Kompas.com Seperti virus penyakit, virus komputer juga menyebar dengan cepat dari satu komputer ke komputer lain. Wabah yang tengah mengancam jutaan komputer di seluruh dunia sekarang adalah serangan yang disebut conficker.
Program berbahaya ini telah menginfeksi 6 juta-9 juta komputer di seluruh dunia hanya dalam waktu 2 minggu. Kawasan yang terkena serangan paling tinggi adalah Asia dan Amerika Latin.
Berdasarkan data Symantec, China dan Argentina merupakan negara yang paling parah terkena serangan jenis worm ini. Conficker baru menyebar sekitar dua bulan lalu, tetapi telah menimbulkan kepanikan yang begitu masif.
Hampir 29 persen komputer di China terinfeksi conficker. Sementara Argentina telah mencapai 11 persen. Selain itu, serangan ini juga cepat menyebar di Brasil dan Rusia. “Kami tak melihat jumlah terinfeksi yang sebesar itu di tempat lainnya,” ujar Alfred Huger, Wakil Presiden Symantec Security Response. Di AS, misalnya, komputer yang terinfeksi baru sekitar 1 persen.
Huger mengatakan, worm ini memang didesain pembuatnya untuk menuliskan kode yang bekerja pada jaringan China dan Brasil sehingga kedua negara itulah yang sepertinya menjadi target serangan. Namun, versi terbarunya menyerang ke jaringan lebih luas.
“Saya kira pembajakan punya peran meski saya tidak tahu bagaimana pengaruhnya,” ujar Huger. Negara di Asia dan Amerika Latin selama ini dikenal dengan tingkat pembajakan software yang sangat tinggi.
Para pengamat keamanan komputer saat ini masih meraba-raba apa yang akan dilakukan pembuat conficker setelah menginfeksi jutaan komputer di seluruh dunia. Yang pasti, komputer yang terinfeksi dapat diambil alih pembuat virus dari jarak jauh layaknya zombie. Jutaan komputer tersebut bakal menjadi jaringan botnet terbesar di dunia yang rawan dimanfaatkan untuk melakukan tindakan kriminal, seperti pencurian data rahasia atau bahkan rekening bank. Dalam beberapa kasus, komputer yang terserang akan mengalami gangguan koneksi setiap kali terhubung ke internet.
Conficker yang juga disebut Downandup atau Kido menyerang dengan cara memanfaatkan celah kelemahan pada fitur Windows Service yang telah ditambal Microsoft bulan Oktober lalu. Namun, beberapa laporan mengatakan, virus tersebut tidak mati meski patch telah dipasang. Conficker menginfeksi dengan cara menebak password admin di jaringan atau melalui USB flash.
Jadi, hati-hati terhadap serangan ini dan lebih waspada setiap kali melakukan tukar-menukar file. Update antivirus mutlak untuk mengantisipasi kemungkinan serangan.
Serangan virus Conficker yang meresahkan dunia setelah menginfeksi 9 juta komputer dalam dua minggu juga mengancam pengguna komputer di Indonesia. Penyebarannya sangat cepat sehingga jumlah komputer yang terinfeksi berlipat ganda dalam waktu singkat.
Perusahaan lokal penyedia antivirus dan solusi keamanan Vaksincom mencatat, kasusnya membengkak dari hanya ribuan menjadi puluhan ribu kasus komputer yang terinfeksi Conficker sampai dengan pertengahan Januari 2009. Hal ini tidak lepas dari kemampuan Conficker untuk menyerang komputer lain dalam jaringan provider yang sama.
“Jangankan komputer yang berada dalam jaringan, komputer standalone yang menggunakan koneksi internet dari provider tertentu pun terancam oleh ulah Conficker,” demikian laporan Vaksincom. Penyebaran virus Conficker atau yang juga dikenal dengan nama W32/Conficker, W32/Downupad atau W32/Kido saat ini dinilai sudah mencapai tingkat yang mengkhawatirkan.
