Sudah tak terhitung sudah berapa banyak virus yang dihasilkan sepanjang bulan November-Desember 2009. Rata-rata mempunyai daya sebar yang sangat cepat dan cukup merepotkan.
Virus W32/Smalltroj. VPCG menjadi salah satu program jahat yang wara-wiri di akhir tahun ini. Virus ini akan memblok akses ke beberapa website sekuriti dan website lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip publik Google.
Jadi setiap kali user mencoba untuk akses ke website tertentu termasuk website security/antivirus, maka yang muncul bukan web yang Anda inginkan tetapi website www.google.com.
Berikut 9 langkah untuk membersihkan W32/Smalltroj. VPCG yang diramu Vaksincom:
1. Nonaktifkan System Restore selama proses pembersihan berlangsung.
2. Putuskan komputer yang akan dibersihkan dari jaringan maupun internet.
3. Ubah nama file [C:\Windws\system32\msvbvm60.dll] untuk mencegah virus aktif kembali.
4. Lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD. Hal ini disebabkan untuk beberapa file rootkit yang menyamar sebagai services dan driver sulit untuk dihentikan. Silahkan download software tersebut di alamat http://soft-rapidshare.com/2009/11/10/minipe-xt-v2k50903.html
Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara:
l Klik menu [Mini PE2XT]
l Klik menu [Programs]
l Klik menu [File Management]
l Klik menu [Windows Explorer]
l Kemudian hapus file berikut:
o C:\Windows\System32
§ wmispqd.exe
§ Wmisrwt.exe
§ qxzv85.exe@
§ qxzv47.exe@
§ secupdat.dat
o C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sebesar 6 kb.
o C:\windows\system32\drivers
§ Kernelx86.sys
§ %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
§ Ndisvvan.sys
§ krndrv32.sys
o C:\Documents and Settings\%user%\secupdat.dat
o C:\Windows\inf
§ Netsf.inf
§ netsf_m.inf
5. Hapus registri yang dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya:
l Klik menu [Mini PE2XT]
l Klik menu [Programs]
l Klik menu [Registry Tools]
l Klik [Avast! Registry Editor]
l Jika muncul layar konfirmasi kelik tombol "Load....."
l Kemudain hapus registry : (lihat gambar 6)
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows\currentvers
on\run\\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\kernelx86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\kernelx86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\passthru
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
ü Ubah value pada string Userinit menjadi = userinit.exe,
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\%xx%
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\%xx%
Catatan:
%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]
6. Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, software\microsoft\ole, EnableDCOM,0, "Y"
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0
HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe
HKLM, SYSTEM\ControlSet001\Services\kernelx86
HKLM, SYSTEM\ControlSet002\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\mojbtjlt
HKLM, SYSTEM\ControlSet002\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\Passthru
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di alamat http://www.atribune.org/public-beta/ATF-Cleaner.exe.
8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut http://www.softpedia.com/progDownload/Hoster-Download-27041.html
Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.
9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini. Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download di alamat berikut http://www.norman.com/support/support_tools/58732/en.
welcome
BUCKET SHOP ONLINE
SILAHKAN KLIK GAMBAR
Google Translate
Tampilkan postingan dengan label detik net. Tampilkan semua postingan
Tampilkan postingan dengan label detik net. Tampilkan semua postingan
Kamis, 17 Desember 2009
Senin, 14 September 2009
Menghapus 'Cinta' Dari Komputer
Virus 'Folder Cinta' diketahui telah beredar di Indonesia. Simak beberapa langkah yang bisa dilakukan untuk meniadakan program jahat ini dari komputer.
Langkah-langkah berikut adalah langkah yang bisa dilakukan untuk menghilangkan virus 'Folder Cinta' secara manual.
1. Disconnect/putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2. Disable/matikan 'System Restore' selama proses pembersihan virus.
3. Gunakan 'Task Manager' untuk mematikan proses virus yang aktif.
Kemungkinan besar dengan nama 'csrsc.exe'). Untuk membuka task manager, dapat dilakukan dengan menekan secara bersama Ctr+Alt+Del, atau dengan klik kanan pada taskbar windows. Selanjutnya matikan proses virus dengan klik [End Process] pada proses csrsc.exe.
4. Hapus file utama dari virus Autorun.QBP, yang terdapat pada C:\WINDOWS\system32, dengan nama csrsc.exe yang berukuran 793 kb dan Autorun.inf yang berukuran 1 kb.Gunakan search/find, untuk mencari file virus duplikat yang lain, terutama pada media sharing atau USB Flash/removable drive, file virus berukuran 793 kb, berextension exe & ber type application serta file khq di seluruh drive. Jangan lupa untuk menampilkan attribute 'Show hidden file...' dan menghilangkan attribute 'Hide protected operating...' pada Folder Options.
5. Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0,
Explorer.exe
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Gunakan notepad, kemudian simpan dengan nama 'repair.inf'. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih [install].
6. Untuk pembersihan secara optimal terhadap virus Autorun.QBP, gunakan Norman Malware Cleaner yang dapat mendeteksi dan membasmi virus ini dengan baik.
Langkah-langkah berikut adalah langkah yang bisa dilakukan untuk menghilangkan virus 'Folder Cinta' secara manual.
1. Disconnect/putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2. Disable/matikan 'System Restore' selama proses pembersihan virus.
3. Gunakan 'Task Manager' untuk mematikan proses virus yang aktif.
Kemungkinan besar dengan nama 'csrsc.exe'). Untuk membuka task manager, dapat dilakukan dengan menekan secara bersama Ctr+Alt+Del, atau dengan klik kanan pada taskbar windows. Selanjutnya matikan proses virus dengan klik [End Process] pada proses csrsc.exe.
4. Hapus file utama dari virus Autorun.QBP, yang terdapat pada C:\WINDOWS\system32, dengan nama csrsc.exe yang berukuran 793 kb dan Autorun.inf yang berukuran 1 kb.Gunakan search/find, untuk mencari file virus duplikat yang lain, terutama pada media sharing atau USB Flash/removable drive, file virus berukuran 793 kb, berextension exe & ber type application serta file khq di seluruh drive. Jangan lupa untuk menampilkan attribute 'Show hidden file...' dan menghilangkan attribute 'Hide protected operating...' pada Folder Options.
5. Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0,
Explorer.exe
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Gunakan notepad, kemudian simpan dengan nama 'repair.inf'. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih [install].
6. Untuk pembersihan secara optimal terhadap virus Autorun.QBP, gunakan Norman Malware Cleaner yang dapat mendeteksi dan membasmi virus ini dengan baik.
6 Langkah Menumpas Virus Deadlock
Virus Deadlock terbilang ganas. Jika komputer sudah terinfeksi, siap-siap saja pada tanggal 12 dan 13 semua data-data Anda akan dihancurkan, baik di hardisk, Flashdisk dan O/S Windows sehingga menampilkan pesan NTLDR is Missing.
Namun jika sudah menjadi korban Deadlock, jangan sekali-kali menginstal ulang OS Anda ke hardisk yang mengandung data yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar.
Sebab, jika Anda menginstal ulang OS ke hardisk yang mengandung data yang ingin direcover, kemungkinan keberhasilan recovery akan sangat rendah.
Namun virus ini juga bisa ditangani dengan cara manual. Berikut 6 langkah singkatnya yang diramu Vaksincom:
1. Disable [System Restore] selama proses pembersihan.
2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti 'Process Explorer',kemudian matikan proses yang mempunyai nama mysql.exe dan apache.exe. Silahkan download tools tersebut di url berikut: ttp://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat dieksekusi dengan mendaftarkan pada Software Restriction Policies. Fitur ini hanya ada pada komputer dengan sistem operasi Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008.
Caranya:
-. Start -- Run ketik perintah SECPOL.MSC kemudian klik tombol [OK]
-. Setelah muncul layar Local Security Settings, klik kanan pada menu Software Restriction Policies lalu klik Create New Policies
-. Pada menu Software Restriction Policies, klik Additional Rules
-. Klik kanan pada Additional Rules, kemudian pilih New Hash Rule, dan akan muncul layar New Hash Rule
-. Pada kolom File hash klik tombol Browse, kemudian arahkan ke direktori [C:\Windows\system32\apache.exe] dan klik tombol [Open]
-. Pada kolom Security level pilih [Disallowed]
-. Pada kolom description boleh di isi atau dikosongkan saja
-. Klik tombol [Apply] dan [Ok]
Catatan: Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.
4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara:
-. Klik kanan file repair.inf
-. Klik [Install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, apache
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, mysql
5. Hapus file induk virus yang ada di direktori
-. C:\Windows\system32\apache.exe
-. C:\Windows\system32\mysql.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.
Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut: http://www.norman.com/support/support_tools/58732/en-us
Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error NTLDR Is Missing, sebaiknya lakukan install ulang.
Sementara untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.
Namun jika sudah menjadi korban Deadlock, jangan sekali-kali menginstal ulang OS Anda ke hardisk yang mengandung data yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar.
Sebab, jika Anda menginstal ulang OS ke hardisk yang mengandung data yang ingin direcover, kemungkinan keberhasilan recovery akan sangat rendah.
Namun virus ini juga bisa ditangani dengan cara manual. Berikut 6 langkah singkatnya yang diramu Vaksincom:
1. Disable [System Restore] selama proses pembersihan.
2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti 'Process Explorer',kemudian matikan proses yang mempunyai nama mysql.exe dan apache.exe. Silahkan download tools tersebut di url berikut: ttp://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat dieksekusi dengan mendaftarkan pada Software Restriction Policies. Fitur ini hanya ada pada komputer dengan sistem operasi Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008.
Caranya:
-. Start -- Run ketik perintah SECPOL.MSC kemudian klik tombol [OK]
-. Setelah muncul layar Local Security Settings, klik kanan pada menu Software Restriction Policies lalu klik Create New Policies
-. Pada menu Software Restriction Policies, klik Additional Rules
-. Klik kanan pada Additional Rules, kemudian pilih New Hash Rule, dan akan muncul layar New Hash Rule
-. Pada kolom File hash klik tombol Browse, kemudian arahkan ke direktori [C:\Windows\system32\apache.exe] dan klik tombol [Open]
-. Pada kolom Security level pilih [Disallowed]
-. Pada kolom description boleh di isi atau dikosongkan saja
-. Klik tombol [Apply] dan [Ok]
Catatan: Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.
4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara:
-. Klik kanan file repair.inf
-. Klik [Install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, apache
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, mysql
5. Hapus file induk virus yang ada di direktori
-. C:\Windows\system32\apache.exe
-. C:\Windows\system32\mysql.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.
Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut: http://www.norman.com/support/support_tools/58732/en-us
Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error NTLDR Is Missing, sebaiknya lakukan install ulang.
Sementara untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.
