W32/Conficker adalah keluarga worm network-propagating. Ada beberapa varian. Worm yang paling menarik adalah fitur yang menyebar ke komputer lain melalui kerentanan keamanan di Windows Server Service Kerentanan ini memungkinkan untuk download dari dirinya untuk remote komputer tanpa pengetahuan pengguna.
Dilaporkan hampir 9 juta kasus Conficker dan saat ini di Indonesia kasusnya membengkak dari hanya ribuan menjadi puluhan ribu kasus komputer yang terinfeksi Conficker sampai dengan pertengahan Januari 2009.
Jangankan komputer yang berada dalam jaringan, komputer standalone yang menggunakan koneksi internet dari provider tertentupun terancam oleh ulah Conficker, karena Conficker memiliki kemampuan untuk menyerang komputer lain dalam jaringan provider yang sama.
banyak laporan bahwa setiap kali pengguna komputer menghubungkan dirinya dengan internet, otomatis muncul pesan Generic Host Process Error yang merupakan gejala Conficker yang paling umum.
Nah, bagaimana ciri-ciri virus tersebut.
virus Conficker.DV memiliki file yang dikompres melalui UPX. File virus berukuran 162 kb. File virus yang masuk bertipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype 'dll' (dynamic link library).
Selanjutnya file virus yang berusaha masuk akan berada pada lokasi temporary internet. Jika file virus yang masuk berhasil dijalankan, virus akan mengkopi dirinya pada salah satu lokasi folder. File 'dll' inilah yang aktif dan mendompleng file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali.
"Virus juga akan mengcopy file '[%nama acak%].tmp' pada folder '%WINDOWS%\system32' [contohnya : 01.tmp atau 06.tmp]. Setelah menggunakan file tsb, kemudian virus mendelete file tsb.(sumber Vaksin.com)
Efek dari sang Virus.
Jika varian sebelumnya mematikan service 'Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)'. Maka kali ini virus berusaha untuk mematikan dan mendisable beberapa service, yaitu wscsvc: Security Center, wuauserv: Automatic Updates, BITS : Background Intellegent Transfer Service, ERSvc: Error Reporting Service dan yang lainnya.
Virus mampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut: Ccert, sans, bit9, windowsupdate, wilderssecurity dan masih banyak lagi. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke situs keamanan.
Virus berusaha melakukan perubahan pada sistem Windows Vista/Server 2008 dengan menggunakan perintah: 'netsh interface tcp set global autotuning=disabled'. Dengan perintah ini, maka windows auto tuning akan didisable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba akses jaringan.
Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet.
Virus akan memeriksa koneksi internet dan mendownload file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus memeriksa pada beberapa situs berikut: baidu, google, yahoo, msn, hingga ask.com
Virus akan membuat rule firewall pada gateway jaringan lokal yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
Virus akan membuat service dengan karakteristik tertentu agar dapat berjalan otomatis saat start-up windows serta membuat HTTP Server pada port yang acak
Virus membuat scheduled task untuk menjalankan file virus yang sudah dikopi dengan perintah: 'rundll32.exe .[%ekstensi acak%], [%acak]'
nah jika bagi anda yg mengalami hal ini coba lakukan langkah berikut :
1. Download windows Malicious Software Removal Tool di http://www.microsoft.com/security/malwareremove/default.mspx atau trojan remover di http://www.softpedia.com/get/Antivirus/Trojan-Remover.shtml
2. Download Windows update buat mempatch celah keamanan yg di exploitasi virus http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=en
3. Putuskan kabel jaringan anda.
4.scanning dengan windows Malicious Software Removal Tool atau trojan remover pada komputer yg terinfeksi
5.setelah itu update windows dengan patch yg telah anda download tadi.
Nah, Sedikit Tambahan Mengenai CONFICKER Virus Conficker (juga disebut Downup, Downandup dan Kido) adalah worm yang muncul pada Oktober 2008. Conficker menyerang Windows dan paling banyak ditemui dalam Windows XP. Microsoft merilis patch untuk menghentikan worm ini pada tanggal 15 Oktober 2008. Heinz Heise memperkirakan Conficker telah menginfeksi 2.5 juta PC pada 15 Januari 2009, sementara The Guardian memperkirakan 3.5 juta PC terinfeksi. Pada 16 Januari 2009, worm ini telah menginfeksi hampir 9 juta PC, menjadikannya salah satu infeksi yang paling cepat menyebar dalam waktu singkat.
Karena salah satu ciri MALWARE yaitu dia Menutup beberapa Website Anti Virus melalui IP Pemblokiran dengan cara sederhana yaitu dengan melakukan mapping IP 127.0.0.1 atau IP lain ke hostname antivirus.
Nah, Untuk mengetahui kalau dia itu melakukan pemblokiran atau tidak, silahkan anda check
C:\WINDOWS\system32\drivers\etc, isinya jadi gini:
127.0.0.1 mcafee.com
127.0.0.1 avg.com
Itu Contoh, nah kadang bisa lebih dari itu, silahkan anda hapus saja File itu... Simple.
Thank's to AUREL666 and All Jasakomers Indonesian
Free Signature Generator
{ 2 komentar... read them below or add one }
cakep banget neh virus ya....
Itu di anggap sebagai Virus Paling Cerdas, dan telah saya analisa, ternyata dia tiak punya AUTORUN.INF, dia membuat Recycle, System Volume Information sendiri, trus semuanya yang dia buat, tidak dapat hapus, hanya hilang jika di FORMAT (Hardisknya)...!!!
Posting Komentar