Virus mancanegara yang belum diketahui asalnya ini cukup cerdas dan memiliki kemampuan meng-update dirinya dan memiliki satu payload spesial yang sangat menyulitkan pembuat antivirus untuk membuat tools pembasmi dirinya. Karena itu, virus tetap membandel bila ditangani secara biasa. Jika jaringan komputer di kantor telah terinfeksi, virus sulit dibasmi.
Memasuki tahun 2009, varian Conficker semakin canggih. Saat ini sudah muncul varian baru virus yang memiliki target serangan Windows XP, Vista, Windows Server (semua versi), dan bahkan Windows 7 versi Beta pun masih rentan atas serangan virus ini. Norman Security Suite mendeteksi varian baru virus tersebut sebagai W32/Conficker.DV, sedangkan antivirus lain mendeteksi sebagai Win32.Kido.CG (Kaspersky), W32.Downadup.B (Symantec), W32.Downadup.AL (F-Secure), W32.Conficker.B (Microsoft), W32.Conficke r.A (CA, Sophos dan McAfee), Worm_Downad.AD (Trend Micro) dan W32/Conficker.C (Panda).
Begitu terinfeksi virus Conficker, komputer benar-benar seperti zombie yang diambil alih pihak lain. Pengguna tak berkutik terutama saat terhubung dengan jaringan Internet. Serangan Conficker akan sangat mengganggu karena tidak hanya mengambil alih sebagian kerja komputer, namun juga menelanjangi fungsi keamanan yang seharusnya melindungi komputer dari ancaman virus dan sejenisnya.
Namun, karena tidak merusak langsung seringkali serangan tersebut tak disadari. Nah, apakah komputer sudah terinfeksi Conficker atau belum dapat dikenali dari ciri-cirinya. Gejala Conficker yang paling umum adalah munculnya pesan Generic Host Process Error setiap kali pengguna komputer menghubungkan dirinya dengan internet.
Selain itu, Conficker juga diketahui menyebabkan login username Active Directory dikunci karena ia melakukan aksi Bruteforce. Dalam banyak kasus malahan serangan menyebabkan terganggunya koneksi internet komputer/jaringan korbannya.
Jika anda mengalami satu atau beberapa gejala dibawah ini, berarti Conficker telah menginfeksi:
1. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.
2.Komputer mendapatkan pesan error Generic Host Process.
3.Komputer tidak bisa mengakses situs-situs tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan “Address not Found” tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan berarti.
4.Update definisi antivirus terganggu karena akses ke situs antivirus diblok.
5. Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000
Ciri File Virus
Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bert ipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype “dll” (dynamic link library).
File virus yang berusaha masuk akan berada pada lokasi temporary internet:
1. %Documents and Settings-Settings-Internet Files-acak%].[%gif,jpeg,bmp,png%]
2. %Documents and Settings-Settings-Temporary Internet Files-
Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut :
3. %Documents and Settings%-Data-acak%].dll
4. %Program Files%-Explorer-acak%].dll
5. %Program Files%-Maker-acak%].dll
6. %WINDOWS%-acak%].dll
7. %WINDOWS%-acak%].dll
File “dll” inilah yang aktif dan “mendompleng” file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali. Vi rus juga akan mengcopy file “[%nama acak%].tmp” pada folder %WINDOWS%-(contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tersebut, kemudian virus mendelete file tersebut.
Gejala/Efek Virus
Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :
1. Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-disable beberapa service, yaitu:
- wscsvc : Security Center
- wuauserv : Automatic Updates
- BITS : Background Intellegent Transfer Service
- ERSvc : Error Reporting Service
- WerSvc : Windows Error Reporting Service (Vista, Server 200 
- WinDefend : Windows Defender (Vista, Server 200
2. Virus m ampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke website keamanan.
- Ccert.
- sans.
- bit9.