Uji Kehandalan 5 Tools Pemantau Conficker
Seiring dengan maraknya Swine Flu (Flu Babi) yang menyerang manusia dan menurut WHO sudah pada taraf kegentingan 4, bandara di seluruh dunia langsung bersiaga memantau para penumpang dari Meksiko dan Amerika Serikat. Kalau di dunia komputer yang menjadi sumber penyebaran virus adalah file yang terinfeksi virus, maka di dunia nyata, yang terinfeksi virus dan menjadi sarana penyebaran virus adalah manusia.
Karena itu bandara menerapkan scanning atas penumpang yang dicurigai mengidap flu dengan menggunakan scanner suhu tubuh karena pengidap flu (apapun jenisnya) pasti mengalami peningkatan suhu tubuh karena badannya bereaksi atas adanya virus asing yang masuk. Sebenarnya prinsip di dunia komputer juga sama, kalau bandara menggunakan scanner suhu tubuh maka “bandara” di internet adalah router-router dan aplikasi yang digunakan bukan scanner tubuh manusia melainkan Firewall.
Tetapi ada satu keunggulan yang dimiliki oleh dunia IT dibandingkan dunia manusia (jika dibandingkan) saat ini, dimana pada dunia manusia tidak mungkin (sangat sulit dan mahal) untuk dapat memantau seluruh manusia di satu kota dan menentukan siapa saja yang terinfeksi flu. Kalau di dunia IT kita bisa menggunakan scanner khusus untuk mendeteksi komputer mana saja yang terinfeksi virus sehingga dapat dilakukan antisipasi yang cepat dan efektif untuk menghadapi masalah virus.
Setelah melakukan test terhadap beberapa tools untuk membasmi Conficker, langkah berikutnya yang paling krusial jika anda administrator jaringan adalah mengidentifikasi komputer mana saja yang terinfeksi virus dan berusaha menyebarkan virus. Karena itu, Vaksincom melakukan pengetesan terhadap tools untuk mendeteksi komputer di jaringan yang terinfeksi Conficker dan berusaha melakukan penyebaran terhadap komputer dalam jaringan.
Jika kita hanya melakukan pembersihan terhadap satu komputer saja tentu tidak masalah, tetapi bagaimana jika dalam jaringan anda terinfeksi komputer tetapi anda tidak tahu komputer mana yang terinfeksi, karena terkadang komputer yang menginfeksi jaringan kita tidak terduga-duga, misalnya komputer notebook yang sering dibawa pulang oleh pimpinan atau bagian yang sering dinas luar. Selain itu, jika kita memvonis komputer tertentu terinfeksi virus, tentunya kita harus memiliki bukti.
Conficker dan Gejalanya di Dalam Jaringan
Jika pada mega test sebelumnya dijelaskan gejala conficker pada komputer tersebut, maka kali ini kita harus mengatahui apa dampak conficker pada jaringan, sebagai berikut:
Berusaha mendownload dan mencoba akses pada 250 domain (conficker B) atau 50.000 domain (conficker C) yang random. Berikut beberapa domain yang random tersebut :
* aaidhe.net
* barhkuuu.cn
* cfhlglxofyz.biz
* dtosuhc.org
* elivvks.info
* fsrljjeemkr.cc
* gbmkghqcqy.ch
* hudphigb.net
* iqrzamxo.ws
* jjhajbfcdmk.com
Berusaha akses ke beberapa domain yang umum untuk mengecek waktu saat ini. Beberapa domain tersebut yaitu :
* baidu.com
* google.com
* yahoo.com
* msn.com
* ask.com
* w3.org
* aol.com
* cnn.com
* ebay.com
* msn.com
* myspace.com
* facebook.com
* rapidshare.com
Pada dasarnya virus ini berusaha melakukan penyebaran melalui default share windows menggunakan port 445, tetapi selain itu Conficker juga menggunakan port 1024 s/d 10000 untuk melakukan penyebaran pada jaringan komputer.
The Tools, Conficker Network Detection...
Dari beberapa tools yang ada, Vaksincom melakukan pengetesan beberapa tools yang familiar dan sering digunakan. Tools tersebut dikeluarkan oleh beberapa vendor security untuk membantu mempermudah deteksi dari serangan Conficker pada jaringan anda.
Berikut beberapa tools yang tersedia sebagai berikut :
1. Wireshark
Wireshark/Ethereal merupakan salah satu dari sekian banyak tools Network Analyzer yang banyak digunakan oleh Network administrator untuk menganalisa kinerja jaringannya dan juga merupakan tools andalan Vaksinis (teknisi Vaksincom). Wireshark banyak disukai karena interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis.
Wireshark mampu menangkap paket-paket data/informasi yang berseliweran dalam jaringan yang kita “intip”. Semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Tools ini tersedia di berbagai versi OS, seperti Windows, Linux, Macintosh, dll.
Pada awal kemunculan dan perkembangan Conficker, tools ini merupakan “pelopor” tools yang digunakan oleh beberapa vendor security untuk menganalisa paket-paket data/informasi dalam jaringan dari serangan Conficker. Anda dapat mendownload wireshark pada alamat http://www.wireshark.org/download.html.
Pada saat instalasi, perhatikan untuk mengaktifkan dan menginstall plugin MATE (Meta Analysis Tracing Engine), karena secara default belum diaktifkan. Plugin ini dapat berfungsi untuk memfilter seluruh paket-paket data dari berbagai protocol yang lewat dalam jaringan. Selain itu dalam proses instalasi juga disertakan WinPcap. Lakukan instalasi WinPcap, WinPcap merupakan driver yang digunakan untuk membaca dan mem-filter lalu lintas paket data/informasi yang lewat.
