Marketing and Business

Apakah PC/laptop anda mengalamai gejala-gejala seperti di bawah ini?

1. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.
2. PC/Laptop mendapatkan pesan error Generic Host Process.
3. PC/Laptop tidak bisa mengakses situs-situs tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan “Address not Found” tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan berarti.
4. Update definisi antivirus terganggu karena akses ke situs antivirus diblok.
5. Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000

Berhati-hatilah!!! Karena sebenarnya PC/Laptop anda telah terinfeksi virus yang sedang menggganas di seluruh dunia. Virus ini telah menyerang dan menginfeksi Departemen Pertahanan Perancis dan Inggris. Dan sampai sekarang belum di ketahui siapa yang menciptakan virus yang satu ini.

Virus ini dinamakan Virus Conficker, virus ini menyerang di Windows XP, Vista, Windows Server semua versi dan bahkan Windows 7 (versi beta ) rentan dengan serangan virus yang satu ini.
Norman Security Suite mendeteksi varian baru virus tsb sebagai W32/Conficker.DV, sedangkan antivirus lain mendeteksi sebagai Win32.Kido.CG (Kaspersky), W32.Downadup.B (Symantec), W32.Downadup.AL (F-Secure), W32.Conficker.B (Microsoft), W32.Conficker.A (CA, Sophos dan McAfee), Worm_Downad.AD (Trend Micro) dan W32/Conficker.C (Panda).

Ciri-ciri File Virus
Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bertipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype “dll” (dynamic link library).
File virus yang berusaha masuk akan berada pada lokasi temporary internet :
- %Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\[%nama acak%].[%gif,jpeg,bmp,png%]
- %Documents and Settings\[%user%]\Local Settings\Temporary Internet Files\[%gif,jpeg,bmp,png%]
Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut :
- %Documents and Settings%\[%user%]\Application Data\[%nama acak%].dll
- %Program Files%\Internet Explorer\[%nama acak%].dll
- %Program Files%\Movie Maker\[%nama acak%].dll
- %WINDOWS%\system32\[%nama acak%].dll
- %WINDOWS%\Temp\[%nama acak%].dll
File “dll” inilah yang aktif dan “mendompleng” file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali.
Virus juga akan mengcopy file “[%nama acak%].tmp” pada folder %WINDOWS%\system32 (contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tsb, kemudian virus mendelete file tsb.
Gejala / Efek Virus
Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :

1. Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall / Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-Disable beberapa service, yaitu : (lihat gambar 2)
a. wscsvc : Security Center
b. wuauserv : Automatic Updates
c. BITS : Background Intellegent Transfer Service
d. ERSvc : Error Reporting Service
e. WerSvc : Windows Error Reporting Service (Vista, Server 2008)
f. WinDefend : Windows Defender (Vista, Server 2008)

2. Virus berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :
a. “netsh interface tcp set global autotuning=disabled”
b. Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba akses jaringan. Info selengkapnya pada http://support.microsoft.com/kb/947239
3. Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet.
4. Virus akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009.
5. Virus akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
6. Virus akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows :
a. Service name: “[%nama acak%].dll”
b. Path to executable: %System32%\svchost.exe -k netsvcs
c. Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) :Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows

Pembersihan Virus
1. Putuskan komputer yang akan dibersihkan dari jaringan/internet.
2. Matikan system restore (Windows XP / Vista).
3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif.
4. Delete service svchost.exe gadungan yang ditanamkan virus pada regisrty. Anda dapat mencari secara manual pada registry
5. Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)
6. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini :
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0×00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0×00000001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0×00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Catatan : Untuk file yang aktif pada startup, anda dapat men-disable melalui “msconfig” atau dapat men-delete secara manual pada string :
“HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run”

7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini dengan baik dan patch komputer anda dengan http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx guna mencegah infeksi ulang.

Sumber : Vaksin.Com