Senin, 19 Januari 2009

Virus Conficker - Generic Host Process Win32 Services ( error )

info-utama.blogspot.com / Update 25 Januari 2009




Virus ini adalah Virus Komputer yang sekarang ( mulai terasa di indonesia sejak januari 2009 ) sedang booming. Beberapa media berita ada yang menyebut Virus Conficker ada juga Virus Conflicker. Terserah anda menyebutnya apa. :-)



Antivirus F-Secure menyebutnya :
1. Worm:W32/Downadup.AL
2. Net-Worm.Win32.Kido
3. Worm:W32/Downadup.AL


Antivirus Symantec menyebutnya :
W32/Conficker.worm.gen


Antivirus (Sophos) menyebutnya
Mal/Conficker


Di negara luar sana, menurut catatan Vendor antivirus F-Secure sudah ada PC yg terinfeksi dari 2,4 Juta s/d 8,9 Juta PC. Virus ini menyerang celah keamanan sistem operasi windows yang belum di patch MS08-067.mspx, patch ini dikeluarkan windows untuk menutup celah keamanan yg sudah dibobol. System kinerja virus ini mirip virus ARP menganggu infrastrukur komunikasi pada jaringan komputer dan sistem operasi tentunya, tetapi secara khusus sistem operasi itu sendiri tidak dirusaknya tetapi memenuhi dengan file-file sampah dari si virus dan virus ini tidak merusak data. Tingkat kerumitan dalam mendeteksi virus ini secara manual hampir sama dengan Virus ARP kalo menurut pengalaman saya malah lebih rumit virus conficker ini, sewaktu menanangani komputer yg terinfeksi virus ini di tempat kerja dimana semua pc tersambung dengan jaringan komputer sekaligus terkoneksi dengan internet, saya melakukan monitoring file yg sedang berjalan, hasilnya apa?? saya tidak melihat aktifitas file yg mengarah pada virus conficker alias tidak terdeteksi sama sekali (entah saya yg bego' atau si virus yg lebih pintar dari saya ) dan saya mencoba dengan berbagai tool monitoring untuk mendeteksi file master virus ini, tetapi hasilnya tetep "NOL"



System penyebaran virus conficker:

Virus ini datang dengan cara :
1. Social Engineering:
Artinya Virus ini bisa nyebar dengan tipuan lewat web, contohnya :
anda buka web, tiba2 muncul kotak pesan info yg intinya anda disuruh download ato menginstall sesuatu kalo anda tidak hati2, bisa jadi itu virus dan bisa juga begitu anda buka web tertentu otomatis si web mengirimkan file ke komputer anda secara "diam-diam" tanpa ada mengetahuinya. Jadi jika berkunjung ke suatu web berhati-hati lah. Untuk mengatasi ini sudah ada beberapa antivirus seperti AVG, NOD32 yg bisa menyecan sebuah website.


2. Media removable seperti Flashdisk dan Sharing data pada jaringan komputer
jika media removable misal flashdisk anda terinfeksi virus ini dan jika windows anda tidak ada keamanan khusus, pc anda otomatis terinfeksi.

Ciri khas virus ini memunculkan pesan seperti gambar dibawah ini:





System Kerja dan Efek dari Virus Conficker:


Begitu menginfeksi pc anda dia melakukan aktifitas sebagai berikut :


1. Melumpuhkan seluruh jaringan komputer dan Memanfaatkan port antara 1024 s/d 10.000 secara acak

2. Melakukan "Brute Forces Administrator Passwords" yaitu mencari Password User Account Windows yg mempunyai Hak sebagai Administrator kemudian melakukan Login ke PC korban. Menurut catatan Vendor security system F-Secure jika ternyata tidak ditemukan User Account bertype Administrator pergerakan virus ini tidak berhasil.

3. Menginfeksi media removable seperti Flash Disk, data sharing,dll

4. Jika virus berhasil meng-infeksi dengan sukses pc, virus ini akan memblock situs-situs yang berhubungan dengan security seperti dibawah ini:
# virus
# spyware
# malware
# rootkit
# defender
# microsoft
# symantec
# norton
# mcafee
# trendmicro
# sophos
# panda
# etrust
# networkassociates
# computerassociates
# f-secure
# kaspersky
# jotti
# f-prot
# nod32
# eset
# grisoft
# drweb
# centralcommand
# ahnlab
# esafe
# avast
# avira
# quickheal
# comodo
# clamav
# ewido
# fortinet
# gdata
# hacksoft
# hauri
# ikarus
# k7computing
# norman
# pctools
# prevx
# rising
# securecomputing
# sunbelt
# emsisoft
# arcabit
# cpsecure
# spamhaus
# castlecops
# threatexpert
# wilderssecurity
# windowsupdate
# nai
# ca
# avp
# avg
# vet
# bit9
# sans
# cert
dan menciptakan database domain-domain untuk me-update virus itu sendiri secara terjadwal

5. Memodifikasi registri

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = dword:0x00FFFFFE

Modifikasi ini untuk mempercepat perkembanganbiakan virus dan memodifikasi nilai koneksi pada memori 0x10000000(268435456) dan diimplementasikan pada regsitri %System%\drivers\tcpip.sys

5. Menginfeksi semua pc yg terhubung dengan jaringan komputer menggunakan "NetServerEnum".

6. Membuat kopian diri pada :
* %System%\[acak].dll
* %Program Files%\Internet Explorer\[acak].dll
* %Program Files%\Movie Maker\[acak].dll
* %All Users Application Data%\[acak].dll
* %Temp%\[acak].dll
* %System%\[acak].tmp
* %Temp%\[acak].tmp

"acak" disini masksudnya namanya selalu berubah-rubah

6. Membuat file pada:
* %DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 "acak" characters]
* %DriveLetter%\autorun.inf

"acak" disini masksudnya namanya selalu berubah-rubah

7. Menyerang pada:
* svchost.exe
* explorer.exe
* services.exe

8. Menonaktifkan servis windows :
# Windows Automatic Update Service (wuauserv)
# Background Intelligent Transfer Service (BITS)
# Windows Security Center Service (wscsvc)
# Windows Defender Service (WinDefend)
# Windows Error Reporting Service (ERSvc)
# Windows Error Reporting Service (WerSvc)

9. Jika ditemukan ada pc yg terrhubung jaringan, dia membuat kopian diri seperti berikut:
\\[Server Host Name]\ADMIN$\System32\["acak" filename].["acak" extension]
"acak" disini masksudnya namanya selalu berubah-rubah

10. Melakukan pergerakan mengikuti system kerja dan membuat salinan file sebagai berikut:
rundll32.exe [random filename].[acak extension], [acak]

"acak" disini masksudnya namanya selalu berubah-rubah

11. Menciptakan beberapa extensi file virus:
* bmp
* gif
* jpeg
* png

12. Mengkoneksikan diri ke website dibawah ini untuk mengikuti system tanggal untuk melakukan update file virus:
# ask.com
# baidu.com
# google.com
# w3.org
# yahoo.com

format file update virus:
[acak].tmp

file TMP ini selanjutnya akan dihapus lagi oleh si virus.


"acak" disini masksudnya namanya selalu berubah-rubah

13. Menonaktifkan servis security center windows dan mencegah jalanya windows devender

14. Mematikan system restore

15. Membuat file temporary (TMP) pada folder system dan temp
nama file TMP juga secara acak/berubah-ubah

16. Koneksi internet anda menjadi lambat

17. Semua fasiltas untuk melakukan sharing data antar komputer dalam jaringan komputer tidak berfungsi

18. Mengakibatkan gangguan pada driver sound card. tiba-tiba dianggap tidak ada soundcard

19. Windows lambat


Meskipun diatas saya paparkan tentang system kerja virus, virus ini tetep gak semudah kita bayangkan bisa didetek dengan software-software monitoring file.

*------
Bagaimana mengatasinya dan antisipasi ( ini adalah cara saya sewaktu menangani virus ini, mungkin anda ato orang lain mempunyai cara sendiri )

saya belum bisa memastikan seperti apa file master virus ini yang "nongkrong" di system Windows, karena sifatnya yg berubah-ubah. tetapi saya sedikit menemukan file-file hasil pembentukan dan menemukan master virus yg "ditanam" ke flashdisk. File master yg tertanam di Flashdisk telah saya test dengan menginfeksikan ke pc lain yg masih normal dah hasilnya muncul Generic Host Process Win32 Services ( error )

