Minggu, 05 Juli 2009

Membersihkan CONFICKER atau biasa dikenal sebagai virus jaringan


Ciri komputer/jaringan terserang Conficker

Jika mendadak komputer anda mendapatkan pesan Generic Host Process Error dan setelah itu koneksi internet dari komputer tersebut mati/lag, maka kemungkinan besar jaringan komputer anda sudah tercemar oleh Conficker.

Penyebabnya bukanlah komputer yang menampilkan pesan GHP error tersebut, melainkan karena (minimal) salah satu komputer di jaringan anda sudah terinfeksi Conficker dan secara otomatis melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua komputer yang rentan atau belum di patch Windows Update - MS 06-037.
Virus tersebut berusaha mengakses jaringan dengan menggunakan celah windows ‘Default Share’ (ADMIN$\system32) dengan menebak password administrator.

Selain itu ‘Conficker.DV’ juga membuat file pada media removable seperti flashdisk, harddisk dan card reader dengan menyimpan file hidden pada root drive.
Sementara aksi yang sama seperti pendahulunya, yaitu berusaha mengexploitasi MS08-067 atau celah keamanan Windows, Windows Server Service atau SVCHOST.exe.
Banyak user yang terinfeksi dikarenakan tidak mengaktifkan fitur Automatic Updates dan tidak melakukan patch windows MS08-067 dan sering Muncul Error dengan kata SVCHOST.EXE ERROR

Jika ada komputer yang berhasil di infeksi, maka Conficker akan melakukan beberapa rutinitas canggih yang membuat kita “sedikit” sakit kepala :), diantaranya adalah :

1. Melumpuhkan System Restore
Conficker akan melumpuhkan System Restore dengan cara mereset “Restore Point” Untuk mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point.
System Restore adalah fasilitas “Mesin Waktu” yang tersedia di beberapa OS Windows seperti ME, XP dan Vista yang berfungsi sebagai backup system OS dan dapat membantu mengembalikan setting komputer pada keadaan normal jika suatu saat terjadi kesalahan instal program yang tidak diinginkan ataupun karena terinfeksi virus.

2. Membuat HTTP Server
Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) bagi jaringan lokal. Jika ada komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch, maka ia akan mencoba menyerang dan jka berhasil maka komputer korbannya akan mendownload ke HTTP server yang dibuat tadi untuk mendownload file virus dan menjalankannya. Selain itu, dalam aksinya ini Conficker menyebabkan matinya Internet connection Sharing.

3. Melakukan patch pada komputer korbannya
Setelah berhasil menginfeksi komputer korbannya, Conficker akan melakukan patching pada komputer korbannya, Tujuannya melakukan patch adalah untuk mencegah infeksi ulang yang malahan akan mengakibatkan komputer tidak stabil sehingga tidak bisa mencari korban baru.

4. Download File untuk update dirinya
Conficker meniru antivirus dan akan berusaha mendownload file (kemungkinan updatenya di masa depan) ke beberapa website yang telah disiapkan daftarnya (250 domain) dengan tujuan mempersulit vendor antivirus untuk memblok domain-domain update tersebut satu persatu.

Dibawah ini langkah untuk mencegah virus tersebut, diantaranya :
  1. Patch SEMUA komputer yang OS-nya rentan terhadap celah keamanan RPC Dcom 3. Untuk mendapatkan detail patchnya silahkan klik disini
  2. Download KidoKiller dari www.kaspersky.com lalu jalankan kidokiller tersebut.
Atau cara lainnya :
  1. Putuskan jaringan komputer yang akan dibersihkan
  2. Matikan system restore (Windows XP/Vista).
  3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Jika belum memiliki, bisa didownload di situs norman.
  4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.
  5. Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)
  6. Hapus string registry yang dibuat oleh virus. Untuk mempermudah, dapat menggunakan script registry di bawah ini :
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
Hidden, 0×00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden, 0×00000001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0×00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

Gunakan notepad, kemudian simpan dengan nama ‘repair.inf’, lalu ‘Save As Type’ menjadi ‘All Files’ agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih install.

0 komentar:

Posting Komentar