- windowsupdate
- wilderssecurity
- threatexpert
- castlecops
- spamhaus
- cpsecure
- arcabit
- emsisoft
- sunbelt
- securecomputing
- rising
- prevx
- pctools
- norman
- k7computing
- ikarus
- hauri
- hacksoft
- gdata
- fortinet
- ewido
- clamav
- comodo
- quickheal
- avira
- avast
- esafe
- ahnlab
- centralcommand
- drweb
- grisoft
- nod32
- f’prot
- jotti
- kaspersky
- f’secure
- computerassociates
- networkassociates
- etrust
- panda
- sophos
- trendmicro
- mcafee
- norton
- symantec
- microsoft
- defender
- rootkit
- malware
- spyware
- virus
3. Virus berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :
” netsh interface tcp set global autotuning=disabled”
Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba aks es jaringan. Info selengkapnya pada http://support.microsoft.com/kb/947239
4. Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet. Virus melakukan download pada beberapa website berikut :
aaidhe.net
aamkn.cn
abivbwbea.info
aiiflkgcw.cc
alfglesj.info
amcfussyags.net
amzohx.ws
apaix.ws
argvss.info
arolseqnu.ws
asoidakm.cn
atnsoiuf.cc
avweqdcr.cn
axaxmhzndcq.cc
barhkuuu.com
bbuftxpskw.cc
bdykhlnhak.cc
bdzpfiu.biz
bijkyilaugs.cn
bjpmhuk.ws
bmmjbsjidmt.com
bzagbiwes.cc
carse.cn
cauksxf.biz
cfhlglxofyz.biz
cinsns.cc
ciynbjwm.com
cljivsb.biz
cpeadyepcis.biz
cqnxku.ws
ctmchiae.ws
cxjsy.net
czkdu.net
dbffky.cn
dgbdjsb.com
drpifjfxlyl.ws
dtosuhc.org
duahpzq.org
dwrtwgsm.cn
dyjomzyz.com
earuldx.cn
egqoab.net
egxbsppn.cn
ehkvku.cn
elivvks.net
emxmg.info
eobvidij.org
erwojl.org
evqvmwgw.cn
ewioygq.biz
exxkvcz.cc
ffaqk.info
fhlwov.net
fitjg.net
fkhbumne.info
fknacmvowib.cn
fmdsqasqm.net
fmgcjv.cn
fpljpuqp.info
fsrljjeemkr.info
fthil.cc
ftphtsfuv.net
gbgklrka.cc
gbmkghqcqy.net
gbxyu.ws
gezjwr.biz
gjbwolesl.info
glkzckadwu.biz
gmvhjp.ws
gsvrglz.cc
gutvjbektzq.com
gwtqx.cn
hbyzvpeadkb.net
hewdw.ws
hjcxnhtroh.cn
hltowx.com
hqjazhyd.com
hrmirvid.com
hudphigb.org
hvagbqmtxp.info
idvgqlr.ws
ihnvoeprql.biz
iidqkzselpr.com
ijthszjlb.com
iklzskqoz.cn
iqgnqt.org
iqrzamxo.ws
isjjlnv.org
iudqzypn.cn
iyfcmcaj.cn
jayrocykoj.ws
jffhkvhweds.cn
jfxcvnnawk.org
jgrftgunh.org
jguxjs.net
jhanljqti.cc
jhvlfdoiyn.biz
jjhajbfcdmk.net
jkisptknsov.biz
jknxcxyg.net
jlouqrgb.org
jpppffeywn.cc
jradvwa.biz
juqsiucfrmi.net
jvnzbsyhv.org
jxnyyjyo.net
kaonwzkc.info
kdcqtamjhdx.ws
kgeoaxznfms.biz
kihbccvqrz.net
kimonrvh.org
kjsxwpq.ws
kkrxwcjusgu.cn
knqwdcgow.ws
koaqe.cc
kodzhq.org
kqjvmbst.net
kufvkkdtpf.net
kxujboszjnz.ws
lagcrxz.cc
lawwb.com
lbdfwrbz.net
ljizrzxu.cc
lmswntmc.biz
lotvecu.com
lplsebah.cn
lxhmwparzc.ws
lyamwnhh.info
mciuomjrsmn.cn
mdntwxhj.cn
meqyeyggu.cc
mfigu.cn
mimdezm.biz
mkdsine.cn
mmtdsgwfa.net
mouvmlhz.cc
mozsj.biz
mpqzwlsx.ws
msvhmlcmkmh.biz
mtruba.ws
myrmifyuqo.biz
naucgxjtu.ws
ncwjlti.cn
nertthl.net
nnxqqmdl.info
