chen87
IndoForum Senior C
- No. Urut
- 2516
- Sejak
- 24 Jun 2006
- Pesan
- 5.714
- Nilai reaksi
- 147
- Poin
- 63
mungkin udah basi ...tapi siapa tau belom ada yg tau ttg worm ini....
artikel asli...http://bakung16.wordpress.com/2009/02/13/mengenal-virus-atau-worm-downadup-kido-konficker/
artikel asli...http://justchrizz.wordpress.com/2009/02/11/confiker-worm/
artikel asli...http://teknologi.vivanews.com/news/read/28950-pesawat_tempur_lumpuh_akibat_virus
Virus Downadup sudah menjangkiti jutaan komputer di seluruh dunia. Ia menulari komputer melalui password jaringan, software Windows yang belum di-patch, dan terutama melalui USB stick. Karena virus ini dapat men-disable auto update dari Microsoft dan perusahaan-perusahaan anti virus, maka sistem kekebalan komputer Anda menjadi lemah dan rentan terhadap serangan-serangan dari luar.
Bagaimana mengetahui apakah komputer kita sudah terserang virus ini?
Biasanya setelah men-scan komputer dengan anti virus, kita akan mendapati warning yang menyatakan bahwa komputer kita sudah terinfeksi oleh Downadup, Kido, atau Conficker, yang biasanya disebutkan dengan nama-nama sebagai berikut:
• Net-Worm.Win32.Kido
• W32/Conficker.worm.gen
• Worm.Conficker
• W32.Downadup
• W32/Downadup.AL
• W32/Confick-A
• Win32/Conficker.A
• Mal/Conficker
Lalu terjadi connection dan Windows Errors, antara lain:
• Auto update dari Microsoft dan auto update anti virus berulang kali gagal
• Tidak dapat meng-update Windows Defender
• Munculnya random errors “svchost”
• Tidak dapat browsing ke situs-situs yang menyediakan penangkal untuk virus ini (misalnya tidak bisa browsing ke www.microsoft.com)
Selain itu, layanan-layanan Windows tidak dapat bekerja, misalnya:
• wuauserv: Windows Automatic Update Service
• BITS: Background Intelligent Transfer Service
• wscsvc: Windows Security Center Service
• WinDefend: Windows Defender Service
• ERSvc: Windows Error Reporting Service
• WerSvc: Windows Error Reporting Service
Bagaimana cara penyebaran virus ini?
Virus ini menyebar dengan empat cara, yaitu:
• Dengan mengeksploitasi PC Windows yang belum di-patch yang terhubung pada suatu jaringan
• Dengan serangan “brute force dictionary” terhadap password administrator yang menggunakan password yang lemah
• Dengan menginfeksi removable drive stick (thumb drive)
• Dengan menggunakan Windows scheduled tasks dan Autorun untuk menginfeksi ulang PC yang sudah dibersihkan dengan anti virus (makanya, jangan keburu senang jika anti virus kita menyatakan bahwa komputer kita sudah bersih, karena setelah re-start, virus tersebut akan hadir lagi jika dilakukan scan ulang)
Setelah mengenai komputer, maka virus ini akan:
• Menggandakan diri ke dalam folder system Windows (misalnya C:\\Windows\System 32)
• Mengubah registry Windows
• Mengganti akses klik kanan dan registry keys supaya pengguna tidak dapat mengubah dan menghapusnya
• Membuatnya mampu me-restart saat Windows di-start
• Menghubungi suatu situs dengan IP address umum (misalnya http://www.getmyip.org) untuk menemukan IP address komputer kita
• Mendownload versi-versi modifikasi dari virus itu sendiri dari sejumlah websites berdasarkan waktu dan tanggal yang sangat susah untuk diprediksi kapan akan terjadi
• Memulai sendiri web server pada random port dari PC kita untuk mendownload virus yang sudah dimodifikasi
Cara menanggulangi virus tersebut:
Pertama-tama, cobalah hilangkan virus tersebut dengan Microsoft Windows Malicious Software Removal Tool. Namun jika komputer kita telah terinfeksi virus ini, besar kemungkinan semua sites yang menjadi host tool ini sudah di-block olehnya. Maka kita dapat mendownloadnya secara gratis dari website Microsoft’s content distribution network di:
http://mscom-dlcecn.vo.llnwd.net/dow…90830-v2.6.exe
Untuk komputer berbasis Vista x64, Windows XP x64 and Windows 2003 x64, dapat mendownload tool tersebut secara gratis dari:
http://mscom-dlcecn.vo.llnwd.net/dow…0-x64-v2.6.exe
Jika Windows tool tersebut gagal, kita juga dapat mencoba menggunakan K7 Antivirus atau K7 Computing Free Virus Removal Tool. Karena domain-nya juga sudah di-block oleh si virus, gunakan link di bawah ini untuk mendownloadnya:
http://70.32.74.100/tools/k7downadupremover.zip
Setelah instalasi, langkah-langkah yang dianjurkan untuk dilakukan adalah:
• Meng-update versi terbaru dari tool ini
• Me-restart Windows di safe mode
• Menjalankan full system scan
• Menghapus semua file yang sudah terinfeksi virus ini
• Re-start Windows dalam normal mode
Fix Windows Registry
Virus ini, seperti layaknya jenis-jenis virus lainnya, selalu momodifikasi Windows Registry. Maka jangan lupa untuk men-scan dan mem-fix Windows Registry dengan Regcure/Mindsoft Utilities/RegDefense atau tools sejenisnya.
