Untuk Adminnistrator Jaringan tentu sudah paham apa itu Conficker. Virus Jaringan Pengubah Alamat IP Address suatu unit PC yang Menyebabkan Koneksi Internet dan Lan terputus. Yang paling Menjengkelkan adalah Virus ini berpindah dan Menginfeksi Jaringan dengan sangat Cepat.
Ingin tahu apakah Komputer anda Terkena Virus ini apah tidak, Anda bisa Membuka Situs ini. http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
Akan ada Penjelasan gambar Real apakah ada Conficker apa tidak di Komputer anda.
Ini Situs yang lain unutuk Mengetes Komputer Anda
http://iv.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
namun gejala di Komputer yang bisa dilihat adalah:
1. Tidak bisa akses Domain name Web security & tidak bisa Update Antivirus
Ini salah satu ciri khas dari Conficker. Coba cek dengan akses pada beberapa Web security semisal Www.microsoft.com, Www.kaspersky.com dan Www.norman.com. Bandingkan dengan akses melalui ip dari Web tsb, Http://65.55.12.249 (microsoft), Http://195.27.181.34 (Kaspersky) dan Http://87.238.48.130 (Norman). Jika Browser anda tidak bisa mengkases situs tersebut di atas dengan mengetikkan alamat situsnya TETAPI bisa diakses jika mengetikkan alamat Ipnya, maka yakin bahwa komptuernya terinfeksi Conficker (99 %).
Hal ini dilakukan oleh Conficker dengan cara melakukan patch pada DNS Query, sehingga jika mengakses DNS tertentu akan diblok oleh conficker.
2. Mematikan dan men-disabled beberapa Service Windows
Untuk memudahkan infeksi secara efektif, Conficker mematikan beberapa services seperti Automatic Updates (wuauserv), Background Intelligent Transfer Service (BITS), Error Reporting Service (ERSvc), Help and Support (helpsvc), Security Center (wscsvc).
3. Membuat service baru dan berjalan dengan mendompleng svchost
Hal ini bertujuan agar mudah aktif dan menginfeksi komputer lain serta mendownload file virus.
4. Membuat rule firewall baru
Hal ini digunakan agar conficker dapat keluar (menginfeksi komputer lain) dan masuk (update virus baru) dengan mudah. Conficker menggunakan port antara 1024 s/d 10000. jika port yang digunakan virus sama dengan program aplikasi kita, maka aplikasi tersebut akan terganggu.
5. Membuat scheduled task
Hal ini digunakan agar tetap running pada komputer yang terinfeksi. Agar optimal, Conficker membuat beberapa scheduled task agar running setiap saat.
6. Disable Show Hidden File & System Restore
Hal ini digunakan agar korban tidak mudah melakukan pembersihan pada virus yang sudah masuk dan berhasil menginfeksi komputer maupun drive flash / external.
7. Disable System Restore
Berfungsi agar komputer korbannya tidak dapat mengembalikan komputer ke setting awal sebelum di infeksi Conficker. Seperti kita ketahui, System Restore merupakan fitur pada Windows XP / vista yang berfungsi seperti mesin waktu yang dapat menolong kita jika terjadi salah instal / terinfeksi virus dimana hanya dengan beberapa klik kita dapat mengembalikan setting komputer pada hari / waktu sebelum komputer terinfeksi virus / salah instal.
PENANGANANNYA
anda perlu bantuan jika memang pc anda terinfeksi virus
dibwah ini ada beberapa tool yang bisa membantu anda menghapus dan membersihkan pc anda.
1) Kaspersky AVP Removal Tool
Merupakan tools andalan dari Kaspersky Lab yang dibuat sebagai tools pengganti antivirus. Anda dapat mendownload secara gratis. Tetapi sayangnya, tools ini harus diinstall terlebih dahulu sebelum menggunakannya, sehingga jika komputer sudah terinfeksi virus akan sangat sulit jika virus memblok instalasi tools atau aplikasi sekuriti. Untuk conficker / kido, AVP sudah menyertakan database-nya. Desain interface sangat mirip dengan interface antivirus-nya. Sayang tidak bisa untuk repair registry, repair service dan repair host yang diubah oleh virus.
2) Norman Malware Cleaner
Dibandingkan versi sebelumnya, tools GRATIS buatan Norman ini mengalami kemajuan yang pesat. Tools ini dapat dijadikan alternatif jika komputer terinfeksi virus, karena mampu mengembalikan registry, service dan host yang dibuat oleh virus/spyware. Untuk conficker, tools ini dapat dijadikan alternatif pembersihan. Sayangnya jika tools ini memiliki masa expire (± 14 hari), jadi anda diharuskan untuk mendownload versi yang terbaru dari website norman http://norman.com/Virus/Virus_removal_tools/24789/. Adapun aksi yang dapat dilakukan Norman Malware Cleaner adalah :
- Menghentikan proses virus yang sedang berjalan.