Untuk penggunaannya cukup mudah, pada saat anda menjalankan Wireshark, pilih saja tab Capture kemudian pilih list Interfaces. Pada pilihan capture interfaces, pilih yang sesuai dengan jaringan LAN/Ethernet card anda kemudian klik tombol start. Wireshark juga memiliki kemampuan untuk melakukan scan komputer antar segmen.
Untuk deteksi Conficker, lakukan filter dengan protocol NBNS (NetBIOS Name Service) kemudian perhatikan info yang diberikan, umumnya NBNS akan membaca hostname komputer tetapi jika NBNS membaca selain hostname komputer dalam hal ini adalah domain-domain yang dituju oleh Conficker, maka source IP tersebut merupakan komputer yang terinfeksi dan berusaha untuk menyebarkan dan mengupdate dirinya.
2. Nmap
Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara eksklusif menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan Nmap kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif pada port yang lebih spesifik.
Nmap merupakan salah satu tools yang paling banyak digunakan untuk melakukan scanning jaringan dan terkenal sebagai tool yang multi platform, cepat dan ringan. Nmap berjalan pada semua jenis OS, baik mode console maupun grafis. Hebatnya lagi, tidak seperti Wireshark, Nmap juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh Conficker sehingga dapat membantu administrator menentukan komputer mana saja yang masih memiliki celah keamanan yang dapat dieksploitasi oleh Conficker.
Selain itu, Nmap juga memiliki satu keunggulan yang mungkin membuat administrator jaringan besar jatuh cinta, ia dapat melakukan scanning komputer antar segmen.
Terhadap kemunculan dan perkembangan Conficker, Nmap dengan bantuan source code dari Tillman Werner dan Felix Leder dari The Honeynet Project, telah merilis versi baru dengan tambahan fitur deteksi terhadap komputer yang terinfeksi Conficker. Anda dapat mendownload versi terbaru pada alamat http://nmap.org/download.html.
Proses instalasi Nmap cukup mudah, sama halnya seperti wireshark, Nmap juga melakukan instalasi terhadap WinPcap (jika belum terinstall). Jika sudah terinstall WinPcap, biasanya akan terjadi error dan proses instalasi WinPcap sebaiknya di lewatkan saja.
Untuk penggunaannya, baik mode console maupun GUI, kita tetap menggunakan perintah command. Penggunaan command untuk mendeteksi Conficker ada 2 cara :
Scan jaringan dengan membaca port 139 & 445 (lebih cepat) :
* nmap -p 139,445 -T4 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1…..)
* Scan jaringan dengan membaca seluruh port yang digunakan Conficker (agak lambat) :
* nmap -p - -T4 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkall=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1….)
3. Retina Network Security Scanner (Conficker Worm)
Walaupun agak terlambat dan diluncurkan menjelang 1 April 2009, sebagai salah satu vendor keamanan komputer, eEye Digital Security juga ikut meluncurkan tools khusus dan gratis untuk mendeteksi keberadaan Conficker dalam jaringan. Tools ini didesain untuk mendeteksi keberadaan Conficker dan sekaligus mendeteksi vulnerability windows tersebut dari celah keamanan Windows Server Service (patch MS08-067). Anda dapat mendownload tools ini pada alamat http://www.eeye.com/html/downloads/other/ConfickerScanner.html.
Proses instalasi sangat mudah dan cepat, anda cukup menjalankan file instalasi yang dilanjutkan perintah-perintah selanjutnya hingga selesai.
Bagi pengguna umum, tools Retina dari Eeye relatif lebih mudah dibandingkan Wireshark dan Nmap, saat anda menjalankan tools ini anda dapat langsung memilih target yang diinginkan baik single IP maupun dengan range IP. Jika sudah, anda dapat langsung klik tombol scan.
Jika sudah selesai akan muncul box pesan tanda selesai. Hasil dari scan tersebut terdapat 4 kategori yaitu :
* Not Tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)
* Infected (komputer terdeteksi terinfeksi Conficker)
* Patched (komputer bersih dan sudah di patch MS08-067)
* Vulnerable (komputer bersih tetapi belum di patch, rawan terinfeksi Conficker)
Sayangnya tools ini hanya membaca port 139 dan 445, sehingga sangat sulit jika komputer yang terinfeksi tidak mengaktifkan port tersebut (File and Printer Sharing). Selain itu, Retina tidak dapat melakukan scanning antar segmen dan juga tidak memantau port 1024 – 10.000 yang di eksploitasi oleh Conficker.
4. SCS (Simple Conficker Scanner)
Tools simple dan canggih buatan Tillman Werner dan Felix Leder dari The Honeynet Project, yang pada saat awal diluncurkan banyak digunakan oleh Vaksincom untuk mendeteksi IP – IP ISP Indonesia yang terinfeksi Conficker ini menjadi rujukan beberapa vendor untuk membuat tools sejenis.
Mereka membuat tools conficker network scanner dari bahasa Python yang kemudian beserta source code-nya dipublish secara bebas. Tercatat beberapa vendor seperti Nmap, eEye dan Foundstone menggunakan source code yang kemudian di compile dan dijadikan plugin tools masing-masing vendor untuk digunakan mendeteksi conficker.
Tools ini dapat didownload pada alamat http://www.4shared.com/get/95921961/d7727fab/scs.html .
SCS tidak perlu diinstall, anda hanya perlu akstrak pada folder/drive yang anda tentukan saja. Tetapi untuk menjalankan SCS anda perlu meng-install Nmap. Hal ini dikarenakan SCS membutuhkan driver paket monitoring data.
