Waspadai Conficker

Waspadai Conficker, Jangan Terkecoh Patch Palsunya

Rabu, 1 April 2009 | 08:53 WIB

JAKARTA, Kompas.com – Masih ingat Conficker bukan? Worm ini diperkirakan telah menjangkiti 9 juta komputer di seluruh dunia, dan dikategorikan sebagai ancaman serius oleh para pakar sekuriti. Serangan terbarunya dijanjikan akan berlangsung hari ini, 1 April.
Salah satu teknik yang digunakan worm Conficker adalah mem-patch komputer berbasis Microsoft yang sudah diinvasinya agar ia bisa bersembunyi dan mencegah malware lain menyusup. Menurut salah satu vendor, Qualys, scanner-nya yang telah di-upgrade Selasa kemarin mampu membedakan patch Microsoft yang asli dengan patch susupan Conficker.

“Minggu lalu para peneliti dari University of Bonn mendapatkan bahwa begitu meng-install dirinya sendiri, worm menutup kelemahan (terkait dengan MS08-067] karena ia tidak ingin orang lain mengambil alih mesin,” kata Wolfgang Kandek (CTO, Qualys). “Tetapi patch Conficker tampak berbeda.”

Karya peneliti Bonn yang membedakan patch asli Microsoft dari patch palsu milik Conficker telah memungkinkan Qualys meng-upgrade scanning engine-nya agar bisa membedakan kedua patch tersebut. Begitu kata Kandek seperti dikutip networkworld. “Patch Conficker tampak berbeda. Sebelumnya, kita akan mengatakan, Anda kelihatannya sudah di-patch,” katanya.Scan ini dapat mengungkap mesin-mesin yang tidak diduga terinfeksi oleh Conficker.

Lalu bagaimana dengan pemilik komputer di rumah? Bagaimana ia tahu kalau komputernya sudah disusupi Conficker? Sederhana saja. Jika ia tidak mampu terkoneksi ke situs Web solusi sekuritinya atau tidak dapat mengunduh detection/removal tools yang gratis, berarti komputernya terinfeksi Conficker.
Nah, agar komputer Anda tidak melambat atau kacau gara-gara infeksi Conficker, silakan jalankan tool-tool untuk mendeteksi dan juga membasmi Conficker yang ditawarkan oleh beberapa vendor antimalware, di antaranya versi free trial dari Symantec dan McAfee, maupun Microsoft.

wiek

TIPS 1 ( Kompas )

Teknik menyelamatkan traffic supaya jaringan di perusahaan tidak lumpuh secara menyeluruh. Traffic download file loadadv.exe adalah salah satu ciri terinfeksinya jaringan oleh Worm: Win32/Comficker.A. Kemudian lakukan konfigurasi mikrotik sebagai firewall traffic Win32/Conficker.A.

Berikut langkah-langkah yang harus dilakukan :

1. Buat Mangle Rule untuk menandai packet. In interface adalah interface yang menghadap ke jaringan kita/LAN.

2. Isi content dengan loadadv.exe di destination address-list. Ournetwork, maksudnya agar content tersebut hanya dicek kalai destinasinya bukan address-list-ournetwork.

3. Kalau ada content loadadv.exe dimasukkan ke dst-address-list = worm-dst.

4. Buat firewall rule chain Forward.

5. Dst-address-list pilih Worm-dst.

6. Action drop, lalu ok, jangan lupa diletakkan di paling atas.

Dengan teknik ini, walaupun URL berubah-ubah, sebanyak apapun selama file yang dicari adalah loadadv.exe maka IP URL tersebut akan di-drop oleh Mikrotik. Hanya saja, sistem mangle dengan content loadadv.exe ini cukup galak.

Jika mengetik loadadv.exe di destinasi lain maka destinasi akan di-block juga. Walaupun misalnya hanya karena Anda mengetik loadadv.exe di kotak search google, IP address google.com pun akan dianggap worm-dst sehingga akan di-block setiap kali akan diakses kembali.

TIPS 2  ( Kompas )

7 Langkah Bersihkan Virus Conficker

1. Putuskan komputer yang akan dibersihkan dari jaringan/internet. Matikan akses WiFi kalau ada dan cabut kabel ethernet dari jaringan LAN.

2. Matikan system restore (Windows XP/Vista).

Caranya pilih Start>>All Program>>Accesories>>System Tools>>System Restore kemudian pada menu setting pilih off untuk seluruh partisi.

3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Program ini tersedia cuma-cuma dan dapat di-download di bawah ini

http://download.norman.no/public/Norman_Malware_Cleaner.exe

4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.

5. Hapus Schedule Task yang dibuat oleh virus. (C:-WINDOWS-Tasks)
6. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini. Salin script ini lalu install.

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]

HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced, Hidden, 0x00000001,1

HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced, SuperHidden, 0x00000001,1

HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-Hidden-SHOWALL, CheckedValue, 0x00000001,1

HKLM, SYSTEM-CurrentControlSet-Services-BITS, Start, 0x00000002,2

HKLM, SYSTEM-CurrentControlSet-Services-ERSvc, Start, 0x00000002,2

HKLM, SYSTEM-CurrentControlSet-Services-wscsvc, Start, 0x00000002,2

HKLM, SYSTEM-CurrentControlSet-Services-wuauserv, Start, 0x00000002,2

[del]

HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, dl

HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, ds

HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, dl

HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, ds

HKLM, SYSTEM-CurrentControlSet-Services-Tcpip-Parameters, TcpNumConnections

Gunakan notepad untuk menyalin, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Catatan : Untuk file yang aktif pada startup, anda dapat men-disable melalui “msconfig” atau dapat men-delete secara manual pada string :

“HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Run”

7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mampu mendeteksi virus ini dengan baik dan patch komputer anda dengan http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx guna mencegah infeksi ulang.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: