Bulan Desember 2008, versi Conficker B yang memiliki kemampuan menyebarkan dirinya melalui UFD (USB Flash Disk) menampakkan dirinya dan hasilnya sukses menginfeksi jutaan komputer di seluruh dunia.
Conficker A dan B memiliki salah satu payload utama membuat botnet yang akan menghubungi 250 situs internet acak yang akan mengandung perintah yang telah dipersiapkan sebelumnya oleh pembuatnya.
250 alamat situs ini tidak selalu sama dan karena sifatnya acak sehingga sangat cukup menyulitkan untuk diblok pada awal kemunculannya. Tujuan membuat botnet adalah untuk memiliki pasukan 'zombie cyber' yang bisa diperintahkan untuk melakukan apapun yang diperintahkan pembuatnya.
Di ranah internet, pasukan komputer yang terinfeksi botnet dapat diperintahkan untuk melakukan hal apa saja oleh pengontrolnya. Dari menyerang satu situs seperti melakukan Ddos sampai situs tersebut lumpuh, mencuri data dari komputer korbannya, menginfeksikan kembali dengan malware lain yang lebih jahat atau menjadikan sebagai komputer untuk melakukan aksi kejahatan lainnya.
Sebagai gambaran, kalau Anda memiliki komputer terinfeksi Conficker dan disuruh untuk men-Ddos situs Pak Lurah, dan anak buah Pak Lurahnya galak dan memperkarakan Anda, bisa-bisa Anda masuk bui walaupun tidak tahu apa-apa. Namun Anda tetap akan disalahkan karena ada bukti nyata di dalam log komputer dan ISP bahwa komputer Anda yang melakukan Ddos ke situs resmi Pak Lurah.
Jika pembuat Conficker ini berhasil mengakses situs-situs yang akan dihubungi oleh jutaan botnet Conficker, akibat yang ditimbulkan akan lebih mengerikan dari penyebaran aksi Conficker itu sendiri (yang sudah membuat pusing administrator dari jutaan komputer).
Jutaan komputer itu akan melakukan apa saja perintah yang diberikan oleh pembuat Conficker melalui situs-situs yang akan dihubungi ini. Ibarat senjata nuklir yang jatuh ke tangan orang jahat akan digunakan untuk aktivitas jahat dan tentunya harus dicegah.
Namun bagaimana mencegah suatu kejahatan yang akan dilakukan kalau penjahatnya (pembuat conficker) sangat licin dan belum berhasil ditangkap? Sementara komputer korban conficker sendiri sudah mencapai jutaan komputer.
Akhirnya CWG (Conficker working Group) dibentuk hanya untuk menghadapi Conficker melakukan langkah unik, mendaftarkan dan memblokir ratusan domain yang akan dihubungi oleh botnet Conficker sehingga pembuat Conficker ini tidak memiliki akses ke situs-situs yang akan dihubungi oleh botnet-botnet Conficker.
Botnet-botnet ini ibarat anak ayam kehilangan induk, namun kalau anak ayam biasanya cute, mungkin dapat kita katakan ibarat anak T-Rex kehilangan induk dan akhirnya ancaman Ddos oleh komputer-komputer korban Conficker A dan B ini tidak terwujud. Terimakasih untuk kepada CWG.
Lalu apakah ini merupakan akhir cerita dari Conficker?
Jangan lupa, kita baru sampai pada varian kedua Conficker dan masih ada 3 varian lagi yang belum kita bicarakan.
Pembuat Conficker kemudian mengirimkan Conficker.C. Dan kalau Conficker B berusaha menghubungi 250 domain secara random dan CWG harus bekerja keras memblokir 250 domain dalam setiap aksi Conficker A dan B, kali ini yang dihubungi oleh Conficker.C adalah 50.000 pseudodomain di seluruh dunia dan sekali lagi CWG harus bekerja keras melakukan blocking atas 50.000 pseudodomain ke 131 negara.
Dan kabar buruknya, mereka hanya memiliki waktu kurang dari 3 minggu sebelum Conficker.C menjalankan aksinya pada tanggal 1 April 2009.
Komunitas internet pun berdebar-debar menunggu tanggal 1 April 2009 apakah pembuat Conficker jadi menjalankan aksinya menyebarkan perintah serangan ke seluruh komputer yang terinfeksi Conficker. Beruntung, tanggal 1 April 2009 tidak terjadi kekacauan internet dan ancaman Conficker.C ini tidak terjadi.
Namun apakah hal ini merupakan keberhasilan CWG memblokir 50.000 pseudodomain dalam waktu kurang dari 3 minggu? Atau karena pembuat Conficker tidak berani menjalankan aksinya karena memang sudah hingar bingar ditambah lagi adanya serbuan pemburu hadiah USD 250.000 dari Microsoft?
Ciri-ciri komputer yang terinfeksi Conficker:
-. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.
-. Komputer mendapatkan pesan error Generic Host Process.
-. Komputer tidak bisa mengakses situs-situs sekuriti tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com dengan pesan 'Address not Found' tetapi jika situs-situs tersebut di akses dari alamat IP-nya akan bisa diakses.
-. Update definisi antivirus terganggu karena akses ke situs antivirus diblok.
-. Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000.
*) Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.
(ash/ash)