Untuk penggunaannya, SCS menggunakan mode console atau command prompt. Pada mode command prompt, pindah pada folder scs kemudian ketik perintah berikut :
* “scs [IP_Awal] [IP Akhir]” , contoh : C:\scs>scs 192.168.1.1 192.168.1.255
Sama seperti Retina, SCS hanya membaca port 139 dan 445 saja.
5. Conficker Detection Tool (MCDT)
Melalui salah satu divisi-nya yaitu Foundstone, McAfee ikut merilis salah satu tools network untuk mendeteksi keberadaan conficker. Tools yang juga menggunakan source dari Tillman Werner dan Felix Leder dari The Honeynet Project, merupakan pengembangan dari team Foundstone yang didesain untuk mendeteksi keberadaan komputer yang terinfeksi conficker, dan telah dipublish secara gratis. Anda dapat mendownload pada alamat http://www.mcafee.com/us/enterprise/confickertest.html .
Tools ini tidak perlu diinstall, anda hanya perlu ekstrak pada direktori / drive yang anda tentukan saja.
Untuk penggunaannya pun cukup mudah, saat anda menjalankan tools ini anda dapat langsung memilih range target yang diinginkan. Bahkan anda dapat melakukan scanning jika terdapat beberapa segmen pada jaringan komputer anda, hal ini yang tidak terdapat pada Retina.
Tetapi sayangnya tools ini tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang di eksploitasi Conficker seperti Nmap dan Retina. Berbeda dengan Retina, tools ini memiliki 3 kategori hasil scan yaitu :
* INFECTED (komputer terinfeksi conficker)
* Not infected (komputer bersih atau tidak terinfeksi)
* Not tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)
Sama seperti halnya Retina dan SCS, tool ini hanya membaca port 139 dan 445 (File Printer Sharing) dan tidak melakukan pemantauan atas port 1024 – 10.000 yang di eksploitasi oleh Conficker.
Hasil Perbandingan.....
Dari beberapa tools tersebut, kami me-review dan membuat tabel perbandingan-nya sebagai berikut (klik untuk memperbesar):
Tabel Hasil Uji
Dari hasil pengujian yang dilakukan oleh lab Vaksincom, terlihat bahwa tidak ada tools yang sempurna. Masing-masing tools memiliki kelebihan dan kekurangannya masing-masing.
Nmap walaupun memiliki fitur yang paling lengkap tetapi memiliki kelemahan pada sisi penggunaan yang masih menggunakan command dan kecepatan scan yang lambat dibanding tools yang lain. Sementara MCDT merupakan tools yang sangat simple tanpa instalasi serta proses scan cukup cepat memilki kelemahan tidak dapat berfungsi dengan baik jika port 445 ditutup/disable (File and Printer Sharing di non aktifkan) dan tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang dieksploitasi oleh Conficker.
Penulis, Adi Saputra dan Alfons Tanujaya, adalah analis antivirus untuk Vaksincom.
Karena itu bandara menerapkan scanning atas penumpang yang dicurigai mengidap flu dengan menggunakan scanner suhu tubuh karena pengidap flu (apapun jenisnya) pasti mengalami peningkatan suhu tubuh karena badannya bereaksi atas adanya virus asing yang masuk. Sebenarnya prinsip di dunia komputer juga sama, kalau bandara menggunakan scanner suhu tubuh maka “bandara” di internet adalah router-router dan aplikasi yang digunakan bukan scanner tubuh manusia melainkan Firewall.
Tetapi ada satu keunggulan yang dimiliki oleh dunia IT dibandingkan dunia manusia (jika dibandingkan) saat ini, dimana pada dunia manusia tidak mungkin (sangat sulit dan mahal) untuk dapat memantau seluruh manusia di satu kota dan menentukan siapa saja yang terinfeksi flu. Kalau di dunia IT kita bisa menggunakan scanner khusus untuk mendeteksi komputer mana saja yang terinfeksi virus sehingga dapat dilakukan antisipasi yang cepat dan efektif untuk menghadapi masalah virus.
Setelah melakukan test terhadap beberapa tools untuk membasmi Conficker, langkah berikutnya yang paling krusial jika anda administrator jaringan adalah mengidentifikasi komputer mana saja yang terinfeksi virus dan berusaha menyebarkan virus. Karena itu, Vaksincom melakukan pengetesan terhadap tools untuk mendeteksi komputer di jaringan yang terinfeksi Conficker dan berusaha melakukan penyebaran terhadap komputer dalam jaringan.
Jika kita hanya melakukan pembersihan terhadap satu komputer saja tentu tidak masalah, tetapi bagaimana jika dalam jaringan anda terinfeksi komputer tetapi anda tidak tahu komputer mana yang terinfeksi, karena terkadang komputer yang menginfeksi jaringan kita tidak terduga-duga, misalnya komputer notebook yang sering dibawa pulang oleh pimpinan atau bagian yang sering dinas luar. Selain itu, jika kita memvonis komputer tertentu terinfeksi virus, tentunya kita harus memiliki bukti.
Conficker dan Gejalanya di Dalam Jaringan
Jika pada mega test sebelumnya dijelaskan gejala conficker pada komputer tersebut, maka kali ini kita harus mengatahui apa dampak conficker pada jaringan, sebagai berikut:
Berusaha mendownload dan mencoba akses pada 250 domain (conficker B) atau 50.000 domain (conficker C) yang random. Berikut beberapa domain yang random tersebut :
* aaidhe.net
* barhkuuu.cn
* cfhlglxofyz.biz
* dtosuhc.org
* elivvks.info
* fsrljjeemkr.cc
* gbmkghqcqy.ch
* hudphigb.net
* iqrzamxo.ws
* jjhajbfcdmk.com
Berusaha akses ke beberapa domain yang umum untuk mengecek waktu saat ini. Beberapa domain tersebut yaitu :
* baidu.com
* google.com
* yahoo.com
* msn.com
* ask.com
* w3.org
* aol.com
* cnn.com
* ebay.com
* msn.com
* myspace.com
* facebook.com
* rapidshare.com
Pada dasarnya virus ini berusaha melakukan penyebaran melalui default share windows menggunakan port 445, tetapi selain itu Conficker juga menggunakan port 1024 s/d 10000 untuk melakukan penyebaran pada jaringan komputer.
The Tools, Conficker Network Detection...
Dari beberapa tools yang ada, Vaksincom melakukan pengetesan beberapa tools yang familiar dan sering digunakan. Tools tersebut dikeluarkan oleh beberapa vendor security untuk membantu mempermudah deteksi dari serangan Conficker pada jaringan anda.
Berikut beberapa tools yang tersedia sebagai berikut :
1. Wireshark
Wireshark/Ethereal merupakan salah satu dari sekian banyak tools Network Analyzer yang banyak digunakan oleh Network administrator untuk menganalisa kinerja jaringannya dan juga merupakan tools andalan Vaksinis (teknisi Vaksincom). Wireshark banyak disukai karena interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis.
Wireshark mampu menangkap paket-paket data/informasi yang berseliweran dalam jaringan yang kita “intip”. Semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Tools ini tersedia di berbagai versi OS, seperti Windows, Linux, Macintosh, dll.
Pada awal kemunculan dan perkembangan Conficker, tools ini merupakan “pelopor” tools yang digunakan oleh beberapa vendor security untuk menganalisa paket-paket data/informasi dalam jaringan dari serangan Conficker. Anda dapat mendownload wireshark pada alamat http://www.wireshark.org/download.html.
Pada saat instalasi, perhatikan untuk mengaktifkan dan menginstall plugin MATE (Meta Analysis Tracing Engine), karena secara default belum diaktifkan. Plugin ini dapat berfungsi untuk memfilter seluruh paket-paket data dari berbagai protocol yang lewat dalam jaringan. Selain itu dalam proses instalasi juga disertakan WinPcap. Lakukan instalasi WinPcap, WinPcap merupakan driver yang digunakan untuk membaca dan mem-filter lalu lintas paket data/informasi yang lewat.
Untuk penggunaannya cukup mudah, pada saat anda menjalankan Wireshark, pilih saja tab Capture kemudian pilih list Interfaces. Pada pilihan capture interfaces, pilih yang sesuai dengan jaringan LAN/Ethernet card anda kemudian klik tombol start. Wireshark juga memiliki kemampuan untuk melakukan scan komputer antar segmen.
Untuk deteksi Conficker, lakukan filter dengan protocol NBNS (NetBIOS Name Service) kemudian perhatikan info yang diberikan, umumnya NBNS akan membaca hostname komputer tetapi jika NBNS membaca selain hostname komputer dalam hal ini adalah domain-domain yang dituju oleh Conficker, maka source IP tersebut merupakan komputer yang terinfeksi dan berusaha untuk menyebarkan dan mengupdate dirinya.
2. Nmap
Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara eksklusif menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan Nmap kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif pada port yang lebih spesifik.
Nmap merupakan salah satu tools yang paling banyak digunakan untuk melakukan scanning jaringan dan terkenal sebagai tool yang multi platform, cepat dan ringan. Nmap berjalan pada semua jenis OS, baik mode console maupun grafis. Hebatnya lagi, tidak seperti Wireshark, Nmap juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh Conficker sehingga dapat membantu administrator menentukan komputer mana saja yang masih memiliki celah keamanan yang dapat dieksploitasi oleh Conficker.
Selain itu, Nmap juga memiliki satu keunggulan yang mungkin membuat administrator jaringan besar jatuh cinta, ia dapat melakukan scanning komputer antar segmen.
Terhadap kemunculan dan perkembangan Conficker, Nmap dengan bantuan source code dari Tillman Werner dan Felix Leder dari The Honeynet Project, telah merilis versi baru dengan tambahan fitur deteksi terhadap komputer yang terinfeksi Conficker. Anda dapat mendownload versi terbaru pada alamat http://nmap.org/download.html.
Proses instalasi Nmap cukup mudah, sama halnya seperti wireshark, Nmap juga melakukan instalasi terhadap WinPcap (jika belum terinstall). Jika sudah terinstall WinPcap, biasanya akan terjadi error dan proses instalasi WinPcap sebaiknya di lewatkan saja.
Untuk penggunaannya, baik mode console maupun GUI, kita tetap menggunakan perintah command. Penggunaan command untuk mendeteksi Conficker ada 2 cara :
Scan jaringan dengan membaca port 139 & 445 (lebih cepat) :
* nmap -p 139,445 -T4 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1…..)
* Scan jaringan dengan membaca seluruh port yang digunakan Conficker (agak lambat) :
* nmap -p - -T4 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkall=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1….)
3. Retina Network Security Scanner (Conficker Worm)
Walaupun agak terlambat dan diluncurkan menjelang 1 April 2009, sebagai salah satu vendor keamanan komputer, eEye Digital Security juga ikut meluncurkan tools khusus dan gratis untuk mendeteksi keberadaan Conficker dalam jaringan. Tools ini didesain untuk mendeteksi keberadaan Conficker dan sekaligus mendeteksi vulnerability windows tersebut dari celah keamanan Windows Server Service (patch MS08-067). Anda dapat mendownload tools ini pada alamat http://www.eeye.com/html/downloads/other/ConfickerScanner.html.