- Memberishkan file virus dari media (Flash Disk, Harddisk etc), termasuk komponen ActiveX dan BHO (Browser Helper Object) yang banyak di eksploitasi oleh Spyware.
- Menemukan dan membasmi rootkit.
- Mengembalikan nilai registri yang dirubah oleh virus (tidak tersedia pada removal tools lain)
- Membersihkan perubahan pada hosts file (tidak tersedia pada removal tools lain).
- Membenarkan rule Windows Firewall yang dibuat oleh virus.
Lihat gambar 2 dibawah untuk melihat Norman Malware Cleaner menjalankan aksinya.
3) McAfee AVERT Stinger
Bagi anda pengguna McAfee, tentunya familiar dengan nama ini. Stinger buatan AVERT yang sempat menjadi salah satu pelopor tools pembersih virus andalan para pengguna komputer dimasa awal kemunculannya.
Sayangnya, perkembangan tools ini agak lambat sehingga mendapatkan saingan banyak tools-tools baru. Untuk conficker, stinger sudah menyertakan databasenya. Masih memiliki desain yang simple seperti dulu tetapi jika digunakan untuk membasmi Conficker, terkadang agak sulit jika virus sudah menginjeksi file system windows dan gagal dibersihkan. (lihat gambar 3)
4) Microsoft Malicious Software Removal Tool
Tools milik Microsoft yang dapat dijadikan sebagai alternatif scan virus saja. Tools ini dapat didownload secara otomatis setiap bulan dengan fitur automatic updates windows yang ada. Lokasi file ini berada pada C:\WINDOWS\system32, dengan nama MRT.exe. Tools ini memiliki fitur scan yang dapat disesuaikan dengan yang anda inginkan. Jika menemukan virus yang aktif di memory, MRT akan meminta user untuk restart. Walaupun dapat mendeteksi conficker, tetapi tools ini digunakan hanya untuk scanning virus saja, tanpa merepair registry yang sudah dibuat oleh virus.
Sedangkan beberapa tools yang khusus dibuat untuk membasmi conficker adalah sebagai berikut :
1) KidoKiller (Kaspersky)
Tools khusus buatan Kaspersky Lab untuk virus Conficker. Tools ini sudah masuk revisi 3 yaitu mendeteksi virus conficker versi C/III. Fiturnya pun ditambah terus agar mampu mendeteksi dan mendelete scheduled task, serta mampu mngembalikan system restore. Kelebihan tools ini yaitu mampu mengembalikan fungsi DNS Query tanpa harus restart komputer. Tools ini berjalan pada modus command prompt. Berbeda dengan symantec, tools ini hanya scanning pada path tertentu saja yang dicurigai terinfeksi conficker, sehingga waktu scanning menjadi lebih cepat.
2) Fix Downad (Trend Micro)
Tools keluaran Trend Micro untuk mengatasi conficker ini sayangnya tidak menyertakan database / patternnya saat di download, sehingga kita harus mendownload terlebih dahulu pattern / database-nya. Kelebihannya database / pattern tsb dapat scanning dari virus/worm lain, sehingga dapat membersihkan virus lain. Jika tools lain hanya terdiri dari satu file, tools ini memilki beberapa file baik exe maupun file lain yang ternyata terdiri dari pengecekan database / pattern, pengecekan schedule task, pengecekan patch windows, pengecekan virus, pengecekan registry dan pengecekan services. Walau terdiri dari banyak file, kita cukup menjalankan saja 1 file bat (batch file), yang kemudian akan mengeksekusi file lain.
3) W32.Downadup Removal (Symantec)
Sesuai dengan namanya, tools ini dibuat oleh perusahaan antivirus Symantec untuk mengatasi virus conficker/downadup/kido.
Sekilas tools ini sangat simple, hanya ada menu start, cancel dan about. Tools ini tidak memiliki opsi scanning drive yang diinginkan. Untuk scanning, tools ini mampu mematikan proses virus, mendelete file virus dan memperbaiki registry yang sudah diubah oleh virus. Sayangnya tools ini tidak menghapus schedule task yang dibuat oleh virus, tidak menghapus rule firewall yang dibuat oleh virus dan tidak mengembalikan system restore kembali normal. Tetapi seperti guru SD saya, tools ini memberikan “nasehat” kepada user agar segera melakukan patching windows dengan MS08-067.