1. Yang saya temukan adanya file2 aneh2 dengan banyak extensi pada :
- folder C:\Documents and Settings\Default User\Local Settings\Temp
- folder C:\Documents and Settings\[ sesuai pc anda ]\Local Settings\Temporary Internet Files
- folder C:\Documents and Settings\Default User\Cookies
- folder C:\Documents and Settings\NetworkService\Cookies
- folder C:\Documents and Settings\NetworkService\Local Settings\Temp
- folder C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files

2. Di registri dengan mengetikkan kata "autorun.inf" pada "Find" akan ditemukan
nilai string sebagai berikut:
- shell32.dll ,4
- jwgkvsq.vmx

nilai string ini akan muncul jika pc anda sudah terinfeksi selama -+ 1-2 jam, jika anda menemui munculnya pesan Generic Host Process Win32 Services dan anda langsung mencari nilai string ini, anda belum akan menemukan.

3. Jika flasdisk anda terinfeksi virus ini, akan ada file:
1. autorun.inf, jika dibuka isinya terenkripsi
2. folder RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 yg berisi jwgkvsq.vmx. posisi folder ini di hidden. File ini lah yg saya test dengan cara meng-infeksikan ke pc yg masih sehat yg memberikan hasilnya munculnya Generic Host Process Win32 Services ( error ). hati-hati dan segera ambil tindakan jika di fashdisk anda ditemukan file-file tersebut

*-------------------
Jika pc anda tidak terkoneksi dengan jaringan ato internet :
jika anda memiliki kemampuan membersihkan virus secara manual, lakukan juga cara itu, jika tidak lakukan dengan cara biasa di bawah ini:


1. Scan dengan F-downadup (beta) buatan Antivirus F-Secure. Update antivirus anda, kemudian scan, ketika saya menghadapi virus ini saya menggunakan sekalian melakukan "Test" pada NOD32 v.3, NOD32 v.2.7, Free AVG 7.5, AVG 8 Trial update terbaru, syukur virus ini tidak memblok antivirus. virus ini termasuk baru mungkin belum banyak antivirus yg bisa mendeteksinya.

Lihat gambar dibawah ini yang saya dapat kan dari hasil NOD32 v.3 pasca pembersihan virus ini, NOD32 v.3 sudah bisa mengenali dan menangkap Virus Conficker dengan baik:

Image Hosted by ImageShack.us


Antivirus NOD32 v.2.7 (Update terbaru tentunya) sudah bisa mengenali dan menangkap Virus Conficker dengan baik. Lihat gambar dibawah ini yg saya sorot paling bawah ini adalah file master Virus Conficker yg ditanam di Flashdisk :

Image Hosted by ImageShack.us


2. Cek semua file yg ada di folder, regsitri yg saya sebutkan diatas dan tiap drive, lalu hapus semua

3. Install Patch MS08-067.mspx (untuk windows XP SP 2) untuk windows anda, patch untuk menutup celah keamanan yg digunakan virus ini. Tiap versi Windows punya patch sendiri-sendiri info selengakapnya klik disini

4. Matikan "Auto Play" semua Drive.



*-----------
Jika pc anda terhubung dengan jaringan komputer yg besar dan internet, sebelum me-nyecan disconnet "network".

Lakukan perlindungan Firewall pada
port :
  • UDP Port 135, 137, 138 dan 445.
  • TCP Port 135, 139, 445 dan 593
Pada jaringan komputer yg besar Firewall ini diletakkan pada server Proxy/Router.


*------------
Jika pc anda ketika dihubungkan ke jaringan ato internet muncul pesan Generic Host Process Win32 Services ( error ) dan ketika jika anda sudah disconect network gak muncul pesan tersebut, ingat hal ini tidak menjamin bahwa pc tersebut bersih dari Virus Conficker, tetap lakukan pengecekan, ini saya alami sendiri.


**
Oke, itulah cara saya mengatasi dan antisipasi penyebaran virus ini, dah hasilnya Alhamdulillah semua pc yg terhubung di jaringan komputer dan Internet di tempat kerja saya tidak ada gangguan karena ulah Virus Conficker. Mungkin pembaca ada yg telah menemukan solusi lebih dalam tentang virus ini, silahkan melengkapi artikel ini.


oke, moga artikel ini memberi sedikit pencerahan bagi anda.


referensi
Nod32.com
F-secure.com
Vaksin.com
◄ Newer Post Older Post ►