Proses instalasi sangat mudah dan cepat, anda cukup menjalankan file instalasi yang dilanjutkan perintah-perintah selanjutnya hingga selesai.
Bagi pengguna umum, tools Retina dari Eeye relatif lebih mudah dibandingkan Wireshark dan Nmap, saat anda menjalankan tools ini anda dapat langsung memilih target yang diinginkan baik single IP maupun dengan range IP. Jika sudah, anda dapat langsung klik tombol scan.
Jika sudah selesai akan muncul box pesan tanda selesai. Hasil dari scan tersebut terdapat 4 kategori yaitu :
* Not Tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)
* Infected (komputer terdeteksi terinfeksi Conficker)
* Patched (komputer bersih dan sudah di patch MS08-067)
* Vulnerable (komputer bersih tetapi belum di patch, rawan terinfeksi Conficker)
Sayangnya tools ini hanya membaca port 139 dan 445, sehingga sangat sulit jika komputer yang terinfeksi tidak mengaktifkan port tersebut (File and Printer Sharing). Selain itu, Retina tidak dapat melakukan scanning antar segmen dan juga tidak memantau port 1024 – 10.000 yang di eksploitasi oleh Conficker.
4. SCS (Simple Conficker Scanner)
Tools simple dan canggih buatan Tillman Werner dan Felix Leder dari The Honeynet Project, yang pada saat awal diluncurkan banyak digunakan oleh Vaksincom untuk mendeteksi IP – IP ISP Indonesia yang terinfeksi Conficker ini menjadi rujukan beberapa vendor untuk membuat tools sejenis.
Mereka membuat tools conficker network scanner dari bahasa Python yang kemudian beserta source code-nya dipublish secara bebas. Tercatat beberapa vendor seperti Nmap, eEye dan Foundstone menggunakan source code yang kemudian di compile dan dijadikan plugin tools masing-masing vendor untuk digunakan mendeteksi conficker.
Tools ini dapat didownload pada alamat http://www.4shared.com/get/95921961/d7727fab/scs.html .
SCS tidak perlu diinstall, anda hanya perlu akstrak pada folder/drive yang anda tentukan saja. Tetapi untuk menjalankan SCS anda perlu meng-install Nmap. Hal ini dikarenakan SCS membutuhkan driver paket monitoring data.
Untuk penggunaannya, SCS menggunakan mode console atau command prompt. Pada mode command prompt, pindah pada folder scs kemudian ketik perintah berikut :
* “scs [IP_Awal] [IP Akhir]” , contoh : C:\scs>scs 192.168.1.1 192.168.1.255
Sama seperti Retina, SCS hanya membaca port 139 dan 445 saja.
5. Conficker Detection Tool (MCDT)
Melalui salah satu divisi-nya yaitu Foundstone, McAfee ikut merilis salah satu tools network untuk mendeteksi keberadaan conficker. Tools yang juga menggunakan source dari Tillman Werner dan Felix Leder dari The Honeynet Project, merupakan pengembangan dari team Foundstone yang didesain untuk mendeteksi keberadaan komputer yang terinfeksi conficker, dan telah dipublish secara gratis. Anda dapat mendownload pada alamat http://www.mcafee.com/us/enterprise/confickertest.html .
Tools ini tidak perlu diinstall, anda hanya perlu ekstrak pada direktori / drive yang anda tentukan saja.
Untuk penggunaannya pun cukup mudah, saat anda menjalankan tools ini anda dapat langsung memilih range target yang diinginkan. Bahkan anda dapat melakukan scanning jika terdapat beberapa segmen pada jaringan komputer anda, hal ini yang tidak terdapat pada Retina.
Tetapi sayangnya tools ini tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang di eksploitasi Conficker seperti Nmap dan Retina. Berbeda dengan Retina, tools ini memiliki 3 kategori hasil scan yaitu :
* INFECTED (komputer terinfeksi conficker)
* Not infected (komputer bersih atau tidak terinfeksi)
* Not tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)
Sama seperti halnya Retina dan SCS, tool ini hanya membaca port 139 dan 445 (File Printer Sharing) dan tidak melakukan pemantauan atas port 1024 – 10.000 yang di eksploitasi oleh Conficker.
Hasil Perbandingan.....
Dari beberapa tools tersebut, kami me-review dan membuat tabel perbandingan-nya sebagai berikut (klik untuk memperbesar):
Tabel Hasil Uji
Dari hasil pengujian yang dilakukan oleh lab Vaksincom, terlihat bahwa tidak ada tools yang sempurna. Masing-masing tools memiliki kelebihan dan kekurangannya masing-masing.
Nmap walaupun memiliki fitur yang paling lengkap tetapi memiliki kelemahan pada sisi penggunaan yang masih menggunakan command dan kecepatan scan yang lambat dibanding tools yang lain. Sementara MCDT merupakan tools yang sangat simple tanpa instalasi serta proses scan cukup cepat memilki kelemahan tidak dapat berfungsi dengan baik jika port 445 ditutup/disable (File and Printer Sharing di non aktifkan) dan tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang dieksploitasi oleh Conficker.
Penulis, Adi Saputra dan Alfons Tanujaya, adalah analis antivirus untuk Vaksincom.
