April 2009
M T W T F S S
« Mar   May »
 12345
6789101112
13141516171819
20212223242526
27282930  

Archives

Categories

Ads By Biindit



Traffic Exchange with 100,000+ members

Best Rapidshare Search

« Menonaktifkan fungsi autorun dengan Panda USB Vaccine  
  Mengenal jenis-jenis ancaman (threat categories) bagi pengguna komputer »

Waspadai penyebaran worm conficker

Bicara virus memang ngak ada habis-habisnya, karena Sistem Operasi Windows buatan Mr.Bill Gate ini ngak pernah sepi dari serangan virus. Sekitar satu minggu yang lalu, cerita ini berawal dari kecurigaan rekan kerja di kantor yang merasakan ada kejanggalan pada laptop-nya. Katanya, antivirus avast v4.8 home edition yang saya install sebulan yang lalu tiba-tiba ngak pernah nongol lagi di taskbar. Ia lantas meminta bantuan saya untuk memeriksa laptopnya.
Seperti biasa, saya coba menjalankan PCMAV Valkyrie V2.0 (PCMAV sangat efektif untuk mendeteksi virus lokal) dan kabel jaringan untuk internet sengaja saya pasang untuk mengupdate PCMAV. Kejanggalan mulai terlihat ketika PCMAV v2.0 mulai mengupdate databasenya, program ini gagal untuk melakukan proses update. Padahal Jaringan Internet dalam keadaan normal. Dari sini saya masih belum curiga, karena mengira server untuk update PCMAV ada gangguan. Oke, berikutnya setelah masuk ke menu scan PCMAV, mulai dilakukan scanning dan hasilnya “tampaknya” komputer bersih dari virus.
Lalu terpikir oleh saya untuk membuka browser Opera dan langsung mendownload Antivirus Avira, dari sini kecurigaan mulai muncul. Ketika browser dibuka puluhan tab muncul begitu saja dengan puluhan URL yang kata si empunya laptop ia tidak pernah membuka alamat URL tersebut sebelumnya. Dan ditambah lagi alamat situs avira.com yang tidak muncul-muncul ketika dibuka, begitu juga dengan avast.com
Saya jadi teringat dengan pembahasan virus ini yang ditayangkan oleh MetroTV setiap hari sabtu pada acara E-Life, disitu hadir Pimpinan Redaksi Majalah PCMedia Anton R. Pardede sebagai narasumber. Dan menyatakan bahwa gejala yang paling mudah dikenali ketika virus conficker menginfeksi sistem adalah tidak bisa mengakses situs-situs produsen antivirus dan bahkan juga situs Microsoft. Apalagi untuk mengupdate antivirus yang belum mengenal virus ini, conficker benar-benar menutup jalan untuk kesana.


Tanpa pikir panjang lagi PCMAV Express yang dibuat khusus untuk membasmi Conficker yang sudah lebih dulu saya download, saya jalankan dan ternyata benar virus ini “hadir” dilaptop tersebut. Penting untuk dicatat bahwa sebelum melakukan scanning, putuskan dahulu koneksi apapun yang menjadi gerbang ke internet baik itu dialup, LAN, WLAN, dsb., mengingat kemampuan worm ini dalam menduplikat, mengupdate dan menyebarkan dirinya melalui jaringan internet. Dan juga nonaktifkan antivirus yang lain agar tidak mengganggu kerja PCMAV.

pcmav-express-for-conficker
Setelah selesai scanning, PCMAV akan menampilkan kotak pesan rekomendasi untuk melakukan update windows dengan mendownload patch celah keamanan yang dikenal sebagai MS08-67.
Dari referensi yang saya baca, karakteristik virus ini sangat kompleks dan menyebabkan kerusakan yang luas, sbb :

  • Mulai menyebar pada bulan oktober 2008.
  • Ketika mulai menginfeksi, virus menanamkan dirinya kedalam file services.exe
  • Menduplikat dirinya ke dalam folder dengan menggunakan nama acak dan memiliki ekstensi *.DLL (mis : zxhkj.dll)
  • Merubah tanggal DLL file tersebut sama dengan tanggal file sistem kernel32.dll dan mengcopy file ke dalam folder system.
  • Membuat key pada registry sehingga file *.DLL tersebut berjalan sebagai service pada windows
  • Menonaktifkan dan menghapus semua data pada fitur system restore.
  • Menonaktifkan BITS (Background Intelligent Transfer Service
  • Menonaktifkan fitur Windows Automatic Update service
  • Merubah file tcpip.sys untuk menonaktifkan pembatasan limit koneksi yang diperkenalkan pada Windows XP SP2.
  • Berikutnya melakukan koneksi ke beberapa situs untuk mengetahui alamat IP dari si “korban” dan menginstall HTTP Server untuk melakukan serangan secara remote dengan mengeksploitasi celah keamanan MS08-067.
  • Dengan kompleksitas algoritma yang ada pada worm ini, ia membuat daftar domain dan mengunjungi domain tsb untuk mendownload update, perintah atau bahkan versi terbaru dari dirinya sendiri. Ini terbukti di pertengahan bulan Maret 2009 ditemukan lagi varian baru : Conficker.C, menyusul Conficker.B++ yang muncul pada bulan Februari 2009.
  • Memiliki kemampuan untuk merubah setting antivirus agar tetap tersembunyi didalam sistem tanpa terdeteksi.
  • Diketahui telah menginfeksi 10 Juta Computer.

Berikut tip untuk menghindari worm conficker dan variannya :

  • Install patch untuk menutup celah keamanan MS08-067
  • Install update semua software yang terpasang pada komputer anda
  • Jangan lupa, terus update antivirus anda.
  • Perhatikan alamat situs ketika browsing atau hindari situs yang tidak jelas apalagi situs porno.
  • Perhatikan alamat email pengirim (terutama file attachment) ketika membuka mailbox anda.
  • Selalu update sistem operasi windows, karena kita tidak tau pasti kapan varian baru dari Conficker muncul.

Download :
PCMAV Express for Conficker atau disini
Patch celah keamanan MS08-067  for Windows XP atau disini

Sumber : novirusthanks.org, virusindonesia.com, mtc.sri.com

Share and Enjoy:
  • del.icio.us
  • Facebook
  • Google
  • Technorati
  • Yahoo! Buzz
April 10th, 2009 | Tags: , , , , , | Category: Antivirus, PCMAV, Removal Tool | Leave a comment1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
 Loading ... Loading ...
blog comments powered by Disqus