Penyebaran Malware GRUMBOT
Oct. 2, 2012, 4:45 a.m. Posted by: indra--------------------------------------------------------------------------------------
PERINGATAN KEAMANAN / SECURITY ALERTS ID-CERT
Nomer: IDCERT 2012 - 0002
Tanggal: 02 OKT -2012
Diperbaharui: 28-NOP-2012
=========================================
Dear all,
Sejak beberapa minggu yll hingga hari ini kami telah menerima laporan adanya sejumlah jaringan di IP Address Indonesia yang terkena Malware GRUMBOT.
Grum botnet
===========
Grum botnet, juga dikenal dengan aliasnya Tedroo dan Reddyb, dulunya adalah botnet yang paling terlibat dalam pengiriman spam-spam e-mail farmasi. Pernah menjadi botnet terbesar di dunia, Grum dapat dilacak di awal 2008. Grum dilaporkan bertanggung jawab atas 18% trafik spam di seluruh dunia pada saat ditutup pada tgl 19 Juli 2012.
Grum memakai 2 tipe server kontrol untuk operasinya. 1 tipe digunakan mem-push update konfigurasi ke komputer2 yang terinfeksi, dan 1 tipe lainnya digunakan untuk memberi perintah ke botnet jenis spam email apa yang harus dikirimkan.
Di bulan Juli 2010, botnet Grum terdiri dari sekitar 560.000-840.000 komputer yang diinfeksi dengan rootkit Grum. Botnetnya sendiri mengirimkan sekitar 39,9 milyar pesan spam di bulan Maret 2010, sebesar sekitar 26% dari total global volume spam di seluruh dunia, dan untuk sementara waktu menjadikan Grum sebagai botnet terbesar di dunia.
Pada akhir tahun 2010, botnet tersebut tampaknya semakin membesar, karena output meningkat kira-kira sebesar 51% bila dibandingkan dengan output tahun 2009 dan awal 2012.
Grum menggunakan suatu panel yang ditulis dengan PHP untuk mengontrol botnet.
Botnet "dimatikan"
===============
Pada bulan Juli 2012, perusahaan intelejen malware FireEye menerbitkan sebuah analisis mengenai (keberadaan) server-server command dan control botnet yang terletak/berlokasi di Belanda, Panama, dan Rusia. Satu minggu setelah analisis tersebut terbit, para peneliti FireEye melaporkan bahwa Colo/ISP Belanda langsung menangkap 2 server sekunder yang bertanggung jawab mengirimkan instruksi spam setelah keberadaan 2 server tersebut dibuat publik. Dalam waktu 1 hari, ISP Panama yang menjadi hosting salah satu server utama Grum dituntut dan menutup/mematikan server mereka. Para kriminal cyber di belakang/yang mendalangi Grum dengan cepat meresponnya dengan mengirim instruksi melalui 6 server baru di Ukraina. FireEye yang terhubung dengan Spamhaus, CERT-GIB, dan seorang peneliti anonim untuk menutup/mematikan 6 server C&C yang tersisa, secara resmi mematikan botnet pada tgl 18 Juli 2012.
LANGKAH ANTISIPASI:
===================
1. Segera update Patch OS anda
2. Segera update Antivirus dan lakukan pengecekan secara rutin.
BAHAN BACAAN:
=============
http://www.exterminate-it.com/malpedia/remove-grum
http://en.wikipedia.org/wiki/Grum_botnet
http://en.wikipedia.org/wiki/E-mail_spam
http://en.wikipedia.org/wiki/Botnet
http://en.wikipedia.org/wiki/Rootkit
http://en.wikipedia.org/wiki/PHP
http://en.wikipedia.org/wiki/FireEye
http://blog.fireeye.com/research/2012/07/killing-the-beast-part-5.html
http://en.wikipedia.org/wiki/Command_and_control
http://en.wikipedia.org/wiki/Spamhaus
Terima kasih,
--
------------------------------------------------------------------------
SEND YOUR INCIDENT REPORTS TO: <cert@cert.or.id>
------------------------------------------------------------------------
KIRIMKAN KOMPLAIN INTERNET ABUSE YANG TERJADI,KE: <cert@cert.or.id>
________________________________________________________________________
AHMAD KHALIL ALKAZIMY,ST
INCIDENT RESPONSE TEAM
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
(ID-CERT)
http://www.cert.or.id/
SKYPE/YM ID: ahmadkaz
HP: (+62)83-874-9292-15
========================================================================
ID-CERT