Ciri-Ciri Virus Conficker dan Cara Mengatasinya

Maret 10, 2009

Seperti virus penyakit, virus komputer juga menyebar dengan cepat dari satu komputer ke komputer lain. Wabah yang tengah mengancam jutaan komputer di seluruh dunia sekarang adalah serangan yang disebut conficker. Conficker yang juga disebut Downandup atau Kido menyerang dengan cara memanfaatkan celah kelemahan pada fitur Windows Service yang telah ditambal Microsoft bulan Oktober lalu. Namun, beberapa laporan mengatakan, virus tersebut tidak mati meski patch telah dipasang. Conficker menginfeksi dengan cara menebak password admin di jaringan atau melalui USB flash. Jadi, hati-hati terhadap serangan ini dan lebih waspada setiap kali melakukan tukar-menukar file. Update antivirus mutlak untuk mengantisipasi kemungkinan serangan.

Jika anda mengalami satu atau beberapa gejala dibawah ini, berarti Conficker telah menginfeksi:

1. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.

2.Komputer mendapatkan pesan error Generic Host Process.

3.Komputer tidak bisa mengakses situs-situs tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan “Address not Found” tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan berarti.

4.Update definisi antivirus terganggu karena akses ke situs antivirus diblok.

5. Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000

Ciri File Virus
Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bert ipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype “dll” (dynamic link library). File virus yang berusaha masuk akan berada pada lokasi temporary internet:
1. %Documents and Settings-Settings-Internet Files-acak%].[%gif,jpeg,bmp,png%]

2. %Documents and Settings-Settings-Temporary Internet Files-
Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut :

3. %Documents and Settings%-Data-acak%].dll

4. %Program Files%-Explorer-acak%].dll

5. %Program Files%-Maker-acak%].dll

6. %WINDOWS%-acak%].dll

7. %WINDOWS%-acak%].dll
File “dll” inilah yang aktif dan “mendompleng” file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali. Vi rus juga akan mengcopy file “[%nama acak%].tmp” pada folder %WINDOWS%-(contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tersebut, kemudian virus mendelete file tersebut.

Gejala/Efek Virus
Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :
1. Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-disable beberapa service, yaitu: wscsvc : Security Center, wuauserv : Automatic Updates, BITS : Background Intellegent Transfer Service, ERSvc : Error Reporting Service, WerSvc : Windows Error Reporting Service (Vista, Server 2008), WinDefend : Windows Defender (Vista, Server 2008),

2. Virus m ampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke website keamanan. Seperti Ccert, sans, bit9, windowsupdate, pctools, norman, clamav, avira, avast, grisoft, nod32, kaspersky, f’secure, etrust, panda, sophos, trendmicro, mcafee, norton, symantec, microsoft, defender, dll

3. Virus berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :
” netsh interface tcp set global autotuning=disabled“
Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba aks es jaringan. Info selengkapnya pada

http://support.microsoft.com/kb/947239

4. Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet. Virus melakukan download pada beberapa website berikut :
aaidhe.net, aamkn.cn, abivbwbea.info, aiiflkgcw.cc, alfglesj.info, amcfussyags.net, amzohx.ws, apaix.ws, argvss.info, arolseqnu.ws,
asoidakm.cn, atnsoiuf.cc, dll

5. Virus akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa wesite berikut : baidu.com, google.com,
yahoo.com, msn.com, ask.com, w3.org, aol.com, cnn.com, ebay.com,
msn.com, myspace.com

6. Virus akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).

7. Virus akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows :
Service name: “[%nama acak%].dll“
Path to executable: %System32%–k netsvcs
Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) :
Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows

8. Virus membuat HTTP Server pada port yang acak :
Http://%ExternalIPAddress%:%PortAcak(1024-10000)%
Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi : http://www.getmyip.org, http://www.whatsmyipaddress.com, http://getmyip.co.uk, http://checkip.dyndns.org, Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah :
“rundll32.exe .[%eks tensi acak%], [%acak]“

Simak 7 langkah membasmi virus Conficker dari Vaksincom berikut ini:

1. Putuskan komputer yang akan dibersihkan dari jaringan/internet. Matikan akses WiFi kalau ada dan cabut kabel ethernet dari jaringan LAN.

2. Matikan system restore (Windows XP/Vista).
Caranya pilih Start>>All Program>>Accesories>>System Tools>>System Restore kemudian pada menu setting pilih off untuk seluruh partisi.

3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Program ini tersedia cuma-cuma dan dapat di-download di bawah ini :
http://download.norman.no/public/Norman_Malware_Cleaner.exe

4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.

5. Hapus Schedule Task yang dibuat oleh virus. (C:-WINDOWS-Tasks)

6. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini. Salin script ini lalu install.

