Kalau virus yang menyebar di Indonesia di ibaratkan angkatan bersenjata, kita dapat menggolongkan virus lokal dan virus mancanegara ke dalam dua angkatan yang berbeda. Virus lokal sebagai angkatan darat dan virus mancanegara sebagai angkatan udara. Virus lokal dikenal menyebar melalui jaringan dan UFD (USB Flash Disk) warnet / jaringan lokal dan "sangat sedikit" menyebar melalui email atau internet, walaupun beberapa virus seperti Rontokbro berhasil "lupa daratan" (menyeberang lautan) melalui email, tetapi tetap jumlahnya tidak signifikan. Sebaliknya virus mancanegara seperti Netsky, MyTob dan Small.KL memiliki keunggulan penyebaran sangat tinggi melalui internet, khususnya email dan sangat lemah dalam penyebaran dalam jaringan / UFD (dibandingkan virus lokal). Dua perbedaan inilah yang menjelaskan mengapa statistik insiden virus di Indonesia berbeda dengan statistik insiden virus dunia. Data infeksi virus lokal yang di dapatkan Vaksincom adalah data infeksi virus nyata komputer-komputer di seluruh Indonesia dan bukan virus-virus dalam email yang dihentikan oleh mailserver. Kedua statistik ini tidak untuk dipertentangkan dan tidak ada yang lebih akurat tetapi saling melengkapi dan sebaiknya dipergunakan sebaik-baiknya untuk mempelajari karakteristik dan penyebaran virus serta bagaimana melindungi serangan virus di masa depan.

Dalam pembahasan kali ini Vaksincom akan memberikan informasi IP-IP lokal yang "kerjanya" mengirimkan virus melalui email dan sesuai karakteristiknya, virus yang dibahas kemungkinan besar virus mancanegara (angkatan udara :)). Hal ini penting bagi kita karena :

1. Yang namanya virus baik virus lokal maupun virus mancanegara sama bahayanya.
2. Pengirimnya adalah IP lokal sehingga merupakan tanggung jawab kita untuk mengatasinya.

Sebagai informasi tambahan, bahkan ada ISP lokal yang mengaku imun terhadap virus karena menggunakan sistem antivirus tercanggih namun tetap terbukti IPnya tetap mengirimkan virus email dan yang cukup memprihatinkan, virusnya termasuk virus kuno. Hal inilah sekaligus mempertegas kenyataan bahwa pertempuran menghadapi virus adalah pertempuran lari Marathon dan bukan pertempuran Sprint, jadi Carl Lewis atau Ben Johnson tidak cocok jualan antivirus. Hari ini anda mungkin bisa lolos dari ancaman virus karena menggunakan antivirus tercanggih, namun hal ini tidak berarti besok atau bulan depan anda pasti lolos dari serangan virus karena virus-virus baru yang tidak terdeteksi selalu bermunculan dan agak takabur kalau ada yang antivirus berani menjamin komputer anda tidak mungkin terkena virus. Mengapa ? Karena secara alamiah virus muncul dulu, setelah itu baru ada antivirusnya.

Virus-virus email yang menyebar di Indonesia

Pada umumnya, virus email yang menyebar di Indonesia di dominasi oleh Small.KL, MyTob dan varian Netsky. Semuanya menyandang gelar MM. MM disini bukan Magister Management / MBA, tetapi Mass Mailer alias memiliki kemampuan menyebarkan diri melalui email secara massal / dalam jumlah yang sangat banyak, definisi banyak disini adalah komputer yang terinfeksi akan mengirimkan ribuan sampai puluhan ribu email setiap hari. Ada catatan khusus yang membedakan karakter Small.KL dengan Netsky dan My Tob, dimana Small.KL tidak memalsukan header IP sehingga dapat digunakan sebagai alat bantu untuk mendeteksi komputer identitas pengirim virus yang sebenarnya. Sedangkan Netsky (+ variannya) dan MyTob memalsukan header IP komputer pengirim virus sehingga tidak dapat digunakan sebagai alat pengidentifikasi komputer penyebar virus.

Selain itu kami ingatkan jangan sekali-kali anda memvonis sebuah alamat email mengirimkan virus kepada anda dengan melihat alamat sender (pengirim) karena alamat pengirim ini dipalsukan oleh virus (mungkin yang membuat virus pertama kali terinspirasi kompeni yang sukses menjajah Indonesia 3.5 abad dengan hanya berbekal ilmu mengadu domba) dan Vaksincom juga tidak menyarankan pengaktifan automatic reply / warning setiap kali mailserver menerima virus. Pertimbangan utamanya adalah karena alamat pengirim dipalsukan oleh virus dan hal tersebut memboroskan bandwidth dan resource (sumber daya) mailserver anda. Bayangkan, untuk setiap virus yang diterima mailserver anda secara otomatis melakukan reply ke alamat yang dipalsukan oleh virus. Lebih baik bandwidth tersebut anda sumbangkan kepada orang lain yang membutuhkannya.