Langkah 'Menyapu' Virus FullHouse
Satu lagi virus yang mengancam pengguna komputer adalah virus FullHouse. Ciri khas virus ini adalah membuat satu drive tambahan dengan nama FullHouse Drive.
Virus ini dibuat menggunakan bahasa pemrograman Visual Basic yang dalam melakukan aksinya akan membuat drive tersendiri pada Desktop, My computer dan Control Panel yang jika dibuka akan menampilkan gambar "Han Ji Eun" artis cantik dalam serial Full House.
Untuk membersihkannya, simak langkah berikut ini:
-Scan file virus yang berada pada direktori C:\RECYCLER dengan antivirus yang sudah dapat mendeteksi virus ini dengan baik. Vaksincom menggunakan Norman Security Suite.
-Setelah selesai scan terdapat file virus dengan status file delete (defered) artinya file akan di hapus ketika windows restart
-Klik tombol Clean lalu Close pada saat itu juga Norman Security Suite akan meminta komputer untuk restart
-Untuk menormalkan kembali registri yang telah dibuat oleh virus buka Notepad lalu copy script di bawah
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, batfile\shell\open\command,,,"""%1"" %*"
HKCR, comfile\shell\open\command,,,"""%1"" %*"
HKCR, exefile\shell\open\command,,,"""%1"" %*"
HKCR, piffile\shell\open\command,,,"""%1"" %*"
HKCR, lnkfile\shell\open\command,,,"""%1"" %*"
HKCR, scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,""%1""
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, Task
Manager
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, Manager Task
HKCR, exefile, NeverShowExt
HKCR, CLSID\{10020D75-0000-0000-C000-000000000000}
HKLM, SOFTWARE\Classes\CLSID\{10020D75-0000-0000-C000-000000000000}
-Simpan dengan nama "repair.inf" pilih Save As Type menjadi All Files
-Jalankan repair.inf dengan klik kanan kemudian pilih install
-Hapus file yang dibuat oleh virus dengan ciri berikut :
* Type file "application"
* Extension "exe"
* Ukuran 168 kb
-Untuk mempermudah proses pencarian file virus gunakan "Search Windows"
dengan filter file *.exe yang mempunyai ukuran 168 KB dan date modified
pertanggal 7/8/2008
-Selanjutnya hapus "FullHouse Drive" pada Desktop, My Computer dan Contol
Panel
-Recovery Folder pada Flash Disk yang telah di Hidden
-Untuk menampilkan kembali folder yang disembunyikan pada flashdisk. Gunakan
perintah "ATTRIB" pada command prompt.
* Klik "Start"
* Klik "Run"
* Ketik "CMD", kemudian tekan tombol "Enter"
-Pindahkan posisi directori ke drive Flash Disk, misalkan E maka ketik
perintah E: lalu tekan "enter"
-Kemudian ketik perintah ATTRIB -s -h -r /s /d kemudian tekan tombol
"enter
Virus ini dibuat menggunakan bahasa pemrograman Visual Basic yang dalam melakukan aksinya akan membuat drive tersendiri pada Desktop, My computer dan Control Panel yang jika dibuka akan menampilkan gambar "Han Ji Eun" artis cantik dalam serial Full House.
Untuk membersihkannya, simak langkah berikut ini:
-Scan file virus yang berada pada direktori C:\RECYCLER dengan antivirus yang sudah dapat mendeteksi virus ini dengan baik. Vaksincom menggunakan Norman Security Suite.
-Setelah selesai scan terdapat file virus dengan status file delete (defered) artinya file akan di hapus ketika windows restart
-Klik tombol Clean lalu Close pada saat itu juga Norman Security Suite akan meminta komputer untuk restart
-Untuk menormalkan kembali registri yang telah dibuat oleh virus buka Notepad lalu copy script di bawah
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, batfile\shell\open\command,,,"""%1"" %*"
HKCR, comfile\shell\open\command,,,"""%1"" %*"
HKCR, exefile\shell\open\command,,,"""%1"" %*"
HKCR, piffile\shell\open\command,,,"""%1"" %*"
HKCR, lnkfile\shell\open\command,,,"""%1"" %*"
HKCR, scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,""%1""
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, Task
Manager
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, Manager Task
HKCR, exefile, NeverShowExt
HKCR, CLSID\{10020D75-0000-0000-C000-000000000000}
HKLM, SOFTWARE\Classes\CLSID\{10020D75-0000-0000-C000-000000000000}
-Simpan dengan nama "repair.inf" pilih Save As Type menjadi All Files
-Jalankan repair.inf dengan klik kanan kemudian pilih install
-Hapus file yang dibuat oleh virus dengan ciri berikut :
* Type file "application"
* Extension "exe"
* Ukuran 168 kb
-Untuk mempermudah proses pencarian file virus gunakan "Search Windows"
dengan filter file *.exe yang mempunyai ukuran 168 KB dan date modified
pertanggal 7/8/2008
-Selanjutnya hapus "FullHouse Drive" pada Desktop, My Computer dan Contol
Panel
-Recovery Folder pada Flash Disk yang telah di Hidden
-Untuk menampilkan kembali folder yang disembunyikan pada flashdisk. Gunakan
perintah "ATTRIB" pada command prompt.
* Klik "Start"
* Klik "Run"
* Ketik "CMD", kemudian tekan tombol "Enter"
-Pindahkan posisi directori ke drive Flash Disk, misalkan E maka ketik
perintah E: lalu tekan "enter"
-Kemudian ketik perintah ATTRIB -s -h -r /s /d kemudian tekan tombol
"enter
Langganan:
Komentar (Atom)
tamu