Bolehditerawang’s Blog

Worm Code Red termasuk salah satu worm yang cukup menarik dibandingkan dengan worm-worm yang beredar akhir-akhir ini, karena virus ini tidak lagi ditulis dalam bahasa script, tetapi merupakan sebuah compiled code base.

Nama “Code Red” ini sendiri bukanlah didasarkan dari signature dari worm ini, tetapi merupakan nama yang diberikan oleh tim eEye Security, penemu worm ini. Worm Code Red mengambil kesempatan dari sebuah lubang security lama di IIS/Index Server ISAPI.

Lubang ini akan memungkinkan hacker untuk mengambil alih sistem yang memakai IIS ini dalm konteks sekuritas local system. Dengan memperoleh konteks sekuritas local system, si hacker akan memiliki permission tak terbatas atau komputer itu, sehingga ia dapat saja melakukan format hard disk bila diinginkan.

Worm ini dikirim sebagai HTTP GET Request ke IIS dengan perintah yang dapat meng-eksploitasi hole ISAPI ini dan mulai menjalankan program worm ini. Code untuk worm ini tidak disimpan sebagai file di hard disk seperti halnya worm lainnya, tetapi disimpan di memori. Teknik ini menghilangkan kesempatan bagi anti virus untuk menyadari masuknya worm ini, tetapi juga sekaligus menjadi salah satu kelemahannya, seperti telah diberitakan, bahwa reboot akan menghilangkan worm ini dari server anda.

Penyebaran

Pada saat mulai diekseskusi, worm ini akan menciptakan 100 thread. Thread adalah satuan eksekusi logic yang independen dalam suatu program komputer. Semua thread yang diciptakan merupakan copy dari code base worm ini sendiri, sehingga akan melakukan semua hal persis dengan dirinya.

Thread 1-99 akan mencoba menyebarkan dirinya dengan cara mengirim HTTP GET Request ke 99 website secara acak. Dalam code ini, ada suatu kondisi penjagaan agar tidak mengirim Request ini ke alamat IP 127.*.*.*, yang merupakan alamat IP untuk localhost. Hal ini dilakukan untuk mencegah terjadinya infinite loop.

Deface

Thread ke-100 dipergunakan untuk melakukan deface terhadap website default di server IIS tersebut. Sebelum melakukan deface, worm ini akan mencek codepage dari sistem operasi Windows. Bila codepage yang didapat adalah 1033, maka deface akan dilakukan. Codce 1033 adalah codepage untuk bahasa Inggris.

Sama seperti cara penyimpanan sebelumnya, deface ini tidak dilakukan dengan mengubah file default.htm ataupun index.htm, tetapi caranya adalah dengan melakukan tehnik hooking terhadap ISAPI filter IIS itu sendiri (w3svc.dll).

Hooking merupakan suatu teknik yang mengubah code dalam memory untuk menunjuk ke lokasi code lainnya, yang dalam kasus ini adalah code worm ini sendiri, sehingga semua permintaan page akan memperoleh page kosong dengan tulisan:

Welcome to http://www.worm.com ! Hacked by Chinese!

Kemudian deface ini berlangsung selama 10 jam saja. Setelah 10 jam, hooking ini dihentikan dan website anda kembali seperti semula lagi sampai adanya serangan baru dari website lain. Hal ini bisa membingungkan webmaster yang kebetulan masuk pada jam-jam terakhir.

Kemudian worm ini akan mencari file C:\notworm. Bila file ini ada, maka worm ini akan menonaktifkan dirinya. File C:\notworm ini seakan-akan adalah penawar bagi worm ini.

Serangan ke Whitehouse

Bila masih aktif, worm ini akan melakukan pengecekan tanggal. Bila tanggal hari ini berada antara tanggal 20 dan 28 waktu GMT, maka worm ini mencoba melakukan koneksi soket ke alamat IP 198.137.240.91 port 80, alias www.whitehouse.gov. Bila ditemukan, maka paket data sebesar sekitar 100KB akan dikirim ke alamat tersebut byte per byte.

Setelah itu, thread ini akan tidur selama empat setengah jam. Setelah itu, thread akan diaktifkan dan mulai mencoba melakukan koneksi ke 198.137.240.91 dan mengirim 100KB lagi.

Dengan hitungan sekarang, bahwa telah ada setidaknya 100.000 server terinfeksi oleh “Code Red” ini, maka dalam waktu sebentar saja sudah akan terjadi DDoS di server whitehouse.gov pada khususnya dan Internet pada umumnya.

Bila ditemukan bahwa tanggal sistem berada di bawah tanggal 20, maka thread ini akan dipakai sebagai penyebar, seperti halnya ke-99 thread pertama.

Langkah penanggulangan

Tentu saja langkah penanggulangan yang paling ampuh adalah reboot server anda, kemudian lakukan instalasi patch IIS/Index Server pada server ini.

Administrator website www.whitehouse.gov telah memindahkan alamat IP mereka ke 198.137.240.92 mulai hari ini dan menonaktifkan alamat IP 198.137.240.91. Hal ini akan secara tidak langsung menonaktifkan serangan DDoS dari worm ini, karena bila worm ini tidak dapat melakukan koneksi ke 198.137.240.92:80, maka paket tidak akan dikirim.

Antisipasi serangan

Untuk menangkalnya, jalankan selalu peranti lunak antivirus pada komputer Anda. Jangan membuka kiriman data atau e-mail dari seseorang yang belum Anda kenal. Waspadalah selalu dengan kiriman e-mail atau data dari seseorang yang lembaganya atau orang tersebut adalah pihak yang tidak sedang menunggu kiriman e-mail dari Anda.

Jika Anda pemakai program Windows, setting komputer Anda dan sediakan sedikit ruang untuk file extensions . Jangan sekali-sekali membuka program apa pun yang berakhiran .exe., a .bat, a .vbs, atau file suatu dotcom yang dikirim balik melalui e-mail. Extension filenames ganda seperti kournikova.jpg.vba — a program Visual Basic seperti jpg image juga harus diwaspadai.