nuxtzd.cn
nxvmztmryie.ws
nybxvgb.net
nzsrgzmhay.net
oadscrk.org
oezepyh.info
ojrswlg.net
olgjkxih.org
omqxqptc.ws
ooudifyw.cn
opkawiqb.cn
oqsfz.ws
orvfkx.cc
otoajxfn.net
oxeeuikd.net
oyezli.com
pfath.info
plsexbnytn.com
poplie.cc
psbdfflh.cn
qfmbqxom.ws
qjvtczqu.com
qpcizvlvio.biz
qslhoks.cn
qtcnfvf.biz
qtsnk.cn
qzktamrsgu.cn
rbhixtifxk.cc
rccoq.net
rgievita.ws
rlrbqpxv.org
rozhtnmoudg.cc
rpsctacalyd.cn
rrmkv.com
rtpuqxp.net
rtztoupc.net
satmxnz.ws
sbtalilx.com
sdjnaeoh.cc
sirkqq.org
sjkkfjcx.biz
sjkxyjqsx.net
stmsoxiguz.net
tdeghkjm.biz
tkhnvhmh.biz
tmdoxfcc.org
torhobdfzit.cc
trdfcxclp.org
tscmbj.net
tuwcuuuj.com
txeixqeh.biz
uazwqaxlpq.info
ubxxtnzdbij.com
ucnfehj.org
uekmqqedtfm.com
uhtmou.ws
uhveiguagm.biz
uoieg.ws
uttcx.net
uyhgoiwswn.cc
uyvtuutxm.cn
vfxifizf.info
vupnwmw.biz
vzqpqlpk.ws
waeqoxlrprp.org
wdrvyudhg.cc
wediscbpi.org
whgtdhqg.net
wkstxvzr.org
wmrgzac.info
wnwqphzao.info
wsajx.com
wskzbakqfvk.org
wtngipaynh.info
wumvjpbbmse.cc
wuzunxevor.info
wwftlwlvm.org
xcncp.info
xeeuat.com
xhazhbir.biz
xjnyfwt.org
xlrqvoqmsxz.info
xqgbn.cn
xwrrxwmo.cc
xxabrkhb.cc
xxmgkcw.cc
xxxxgvtaa.com
xzoycphicpk.com
ybbfrznr.info
ycceqdmm.cc
ydxnochqn.org
ygmwharv.info
ylnytttckyc.com
yuvudlsdop.cc
ywhaunsyez.cc
ywxdggnaaad.org
zindtsqq.ws
zkywmqx.com
zoosmv.info
zqekqyq.cn
zqked.org
zsatn.ws
ztgsd.info
ztioydng.com
zzczpujz.biz
5. Virus akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa wesite berikut :
baidu.com
google.com
yahoo.com
msn.com
ask.com
w3.org
aol.com
cnn.com
ebay.com
msn.com
myspace.com
6. Virus akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
7. Virus akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows :
Service name: “[%nama acak%].dll”
Path to executable: %System32%–k netsvcs
Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) :
Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows
8. Virus membuat HTTP Server pada port yang acak :
Http://%ExternalIPAddress%:%PortAcak(1024-10000)%
Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi :
- http://www.getmyip.org
-http://www.whatsmyipaddress.com
- http://getmyip.co.uk
-http://checkip.dyndns.org
- Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah :
“rundll32.exe .[%eks tensi acak%], [%acak]“
Sumber: Vaksincom
Tri Wahono
Virus Conficker bisa dibilang sebagai virus komputer yang paling ditakuti saat ini. Tercatat, jutaan komputer di seluruh dunia telah terjangkit sejak kemunculannya pada bulan Oktober tahun lalu.
Apalagi ketika varian kedua virus yang diduga berasal dari Rusia ini muncul dengan format baru yang mendompleng file svchost dan dapat mengunci active domain. Penyebarannya sangat cepat dan begitu ter-install sulit dibasmi dengan prosedur standar. Banyak antivirus tak sanggup mengatasi varian virus yang semakin cerdas.
