Telah terbit majalah PC Media edisi 03/2009 yang disertai bonus bootable DVD instalasi Windows 7 Beta Build 7000 Ultimate Edition. Bersamaan dengan itu, rilis terbaru PC Media Antivirus kembali diluncurkan. Pada rilis kali ini, PCMAV 1.93 mampu mengenali dan mengatasi 2560 virus beserta variannya yang banyak dilaporkan menyebar luas di Indonesia.
Beberapa perubahan yang telah dilakukan di rilis ini diantaranya adalah adanya penambahan engine cleaner khusus untuk virus Autoit yang dikenal dapat memanfaatkan Yahoo! Messenger sebagai media penyerangannya. Selain itu, ada juga engine cleaner khusus untuk virus Recycler beserta variannya yang dapat melakukan code injection.
APA YANG BARU?
a.Ditambahkan, database pengenal dan pembersih 67 virus
lokal/asing/varian baru yang dilaporkan menyebar di Indonesia.
Total 2560 virus beserta variannya yang banyak beredar di
Indonesia telah dikenal di versi 1.93 ini oleh engine internal PCMAV.
b.Ditambahkan, engine cleaner khusus untuk virus Autoit beserta variannya.
c.Ditambahkan, engine cleaner khsusus untuk virus Recycler beserta
variannya yang diketahui memiliki kemampuan code injection.
d.Diperbaiki, kesalahan informasi pada file PCMAV.log di bagian Operating
System, khsusunya saat PCMAV dijalankan di Vista.
e.Diperbaiki, tampilan informasi persentase pada saat proses scanning.
f.Diperbaiki, kesalahan deteksi (false alarm) heuristik pada beberapa
program dan script.
g.Diperbarui, perubahan beberapa nama virus mengikuti varian baru yang
ditemukan.
h.Perbaikan beberapa minor bug dan improvisasi kode internal untuk
memastikan bahwa PCMAV Cleaner & PCMAV RealTime Protector lebih
dari sekadar antivirus biasa.
JANGAN SAMPAI KEHABISAN (LAGI):
Dapatkan segera PCMAV 1.93 yang telah disempurnakan hanya dari majalah PC Media 03/2009 yang telah terbit. Segera pesan dan dapatkan di kios/agen terdekat, jangan sampai kehabisan.
Pertanyaan teknis harap disampaikan langsung ke redaksi PC Media melalui e-mail dengan sebelumnya Anda telah membaca dan memahami isi README.TXT. Dan kami akan berterimakasih jika Anda dapat meluangkan waktu untuk memberikan komentar sebatas penggunaan PCMAV 1.93 ini sebagai masukan dalam pengembangannya.
Download PCMAv 1.93
Update Build 4 (Baru)
Sumber : Virusindonesia.com
Hampir kebanyakan varian dari virus import berbasis script ini menggunakan icon mirip seperti folder. Virus ini memiliki kemampuan untuk melakukan auto update ke beberapa situs, seperti yang dilakukan oleh salah satu variannya, Autoit.CA, yang banyak dilaporkan. Ia juga dapat memanfaatkan Yahoo! Messenger sebagai media perantara penyebarannya dengan mengirimkan pesan berisi link ke setiap contact person yang ada di Y!M korban.
Yang menjadi ciri khas dari virus ini adalah teknik bagaimana ia menyebar. Yakni “ngumpet” dalam direktori Recycler/Recycler/Recycle Bin. Ia juga diketahui menerapkan teknik code injection agar kode virus bisa “nyangkut” pada explorer.exe. Ini dilakukannya untuk mempersulit user maupun program antivirus sekalipun untuk membunuhnya.
Virus lokal yang satu ini, lagi-lagi dibuat menggunakan Visual Basic, dan sepertinya ada kemiripan dengan virus Aksika, bisa jadi ia merupakan versi modifikasi dari virus Aksika. Virus ini menyamar menggunakan icon mirip folder, dengan ukuran file sekitar 152KB tanpa di-pack. Pada komputer terinfeksi, akan ditemukan beberapa file yang mirip sekali dengan folder padahal itu adalah virus. Diketahui, pada setiap root drive, ia akan membuat sebuah folder dengan nama valerianet yang berisi file virus. Untuk mengetahui apakah komputer sudah terinfeksi virus ini apa belum, cukup mudah. Komputer terinfeksi ditandai dengan terdapatnya file dengan nama valeria.txt di C:\.
