Beranda » catatan kecil » Bertarung Melawan Conficker

Bertarung Melawan Conficker

Entah apa yang ada di benak sang V ini, ketika mendadak mendatangi kantor kami yang nun jauh dari markasnya di sono. Yah, warnet kami kena kunjungan sang maestro yang membuat tutup warung selama lima hari!

Sebenarnya saya sudah curiga akan tanda-tanda kedatangan si perusak. Setidaknya ada enam “kupu-kupu” yang datang.
Pertama, anti virus grisoft alias AVG 7.5 Free Edition di komputer kasir tidak mau update sejak 16 Januari 2009. Ketika diklik update, selalu muncul pesan server error, alias tidak bisa mengunjungi situs developernya. Semula aku mengira ini sang pembuat memang sudah tidak menyediakan update untuk versi 7.5, karena mereka sudah mengeluarkan versi 8 sejak lama. Ternyata asumsi ini salah. Yang benar, sang V memblok beberapa situs anti virus, termasuk AVG.

Kedua, klien no 2 tidak bisa sharing file. Jadi kalo ada user ingin mencetak, terpaksa datanya dipindahin dulu ke UFD, lalu dicolokin ke komputer kasir. Dan bum!… sang V pun sukses berdiaspora.

Ketiga, Yahoo Messenger selalu terbuka terus di klien 5. Meski diclose, ia tetap membuka beberapa detik kemudian. Bahkan ketika kita login, lalu di preferences tidak dicentang untuk otomatis start upnya, dia tetap muncul. Dan ia langsung mendahului aplikasi yang sedang kita buka, sehingga kita harus mengclosenya dahulu. Beberapa detik setelah diclose ia pun muncul lagi. Ini benar-benar mengganggu.

Keempat, klien no 9, ketika tidak ada orang, bahkan ketika baru dinyalakan, langsung mengupload beberapa mega. Aku mengira ia update sendiri. Tapi ketika kubuka, tak ada software yang terbuka. Semua tidak aktif. Jadi satu-satunya cara menghalangi virus ini meraja lela, aku terpaksa meminimalkan uploadnya cuma 1 mb (karena kalo dinolkan justru menjadi unlimited) plus disable.

Kelima, muncul pesan Generic Host Process Error di komputer 5, 7, 9 dan 10. Ketika diclose, internetnya ikut error, ga bisa dipake. Atau komputernya restart.

Keenam, puncaknya, komputer kasir terblok untuk run, control panel, search, plus ribuan file asing yang menduplikasi nama folder. Ini jenis virus yang lain. PCMAV mendeteksinya, ada 1400 lebih file virus, tapi tidak bisa mendeletenya.

Jadi, tidak ada cara lain, semua harus diinstal!
Dan operasi pembasmian pun dimulai.

LANGKAH PERTAMA
Sebelumnya, pasang dulu di pintu depan tulisan besar-besar: MAAF, WARNET TUTUP, SEDANG MENYIKAT VIRUS.

Lalu, sesuai kata Mbah Sun Tzu “kenali musuhmu”, maka cari di internet siapa tamu sebenarnya. Tentu, kabel LAN harus dicabut dulu.

Ternyata dari gugling, nama sang V adalah Conficker atau Downadup, yang mengeksploitasi celah keamanan RPC Dcom.. Kata vaksincom, celah keamanan RPC Dcom tidak hanya sekali ini disambangi virus. Microsoft pun sudah merilis patchnya alias tambalan. Patch RPC Dcom pertama dirilis pada Agustus 2003 khusus untuk menghadapi serangan virus Lovsan alias Blaster. Patch RPC Dcom dengan kode MS03-039 awal tersedia di http://support.microsoft.com/kb/824146 dan secara efektif berhasil menghalau dan menghentikan virus Blaster.

