In a few words

Posts tagged “worm

A – Z Tentang Komputer dan Data Security Threats

Saat ini, saya yakin hampir Semua pengguna komputer tahu (atau pernah merasakan) virus komputer 😀  … atau setidaknya pernah mendengar tentang keberadaan virus tersebut. Hampir 30 tahun lalu, virus komputer pertama ditulis (Elk Cloner), tampaknya dengan maksud menampilkan puisi pendek ketika komputer boot untuk ke-50 kalinya. Dan sejak saat itu, jutaan virus dan malware lainnya virus email, Trojan, worm, spyware, keylogger dan segala antek-anteknya mulai bermunculan, beberapa darinya telah mampu menyebar di seluruh dunia dan menjadi perhatian. Banyak orang telah merasakan bagaimana virus menginfeksi komputernya dengan sampah bahkan menghapus file…

Dalam imajinasi populer, malware berarti pranks atau sabotase. Hingga pada awal 1990-an pernah terjadi kepanikan global tentang virus Michelangelo. Dan kepanikan ini terjadi lagi ketika jutaan komputer terinfeksi dengan SoBig-F virus yang mampu mendownload program tidak dikenal dari web pada waktu yang ditetapkan oleh pembuatnya, sampai-sampai perusahaan anti-virus membujuk penyedia layanan internet untuk menutup server untuk menghindari skenario “hari kiamat” tersebut…

Lalu Bagaimana virus di masa depan? Memprediksi bagaimana ancaman keamanan akan dikembangkan adalah hampir mustahil. Beberapa penafsir beranggapan bahwa tidak akan ada lebih dari beberapa ratus virus, dan Microsoft (Bill Gates) menyatakan bahwa spam tidak lagi menjadi masalah pada tahun 2006. Belum jelas bagaimana  ancaman virus yang akan datang di masa depan atau bagaimana ancaman virus akan menjadi lebih serius.  Yang jelas adalah bahwa setiap kali ada kesempatan untuk keuntungan finansial, maka para pembuat virus akan berusaha untuk mengakses dan melakukan penyalahgunaan data.

Huah… pengantarnya kepanjangan? hehe…  😛

Mungkin tidak semua dari kita mengetahui serangan-serangan yang dilakukan virus seperti serangan berupa Adware, Autorun worm, trojan Backdoor, Cookie, sampai Zombies… namun jika anda tertarik untuk mengetahui lebih jauh, Sophos Antivirus telah mengeluarkan sebuah Treatsaurus berupa Kamus mini yang berisi informasi semua jenis treat virus dari A sampai Z, diantaranya menjelaskan tentang :

  • Adware
  • Anonymizing proxies
  • Autorun worms
  • Backdoor Trojans
  • Blended threats
  • Boot sector malware
  • Botnet
  • Browser hijackers
  • Brute force attack
  • Buffer overflow
  • Chain letters
  • Command and control center
  • Cookies
  • Data leakage
  • Data loss
  • Data theft
  • Denial-of-service attack
  • Document malware
  • Email malware
  • Exploits
  • Fake anti-virus malware
  • Hoaxes
  • Internet worms
  • dll…dll…dll…

Treatsaurus ini berisi treat-treat yang sering menyerang komputer, jenis-jenis software security serta hardware yang digunakan untuk mengamankan komputer, tips keamanan dari serangan virus, trojan, worm, spyware, hoax dan tentang sejarah singkat perkembangan virus.

Jika tertarik anda dapat memiliki kamus mini ini dengan mendownloadnya dari sini.

Segitu saja, Semoga bermanfaat …

Salam …


Mengembalikan Setting Registry Safe Mode

Ketika membaca sebuah coment postingan terdahulu tentang Win32.IRCBoot, ada sebuah kasus dimana komputer yang terinfeksi tidak dapat masuk ke Safe Mode, hal ini disebabkan karena worm tersebut juga telah menghapus string registry yang bertujuan untuk mendisable safe mode:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Jika hal ini juga terjadi pada anda, dan jika OS anda menggunakan windows XP mungkin anda bisa memperbaikinya dengan script dibawah ini.

Berikut adalah script registry untuk mengembalikan settingan komputer agar bisa masuk ke Safe Mode.

