Benar sekali Pak Andreas,
Berikut saya tambahkan informasi dari
vaksin.com, semoga bermanfaat bagi rekan2. Mohon maaf bagi yang sudah pernah
membacanya. Sekalian juga mohon ijin cross-posting ke t-net.
Salam,
Min Hui
Microsoft GRE WMF (Graphic Rendering Engine)
Vulnerability 2 Januari 2005
Celah keamanan yang cakupannya segambreng
Bayangkan anda berada di
suatu kota yang
tidak dikenal dan sedang
tererang wabah Zombie, dimana setiap orang yang
berinteraksi dengan Zombie
akan langsung mati dan tubuhnya diambil alih oleh
kuman yang kemudian
mengendalikan tubuh tersebut menjadi mayat hidup
dan mencari tubuh lain
untuk diinfeksinya. Kalau hal ini hanya terjadi
pada film Resident Evil yang
dibintangi oleh Milla Jovovich, maka ada kabar
buruk yang perlu kami
sampaikan kepada anda. Wabah yang menyerupai kuman
Zombie tersebut sedang
beredar di internet dan dalam waktu beberapa hari
ke depan mayoritas
komputer di deluruh dunia ini terancam oleh
infeksi virus baru karena
munculnya satu celah keamanan baru yang sangat
merisaukan para pengamat
sekuriti karena luasnya cakupan OS yang diserang
(hampir semua OS Windows
dapat dengan mudah diambil alih program yang
memanfaatkan celah keamanan
ini). Celakanya sampai saat ini tambalan (patch)
untuk menutupi celah
keamanan masih belum tersedia dan harus menunggu
sampai tanggal 9 Januari
2006.
Apa itu GRE WMF Vulnerability
WMF adalah kepanjangan dari Windows Meta File, WMF
merupakan format file 16
bit yang mengandung informasi vector dan bitmap
yang digunakan pada OS
Windows dan digunakan oleh OS Windows untuk
menampilkan gambar dan fax.
Masalahnya adalah ada celah keamanan pada GRE
(Graphic Rendering Engine)
yang jika dieksploitasi dengan kode tertentu akan
mengakibatkan pengambil
alihan komputer korban secara total. Celakanya WMF
digunakan pada semua
versi Windows dan digunakan sebagai viewer file
gambar dan fax sehingga
cakupan komputer yang dapat diserang sangat luas.
Khusus untuk pengguna
komputer Indonesia dimana kalau pada
serangan virus sebelumnya OS "kuno"
seperti Windows 98 dan Windows ME yang masih
tinggi pupolasinya relatif aman
dari serangan virus karena sudah "tidak
diperhatikan" oleh pembuat virus
maka Vaksincom menyarankan para pengguna OS ini
khususnya Warnet, Sekolah,
Institusi bisnis ataupun perorangan untuk
berhati-hati dan melakukan
tindakan pencegahan yang tepat kalau tidak mau
komputernya menjadi korban
serangan virus WMF yang diperkirakan akan
mengganas dalam waktu beberapa
hari ini.
Mengapa GRE WMF berbahaya
Celah kemanan GRE WMF berbahaya karena :
1. Pembuat malware
hanya perlu menuntun korbannya ke link / alamat internet
yang mengandung file yang direkayasa. Jadi tinggal
mengirimkan link melalui
email, browser atau messenger sudah cukup untuk
mengaktifkan eksploitasi
ini.
2. Metode untuk
eksploitasi celah keamanan melalui email juga sangat mudah dan
file yang digunakan sebagai sarana eksploitasi
adalah file gambar yang
selama ini dianggap aman dan umumnya diloloskan
oleh mailserver. EG file
jpg, gif, tiff dan bmp.
3. Memblok file
dengan ekstensi WMF seperti yang biasa dilakukan sebagai "jurus
pamungkas" administrator mailserver dalam
melindungi email dari virus TIDAK
MEMPAN karena lampiran yang datang bisa
menggunakan ekstensi gambar yang
lain seperti jpg, gif atau bmp dan jika
dijalankan, Windows akan tetap
menggunakan GRE WMF untuk menjalankan file
tersebut.
4. Mencakup OS
windows yang sangat luas (segambreng :P), baik dari Windows 98 /
ME / NT/ 2000 / XP sampai 2003 baik server mapun
workstation.
5. Tidak ada
tambalan / patch resmi yang dikeluarkan oleh Microsoft (sampai
dengan tanggal 9 Januari 2006) sehingga secara
teknis semua komputer
terancam atas eksploitasi ini, kalaupun ada hanya
solusi sementara
menonaktifkan Windows Picture dan Fax viewer
(Shimgvw.dll) atau menggunakan
tambalan celah keamanan yang dibuat oleh Ilfak
Guilfanov (pihak ketiga).
6. Kode eksploitasi
atas celah keamanan ini sudah banyak sekali beredar di
dunia underground, menurut pantauan Vaksincom
sudah ada 50 lebih kode
eksploitasi yang beredar dan dapat dipastikan
munculnya virus baru yang
berbahaya dan sukses memanfaatkan celah keamanan
ini tinggal menunggu hari.
7. Eksploitasi dapat
dilakukan dengan berbagai media, baik melalui email,
website, chatting atau sarana lain yang
memungkinkan pengiriman link http.
8. Meskipun pengguna
Internet Explorer (dengan setting security standar) secara
otomatis akan tereksploitasi, pengguna browser
lain seperti Firefox juga
tidak lolos dari ancaman ini, karena yang
membedakan hanyalah Firefox akan
menampilkan konfirmasi apakah mau menjalankan file
.wmf yang selama ini
dianggap aman dan ada "hobi" mengklik
tombol [OK] dikalangan pengguna
komputer awam.
Ancaman saat ini
Sampai dengan saat informasi ini dibuat, Vaksincom
sudah mendeteksi beberapa
virus yang mulai mengeksploitasi celah keamanan
ini dan digolongkan sebagai
ancaman tingkat tinggi seperti Exploit-WMF trojan,
Exploit.Win32.IMG-WMF.a,
Troj/DownLdr-QB. Sampai saat ini, para vendor
antivirus sangat aktif
memonitor perkembangan terakhir dan Vaksincom
menyarankan para pengguna
internet untuk aktif mengupdate program
antivirusnya dengan definisi
terakhir. Norman Virus Control sudah dapat
mendeteksi Exploit-WMF Trojan
yang disebarkan melalui email dengan lampiran
Happynewyear.jpg yang jika di
jalankan akan menuntun komputer penerima ke satu
alamat website untuk
mendownload trojan lain. "Untungnya"
website yang mengandung trojan tersebut
berhasil diidentifikasi dan dilumpuhkan, namun
belajar dari pengalaman masa
lalu, pembuat virus tinggal meluncurkan varian
baru dan terkadang website
yang "ditanami" virus ini jumlahnya
ratusan sehingga merupakan hal yang
sangat sulit dan memakan waktu banyak melumpuhkan
website-website ini. Belum
lagi kalau pembuat virusnya menjadikan semua
komputer korbannya sebagai host
file exploit sehingga hampir mustahil untuk
memblok semua host file exploit
secara manual. Hal terbaik yang dapat dilakukan
adalah dengan menutup celah
keamanan dan menggunakan program antivirus dengan
definisi terbaru sehingga
dapat mendeteksi virus ini.
Pada saat ini, virus-virus baru yang memanfaatkan
celah keamanan ini
berlomba bermunculan dan sang waktu yang
menentukan virus mana yang berhasil
mengeksploitasi celah keamanan dengan sukses.
Bagaimana mengatasi hal ini ?
Ada dua cara untuk selamat dari ancaman eksploitasi celah
keamanan ini :
1. Unregister
Windows Picture and Fax viewer
* Klik [Start] [Run]
ketik [regsvr32 -u %windir%\system32\shimgvw.dll] dan
klik [Ok]
* Anda akan
mendapatkan kotak dialog yang mengkonfirmasikan bahwa proses ini
sudah berhasil. Klik [Ok] untuk menutup dialog.
Dampak dari hal ini
adalah Windows Picture and Fax Viewer tidak akan
dijalankan secara otomatis ketika anda mengklik
gambar yang diasosiasikan
dengannya.
Untuk mengembalikan kembali settingan ini (jika
patch / tambalan atas celah
keamanan ini sudah tersedia) :
* Klik [Start] [Run]
ketik [regsvr32 %windir%\system32\shimgvw.dll] dan klik
[Ok]
* Anda akan
mendapatkan kotak dialog yang mengkonfirmasikan bahwa proses ini
sudah berhasil. Klik [Ok] untuk menutup dialog.
2. Gunakan tambalan
celah keamanan yang dibuat oleh Ilfak Guilfanov
Ilfak Guilfanov adalah pakar "reverse engineering"
yang juga pembuat
IDA Disassembler. Silahkan download dari
http://www.hexblog.com/security/files/wmffix_hexblog13.exe
OS yang terancam celah keamanan ini
Microsoft Windows XP Tablet PC Edition SP2
Microsoft Windows XP Tablet PC Edition SP1
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Professional SP2
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Media Center
Edition SP2
Microsoft Windows XP Media Center
Edition SP1
Microsoft Windows XP Media Center
Edition
Microsoft Windows XP Home SP2
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows Server 2003 Web Edition SP1
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003 Standard x64 Edition
Microsoft Windows Server 2003 Standard Edition SP1
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise x64 Edition
Microsoft Windows Server 2003 Enterprise Edition
64-bit SP1
Microsoft Windows Server 2003 Enterprise Edition
64-bit
Microsoft Windows Server 2003 Enterprise Edition
SP1
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter x64
Edition
Microsoft Windows Server 2003 Datacenter Edition
64-bit SP1
Microsoft Windows Server 2003 Datacenter Edition
64-bit
Microsoft Windows Server 2003 Datacenter Edition
SP1
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows ME
Microsoft Windows 98SE
Microsoft Windows 98
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server
+ Avaya DefinityOne Media Servers
+ Avaya IP600 Media Servers
+ Avaya S3400 Message Application Server
+ Avaya S8100 Media Servers
Microsoft Windows 2000 Professional SP4
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
IBM Lotus Notes 6.5.4
IBM Lotus Notes 6.5.3
IBM Lotus Notes 6.5.2
IBM Lotus Notes 6.5.1
IBM Lotus Notes 6.5
From: budaya_tionghua@yahoogroups.com [mailto:budaya_tionghua@yahoogroups.com] On Behalf Of ANDREAS MIHARDJA
Sent: Wednesday, January 04, 2006
11:16 AM
To: BudayaTionghoa
Subject: [budaya_tionghua] Hati2 -
VIRUS!
Achir2 ini ada virus
yang bahaya sekali – ini BUKAN HOAX, dan Microsoft tgl
10 January (Selasa) akan mengeluarkan
patch (tambalan / perbaikan)
untuk mencegah virus ini. Dianjurkan bawha kita selama
menunggu patch ini harus hati2 kalau click ke gambar2 (graphic) dan perhatiin dibawah