AVI+Clamav: Tangkal Puluhan Ribu Serangan

Salah satu kelebihan AVI adalah pada keberadaan pengaya (plugin). Berkat fasilitas ini, kemampuan AVI dapat ditingkatkan dengan mudah. Salah satu pengaya terbaru yang dimiliki AVI adalah Clamsav. Ini adalah pengaya yang mengintegrasikan database Clamav ke dalam database AVI. Dengan begitu, AVI kini dapat menangkal puluhan ribu jenis serangan, baik lokal maupun internasional. Salah satu yang membuat sebuah antivirus hebat dalam mendeteksi virus-virus komputer adalah jumlah definisi ancaman yang dimilikinya. Semakin banyak definisi, semakin baik antivirus tersebut dalam menghadang berbagai macam ancaman yang mencoba masuk ke dalam komputer.

AVI merupakan salah satu antivirus lokal yang memiliki jumlah definisi ancaman yang terbatas. Selama ini, database AVI lebih banyak berisi virus-virus lokal. Keterbatasan ini disebabkan karena jumlah virus baru yang dilaporkan pengguna AVI hanya berkisar dari Indonesia saja. Inilah mengapa banyak orang menganggap antivirus lokal hanya ampuh untuk mengatasi virus lokal saja.

Begitu pula sebaliknya, antivirus luar hanya ampuh mengatasi virus luar saja. Berdasarkan fakta tersebut, banyak orang yang akhirnya memasang dua antivirus sekaligus: satu antivirus lokal, satu lagi antivirus luar.

Namun AVI memiliki solusi cerdas untuk mengatasi hal tersebut. Kini AVI memiliki pengaya (plugin) baru yang mengintegrasikan AVI dengan engine antivirus Clamav. Apa itu Clamav? Clamav adalah antivirus yang dikembangkan oleh pengembang dari komunitas open source http://www.clamav.net berlisensi GPL (General Public License). Anda bisa bisa mendapatkan informasi lebih lengkap mengenai Clamav pada situs resminya . Saat ini jumlah definisi ancaman yang dapat dikenali Clamav kurang lebih 49 ribu ancaman yang kebanyakan didominasi oleh virus-virus luar. Nah, dengan menggabungkan database asli AVI dan Clamav, AVI kini mampu mengenali kurang lebih 50 ribu ancaman!

Cara Penggunaan Plugin Clamsav

Untuk memanfaatkan pengaya Clamav, ekstraklah file “plugin-clamsav-0.4-avi.zip” ke dalam direktori “plugins” yang dapat Anda temukan pada lokasi di mana AVI terpasang. Misalnya Anda memasang AVI pada direktori “C:\Program Files\AVI” maka ekstraklah ke “C:\Program Files\AVI\plugins”.

File pengaya Clamav ini sendiri bisa Anda dapatkan di sini. Pastikan pengaya sudah berhasil diintegrasikan. Caranya dengan menjalankan AVI, lalu lihat bagian “Plugins”. Apabila Anda melihat ada pengaya baru dengan lambang berbentuk kerang, berarti pengaya Clamav telah berhasil diintegrasikan dengan AVI. Untuk meyakinkan apakah pengaya Clamsav sudah dapat bekerja dengan baik, coba klik ganda pada ikon berbentuk kerang tersebut. Nanti akan muncul jendela berisi informasi mengenai versi pengaya, versi definisi ancaman, jumlah ancaman, dan info kapan terakhir definisi diperbaharui.



Untuk mengetahui apakah jumlah definisi ancaman yang dapat dikenali oleh AVI telah bertambah, Anda bisa melihatnya pada bagian “Signature”. Ketika kami menggunakan definisi per 13 Agustus 2009, jumlah definisi mencapai 64 ribu buah lebih. Setelah pengaya berhasil terpasang, secara otomatis AVI akan mampu mendeteksi virus-virus mancanegara atau virus yang belum dikenali oleh AVI menggunakan engine Clamav. Ancaman yang berhasil dideteksi oleh Clamsav memiliki tanda pada bagian kolom informasi seperti bisa Anda lihat pada gambar di bawah. Anda tetap bisa menonaktifkan pengaya Clamsav agar tidak ikut melakukan scanning dengan cara menghilangkan tanda cek pada jendela Clamsav bagian “Setting” > “Aktifkan plugin”.





