Kenali Gejala-Gejala Virus Conficker

9 Februari 2009 pada 14:50 | Ditulis dalam Berita, Virus Komputer | 18 Komentar

GEJALA – GEJALA VIRUS CONFICKER :

  1. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.
  2. Komputer mendapatkan pesan error Generic Host Process.
  3. Biasanya memblokir situs-situs  antivirus maupun windows seperti seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan “Address not Found”. Tetapi jika diakses dari alamat IP tidak ada masalah.
  4. Anti virus computer tidak dapat di Update karena system di kunci oleh Virus Conficker.
  5. Banyak aplikasi tidak berfungsi dengan baik.

Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :

  1. Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-disable beberapa service, yaitu:

wscsvc : Security Center, wuauserv : Automatic Updates, BITS : Background Intellegent Transfer Service, ERSvc : Error Reporting Service, WerSvc : Windows Error Reporting Service (Vista, Server 2008), WinDefend : Windows Defender (Vista, Server 2008) .

  1. Virus mampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke website keamanan.

Ccert, sans, bit9, windowsupdate, wilderssecurity, threatexpert, castlecops, spamhaus, cpsecure, arcabit, emsisoft, sunbelt, securecomputing, rising, prevx, pctools, norman, k7computing, ikarus, hauri, hacksoft, gdata, fortinet, ewido, clamav, comodo, quickheal, avira, avast, esafe, ahnlab, centralcommand, drweb, grisoft, nod32, f’prot, jotti, kaspersky, f’secure, computerassociates, networkassociates, etrust, panda, sophos, trendmicro, mcafee, norton, symantec, microsoft, defender, rootkit, malware, spyware virus

  1. Virus berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :

” netsh interface tcp set global autotuning=disabled”

Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba akses jaringan. Info selengkapnya pada http://support.microsoft.com/kb/947239

Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet

  1. Virus akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa wesite berikut

baidu.com, google.com, yahoo.com, msn.com, ask.com, w3.org, aol.com, cnn.com, ebay.com, msn.com, myspace.com

  1. Virus akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
  2. Virus akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows :

Service name: “[%nama acak%].dll”, Path to executable: %System32%–k netsvcs

Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) :

Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows

  1. Virus membuat HTTP Server pada port yang acak :

Http://%ExternalIPAddress%:%PortAcak(1024-10000)%

Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi :

http://www.getmyip.org,http://www.whatsmyipaddress.com,

http://getmyip.co.uk, http://checkip.dyndns.org

Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah :  ”rundll32.exe .[%eks tensi acak%], [%acak]“

Sumber : Vaksin.com & Kompas.com

Download kenali-gejala-virus-conficker

18 Komentar »

Umpan RSS untuk komentar-komentar pada tulisan ini. URI Lacak Balik

  1. rata-rata warnet saat ini rentan akan serangan virus yang sedang anda bahasa dalam artikel di blog ini, trima kasih telah berbagi bung :)

    Comment by karodalnet— 10 Februari 2009 #

  2. Cara ngatasinya gimana tuh, saya sudah kena virus W32 dan susah banget ngilanginnya, yang kena system windowsnya, banyak string dan berwarna biru. Minta dong anti virusnya !

    Comment by jaim— 10 Februari 2009 #

  3. seandainya ada cara menghilangkan virus itu mungkin bisa berguna buat kita semua, tapi coba salah satu pembersih virus itu apabila anda menggunakan os windows xp maka anda bisa menghapusnya dengan mcafee dgn update terbaru. Yang jadi masalah bagi saya menggunakan os windows 2000 bisa dihapus dgn microsoft windows malicious software removal tool, tapi tidak bisa bertahan lama karena pasti nyagkut lagi tuh di komputer gw….ketika gw coba clean lagi sdh gak bisa. Ada yg punya solusinya gak utk memprotect & menghapus virus ini secara permanen. Thanx

    Comment by Satriyo— 11 Februari 2009 #

  4. nice info neehhhh…. boleh ndak tak post di blog kuw???

    Comment by nyophy— 11 Februari 2009 #

  5. bahaya juga nih!!!

    tapi tentu ada antivirusnya kan??

