Cara membersihkan NetWorm CONFICKER atau biasa dikenal sebagai virus jaringan

“Intrusion.win.NETAPI.buffer-offerflow.exploit! Attacker IP
address : 192.168.xx.xx.protocol/service : TCP on local port
445. Time :12/12/2009 : 00.01.58 PM”

Ciri komputer / jaringan terserang Conficker

Jika mendadak komputer anda mendapatkan pesan Generic Host Process Error dan setelah itu koneksi internet dari komputer tersebut mati/lag, maka kemungkinan besar jaringan komputer anda sudah tercemar oleh Conficker. Penyebabnya bukanlah komputer yang menampilkan pesan GHP error tersebut, melainkan karena (minimal) salah satu komputer di jaringan anda sudah terinfeksi Conficker dan secara otomatis melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua komputer yang rentan atau belum di patch MS 06-037.

Jika ada komputer yang berhasil di infeksi, maka Conficker akan melakukan beberapa rutin canggih yang membuat geleng-geleng kepala antara lain :

1. Melumpuhkan System Restore.

Conficker akan melumpuhkan System Restore dengan cara mereset “Restore Point” Untuk mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point. System Restore adalah fasilitas “Mesin Waktu” yang tersedia di beberapa OS Windows seperti ME, XP dan Vista yang berfungsi sebagai backup system OS dan dapat membantu mengembalikan setting komputer pada keadaan normal jika suatu saat terjadi kesalahan instal program yang tidak diingini ataupun karena terinfeksi virus.

2. Membuat HTTP Server.

Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) bagi jaringan lokal. Jika ada komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch, maka ia akan mencoba menyerang dan jka berhasil maka komputer korbannya akan mendownload ke HTTP server yang dibuat tadi untuk mendownload file virus dan menjalankannya. Selain itu, dalam aksinya ini Conficker menyebabkan matinya Internet connection Sharing.

3. Melakukan patch pada komputer korbannya.

Setelah berhasil menginfeksi komputer korbannya, Conficker akan melakukan patching pada komputer korbannya, Tujuannya melakukan patch adalah untuk mencegah infeksi ulang yang malahan akan mengakibatkan komputer tidak stabil sehingga tidak bisa mencari korban baru.

4. Download File untuk update dirinya.

Conficker meniru antivirus akan berusaha mendownload file (kemungkinan updatenya di masa depan) ke beberapa website yang telah disiapkan daftarnya (250 domain) dengan tujuan mempersulit vendor antivirus untuk memblok domain-domain update tersebut satu persatu. Domain-domain.

Dibawah langkah2 untuk mencegah virus tersebut, antarnya:

-Patch SEMUA komputer yang OSnya rentan terhadap celah keamanan RPC Dcom 3. Untuk mendapatkan detail

patchnya silahkan download ke http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

-Download KidoKiller dari www.kaspersky.com(http://support.kaspersky.com/faq/?qid=208279973) lalu jalankan

kidokiller tersebut.

-Update terus ANTIVIRUS yg anda percayai.

This entry was posted on Sunday, February 22nd, 2009 at 3:05 am and is filed under Computer & Networking. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.