Setelah fixing windows registry, disarankan untuk selalu meng-update Windows Anda.
Disable AutoRun and AutoPlay
Sangat dianjurkan untuk men-disable AutoRun dan Auto{lay untuk menghindari infeksi virus sejenis di masa mendatang.
AutoRun dan AutoPlayadalah salah satu feauture default dari Windows yang memungkinkan media dan devices untuk meluncurkan program dengan menggunakan perintah-perintah terdaftar di “autorun.inf” yang tersimpan di medium’s root directory. Para pencipta malware sangat menyukai AutoRun dan AutoPlay karena susah untuk di-disable dan mudah untuk dieksploitasi.
Untuk men-disable AutoRun dan AutoPlay secara cepat dan mudah, kita dapat melakukannya dengan cara:
• Mendownload secara gratis tool DisableAuto 0.2 (Softpedia) secara gratis dari website http://www.softpedia.com/get/Tweak/R…ableAuto.shtml
• Unzip file-nya. Maka akan muncul sebuah reg file yang disebut “disableauto.reg”
• Double klik Reg file tersebut untuk memodifikasi Registry
• Reboot Windows. Sekarang AutoPlay dan AutoRun sudah dalam status disabled. Tapi kita masih bisa meng-akses dan menjalankan semua media secara manual.
Selamat mencoba, semoga berhasil.
Diintisarikan dan diterjemahkan dari sumber: www.downadup.com. Untuk informasi yang lebih lengkap dan mendetail, silakan kunjungi situs tersebut.
Info Tambahan, saya saat mengatasi virus downadup/konficker:
Ciri Jika terkena virus ini, flashdisk akan muncul file autorun.inf & file folder recycler yg berisi jwgkvsq.vmx, semua situs antivirus dan microsoft tidak bisa diakses.
1. Download MS08-67 vulnerability patch dan jalankan (kalo download pake komputer yang udah kena virus ini ngga akan bisa)
2. Download remover tool disini
3. Unzip dan ekstrak di desktop.
4. Cabut kabel Lan jika ada
5. Jalankan file Anti-Downadup-graphics.exe yang ada di folder Removal Tool tadi
6. Tunggu sampai selesai. Kemudian restart komputernya
Oke semoga membantu, silakan posting lagi kalo masih bermasalah.
Bagaimana mengetahui apakah komputer kita sudah terserang virus ini?
Biasanya setelah men-scan komputer dengan anti virus, kita akan mendapati warning yang menyatakan bahwa komputer kita sudah terinfeksi oleh Downadup, Kido, atau Conficker, yang biasanya disebutkan dengan nama-nama sebagai berikut:
• Net-Worm.Win32.Kido
• W32/Conficker.worm.gen
• Worm.Conficker
• W32.Downadup
• W32/Downadup.AL
• W32/Confick-A
• Win32/Conficker.A
• Mal/Conficker
Lalu terjadi connection dan Windows Errors, antara lain:
• Auto update dari Microsoft dan auto update anti virus berulang kali gagal
• Tidak dapat meng-update Windows Defender
• Munculnya random errors “svchost”
• Tidak dapat browsing ke situs-situs yang menyediakan penangkal untuk virus ini (misalnya tidak bisa browsing ke www.microsoft.com)
Selain itu, layanan-layanan Windows tidak dapat bekerja, misalnya:
• wuauserv: Windows Automatic Update Service
• BITS: Background Intelligent Transfer Service
• wscsvc: Windows Security Center Service
• WinDefend: Windows Defender Service
• ERSvc: Windows Error Reporting Service
• WerSvc: Windows Error Reporting Service
Bagaimana cara penyebaran virus ini?
Virus ini menyebar dengan empat cara, yaitu:
• Dengan mengeksploitasi PC Windows yang belum di-patch yang terhubung pada suatu jaringan
• Dengan serangan “brute force dictionary” terhadap password administrator yang menggunakan password yang lemah
• Dengan menginfeksi removable drive stick (thumb drive)
• Dengan menggunakan Windows scheduled tasks dan Autorun untuk menginfeksi ulang PC yang sudah dibersihkan dengan anti virus (makanya, jangan keburu senang jika anti virus kita menyatakan bahwa komputer kita sudah bersih, karena setelah re-start, virus tersebut akan hadir lagi jika dilakukan scan ulang)
Setelah mengenai komputer, maka virus ini akan:
• Menggandakan diri ke dalam folder system Windows (misalnya C:\\Windows\System 32)
• Mengubah registry Windows
• Mengganti akses klik kanan dan registry keys supaya pengguna tidak dapat mengubah dan menghapusnya
• Membuatnya mampu me-restart saat Windows di-start
• Menghubungi suatu situs dengan IP address umum (misalnya http://www.getmyip.org) untuk menemukan IP address komputer kita
• Mendownload versi-versi modifikasi dari virus itu sendiri dari sejumlah websites berdasarkan waktu dan tanggal yang sangat susah untuk diprediksi kapan akan terjadi
• Memulai sendiri web server pada random port dari PC kita untuk mendownload virus yang sudah dimodifikasi
Cara menanggulangi virus tersebut:
Pertama-tama, cobalah hilangkan virus tersebut dengan Microsoft Windows Malicious Software Removal Tool. Namun jika komputer kita telah terinfeksi virus ini, besar kemungkinan semua sites yang menjadi host tool ini sudah di-block olehnya. Maka kita dapat mendownloadnya secara gratis dari website Microsoft’s content distribution network di:
http://mscom-dlcecn.vo.llnwd.net/dow…90830-v2.6.exe
Untuk komputer berbasis Vista x64, Windows XP x64 and Windows 2003 x64, dapat mendownload tool tersebut secara gratis dari:
http://mscom-dlcecn.vo.llnwd.net/dow…0-x64-v2.6.exe
Jika Windows tool tersebut gagal, kita juga dapat mencoba menggunakan K7 Antivirus atau K7 Computing Free Virus Removal Tool. Karena domain-nya juga sudah di-block oleh si virus, gunakan link di bawah ini untuk mendownloadnya:
http://70.32.74.100/tools/k7downadupremover.zip
Setelah instalasi, langkah-langkah yang dianjurkan untuk dilakukan adalah:
• Meng-update versi terbaru dari tool ini
• Me-restart Windows di safe mode
• Menjalankan full system scan
• Menghapus semua file yang sudah terinfeksi virus ini
• Re-start Windows dalam normal mode
Fix Windows Registry
Virus ini, seperti layaknya jenis-jenis virus lainnya, selalu momodifikasi Windows Registry. Maka jangan lupa untuk men-scan dan mem-fix Windows Registry dengan Regcure/Mindsoft Utilities/RegDefense atau tools sejenisnya.
Setelah fixing windows registry, disarankan untuk selalu meng-update Windows Anda.
Disable AutoRun and AutoPlay
Sangat dianjurkan untuk men-disable AutoRun dan Auto{lay untuk menghindari infeksi virus sejenis di masa mendatang.
AutoRun dan AutoPlayadalah salah satu feauture default dari Windows yang memungkinkan media dan devices untuk meluncurkan program dengan menggunakan perintah-perintah terdaftar di “autorun.inf” yang tersimpan di medium’s root directory. Para pencipta malware sangat menyukai AutoRun dan AutoPlay karena susah untuk di-disable dan mudah untuk dieksploitasi.
