Selasa, 24 Februari 2009

7 Langkah Membasmi Virus Conficker

Virus ‘Conficker.DV’ menggunakan metode penyebaran yang berbeda dari pendahulunya. Dengan canggihnya, virus tersebut berusaha mengakses jaringan menggunakan celah windows ‘Default Share’ (ADMIN$\system32) dengan menebak password administrator.

Ciri-ciri komputer Anda terinfeksi Conficker adalah :

1. Muncul pesan Generic Host Process (GHP) Error secara mendadak di komputer (Svchost.exe).

2. Koneksi internet mati. Komputer tidak bisa mengakses situs-situs tertentu seperti www.microsoft.com, www.symantec.com, norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan “Address not Found”, tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan.

3. Update definisi antivirus terganggu karena akses ke situs antivirus diblok.

4. Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000.

5. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.

Selain itu ‘Conficker.DV’ juga membuat file pada media removable seperti flashdisk, harddisk dan card reader dengan menyimpan file hidden pada root drive. Sementara aksi yang sama seperti pendahulunya, yaitu berusaha mengexploitasi MS08-067 atau celah keamanan Windows, Windows Server Service atau SVCHOST.exe. Banyak user yang terinfeksi dikarenakan tidak mengaktifkan fitur Automatic Updates dan tidak melakukan patch windows MS08-067.

Diduga, minimal salah satu komputer di jaringan Anda terinfeksi Conficker dan secara otomatis melakukan scanning ke jaringan lokal, lalu menyebarkan dirinya ke semua komputer yang rentan atau belum di patch. Serangan yang dibuat virus ini cukup berbahaya. Conficker dapat melumpuhkan System Restore dengan cara mereset “Restore Point” guna mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point.

Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) di jaringan lokal. Virus ini akan mencoba menyerang komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch. Jika berhasil, maka akan terdownload file virus ke komputer korban. Conficker juga akan menyebabkan matinya Internet connection sharing. Setelah berhasil menginfeksi, Conficker akan melakukan patching pada komputer korban. Tujuannya adalah untuk mencegah infeksi ulang yang menyebabkan komputer tidak stabil sehingga tidak bisa mencari korban baru.

Conficker akan berusaha mendownload file ke beberapa situs yang telah disiapkan daftarnya (250 domain), untuk mempersulit vendor antivirus memblok domain-domain update tersebut satu persatu.

Conficker tidak hanya mengeksploitasi celah keamanan di Windows XP Service Pack 3 dan Windows Server 2003 Service Pack 2. Tetapi Windows Vista dan Windows Server 2008, bahkan Windows 7 Pre Beta juga rentan.

Yang membedakan adalah pop up yang ada pada Windows Vista yakni User Account Control (UAC). Mayoritas pengguna Windows yang awam akan cenderung mengklik tombol [Continue] [Ok] [Yes] [I Agree] dibandingkan [Cancel] [No] tanpa berpikir panjang.

Apalagi jika Pop up UAC ini muncul terus menerus jika di klik [Cancel] dan mengganggu aktivitasnya, maka kemungkinan besar pengguna komputer akan memilih mengklik [Continue] agar Pop Up UAC tidak muncul lagi. Langkah ini justru akan menjalankan virus ini di komputernya.

Ada 7 langkah singkat analis virus dari Vaksincom untuk membasmi virus ‘Conficker.DV’ :

1. Putuskan komputer yang akan dibersihkan dari jaringan/internet.

2. Matikan system restore (Windows XP/Vista).

3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Jika belum memiliki, bisa didownload di situs norman.

4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.

5. Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)

6. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini :

==============================
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
Hidden, 0×00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden, 0×00000001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0×00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

================================

Gunakan notepad, kemudian simpan dengan nama ‘repair.inf’, lalu ‘Save As Type’ menjadi ‘All Files’ agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sementara untuk file yang aktif pada startup, Anda dapat mendisable melalui ‘msconfig’ atau dapat mendelete secara manual pada string: ‘HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run’

7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini dengan baik dan patch komputer Anda dengan patch resmi dari Microsoft guna mencegah infeksi ulang.

Tidak ada komentar: