Symantec Security Menjawab Ancaman Rootkit Tmphider

Thursday, 22 July 2010

Symantec

Symantec Security
telah menerima beberapa pertanyaan mengenai ancaman rootkit baru yang disebut “Tmphider atau Stuxnet.” Ancaman yang belum lama ditemukan tersebut telah mencuri perhatian karena menggunakan teknik yang belum pernah ditemui sebelumnya dan disebarkan melalui drive USB.

Symantec Security telah mengumpulkan beberapa pertanyaan yang kami terima beserta jawaban Symantec Security yang terbaru. Analisis ancaman tersebut masih dilakukan dan Symantec Security akan mengupdate blog ini, dengan informasi yang lebih lengkap jika diperlukan.

T) Apakah saya terlindungi dari ancaman ini?

J) Benar. Symantec Security menambah deteksi untuk ancaman ini pada 13 Juli. Ancaman ini terdeteksi sebagai W32.Temphid, Anda dapat membaca beberapa rincian mengenai ancaman tersebut di sini.

T) Saya mendengar ada banyak file yang berkaitan dengan ancaman ini. Apakah ada informasi rinci?

J) Benar. Terdapat banyak file yang berkaitan dengan ancaman ini. File-file tersebut terdiri dari threat installer dan komponen rootkoit. Keduanya terdeteksi sebagai W32.Temphid. Berikut beberapa nama file dari komponen-komponen tersebut

* ~WTR4141.tmp
* ~WTR4132.tmp
* Mrxcls.sys
* Mrxnet.sys

Selain itu, ancaman tersebut menciptakan file shortcut/link yang berkaitan di dalam sistem. Berikut ini adalah beberapa contoh:

* Copy of Shortcut to.Ink
* Copy of Copy of Shortcut to.lnk
* Copy of Copy of Copy of Shortcut to.lnk
* Copy of Copy of Copy of Copy of Shortcut to.lnk

W32 Stuxnet Hits

T) Siapa yang menjadi target dari ancaman ini?

J) Meskipun analisis Symantec Security masih terus berlanjut dan melihat bahwa banyak sekali PC di Asia Tenggara yang menjadi target dari ancaman ini, berikut adalah rincian informasi mengenai negara-negara yang menjadi target ancaman:
Kategori “Others” merupakan daftar dari 50 lebih negara, tapi peluang munculnya ancaman ini sangat kecil.

T) Apakah ancaman ini memanfaatan celah keamanan (vulnerability) baru yang tidak ditambal (zero-day)?

J) Ancaman tersebut memanfaatkan celah keamanan yang belum pernah ditemui sebelumnya dan disebarkan menggunakan drive yang dapat dipindah-pindah. Celah keamanan ini telah dikonfirmasi oleh Microsoft yang telah merilis security advisory untuk masalah ini.

W32 Stuxnet Hits

T) Apakah Anda tahu platform OS yang menjadi target serangan?

J) Data kami di lapangan menunjukkan beberapa versi Windows yang menjadi target serangan file berbahaya ini. Meskipun demikian, tidak semua versi yang memiliki celah keamanan terhadap eksplotasi ini dimanfaatkan untuk penyerangan.

T) Apakah ancaman yang dibicarakan mengandung rootkit? Apa yang disembunyikan oleh rootkit tersebut?

J) Benar. Ancaman tersebut memiliki komponen rootkit yang digunakan untuk menyembunyikan dua jenis file:

1. Semua file yang diakhiri dengan ‘.Ink’
2. Semua file yang dimulai dengan ‘~WTR’ dan diakhiri dengan ‘.tmp’.

Ancaman tersebut memiliki rootkit mode pengguna dan kernel. File-file ‘.sys’ yang disebutkan di atas digunakan dalam mode kernel. File-file ‘.tmp’ digunakan untuk menyembunyikan file-file melalui mode pengguna.
Hal ini berarti, ketika sebuah sistem terinfeksi, Anda tidak akan dapat melihat file-file yang disalin ke dalam drive USB karena file-file tersebut disembunyikan oleh rootkit. Meskipun demikian, produk kami masih akan mendeteksi file-file ini.

T) Apakah dampak ancaman tersebut?

J) File-file link yang disebutkan di atas merupakan bagian dari eksploit dan digunakan untuk memasukkan ~WTR4141.tmp dan kemudian ~WTR4132.tmp. Ancaman tersebut memiliki berbagai macam fungsi. Analysis kami mengenai fungsi-fungsi tersebut kini masih berlangsung; meskipun demikian, kami dapat mengkonfirmasikan bahwa saat ini ancaman tersebut menggunakan beberapa DLL dari Siemens untuk produk ‘Step 7’ untuk mengakses sistem ‘SCADA’. Ancaman tersebut menggunakan username dan password yang telah ditetapkan untuk terkoneksi ke database yang berkaitan dengan sistem SCADA guna memperoleh file dan menjalankan berbagai queries untuk mengumpulkan informasi. Ancaman tersebut juga mengumpulkan informasi lain yang berhubungan dengan konfigurasi server dan jaringan.

T) Apakah Anda mendeteksi file .lnk yang digunakan dalam serangan ini?

J) Benar, Symantec Security telah merilis sebuah signature set yang dirancang untuk mendeteksi file-file .lnk yang digunakan dalam serangan ini. File-file ini akan dideteksi sebagai W32.Temphid dari definisi Rapid Release pada 16 Juli 2010 revisi 035 dan sesudahnya.

T) Apakah menon-aktifkan Autoplay akan melindungi kami dari ancaman ini?

J) Sayangnya tidak. Worm ini mengeksploitasi celah keamanan yang baru ditemukan dan belum ditambal dan cara kerjanya sama seperti Windows Explorer menangani file-file .lnk. Fitur ini tidak ada kaitannya dengan Autoplay sehingga menon-aktifkan Autoplay tidak akan membantu mencegah infeksi worm dalam serangan ini. Secara umum, menon-aktifkan AutoPlay merupakan ide yang bagus.

Tags: Endpoint Protection (AntiVirus), Malicious Code, Rootkit, Security, Security Response, Symantec, Tmphider, Vulnerabilities & Exploits, W32.Stuxnet, W32.Stuxnet!lnk, w32.temphid, zero-day vulnerability

[Source]

0 komentar:

Post a comment

Insert Ur Comment!

 
 
 
eXTReMe Tracker