4) EConfickerRemover (ESET/NOD32)
Tidak mau ketinggalan, ESET juga mengeluarkan tools khusus conficker bagi penggunanya. Tools ini sangat sederhana, sebenarnya kalau sederhana dan ampuh itu yang dicari. Tetapi yang terjadi adalah sangking sederhanya sehingga anda harus menjalankan melalui command prompt. Tools ini selain dapat mematikan proses virus dan mendeletenya, tetapi tidak ada hal khusus lain yang dilakukan.
MEGA Test Conficker Tools
Adapun hasil perbandingan 8 tools tersebut adalah sebagai berikut : (lihat tabel 1 dan 2)
Kategori Tools Umum :
| Kategori | Keterangan | Kaspersky | Norman | McAfee | Microsoft |
| AVP Removal Tool | Malware Cleaner | AVERT Stinger | Malicious Removal Tool | ||
| Virus Umum | Penggunaan | Instalasi | Portable | Portable | Portable |
| Virus/Spyware | ? | ? | ? | ? | |
| Repair Host | - | ? | - | - | |
| Repair Registry | - | ? | - | - | |
| Update Definisi | ? | ? | ? | ? | |
| Conficker | Matikan Proses Virus | ? | ? | ? | ? |
| Delete Virus | ? | ? | ? | Restart | |
| Delete Schedule Task | - | - | - | - | |
| Repair Service Windows | - | ? | - | - | |
| Delete Service Virus | - | ? | - | - | |
| Delete Rule Firewall | - | - | - | - | |
| Fix DNS Query | - | Restart | - | Restart | |
| Enable System Restore | - | - | - | - | |
| Repair Show Hidden | - | - | - | - |
Tabel 1, Perbandingan Conficker Tools kategori tools umum
Kategori Tools Khusus :
| Kategori | Keterangan | Kaspersky | TrendMicro | Symantec | Eset (NOD32) |
| KidoKiller | Fix Downad | W32.Downadup Removal | Conficker Remover | ||
| Umum | Penggunaan | Portable | Portable | Portable | Portable |
| Virus/Spyware | - | ? | - | - | |
| Repair Host | - | - | - | - | |
| Repair Registry | - | - | - | - | |
| Update Definisi | - | ? | - | - | |
| Conficker | Matikan Proses Virus | ? | ? | ? | ? |
| Delete Virus | ? | ? | ? | Restart | |
| Delete Schedule Task | ? | ? | - | - | |
| Repair Service Windows | - | - | Restart | - | |
| Delete Service Virus | ? | ? | - | - | |
| Delete Rule Firewall | - | - | - | - | |
| Fix DNS Query | ? | Restart | Restart | Restart | |
| Enable System Restore | ? | - | - | - | |
| Repair Show Hidden | ? | - | ? | - |
Tabel 2, Perbandingan Conficker Tools kategori khusus
Dari hasil pengetesan yang dilakukan oleh lab Vaksincom, baik tools khusus maupun tools umum dapat dilihat bahwa Norman Malware Cleaner membersihkan lebih lengkap dibandingkan tools umum lain karena melakukan “Repair Host”, “Repair Registry”, “Repair Service Windows” dan “Delete Service Virus” yang tidak dilakukan oleh Tools umum lainnya. Tetapi Norman Malware Cleaner tidak melakukan “Delete Schedule Task” yang dibuat oleh virus dan hal ini dilakukan oleh Kaspersky KidoKiller dan TrendMicro Fix Downad.
TrendMicro Fix downad dan Kaspersky Kido Killer tidak melakukan Repair Host dan Repair Registry.
Ada satu keunggulan Kaspersky Kido Killer dimana ia bisa melakukan Fix DNS Query tanpa mengharuskan Windows Restart dimana tools lain setelah fix DNS Query mengharuskan Windows restart.
Jadi dapat disimpulkan bahwa Norman Malware Cleaner menjadi pemenang untuk tools umum dan Kaspersky Kido Killer menjadi pemenang di kategori tools khusus.
