Rabu, 04 April 2012

DNSChanger Malware

DNS (Domain Name System) adalah layanan Internet yang mengubah nama domain user-friendly menjadi protokol Internet numerik (IP). Bila Anda memasukkan nama domain, seperti www.lpmpjateng.go.id, di bar alamat browser web Anda, komputer Anda akan kontak DNS server untuk menentukan alamat IP untuk website www.lpmpjateng.go.id. Komputer Anda kemudian menggunakan alamat IP untuk mencari dan menghubungkan ke situs web. DNS server ini dioperasikan oleh penyedia layanan Internet (ISP) dan termasuk dalam konfigurasi jaringan komputer Anda. DNS dan DNS Server adalah komponen penting dari operasi komputer Anda lingkungan tanpa mereka, Anda tidak akan dapat mengakses situs web, mengirim e-mail, atau menggunakan layanan Internet lainnya.

Penjahat telah belajar bahwa jika mereka dapat mengontrol penggunaan server DNS, mereka dapat mengendalikan di situs apa pengguna terhubung ke internet. Dengan mengendalikan DNS, seorang penjahat bisa mendapatkan pengguna yang tidak curiga untuk menghubungkan ke website palsu atau mengganggu browsing web online yang pengguna. Salah satu cara penjahat melakukan ini adalah dengan menginfeksi komputer dengan kelas perangkat lunak berbahaya (malware) yang disebut DNSChanger. Dalam skenario ini, kriminal menggunakan malware untuk mengubah pengguna pengaturan DNS server untuk menggantikan server baik ISP DNS dengan server DNS buruk dioperasikan oleh kriminal. Sebuah server DNS buruk dioperasikan oleh penjahat ini disebut sebagai server DNS jahat.

Akibat dari malware ini Berdasarkan keterangan yang diterima detikINET dari Indonesian Computer Emergency Response Team (ID-CERT), Selasa (6/3/2012), rencananya tanggal 8 Maret 2012, FBI akan melakukan pembersihan massal untuk virus DNSChanger dan penutupan sejumlah server DNS palsu.

Akibatnya, 4 juta komputer yang diduga sudah terinfeksi virus tersebut akan 'mati' sementara. Pengguna tak lagi bisa terhubung ke internet selama masa pembersihan, sedangkan komputer yang tak terinfeksi masih bisa melakukan aktivitas seperti biasa. (Sumber : http://inet.detik.com/read/2012/03/06/103710/1858824/323/basmi-virus-fbi-matikan-internet-jutaan-pc)

Sedangkan di Australia sendiri peringatan diberikan pada 10.000 pengguna yang kemungkinan akan tidak bisa mengakses internet setalah 8 Juli 2012 karena terjangkit Malware DNSChanger . Peringatan sudah disampaikan oleh otoritas setempat, Australian Communications and Media Authority (ACMA) seperti dikutip oleh Sydney Morning Herald. (Sumber : http://tekno.kompas.com/read/2012/04/01/07544257/Waspadai.Internet.Mati.Setelah.9.Juli)

Apa yang DNSChanger Lakukan ke My Computer?


Misalnya anda ingin membuka situs www.facebook.com, dengan mengetikan alamat itu di bar alamat browser maka browser akan melihat ke DNS server dan akan menemukan bahwa IP untuk www.facebook.com adalah 66.220.158.11, ketika komputer sudah terinfeksi dengan Mlaware DNSChanger maka DNS Server tidak akan memberikan alamat IP yang benar tetapi memberikan alamat IP yang salah yang menuju ke server jahat/palsu. Yang kemungkinan tampilan dan bentuknya sama. Jika itu terjadi maka yang selanjutnya adalah kita memasukan nama user dan password ke situs yang salah dan menyimpan data login kita untuk mencuri data. Bayangkan jika yang sedang kita buka adalah login ke bank atau layanan ecommerce. Bisa di salahgunakan data login kita nantinya.

Apakah saya terinfeksi?


Cara terbaik untuk menentukan apakah komputer Anda atau router SOHO telah dipengaruhi oleh DNSChanger adalah memiliki mereka dievaluasi oleh profesional komputer. Namun, langkah-langkah berikut dapat membantu Anda mengumpulkan informasi sebelum konsultasi seorang profesional komputer.



Untuk menentukan apakah komputer menggunakan server DNS nakal, perlu memeriksa pengaturan server DNS pada komputer. Jika komputer terhubung ke titik akses nirkabel atau router, pengaturan pada mereka perangkat harus diperiksa juga.
Jika Anda menggunakan komputer Windows XP, membuka prompt perintah. Hal ini dapat dilakukan dengan memilih Run dari Start Menu dan masuk cmd.exe atau memulai aplikasi command prompt, biasanya terletak di folder Aksesori dalam Program pada Start Menu Anda, jika menggunakan windows & atau Vista klik start kemudian ketikkan CMD, seperti terlihat di bawah ini :

Di command prompt ketikkan : ipconfig/all kemudian akan muncul setingan dari IP komputer anda, cari alamat DNS Servernya



Lihat apakah DNS Server anda masuk dalam kategori DNS Server nakal yang ada dalam tabel yang dikeluarkan fbi (http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf)



Cara yang lain untuk mengetahui apakah komputer/jaringan terkena DNSChanger, Buka web browser (misalnya Internet Explorer, Firefox, Chrome, atau Safari) kemudian akses salah satu situs di bawah ini.



  • http://dns-ok.us

  • http://dns-ok.de

  • http://dns-ok.ax/index_en.html

  • http://dns-ok.fi/index_en.html


Jika browser menampilkan warna hijau artinya komputer anda bebas dari dari malware DNSChanger.

Indikasi yang bisa kita jadikan acuan adalah jika pada saat kita membuka sebuah website resmi, seperti yahoo.com, facebook.com dan yang lainnya kemudian menemukan peringatan bahwa website yang akan kita buka tidak mempunyai sertifikat kemanan dan browser menolak untuk melanjutkan, ada kemungkinan komputer kita terkena Malware DNSChanger atau kita berada pada jaringan yang mempunyai DNS server yang tidak sehat.

Bagaimana mengatasi


Untuk saat ini ada dua kemungkinan, yang pertama komputer anda sudah terkana atau anda berada pada jaringan yang memiliki DNS Server yang tidak sehat. Jika komputer yang kena cara paling mudah adalah install ulang, sedangkan jika berada pada jaringan yang memiliki DNS server yang tidak sehat laporkan pada pengelola jaringan. (browsing lewat mbah google belum ketemu solusi, InsyaAllah akan di update jika ada informasi terbaru.)

1 komentar: