In a few words

Win32.IRCBot worm atau Backdoor.Win32.IRCBot.gen Alias Worm Win32/Pushbot.BD

win32IRCBootSeorang teman menitipkan sebuah laptop dengan dilampiri secarik kertas warna biru berisi catatan “tolong… kalo lagi sempet, ada virus yang selalu muncul dideteksi oleh antivirus saya, tetapi setelah dihapus selalu muncul kembali.. Trims. XXXX

Ketika laptop dihidupkan, windows berjalan normal, semua fasilitas windows seperti Run, CMD, TaskManager, Search, Regedit, dll dapat berjalan normal.. semua aplikasi seperti office, adobe photoshop, notepad juga lancar lancar saja.. pendek kata tidak ada yang salah dengan window ini… tetapi beberapa saat kemudian mulailah muncul peringatan peringatan dari antivirus avira yang terinstal dalam laptop tersebut. Benar, sesuai isi pesan bahwa penghapusan dapat dilakukan tetapi kemudian peringatan antivirus selalu muncul kembali.

Memang windows normal untuk dijalankan, tetapi jika selalu muncul peringatan terus menerus dari antivirus  tentu akan terasa sangat mengganggu bukan?

Kemudian saya coba melihat sebenarnya proses apa yang selalu berulang dihapus oleh antivirus tersebut … disana tertulis “worm Win32.IRCBot”

Hmmm…mari kita sama-sama pahami sebentar, …

Win32.IRCBot worm juga dikenal sebagai Backdoor.Win32.IRCBot.gen atau Worm Win32/Pushbot.BD

Worm Win32/Pushbot.BD adalah worm yang menyebar melalui MSN Messenger dan AIM yang berisi backdoor untuk mengontrol komputer yang tertular, perubahan sistem berikut ini menunjukkan kemungkinan adanya Worm: Win32/Pushbot.BD pada komputer:

Terdapat file :% windir% \ svchost.exe
Memodifikasi registri berikut:
*    Menambah nilai: “Windows Internet Manager”
*    Dengan data: “svchost.exe”
* pada subkunci: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \

Menyebar melalui MSN Messenger dan AIM
Menggunakan fungsi backdoor, Worm: Win32/Pushbot.BD dapat menyebar via Yahoo Messenger dan AIM dengan mengirimkan pesan ke semua kontak pengguna yang komputernya terinfeksi. Pesan ini disediakan oleh controller melalui IRC backdoor,yang menunjuk ke sebuah salinan dari worm executable pada domain ‘www.mymsnpics.net’, dengan Payload Fungsi backdoor: Port 20.733 yang setelah terinstal worm menghubungkan ke IRC server ‘msn.sandboxanddie.info’ pada port 20.733 dan menunggu instruksi. Menggunakan backdoor, remote penyerang dapat melakukan sejumlah tindakan seperti :

* Menyebar via Yahoo Messenger atau AIM
* Update database virus sendiri
* Download dan mengeksekusi arbitrary files

Ok, kita coba mulai langkah pembersihan………

Berikut langkah pembersihan yang saya lakukan dengan menggunakan Kaspersky virus removal tool dapat anda download disini.   Tools ini bersifat freeware alias gratisan dari vendor antivirus Kaspersky® lab.

KISTools

  • Instalkan tools tersebut dan jangan membuat perubahan apapun untuk pengaturan default ketika program telah selesai menginstal
  • Pilih My Computer. Klik tombol Scan. Prosedur scan ini dapat memakan waktu, jadi bersabarlah hingga proses betul betul selesai.
  • Jika tampil box peringatan adanya infeksi ketika proses scan, maka klick tombol Disinfect atau Delete.
  • Untuk jenis Worm Win32/Pushbot.BD ini, pihak Microsoft merekomendasikan agar mendownload latest Windows definitions update disini, kalau sudah lakukan instal.
  • Lakukan Restart setelah kedua proses tersebut, jika memungkinkan segeralah update antivirus anda lalu lakukan Scan ulang.

Untuk mencegah infeksi pada sistem :
* Aktifkan firewall pada komputer Anda.
* Selalu Update antivirus anda.
* Berhati-hati dengan attachment dan file transfer.

Untuk mengaktifkan Internet Connection Firewall pada Windows XP
1.  Klik Start, dan klik Control Panel.
2.  Klik SNetwork and Internet Connections.
3.  Klik Change Windows Firewall Settings.
4.  Pilih On.
5.  Klik OK.

Untuk mengaktifkan Windows Firewall pada Windows Vista
1.  Klik Start, dan klik Control Panel.
2.  Klik Security.
3.  Klik Turn Windows Firewall on or off.
4.  Pilih On.
5.  Klik OK.

Selalu Update antivirus Anda
Kebanyakan perangkat lunak antivirus terbaru telah dapat mendeteksi dan mencegah infeksi jenis Win32.IRCBot worm atau  Backdoor.Win32.IRCBot.gen alias Worm Win32/Pushbot.BD ini. Untuk membantu melindungi Anda dari infeksi, anda harus selalu melakukan update  antivirus karena mencegah lebih baik daripada memperbaiki.

Proses pembersihanWin32.IRCBot worm atau  Backdoor.Win32.IRCBot.gen alias Worm Win32/Pushbot.BD ini bisa saja berbeda pada komputer anda, disini saya hanya ingin berbagi pengalaman. Sebaiknya segitu dulu, karena malam sudah semakin larut dan saya sebagai manusia mempunyai batas kemampuan untuk menahannya… terimakasih sudah menbaca dan semoga bermanfaat.

Salam …

signature Transblog

10 responses

  1. Ping-balik: Win32.IRCBot worm atau Backdoor.Win32.IRCBot.gen Alias Worm Win32/Pushbot.BD | مرجع اسکریپت نایاب فارسی

  2. Sepertinya worm ini juga bikin ngga’ bisa masuk ke Safe Mode Boot, walau udah pakai cara apapun setiap pilihan selain Normal Boot pasti langsung restart….
    Apa kasus yang saya alami ini juga terjadi disana..?

    November 22, 2009 pukul 10:07 am

    • @cecepswp, Memang pada sebagian kasus, Worm ini juga menghapus string registry yang bertujuan untuk mendisable safe mode:

      * HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

      Untuk solusinya, jika menggunakan OS Windows XP cobalah mengembalikan registry tersebut, download di sini untuk lebih jelas telah saya buat postingan mengenai hal ini disini

      Download juga latest Windows definitions update diatas karena varian ini juga disinyalir merupakan bawaan dari konficker..
      😀 Thanks to coment ..

      November 22, 2009 pukul 3:48 pm

  3. Ping-balik: Mengembalikan Setting Registry Safe Mode « Zank is Me..

  4. danny

    wah kk thx infonya
    lgi scan ni saya byk bgt virusnya ternyata

    Juli 26, 2010 pukul 1:51 pm

  5. terimakasih atas infonya pak. Sekarang worm ini bergerak melalui chat facebook juga pak…

    Oktober 18, 2011 pukul 7:32 am

  6. makasi infonya pak

    November 22, 2011 pukul 4:44 am

  7. Moel

    ada yang sdh mencoba lagi belooommmm
    komptrku juga kena nih bozz

    Desember 1, 2011 pukul 8:34 am

  8. Welly

    Gan ane test dolo kadang”,,
    semoga bantu!!

    Desember 4, 2011 pukul 1:57 pm

  9. Ping-balik: Solusi Komputer anda « DPW PA KABUPATEN ACEH TIMUR

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s