Virus Conficker

Sumber: Vaksincom
Tri Wahono
JAKARTA, Kompas - Belum selesai menghadapi virus-virus lokal yang ada, varian virus Conficker menjadi momok sudah menjadi ancaman baru bagi pengguna komputer. Virus ini mampu membuat akses pada website security dan update antivirus menjadi tertutup, membuat scheduled task sendiri dan menjadi mudah berkembang serta membuat jaringan menjadi lambat. Bahkan virus ini juga menyerang Windows Vista dan Windows 2008.
Tak semua antivirus dapat mendeteksinya dan belum satupun antivirus dapat mematahkan kekuatannya. Apa yang dapat Anda lakukan jika komputer Anda terjangkit Conficker? Simak tips dan trik pembasmian virus Conficker dari vaksinis Vaksin.com, Adi Saputra.

Tak semua antivirus dapat mendeteksinya dan belum satupun antivirus dapat mematahkan kekuatannya. Apa yang dapat Anda lakukan jika komputer Anda terjangkit Conficker? Simak tips dan trik pembasmian virus Conficker dari vaksinis Vaksin.com, Adi Saputra.
1. Scan PC yang terinfeksi dengan menggunakan tools Network Monitor, seperti Wireshark, Ethersal,
atau Maa Tech Security. Dengan tools ini kita bisa melihat biang dari penularan virus ini.

2. Kemudian, scan PC yang vulnerable dengan tools analysis security seperti LanGuard Security Scanner, Microsoft Baseline Security Analyzer, dan Nessus untuk mengetahui komputer vulnerable.

3. Lalu putuskan koneksi komputer dari jaringan lokal maupun internet.

4. Matikan proses virus yang aktif pada services dan mendompleng "svchost.exe" dengan menggunakan Norman atau Unlocker untuk membersihkan virus.

5. Hapus string services yang mendompleng pada svchost.exe dengan menggunakan Registry Cleaner seperti Gmer untuk menghapus file virus ini.

6. Hapus pula string registry yang dibuat oleh virus.

7. Hapus string virus yang aktif pada start-up menggunakan ms-config.

8. Kemudian, bersihkan folder Temporary Internet dengan menggunakan tools cleaner, seperti Norman
Malware Cleaner dan Unlocker.


Jangan Lengah, Kenali Ciri-ciri Serangan Conficker

jika terinfeksi virus Conficker, komputer benar-benar seperti zombie yang diambil alih pihak lain. Pengguna tak berkutik terutama saat terhubung dengan jaringan Internet. Serangan Conficker akan sangat mengganggu karena tidak hanya mengambil alih sebagian kerja komputer, namun juga menelanjangi fungsi keamanan yang seharusnya melindungi komputer dari ancaman virus dan sejenisnya.
Namun, karena tidak merusak langsung seringkali serangan tersebut tak disadari. Nah, apakah komputer sudah terinfeksi Conficker atau belum dapat dikenali dari ciri-cirinya. Gejala Conficker yang paling umum adalah munculnya pesan Generic Host Process Error setiap kali pengguna komputer menghubungkan dirinya dengan internet.
Selain itu, Conficker juga diketahui menyebabkan login username Active Directory dikunci karena ia melakukan aksi Bruteforce. Dalam banyak kasus malahan serangan menyebabkan terganggunya koneksi internet komputer/jaringan korbannya.  
Jika anda mengalami satu atau beberapa gejala dibawah ini, berarti Conficker telah menginfeksi:

1. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.

2.Komputer mendapatkan pesan error Generic Host Process.

3.Komputer tidak bisa mengakses situs-situs tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan "Address not Found" tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan berarti.

4.Update definisi antivirus terganggu karena akses ke situs antivirus diblok.

5. Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000  

Ciri File Virus  
Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bert ipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype "dll" (dynamic link library).
File virus yang berusaha masuk akan berada pada lokasi temporary internet:  

1. %Documents and Settings-Settings-Internet Files-acak%].[%gif,jpeg,bmp,png%]

2. %Documents and Settings-Settings-Temporary Internet Files-  
Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut :  

3. %Documents and Settings%-Data-acak%].dll

4. %Program Files%-Explorer-acak%].dll

5. %Program Files%-Maker-acak%].dll

6. %WINDOWS%-acak%].dll

7. %WINDOWS%-acak%].dll  
 
File "dll" inilah yang aktif dan "mendompleng" file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali. Vi rus juga akan mengcopy file "[%nama acak%].tmp" pada folder %WINDOWS%-(contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tersebut, kemudian virus mendelete file tersebut.  