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del[UnhookRegKey]
HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced, Hidden, 0×00000001,1
HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced, SuperHidden, 0×00000001,1
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-Hidden-SHOWALL, CheckedValue, 0×00000001,1
HKLM, SYSTEM-CurrentControlSet-Services-BITS, Start, 0×00000002,2
HKLM, SYSTEM-CurrentControlSet-Services-ERSvc, Start, 0×00000002,2
HKLM, SYSTEM-CurrentControlSet-Services-wscsvc, Start, 0×00000002,2
HKLM, SYSTEM-CurrentControlSet-Services-wuauserv, Start, 0×00000002,2[del]
HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, dl
HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, ds
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, dl
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, ds
HKLM, SYSTEM-CurrentControlSet-Services-Tcpip-Parameters, TcpNumConnections
Gunakan notepad untuk menyalin, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Catatan : Untuk file yang aktif pada startup, anda dapat men-disable melalui “msconfig” atau dapat men-delete secara manual pada string :
“HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Run”

7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mampu mendeteksi virus ini dengan baik dan patch komputer anda dengan

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx guna mencegah infeksi ulang.

Test Antivirus Terbaik 2009 versi PC Security Labs

Metode yang digunakan oleh PC Security Labs dalam pengetesan (Total Protection Testing), mencakup dua hal : Malware Defense Testing dan False Positive Testing.

Malware Defense Testing merupakan kombinasi static testing (test langsung dengan file virus, berdasarkan database virus) dan dinamic testing (berdasarkan tingkah laku virus, dengan menjalankan virus di komputer). Test ini menggunakan daftar malware ( virus, trojan, worm, rootkit, spyware dll ) bulanan yang berjumlah 2000-an lebih dan telah dipilih sesuai dengan kategori masing-masing.

Sedangkan False positive Testing merupakan test untuk mengetahui seberapa besar kesalahan antivirus mendeteksi file yang bersih ( bebas virus, kadang dianggap sebagai virus atau mengandung virus). Disini disediakan sample sekitar 1000 file yang merupakan file yang “bersih”, bukan virus.

PC Security Labs mengadakan test antivirus setiap bulan, dan karena terbilang baru, maka produk yang di test belum selengkap lembaga pengetes lainnya. Pengetesan dilakukan dengan “mengundang” vendor-vendor antivirus untuk bergabung. Jika mereka setuju atau bersedia produknya ditest, maka antivirus tersebut akan disertakan.

Test I PC Security Labs : Januari 2009

Test pertama Tahun 2009 ini dilakukan pada 2 Januari 2009 dan ada 12 vendor antivirus yang diikutisertakan dalam test. Dengan jumlah sample malware 2255 yang berbeda ( meliputi : Trojan, virus, backdoor, worm dan Rootkit) juga 1000 “clean files”. Hasilnya sebagai berikut :

Vendor	Static	Dynamic	Total	Rate	False Positive	Score
Avira Premium SS 8	2252	1	2253	99.91%	0	99.91
Kaspersky IS 2009	2226	24	2250	99.78%	0	99.78
Panda IS 2009	2194	50	2244	99.51%	0	99.51
Ikarus Virus Utilities T3	2249	2	2251	99.82%	2	99.35
a-squared Anti-Malware 4.0	2252	1	2253	99.91%	3	99.31
F-Secure IS 2009	2204	34	2238	99.25%	0	99.25
Twister Anti TrojanVirus	1960	276	2236	99.16%	0	99.16
Jiangmin AV KV2009	2089	126	2215	98.23%	0	98.23
Trend Micro IS 2008	1916	170	2086	92.51%	1	92.20
Dr. Web Sec Space	2042	42	2084	92.42%	1	92.12
Kingsoft IS 2009	2003	34	2037	90.33%	0	90.33
Quick Heal TS 2009	1900	113	2013	89.27%	0	89.27

Test II PC Security Labs : Februari 2009

Test Kedua dilakukan pada 10 Februari 2009, ada tambahan satu vendor, yaitu TrustPort PC Security 2009. Test ini menyertakan 2022 sample malware yang berbeda. Hasilnya sebagai berikut :

Vendor	Static	Dynamic	Total	Rate	False Positive	Score
Avira Premium SS 8	2022	0	2022	100.00%	0	100.00
Kaspersky IS 2009	1990	28	2018	99.80%	0	99.80
Panda IS 2009	2002	14	2016	99.70%	0	99.70
a-squared Anti-Malware 4.0	1997	15	2012	99.51%	2	99.03
Jiangmin AV KV2009	1508	502	2010	99.41%	0	99.41
TrustPort PC Security 2009	2005	0	2005	99.16%	6	98.31
Ikarus virus Utilities T3	1996	3	1999	98.86%	2	98.39
F-Secure IS 2009	1829	164	1993	98.57%	0	98.57
Twister Anti-TrojanVirus	1341	630	1971	97.48%	0	97.48
Trend Micro IS 2009	1608	253	1861	92.08%	1	91.74
Quick Heal TS 2009	1548	295	1843	91.15%	1	90.85
Dr.Web Sec Space	1677	150	1827	90.36%	1	90.06
Kingsoft IS 2009	1465	318	1783	88.18%	0	88.18

Memang terlihat beberapa vendor Antivirus belum ikut serta dalam test tersebut, seperti AVG, Avast, Norton, Eset NOD32, McAfee dan lainnya. Semoga test berikutnya semakin banyak yang ikut serta, sehingga bisa menjadi informasi tambahan untuk memilih antivirus yang akan digunakan.