10 February 2009

Conficker Win32.Kido.CG W32.Downadup.B

Copas dari Detikinet.com
Ardhi Suryadhi

Analis virus dari Vaksincom Adi Saputra menilai, Conficker merupakan virus yang canggih yang cukup cerdas, karena memiliki kemampuan meng-update dirinya dan memiliki satu payload spesial yang sangat menyulitkan pembuat antivirus untuk membuat tools membasmi dirinya.

"Sehingga tak jarang, jika jaringan komputer di kantor Anda terinfeksi virus ini, meskipun Anda sudah banting tulang membersihkan tetapi virus tersebut tetap membandel," ujarnya dalam keterangan tertulisnya kepada detikINET, Rabu (28/1/2009).

Conficker yang dulu muncul pada kasus 'Generic Host Process' error kali ini muncul dengan varian dengan target serangan Windows XP, Vista, semua versi Windows Server. Bahkan, kata Adi, Windows 7 versi Beta pun masih rentan atas serangan virus ini.

Norman Security Suite mendeteksi varian baru virus tersebut sebagai W32/Conficker.DV, sedangkan antivirus lain mendeteksi sebagai Win32.Kido.CG (Kaspersky), W32.Downadup.B (Symantec), W32.Downadup.AL (F-Secure), W32.Conficker.B (Microsoft), W32.Conficker.A (CA, Sophos dan McAfee), Worm_Downad.AD (Trend Micro) dan W32/Conficker.C (Panda).

Ciri File Virus
Dijelaskan Adi, virus Conficker.DV memiliki file yang dikompres melalui UPX. File virus berukuran 162 kb. File virus yang masuk bertipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype 'dll' (dynamic link library).

Selanjutnya file virus yang berusaha masuk akan berada pada lokasi temporary internet. Jika file virus yang masuk berhasil dijalankan, virus akan mengkopi dirinya pada salah satu lokasi folder. File 'dll' inilah yang aktif dan mendompleng file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali.

"Virus juga akan mengcopy file '[%nama acak%].tmp' pada folder '%WINDOWS%\system32' [contohnya : 01.tmp atau 06.tmp]. Setelah menggunakan file tsb, kemudian virus mendelete file tsb," tukas Adi.

Nah, jika sudah terinfeksi W32/Conficker.DV, virus ini akan menimbulkan gejala/efek sebagai berikut:
· Jika varian sebelumnya mematikan service 'Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)'. Maka kali ini virus berusaha untuk mematikan dan mendisable beberapa service, yaitu wscsvc: Security Center, wuauserv: Automatic Updates, BITS : Background Intellegent Transfer Service, ERSvc: Error Reporting Service dan yang lainnya.
· Virus mampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut: Ccert, sans, bit9, windowsupdate, wilderssecurity dan masih banyak lagi. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke situs keamanan.
· Virus berusaha melakukan perubahan pada sistem Windows Vista/Server 2008 dengan menggunakan perintah: 'netsh interface tcp set global autotuning=disabled'. Dengan perintah ini, maka windows auto tuning akan didisable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba akses jaringan.
· Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet.
· Virus akan memeriksa koneksi internet dan mendownload file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus memeriksa pada beberapa situs berikut: baidu, google, yahoo, msn, hingga ask.com
· Virus akan membuat rule firewall pada gateway jaringan lokal yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
· Virus akan membuat service dengan karakteristik tertentu agar dapat berjalan otomatis saat start-up windows serta membuat HTTP Server pada port yang acak
· Virus membuat scheduled task untuk menjalankan file virus yang sudah dikopi dengan perintah: 'rundll32.exe .[%ekstensi acak%], [%acak]'


No comments:

Post a Comment