Virus yang dibuat menggunakan bahasa Delphi ini menggunakan icon yang menyerupai Internet Explorer. Memiliki ukuran file sebesar 553.472 bytes, tanpa di-pack. Satu hal yang mencolok dari virus ini adalah dari nama yang digunakan saat menyebar, yang bertuliskan “17++ Sexs & Rahasia Wanita artis Indonesia (foto2_kamera tersembunyi_liputan).exe”. Bagi user yang tidak hati - hati, akan menyangka file tersebut merupakan file HTML. Jika Anda lihat pada direktori C:\Windows\System32, akan ditemukan sebuah file induk dengan nama “rundl32.exe”. Jangan tertipu lagi! Itu bukanlah file bagian dari Windows, tapi itu memang adalah file virus. Perhatikan huruf “L” yang cuma satu. Dan sekarang lihat pada Schedule Task, ada Job baru dengan nama “Windows FD Shield” yang akan mengeksekusi file virus diwaktu yang telah ia tentukan.
Seperti varian sebelumnya, ia masih dibuat menggunakan VB. Varian ini memiliki ukuran sekitar 108KB, murni tanpa di-pack. Karena icon yang digunakan adalah icon mirip folder, saat beraksi, ia akan mencari folder pada setiap drive yang ada di komputer korban, dan membuat duplikat dirinya dengan nama sama seperti folder asli.
Satu lagi varian baru, Purwo.C, masih dibuat menggunakan Visual Basic, dengan badan berukuran sekitar 56KB, murni tanpa di-pack. Virus ini menggunakan icon mirip dokumen Word milik MsOffice untuk menipu calon korbannya. Saat menginfeksi ia menciptakan sebuah folder dengan nama “Purwokerto Under Cover” yang diberi attribut hidden, dan berisi sebuah file bernama “KoruptorPurwokerto.exe” pada setiap drive yang ia temukan. Di dalam folder C:\Windows\System32\system juga ada file windowss.exe, dan di C:\Windows\javaa\service.exe. Di waktu tertentu ia akan menampilkan layar hitam yang berisi teks pesan dari pembuatnya. Dan hati-hati, virus ini juga akan menghapus beberapa file milik Anda yang ia temui.
Virus yang diciptakan menggunakan Visual Basic Script ini berukuran sekitar 9KB. Pada komputer terinfeksi ia akan membuat banyak sekali file duplikat di setiap folder yang ia temukan dengan nama file autorun.inf, Thumb.db, dalam kondisi ber-attribut hidden, dan sebuah shortcut dengan nama Microsoft. Jika shortcut tersebut diakses, dia memang akan menuju ke suatu folder, tapi dibalik itu virus tersebut juga akan aktif. File Thumb.db disini juga bukan merupakan file milik Windows, tapi melainkan file script virus. Pada komputer terinfeksi juga akan ditemukan sebuah file pesan virus pada direktori Temp user. Di direktori ini juga akan ditemukan file lain yakni script virus yang sudah dalam kondisi ter-decrypt. Karena perlu Anda ketahui bahwa virus ini memang hadir dalam kondisi ter-enkripsi.
Virus jenis VBScript ini jika file virusnya dibuka dengan Notepad, tidak banyak string yang bisa dibaca karena dalam kondisi ter-enkripsi. Ini sudah menjadi kebiasaan dalam setiap variannya. Biasanya, pada Registry, ia akan memberikan pengenal dengan membuat key baru di HKLM\Software dengan nama sama seperti nama pada computer name, dengan isinya berupa string value seperti nama virus tersebut, Raider, serta tanggal komputer tersebut kali pertama terinfeksi.
Virus bertubuh gemuk dengan ukuran 705.312 bytes ini dibuat menggunakan Visual Basic yang di-pack menggunakan PECompact. Sepertinya virus ini ditujukan untuk menyerang virus lain, ini terlihat dari pesan yang ada di tubuhnya. Virus ini berkembang biak dan menyebar menggunakan perantara mIRC, yang bertindak sebagai Bot.
Ditemukan lagi varian dari Rieysha, kali ini dengan nama Rieysha-Sma. Seperti varian sebelumnya, ia masih dibuat menggunakan Visual Basic. Ukuran kali ini sekitar 104KB, dengan icon yang menyerupai file Real Media Player. Saat menginfeksi, ia akan membuat duplikat file exe, mp3, doc, dan 3gp yang digantikan dengan dirinya. Selain itu, setidaknya ada 2 buah file virus pada root drive, dengan nama “sma3gp.exe” dan “CeritaSeru.vbs”.
2. Update the virus definitions.
3. Reboot computer in SafeMode [how to]
4. Find and Stop the Service:
- Click Start > Run.
- Type services.msc, and then click OK.
- Locate and select the service that was detected.
Service name: [PATH TO WORM]
Display name: [WORM GENERATED SERVICE NAME]
Startup Type: Automatic
- Click Action > Properties.
- Click Stop.
- Change Startup Type to Manual.
- Click OK and close the Services window.
5. Run a full system scan and clean/delete all infected file(s)
6. Delete/Modify any values added to the registry. [how to edit registry]
Navigate to and delete the following registry entries:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”[RANDOM NAME]” = “rundll32.exe “[RANDOM FILE NAME].dll”, ydmmgvos”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\”dl” = “0″
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\”dl” = “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\”ds” = “0″
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\”ds” = “0″
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\”DisplayName” = “[WORM GENERATED SERVICE NAME]”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\”Type” = “4″
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\”Start” = “4″
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\”ErrorControl” = “4″
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\”ImagePath” = “%SystemRoot%\system32\svchost.exe -k
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\”ServiceDll” = “[PATH TO WORM]”
Restore the following registry entries to their previous values, if required:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ “TcpNumConnections” = “00FFFFFE”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\ Folder\Hidden\SHOWALL\”CheckedValue” = “0″
7. Exit registry editor and restart the computer.
8. In order to make sure that threat is completely eliminated from your computer, carry out a full scan of your computer using AntiVirus and Antispyware Software. Another way to delete the virus using various Antivirus Program without the need to install can be done with Online Virus Scanner.
by precisesecurity
Jika anda mengalami satu atau beberapa gejala dibawah ini :
Harap berhati-hati, karena anda sudah terinfeksi virus yang sedang mengganas di seluruh dunia. Anda tidak perlu malu karena bukan komputer anda saja yang terinfeksi, tetapi juga komputer departemen pertahanan Perancis dan Inggris sekalipun terinfeksi oleh virus ini. Kalau anda penasaran siapa sebenarnya yang membuat virus ini, Vaksincom tidak memiliki data yang akurat. Tetapi jika dilihat dari beberapa situs yang dan forum-forum antivirus yang pertama kali memuat informasi mengenai infeksi virus ini, maka dapat dikatakan bahwa pembuat virus ini mirip seperti lagu ciptaan Oddie Agam yang dinyanyikan oleh Sheila Madjid …… Antara Cina dan Rusia. :P.
Pada artikel dibawah ini Ad Sap dari Vaksincom memberikan uraian tentang aksi virus ini dan bagaimana cara membasminya. Tetapi memang virus Conficker ini cukup cerdas dan memiliki kemampuan mengupdate dirinya dan memiliki satu payload spesial yang sangat menyulitkan pembuat antivirus untuk membuat tools membasmi dirinya. ....
Di setiap pergantian tahun, kebanyakan orang berkomitmen dengan harapan, semangat, motivasi dan energi baru, agar memiliki perubahan kehidupan yang lebih baik lagi di tahun yang baru. Bagi sebagian kalangan pengguna komputer, tahun baru terkadang dijadikan sebagai ajang untuk implementasi sistem baru (baik itu upgrade hardware komputer maupun program/software baru).