    Comment by Treante— 11 Februari 2009 #

  6. ngak ada yang safety di dunia maya ini .
    yeadhi

    Comment by faris!— 11 Februari 2009 #

  7. Iya tu,W32 susah bgt ngilanginnya.Pake AV apa ya yg bisa membasminya?
    http://takpenting.wordpress.com

    Comment by takpenting— 11 Februari 2009 #

  8. To Satriyo

    Biasanya saya gunakan Mcafee slalu. dan itupun saya lakukan update secara berkesinambungan. Dan Alhamdulillah setiap plug Flash Disk. Smua Virus terdetek

    ..

    Comment by isaninside— 11 Februari 2009 #

  9. To: nyophy

    saya rasa Boleh-boleh aj, asalkan sisipkan id Penulis dan sumbernya dibagian akhir postingan anda.

    Comment by isaninside— 11 Februari 2009 #

  10. wow, mantaps inponya gan….:D

    Izin kopas juga yach

    Comment by prabu— 12 Februari 2009 #

  11. to : nyophy

    Boleh aja, tapi bener banget tuh kata ihsan jangan lupa menyisipkan penulisnya. Thanks nyophy .

    Comment by qinqua— 13 Februari 2009 #

  12. to : nyophy n all

    takpenting keren juga namanya. :) w32 kalo dibiarin emang merusak sistem OS kita. Dan saya pun salah satu korbannya. Kayak registry yang disable, system restore yang di blok, search. hampir rasa ngak make komputer. Tapi alhamdulillah sekarang dah clear …. Insya allah ntar saya posting tulissannya masalah virus ini .. paling lambat 14 Februari 2009 key ….

    Comment by qinqua— 13 Februari 2009 #

  13. to faris

    bener ris ngak ada yang aman di dunia maya. tapi kita selalu untuk berusaha…. Thanks ris ..

    Comment by qinqua— 13 Februari 2009 #

  14. install ulang aja windowsnya pasti beres hehehehe…

    nice post bos :)

    Comment by superbog— 18 Februari 2009 #

  15. To : Superbog

    Install ulang juga kaga mangkus mas… hehehehe thx udah berkunjung..

    Comment by isaninside— 18 Februari 2009 #

  16. saya mau tanya kenapa yah file saya semuanya berwarna biru lalu bagaik mana cara mengatasinya jika saya copi ketempat lain baru berubah berwarna hitam…apa itu pc saya terinfeksi firus..mohon bantuannya

    Comment by pebri— 9 April 2009 #

  17. To : Pebri

    -anggota E-comet-
    mmm flash kamu belum bisa dipastiin kna virus atau tidak. Tapi kemungkinan terkena ada… untuk warna tulisan yang berubah di flash itu? mmm begini, di dalam flash itu sudah terdapat file dengan ekstensi *.ini, yang dapat terlihat, Hidden (tersembunyi) dan bahkan superhidden (sangat tersembunyi, hehehehe).. jadi untuk mengembalikan ke bentuk semula (standar) cukup delete file dengan ekstensi *.ini tersebut. Biasanya nama file yang digunakan adalah “Desktop“. Kalau filenya di super hidden, kamu perlu buka “hide protect operation system” dapat di akses di : explore > tools > folder Option > View. Aktifkan centang pilihan : – Show hidden file, dan matikan centang : – Hide Protected Operation System file (recomended).. setelah itu akan muncul semua file yang tersuper hidden di flash kamu.. delete aj file dengan ekstensi *.ini. silahkan coba, thx sudah berkunjung.

    Comment by isaninside— 9 April 2009 #

  18. pake nod32 habis udah conficker donwloada eset aja trims

    Comment by gerah polo— 15 April 2009 #


Tinggalkan Balasan

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Ubah )

Twitter picture

You are commenting using your Twitter account. Log Out / Ubah )

Facebook photo

You are commenting using your Facebook account. Log Out / Ubah )

Batal

Connecting to %s

Blog pada WordPress.com. | Tema: Pool oleh Borja Fernandez.
Tulisan dan komentar feeds.

Ikuti

Get every new post delivered to your Inbox.