Jumat, 22 Mei 2009

7 Langkah Hilangkang Virus Conficker

Menurut keterangan resmi Kaspersky yang diterima Okezone, Kamis (2/4/2009), Gejala infeksi yang akan ditimbulkan oleh virus Kido atau Conficker adalah,

1. Volume lalu lintas jaringan meningkat kalau dalam jaringan ada komputer yang terinfeksi, karena serangan dalam jaringan dimulai dari komputer yang terinfeksi.

2. Antivirus dengan fitur 'Intrusion Detection Systems' diaktifkan akan memberikan informasi adanya serangan Intrusion.Win.NETAPI.buffer-overflow.exploit.

Penjelasan Singkat Tentang Net-Worm.Win32.Kido

1. Kido membuat file autorun.inf dan RECYCLED{SID<....>}RANDOM_NAME.vmx pada media penyimpanan seperti USB flash disk (kadang-kadang di folder yang di-share pada jaringan).

2. Kido menempatkan dirinya dalam sistem sebagai file DLL dengan nama acak, misalnya c:windowssystem32zorizr.dll.

3. Dalam sistem, Kido terdaftar dalam service dengan nama acak, misalnya knqdgsm.

4. Kido mencoba menyerang komputer dalam jaringan dengan port 445 atau 139 TCP, menggunakan celah MS08-067.

5. Kido mencoba menghubungkan diri ke situs-situs web berikut ini. Untuk itu Kaspersky menyarankan adanya penggunaan firewall untuk mengawasi koneksi ke situs-situs seperti,

* http://www.getmyip.org
* http://getmyip.co.uk
* http://www.whatsmyipaddress.com
* http://www.whatismyip.org
* http://checkip.dyndns.org
* http://schemas.xmlsoap.org/soap/envelope/
* http://schemas.xmlsoap.org/soap/encoding/
* http://schemas.xmlsoap.org/soap/envelope/
* http://schemas.xmlsoap.org/soap/encoding/
* http://trafficconverter.biz/4vir/antispyware/loadadv.exe
* http://trafficconverter.biz
* http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz (srn)

=================


Virus ‘Conficker.DV‘ menggunakan metode penyebaran yang berbeda dari pendahulunya. Dengan canggihnya, virus tersebut berusaha mengakses jaringan menggunakan celah windows ‘Default Share’ (ADMIN$\system32) dengan menebak password administrator.

Selain itu ‘Conficker.DV‘ juga membuat file pada media removable seperti flashdisk, harddisk dan card reader dengan menyimpan file hidden pada root drive.

Sementara aksi yang sama seperti pendahulunya, yaitu berusaha mengexploitasi MS08-067 atau celah keamanan Windows, Windows Server Service atau SVCHOST.exe. Banyak user yang terinfeksi dikarenakan tidak mengaktifkan fitur Automatic Updates dan tidak melakukan patch windows MS08-067.

tidak seperti virus ini, Virus Conficker selain memperlambat komputer virus ini dengan meload seluruh resource yang ada, virus ini juga memperlambat jaringan. internet maupun intranet. Berikut 7 Langkah Hilangkang Virus Conficker, silahkan ikuti !

1. Putuskan komputer yang akan dibersihkan dari jaringan/internet.
2. Matikan system restore (Windows XP/Vista).
3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Jika belum memiliki, bisa didownload di situs norman.
4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.
5. Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)
6. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini:

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
Hidden, 0×00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden, 0×00000001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0×00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

Gunakan notepad, kemudian simpan dengan nama ‘repair.inf’, lalu ‘Save As Type’ menjadi ‘All Files’ agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sementara untuk file yang aktif pada startup, Anda dapat mendisable melalui ‘msconfig’ atau dapat mendelete secara manual pada string: ‘HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run’

7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini dengan baik dan patch komputer Anda dengan patch resmi dari Microsoft guna mencegah infeksi ulang.


Waktu 03.35
Label:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)
Selamat Datang di Blog Lab.Komputer Al Azhar Jakapermai (http://smpi-alazhar6jp.blogspot.com) : Pekan Ulangan Tengah Semester 2 TIK : 17 - 20 Maret 2014. >> Kisi-kisi Ulangan Sekolah TIK. >> SMP: UTS TIK Kelas 7 dan Kelas 8 serta UAS TIK Kelas 9. >>Prediksi Nilai Rapot TIK Semester 2 : >> Tugas Akhir Komputer Kelas 9 (Kelompok).