Berita heboh masih berkisar soal worm Conficker, yang ternyata trik dan kepintarannya telah diadopsi oleh worm ‘tua’ empat tahun lalu, VX, untuk mengeksploitasi kelemahannya dengan menggunakan superworm Conficker atau Downadup atau Kido tersebut. Worm Neeris, yang kembali di Mei 2005, juga dapat menyebarkan dirinya menggunakan kelemahan system Microsoft, yakni MS08-067, yang juga digunakan oleh Conficker. Bahkan, varian Neeris versi lama juga menggunakan kelemahan komponen Microsoft MS06-040, sama juga seperti yang dimaanfaatkan Conficker.

Sementara itu, menurut Microsoft, Jumat (03/4), worm Neeris juga meng-copy trik lain dari tool-box Conficker. Worm Neeris yang baru menambah varian social engineering autoplay “Open folder to view files”, yang juga digunakan oleh Conficker. Namun, di antara kesamaan Conficker dan Neeris, kedua worm tersebut dikerjakan oleh dua penulis malware yang berbeda, atau mungkin bisa berkolaborasi satu dan yang lainnya, atau satu menginspirasi lainnya.

“Worm Neeris varian baru ini telah muncul kembali di akhir Maret dan hingga 1 April. Namun, worm tersebut tidak di-download oleh varian Conficker dan belum ada bukti apakah worm Neeris berkaitan dengan aktivasi algoritma Conficker 1 April lalu atau tidak.” kata pihak Microsoft.(h_n)

source:beritanet.com

Virus ‘Conficker.DV’ menggunakan metode penyebaran yang berbeda dari pendahulunya. Dengan canggihnya, virus tersebut berusaha mengakses jaringan menggunakan celah windows ‘Default Share’ (ADMIN$\system32) dengan menebak password administrator.

Selain itu ‘Conficker.DV’ juga membuat file pada media removable seperti flashdisk, harddisk dan card reader dengan menyimpan file hidden pada root drive.

Sementara aksi yang sama seperti pendahulunya, yaitu berusaha mengexploitasi MS08-067 atau celah keamanan Windows, Windows Server Service atau SVCHOST.exe. Banyak user yang terinfeksi dikarenakan tidak mengaktifkan fitur Automatic Updates dan tidak melakukan patch windows MS08-067.

Jika sudah begini, simak 7 langkah singkat analis virus dari Vaksincom Adi Saputra untuk membasmi virus ‘Conficker.DV’ yang diterima detikINET, Rabu (28/1/2009):

1. Putuskan komputer yang akan dibersihkan dari jaringan/internet.
2. Matikan system restore (Windows XP/Vista).
3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Jika belum memiliki, bisa didownload di situs norman.
4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.
5. Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)
6. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini:

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
Hidden, 0×00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden, 0×00000001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0×00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

Gunakan notepad, kemudian simpan dengan nama ‘repair.inf’, lalu ‘Save As Type’ menjadi ‘All Files’ agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sementara untuk file yang aktif pada startup, Anda dapat mendisable melalui ‘msconfig’ atau dapat mendelete secara manual pada string: ‘HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run’

7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini dengan baik dan patch komputer Anda dengan patch resmi dari Microsoft guna mencegah infeksi ulang.

source: http://blog.nazmi.web.id