Ciri-Ciri Virus Conficker dan Cara Mengatasinya
Seperti virus penyakit, virus
komputer juga menyebar dengan cepat dari satu komputer ke komputer lain. Wabah
yang tengah mengancam jutaan komputer di seluruh dunia sekarang adalah serangan
yang disebut conficker. Conficker yang juga disebut Downandup atau Kido
menyerang dengan cara memanfaatkan celah kelemahan pada fitur Windows Service
yang telah ditambal Microsoft bulan Oktober lalu. Namun, beberapa laporan
mengatakan, virus tersebut tidak mati meski patch telah dipasang. Conficker
menginfeksi dengan cara menebak password admin di jaringan atau melalui USB
flash. Jadi, hati-hati terhadap serangan ini dan lebih waspada setiap kali
melakukan tukar-menukar file. Update antivirus mutlak untuk mengantisipasi
kemungkinan serangan.
Jika anda mengalami satu
atau beberapa gejala dibawah ini, berarti Conficker telah menginfeksi:
1. Username Login di Active
Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci
(lock) dan dibuka oleh Admin, tetapi terkunci lagi.
2.Komputer mendapatkan pesan error
Generic Host Process.
3.Komputer tidak bisa mengakses
situs-situs tertentu seperti www.microsoft.com, www.symantec.com,
www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com
dengan pesan “Address not Found” tetapi jika situs-situs tersebut di akses dari
alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan
berarti.
4.Update definisi antivirus
terganggu karena akses ke situs antivirus diblok.
5. Banyak aplikasi tidak berfungsi
dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port
1024 s/d port 10.000
Ciri File Virus
Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bert ipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype “dll” (dynamic link library). File virus yang berusaha masuk akan berada pada lokasi temporary internet:
1. %Documents and Settings-Settings-Internet Files-acak%].[%gif,jpeg,bmp,png%]
Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bert ipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype “dll” (dynamic link library). File virus yang berusaha masuk akan berada pada lokasi temporary internet:
1. %Documents and Settings-Settings-Internet Files-acak%].[%gif,jpeg,bmp,png%]
2. %Documents and
Settings-Settings-Temporary Internet Files-
Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut :
Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut :
3. %Documents and
Settings%-Data-acak%].dll
4. %Program Files%-Explorer-acak%].dll
5. %Program Files%-Maker-acak%].dll
6. %WINDOWS%-acak%].dll
7. %WINDOWS%-acak%].dll
File “dll” inilah yang aktif dan “mendompleng” file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali. Vi rus juga akan mengcopy file “[%nama acak%].tmp” pada folder %WINDOWS%-(contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tersebut, kemudian virus mendelete file tersebut.
File “dll” inilah yang aktif dan “mendompleng” file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali. Vi rus juga akan mengcopy file “[%nama acak%].tmp” pada folder %WINDOWS%-(contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tersebut, kemudian virus mendelete file tersebut.
Gejala/Efek Virus
Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :
1. Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-disable beberapa service, yaitu: wscsvc : Security Center, wuauserv : Automatic Updates, BITS : Background Intellegent Transfer Service, ERSvc : Error Reporting Service, WerSvc : Windows Error Reporting Service (Vista, Server 2008), WinDefend : Windows Defender (Vista, Server 2008),
Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :
1. Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-disable beberapa service, yaitu: wscsvc : Security Center, wuauserv : Automatic Updates, BITS : Background Intellegent Transfer Service, ERSvc : Error Reporting Service, WerSvc : Windows Error Reporting Service (Vista, Server 2008), WinDefend : Windows Defender (Vista, Server 2008),
2. Virus m ampu melakukan blok
terhadap program aplikasi yang berjalan saat mengakses website yang mengandung
string berikut. Hal ini dilakukan tanpa melakukan perubahan pada host file yang
ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan
update antivirus dan mencegah user saat mencoba akses ke website keamanan.
Seperti Ccert, sans, bit9, windowsupdate, pctools,
norman, clamav, avira, avast, grisoft, nod32, kaspersky, f’secure,
etrust, panda, sophos, trendmicro, mcafee, norton, symantec, microsoft,
defender, dll
3. Virus berusaha melakukan
perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :
” netsh interface tcp set global autotuning=disabled“
Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba aks es jaringan. Info selengkapnya pada
” netsh interface tcp set global autotuning=disabled“
Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba aks es jaringan. Info selengkapnya pada
http://support.microsoft.com/kb/947239
4. Virus berusaha mendownload dan
mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary
internet. Virus melakukan download pada beberapa website berikut :
aaidhe.net, aamkn.cn, abivbwbea.info, aiiflkgcw.cc, alfglesj.info, amcfussyags.net, amzohx.ws, apaix.ws, argvss.info, arolseqnu.ws,
asoidakm.cn, atnsoiuf.cc, dll
aaidhe.net, aamkn.cn, abivbwbea.info, aiiflkgcw.cc, alfglesj.info, amcfussyags.net, amzohx.ws, apaix.ws, argvss.info, arolseqnu.ws,
asoidakm.cn, atnsoiuf.cc, dll
5. Virus akan mengecek koneksi
internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari
2009. Untuk itu virus mengecek pada beberapa wesite berikut : baidu.com,
google.com,
yahoo.com, msn.com, ask.com, w3.org, aol.com, cnn.com, ebay.com,
msn.com, myspace.com
yahoo.com, msn.com, ask.com, w3.org, aol.com, cnn.com, ebay.com,
msn.com, myspace.com
6. Virus akan membuat rule firewall
pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan
mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam
port (1024 hingga 10000).
7. Virus akan membuat services
dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up
windows :
Service name: “[%nama acak%].dll“
Path to executable: %System32%–k netsvcs
Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) :
Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows
Service name: “[%nama acak%].dll“
Path to executable: %System32%–k netsvcs
Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) :
Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows
8. Virus membuat HTTP Server pada
port yang acak :
Http://%ExternalIPAddress%:%PortAcak(1024-10000)%
Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi : http://www.getmyip.org, http://www.whatsmyipaddress.com, http://getmyip.co.uk, http://checkip.dyndns.org, Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah :
“rundll32.exe .[%eks tensi acak%], [%acak]“
Http://%ExternalIPAddress%:%PortAcak(1024-10000)%
Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi : http://www.getmyip.org, http://www.whatsmyipaddress.com, http://getmyip.co.uk, http://checkip.dyndns.org, Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah :
“rundll32.exe .[%eks tensi acak%], [%acak]“
Simak 7 langkah membasmi
virus Conficker dari Vaksincom berikut ini:
1. Putuskan komputer yang akan
dibersihkan dari jaringan/internet. Matikan akses WiFi kalau ada dan cabut
kabel ethernet dari jaringan LAN.
2. Matikan system restore (Windows
XP/Vista).
Caranya pilih Start>>All Program>>Accesories>>System Tools>>System Restore kemudian pada menu setting pilih off untuk seluruh partisi.
Caranya pilih Start>>All Program>>Accesories>>System Tools>>System Restore kemudian pada menu setting pilih off untuk seluruh partisi.
3. Matikan proses virus yang aktif
pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang
aktif. Program ini tersedia cuma-cuma dan dapat di-download di bawah ini :
http://download.norman.no/public/Norman_Malware_Cleaner.exe
http://download.norman.no/public/Norman_Malware_Cleaner.exe
4. Delete service svchost.exe
gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual
pada registry.
5. Hapus Schedule Task yang dibuat
oleh virus. (C:-WINDOWS-Tasks)
6. Hapus string registry yang dibuat
oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini.
Salin script ini lalu install.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del[UnhookRegKey]
HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced, Hidden, 0×00000001,1
HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced, SuperHidden, 0×00000001,1
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-Hidden-SHOWALL, CheckedValue, 0×00000001,1
HKLM, SYSTEM-CurrentControlSet-Services-BITS, Start, 0×00000002,2
HKLM, SYSTEM-CurrentControlSet-Services-ERSvc, Start, 0×00000002,2
HKLM, SYSTEM-CurrentControlSet-Services-wscsvc, Start, 0×00000002,2
HKLM, SYSTEM-CurrentControlSet-Services-wuauserv, Start, 0×00000002,2[del]
HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, dl
HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, ds
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, dl
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, ds
HKLM, SYSTEM-CurrentControlSet-Services-Tcpip-Parameters, TcpNumConnections
Gunakan notepad untuk menyalin, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Catatan : Untuk file yang aktif pada startup, anda dapat men-disable melalui “msconfig” atau dapat men-delete secara manual pada string :
“HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Run”
Signature=”$Chicago$”
Provider=Vaksincom Oyee[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del[UnhookRegKey]
HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced, Hidden, 0×00000001,1
HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced, SuperHidden, 0×00000001,1
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-Hidden-SHOWALL, CheckedValue, 0×00000001,1
HKLM, SYSTEM-CurrentControlSet-Services-BITS, Start, 0×00000002,2
HKLM, SYSTEM-CurrentControlSet-Services-ERSvc, Start, 0×00000002,2
HKLM, SYSTEM-CurrentControlSet-Services-wscsvc, Start, 0×00000002,2
HKLM, SYSTEM-CurrentControlSet-Services-wuauserv, Start, 0×00000002,2[del]
HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, dl
HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, ds
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, dl
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, ds
HKLM, SYSTEM-CurrentControlSet-Services-Tcpip-Parameters, TcpNumConnections
Gunakan notepad untuk menyalin, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Catatan : Untuk file yang aktif pada startup, anda dapat men-disable melalui “msconfig” atau dapat men-delete secara manual pada string :
“HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Run”
7. Untuk pembersihan virus
W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya
menggunakan antivirus yang ter-update dan mampu mendeteksi virus ini dengan
baik dan patch komputer anda dengan
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
guna mencegah infeksi ulang.
sumber: Kompas.com
Comments
Post a Comment