Lantas, bisakah penyebaran virus ini bisa dicegah? Mencegah mungkin lebih baik daripada menunggu komputer Anda terserang virus. Vaksinis dari Vaksincom Adi Saputra memaparkan tips untuk mencegah penyebarannya berikut ini:
1. Aktifkan automatic updates dengan menggunakan Windows update untuk men-download dan meng-install updates.
2. Aktifkan windows firewall dengan menggunakan firewall untuk memproteksi PC dan jaringan.
3. Non-aktifkan default share ($ADMIN). Namun jika default share diperlukan dipakai untuk sistem di kantor maka Anda perlu mengubah default password Anda.
4. Non-aktifkan fitur autoplay, jika tak digunakan. Masalahnya, virus Conficker berusaha masuk ke komputer dari removable disk melalui celah Windows (autoplay) dengan menggunakan dua file, yaitu autorun.if dan recycler dengan format di belakang jwgkvsq.vmx. Keduanya menggunakan atribut hidden.
5. Update antivirus dan jadwalkan scan. Conficker yang masuk ke default share dan autoplay Windows biasanya memiliki format jpg, bmp, gif, png atau file aktif bertipe dll yang berlokasi di internet explorer, movie maker dan system32. Virus ini tidak bisa dihapus secara manual oleh karena itu harus dihapus secara paksa melalui langkah-langkah tertentu dengan removal tools.
LIN
7 Langkah Bersihkan Virus Conficker KOMPAS.COM Gambar
KOMPAS.COM. Jika komputer terlanjur terinfeksi virus Conficker yang kini momok bagi pengguna komputer di seluruh dunia, tak perlu khawatir. Anda tak sendirian karena diperkirakan sudah ada 12 juta komputer yang terinfeksi di seluruh dunia saat ini. Kalau antivirus pun masih gagal mengatasi, masih ada cara membasminya meski butuh sedikit kerja keras. Simak 7 langkah membasmi virus Conficker dari Vaksincom berikut ini:
1. Putuskan komputer yang akan dibersihkan dari jaringan/internet. Matikan akses WiFi kalau ada dan cabut kabel ethernet dari jaringan LAN.
2. Matikan system restore (Windows XP/Vista). Caranya pilih Start>>All Program>>Accesories>>System Tools>>System Restore kemudian pada menu setting pilih off untuk seluruh partisi.(Lihat gambar 1)
3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Program ini tersedia cuma-cuma dan dapat di-download di bawah ini (Lihat Gambar 2): http://download.norman.no/public/Norman_Malware_Cleaner.exe 4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.(Lihat Gambar 3)
5. Hapus Schedule Task yang dibuat oleh virus. (C:-WINDOWS-Tasks)
6. Hapus string registry yang dibuat oleh virus.
Untuk mempermudah dapat menggunakan script registry di bawah ini. Salin script ini lalu install. [Version] Signature=”$Chicago$” Provider=Vaksincom Oyee [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey]
HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced, Hidden, 0×00000001,1 HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced, SuperHidden, 0×00000001,1 HKLM,
SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-Hidden-SHOWALL, CheckedValue, 0×00000001,1 HKLM, SYSTEM-CurrentControlSet-Services-BITS, Start, 0×00000002,2 HKLM, SYSTEM-CurrentControlSet-Services-ERSvc, Start, 0×00000002,2 HKLM, SYSTEM-CurrentControlSet-Services-wscsvc, Start, 0×00000002,2 HKLM, SYSTEM-CurrentControlSet-Services-wuauserv, Start, 0×00000002,2 [del] HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, dl HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, ds HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, dl HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, ds HKLM, SYSTEM-CurrentControlSet-Services-Tcpip-Parameters, TcpNumConnections Gunakan notepad untuk menyalin, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). Jalankan repair.inf dengan klik kanan, kemudian pilih install. Catatan : Untuk file yang aktif pada startup, anda dapat men-disable melalui “msconfig” atau dapat men-delete secara manual pada string : “HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Run”
7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mampu mendeteksi virus ini dengan baik dan patch komputer anda dengan http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx guna mencegah infeksi ulang.