Pada April 2004, Microsoft kembali mengeluarkan patch MS04-012 http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx karena ada beberapa spyware yang diketahui mengeksploitasi celah keamanan ini seperti W32/Rbot.AWJ. Hebatnya lagi, Rbot.AWJ rupanya tidak hanya mengeksploitasi celah keamanan MS04-012 tetapi segambreng celah keamanan lain seperti MS04-011 (LSASS), MS03-007 (WebDav), MS04-011, CAN-2003-0719 (IIS5SSL), MS01-059 (UPNP), CAN-2003-1030 (Dameware Mini Remote Control), MS04-007 (ASN.1), MS05-039 (PNP).

Setelah dua kali dieksploitasi, tahun 2008 celah keamanan RPC Dcom kembali di “oprek” dan dieksploitasi dengan cara lain sehingga Microsoft buru-buru mengeluarkan tambalan / patch MS08-067 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.

OS-OS yang rentan terhadap serangan virus Conficker yang mengeksploitasi celah keamanan RPC Dcom III ternyata beragam, mulai dari Microsoft WIndows 2000, XP 32 bit, XP 64 bit, Windows Server 2003, Server 2003 64 bit, Vista, Vista 64 bit, Server 2008 32 bit, Server 2008 32 bit, bahkan Windows 7 Pre Beta yang baru saja dirilis! Severity rating antara critical sampai important.

Bahaya virus ini, masih menurut vaksin.com, antara lain:

1. Melumpuhkan System Restore.

Conficker akan melumpuhkan System Restore dengan cara mereset “Restore Point” guna mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point. System Restore adalah fasilitas “Mesin Waktu” yang tersedia di beberapa OS Windows seperti ME, XP dan Vista yang berfungsi sebagai backup system OS dan dapat membantu mengembalikan setting komputer pada keadaan normal jika suatu saat terjadi kesalahan instal program yang tidak diingini ataupun karena terinfeksi virus.

2. Membuat HTTP Server.

Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) bagi jaringan lokal. Jika ada komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch, maka ia akan mencoba menyerang dan jka berhasil maka komputer korbannya akan mendownload ke HTTP server yang dibuat tadi untuk mendownload file virus dan menjalankannya. Selain itu, dalam aksinya ini Conficker menyebabkan matinya Internet connection Sharing.

3. Melakukan patch pada komputer korbannya.

Setelah berhasil menginfeksi komputer korbannya, Conficker akan melakukan patching pada komputer korbannya, jangan berterimakasih dulu kepada virus ini. Tujuannya melakukan patch adalah untuk mencegah infeksi ulang yang malahan akan mengakibatkan komputer tidak stabil sehingga tidak bisa mencari korban baru.

4. Download File untuk update dirinya.

Conficker meniru antivirus akan berusaha mendownload file (kemungkinan updatenya di masa depan) ke beberapa website yang telah disiapkan daftarnya (250 domain) dengan tujuan mempersulit vendor antivirus untuk memblok domain-domain update tersebut satu persatu. Daftar domain ada disini

MEMBASMI VIRUS CONFICKER

Bagaimana membasmi virus ini? Ada tujuh langkah yang direkomendasikan oleh Detikinet, selengkapnya ditulis ulang disini:

  1. Putuskan komputer yang akan dibersihkan dari jaringan/internet.
  2. Matikan system restore (Windows XP/Vista).
  3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Jika belum memiliki, bisa didownload di situs norman.
  4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.
  5. Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)
  6. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini:

    [Version]
    Signature=”$Chicago$”
    Provider=Vaksincom Oyee

    [DefaultInstall]
    AddReg=UnhookRegKey
    DelReg=del

    [UnhookRegKey]
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
    Hidden, 0x00000001,1
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
    SuperHidden, 0x00000001,1
    HKLM,
    SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
    CheckedValue, 0x00000001,1
    HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0x00000002,2
    HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0x00000002,2
    HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0x00000002,2
    HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0x00000002,2

    [del]
    HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
    HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
    HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

    Gunakan notepad, kemudian simpan dengan nama ‘repair.inf’, lalu ‘Save As Type’ menjadi ‘All Files’ agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih install.

