Awas Conficker

Jika anda mengalami satu atau beberapa gejala dibawah ini :

  1. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.
  2. Komputer mendapatkan pesan error Generic Host Process.
  3. Komputer tidak bisa mengakses situs-situs tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan “Address not Found” tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan berarti.
  4. Update definisi antivirus terganggu karena akses ke situs antivirus diblok.
  5. Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000

Harap berhati-hati, karena anda sudah terinfeksi virus yang sedang mengganas di seluruh dunia. Anda tidak perlu malu karena bukan komputer anda saja yang terinfeksi, tetapi juga komputer departemen pertahanan Perancis dan Inggris sekalipun terinfeksi oleh virus ini. Kalau anda penasaran siapa sebenarnya yang membuat virus ini, Vaksincom tidak memiliki data yang akurat. Tetapi jika dilihat dari beberapa situs yang dan forum-forum antivirus yang pertama kali memuat informasi mengenai infeksi virus ini, maka dapat dikatakan bahwa pembuat virus ini mirip seperti lagu ciptaan Oddie Agam yang dinyanyikan oleh Sheila Madjid …… Antara Cina dan Rusia. :P.

Pada artikel dibawah ini Ad Sap dari Vaksincom memberikan uraian tentang aksi virus ini dan bagaimana cara membasminya. Tetapi memang virus Conficker ini cukup cerdas dan memiliki kemampuan mengupdate dirinya dan memiliki satu payload spesial yang sangat menyulitkan pembuat antivirus untuk membuat tools membasmi dirinya. Karena itu, jika jaringan komputer di kantor anda terinfeksi virus ini dan meskipun anda sudah banting tulang membersihkan tetapi virus tersebut tetap membandel. Dan anda ingin mendapatkan informasi terkini dari ahlinya untuk membasmi virus ini, silahkan hadiri Seminar Membasmi Conficker yang akan diadakan pada tanggal 28 Januari 2009 di Club Chouse Apartemen Paviliun. Biaya seminar Rp. 125.000,- termasuk makan siang dan coffee break.

Di setiap pergantian tahun, kebanyakan orang berkomitmen dengan harapan, semangat, motivasi dan energi baru, agar memiliki perubahan kehidupan yang lebih baik lagi di tahun yang baru. Bagi sebagian kalangan pengguna komputer, tahun baru terkadang dijadikan sebagai ajang untuk implementasi sistem baru (baik itu upgrade hardware komputer maupun program/software baru).

Tak terkecuali bagi para pembuat virus, tahun baru dijadikan sebagai ajang “unjuk gigi” dan percobaan ide-ide serta metode-metode baru dalam melakukan penyebaran virus. Jika sebelumnya virus lokal “hopeless” mengawali rekan-rekan pembuat virus lokal di tahun baru ini, maka tidak ketinggalan dengan virus mancanegara yang juga ikut mengawali tahun baru dengan varian virus yang lebih canggih. Masih ingat kah anda pada kasus “Generic Host Process” error yang merupakan pertanda dari virus W32/Conficker atau W32/Downadup, http://vaksin.com/2008/1208/conficker/conficker.htm , maka kali ini muncul dengan varian baru virus yang memiliki target serangan Windows XP, Vista, Windows Server (semau versi) dan bahkan Windows 7 versi Beta pun masih rentan atas serangan virus ini.

Norman Security Suite mendeteksi varian baru virus tsb sebagai W32/Conficker.DV, sedangkan antivirus lain mendeteksi sebagai Win32.Kido.CG (Kaspersky), W32.Downadup.B (Symantec), W32.Downadup.AL (F-Secure), W32.Conficker.B (Microsoft), W32.Conficker.A (CA, Sophos dan McAfee), Worm_Downad.AD (Trend Micro) dan W32/Conficker.C (Panda). (lihat gambar 1)

Gambar 1, Norman Security Suite mendeteksi sebagai W32/Conficker.DV

Ciri File Virus

Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bertipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype "dll" (dynamic link library).

File virus yang berusaha masuk akan berada pada lokasi temporary internet :

- %Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\[%nama acak%].[%gif,jpeg,bmp,png%]

- %Documents and Settings\[%user%]\Local Settings\Temporary Internet Files\[%gif,jpeg,bmp,png%]

Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut :

- %Documents and Settings%\[%user%]\Application Data\[%nama acak%].dll

- %Program Files%\Internet Explorer\[%nama acak%].dll

- %Program Files%\Movie Maker\[%nama acak%].dll

- %WINDOWS%\system32\[%nama acak%].dll

- %WINDOWS%\Temp\[%nama acak%].dll

File "dll" inilah yang aktif dan "mendompleng" file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali.

Virus juga akan mengcopy file “[%nama acak%].tmp” pada folder %WINDOWS%\system32 (contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tsb, kemudian virus mendelete file tsb.

Gejala / Efek Virus

Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :

- Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall / Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-Disable beberapa service, yaitu : (lihat gambar 2)

· wscsvc : Security Center

· wuauserv : Automatic Updates

· BITS : Background Intellegent Transfer Service

· ERSvc : Error Reporting Service

· WerSvc : Windows Error Reporting Service (Vista, Server 2008)

· WinDefend : Windows Defender (Vista, Server 2008)

Green Man

0 komentar:

Langganan: Posting Komentar (Atom)