RSS

Membasmi Worm Conficker/ Downadup /Kido

02 Feb

Worm? Mungkin kata ini belum familiar bagi sebagian orang. Worm masih berkerabat dekat dengan virus komputer. Yang membedakan adalah worm hampir sebagian besar menyebar melalui jaringan (LAN), membuat jaringan lamban, & sering kali target utamanya adalah server. Conficker adalah salah satu worm terbaru yang telah menginfeksi >9 juta komputer di seluruh dunia (sumber).

Tulisan ini merupakan pengalaman pribadi menghadapi Conficker alias Win32/Conficker.A/B (CA, Microsoft), W32.Downadup (Symantec), W32/Downadup.A (F-Secure), Conficker.A (Panda), Net-Worm.Win32.Kido.bt (Kaspersky) di kantor yang bikin pusing tujuh keliling..

Teknik Infeksi

Worm ini mengeksploitasi celah keamanan Windows yang dikenal sebagai MS08-067. Secara teknis, worm ini menyebar secara primer (cara sekunder adalah melalu flash disk) melalui kelemahan buffer overflow pada Server Service di Windows. Worm ini akan membuat RPC (Remote Procedure Call) request spesial untuk menjalankan kode di komputer target. Microsoft telah mengeluarkan update untuk menutup celah ini, jadi pastikan Windows anda selalu diupdate.

Setelah terinfeksi, worm ini akan membuka jalur ke sebuah server yang akan menginstruksikan worm ini untuk melakukan tindakan selanjutnya, mengambil data-data pribadi anda, dab mengunduh & menginstall malware/trojan.

Tanda-tanda Terinfeksi
1. Muncul pesan Generic Host Process (GHP) error.
2. Beberapa servis Windows seperti Automatic Update, Backgorund Intelligent Transfer (BITS), Windows Defender tidak berjalan.
3. Anda tidak bisa mengujungi beberapa website antivirus (Symantec, AVG, dll). Namun anda masih mengunjungi website tersebut jika mengetahui IP addressnya (ketik IP address di browser).

Khusus untuk kantor/jaringan (terutama yang memakai Active Directory):
1. Sering muncul account locked out (jika aturan ini diaktifkan). Jika server sudah terinfeksi, account lockout policy otomatis di reset oleh worm.
2. Domain Controler akan lamban merespon request client. Jika anda memperhatikan Task Manager, maka proses CPU terlihat lebih tinggi dari biasanya. Hal ini dikarenakan worm ini mencoba membobol password admin ratusan/ribuan kali dalam sedetik (brute force attack). Aktifkan Audit Directory Object di server untuk mengetahui hal ini (untuk server 2003 lihat disini). Jadi pastikan Account Lockedout Policy diaktifkan jika tidak ingin server anda bobol.
3. Jaringan secara keseluruhan menjadi lamban.

conficker-final-thumb
Teknik Membersihkan
1. Install patch untuk celah keamanan Windows (KB958644) di: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
2. Unduh Microsoft Windows Malicious Software Removal Tool/MSRT (KB890830) dari http://www.microsoft.com/security/malwareremove/default.mspx dan jalankan untuk membersihkan worm ini.
3. Disable autorun (KB953252), karena teknis infeksi sekunder worm ini melalui flash disk: http://support.microsoft.com/kb/953252 & import key registry berikut dari halaman ini: http://www.us-cert.gov/cas/techalerts/TA09-020A.html
4. Update antivirus anda, dan lakukan scan menyeluruh.

Khusus untuk kantor/jaringan (terutama yang memakai Active Directory):
1. Karena worm ini akan berusaha membobol password Administrator jaringan maka ganti password dengan yang lebih kuat (mengandung huruf besar/kecil, angka, tanda baca, & minimal 6 digit).
2. Jangan login ke komputer menggunakan account domain, khususnya account Administrator jaringan. Cabut komputer yang terinfeksi dari jaringan, lalu login ke komputer dengan account admin local (this computer), dan lakukan langkah-langkah di atas. Disarankan anda juga mengganti password admin local dengan yang lebih aman juga.
3. Khusus untuk server yang tidak ada admin local (Active Directory), langkah kedua (membersihkan worm) dapat dilakukan dengan booting server dengan CD anti virus. Saya menggunakan keluaran Avira (http://www.free-av.de/en/tools/12/avira_antivir_rescue_system.html). Cabut kabel jaringan dari server, boot & bersihkan dengan CD, restart server, patch Windows (jika belum) dan jalankan MSRT untuk amannya.
4. Jika anda menggunakan WSUS (Windows Server Update Services) pastikan semua KB (update) yang saya sebutkan di atas sudah di deploy ke seluruh komputer. Jika belum, anda harus sedikit mem “push” nya dengan mengatur deadline (misalkan satu minggu).

sumber : http://www.blaszta.com/blog/2009/01/25/membasmi-worm-conficker-downadup-kido/

 
7 Komentar

Ditulis oleh pada 2 Februari 2009 in Virus

 

Tag: , , , ,

7 responses to “Membasmi Worm Conficker/ Downadup /Kido

  1. orb "ORang Biasa"

    3 Februari 2009 at 7:14 AM

    ok postingannya, tapi kang car membersihkannya gmn?

     
  2. Asep Irfan Nugraha

    3 Februari 2009 at 7:34 AM

    OK thank comment nya bos, tapi bacanya jangan sepotong-sepotong Kang Orb. Gw dah tulis ama Teknik Membersihkan pada tulisan diatas.

    salam kenal..

     
  3. Jdp

    10 Februari 2009 at 3:45 AM

    keren gan info nya. keep posting ya.
    blh kan ikut nongkrong disini?🙂

     
  4. Asep Irfan Nugraha

    10 Februari 2009 at 4:06 AM

    Silahkan >:D<

     
  5. Renault

    13 Februari 2009 at 7:29 AM

    Tapi saya baca di okezone.com, kayaknya blum ada yg bisa ngatasi?

     
  6. Asep Irfan Nugraha

    13 Februari 2009 at 7:53 AM

    Kang Renault Don’t Give Up my Friend, Try…. trus siapin Antivirus and Update terbaru.
    Saya dah coba, dan saya gunakan AVG versi Full setelah dibersihkan. Insyaallah Kang bisa diatasi untuk antivirusnya silahkan download di https://ixnugros.wordpress.com/2009/01/29/avg-full-dengan-key-10-tahun/
    kurang lebih 75 Mb so sabar kang…

     
  7. AN. ismail

    16 Februari 2009 at 4:50 PM

    A Asep, I say thank U for your Blogging because your blog really best when I look at there.
    say hello from the dark angel
    smile@cirebon.

     

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: