team Coordination Center) akan memberikan informasi latar belakang DNSChanger, metode untuk mendeteksi apakah komputer terkena atau tidak, dan solusi bagi pengguna yang

    terkena untuk bagaimana cara mengatasinya tepat pada waktunya.

    Latar Belakang

    Malware botnet DNSChanger memiliki lebih dari 2000 varian (Ref 1). Diperkirakan sekitar 4 juta lebih komputer di seluruh dunia yang terkena virus ini pada lebih dari 100 negara. Botnet ini diyakini dioperasikan oleh sebuah perusahaan IT bernama Rove Digital di Estonia sejak tahun 2007, sampai kelompok pelaku cyber crime ini ditahan/dipenjara pada tahun 2011 (Ref 2).

    Apa Dampaknya bila terkena DNSChanger ini?

    Malware DNSChanger ini terutama akan tersebar saat seorang user mengakses situs web tertentu atau men-download software viewer video online dan kemudian akan terkena malware ini. Malware DNSChanger diam-diam akan mengubah setting-an DNS pada komputer yang terkena, mengarahkan ke DNS server yang dibuat oleh kelompok pelaku cyber crime agar mereka bisa sepenuhnya mengontrol DNS untuk diarahkan ke IP address yang diinginkan. Kelompok pelaku cyber crime ini dapat menggunakan botnet DNSChanger untuk mengarahkan user mengakses situs web tertentu yang tidak dikenal, termasuk mengganti iklan-iklan pada situs-situs web yang dituju pengguna untuk men-generate click-fraud atau memasang/ menyusupkan software jahat lainnya.

    Mengapa 8 Maret?

    Pada November 2011, dalam "Operasi Ghost Click" (Ref 3), FBI berhasil menutup Botnet DNSChanger. Menurut perintah pengadilan, untuk menghindari komputer-komputer yang terkena malware itu kehilangan koneksi internet secepatnya, FBI diberi kuasa penuh untuk men-set sejumlah DNS server sementara untuk menjaga layanan-layanan DNS bagi para korban untuk menyelesaikan masalah ini dalam waktu 120 hari.

    Perintah pengadilan ini akan berakhir pada 8 Maret 2012. Apabila FBI memutuskan untuk menutup DNS server sementara ini sesuai jadwal, maka beberapa juta bot DNSChanger di seluruh dunia akan terputus koneksi internetnya. Untuk menangani masalah ini dengan benar dan tepat, kita harus membantu korban-korban tersebut untuk membersihkan malware itu

    secepat mungkin.

    Apakah (Komputer) Saya terkena?

    Malware DNSChanger dapat menjangkiti sistem operasi Microsoft Windows dan Apple Mac OS X. Malware ini juga mencoba untuk menggunakan login name dan password default pada router di kantor kecil atau broadband di rumah untuk menyusup dan mengubah setting DNS-nya. Untuk mengecek apakah komputer anda atau router broadband anda terkena malware ini atau tidak, anda dapat menggunakan 2 metode berikut ini:

    Metode 1 - Gunakan DCWG EyeChart:

    Buka web browser (misalnya Internet Explorer, Firefox, Chrome, atau Safari) untuk mengakses situs testing yang disediakan oleh Kelompok Kerja DNS Changer (DCWG: DNS Changer Working Group) (Ref 3):

    •    http://dns-ok.us

    •    http://dns-ok.de

    •    http://dns-ok.ax/index_en.html

    •    http://dns-ok.fi/index_en.html

    Apabila hasil test berwarna hijau, maka komputer anda normal.

    Apabila hasil test berwarna merah, maka setting DNS server dari komputer anda atau router broadband anda diarahkan ke server jahat yang dikenal.

    Direkomendasikan untuk mengikuti instruksi pada "Bagaimana mengatasi/menangani komputer dan broadband router yang terjangkiti" untuk pemeriksaan lebih detil.

    Metode 2 - Cek Manual:

    1. Cari IP address-nya DNS server

    Komputer:

    Ikuti instruksi pada halaman web DCWG di bawah ini, pilih sistem operasi-mu dan ikuti langkah-langkahnya untuk cek IP address dari DNS server-mu saat ini. http://www.dcwg.net/checkup.html

    Broadband Router:

    Untuk cek IP address-nya DNS server yang digunakan oleh broadband router-mu, silahkan merujuk pada dokumentasi yang disediakan oleh vendor.

    2. Cek apakah IP address-nya DNS server digunakan oleh DNSChanger

    Masukkan IP address yang ditemukan pada pengecekan sebelumnya pada halaman web tool checking online yang disediakan oleh FBI. https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS

    Bila hasilnya adalah "IP anda terhubung pada satu DNS server jahat yang dikenal", artinya setting DNS server komputer atau broadband router anda diarahkan ke server jahat yang dikenal. Direkomendasikan untuk mengikuti instruksi pada "Bagaimana mengatasi/menangani komputer dan broadband router yang terjangkiti" untuk pemeriksaan lebih detil.

    Bagaimana mengatasi/menangani komputer dan broadband router yang terjangkiti?

    Komputer

    1. Disarankan untuk me-restore setting DNS komputer yang terjangkiti untuk mendapatkan settingan lama dengan otomatis. Silahkan kontak ISP atau admin IT kantor anda untuk mendapatkan bantuan.

    2. Selama komputer terjangkiti malware DNSChanger usahakan untuk tidak meng-update sistem dan database software security. Malware ini memperlemah perlindungan security-nya dan dapat menyebabkan terjangkiti dengan malware lainnya, jadi anda harus melakukan scanning malware yang menyeluruh pada komputer anda.

    i. Microsoft Windows

    Anda dapat menggunakan Malware Scanner yang free (edisi online) via URL yang tercantum pada situs web HKCERT untuk pengecekan dan membersihkan komputer anda. https://www.hkcert.org/security-tools

    ii. Apple Mac OS X

    Anda dapat meng-install malware scanner yang free berikut ini untuk pengecekan dan membersihkan komputer anda.

    http://download.cnet.com/mac/antivirus-software/?filter=licenseName%3DFree

    3. Setelah dibersihkan, gunakan lagi metode test di atas untuk meyakinkan apakah setting DNS server sudah normal atau belum.

    Broadband Router

    Disarankan untuk mengikuti dokumentasi yang disediakan oleh vendor untuk me-reset setting-an DNS server dan mengubah password akun admin yang default.

    Referensi:

    1. http://www.paloaltonetworks.com/researchcenter/2012/02/dnschanger-rogue-dns-servers-taken-down/

    2. http://blog.trendmicro.com/esthost-taken-down-biggest-cybercriminal-takedown-in-history/

    3. http://www.fbi.gov/news/stories/2011/november/malware_110911/malware_1109113

    4. http://www.dcwg.net

    Catatan:

    DNS (Domain Nama System): Suatu database terdistribusi dari nama-nama domain dan IP address yang saling terpetakan, membuat orang lebih nyaman mengakses Internet, tanpa perlu mengingat IP address yang rumit dan tidak mudah.

    --

    ------------------------------------------------------------------------ 

    SEND YOUR INCIDENT REPORTS TO: <cert@cert.or.id>

    -----------------------------------------------------------------------------------------

    KIRIMKAN KOMPLAIN INTERNET ABUSE YANG TERJADI,KE: <cert@cert.or.id> 

    ________________________________________________________________________ 

    AHMAD KHALIL ALKAZIMY,ST 

    INCIDENT RESPONSE TEAM 

    INDONESIA COMPUTER EMERGENCY RESPONSE TEAM 

    (ID-CERT) 

    http://www.cert.or.id/ 

    SKYPE/YM ID: ahmadkaz 

    HP: (+62)83-874-9292-15 

    ========================================================================

    https://www.hkcert.org/my_url/en/blog/12022901


    https://www.hkcert.org/my_url/en/blog/12022901