Untuk men-disable AutoRun dan AutoPlay secara cepat dan mudah, kita dapat melakukannya dengan cara:
• Mendownload secara gratis tool DisableAuto 0.2 (Softpedia) secara gratis dari website http://www.softpedia.com/get/Tweak/R…ableAuto.shtml
• Unzip file-nya. Maka akan muncul sebuah reg file yang disebut “disableauto.reg”
• Double klik Reg file tersebut untuk memodifikasi Registry
• Reboot Windows. Sekarang AutoPlay dan AutoRun sudah dalam status disabled. Tapi kita masih bisa meng-akses dan menjalankan semua media secara manual.
Selamat mencoba, semoga berhasil.
Diintisarikan dan diterjemahkan dari sumber: www.downadup.com. Untuk informasi yang lebih lengkap dan mendetail, silakan kunjungi situs tersebut.
Info Tambahan, saya saat mengatasi virus downadup/konficker:
Ciri Jika terkena virus ini, flashdisk akan muncul file autorun.inf & file folder recycler yg berisi jwgkvsq.vmx, semua situs antivirus dan microsoft tidak bisa diakses.
1. Download MS08-67 vulnerability patch dan jalankan (kalo download pake komputer yang udah kena virus ini ngga akan bisa)
2. Download remover tool disini
3. Unzip dan ekstrak di desktop.
4. Cabut kabel Lan jika ada
5. Jalankan file Anti-Downadup-graphics.exe yang ada di folder Removal Tool tadi
6. Tunggu sampai selesai. Kemudian restart komputernya
Oke semoga membantu, silakan posting lagi kalo masih bermasalah.
artikel asli...http://bakung16.wordpress.com/2009/02/13/mengenal-virus-atau-worm-downadup-kido-konficker/
Hampir 6% dari komputer terinfeksi oleh worm jenis CONFIKER.( http://www.net-security.org/malware_news.php?id=1027 ) .
Bayangkan saja , worm ini sudah menyebar ke 83 negara. Di US sendiri PandaLabs sudah mengidentifikasi setidaknya 18000 komputer yang terinfeksi meskipun nominal itu bisa jadi lebih pada kenyataannya. Penyebaran nya melalui memory USB yang sering kita sebut flashdisk atau juga dari mp3 players. Masih menurut PandaLabs, mereka menemukan bahwa beberapa variant menyebarkan BFA (brute force attack) , salah satu teknik dalam membobol passwords, dari komputer yang terinfeksi dan juga dalam jaringan internal dalam perusahaan. Dalam system operasi windows, ini bekerja waktu kita memasukkan perangkat memory USB. Program jahatnya itu bekerja sebagai pilihan untuk membuka folder dan melihat isi folder. Jadi .. pada dasarnya waktu kita ingin melihat isi suatu folder, pada saat itu lah kita menjalankan worm dan menginfeksi komputer kita sendiri. How poor we are… (malang nya nasib mu nak.)
Saran ku sih, abaikan saja windows yang keluar waktu flashdisk kita masukkan, yang ada beberapa pilihan operasinya , open with … apalah, TERMASUK views as folder gitulah kalau tidak salah lihat aku. Lebih lanjut , kita lihat apa sebenarnya confiker dari sudut pandang Mr. Wiki. Pliz give me the permission to take some of your words. =)
Confiker, berasal dari bahasa jerman yang merujuk ke program yang memanipulasi konfigurasi, dalam bahasa Inggris nya seperti configure.
penyebaran confiker
( this figure is taken from http://en.wikipedia.org/wiki/Conficker )
Worm confiker ini terutama menyebarkan dirinya melalui overflow buffer dalam layanan server pada komputer windows. Worm ini menggunakan permintaan khusus yang menciptakan RPC (Remote Procedure Call), jenis kegiatan remote yang memungkinkan untuk melakukan eksekusi di komputer lain. Sedikit kurang ajar perlakukan ini kalau tanpa izin dari pihak yang berwenang. Ketika worm ini dieksekusi, confiker me non aktifkan sejumlah layanan system seperti Windows Automatic Update, Windows Security Center, Windows Defender dan Windows Error Reporting. Lalu terkoneksi ke server, dimana akan menerima perintah untuk mengarahkan, mengumpulkan informasi personal, mengunduh dan instalasi malware tambahan ke komputer yang jadi korban. Worm ini juga menumpangkan dirinya ke proses windows tertentu seperti svchost.exe , explorer.exe dan service.exe .