Tak terkecuali bagi para pembuat virus, tahun baru dijadikan sebagai ajang “unjuk gigi” dan percobaan ide-ide serta metode-metode baru dalam melakukan penyebaran virus. Jika sebelumnya virus lokal “hopeless” mengawali rekan-rekan pembuat virus lokal di tahun baru ini, maka tidak ketinggalan dengan virus mancanegara yang juga ikut mengawali tahun baru dengan varian virus yang lebih canggih. Masih ingat kah anda pada kasus “Generic Host Process” error yang merupakan pertanda dari virus W32/Conficker atau W32/Downadup, http://vaksin.com/2008/1208/conficker/conficker.htm , maka kali ini muncul dengan varian baru virus yang memiliki target serangan Windows XP, Vista, Windows Server (semau versi) dan bahkan Windows 7 versi Beta pun masih rentan atas serangan virus ini.
Norman Security Suite mendeteksi varian baru virus tsb sebagai W32/Conficker.DV, sedangkan antivirus lain mendeteksi sebagai Win32.Kido.CG (Kaspersky), W32.Downadup.B (Symantec), W32.Downadup.AL (F-Secure), W32.Conficker.B (Microsoft), W32.Conficker.A (CA, Sophos dan McAfee), Worm_Downad.AD (Trend Micro) dan W32/Conficker.C (Panda). (lihat gambar 1)
Gambar 1, Norman Security Suite mendeteksi sebagai W32/Conficker.DV
Ciri File Virus
Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bertipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype "dll" (dynamic link library).
File virus yang berusaha masuk akan berada pada lokasi temporary internet :
- %Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\[%nama acak%].[%gif,jpeg,bmp,png%]
- %Documents and Settings\[%user%]\Local Settings\Temporary Internet Files\[%gif,jpeg,bmp,png%]
Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut :
- %Documents and Settings%\[%user%]\Application Data\[%nama acak%].dll
- %Program Files%\Internet Explorer\[%nama acak%].dll
- %Program Files%\Movie Maker\[%nama acak%].dll
- %WINDOWS%\system32\[%nama acak%].dll
- %WINDOWS%\Temp\[%nama acak%].dll
File "dll" inilah yang aktif dan "mendompleng" file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali.
Virus juga akan mengcopy file “[%nama acak%].tmp” pada folder %WINDOWS%\system32 (contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tsb, kemudian virus mendelete file tsb.
Gejala / Efek Virus
Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :
- Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall / Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-Disable beberapa service, yaitu : (lihat gambar 2)
· wscsvc : Security Center
· wuauserv : Automatic Updates
· BITS : Background Intellegent Transfer Service
· ERSvc : Error Reporting Service
· WerSvc : Windows Error Reporting Service (Vista, Server 2008)
· WinDefend : Windows Defender (Vista, Server 2008)
Gambar 2, Aksi virus Conficker mematikan banyak service di Windows
- Virus mampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut :
Ccert.
sans.
bit9.
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
nod32
f'prot
jotti
kaspersky
f'secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke website keamanan.
