Kamis, 12 Maret 2009

Mengetahui Gejala-Gejala Virus Conficker

Kadang-kadang kita pusing karena serangan virus komputer yang bertubi-tubi gak selesai-selesai. Nah ada cara mengetahui bagaimana gejala-gejala virus conficker itu bekerja dan tips mengatasi virus conficker.

GEJALA - GEJALA VIRUS CONFICKER :
1. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.

2. Komputer mendapatkan pesan error Generic Host Process.

3. Biasanya memblokir situs-situs antivirus maupun windows seperti seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan “Address not Found”. Tetapi jika diakses dari alamat IP tidak ada masalah.

4. Anti virus computer tidak dapat di Update karena system di kunci oleh Virus Conficker.

5. Banyak aplikasi tidak berfungsi dengan baik.
Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :

1. Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-disable beberapa service, yaitu:
wscsvc : Security Center, wuauserv : Automatic Updates, BITS : Background Intellegent Transfer Service, ERSvc : Error Reporting Service, WerSvc : Windows Error Reporting Service (Vista, Server 2008), WinDefend : Windows Defender (Vista, Server 2000

2. Virus komputer mampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke website keamanan.
Ccert, sans, bit9, windowsupdate, wilderssecurity, threatexpert, castlecops, spamhaus, cpsecure, arcabit, emsisoft, sunbelt, securecomputing, rising, prevx, pctools, norman, k7computing, ikarus, hauri, hacksoft, gdata, fortinet, ewido, clamav, comodo, quickheal, avira, avast, esafe, ahnlab, centralcommand, drweb, grisoft, nod32, f’prot, jotti, kaspersky, f’secure, computerassociates, networkassociates, etrust, panda, sophos, trendmicro, mcafee, norton, symantec, microsoft, defender, rootkit, malware, spyware virus

3. Virus berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :
” netsh interface tcp set global autotuning=disabled”
Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba akses jaringan. Info selengkapnya pada http://support.microsoft.com/kb/947239
Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet

1. Virus komputer tersebut akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa wesite berikut
baidu.com, google.com, yahoo.com, msn.com, ask.com, w3.org, aol.com, cnn.com, ebay.com, msn.com, myspace.com

2. Virus komputer akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).

3. Virus komputer akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows :
Service name: “[%nama acak%].dll”, Path to executable: %System32%–k netsvcs
Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) :
Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows

1. Virus komputer membuat HTTP Server pada port yang acak :
Http://%ExternalIPAddress%:%PortAcak(1024-10000)%
Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi :
http://www.getmyip.org,http://www.whatsmyipaddress.com,
http://getmyip.co.uk, http://checkip.dyndns.org
Virus komputer membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah : ”rundll32.exe .[%eks tensi acak%], [%acak]“
Sumber: ecomet.wordpress.com

0 komen dong:

Posting Komentar