Adapun beberapa perubahan yang dilakukan oleh Conficker yang perlu menjadi perhatian sekalipun anda sudah menggunakan tools pembersihan adalah sebagai berikut :
- Schedule Task
Hapus schedule task yang sudah dibuat oleh virus. (lihat gambar 10)
Gambar 10, Schedule Task yang dibuat oleh Conficker
- Rule Firewall
Delete rule firewall yang dibuat oleh virus. (lihat gambar 11)
Gambar 11, Hapus Rule Firewall yang dibuat oleh Conficker
- Repair Registry
Repair registry yang dirubah oleh virus (service windows yang mati dan show hidden file). Buat script pada notepad, kemudian save as menjadi repair.inf.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0×00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0×00000001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0×00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections
- Clean temporary file
Bersihkan temporary file, gunakan disk cleanup atau dapat menggunakan tools cleaner seperti ATF Cleaner.
Tips Pencegahan…
Dari hasil tes, walaupun sudah dibersihkan tetapi virus/worm ini masih mudah masuk dikarenakan beberapa faktor sebagai berikut :
- Autoplay/Autorun Windows
Lakukan pencegahan dengan men-disable fungsi autoplay. Fungsi ini memudahkan conficker masuk dan menginfeksi komputer.
- Default Share Windows
Fungsi ini memudahkan virus/worm berusaha masuk melalui jaringan dengan mudah. Matikan fungsi ini jika tidak diperlukan. Sebagai alternatif jika masih diperlukan gunakan password komputer (baik lokal maupun jaringan) yang unik dan tidak standar/biasa serta kombinasi angkadan huruf.
- Patch Windows
Selalu rajin patch windows. Hal ini akan mencegah dari serangan virus saat koneksi internet. Akan lebih baik jika meng-aktifkan Automatic Updates.
- Install Antivirus dan Update
Terakhir, lakukan instalasi antivirus dan selalu pastikan terupdate dengan baik.
Jika anda mengalami infeksi Conficker yang membandel dan sudah mecoba berbagai macam cara tetapi masih belum tuntas. Mungkin karena sudah gemas sampai anda memformat komputer-komputer di jaringan tetapi setelah dihubungkan ke jaringan kembali terinfeksi. Ada baiknya anda pertimbangkan untuk meminta bantuan support dari vendor antivirus anda. Bagi pengguna Norman Virus Control for Corporate dapat menghubungi teknisi Vaksincom untuk mendapatkan support onsite Free.
sumber bacaan : vaksin.com
Adi Saputra (AD Sap) & Alfons Tanujaya (AA Tan
PROTEKSI MELALUI MIKROTIK
anda bisa melakukan beberapah hal berikut di server mikrotik anda
1. blok file loadadv.exemelalui web-proxy access, klik tanda +, isikan di kolom url, access deny, kemudian copy paste kan script ini di Winbox terminal
2. tambah rule firewall block port conficker
/ip firewall filter add chain=virus protocol= udp dst-port=135 action=drop comment=”Confiker” disabled=no
/ip firewall filter add chain=virus protocol= udp dst-port=137 action=drop comment=”Confiker” disabled=no
/ip firewall filter add chain=virus protocol= udp dst-port=138 action=drop comment=”Confiker” disabled=no
/ip firewall filter add chain=virus protocol= udp dst-port=445 action=drop comment=”Confiker” disabled=no
/ip firewall filter add chain=virus protocol= tcp dst-port=135 action=drop comment=”Confiker” disabled=no
/ip firewall filter add chain=virus protocol= tcp dst-port=139 action=drop comment=”Confiker” disabled=no
/ip firewall filter add chain=virus protocol= tcp dst-port=5933 action=drop comment=”Confiker” disabled=no
/ip firewall filter add chain=virus protocol= tcp dst-port=445 action=drop comment=”Confiker” disabled=no
/ip firewall filter add chain=virus protocol= tcp dst-port=4691 action=drop comment=”Confiker” disabled=no
3. masukan web proxy seperti ini
Incoming Visitor From Google Search:
virus jaringan (221)scan virus jaringan (51)conficker remover 2011 (36)basmi conficker (33)port conficker (28)antivirus conficker 2011 (27)conficker removal (27)cara cek pc terkena confiker (26)conficker (26)conficker remover (25)
Please Click Like Button. Its Free and encouraged me as well :DStill Looking Something??