- Virus berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :
“netsh interface tcp set global autotuning=disabled”
Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba akses jaringan. Info selengkapnya pada http://support.microsoft.com/kb/947239
- Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet. Virus melakukan download pada beberapa website berikut :
aaidhe.net
aamkn.cn
abivbwbea.info
aiiflkgcw.cc
alfglesj.info
amcfussyags.net
amzohx.ws
apaix.ws
argvss.info
arolseqnu.ws
asoidakm.cn
atnsoiuf.cc
avweqdcr.cn
axaxmhzndcq.cc
barhkuuu.com
bbuftxpskw.cc
bdykhlnhak.cc
bdzpfiu.biz
bijkyilaugs.cn
bjpmhuk.ws
bmmjbsjidmt.com
bzagbiwes.cc
carse.cn
cauksxf.biz
cfhlglxofyz.biz
cinsns.cc
ciynbjwm.com
cljivsb.biz
cpeadyepcis.biz
cqnxku.ws
ctmchiae.ws
cxjsy.net
czkdu.net
dbffky.cn
dgbdjsb.com
drpifjfxlyl.ws
dtosuhc.org
duahpzq.org
dwrtwgsm.cn
dyjomzyz.com
earuldx.cn
egqoab.net
egxbsppn.cn
ehkvku.cn
elivvks.net
emxmg.info
eobvidij.org
erwojl.org
evqvmwgw.cn
ewioygq.biz
exxkvcz.cc
ffaqk.info
fhlwov.net
fitjg.net
fkhbumne.info
fknacmvowib.cn
fmdsqasqm.net
fmgcjv.cn
fpljpuqp.info
fsrljjeemkr.info
fthil.cc
ftphtsfuv.net
gbgklrka.cc
gbmkghqcqy.net
gbxyu.ws
gezjwr.biz
gjbwolesl.info
glkzckadwu.biz
gmvhjp.ws
gsvrglz.cc
gutvjbektzq.com
gwtqx.cn
hbyzvpeadkb.net
hewdw.ws
hjcxnhtroh.cn
hltowx.com
hqjazhyd.com
hrmirvid.com
hudphigb.org
hvagbqmtxp.info
idvgqlr.ws
ihnvoeprql.biz
iidqkzselpr.com
ijthszjlb.com
iklzskqoz.cn
iqgnqt.org
iqrzamxo.ws
isjjlnv.org
iudqzypn.cn
iyfcmcaj.cn
jayrocykoj.ws
jffhkvhweds.cn
jfxcvnnawk.org
jgrftgunh.org
jguxjs.net
jhanljqti.cc
jhvlfdoiyn.biz
jjhajbfcdmk.net
jkisptknsov.biz
jknxcxyg.net
jlouqrgb.org
jpppffeywn.cc
jradvwa.biz
juqsiucfrmi.net
jvnzbsyhv.org
jxnyyjyo.net
kaonwzkc.info
kdcqtamjhdx.ws
kgeoaxznfms.biz
kihbccvqrz.net
kimonrvh.org
kjsxwpq.ws
kkrxwcjusgu.cn
knqwdcgow.ws
koaqe.cc
kodzhq.org
kqjvmbst.net
kufvkkdtpf.net
kxujboszjnz.ws
lagcrxz.cc
lawwb.com
lbdfwrbz.net
ljizrzxu.cc
lmswntmc.biz
lotvecu.com
lplsebah.cn
lxhmwparzc.ws
lyamwnhh.info
mciuomjrsmn.cn
mdntwxhj.cn
meqyeyggu.cc
mfigu.cn
mimdezm.biz
mkdsine.cn
mmtdsgwfa.net
mouvmlhz.cc
mozsj.biz
mpqzwlsx.ws
msvhmlcmkmh.biz
mtruba.ws
myrmifyuqo.biz
naucgxjtu.ws
ncwjlti.cn
nertthl.net
nnxqqmdl.info
nuxtzd.cn
nxvmztmryie.ws
nybxvgb.net
nzsrgzmhay.net
oadscrk.org
oezepyh.info
ojrswlg.net
olgjkxih.org
omqxqptc.ws
ooudifyw.cn
opkawiqb.cn
oqsfz.ws
orvfkx.cc
otoajxfn.net
oxeeuikd.net
oyezli.com
pfath.info
plsexbnytn.com
poplie.cc
psbdfflh.cn
qfmbqxom.ws
qjvtczqu.com
qpcizvlvio.biz
qslhoks.cn
qtcnfvf.biz
qtsnk.cn
qzktamrsgu.cn
rbhixtifxk.cc
rccoq.net
rgievita.ws
rlrbqpxv.org
rozhtnmoudg.cc
rpsctacalyd.cn
rrmkv.com
rtpuqxp.net
rtztoupc.net
satmxnz.ws
sbtalilx.com
sdjnaeoh.cc
sirkqq.org
sjkkfjcx.biz
sjkxyjqsx.net
stmsoxiguz.net
tdeghkjm.biz
tkhnvhmh.biz
tmdoxfcc.org
torhobdfzit.cc
trdfcxclp.org
tscmbj.net
tuwcuuuj.com
txeixqeh.biz
uazwqaxlpq.info
ubxxtnzdbij.com
ucnfehj.org
uekmqqedtfm.com
uhtmou.ws
uhveiguagm.biz
uoieg.ws
uttcx.net
uyhgoiwswn.cc
uyvtuutxm.cn
vfxifizf.info
vupnwmw.biz
vzqpqlpk.ws
waeqoxlrprp.org
wdrvyudhg.cc
wediscbpi.org
whgtdhqg.net
wkstxvzr.org
wmrgzac.info
wnwqphzao.info
wsajx.com
wskzbakqfvk.org
wtngipaynh.info
wumvjpbbmse.cc
wuzunxevor.info
wwftlwlvm.org
xcncp.info
xeeuat.com
xhazhbir.biz
xjnyfwt.org
xlrqvoqmsxz.info
xqgbn.cn
xwrrxwmo.cc
xxabrkhb.cc
xxmgkcw.cc
xxxxgvtaa.com
xzoycphicpk.com
ybbfrznr.info
ycceqdmm.cc
ydxnochqn.org
ygmwharv.info
ylnytttckyc.com
yuvudlsdop.cc
ywhaunsyez.cc
ywxdggnaaad.org
zindtsqq.ws
