Conficker / win32. downadup

Worm yang satu ini memang benar benar telah membuat kesal microsoft. Dalam hal mengatasi virus/ worm yang satu ini dibuat sangat spesial oleh microsoft. Pada saat ini microsoft membuat sayembara bagi siapapun yang berjasa dalam menangkap pelaku pembuat worm conficker ini. Microsoft dalam hal ini tidak tanggung tanggung memberikan hadiah US$ 250ribu atau sekitar 3 miliar bagi siapapun yang dapat menangkapnya atau mengungkap siapa pelakukanya.

Microsoft sendiri sebenarnya juga telah berusaha membendung penyebaran Conficker dengan menjalin kerjasama dengan beberapa organisasi dan perusahaan keamanan. Namun dengan digelarnya sayembara ini, sepertinya usaha Microsoft masih belum membuahkan hasil.

Conficker secara khusus memang menyasar ke pengguna sistem operasi Windows besutan Microsoft, mulai dari versi Windows XP Vista, hingga Windows 7 versi Beta. Layanan keamanan Windows menjadi tidak berfungsi, bahkan komputer yang ada dalam 1 jaringan juga bisa tertular.

Beberapa gejala komputer yang terinfeksi oleh confiker :
- Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.
Komputer mendapatkan pesan error Generic Host Process.

- Komputer tidak bisa mengakses situs-situs tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan “Address not Found” tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan berarti.

- Update definisi antivirus terganggu karena akses ke situs antivirus diblok.

- Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000

Selain itu conficker juga dapat melakukan beberapa kegiatan rutin yang cangih antara lain :
- Melumpuhkan System Restore
- Membuat HTTP Server
- Melakukan patch pada komputer korbannya
- Download File untuk update dirinya ke beberapa website yang telah disiapkan daftarnya (250 domain)

Benar benar dibuat istimewa virus yang satu ini, yang mampu mengalahkan beberapa worm sebelumnya seperti worm Sasser pada tahun 2004 dan blaster pada tahun 2003.

Untuk mengatasi virus/ worm ini silahkan anda klik disini.

atau dengan cara berikut :

Putuskan komputer yang akan dibersihkan dari jaringan/internet.

Matikan system restore (Windows XP / Vista).

Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif.

Gunakan Norman Malware Cleaner untuk membersihkan virus yang aktif
http://download.norman.no/public/Norman_Malware_Cleaner.exe

Delete service svchost.exe gadungan yang ditanamkan virus pada regisrty. Anda dapat mencari secara manual pada registry


Hapus proses svchost.exe gadungan yang mengaktifkan virus

Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)

Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini :

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x00000001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0x00000001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00000001,1

HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0x00000002,2



[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Catatan : Untuk file yang aktif pada startup, anda dapat men-disable melalui “msconfig” atau dapat men-delete secara manual pada string :

“HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run”

Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini dengan baik dan patch komputer anda dengan http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx guna mencegah infeksi ulang.

referensi artikel :
http://www.detikinet.com/
http://www.vaksin.com/
http://virologi.info/

0 komentar:

Posting Komentar