Bro, just sharing aja tentang W32.Downadup & Win32.Conficker
Komputer kantor dari Desember 2008 kemarin juga dah pada mulai kena,
setahuku worm ini muncul sekitar akhir November. Setelah googling2 kesana -
kesini ternyata masih belum banyak sumber yang tau gimana caranya buat
ngilangin worm ini, trus setelah baca2 di Symantec karena kebetulan di
kantor pake Symantec terdapat ciri2 seperti berikut dan kalau dirunut
kebelakang sebenarnya ada 2 fase penyebaran worm ini :
A. Fase Pertama : W32.DownAdUp
1. Worm ini menyerang dengan memanfaatkan bolongnya celah keamanan di
RPC (seperti pada kasus blaster beberapa tahun yang lalu-baca pejelasan
napak tilas RPC Dom dari pak Alfon-Vaksin.com), dan yang bisa terinfeksi
adalah hamper semua varian Windows, bahkan Windows 7 yang masih beta
version.
2. Setelah computer terkena virus ini maka akan otomatis mendownload
file - file dengan extension *.JPG yang akan ditaruh di "C:\Documents and
Settings\Network Services\Local Settings\Temporary Internet
Files\Content.IE5\"
3. Worm ini akan menjadikan salah satu computer menjadi server web
sehingga akan mem broadcast file - file tersebut diatas. Selama computer
server ini belum diatasi maka bias dianggap worm ini masih hidup di
Jaringan, effectnya adalah traffic menjadi penuh, dan apabila kita memakai
Symantec maka antivirus ini akan otomatis mendelete file2 yang di download,
dan ini akan berlangsung terus menerus sehingga akan mengganggu user dalam
bekerja tetapi tidak menjadikan jaringan terputus.
4. Solusi yang dilakukan saat itu dan cukup efektif dalam mencegah
worm ini berkembang adalah :
. Update ke Windows XP SP3
. Update Antivirus Definition Files
. Patching Windows yang masih SP 1 dan 2 untuk menutup celah di
windows.
. Mengaktifkan Windows Firewall
B. Fase Kedua : W32.Conficker
Di kantor saya fase ini muncul sekitar awal Januari dan setelah googling
ternyata ini merupakan modifikasi yang lebih baru dari W32.DownAdUp, dan
effectnya lebih parah (salut buat yang bikin virus.)
1. Penyebaran worm ini sama dengan W32.downadup, yaitu memanfaatkan
celah bolong RPC dari windows (bahkan yang sudah diupdate sebelumnya).
2. Worm ini juga akan memanfaatkan computer yang menjadi server untuk
membroadcast, bedanya server ini akan menyerang di svchost client, yang
effectnya adalah mematikan service2 berikut :
. Computer Browser
. DHCP Client
. Windows Firewall
. Yang lain lupa (J)
3. Setelah service - service tersebut mati maka otomatis Computer akan
tidak terkoneksi dengan jaringan LAN.
4. Selain menyerang service - service tersebut, worm ini akan
menyerang SVCHOST dengan membuat SVCHOST palsu di
"C:\WINDOWS\SECURITY\SVCHOST.EXE" yang nanti akan menyebabkan load tinggi
di SVCHOST yang asli dan akan membuat computer Hang dengan muncul pesan
"Generic Host Process Win32 ..bla bla bla."
5. Kalau computer sudah terinfeksi maka akan muncul service baru
dengan nama : Windows Host32 Server Service yang kalaui dilihat akan
mereference file svchost.exe yang ada di "C:\WINDOWS\SECURITY\SVCHOST.EXE"
6. Solusi yang dilakukan dan sampai saat ini efektif adalah :
. Disable service Windows Host32 Server Service
. Delete "svchost.exe" yang ada di "C:\WINDOWS\SECURITY\SVCHOST.EXE"
. Delete Registry Windows Host32 Server Service ada di
HKEY_LOCAL_MACHINE | SYSTEM | CurrentControlSet | Services | Win32Host
(dihapus satu folder), ada satu lagi registrynya W32 cuman saya lupa
tempatnya, di Find aja dengan ke cara find "Windows Host32 Server Service",
. Patching Windows lagi, dan hari Rabu 13 Januari 2009 kemarin
Windows melakukan patching lagi untuk RPC DOM ini.
. Mengaktifkan Windows Firewall
. Update Antivirus Definition Files
Sampai sekarang solusi - solusi diatas masih cukup efektif dari sisi client,
tetapi yang menjadi kendala saat ini adalah Computer Server penyebar virus
belum ditemukan, dan kalau menginstall Windows di computer baru selama belum
di patching maka otomatis bakal kena. Langkah yang dilakukan untuk
mengetahui computer mana yang kena virus adalah dengan menggunakan tools
WireShark tetapi juga belum ketemu, mungkin kalau ada yang tau caranya
tolong diinformasikan. Semoga berguna, Terima Kasih.
[Non-text portions of this message have been removed]
------------------------------------
--
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia
Gabung, Keluar, Mode Kirim : itcenter-h...@yahoogroups.com
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/ITCENTER/
<*> Your email settings:
Individual Email | Traditional
<*> To change settings online go to:
http://groups.yahoo.com/group/ITCENTER/join
(Yahoo! ID required)
<*> To change settings via email:
mailto:itcenter-dig...@yahoogroups.com
mailto:itcenter-fullfeatu...@yahoogroups.com
<*> To unsubscribe from this group, send an email to:
itcenter-unsubscr...@yahoogroups.com
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