zkywmqx.com
zoosmv.info
zqekqyq.cn
zqked.org
zsatn.ws
ztgsd.info
ztioydng.com
zzczpujz.biz
- Virus akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa wesite berikut :
baidu.com
google.com
yahoo.com
msn.com
ask.com
w3.org
aol.com
cnn.com
ebay.com
msn.com
myspace.com
- Virus akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000). Lihat gambar 3 dan 4.
Gambar 3, Conficker akan membuka akses dari luar dengan mengeset firewall Windows.
Gambar 4, Conficker membuka port acak guna mengupdate dirinya ke internet
- Virus akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows : (lihat gambar 5)
Service name: "[%nama acak%].dll"
Path to executable: %System32%\svchost.exe -k netsvcs
Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) :
Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows
Gambar 5, Services yang dibuat virus agar dapat berjalan secara otomatis pada saat start Windows.
- Virus membuat HTTP Server pada port yang acak :
Http://%ExternalIPAddress%:%PortAcak(1024-10000)%
Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi :
- http://www.getmyip.org
- http://www.whatsmyipaddress.com
- http://getmyip.co.uk
- http://checkip.dyndns.org
- Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah :
“rundll32.exe .[%ekstensi acak%], [%acak]”
Metode Penyebaran
Virus Conficker.DV juga menggunakan metode penyebaran yang berbeda dari pendahulunya, diantaranya sebagai berikut :
1) Network Shares (Brute Force Attack)
Virus berusaha mengakses jaringan menggunakan celah windows “Default Share” (ADMIN$\system32) dengan menebak password administrator. Virus menggunakan “Dictionary” password dengan string berikut :
000
0000
00000
0000000
00000000
0987654321
111
1111
11111
111111
1111111
11111111
123
123123
12321
123321
1234
12345
123456
1234567
12345678
123456789
1234567890
1234abcd
1234qwer
123abc
123asd
123qwe
1q2w3e
222
2222
22222
222222
2222222
22222222
321
333
3333
33333
333333
3333333
33333333
4321
444
4444
44444
444444
4444444
44444444
54321
555
5555
55555
555555
5555555
55555555
654321
666
6666
66666
666666
6666666
66666666
7654321
777
7777
77777
777777
7777777
77777777
87654321
888
8888
88888
888888
8888888
88888888
987654321
999
9999
99999
999999
9999999
99999999
a1b2c3
aaa
aaaa
aaaaa
abc123
academia
access
account
Admin
admin
admin1
admin12
admin123
adminadmin
administrator
anything
asddsa
asdfgh
asdsa
asdzxc
backup
boss123
business
campus
changeme
cluster
codename
codeword
coffee
computer
controller
cookie
customer
database
default
desktop
domain
example
exchange
explorer
file
files
foo
foobar
foofoo
forever
freedom
fuck
games
home
home123
ihavenopass
Internet
internet
intranet
job
killer
letitbe
letmein
login
Login
lotus
love123
manager
market
money
monitor
mypass
mypassword
mypc123
nimda
nobody
nopass
nopassword
nothing
office
oracle
owner
pass
pass1
pass12
pass123
passwd
password
Password
password1
password12
password123
private
public
pw123
q1w2e3
qazwsx
qazwsxedc
qqq
qqqq
qqqqq
qwe123
qweasd
qweasdzxc
qweewq
qwerty
qwewq
root
root123
rootroot
sample
secret
secure
security
server
shadow
share
sql
student
super
superuser
supervisor
system
temp
temp123
temporary
temptemp
test
test123
testtest
unknown
web
windows
work
work123
xxx
xxxx
xxxxx
zxccxz
zxcvb
zxcvbn
zxcxz
zzz
zzzz
zzzzz
Catatan : Jika dalam domain dilakukan pengaturan untuk account lock, maka dalam upaya virus yang berusaha login beberapa kali akan menyebabkan account user terputus dalam domain dan account menjadi lock/terkunci.
