1. Info ke-1
Ciri virus confiker Komputer mendapat pesan Generic Host Process (GHP) Error dan
setelah itu koneksi internet dari komputer mati, maka kemungkinan besar jaringan
komputer anda sudah tercemar oleh Conficker. Penyebabnya bukanlah komputer yang
menampilkan pesan GHP error tersebut, melainkan karena (minimal) salah satu
komputer di jaringan anda sudah terinfeksi Conficker dan secara otomatis
melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua komputer
yang rentan atau belum di patch MS 06-037. jika sudah terinfeksi maka dapat
dikenali dengan : 1. System Restore dilumpuhkan 2. Membuat HTTP Server dari port
1024 s/d 10000 3. Melakukan patch pada komputer terinfeksi 4. Download File
secara otomatis untuk update virus ini (loadadv.exe) untuk menghambat penyebaran
dan
dan proses update virus ini, temen2 bisa melakukan beberapa langkah di mikrotik
: 1. blok file bernama loadadv.exe 2. melakukan blok terhadap UDP Port 135, 137,
138 dan 445 dan TCP Port 135 , 139 , 445 dan 593 3. melakukan patch keamanan
windows RPC Dcom3 atau bisa lihat di
http://www.microsoft.com/technet/sec.../MS08-067.mspx
Mudah-mudahan bermanfaat
Salam dari Biak Papua
Tamam
Sorce : DISINI
=============================================================
2. Info ke-2
Virus yang berhasil menyebar dengan sukses bukan virus paling ganas atau paling rumit, melainkan virus yang paling populer. Dalam konteks penyebaran virus, virus akan menjadi populer jika ia mampu “membuat” dirinya diaktifkan di sebanyak mungkin komputer. Caranya adalah dengan mengeksploitasi celah keamanan, memanfaatkan kelemahan sistem yang ada dan terakhir yang menjadi keahlian pembuat virus lokal, rekayasa sosial. virus ini mengeksploitasi celah keamanan RPC Dcom.
Pada awalnya, patch RPC Dcom yang pertama di release pada bulan Agustus 2003 khusus untuk menghadapi serangan virus Lovsan atau lebih terkenal dengan nama Blaster. Patch RPC Dcom dengan kode MS03-039 awal tersedia di http://support.microsoft.com/kb/824146 dan secara efektif berhasil menghalau dan menghentikan virus Blaster. Dan ini rupanya bukan akhir cerita eksploitasi RPC Dcom karena pada April 2004 Microsoft kembali mengeluarkan patch MS04-012 http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx karena ada beberapa spyware yang diketahui mengeksploitasi celah keamanan ini seperti W32/Rbot.AWJ. Hebatnya lagi, Rbot.AWJ rupanya tidak hanya mengeksploitasi celah keamanan MS04-012 tetapi segambreng celah keamanan lain seperti MS04-011 (LSASS), MS03-007 (WebDav), MS04-011, CAN-2003-0719 (IIS5SSL), MS01-059 (UPNP), CAN-2003-1030 (Dameware Mini Remote Control), MS04-007 (ASN.1), MS05-039 (PNP). Setelah dua kali dieksploitasi, tahun 2008 ini celah keamanan RPC Dcom kembali di “oprek” dan dieksploitasi dengan cara lain sehingga Microsoft buru-buru mengeluarkan tambalan / patch MS08-067 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.
Seberapa parah celah keamanan RPC Dcom part III ini ?
Jika anda pemain game komputer, berbeda dengan film-film Hollywood yang umumnya sekuelnya kalah sukses dengan film pertamanya. Game komputer dengan seri makin tinggi pada umumnya makin canggih dan makin menarik perhatian gamer dan selalu berhasil mengalahkan game pertamanya. Contohnya adalah game Warcraft III yang jelas lebih bagus dari Warcraft I, atau Civilization IV yang tentu lebih menyenangkan dimainkan ketimbang Civilization I dst. Celakanya, celah keamanan RPC Dcom ini juga mengikuti jejak game komputer. Tidak seperti celah keamanan RPC Dcom awal, celah keamanan RPC Dcom part III ini bukan saja mampu mengeksploitasi celah keamanan di Windows XP Service Pack 3 dan Windows Server 2003 Service Pack 2, tetapi Windows Vista dan Windows Server 2008 juga rentan terhadap ancamana celah keamanan ini. Bahkan gilanya Windows 7 Pre Beta juga rentan terhadap eksploitasi celah keamanan RPC Dcom III ini.
Untuk detailnya silahkan lihat daftar OS-OS yang rentan terhadap serangan virus Conficker yang mengeksploitasi celah keamanan RPC Dcom III :
Keterangan :
· Severity Rating Critical artinya virus mampu menyebarkan dirinya secara otomatis tanpa dapat di cegah oleh pengguna komputer.
· Severity Rating Important artinya ada persetujuan yang perlu diberikan user dengan mengklik sesuatu. Dalam Vista bentuknya adalah Pop up User Account Control.