Memperbaharui definisi ancaman Clamav

Anda dapat memperbaharui definisi ancaman Clamav dengan cara mengunduh file “daily.cvd” dan “main.cvd” dari situs Clamav. Letakkan ke dua file tersebut pada direktori dimana pengaya Clamsav diletakkan. Perlu diketahui bahwa file “daily.cvd” selalu diperbaharui setiap harinya.

Apabila Anda mengalami kesulitan jangan sungkan untuk melayangkan pertanyaan ke developer.avi@gmail.com Alamat e-mail ini diproteksi dari spambot, silahkan aktifkan Javascript untuk melihatnya .

AVI Beta 3: Hemat Bandwith dengan Workstation Update

Krisis finansial global yang terjadi saat ini tak pelak akan berdampak juga ke negara kita. Mau tidak mau, kita harus pintar-pintar menyiasati kenyataan ini, salah satunya adalah melakukan penghematan dengan meminimalisir anggaran belanja dan pengeluaran. Yang tadinya kita sering menyalakan banyak lampu, mulailah dengan menguranginya. Jika sebelumnya sering naik motor hanya untuk pergi ke rumah tetangga, mulailah dengan berjalan kaki. Penghematan pun bisa kita lakukan pada penggunaan bandwidth, apalagi kita ketahui bandwidth di Indonesia masih sangat mahal.

Dalam menghadapi situasi saat ini kami mencoba memberikan terobosan baru pada AVI dan merupakan teknologi yang pertama kali diaplikasikan oleh anti virus lokal saat ini. Kini AVI bisa melakukan update melalui server lokal (workstation update) sehingga setiap komputer pada jaringan yang terhubung dengan server lokal bisa melakukan update tanpa perlu terhubung langsung dengan internet. Ini akan membuat penggunaan bandwidth dapat diminimalisir, utamanya pada sebuah jaringan yang memiliki banyak komputer klien seperti pada warnet dan perkantoran.

Konsep Kerja Workstation Update

Cara kerja workstation update cukup sederhana. Dalam sebuah jaringan harus ada 1 komputer yang berlaku sebagai server dan harus terhubung dengan internet. Ketika terdapat update terbaru, maka server inilah yang akan mengunduh dan menyimpannya. Setelah itu server akan memberikan notifikasi kepada setiap klien yang terhubung agar segera melakukan update, lalu setiap klien akan melakukan update dengan mengunduh data yang ada di server.

Perbandingan

Berapa banyakkah bandwidth yang dapat dihemat dengan menggunakan metode ini? Mari kita kalkulasikan. Misalnya di dalam sebuah kantor terdapat 30 komputer klien yang terhubung dengan internet dan masing-masing terpasang AVI. Jika setiap hari AVI melakukan update file berukuran 100KB, apabila seluruh komputer tersebut melakukan update melalui internet maka butuh (30x100KB) 3000KB. Itu baru satu hari. Jika dikalikan dengan satu bulan, maka dibutuhkan bandwidth sekitar 107MB. Bandingkan dengan menggunakan metode workstation update. Karena cuma butuh bandwidth 100KB per hari, maka dalam satu bulan hanya butuh 2,5MB. Dengan begitu kita telah menghemat bandwidth sampai 105MB per bulannya!

Implementasi

Agar dapat menggunakan fitur workstation update maka ada beberapa langkah yang harus Anda lakukan:

1. Instal AVI workstation update server

AVI workstation update server—agar lebih mudah selanjutnnya kita sebut Auserv saja—adalah berupa program aplikasi yang nantinya harus dijalankan pada server lokal. Auserv dibuat menggunakan Java sehingga dapat dijalankan pada berbagai macam sistem operasi seperti Windows, Linux, dan Macintosh. Dengan syarat harus sudah terpasang JRE (Java Runtime Environment). Langkah pertama sebelum menjalankan Auserv adalah memastikan apakah sistem operasi Anda sudah terpasang JRE. Buka konsol (pada Windows bisa dengan cara Start Menu>Run lalu ketik cmd) pada jendela konsol ketikkan : java -version Tekan enter, apabila muncul text kira-kira seperti berikut : java version "1.6.0_07" Java(TM) SE Runtime Environment (build 1.6.0_07-b06) Java HotSpot(TM) Client VM (build 10.0-b23, mixed mode, sharing) Berarti JRE sudah terpasang, tetapi apabila tidak muncul seperti di atas berarti Anda perlu menginstal terlebih dahulu. Untuk menginstalnya secara manual Anda harus mengunduh terlebih dahulu paketan JRE yang bisa Anda dapatkan dari http://www.java.com/en/download/manual.jsp atau Anda bisa dapatkan JRE di DVD InfoKomputer bulan ini.

2. Menjalankan Auserv

Extrak file avi_workstation_update_server.zip ke tempat yang anda inginkan. Kami sarankan untuk menempatkan file hasil ekstraksi pada media penyimpanan yang masih memiliki spasi bebas besar, karena Auserv akan menyimpan setiap informasi update ke dalam media penyimpanannya. Setelah itu Anda bisa langsung menjalankannya. Apabila Anda menggunakan sistem operasi Windows, Auserv bisa langsung dijalankan dengan cara klik ganda pada file auserv.jar, atau bisa juga dengan cara menjalankan lewat konsol, dengan cara mengetikkan perintah: java -jar auserv.jar Pada sistem operasi Linux, apabila Anda menginginkan agar Auserv berjalan di belakang layar (background) tambahkanlah tanda & pada akhir perintah, contoh: java -jar auserv.jar &

3. Konfigurasi

Setelah Anda berhasil menjalankan Auserv maka akan muncul jendela baru, klik Pengaturan. Pada jendela Pengaturan isilah bagian Server dengan update.ansav.com, setelah itu cobalah untuk memeriksa koneksi dengan mengklik tombol Test Connection. Selanjutnya pada bagian Port isi nomor port yang ingin Anda gunakan, nilai defaultnya adalah 2194. Pada bagian Clear log in isi dengan maksimal baris yang akan ditulis pada jendela log, nilai defaultnya adalah 3000. Pada bagian Save log to bisa Anda lewati, namun apabila Anda mengaktifkannya maka setiap kejadian yang tertulis pada bagian log akan disimpan sebagai berkas. Pada bagian Password isi dengan kata sandi unik (defaultnya adalah admin). Password ini diperlukan hanya apabila Anda ingin mematikan proses Auserv secara remot menggunakan telnet (tentang pengoperasian Auserv secara remot mungkin akan dibahas pada lain kesempatan). Terakhir pada bagian MAX Clients, isi dengan angka berapa batas jumlah koneksi maksimal yang akan diterima pada satu waktu(defaultnya 30). Klik Simpan untuk menyimpan perubahan yang telah Anda buat. Kemudian klik tombol Aktifkan untuk memulai layanannya.

Pengaturan pada Sisi Klien

Setelah konfigurasi pada server selesai, kini giliran pada sisi klien. Jalankan AVI versi terbaru (saat ini BETA 3 atau v2.0.9), pilih tab Settings (Setelan dalam bahasa Indonesia), lalu pilih konfigurasi pada bagian Update. Kemudian pada bagian Update settings terdapat dua pilihan metode update yaitu Update directly via main server dan Update via workstation; pilih Update via workstation. Selanjutnya pada bagian Update workstation settings, isi Server address dengan nama host atau alamat IP server tempat Auserv tadi dipasang, jangan lupa isi pula bagian Port sama dengan nomor port yang telah anda konfigurasikan pada Auserv. Terakhir klik Check server untuk memastikan apakah konfigurasi yang telah kita buat sudah benar, apabila semuanya berhasil maka akan ditampilkan informasi server, mirip seperti berikut :

Server information : AVI update workstation server 0.0.1 running on : Linux 2.6.24-16-generic i686

Contoh informasi tersebut didapat dari server dengan sistem operasi Linux Ubuntu. Sampai di sini berarti semuanya telah berjalan dengan sukses.

W32/Moonlight.L: Cahaya Bulan Berbahaya

Meski tergolong veteran, worm satu ini tetap eksis berkat munculnya berbagai varian. Tidak ingin terkena cahayanya yang membahayakan? Hati-hati dan pasang AVI.

"Moonlight", begitu program jahat berjenis worm ini menamai dirinya. Worm lokal ini sebenarnya sudah ada sejak jamannya W32/Brontok atau W32/Rontokbro, tetapi masih tetap eksis sampai sekarang. Ini karena variannya yang terus bermunculan hingga sekarang, bahkan masih banyak laporan dari pengguna AVI yang komputernya terinfeksi oleh worm ini. Karena itu, saya pun tertarik untuk membahas Moonlight kali ini.

