Generic Host Process (GHP) error

Posted by kabayan | 04:39 | , | 0 comments »

(RPC Dcom part III - Conficker)

Setiap hari ribuan virus baru di sebarkan diseluruh dunia, tetapi hanya beberapa yang mampu menyebarkan dirinya dengan sukses dan menginfeksi ribuan sampai jutaan komputer di seluruh dunia. Ada apa dibalik kesuksesan penyebaran virus ?
Virus yang berhasil menyebar dengan sukses bukan virus paling ganas atau paling rumit, melainkan virus yang paling populer. Dalam konteks penyebaran virus, virus akan menjadi populer jika ia mampu “membuat” dirinya diaktifkan di sebanyak mungkin komputer.
Caranya adalah dengan mengeksploitasi celah keamanan, memanfaatkan kelemahan sistem yang ada dan terakhir yang menjadi keahlian pembuat virus lokal, rekayasa sosial.
Hal yang sama juga kita temui pada dua virus mancanegara yang sama-sama jagoan. Mengeksploitasi celah keamanan yang sama, codingnya sama-sama rumit dan dibuat dengan tingkat ketrampilan pemrograman tinggi, bahkan yang pertama diluncurkan lebih dahulu. Tetapi nyatanya virus pertama saat ini kalah populer dengan virus kedua, hanya karena ia tidak memanfaatkan penyebaran melalui jaringan lokal juga dan mengandalkan internet saja untuk menyebarkan dirinya. Kedua virus yang sedang wara wiri di internet saat ini adalah Gimmiv yang saat ini penyebarannya menurun dan dikalahkan oleh virus pendatang baru Conficker atau juga dikenal dengan nama Downadup. Kedua virus ini mengeksploitasi celah keamanan RPC Dcom.

Pada awalnya, patch RPC Dcom yang pertama di release pada bulan Agustus 2003 khusus untuk menghadapi serangan virus Lovsan atau lebih terkenal dengan nama Blaster. Patch RPC Dcom dengan kode MS03-039 awal tersedia di http://support.microsoft.com/kb/824146 dan secara efektif berhasil menghalau dan menghentikan virus Blaster.

Dan ini rupanya bukan akhir cerita eksploitasi RPC Dcom karena pada April 2004 Microsoft kembali mengeluarkan patch MS04-012 http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx karena ada beberapa spyware yang diketahui mengeksploitasi celah keamanan ini seperti W32/Rbot.AWJ. Hebatnya lagi, Rbot.AWJ rupanya tidak hanya mengeksploitasi celah keamanan MS04-012 tetapi segambreng celah keamanan lain seperti MS04-011 (LSASS), MS03-007 (WebDav), MS04-011, CAN-2003-0719 (IIS5SSL), MS01-059 (UPNP), CAN-2003-1030 (Dameware Mini Remote Control), MS04-007 (ASN.1), MS05-039 (PNP). Setelah dua kali dieksploitasi, tahun 2008 ini celah keamanan RPC Dcom kembali di “oprek” dan dieksploitasi dengan cara lain sehingga Microsoft buru-buru mengeluarkan tambalan / patch MS08-067 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.

Seberapa parah celah keamanan RPC Dcom part III ini ?
Jika anda pemain game komputer, berbeda dengan film-film Hollywood yang umumnya sekuelnya kalah sukses dengan film pertamanya. Game komputer dengan seri makin tinggi pada umumnya makin canggih dan makin menarik perhatian gamer dan selalu berhasil mengalahkan game pertamanya. Contohnya adalah game Warcraft III yang jelas lebih bagus dari Warcraft I, atau Civilization IV yang tentu lebih menyenangkan dimainkan ketimbang Civilization I dst. Celakanya, celah keamanan RPC Dcom ini juga mengikuti jejak game komputer. Tidak seperti celah keamanan RPC Dcom awal, celah keamanan RPC Dcom part III ini bukan saja mampu mengeksploitasi celah keamanan di Windows XP Service Pack 3 dan Windows Server 2003 Service Pack 2, tetapi Windows Vista dan Windows Server 2008 juga rentan terhadap ancamana celah keamanan ini. Bahkan gilanya Windows 7 Pre Beta juga rentan terhadap eksploitasi celah keamanan RPC Dcom III ini.