Gejala-gejala yang lainnya adalah
* tidak dapat mengakses keamanan yang ada di sistem operasi yang berhubungan dengan web site
* Scheduled tasks dibuat, bisa dilihat dari C:\WINDOWS\Tasks –> ini dia yang rada kurang ajar ( kalau ga’ bisa nahan amarah, hapus aja langsung )
Bayangkan saja , worm ini sudah menyebar ke 83 negara. Di US sendiri PandaLabs sudah mengidentifikasi setidaknya 18000 komputer yang terinfeksi meskipun nominal itu bisa jadi lebih pada kenyataannya. Penyebaran nya melalui memory USB yang sering kita sebut flashdisk atau juga dari mp3 players. Masih menurut PandaLabs, mereka menemukan bahwa beberapa variant menyebarkan BFA (brute force attack) , salah satu teknik dalam membobol passwords, dari komputer yang terinfeksi dan juga dalam jaringan internal dalam perusahaan. Dalam system operasi windows, ini bekerja waktu kita memasukkan perangkat memory USB. Program jahatnya itu bekerja sebagai pilihan untuk membuka folder dan melihat isi folder. Jadi .. pada dasarnya waktu kita ingin melihat isi suatu folder, pada saat itu lah kita menjalankan worm dan menginfeksi komputer kita sendiri. How poor we are… (malang nya nasib mu nak.)
Saran ku sih, abaikan saja windows yang keluar waktu flashdisk kita masukkan, yang ada beberapa pilihan operasinya , open with … apalah, TERMASUK views as folder gitulah kalau tidak salah lihat aku. Lebih lanjut , kita lihat apa sebenarnya confiker dari sudut pandang Mr. Wiki. Pliz give me the permission to take some of your words. =)
Confiker, berasal dari bahasa jerman yang merujuk ke program yang memanipulasi konfigurasi, dalam bahasa Inggris nya seperti configure.
penyebaran confiker
( this figure is taken from http://en.wikipedia.org/wiki/Conficker )
Worm confiker ini terutama menyebarkan dirinya melalui overflow buffer dalam layanan server pada komputer windows. Worm ini menggunakan permintaan khusus yang menciptakan RPC (Remote Procedure Call), jenis kegiatan remote yang memungkinkan untuk melakukan eksekusi di komputer lain. Sedikit kurang ajar perlakukan ini kalau tanpa izin dari pihak yang berwenang. Ketika worm ini dieksekusi, confiker me non aktifkan sejumlah layanan system seperti Windows Automatic Update, Windows Security Center, Windows Defender dan Windows Error Reporting. Lalu terkoneksi ke server, dimana akan menerima perintah untuk mengarahkan, mengumpulkan informasi personal, mengunduh dan instalasi malware tambahan ke komputer yang jadi korban. Worm ini juga menumpangkan dirinya ke proses windows tertentu seperti svchost.exe , explorer.exe dan service.exe .
Gejala-gejala yang lainnya adalah
* tidak dapat mengakses keamanan yang ada di sistem operasi yang berhubungan dengan web site
* Scheduled tasks dibuat, bisa dilihat dari C:\WINDOWS\Tasks –> ini dia yang rada kurang ajar ( kalau ga’ bisa nahan amarah, hapus aja langsung )
artikel asli...http://justchrizz.wordpress.com/2009/02/11/confiker-worm/
VIVAnews — Ulah virus Conficker alias Downadup ternyata telah mengimbas militer Perancis. Tak main-main, pesawat tempur Perancis Rafale terpaksa batal mengudara karena jaringan database komputer angkatan laut-nya terinfeksi virus ini.
Pesawat tempur canggih itu gagal mengudara karena tak dapat mengunduh rencana rute penerbangan. Karena kebakaran jenggot, para staf angkatan laut sempat dilarang untuk menghidupkan komputer sama sekali.
