Komputer "Ngaco?" Jangan-jangan Terinfeksi Stuxnet

Beberapa modifikasi registry yang dilakukan oleh worm Stuxnet antara lain sebagai berikut :

- Menambah Registry

HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-MRxCls HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-MrxNet HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Services-MrxNet HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Services-MRxCls HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Enum-Root-LEGACY_MRX HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Enum-Root-LEGACY_MRXNET HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Enum-Root-LEGACY_MRXCLS HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Enum-Root-LEGACY_MRXNET

Metode Penyebaran

Beberapa cara worm Stuxnet melakukan penyebaran yaitu sebagai berikut :

- Removable drive / disk Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Worm (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :

1. Autorun.inf

2. Copy of Shortcut.lnk

3. Copy of Copy of Shortcut.lnk

4. Copy of Copy of Copy of Shortcut.lnk

5. Copy of Copy of Copy of Copy of Shortcut.lnk

6. ~WTR[angka_acak].tmp

7. ~WTR[angka_acak].tmp

Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK akan langsung dieksekusi pada saat drive tersebut diakses.

- Jaringan Metode ini dengan memanfaatkan celah keamanan dari sistem Windows yaitu :

1. MS08-067 (Windows Server Service), seperti hal-nya Conficker memanfaatkan celah ini dengan melakukan akses C$ dan ADMIN$

2. MS10-061 (Windows Print Spooler), memanfaatkan printer sharing worm menginfeksi pengguna komputer yang mencoba akses ke printer server.