gravatar

Win32/Conficker.AE.worm

Win32/Conficker.AE.worm

Entah kenapa hari ini tiba-tiba jaringan semua komputer error, internet putus, hubungan server sempat ngadat, dan yang paling menyebalkan pesan error dari OS "Generic Host Process for Win32 bla bla bla...." wah jangan-jangan!

Benar dugaan kalau Conficker sekali lagi silaturahmi ke kantor, buang sial cepet-cepet cuci muka terus ngadep ke komputer sambil muter otak, iseng-iseng cari artikel siapa tahu sudah ada solusi yang lebih mudah., dan doa pun terjawab :)

Setelah sekali lagi membaca referensi tentang Conficker, saya menemukan solusi dari tetangga sebelah untuk memudahkan kita mengatasi Win32/Conficker.AE.worm.
Komputer yang terinfeksi biasanya menampilkan kode "Generic Host Process bla bla bla" dan kemudian tidak lama jaringan akan terputus. Repot juga kalau penggunaan komputer tergantung pada jaringan (Warnet, Kantor)

Karakteristik worm
Algoritma dan metode yang di terapkan didalam Conficker ini memiliki tingkat kesulitan yang kompleks.

Conficker variant A sampai E rata-rata menggunakan metode infeksi NetBios dan Removable disk. Kemudian untuk menghindari deteksi atau self-armoring Confiker melakukan DNS Poisoning, atau juga memblokir DNS lookups, dimana DNS lookups ini berfungsi untuk menentukan alamat IP dari domain name.

Sehingga kalau komputer terinfeksi Conficker maka biasanya tidak akan bisa mengakses alamat web khususnya website AntiVirus seperti, Kaspersky, Avira, AVG, NOD32, Avast dll

Aksi worm saat menginfeksi komputer


  1. Mengekstrak semua file ke directory %System% (biasanya C:\WINDOWS\System32), file memiliki nama random berekstensi .dll

  2. Menghapus record pada System Restore

  3. Meregister service dengan nama NetSvcs

  4. Membuat schedule task untuk mengeksekusi file .dll tersebut

  5. Membuat HTTP server didalam komputer yang terinfeksi dan menyebarkan worm kedalam jaringan melalui file sharing

  6. Membuat file Autorun.inf yang mampu untuk mengeksekusi file saat di akses oleh komputer lain

  7. Menghubungkan komputer ke beberapa situs untuk mendownload file-file tambahan



Cara membersihkan
Conficker tergolong bandel dan mudah untuk menginfeksi kembali jadi lakukan...setidaknya lakukan langkah-langkah berikut:

  1. Disable semua AutoRun (terserah bagaimana cara anda untuk mematikan autorun, yang penting fasilitas autorun harus disable), update: cara cepat download NoAutoRun

  2. Matikan Task Scheduler karena Conficker membuat schedule untuk me-replika dirinya.

  3. Gunakan password untuk login network ataupun lokal, kalau sudah ada gunakan password yang lebih sulit dan tidak mudah ditebak.

  4. Sekali lagi NOD32 saves the day, download Conficker removal di sini, dan jalankan aplikasi tersebut setelah langkah-langkah diatas.
    Atau beberapa Conficker/Downadup Removal lainnya:
    http://support.kaspersky.com/faq/?qid=208279973
    Anti-Downadup - BitDefender Labs

  5. Update security patch dari website Microsoft, sesuaikan dengan OS http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx





Category:
10 Januari 2010 at Minggu, Januari 10, 2010

Pengikut