Hotel Pun Dibuat Kewalahan Diserang Conficker

JAKARTA, RABU - Keganasan virus Conficker saat ini membuat banyak pihak gelisah dan juga heboh. Tidak hanya perorangan namun juga berbagai perusahaan. Dalam Seminar Conficker yang diadakan oleh Vaksincom di Club House, Rabu (28/1), Harijanto Pribadi, seorang teknisi IT dari PT Data Utama berbagi kepanikannya dalam menghadapi Conficker yang menyerang sistem IT kliennya, Hotel Menara Peninsula, beberapa waktu lalu.

Gejala awal yang tampak adalah virus terus mengakses URL http://trafficconverter.biz dan meminta URL tersebut di-block di sisi ISP DatautamaNet karena jaringan mereka menjadi sangat penuh. Hari kemudian mencoba me-redirect semua traffic port 80 ke proxy lalu menolak URL tersebut. Ternyata tidak efektif.

Manajer Operasional hotel kemudian melaporkan bahwa Limiter International DatautamaNet di-reboot dua kali karena CPU load yang sangat tinggi. Analisis awalnya adalah flooding tetapi ternyata dari hasil analisa tidak ditemukan tanda-tanda flooding yang akurat.

"Semua normal-normal saja tetapi CPU load sangat tinggi. Ini di luar kewajaran," ujar Hari. Setelah berkonsultasi, Hari melakukan Drop Win32/Conficker.A Traffic dengan menggunakan mikrotik.

Teknik ini menyelamatkan traffic supaya jaringan di perusahaan tidak lumpuh secara menyeluruh. Hari mengatakan traffic download file loadadv.exe adalah salah satu ciri terinfeksinya jaringan oleh Worm: Win32/Comficker.A. Hari kemudian melakukan konfigurasi mikrotik sebagai firewall traffic Win32/Conficker.A.

Berikut langkah-langkah yang dilakukan Hari:

1. Buat Mangle Rule untuk menandai packet. In interface adalah interface yang menghadap ke jaringan kita/LAN.

2. Isi content dengan loadadv.exe di destination address-list. Ournetwork, maksudnya agar content tersebut hanya dicek kalai destinasinya bukan address-list-ournetwork.

3. Kalau ada content loadadv.exe dimasukkan ke dst-address-list = worm-dst.

4. Buat firewall rule chain Forward.