Ciri komputer / jaringan terserang Conficker
Jika mendadak komputer anda mendapatkan pesan Generic Host Process (GHP) Error dan setelah itu koneksi internet dari komputer tersebut mati, maka kemungkinan besar jaringan komputer anda sudah tercemar oleh Conficker.
Penyebabnya bukanlah komputer yang menampilkan pesan GHP error tersebut, melainkan karena (minimal) salah satu komputer di jaringan anda sudah terinfeksi Conficker dan secara otomatis melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua komputer yang rentan atau belum di patch MS 06-037.
Jika ada komputer yang berhasil di infeksi, maka Conficker akan melakukan beberapa rutin canggih antara lain:
  1. Melumpuhkan System Restore. Conficker akan melumpuhkan System Restore dengan cara mereset “Restore Point” guna mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point. System Restore adalah fasilitas “Mesin Waktu” yang tersedia di beberapa OS Windows seperti ME, XP dan Vista yang berfungsi sebagai backup system OS dan dapat membantu mengembalikan setting komputer pada keadaan normal jika suatu saat terjadi kesalahan instal program yang tidak diingini ataupun karena terinfeksi virus.
  2. Membuat HTTP Server. Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) bagi jaringan lokal. Jika ada komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch, maka ia akan mencoba menyerang dan jka berhasil maka komputer korbannya akan mendownload ke HTTP server yang dibuat tadi untuk mendownload file virus dan menjalankannya. Selain itu, dalam aksinya ini Conficker menyebabkan matinya Internet connection Sharing.
  3. Melakukan patch pada komputer korbannya. Setelah berhasil menginfeksi komputer korbannya, Conficker akan melakukan patching pada komputer korbannya, jangan berterimakasih dulu kepada virus ini. Tujuannya melakukan patch adalah untuk mencegah infeksi ulang yang malahan akan mengakibatkan komputer tidak stabil sehingga tidak bisa mencari korban baru.
  4. Download File untuk update dirinya. Conficker meniru antivirus akan berusaha mendownload file (kemungkinan updatenya di masa depan) ke beberapa website yang telah disiapkan daftarnya (250 domain) dengan tujuan mempersulit vendor antivirus untuk memblok domain-domain update tersebut satu persatu. Domain-domain tersebut antara lain : (download disini, untuk melihat daftar domain tersebut)
Langkah Pencegahan
Jika komputer anda menampilkan pesan adanya virus Conficker secara berulang-ulang meskipun sudah dibersihkan oleh antivirus anda, pertama-tama yakinkan bahwa virus tersebut tidak aktif di komputer anda. Caranya adalah dengan memutuskan hubungan komputer ke jaringan. Jika setelah hubungan ke jaringan diputuskan infeksi virus terhenti, maka artinya sumber virus bukan dari komputer anda melainkan dari “salah satu” komputer di jaringan. Karena itu anda harus mencari sumber penyebar conficker di jaringan sebelum mengkoneksikan komputer anda. Logikanya, semua komputer yang belum di patch RPC Dcom 3 dan terhubung ke jaringan dimana ada satu komputer saja yang terinfeksi virus conficker akan terinfeksi conficker dalam waktu singkat, kecuali komputer-komputer tersebut di lindungi oleh Firewall yang memproteksi port :
  • UDP Port 135, 137, 138 dan 445
  • TCP Port 135, 139, 445 dan 593
Cara terbaik adalah melakukan pekerjaan rumah anda patch SEMUA komputer yang OSnya rentan terhadap celah keamanan RPC Dcom 3. Untuk mendapatkan detail patchnya silahkan download ke http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

READMORE »

Update Avira AntiVir (Offline Mode)

Posted by kabayan | 01:18 | 0 comments »

Update Avira AntiVir tidak harus dilakukan secara online aja lo, bagi yang tidak mempunyai koneksi internet alias offline, Avira Antivirus juga dapat diupdate melalui file IVDF (Incremental Virus Definition File). Yang perlu dilakukan adalah download AntiVir incremental VDF update (IVDF) (Unicode) ivdf_fusebundle_nt_en.zip (ukuran filenya sekitar 20 MBm bisa di-unduh di situs resminya ato www.majorgeeks.com)

File update ini berlaku untuk produk Avira Antivir Windows Professional, Avira AntiVir Premium, Avira Premium Security Suite dan Avira AntiVir Personal - Free Antivirus untuk Windows XP, 2000 dan Windows Vista.
Lakukan seperti langkah berikut ini:
  1. Setelah mengunduh file tersebut, terlebih dulu matikan semua service Avira yang aktif di memori.
  2. Pertama lakukan klik kanan pada icon Avira AntiVir dan klik AntiVir Guard enable untuk mematikan tanda ceknya.
  3. Matikan proses yang sedang berjalan dengan menggunakan freeware Process Explorer yang bisa diunduh dari www.sysinternals.com
  4. Cara mematikan service tersebut tinggal pilih nama Process/file yang kolom “Company Name” nya Avira avcenter.exe, avgnt.exe, avguard.exe Teruz pilih tombol Kill Process.
  5. Setelah itu ekstrak semua file ke lokasi Avira Antivir, biasanya di C:\Program Files\Avira\AntiVir PersonalEdition Classic (timpa or replace file yang namanya sama). Setelah itoe selesai restart Windows.
Untuk melihat hasil update, klik ganda pada icon Avira AntiVir di system tray dan klik tanda “+“ di sebelah tulisan Last Update.