    Sementara untuk file yang aktif pada startup, Anda dapat mendisable melalui ‘msconfig’ atau dapat mendelete secara manual pada string: ‘HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run’

  7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini dengan baik dan patch komputer Anda dengan patch resmi dari Microsoft guna mencegah infeksi ulang.

LANGKAH KEDUA
Setelah ketemu penyakit dan jamunya, komputer yang masih waras disembuhkan sesuai dengan resep dokter. Ini untuk komputer no 3,5,8. Dan alhamdulillah berfungsi kembali dengan baik.

LANGKAH KETIGA
Untuk PC yang sudah stadium empat, tak ada cara lain harus diinsal ulang. Ini untuk PC no 1,2,6,9,10 dan 11.

Bandelnya, ketika baru saja diinstal ulang, lalu discan lagi pake Norman, eh, sudah ada virus baru yang terdeteksi. Setelah scan kedua baru benar-benar bersih. Lalu dipatch, instal drivernya, instal program lain, dan selesai.

Ketika sudah 7 komputer berfungsi kembali dan bebas dari virus, ternyata ketika kasir diinstal BillingExplorer ga jalan. Usut punya usut, ternyata kabel LAN kurang berfungsi. Diinstal ke PC lain ternyata bisa.
Dan berbarengan dengan itu, Speedy datang. Yang nangani langsung Bos Telkom Boyolali Pak Dhoni. Cerita tentang Speedy insya Allah di tulisan berikutnya.

Total, Warnet tutup sejak Senin sore tanggal 16 Januari sampai Sabtu siang tanggal 21 Januari. Total potensi pendapatan yang berkurang gara-gara ini, kalo per harinya 300 ribu, silakan dikalikan sendiri.

Sekarang, karena semua PC sudah dipatch, mudah-mudahan sang Conficker tidak tembus lagi. Kalopun tembus tidak panik lagi.

Referensi:
http://www.detikinet.com/read/2009/01/28/122052/1075501/510/7-langkah-membasmi-virus-conficker
http://www.vaksin.com/2008/1208/conficker/conficker.htm
http://tekno.kompas.com/read/xml/2009/01/28/12160390/Jangan.Lengah..Kenali.Ciri-ciri.Serangan.Conficker
http://tekno.kompas.com/read/xml/2009/01/28/10285950/conficker.sudah.menyerang.puluhan.ribu.komputer.di.indonesia
http://tekno.kompas.com/read/xml/2009/01/28/14302686/bebaskan.komputer.dari.conficker.
http://tekno.kompas.com/read/xml/2009/02/16/0954184/Microsoft.Tawarkan.250.Ribu.Dollar.AS.untuk.Pembuat.Conficker


2 Komentar

  1. mukti mengatakan:

    Ada cara sederhana untuk melumpuhkan virus conficker, sebelumnya saya (diwarnet saya) juga pernah mengalami hal serupa.

    caranya …

    klik Run > ketik services.msc > cari service RPC dan RPC locator > default windows network > rubah menjadi local services.

    penjelasan :

    RPC Dcom adalah servic standart windows yg menjalankan file and printer sharing. Jika opsi diatas di pilih maka PC menjadi standalone.

    Konsekuensi :

    Jika diterapkan di warnet artinya anda tidak dapat lagi membuat PC anda menjadi workgroup, karena portnya telah ditutup. artinya fungsi printer sharing yg biasanya sangat diperlukan di warnet juga tidak dapat berjalan

    Solusi : pakai program dari vendor lain untuk membuat network dan untuk printer sharing. kalo saya pakai RealVNC dan printer server.
    Memang repot, tapi bukankah keamanan itu berbanding terbalik dengan keamanan ?
    kalau mau aman ya memang harus mau sedikit repot

    semoga bermanfaat…

    mukti

  2. Nurum Mukharum mengatakan:

    Terima kasih mas Mukti atas sharingnya.
    Masalahnya, runnya tidak jalan…🙂

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

Pelongok

  • 217,543 Kepala

Ziddu

Maret 2009
M S S R K J S
« Feb   Apr »
1234567
891011121314
15161718192021
22232425262728
293031  
%d blogger menyukai ini: