TDL4, Program Jahat Generasi ke-4 yang Gigih

Malware yang menyebar luas melalui internet dan flash disk saat ini dinilai tidak lagi merupakan aplikasi yang sekali muncul lalu mati. Program jahat ini juga beregenerasi dengan selalu muncul dalam bentuk dan varian baru yang lebih kuat dan canggih. 

TDSS botnet adalah salah satunya. Menurut perusahaan keamanan Eset, TDSS botnet kini muncul dengan varian terbaru yaitu varian generasi ke-4 yang lebih berbahaya. TDSS atau juga dikenal dengan TDSS/TDL, atau Win32/Olmarik, menginfeksi komputer dan kemudian menerima perintah dari sebuah C & C server.

Proses selanjutnya Win32/Olmarik. AVA zombies saling berkomunikasi dengan menggunakan Kademilia DHT (distributed hash table) peer-to-peer protocol. Dengan pola ini, masing-masing berperan sebagai C & C Server dan Client. 

Bagaimana kerja masing-masing komponen tersebut? David Harley, Director of Malware Intelligence, ESET memaparkannya sebagai berikut. 

Ketika sebuah PC terinfeksi oleh bot, komputer tersebut secara otomatis akan menjadi bagian dari jaringan bersama dengan komputer-komputer lain yang juga telah terinfeksi dan terkoneksi dengan C & C Server yang kita kenal sebagai botnet. 

Kemudian, pelaku kejahatan yang mengelola botnet tersebut perlu mengirimkan instruksi-instruksi ke malware di masing-masing komputer yang telah terinfeksi tersebut (zombie). 

"Tentu saja ada kalanya komunikasi yang dilakukan terhambat atau gagal tergantung dari botnet yang digunakan. Jika komunikasi yang dikirimkan dalam bentuk instruksi tersebut berhasil maka akan mengirimkan data yang diinginkan oleh ke botmaster," jelas Harley, dalam keterangannya, Senin (4/6/2011). 

"Salah satu cara yang umum digunakan dalam komunikasi dua arah pada botnet adalah dengan mensetting beberapa komputer yang akan berperan sebagai 'Command & Control" (C&C) server: server ini adalah versi jahat dari client/server model, dimana satu server akan melayani banyak komputer klien," lanjutnya. 

Komputer 'Zombie'

Melemahkan jaringan botnet bisa dilakukan salah satunya dengan melacak dan mematikan beberapa atau seluruh server C & C yang mengirimkan informasi ke komputer zombie yang telah terinfeksi dan memberikan instruksi yang harus dilakukan. Kemudian jika server tersebut dimatikan, komputer zombie yang terkoneksi ke komputer server tidak lagi bisa berfungsi mengirimkan data atau melakukan seperti yang diinstruksikan oleh botmaster. 

"Dengan menggunakan Kademilia protocol, botmaster akan mampu menyatukan kelemahan dari pendekatan C & C, lalu dengan menggunakan pendekatan kesamaan di antara masing masing komputer sebagai C & C server maupun zombie atau client yang telah terinfeksi. Semua botnet menggunakan perverted form of distributed processing, tetapi pendekatan yang digunakan TDL4 atau Win32/Olmarik tersebut yaitu dengan manggunakan Kademilia protocol bisa melakukan distribusi data secara lebih baik," imbuh Harley. 

Setelah menguasai sebuah jaringan dengan beberapa komputer berikut semua informasi yang dimiliki, lalu informasi yang berhasil dicuri akan disebar ke komputer dalam jaringan. Botnet tidak begitu saja berhenti bekerja meskipun hanya tinggal satu komputer sementara komputer yang lainnya dalam jaringan botnet tersebut mati. 

Zombie masih bisa mendapatkan informasi dari jaringan lain yang terdekat, proses tersebut masih bisa dilakukan karena bot masih menyimpan semacam virtual phonebook yang disembunyikannya di hardisk. Saat bagi bot untuk berkomunikasi dengan C & C server adalah ketika jumlah komputer dalam jaringan turun hingga di bawah 10. 

Ditambahkan Yudhi Kukuh, Technical Director dari PT. Prosperita-ESET Indonesia, menghalau TDSS/TDL dengan segala macam jebakannya untuk menginfeksi system 32 bit ataupun 64 bit ataupun mengalahkan botnet bukan pekerjaan mudah. 

"Oleh sebab itu, para user baik home user maupun jaringan perlu memiliki kesadaran untuk mengaktifkan, mengupdate secara berkala security system dalam komputer maupun server jaringan," pungkasnya.

sumber : detikINET.com