]Gejala/Efek Virus  
Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :  
1. Jika varian sebelumnya mematikan service "Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)". Maka kali ini virus berusaha untuk mematikan dan men-disable beberapa service, yaitu:
- wscsvc : Security Center
- wuauserv : Automatic Updates
- BITS : Background Intellegent Transfer Service
- ERSvc : Error Reporting Service
- WerSvc : Windows Error Reporting Service (Vista, Server 2008)
- WinDefend : Windows Defender (Vista, Server 2008)  

2.Virus m ampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke website keamanan.  

3. Virus berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :
" netsh interface tcp set global autotuning=disabled"  
Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba aks es jaringan. Info selengkapnya pada http://support.microsoft.com/kb/947239  


4.Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet.  


5.Virus akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa wesite berikut :  

baidu.com, google.com, Yahoo.com, msn.com, ask.com, w3.org, aol.com, cnn.com
ebay.com, myspace.com  

6. Virus akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).

7. Virus akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows :
Service name: "[%nama acak%].dll"
Path to executable: %System32%--k netsvcs
Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal "Security Windows") :  
Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows  

8. Virus membuat HTTP Server pada port yang acak :
Http://%ExternalIPAddress%:%PortAcak(1024-10000)%  
Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi :  
- http://www.getmyip.org
-http://www.whatsmyipaddress.com
- http://getmyip.co.uk
-http://checkip.dyndns.org
- Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah :  
"rundll32.exe .[%eks tensi acak%], [%acak]"

Waspada, 9 Juta Komputer Sudah Terinfeksi Conficker

eperti virus penyakit, virus komputer juga menyebar dengan cepat dari satu komputer ke komputer lain. Wabah yang tengah mengancam jutaan komputer di seluruh dunia sekarang adalah serangan yang disebut conficker.
Program berbahaya ini telah menginfeksi 6 juta-9 juta komputer di seluruh dunia hanya dalam waktu 2 minggu. Kawasan yang terkena serangan paling tinggi adalah Asia dan Amerika Latin.
Berdasarkan data Symantec, China dan Argentina merupakan negara yang paling parah terkena serangan jenis worm ini. Conficker baru menyebar sekitar dua bulan lalu, tapi telah menimbulkan kepanikan yang begitu masif.
Hampir 29 persen komputer di China terinfeksi conficker. Sementara Argentina telah mencapai 11 persen. Selain itu, serangan ini juga cepat menyebar di Brasil dan Rusia. "Kami tak melihat jumlah terinfeksi yang sebesar itu di tempat lainnya," ujar Alfred Huger, Wakil Presiden Symantec Security Response. Di AS, misalnya, komputer yang terinfeksi baru sekitar 1 persen.
Huger mengatakan, worm ini memang didesain pembuatnya untuk menuliskan kode yang bekerja pada jaringan China dan Brasil sehingga kedua negara itulah yang sepertinya menjadi target serangan. Namun, versi terbarunya menyerang ke jaringan lebih luas.
"Saya kira pembajakan punya peran meski saya tidak tahu bagaimana pengaruhnya," ujar Huger. Negara di Asia dan Amerika Latin selama ini dikenal dengan tingkat pembajakan software yang sangat tinggi.
Para pengamat keamanan komputer saat ini masih meraba-raba apa yang akan dilakukan pembuat conficker setelah menginfeksi jutaan komputer di seluruh dunia. Yang pasti, komputer yang terinfeksi dapat diambil alih pembuat virus dari jarak jauh layaknya zombie. Jutaan komputer tersebut bakal menjadi jaringan botnet terbesar di dunia yang rawan dimanfaatkan untuk melakukan tindakan kriminal seperti pencurian data rahasia atau bahkan rekening bank. Dalam beberapa kasus, komputer yang terserang akan mengalami gangguan koneksi setiap kali terhubung ke internet.
Conficker yang juga disebut Downandup atau Kido menyerang dengan cara memanfaatkan celah kelemahan pada fitur Windows Service yang telah ditambal Microsoft bulan Oktober lalu. Namun, beberapa laporan mengatakan, virus tersebut tidak mati meski patch telah dipasang. Conficker menginfeksi dengan cara menebak password admin di jaringan atau melalui USB flash.
Jadi, hati-hati terhadap serangan ini dan lebih waspada setiap kali melakukan tukar-menukar file. Update antivirus mutlak untuk mengantisipasi kemungkinan serangan.

Sumber Kompas.com