Virus Conficker memang telah menyebar demikian luas di komputer Windows, sejak Oktober tahun lalu. Namun militer Perancis mengabaikan peringatan tentang bahaya virus ini sehingga alfa untuk menginstal tambalan-tambalan keamanan baru yang mampu mengantisipasi virus ini.
Kepada surat kabar Perancis Ouest France, juru bicara Angkatan Udara Perancis Jerome Erulin, mengakui hal itu. “Virus itu menyebabkan terhambatnya pertukaran informasi, namun tidak ada data yang hilang,” kata Erulin, dikutip dari situs Telegraph.
Setelah mengetahui adanya program jahat di jaringan komputer, pihak AU langsung memotong jalur komunikasi yang memungkinkan penyebaran virus.
Akibatnya, AU kembali menggunakan media komunikasi tradisional, yaitu telepon, faksimili, dan bahkan menggunakan surat.
Pejabat AU Perancis mengatakan bahwa insiden ini lebih disebabkan akibat kelalaian, dan bukan kejadian yang direncanakan. Diperkirakan virus ini berasal dari memori USB yang dicolok oleh salah seorang anggotanya.
Menurut harian Liberation, hingga kini, kementrian pertahanan Perancis belum mengetahui berapa banyak komputer di jaringan militer yang telah ketularan virus ini.
Ini bukan pertama kalinya jaringan komputer militer jebol oleh serangan virus. Sebelumnya, kementrian pertahanan Inggris juga sempat diserang oleh sebuah virus hybrid yang sukses menginfeksi lebih dari 24 pangkalan udara Royal Air Force (Angkatan Udara Inggris).
Bahkan, virus itu juga menginfeksi 75 persen komputer di kapal AU Inggris, termasuk kapal induk pengangkut pesawat Ark Royal.
Agaknya, pihak militer sebagai penjaga keamanan wilayah suatu negara, banyak yang mengabaikan masalah keamanan komputer. Padahal alat-alat dan persenjataan mereka telah mengadopsi sistem komputerisasi.
• VIVAnew
Pesawat tempur canggih itu gagal mengudara karena tak dapat mengunduh rencana rute penerbangan. Karena kebakaran jenggot, para staf angkatan laut sempat dilarang untuk menghidupkan komputer sama sekali.
Virus Conficker memang telah menyebar demikian luas di komputer Windows, sejak Oktober tahun lalu. Namun militer Perancis mengabaikan peringatan tentang bahaya virus ini sehingga alfa untuk menginstal tambalan-tambalan keamanan baru yang mampu mengantisipasi virus ini.
Kepada surat kabar Perancis Ouest France, juru bicara Angkatan Udara Perancis Jerome Erulin, mengakui hal itu. “Virus itu menyebabkan terhambatnya pertukaran informasi, namun tidak ada data yang hilang,” kata Erulin, dikutip dari situs Telegraph.
Setelah mengetahui adanya program jahat di jaringan komputer, pihak AU langsung memotong jalur komunikasi yang memungkinkan penyebaran virus.
Akibatnya, AU kembali menggunakan media komunikasi tradisional, yaitu telepon, faksimili, dan bahkan menggunakan surat.
Pejabat AU Perancis mengatakan bahwa insiden ini lebih disebabkan akibat kelalaian, dan bukan kejadian yang direncanakan. Diperkirakan virus ini berasal dari memori USB yang dicolok oleh salah seorang anggotanya.
Menurut harian Liberation, hingga kini, kementrian pertahanan Perancis belum mengetahui berapa banyak komputer di jaringan militer yang telah ketularan virus ini.
Ini bukan pertama kalinya jaringan komputer militer jebol oleh serangan virus. Sebelumnya, kementrian pertahanan Inggris juga sempat diserang oleh sebuah virus hybrid yang sukses menginfeksi lebih dari 24 pangkalan udara Royal Air Force (Angkatan Udara Inggris).
Bahkan, virus itu juga menginfeksi 75 persen komputer di kapal AU Inggris, termasuk kapal induk pengangkut pesawat Ark Royal.
Agaknya, pihak militer sebagai penjaga keamanan wilayah suatu negara, banyak yang mengabaikan masalah keamanan komputer. Padahal alat-alat dan persenjataan mereka telah mengadopsi sistem komputerisasi.
• VIVAnew
artikel asli...http://teknologi.vivanews.com/news/read/28950-pesawat_tempur_lumpuh_akibat_virus