Bagaimana cara menentukan IP yang mengirimkan virus

Jika anda menerima kiriman virus melalui email dan anda ingin mengetahui siapa yang mengirimkan email tersebut, anda dapat mengetahui hal tersebut dari header email. Seperti kita ketahui, seperti surat pos biasa yang terdiri dari amplop dan kertas surat, pada dasarnya email juga sama. Dan sama seperti surat kaleng yang dapat dipalsukan pengirimnya, pengirim email juga dapat dipalsukan dengan teknik forging. Namun ada satu hal yang tidak dapat dipalsukan, cap pos dimana surat dikirimkan. Berdasarkan cap pos inilah kita dapat melacak "kira-kira" di kantor pos mana surat kaleng tersebut dikirimkan. Dalam kasus email, yang tidak dapat dipalsukan adalah IP (Internet Protocol) server pengirim email. Berdasarkan IP dan waktu pengiriman email inilah identitas komputer yang mengirimkan virus dapat ditentukan.

Setelah menemukan IP, kita perlu mengidentifikasi siapa pemilik blok IP tersebut (biasanya ISP) menggunakan tools yang banyak tersedia di internet / website ISP anda, salah satunya adalah www.apjii.or.id/tools. Masukkan alamat IP pengirim virus ke dalam tools dan anda akan menemukan siapa / ISP mana pemilik IP tersebut. Setelah mengetahui IP pengirim virus, berbekal timestamp (stempel waktu) server pengirim virus, dengan bantuan ISP anda dapat menentukan siapa pelanggannya yang mengirimkan virus.

Karena keterbatasan akses data customer ISP (yang "katanya" dilindungi Undang Undang) kita tidak dapat langsung mengidentifikasi siapa user IP-IP yang mengirimkan virus, namun anda dapat mengirimkan email ke ISP yang bersangkutan dengan alamat umum admin@nama_ isp.net.id atau abuse@nama_isp.net.id dan berikan informasi detail seperti Timestamp dan jenis virus yang dikirimkan. Itulah usaha maksimal yang dapat anda lakukan dan selanjutnya tergantung layanan admin ISP tersebut, apakah pro aktif membantu, cuek atau malahan pura-pura tidak tahu, yang jelas hal ini akan membawa dampak langsung pada kualitas koneksi ISP tersebut dan koneksi internet di Indonesia pada umumnya.
Gambar 1 di bawah merupakan capture email dari Yahoomail dimana kita dipermudah untuk mengidentifikasi IP pengirim virus dengan melihat pada [X-originating-IP:] (Stabilo kuning). Untuk mengetahui timestamp dapat dilihat dari [Recieved:] (Stabilo merah)
Image

Dari pemantauan yang dilakukan oleh Vaksincom, ada beberapa point yang menjadi perhatian :

1. Cuek Award.
Kalau meniru Academy Award, rasanya ingin sekali memberikan "Cuek Award" kepada IP 202.152.7.** yang setiap hari mengirimkan ratusan virus dengan Small.KL ukuran masing-masing sebesar 179 KB. "Penyiksaan" ini terjadi dari tanggal 26 Maret 2006 s/d 14 Mei 2006. Kalau kita kalikan 179 kb X 100 X 48 hari = 859.200 KB, lebih kurang 800 MB dibuang percuma karena kecuekan (atau ke tidak tahuan ....??). Dengan catatan "hanya" 1 (satu) komputer yang terinfeksi virus. Anda bisa bayangkan kalau beberapa komputer di departemen (... ooops) tersebut yang terinfeksi virus. Tinggal dikalikan saja pemborosan bandwidthnya.

2. ISP bukan pihak yang bersalah, jangan menjitak Admin anda (kecuali yang sudah pakai helm)
Karena mayoritas IP dimiliki oleh ISP yang kemudian memberikan kepada pelanggannya baik secara static IP (tetap) maupun dynamic IP (berubah-ubah). Dan IP mailserver yang mengirimkan virus email ini merupakan blok IP milik ISP maka kami mengharap para decision maker untuk tidak langsung menyalahkan Admin. Karena blok IP yang static harusnya memang menjadi tanggung jawab pemilik IP Static, dan blok IP dynamic menjadi tanggung jawab ...... nano nano (rame-rame kali yah... karena yang pakai kan rame-rame). Jadi Admin ISP memang menjadi korban dan bukan aktor pelaksana lapangan, apalagi aktor intelektual (seperti acara Teve saja .... Buser).

3. ISP bebas virus ??
Bagi ISP yang mengklaim bahwa jaringannya 100 % bebas virus dan terbukti IPnya mengirimkan virus, juga jangan menjitak Adminnya (bisa-bisa botak semua admin ISP). Inilah saatnya anda menjitak ... ooops, meminta cash back kepada vendor sekuriti anda dan bangun dari tidur indah, inilah kenyataan, virus muncul lebih dulu dari antivirus. Jadi tidak ada antivirus yang bisa memproteksi 100 % dari segala jenis virus dan menjamin tidak mungkin kena virus. Kalau masih ada yang percaya ..... silahkan jalankan kepercayaan anda sebaik-baiknya karena hal ini dilindungi Undang Undang, hanya saja kami berdoa semoga anda cepat kembali ke "jalan yang benar".

4. Toyota Kijang lebih jelek dari Jaguar ?
Kami cukup yakin anda lebih sering melihat Kijang mogok daripada Jaguar mogok (kecuali anda kerja di bengkel Jaguar). Namun hal ini tidak menujukkan bahwa Kijang lebih rentan mogok dari Jaguar. Masalahnya adalah di Indonesia Kijang sudah terjual jutaan unit dan Jaguar baru terjual ribuan / belasan ribu unit. Jadi kalau 100 Kijang mogok itu hanya mewakili 100 / 1.000.000 = 0.01 % Kijang mogok. Sebaliknya kalau 1 saja Jaguar mogok 1 / 10.000, itu sudah mewakili 0.01 % Jaguar mogok. Hal tersebut juga berlaku di ISP, jadi kalau anda sering lihat nama-nama seperti T*lk*m, cb*, jangan lupakan perbandingan Kijang dengan Jaguar.

Apa yang harus anda lakukan jika menerima virus email ?

Rasanya tidak baik kalau hanya bisa menyalahkan tanpa bisa memberi solusi. Maka jika anda menerima email bervirus yang harus anda lakukan adalah (dengan catatan sebaiknya anda menggunakan antivirus supaya terlindung dari ancaman virus) :
1. Jangan marah atau langsung reply karena anda akan malu sendiri, email sender (pengirim) virus umumnya dipalsukan oleh virus.
2. Lihat header email dan tentukan IP pengirim virus. (Kalau anda menggunakan Outlook klik kanan pada email dan pilih [Options] dan lihat data di "Internet Headers", kalau banyak copykan ke Notepad dan lihat pelan-pelan sambil makan siang.
3. Identifikasi pemilik IP, umumnya anda dapat temukan informasi ini di X-originating IP. Tetapi dalam beberapa kasus informasi ini kurang akurat dan kami sarankan anda untuk menganalisa Header email lengkap. Kalau membutuhkan bantuan, minta bantuan Admin ISP anda.
4. Gunakan tools identifikasi IP yang banyak tersedia di internet salah satunya adalah www.apjii.or.id/tools masukkan IP pengirim virus .... viola, anda akan mengetahui siapa pemilik IP.
5. Kalau pemiliknya sudah diketahui, kirimkan "TimeStamp" (lihat gambar 1 di atas) ke Admin ISP dan informasikan bahwa IPnya mengirimkan virus. Menurut pengalaman Vaksincom selama ini semua admin ISP sangat kooperatif dan mereka senang sekali membantu karena hal ini juga membantu mengefisienkan bandwidth ISP yang bersangkutan. Kalau sedang sial ketemu Admin / operator judes, yah tidak apa-apa ... mungkin mereka sedang datang bulan.

Pada tabel 1 dibawah ini kami lampirkan IP IP yang terdeteksi mengirimkan virus.


No Tanggal IP

Keterangan
Virus
1 23-May-06 202.155.43.1** **dosa*.net.id IM2 Customer Netsky.P
2 22-May-06 202.53.232.** **done* Bandung Client Dial up Netsky.D
3 22-May-06 61.5.68.1** Te**om Dial Up Slipi Netsky.P
4 22-May-06 202.73.115.1** cb*.net.id Kabelvision cust Netsky.P
5 22-May-06 202.150.80.** spee*.net.id NGO - Bandung Netsky.D
6 22-May-06 202.159.61.** **done* VPN Netsky.C
7 22-May-06 202.155.144.1** **dosa*.net.id Small.KL
8 22-May-06 203.130.215.** Te**om Pusat - Japati Bandung www.telkom.net My Tob@mm
9 22-May-06 4.79.181.** L*v*l 3 Communications www.level3.net Small.KL
10 22-May-06 202.169.224.** Propinsi-DIJ-Egoverment jm*.net.id My Tob@mm
11 22-May-06 203.153.117.** Net2Cyb*r.co.id / x*.co.id x*.co.id Small.KL
12 22-May-06 202.169.245.** PT. Rabik Bangun Pert*** bluel*n*.net.id Small.KL
14 22-May-06 202.62.21.1** PT. Int*rnux www.int*rnux.co.id My Tob@mm
15 22-May-06 4.79.181.** L*v*l 3 Communications www.level3.net Small.KL
16 22-May-06 202.78.207.2** PT. Dwi T*ngg*l Putra www.dtp.net.id Small.KL
17 21-May-06 202.147.196.** Inf*k*m Elektrindo inf*k*m.net Netsky.P
18 21-May-06 202.95.157.** Akad*m* Akunt*ns* dan Komp*t*r Pes*t.net.id My Tob@mm
19 20-May-06 202.78.207.2** PT. Dwi T*ngg*l Putra www.dtp.net.id Small.KL
20 20-May-06 202.62.21.1** PT. Int*rnux www.int*rnux.co.id My Tob@mm
21 19-May-06 203.153.117.** Net2C*ber.co.id x*.co.id Small.KL