READMORE »

bikin pako bot (jabber)

Posted by kabayan | 01:39 | 2 comments »

Buat temen-temen yang ingin tau, gimana sih caranya buat BOT ? ini salah satu artikel yang gw dapet dari tetangga sebelah (thankz to bro gansdul.. :D). kita akan cuba beberin disini, biar semua orang indo bisa naro bot di rum nya masing-masing… apaan aja seh yang diperluin buat ngaktifin sebuah bot?

Buat yang pertama ini gw coba njabarin gimana ngaktifin bot Pako yang bisa elo download di: pako.googlecode. Nah disitu bisa download pako versi berapa aja, tapi gw saranin sih ver si 8.6.6 aja… soalnya gw juga pake nyang ntu… hihihihih

Tapi sebelum elo bisa jalanin tuh bot abot, banyak yang mesti di kerjain mula-mula, kaya kudu mengunduh dulu .net Framework ver 2.0 (punya-nya mikocok> di http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5 nah gw juga gak paham dah buat apaan tuh framework? kagak usah betingkah, udah unduh aja tuh file trus di instal di komp elo nyang ada windowsnya.

kalo pakonya udah di download and frameworknya udah di instal, sekarang tinggal buka tuh pakonya, diekstrak lah bahasa kerennya. trus liet dah isinya kira2 ada oncomnya kagak? he he he he becanda aja neh si gansdul….

Tapi ntar dulu. elo mesti bikin akun baru di jabber, terserah pake jabber.ru atw jabber.cz atw yang lainnya, bikinnya ya terserah entah itu pake bombus atawa gajim pada pc. Yang penting entar elo inget itu NAMA akunnya dan PASSWORD nya….. itu aja (buat masukin di pakonya)

coba liet isi pako tadi ada apanya (oncom :) )?, di situ ada file pako tapi bukan yang gambar kambing. pako yang atunya lagi, trus elo buka pake wordpad biar enak dilihatnya.

Nah di dalem situ ada kata-kata:

# Main status message, which bot will use as default

#<status value=”hello” />

Itu yang tulisan merah ganti terserah misalnya : “cilandak rumah gue”


# Specifies JID (Jabber ID). which will be used to connect to Jabber-Server

#<jid value=”bot@jabber.dom/res” />

Ganti pake akun yang baru dibuat tadi misalnya: cilandak@jabber.ru/Pako_cilandak


# Main NickName, which bot will use as default, when entering chat-room

#<nick value=”pako_betawi” />

Ganti tuh nick terserah ente, nanti tuh nick jadi default setiap gabung di room yang minta joinin.


# Password, which bot will use to connect his JID to Jabber-Server

#<password value=”12345” />

Ganti passwordnya akun tadi


# Here you have to input the list of administartors of bot, using freespace

#<admins value=”jid1@jabber.ru jid2@jabber.cz jid3@somedom.com” />

Ganti ama akun si owner, dalam hal ini JID yang sering elo pake dah, bisa 3 akun


<——- BREAK DULU ————————- NGOPI DULU AH ! ———–>


……………………


# Sign, which will be used to type bots commands as prefix

#<prefix value=”$” />

Ganti ama prefix buat cmd bot ciri khas elo. Bisa .,!@#$%^&* ~ dan sebagainya… Save

Harus teliti yah … kurang salah-salah kata entar kagak bisa jalan tuh pako bot… nah buat confignya (pako.cfg) kira2 itu doang yang perlu dirubah.

Terus…terus….apalagi neh ? dah tanggung banget mas dul…eh don ! kwak… gw buka mas-mas!

Sekarang elu kamu ente buka dah tuh file yang ada di dalem namanya Rooms.base ada didalem folder Dynamic, kalo udah ketemu buka lagi pake program Wordpad bukan notepad, kenapa pake wordpad? Soalnya keliatannya lebih teratur daripada pake notepad yang keliatannya berantakan yang nanti bikin elo pushiiiiiiiiing aja!.

<rooms>

<room lang=”en” status=”hello” nick=”Pako2” jid=”room@conference.jabber.dom” /></rooms>

</amucs>

Ganti pako2 ama nama apa aja misalnya “Pako_gans”. Nama roomnya juga ganti ama room yang bakal elo masukin cilandak@conference.jabber.ru

pertama kali dia idup. Save!

Nah udah jadi dah file-file yang perlu elo benerin……..terus sekarang tinggal aktifin tuh pako yang ada gambar embenya! Kalo tadi gantinya nggak ada yang salah pasti sekarang tuh pako udah menclok di Room yang elo udah tetepin ke room mana, yah tentunya Komputer elo juga harus bisa konek ke internet.

Selamat mencoba ! kalo ada kekurangan mohon dibenerin, jangan disalahin… dan gua yakin banyak master jabber yang jadi kagak repot nerangin mulu… okeh

Sebenernya banyak juga file2 yanhg bisa elo kutak-katik, kaya file lang menjadi Indonesia, ataw file pendukung lainnya, tapi buat pemula gua kira cukup gini aja! Okeh…think simple aja.



author: Gansdul’s information

READMORE »

Subscribe to: Comments (Atom)