PENTING : Hanya untuk Windows XP
Download Filenya Disini
extract hasil download dan double klik file Rebuilt_safe_Mode.reg dan pilih Ok.
Lakukan restart dan coba lagi masuk Safe Mode (tekan F8 berulang pilih Safe Mode)

Atau copy dan Paste ke Notepad tulisan dibawah ini dan save dengan nama Rebuilt_safe_Mode.reg (Save as type = All)
============================================

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
“AlternateShell”=”cmd.exe”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@=”FSFilter System Recovery”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-

444553540000}]
@=”Universal Serial Bus controllers”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-

08002BE10318}]
@=”CD-ROM Drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-

08002BE10318}]
@=”DiskDrive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-

08002BE10318}]
@=”Standard floppy disk controller”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-

08002BE10318}]
@=”Hdc”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-

08002BE10318}]
@=”Keyboard”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-

08002BE10318}]
@=”Mouse”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-

08002BE10318}]
@=”PCMCIA Adapters”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-

08002BE10318}]
@=”SCSIAdapter”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-

08002BE10318}]
@=”System”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-

08002BE10318}]
@=”Floppy disk drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-

08002BE2092F}]
@=”Volume”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-

00A0C90F57DA}]
@=”Human Interface Devices”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@=”FSFilter System Recovery”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-

444553540000}]
@=”Universal Serial Bus controllers”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-

08002BE10318}]
@=”CD-ROM Drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-

08002BE10318}]
@=”DiskDrive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-

08002BE10318}]
@=”Standard floppy disk controller”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-

08002BE10318}]
@=”Hdc”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-

08002BE10318}]
@=”Keyboard”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-

08002BE10318}]
@=”Mouse”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-

08002BE10318}]
@=”Net”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-

08002BE10318}]
@=”NetClient”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-

08002BE10318}]
@=”NetService”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-

08002BE10318}]
@=”NetTrans”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-

08002BE10318}]
@=”PCMCIA Adapters”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-

08002BE10318}]
@=”SCSIAdapter”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-

08002BE10318}]
@=”System”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-

08002BE10318}]
@=”Floppy disk drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-

08002BE2092F}]
@=”Volume”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-

00A0C90F57DA}]
@=”Human Interface Devices”

===============================================

Demikian alternatif untuk mengembalikan settingan komputer agar bisa masuk ke Safe Mode … Selamat mencoba, terimakasih sudah membaca dan jangan berhenti untuk selalu mencoba.
Salam ….


Win32.IRCBot worm atau Backdoor.Win32.IRCBot.gen Alias Worm Win32/Pushbot.BD

win32IRCBootSeorang teman menitipkan sebuah laptop dengan dilampiri secarik kertas warna biru berisi catatan “tolong… kalo lagi sempet, ada virus yang selalu muncul dideteksi oleh antivirus saya, tetapi setelah dihapus selalu muncul kembali.. Trims. XXXX

Ketika laptop dihidupkan, windows berjalan normal, semua fasilitas windows seperti Run, CMD, TaskManager, Search, Regedit, dll dapat berjalan normal.. semua aplikasi seperti office, adobe photoshop, notepad juga lancar lancar saja.. pendek kata tidak ada yang salah dengan window ini… tetapi beberapa saat kemudian mulailah muncul peringatan peringatan dari antivirus avira yang terinstal dalam laptop tersebut. Benar, sesuai isi pesan bahwa penghapusan dapat dilakukan tetapi kemudian peringatan antivirus selalu muncul kembali.

Memang windows normal untuk dijalankan, tetapi jika selalu muncul peringatan terus menerus dari antivirus  tentu akan terasa sangat mengganggu bukan?

Kemudian saya coba melihat sebenarnya proses apa yang selalu berulang dihapus oleh antivirus tersebut … disana tertulis “worm Win32.IRCBot”

Hmmm…mari kita sama-sama pahami sebentar, …

Win32.IRCBot worm juga dikenal sebagai Backdoor.Win32.IRCBot.gen atau Worm Win32/Pushbot.BD

Worm Win32/Pushbot.BD adalah worm yang menyebar melalui MSN Messenger dan AIM yang berisi backdoor untuk mengontrol komputer yang tertular, perubahan sistem berikut ini menunjukkan kemungkinan adanya Worm: Win32/Pushbot.BD pada komputer:

Terdapat file :% windir% \ svchost.exe
Memodifikasi registri berikut:
*    Menambah nilai: “Windows Internet Manager”
*    Dengan data: “svchost.exe”
* pada subkunci: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \

Menyebar melalui MSN Messenger dan AIM
Menggunakan fungsi backdoor, Worm: Win32/Pushbot.BD dapat menyebar via Yahoo Messenger dan AIM dengan mengirimkan pesan ke semua kontak pengguna yang komputernya terinfeksi. Pesan ini disediakan oleh controller melalui IRC backdoor,yang menunjuk ke sebuah salinan dari worm executable pada domain ‘www.mymsnpics.net’, dengan Payload Fungsi backdoor: Port 20.733 yang setelah terinstal worm menghubungkan ke IRC server ‘msn.sandboxanddie.info’ pada port 20.733 dan menunggu instruksi. Menggunakan backdoor, remote penyerang dapat melakukan sejumlah tindakan seperti :

* Menyebar via Yahoo Messenger atau AIM
* Update database virus sendiri
* Download dan mengeksekusi arbitrary files

Ok, kita coba mulai langkah pembersihan………

Berikut langkah pembersihan yang saya lakukan dengan menggunakan Kaspersky virus removal tool dapat anda download disini.   Tools ini bersifat freeware alias gratisan dari vendor antivirus Kaspersky® lab.

KISTools

  • Instalkan tools tersebut dan jangan membuat perubahan apapun untuk pengaturan default ketika program telah selesai menginstal
  • Pilih My Computer. Klik tombol Scan. Prosedur scan ini dapat memakan waktu, jadi bersabarlah hingga proses betul betul selesai.
  • Jika tampil box peringatan adanya infeksi ketika proses scan, maka klick tombol Disinfect atau Delete.
  • Untuk jenis Worm Win32/Pushbot.BD ini, pihak Microsoft merekomendasikan agar mendownload latest Windows definitions update disini, kalau sudah lakukan instal.
  • Lakukan Restart setelah kedua proses tersebut, jika memungkinkan segeralah update antivirus anda lalu lakukan Scan ulang.

Untuk mencegah infeksi pada sistem :
* Aktifkan firewall pada komputer Anda.
* Selalu Update antivirus anda.
* Berhati-hati dengan attachment dan file transfer.

Untuk mengaktifkan Internet Connection Firewall pada Windows XP
1.  Klik Start, dan klik Control Panel.
2.  Klik SNetwork and Internet Connections.
3.  Klik Change Windows Firewall Settings.
4.  Pilih On.
5.  Klik OK.

Untuk mengaktifkan Windows Firewall pada Windows Vista
1.  Klik Start, dan klik Control Panel.
2.  Klik Security.
3.  Klik Turn Windows Firewall on or off.
4.  Pilih On.
5.  Klik OK.

Selalu Update antivirus Anda
Kebanyakan perangkat lunak antivirus terbaru telah dapat mendeteksi dan mencegah infeksi jenis Win32.IRCBot worm atau  Backdoor.Win32.IRCBot.gen alias Worm Win32/Pushbot.BD ini. Untuk membantu melindungi Anda dari infeksi, anda harus selalu melakukan update  antivirus karena mencegah lebih baik daripada memperbaiki.

Proses pembersihanWin32.IRCBot worm atau  Backdoor.Win32.IRCBot.gen alias Worm Win32/Pushbot.BD ini bisa saja berbeda pada komputer anda, disini saya hanya ingin berbagi pengalaman. Sebaiknya segitu dulu, karena malam sudah semakin larut dan saya sebagai manusia mempunyai batas kemampuan untuk menahannya… terimakasih sudah menbaca dan semoga bermanfaat.

Salam …

signature Transblog


Lagi-lagi Conficker …

Mconficker wormalam sudah cukup larut ketika tiba sebuah sms berisi pesaan “lg repot ga?.. sy mo mampir bw laptop sama virusnya” .. belum sempat reply, yang punya pesan sudah pasang senyum lebar di depan pintu dan langsung pesan kopi 😀 … setelah dilakukan scan antivirus, .. yaaahh… lagi lagi conficker…


Ketika mulai mengetikkan tuts keybord untuk judul diatas, “conficker” saya sedikit merasa bosan karena sudah sejak lama dedemit satu ini tidak pernah absen numpang ngetop di banyak topik blog … dengan varian beragam dengan nama beragam : Win32/Conficker.AA alias W32/Worm.AHGV, alias Net-Worm alias Win32.Kido.bg alias W32/Conficker.worm.gen, alias Mal/Conficker. Harus diakui juga bahwa varian ini tergolong cerdas karena saking ngetopnya sampai sampai ada isu bahwa jika ada 16 buah pc maka salah satunya pasti mengidap conficker (ngawur? hehe.. bisa ya, bisa tidak) tapi jangan panik dulu boss,  jika anda takut komputer anda termasuk yang terinfeksi silahkan cek dulu ke sini.