Karakteristik

W32/Moonlight dibuat menggunakan compiler andalan vxer (sebutan bagi pembuat program jahat) lokal yakni VB6 (Visual Basic 6) dan dimampatkan menggunakan program PE packer FSG. Ukuran aslinya sebesar 324 KB, lalu setelah dimampatkan menjadi 144 KB. Identitasnya sendiri menggunakan icon folder Windows XP standar.


Aksi (Payload)
Ketika pertama kali berjalan, W32/Moonlight.L akan membuat file “systear.dll” pada direktori system, contoh: “C:\WINDOWS\system32\systear.dll”. File ini merupakan file inisialisasi agar worm dapat mengenali dirinya dan sebagai penanda posisi di mana worm telah disebarkan. Setelah itu, Moonlight membuat file penunjang berbentuk dynamic link library (DLL) “moonlight.dll” pada direktori Windows (contoh: “C:\WINDOWS\moonlight.dll”) dan mengekstraksi file musik berformat MIDI “onceinabluemoon.mid” ke direktori Windows. Setelah itu, worm ini membuat direktori dengan nama acak pada subdirektori Windows dan System dengan format “C:\WINDOWS\[acak]”. Maksud “[acak]” disini berisi nama acak misalnya:
“C:\WINDOWS\FLR1S4G”
“C:\WINDOWS\system32\LDF6I7R”
Penggunaan nama acak tersebut kemungkinan dimaksudkan untuk mempersulit proses investigasi dan pembersihan.
Kemudian worm akan menggandakan dirinya pada tempat-tempat berikut:
* C:\WINDOWS\[acak]\service.exe
* C:\WINDOWS\[acak]\smss.exe
* C:\WINDOWS\[acak]\system.exe
* C:\WINDOWS\[acak]\winlogon.exe
* C:\WINDOWS\lsass.exe
* C:\WINDOWS\system32\[acak]\[acak].cmd
* C:\WINDOWS\[acak].exe
* C:\WINDOWS\system32\[acak].exe
* C:\WINDOWS\[acak]\[acak].com

W32/Moonlight.L sengaja menggandakan dirinya dengan nama-nama mirip servis bawaan Windows seperti “smss.exe”, “service.exe” dengan maksud agar prosesnya tidak mudah dihentikan menggunakan Task manager bawaan Windows. Perlu diketahui, Task manager akan menolak menghentikan proses dengan nama meliputi: “service.exe”, “smss.exe”,”system.exe”,”winlogon.exe”, dan “lsass.exe”.

Karena worm dibuat menggunakan VB6, dan karena setiap aplikasi VB6 membutuhkan runtime yang bernama “msvbvm60.dll”, worm ini melakukan strategi cerdik agar file runtime tersebut tidak dihapus atau terhapus (yang membuat worm tidak bisa berjalan). Caranya, dengan membuat backup file runtime tersebut ke “C:\WINDOWS\system\msvbvm60.dll”.
Hal lain yang dilakukan Moontime adalah membuat file bernama “MooNlight.txt” pada direktori Windows (contoh: “C:\Windows\MooNlight.txt”). File ini berisi pesan dari pembuatnya yang mengaku bernama nick “Lunalight” alias “Moonlight”:


Penyebaran

Cara penyebaran W32/Moonlight.L sangat mirip dengan worm legendaris W32/Brontok alias W32/Rontokbro, yaitu dengan menggandakan dirinya ke setiap direktori dengan nama sama dengan direktori induknya.

Pembersihan dan pencegahan

Untuk membersihkannya cukup mudah, yang perlu Anda lakukan hanyalah menjalankan AVI (Antivirus Info Komputer). Jalankan, dan lakukan pemeriksaan ke setiap lokasi dan media penyimpanan yang terhubung pada komputer Anda. Perlu diingat, jangan lakukan aktifitas apapun selama proses pemeriksaan. Sebagai upaya pencegahan kami sarankan Anda untuk memasang AVI sebagai guard untuk menghindari komputer Anda terinfeksi kembali oleh worm ini.


Changelog AVI 2.0.4.9:
* Perbaikan bug buffer overflow yang menyebabkan AVI crash ketika melakukan update online.
* Perbaikan bug compatibility dengan Windows Vista/7.
* Perbaikan bug access violation yang menyebabkan AVI crash ketika sedang melakukan scanning.
* Perbaikan salah deteksi pada beberapa file sistem Windows 7.