Jika sukses, virus akan mengcopy dirinya dengan menggunakan nama acak sebagai berikut :
\\[%IP atau hostname%]\ADMIN$\system32\[%nama acak%].[%extensi acak%]
Kemudian membuat scheduled task untuk menjalankan file virus yang sudah di copy tsb dengan perintah :
rundll32.exe .[%extensi acak%], [%acak]
2) Removable Drives
Virus Conficker.DV juga membuat file pada media removable seperti USB (flashdisk, Harddisk, Card Reader, dll). Virus menyimpan file hidden pada root drive, yaitu :
- Autorun.inf
- RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
3) Eksploitasi celah keamanan windows
Sama seperti pendahulunya, virus berusaha mengexploitasi MS08-067 (celah keamanan windows, Windows Server Service atau SVCHOST.exe). Banyak user yang terinfeksi dikarenakan tidak mengaktifkan fitur Automatic Updates dan tidak melakukan patch windows MS08-067. http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Modifikasi Registry
Agar dapat aktif saat computer dijalankan, virus membuat string berikut :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%nama acak% = rundll32.exe [%lokasi file virus%], %nama acak%
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
%nama acak% = rundll32.exe [%lokasi file virus%], %nama acak%
Selain itu virus membuat string berikut :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets
dl = 0
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets
ds = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets
dl = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets
ds = 0
Virus men-disable beberapa service dengan membuat string berikut :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
Start = 4
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
Start = 4
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WerSvc
Start = 4
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
Start = 4
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
Start = 4
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
Start = 4
Selain itu, virus membuat service baru dengan membuat string berikut :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[%Nama Acak%]
DisplayName = [%Gabungan 2 String%]
Type = 32
Start = 2
ErrorControl = 0
ImagePath = %SystemRoot%system32\svchost.exe -k netsvcs
ObjectName = LocalSystem
Description = [%Deskripsi Acak%]
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[%Nama Acak%]\Parameters
ServiceDll = [%Lokasi Virus%]
Agar dapat menyebar cepat dalam jaringan, virus membuat string berikut :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
TcpNumConnections = 0x00FFFFFE
Terakhir, virus berusaha menyembunyikan file virus dengan membuat string berikut :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0
SuperHidden = 0
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0
Pembersihan Virus
ü Putuskan komputer yang akan dibersihkan dari jaringan/internet.
ü Matikan system restore (Windows XP / Vista).
ü Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. (lihat gambar 6)
http://download.norman.no/public/Norman_Malware_Cleaner.exe
Gambar 6, Gunakan Norman Malware Cleaner untuk membersihkan virus yang aktif
ü Delete service svchost.exe gadungan yang ditanamkan virus pada regisrty. Anda dapat mencari secara manual pada registry (lihat gambar 7)
Gambar 7, Hapus proses svchost.exe gadungan yang mengaktifkan virus
ü Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)
ü Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0x00000001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0x00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0x00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0x00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0x00000002,2
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Catatan : Untuk file yang aktif pada startup, anda dapat men-disable melalui “msconfig” atau dapat men-delete secara manual pada string :
“HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run”
ü Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini dengan baik dan patch komputer anda dengan http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx guna mencegah infeksi ulang.
Salam,
Ad Sap
info@vaksin.com