confickertest

Jika tampilan yg anda dapati adalah seperti gambar diatas maka komputer anda aman, tapi jika tampilan gambar tidak lengkap… hmm ada kemungkinan komputer anda telah terinfeksi.

conficker dapat digolongkan sebagai worm (Write Once Read Many) maap.. bukan pamer bahasa bule,  tapi artinya kurang lebih begini, worm adalah Program yang dapat mereplikasi dirinya dan mengirim beberapa kopian dari komputer ke komputer lewat hubungan jaringan. Setelah berhasil menginfeksi, kemudian menggunakan Network jaringan untuk menyebar dari sitem ke sistem lain. Sekali aktif di suatu sistem network worm dapat bersifat  seperti virus atau menempelkan program trojan horse.  Untuk mereplikasi dirinya, worm menggunakan layanan jaringan, seperti:  fasilitas email, eksekusi jarak jauh (remote), dan seperti biasa mampu mendompleng melalui media flash disk.

Yang menarik adalah saking dongkolnya, pihak  Microsoft yang kebakaran jenggot karena sistem keamanannya dapat disusupi oleh si conficker ini menyatakan akan menghadiahkan uang sebesar US$250.000 (setara 3 Miliar Rupiah) pada siapa saja yang berhasil menangkap pembuatnya. (mungkin semua juga sudah tahu)

Kesaktian program penyusup ini antara lain :

  • melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string antara lain  Ccert, sans, bit9, windowsupdate, wilderssecurity  tanpa melakukan perubahan host file  sehingga dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke situs keamanan.
  • membuat rule firewall pada gateway jaringan lokal yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
  • membuat service dengan karakteristik tertentu agar dapat berjalan otomatis saat start-up windows serta membuat HTTP Server pada port yang acak
  • membuat scheduled task untuk menjalankan file virus yang sudah dikopi.
  • Mendisable Show Hidden File & System Restore
  • melakukan perubahan pada sistem Windows Vista/Server 2008 dengan mendisable Windows Auto-Tuning (yang merupakan fitur  untuk meningkatkan performa ketika mencoba akses jaringan)

Conficker memiliki file pemicu yang dinamakan ”autorun.inf” biasanya ditemui di setiap drive komputer dan di flashdisk korban dengan ukuran file 55 KB. File induk Conficker bernama ”jwgkvsq.vmx” dengan ukuran file 155 Kb atau 169 KB bersifat superhidden dan biasanya tersimpan didalam folder ”RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665”.

Cara penghapusan yang biasa saya dilakukan adalah :

  1. Download MS08-67 vulnerability patch sesuai versi windows anda dari sini
  2. Download Win32.Worm.Downadup.Gen (Win32/Conficker.AA) removal tool dari BitDefender dari sini. extract file tersebut.
    Lepaskan kabel jaringan.
    Jalankan file Anti-downadup-graphics.exe
  3. Restart komputer anda setelah selesai
  4. Disable system restore to flush out infected restore points, Restart lagi komputer anda
  5. Hidupkan kembali System restore, caranya Klik START -> ALL PROGRAMS -> ACCESSORIES -> SYSTEM TOOLS -> SYSTEM RESTORE — Klik pada “create new restore point”, kemudian klik NEXT dan ikuti perintah selanjutnya.

—- alternatif lain ———–

  • bisa menggunakan antivirus PCMAV khusus conficker (untuk download digoogling aja dengan keyword PCMAV conficker)
  • untuk mengembalikan registry yang dirubah bisa gunakan plugin dari ansav atau smadav (untuk download digoogling aja)

atau dengan script untuk Repair registry yang dirubah oleh virus (service windows yang mati dan show hidden file). caranya copy script pada notepad, kemudian save as menjadi repair.inf.

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0×00000001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0×00000001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0×00000001,1

HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

================

Jangan lupa juga bersihkan temporary file, gunakan disk cleanup atau dapat menggunakan tools cleaner seperti Ccleaner atau ATF Cleaner.

Terakhir, lakukan instalasi antivirus dan selalu pastikan terupdate dengan baik.

sedikit catatan :

beberapa sofware gratis yang dapat anda download di kantong mbah google khusus untuk conficker antara lain :

Kaspersky AVP Removal Tool

Norman Malware Cleaner

McAfee AVERT Stinger

Microsoft Malicious Software Removal Tool

KidoKiller (Kaspersky)

Fix Downad (Trend Micro)

W32.Downadup Removal (Symantec)

EConfickerRemover (ESET/NOD32)