Read Updated Post from Email Feedburner Service
21 Comments from Conficker dan Cara Penanganannya
at 3:32 pm - 4th November 2010 Permalink
wew..
makasih bnyak ya buat infonya…
at 5:26 pm - 4th November 2010 Permalink
iyaa sama2 makasih udah koment
at 4:07 pm - 22nd January 2011 Permalink
saya bisa mengakses web2 yg disebut di atas tanpa harus ketik alamat IP, tp koneksi inet di warnet saya melambat.. pdhl sudah disetting unlimited tp tetap saja lambat.. sudah ditanya ke ISPnya dibilang tidak ada masalah.. tp byk yg bilang kalo ini virus jaringan.. apa itu benar..
at 1:16 pm - 2nd February 2011 Permalink
dicoba dlu untuk discan komputernya dlm posisi lan dicabut mungkin bisa membantu
at 10:11 pm - 9th April 2011 Permalink
bagaimana menghilangkan virus MS Removal Tool jika sebelumnya belum adanya antivirus untuk mengatasi virus tersebut…
plzz saran dan solusi masalahnya udah kena kesystem……..
at 1:35 am - 10th April 2011 Permalink
dengan cara masuk SAVE MODE pencet tombol f8 pas start up booting windows pilih save mode dan hapus file2 dis tart up yng mendurigakan serta hapus folder di program files mikrosotf shared, ada bebrapa file lg yng harus di hapus dalam pemusnahan MS Removal Tool cm saya masih rada lupa karena masuk di system dan windows .. nanti akan saya post di update
at 9:50 am - 14th April 2011 Permalink
kalo dWindows 7 patch windows update’a dmna??? makasi
at 9:35 pm - 24th April 2011 Permalink
klik ajah update hahaha biasanya ad di antivirus nya
at 9:11 pm - 8th August 2011 Permalink
komputerku virus thok thus
at 9:59 pm - 9th August 2011 Permalink
discan ajah ndol . atau di isntal ulang mlh lebuh bagus haha kapan pulang ke indo
at 3:58 pm - 9th October 2011 Permalink
Haha, ribet bgt sih cara kalian ngilangin virus yg udh infeksi komptr
Nih ane ksh tw cara ilanginnya,
Cara ini simpel dah mudah. Anti virus cukup smadav aj OM. Scan sprti biasa
at 4:35 pm - 9th October 2011 Permalink
yang saya tahu smadav itu anti virus lokal. jadi kalu ada virus varietas luar ga kuat. mungkin membantu
at 10:15 am - 2nd January 2012 Permalink
sangat bermanfaat. ijin copy ya , tak kasih link source nya. thanks.
at 2:17 pm - 2nd January 2012 Permalink
ok trimaksaih mbak nurul kapan kapan saya pingin jalan jalan juga ke blog nya mbak nurul trims
at 6:28 pm - 15th January 2012 Permalink
mana gambar 10 gambar 11?
schedule task ada, tp gmn cara hapusnya dari control panel?
saya pake win 7
at 10:52 pm - 9th February 2012 Permalink
YA salah satu nya diatas penah menyerang comp gue untung gue bisa silat wwkwkkw
wuauclt.exe
VRT1.tmp
acledit.exe
prokav31xj.exe
dumprep 0 -k
80rqrtd5cv
at 11:30 am - 10th February 2012 Permalink
varian dari virus memang selalu ber macam macam dan bervariasi namun sebenarnya virus sekarang yang ganaas adalah virus jaman dahulu yang dirubah dan diganti metode penyerangan nya
at 9:13 pm - 17th February 2012 Permalink
sebenarnya anti virus yang manjur baik untuk virus lokal maupun luar negeri dan ringan kerjanya di komputer itu apa sih mas ???
at 1:48 am - 18th February 2012 Permalink
ga ada mas. semua anti virus akan membuat patch jika ada virus baru, jadi virus akan selalu datang awal dan kemudian anti virus membuat penawarnya. semakin banyak database (penawar) di anti virus tersebut akan membuat anti virus tersebut berat di jalankan, jika anda hendak terhindar dari virus cobalah memakai system operasi yang tidak banyak dipakai orang semisal ubuntu dan system operasi lain berbasis linux. alasan kenapa tidak ada virus di linux karena pembuat virus tidak untung karena target korban akan sangat sedikit sekali dilihat dari jumlah penguna linux tersebut. sedangkan system linux memungkin kan juga dibuat virus
at 6:56 am - 23rd March 2012 Permalink
kk bsa bntu gk laptop saya positif terkena virus kido/conficker variant B PCMAV yg kusus conficker gk bsa scan smadav gk bsa juga tulisan nya 0 infected pas saya buka link anti virus tetep gk bsa pke apa ya yg manjur :/
#Sebelum nya thannks
at 5:21 pm - 23rd March 2012 Permalink
sayabiasa kalau kena virus saya scan lewat hiren atau kaspersky rescue disk jadi scan nya boot dari flash seningga semua file windos dan file di hardisk tidak ada yang berkerja.
dan database kaspersky tidak perlu diragukan lagi
trims semoga membantu
Post a Comment