Rabu, 14 Maret 2012

Mengatasi Virus Conficker ( Kido, Downadup )


Virus Conficker adalah salah satu virus yang mengganggu karena menyerang dan melumpuhkan jaringan komputer. Berikut sedikit informasi berdasarkan pengalaman saya,kebetulan warnet saya juga baru saja terkena virus yang sangat menyebalkan ini.
Conficker dikenal dengan beberapa nama, tergantung antivirus yang digunakan. Berikut nama lain dari virus Conficker.
  1. W32/Confi
  2. W32/Conficker.worm!inf
  3. Win32/Conficker.B - CA
  4. Worm:W32/Downadup.AL
  5. Net-Worm.Win32.Kido
  6. W32/Conficker.worm.gen
  7. Kido
Jika anda mengalami satu atau beberapa gejala dibawah ini, berarti Conficker telah menginfeksi:
1. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.
2.Komputer mendapatkan pesan error Generic Host Process.
3.Komputer tidak bisa mengakses situs-situs tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan “Address not Found” tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan berarti.
4.Update definisi antivirus terganggu karena akses ke situs antivirus diblok.
5. Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000
Ciri File Virus
Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bert ipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype “dll” (dynamic link library). File virus yang berusaha masuk akan berada pada lokasi temporary internet:
1. %Documents and Settings-Settings-Internet Files-acak%].[%gif,jpeg,bmp,png%]
2. %Documents and Settings-Settings-Temporary Internet Files-
Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut :
3. %Documents and Settings%-Data-acak%].dll
4. %Program Files%-Explorer-acak%].dll
5. %Program Files%-Maker-acak%].dll
6. %WINDOWS%-acak%].dll
7. %WINDOWS%-acak%].dll
File “dll” inilah yang aktif dan “mendompleng” file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali. Vi rus juga akan mengcopy file “[%nama acak%].tmp” pada folder %WINDOWS%-(contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tersebut, kemudian virus mendelete file tersebut.

Gejala/Efek Virus
Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :
1. Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-disable beberapa service, yaitu: wscsvc : Security Center, wuauserv : Automatic Updates, BITS : Background Intellegent Transfer Service, ERSvc : Error Reporting Service, WerSvc : Windows Error Reporting Service (Vista, Server 2008),  WinDefend : Windows Defender (Vista, Server 2008),
2. Virus m ampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke website keamanan.   Seperti  Ccert,  sans, bit9, windowsupdate,  pctools, norman,  clamav, avira, avast, grisoft, nod32, kaspersky, f’secure, etrust, panda, sophos, trendmicro, mcafee, norton, symantec, microsoft, defender, dll
3. Virus berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :
netsh interface tcp set global autotuning=disabled
Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba aks es jaringan. Info selengkapnya pada
http://support.microsoft.com/kb/947239
4. Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet. Virus melakukan download pada beberapa website berikut :
aaidhe.net, aamkn.cn, abivbwbea.info, aiiflkgcw.cc, alfglesj.info, amcfussyags.net, amzohx.ws, apaix.ws, argvss.info, arolseqnu.ws,
asoidakm.cn, atnsoiuf.cc, dll
5. Virus akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa wesite berikut :  baidu.com, google.com,
yahoo.com, msn.com, ask.com, w3.org, aol.com, cnn.com, ebay.com,
msn.com, myspace.com
6. Virus akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
7. Virus akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows :
Service name: “[%nama acak%].dll
Path to executable: %System32%–k netsvcs
Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) :
Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows
8. Virus membuat HTTP Server pada port yang acak :
Http://%ExternalIPAddress%:%PortAcak(1024-10000)%
Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi :  http://www.getmyip.org, http://www.whatsmyipaddress.com,  http://getmyip.co.uk, http://checkip.dyndns.org, Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah :
“rundll32.exe .[%eks tensi acak%], [%acak]“


Pencegahan:
  1. Gunakan anti virus terupdate.
  2. Gunakan password administrator yang kuat
  3. Patch semua komputer yang terhubung dalam jaringan
  4. lindungi komputer dengan Firewall yang memproteksi port : UDP Port 135, 137, 138 dan 445. TCP Port 135, 139, 445 dan 593
Cara Penanggulangan Komputer yang terlanjur terinfeksi virus Conficker (Kido, Downadup)
  1. Scan Komputer yang terinfeksi dengan Norman Malware Cleaner atau Avast internet security di sini untuk situs resmi Norman dapat di download di sini, tapi alangkah baiknya sebelum komputer yang terinfeksi kita scan kita harus pastikan dulu komputer tidak dalam keadaan terkoneksi internet,bila perlu lepas kabel LAN,putuskan hub WIFI jika ada.
  2. Setelah proses scan selesai restart komputer bila dibutuhkan,dan jika virus Conficker sudah bersih segeralah Patch Window anda dengan Microsoft Security Bulletin MS08-067 – Critical yang dapat di download di sini atau di sini.
Password download Avast internet security:  KDblogspot
 Kalau komputer berada dalam jaringan, maka untuk mengetahui komputer mana yang terserang virus Conficker dapat menggunakan situs untuk mengetes Komputer terinfeksi Conficker atau tidak untuk mengetes Komputer anda silahkan klik di sini.
Komputer yang berada dalam satu jaringan harus di patch semua sebab komputer yang belum di patch akan terinfeksi kembali.

Semoga Bermanfaat.Wassalam..

by: Technical IT

Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)