Conficker……. hii…. ngeri…

mungkin itu yang muncul dipikiran kita begitu mengentahui akibat dari Worm Conficker ini tapi sebelum kita bahas lebih lanjut, ada ada baiknya saya utarakan terlebih dahulu apa itu Conficker Worm.

Conficker atau dikenal juga dengan Win32/Conficker adalah sebuah worm yang menjangkiti (infects) komputer lain melalui network dengan cara memanfaatkan kelemahan(vulnerability) pada Windows Server Service (SCVHOST.EXE). Jika kelemahan ini bisa diserang, maka dia akan memberikan izin kepada remote code execution apabila ditemukan file sharing yang aktif. Cara kerjanya tergantung dari masing-masing variant, ada juga kemungkinan menyebar via USB serta dengan cara memanfaatkan password yang mudah ditebak. akibatnya dia akan mematikan service-service yang penting serta security product dan mendownload sembarang files.

Microsoft sendiri sangat menyarankan agar setiap komputer di apply security patch yang terdapat pada Security Buletin MS08-067 sesegera mungkin.

Selain melakukan update terhadap security patch diatas, segera ganti semua network password yang gampang ditebak (weak) untuk menghindari penyebaran melalui Administrator account yang mempunyai password yang lemah.

selain Conficker, worm ini juga dikenal dengan nama lain sbb:
TA08-297A (other)
CVE-2008-4250 (other)
VU827267 (other)
Win32/Conficker.A (CA)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
WORM_DOWNAD (Trend Micro)
Confickr (other)

adapun indikasi bahwa Conficker sudah menyerang Network bisa dilihat dari gejala seperti berikut:
Beberapa service berikut mati (disabled) atau tidak bisa start:
Windows Security Center Service
Windows Update Auto Update Service
Background Intelligence Transfer Service
Windows Defender
Error Reporting Service
Windows Error Reporting Service
Beberapa Account terkunci (locked out) tanpa alasan yang jelas, hal ini terjadi karena registry berikut telah dimodifikasi oleh conficker yang menyebabkan terjadinya flood pada network connection
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
“TcpNumConnections” = “0x00FFFFFE”
Users kemungkinan tidak bisa akses ke website antivirus dan website security lainnya, diantaranya:
spyware
malware
rootkit
kaspersky
symantec
norton
trendmicro
f-secure
windowsupate
k7computing
dan lain-lain
Selain gejala diatas, seperti pada gambar berikut, gejala lain juga terlihat pada autoplay dialog pada saat memasang USB Flash (thumb drive) dimana pada dialog tersebut ada option Open folder to view files – Publisher not specified (dibawah Install or run program) yang ditambahkan oleh wrom. sementara option yang dihighlighted tersebut merupakan option yang disediakan oleh Windows yang seharusnya digunakan.

So.. apa anda sudah mempunyai gambaran bagaimana mengidentifikasi apakah Windows Sistem anda sudah aman dari conficker?

jika ternyata ternyata ditemukan…… langkah awal yang harus anda lakukan adalah lepas PC yang dicurigai terinfeksi tersebut dari network lalu lakukan pembersihan….. dengan cara yang akan kita bahas pada artikel berikutnya.

Semoga bermanfaat.

 

 

sumber

http://wss-id.org/blogs/nozyra/archive/2009/04/03/sudah-amankah-windows-sistem-anda-dari-conficker-worm.aspx