Monday 8 December 2008

Hati-hati dengan Pesan "Generic Host Process for Win 32 Services Error"

Beberapa hari lalu dilaptop saya saat melakukan koneksi internet dengan IndosatM2 selalu muncul"Generic Host Process for Win 32 Services Error",akhirnya saya melakukan instalasi ulang kemarin,bukan karena masalah "Generic Host Process for Win 32 Services Error" tapi karena penyakit tambahan Trojan AIG.vbs yang sangat kronis menginfeksi laptop saya terpaksa System Hardisk saya format,berikut artikel mengenai pesan error tersebut..

GHP Error akan muncul tiba-tiba dengan pesan “Generic Host Process for Win 32 Services Error” pada saat browsing yang mengakibatkan koneksi internet langsung terputus, hal ini banyak dikeluhkan terutama yang memakai koneksi broadband,meskipun sudah mencoba reset koneksi LAN / Wifi tetap tidak bisa terkoneksi kembali dan koneksi internet hanya bisa normal kembali jika komputer di restart. Tetapi celakanya, hal ini akan berulang lagi beberapa saat kemudian dan frekwensi munculnya sangat mengganggu. Ada pula yang mengeluhkan komputer mendapatkan pesan yang sama dan ketika di scan dengan antivirus tidak mendapatkan virus apapun dan kasus lain yang dilaporkan pada salah satu mailing list bahkan setelah mendapatkan pesan Generic Host Process komputer langsung menolak di instal antivirus.Sudah dipastikan ini merupakan yang dilakukan sejenis worm yang menyerang celah kemanan RPC DCOM.

Dulu masalah ini sering terjadi dan Microsoft telah melakukan update,Rupanya update celah keamanan RPC Dcom MS04-012 yang merupakan penyempurnaan dari MS03-039 ternyata tetap masih belum sempurna. Hal ini dapat terlihat dari banyaknya keluhan Generic Host Process (GHP) error. Apa hubungan GHP dengan RPC Dcom ? Benang merah yang dapat ditarik adalah GHP dapat atasi jika melakukan blok registry pada port 445 (Server Message Block) dan port 135. Seperti kita ketahui, port 135 adalah port Dcom. Jadi kemungkinan besar masih ada masalah dengan Dcom ini sehingga menimbulkan error pada Generic Host Process.

insiden komputer yang sering sekali dialami oleh pengguna komputer Indonesia adalah Generic Host Process Error, yang notabene diakibatkan oleh serangan pada port Dcom (port 135) dan salah satu kemungkinan terbesar adalah karena ada celah keamanan baru “lagi-lagi” pada RPC Dcom.

Kemungkinan lain adalah adanya serangan virus baru yang memiliki payload menyerang port Dcom 135 dan port 445 SMB. Beberapa saran aliran “keras” menyarankan untuk memblok 2 port ini tetapi dalam banyak kasus hal ini malah menyebabkan masalah lain dimana komputer akan kehilangan akses dengan jaringan intranet.


Melakukan Patching

Apapun masalahnya, solusi pertama dan terbaik jika anda menemukan masalah celah keamanan pada komputer anda adalah melakukan patching / penambalan atas celah keamanan Dcom. Jika OS anda ibaratnya adalah benteng yang pintu masuk dan keluarnya dijaga ketat baik oleh program antivirus, celah keamanan ibaratnya ada kelemahan pada tembok benteng yang rapuh dan virus bukan menyerang melalui pintu masuk melainkan masuk dari tembok yang rapuh tersebut. Program antivirus pada dasarnya tidak di desain untuk menjaga serangan yang mengeksploitasi celah keamanan sehingga secara teknis Operating System komputer yang mengandung celah keamanan dan terproteksi dengan antivirus update terbaru TETAP akan terinfeksi virus sekalipun virus yang menyerang itu sudah terdeteksi oleh program antivirus tersebut, sebab utamanya adalah karena celah keamanan memungkinkan banyak hal, termasuk eksekusi file virus tanpa dapat di intervensi oleh antivirus. Dalam banyak kasus malahan program antivirus kemudian dilumpuhkan oleh virus tersebut. Karena itu, anda sangat disarankan untuk melakukan penambalan celah keamanan RPC Dcom yang terbaru.

Gunakan Firewall

Karena aplikasi Dcom yang sangat luas ini, dalam beberapa kasus masih ditemui komputer yang tetap berhasil dieksploitasi sekalipun sudah di patch. Bahkan menurut laporan yang diterima Vaksincom, Windows XP Service Pack 3 sekalipun tetap mengalami celah keamanan baru tersebut. Pembahasan lebih mendalam untuk celah keamanan RPC Dcom ini akan dilakukan pada artikel berikut. Untuk sementara, guna mengamankan diri anda dari eksploitasi celah keamanan RPC Dcom, Vaksincom menyarankan anda menggunakan Firewall untuk melindungi komputer anda. Adapun port-port yang digunakan untuk menginisiasi koneksi dengan RPC dan perlu anda blok pada firewall anda adalah :

* UDP Port 135, 137, 138 dan 445.
* TCP Port 135, 139, 445 dan 593





Port-port di atas adalah port yang digunakan untuk menginisiasi koneksi dengan RPC dan eksploitasi celah keamanan RPC dapat dicegah oleh firewall dengan memblok port-port di atas.(dafis/vaksincom)