In a few words

Lagi-lagi Conficker …

Mconficker wormalam sudah cukup larut ketika tiba sebuah sms berisi pesaan “lg repot ga?.. sy mo mampir bw laptop sama virusnya” .. belum sempat reply, yang punya pesan sudah pasang senyum lebar di depan pintu dan langsung pesan kopi 😀 … setelah dilakukan scan antivirus, .. yaaahh… lagi lagi conficker…


Ketika mulai mengetikkan tuts keybord untuk judul diatas, “conficker” saya sedikit merasa bosan karena sudah sejak lama dedemit satu ini tidak pernah absen numpang ngetop di banyak topik blog … dengan varian beragam dengan nama beragam : Win32/Conficker.AA alias W32/Worm.AHGV, alias Net-Worm alias Win32.Kido.bg alias W32/Conficker.worm.gen, alias Mal/Conficker. Harus diakui juga bahwa varian ini tergolong cerdas karena saking ngetopnya sampai sampai ada isu bahwa jika ada 16 buah pc maka salah satunya pasti mengidap conficker (ngawur? hehe.. bisa ya, bisa tidak) tapi jangan panik dulu boss,  jika anda takut komputer anda termasuk yang terinfeksi silahkan cek dulu ke sini.

confickertest

Jika tampilan yg anda dapati adalah seperti gambar diatas maka komputer anda aman, tapi jika tampilan gambar tidak lengkap… hmm ada kemungkinan komputer anda telah terinfeksi.

conficker dapat digolongkan sebagai worm (Write Once Read Many) maap.. bukan pamer bahasa bule,  tapi artinya kurang lebih begini, worm adalah Program yang dapat mereplikasi dirinya dan mengirim beberapa kopian dari komputer ke komputer lewat hubungan jaringan. Setelah berhasil menginfeksi, kemudian menggunakan Network jaringan untuk menyebar dari sitem ke sistem lain. Sekali aktif di suatu sistem network worm dapat bersifat  seperti virus atau menempelkan program trojan horse.  Untuk mereplikasi dirinya, worm menggunakan layanan jaringan, seperti:  fasilitas email, eksekusi jarak jauh (remote), dan seperti biasa mampu mendompleng melalui media flash disk.

Yang menarik adalah saking dongkolnya, pihak  Microsoft yang kebakaran jenggot karena sistem keamanannya dapat disusupi oleh si conficker ini menyatakan akan menghadiahkan uang sebesar US$250.000 (setara 3 Miliar Rupiah) pada siapa saja yang berhasil menangkap pembuatnya. (mungkin semua juga sudah tahu)

Kesaktian program penyusup ini antara lain :

  • melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string antara lain  Ccert, sans, bit9, windowsupdate, wilderssecurity  tanpa melakukan perubahan host file  sehingga dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke situs keamanan.
  • membuat rule firewall pada gateway jaringan lokal yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
  • membuat service dengan karakteristik tertentu agar dapat berjalan otomatis saat start-up windows serta membuat HTTP Server pada port yang acak
  • membuat scheduled task untuk menjalankan file virus yang sudah dikopi.
  • Mendisable Show Hidden File & System Restore
  • melakukan perubahan pada sistem Windows Vista/Server 2008 dengan mendisable Windows Auto-Tuning (yang merupakan fitur  untuk meningkatkan performa ketika mencoba akses jaringan)

Conficker memiliki file pemicu yang dinamakan ”autorun.inf” biasanya ditemui di setiap drive komputer dan di flashdisk korban dengan ukuran file 55 KB. File induk Conficker bernama ”jwgkvsq.vmx” dengan ukuran file 155 Kb atau 169 KB bersifat superhidden dan biasanya tersimpan didalam folder ”RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665”.

Cara penghapusan yang biasa saya dilakukan adalah :

  1. Download MS08-67 vulnerability patch sesuai versi windows anda dari sini
  2. Download Win32.Worm.Downadup.Gen (Win32/Conficker.AA) removal tool dari BitDefender dari sini. extract file tersebut.
    Lepaskan kabel jaringan.
    Jalankan file Anti-downadup-graphics.exe
  3. Restart komputer anda setelah selesai
  4. Disable system restore to flush out infected restore points, Restart lagi komputer anda
  5. Hidupkan kembali System restore, caranya Klik START -> ALL PROGRAMS -> ACCESSORIES -> SYSTEM TOOLS -> SYSTEM RESTORE — Klik pada “create new restore point”, kemudian klik NEXT dan ikuti perintah selanjutnya.

—- alternatif lain ———–

  • bisa menggunakan antivirus PCMAV khusus conficker (untuk download digoogling aja dengan keyword PCMAV conficker)
  • untuk mengembalikan registry yang dirubah bisa gunakan plugin dari ansav atau smadav (untuk download digoogling aja)

atau dengan script untuk Repair registry yang dirubah oleh virus (service windows yang mati dan show hidden file). caranya copy script pada notepad, kemudian save as menjadi repair.inf.

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0×00000001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0×00000001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0×00000001,1

HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

================

Jangan lupa juga bersihkan temporary file, gunakan disk cleanup atau dapat menggunakan tools cleaner seperti Ccleaner atau ATF Cleaner.

Terakhir, lakukan instalasi antivirus dan selalu pastikan terupdate dengan baik.

sedikit catatan :

beberapa sofware gratis yang dapat anda download di kantong mbah google khusus untuk conficker antara lain :

Kaspersky AVP Removal Tool

Norman Malware Cleaner

McAfee AVERT Stinger

Microsoft Malicious Software Removal Tool

KidoKiller (Kaspersky)

Fix Downad (Trend Micro)

W32.Downadup Removal (Symantec)

EConfickerRemover (ESET/NOD32)


This entry was posted on Oktober 31, 2009 by . It was filed under baca aja and was tagged with , , , , , , , , , , , , , , , , , , .

4 responses

  1. opik

    slm knal aku opik, lau blh aku mo tnya g mana sih caranya save as file di notepad biar inf
    trimakasih sblmnya

    November 19, 2009 pukul 1:06 pm

    Balas
    • zank

      @opik, untuk membuat script *.inf tersebut caranya copy dulu csript diatas – buka notepad kemudian paste (Ctrl+V) setelah itu klik menu File pilih safe as… setelah keluar kotak, pada kolom File Name isikan : repair.inf — pada kolom Save As Type: rubah menjadi All File — Encodingnya biarkan ANSI. tekan tombol Save. dan jangan lupa dimana tempat kamu meletakkan file tersebut…

      Terimakasih sudah tulis koment dan tetaplah berusaha mencoba..

      November 19, 2009 pukul 4:44 pm

      Balas
  2. cecepswp

    Saya menambahkan untuk artikel diatas, khusus untuk Windows XP setelah serangan Conficker/DownaDup Worm yang sampai sekarang ini masih menjadi trend mau ngga’ mau harus patch dengan Service Pack 3 terbaru.

    Soalnya dari berbagai macam keluhan mengenai serangan ini rata-rata kebanyakan masih menggunakan SP1 dan SP2 (walaupun firewall aktif dan antivirus selalu update)

    November 22, 2009 pukul 5:43 pm

    Balas
  3. zank

    @cecepswp, Thanks, tambahan yang sangat saya rekomendasikan dan memang patch SP3 terbaru telah include tambalan security yang lebih baik.

    November 23, 2009 pukul 1:25 am

    Balas

Tinggalkan komentar