Confliker Removal

Deteksi, Membersihkan

dan Pencegahan

Terhadap Virus Confliker

Conficker alias Downadup pertama kali berevolusi pada akhir 2008, mulai membuat berita utama pada bulan Januari karena banyak infeksi beberapa juta komputer dikenal atas namanya.

Dokumen ini menyajikan beberapa fakta dan informasi terbaik untuk membantu pelanggan melindungi diri terhadap ancaman dari Confliker.

Latar Belakang

Win32.Worm.Downadup muncul akhir November 2008, telah dieksploitasi sebagian besar malware entry point yang tersedia dalam Sistem Operasi dan dimanfaatkan manfaatnya. Setelah komputer terinfeksi oleh worm, hal itu mengubah semua prasyarat registry

lokasi untuk menyebar melalui jaringan, removable drive (USB stick). Worm dapat masuk sistem pengguna dalam beberapa cara, mungkin melalui jaringan melalui user Share Admin (brute force dictionary attack), sistem dengan system sharing yang tidak aman dan sistem tidak di patching akan rentan terhadap serangan atau USB drive dll meskipun pengguna mengikuti prosedur pengamanan komputer, sistem tetap dapat terinfeksi.

Setelah confliker mengeksekusi, worm akan membuat duplikat dirinya sendiri dgn nama acak dengan ekstensi .dll di lokasi2 di bawah ini :

- Windows System

- Programs Files\Internet Explorer

- Programs Files\Movie Maker

- All Users Application Data

- Windows Temp

Dan dengan nama acak berekstensi .Tmp pada lokasi2 di bawah ini :

- Windows System

- Windows Temp

Worm mematikan services pada windows dibawah ini :

- Windows Automatic Update Service (wuauserv)

- Background Intelligent Transfer Service (BITS)

- Windows Security Center

- Windows Defender

- Windows Error Reporting

Dan juga menghentikan / menghapus file2 berikut dalam removable disk dan mapped drives :

- \RECYCLER\

- \autorun.inf

Worm juga menempelkan dirinya ke dalam proses2 windows berikut :

- svchost.exe

- explorer.exe

- services.exe

Gejala2 Infeksi

- Access to Admin shares are denied.

- Scheduled tasks are created.

- Access to security related websites is denied (ke website anti virus).

- Access to Windows Updates site is denied (Windows update).

- Network response will become considerably slow (Respon jaringan

Lamban).

- Domain controllers respond slowly to client request (Domain respons

lamban ke client).

Worm merubah (modifikasi) registry di lokasi2 berikut :

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\

Parameters

- KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Shared

Access\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts

\List

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current

Version\SvcHost

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Cara Kerja Confliker

Worm berupaya menciptakan HTTP Server dan membuka port secara acak diantara 1024 dan 10000 pada computer korban. Setelah sukses menciptakan HTTP Server worm mndownload copyan dirinya sendiri ke computer korban. Worm juga mereset Restore Point. Sebagian besar varian dari Worm Downadup akan memicu Payload pada 1 April. Meskipun kami sedang melakukan banyak penelitian mengenai Payload (muatan), muatan yang tepat dan kerusakan yang dapat menciptakan pada 1 April masih merupakan misteri.

Deteksi dan Pencegahan. (By Micro World)

Perusahaan dan pelanggan bisnis harus terus fokus pada bimbingan dari para pakar industri, akademisi, dan pemerintah di seluruh dunia dan terus menyebarkan pembaruan keamanan MS08-067, memastikan bahwa perangkat lunak keamanan mereka memiliki pola (Pattern Files) scan file terbaru dan teknologi mesin, untuk membersihkan sistem yang terinfeksi dengan versi Win32.Worm.Downadup menggunakan alat-alat dan bimbingan MicroWorld.

Deteksi dan Pencegahan. (By Me)

Menurut pengalaman saya sendiri, langkah2 yang harus kamu lakukan adalah :

- Disable Jaringan LAN atau internet.

- Scan dengan PC MAV express (ini adalah tools dari PCMAV yang di

ciptakan khusus untuk membasmi confliker)

- Scan dengan Norman Malware Cleaner(Bisa di Download dan Free)

- Scan kembali dengan SMADAV anti virus (Buatan Lokal Yahud)

- Clean Temporary File (bisa Googling)

Setelah di Scan dengan PCMAV express kenapa harus di Scan kembali dengan Norman ??

Karena PCMAV akan menghapus registry yang terinfeksi Confliker tanpa merepair registry tersebut, maka dari itu diperlukan Norman karena Norman menyediakan tools untuk merepair registry yang terinfeksi.

Setelah di Scan dengan Norman kenapa harus di Scan kembali dengan SMADAV ?

Hanya untuk memastikan saja bahwa computer anda telah bebas dari confliker.

Sukses

Febry Ginanjar K.