Jika kita perhatikan, Windows Vista dan Windows Server 2008 relatif lebih aman terhadap eksploitasi celah keamanan RPC Dcom 3 ini dibandingkan Windows XP, Windows Server 2003 dan Windows 2000. Tetapi hal ini bukan menunjukkan bahwa Vista dan Server 2008 tidak dapat di eksploitasi. Yang membedakan “hanya” satu pop up yang pada Windows Vista dinamakan User Account Control (UAC). Seperti kita ketahui, mayoritas pengguna Windows yang awam akan cenderung mengklik tombol [Continue] [Ok] [Yes] [I Agree] dibandingkan [Cancel] [No] tanpa berpikir panjang. Apalagi jika Pop up UAC ini muncul terus menerus jika di klik [Cancel] dan mengganggu aktivitasnya, kemungkinan besar supaya Pop Up UAC tidak muncul lagi pengguna komputer pada akhirnya akan memilih mengklik [Continue] yang akan menjalankan virus ini di komputernya.
Ciri komputer / jaringan terserang Conficker
Jika mendadak komputer anda mendapatkan pesan Generic Host Process (GHP) Error dan setelah itu koneksi internet dari komputer tersebut mati, maka kemungkinan besar jaringan komputer anda sudah tercemar oleh Conficker. Penyebabnya bukanlah komputer yang menampilkan pesan GHP error tersebut, melainkan karena (minimal) salah satu komputer di jaringan anda sudah terinfeksi Conficker dan secara otomatis melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua komputer yang rentan atau belum di patch MS 06-037.
Jika ada komputer yang berhasil di infeksi, maka Conficker akan melakukan beberapa rutin canggih yang membuat geleng-geleng kepala antara lain :
1. Melumpuhkan System Restore.
Conficker akan melumpuhkan System Restore dengan cara mereset “Restore Point” guna mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point. System Restore adalah fasilitas “Mesin Waktu” yang tersedia di beberapa OS Windows seperti ME, XP dan Vista yang berfungsi sebagai backup system OS dan dapat membantu mengembalikan setting komputer pada keadaan normal jika suatu saat terjadi kesalahan instal program yang tidak diingini ataupun karena terinfeksi virus.
2. Membuat HTTP Server.
Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) bagi jaringan lokal. Jika ada komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch, maka ia akan mencoba menyerang dan jka berhasil maka komputer korbannya akan mendownload ke HTTP server yang dibuat tadi untuk mendownload file virus dan menjalankannya. Selain itu, dalam aksinya ini Conficker menyebabkan matinya Internet connection Sharing.
3. Melakukan patch pada komputer korbannya.
Setelah berhasil menginfeksi komputer korbannya, Conficker akan melakukan patching pada komputer korbannya, jangan berterimakasih dulu kepada virus ini. Tujuannya melakukan patch adalah untuk mencegah infeksi ulang yang malahan akan mengakibatkan komputer tidak stabil sehingga tidak bisa mencari korban baru.
4. Download File untuk update dirinya.
Conficker meniru antivirus akan berusaha mendownload file (kemungkinan updatenya di masa depan) ke beberapa website yang telah disiapkan daftarnya (250 domain) dengan tujuan mempersulit vendor antivirus untuk memblok domain-domain update tersebut satu persatu.
Langkah Pencegahan
Jika komputer anda menampilkan pesan adanya virus Conficker secara berulang-ulang meskipun sudah dibersihkan oleh antivirus anda, pertama-tama yakinkan bahwa virus tersebut tidak aktif di komputer anda. Caranya adalah dengan memutuskan hubungan komputer ke jaringan. Jika setelah hubungan ke jaringan diputuskan infeksi virus terhenti, maka artinya sumber virus bukan dari komputer anda melainkan dari “salah satu” komputer di jaringan. Karena itu anda harus mencari sumber penyebar conficker di jaringan sebelum mengkoneksikan komputer anda. Logikanya, semua komputer yang belum di patch RPC Dcom 3 dan terhubung ke jaringan dimana ada satu komputer saja yang terinfeksi virus conficker akan terinfeksi conficker dalam waktu singkat, kecuali komputer-komputer tersebut di lindungi oleh Firewall yang memproteksi port :
* UDP Port 135, 137, 138 dan 445.
* TCP Port 135, 139, 445 dan 593
Cara terbaik adalah melakukan pekerjaan rumah anda patch SEMUA komputer yang OSnya rentan terhadap celah keamanan RPC Dcom 3. Untuk mendapatkan detail patchnya silahkan download ke http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Langkah penanggulangannya adalah sebagai berikut :
- Putuskan komputer yang akan dibersihkan dari jaringan/internet.
- Matikan system restore (Windows XP/Vista).
- Silahkan download patch Microsoft Di Sini
- Install patch tersebut (WindowsXP-KB958644-x86-ENU.exe)
- Matikan proses virus yang aktif pada services.
- Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.
- Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)
- Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini:
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
Hidden, 0×00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden, 0×00000001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0×00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnectionsGunakan notepad, kemudian simpan dengan nama ‘repair.inf’, lalu ‘Save As Type’ menjadi ‘All Files’ agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sementara untuk file yang aktif pada startup, Anda dapat mendisable melalui ‘msconfig’ atau dapat mendelete secara manual pada string: ‘HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run’
9. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini dengan baik dan patch komputer Anda dengan patch resmi dari Microsoft guna mencegah infeksi ulang.
10. Berdoa… agar virusnya hilang hihi…,source : DISINI
0 komentar:
Post a Comment
Silahkan tinggalkan pesan disini