Waduh warnet kena virus w32Confi cara mengatasinya
Worm W32.Downadup & W32.Conficker
Kehebatan virus blaster yang dulu sempat mengexploit ribuan komputer ternyata tahun 2008 terulang lagi, penyebarannya pun sama dengan memanfaatkan celah keamanan yang tidak sempurna di microsoft windows server service rpc handling remote code execution vulnerability, hebatnya lagi worm ini mengexploit hampir semua varian microsoft windows dari windows xp sp 1, sp 2, sp 3, windows server 2003, windows vista, bahkan windows 7 yang masih tahap pre relase. untuk penjelasan mengenai rpc dom dapat dibaca artikel dari pak Alfonsus dari vaksin.com “napak tilas exploitasi RPC Dom vulnerability“
Di kantor w32.downadup pertama kali muncul sekitar akhir november 2008 dan penyebarannya cukup cepat, tidak sampai seminggu worm ini sudah meyebar kemana - mana apalagi komputer yang tidak terproteksi dengan windows firewall. w32.downadup ini akan membuat salah satu komputer di jaringan lan menjadi webserver yang akan secara terus menerus menyebarkan file yang berextension *.jpg. kalau di kantor sendiri fase - fase penyebarannya bisa dirangkum seperti dibawah ini :
Fase Pertama : W32.DownAdUp
Setelah computer terkena virus ini maka akan otomatis mendownload file - file dengan extension *.JPG yang akan ditaruh di “C:Documents and SettingsNetwork ServicesLocal SettingsTemporary Internet FilesContent.IE5”
Worm ini akan menjadikan salah satu computer menjadi server web sehingga akan mem broadcast file - file tersebut diatas. Selama computer server ini belum diatasi maka bias dianggap worm ini masih hidup di Jaringan, effectnya adalah traffic menjadi penuh, dan apabila kita memakai Symantec maka antivirus ini akan otomatis mendelete file2 yang di download, dan ini akan berlangsung terus menerus sehingga akan mengganggu user dalam bekerja tetapi tidak menjadikan jaringan terputus.
Solusi yang dilakukan saat itu dan cukup efektif dalam mencegah worm ini berkembang adalah
Update ke Windows XP SP3
Update Antivirus Definition Files
Patching Windows yang masih SP 1 dan 2 untuk menutup celah di windows
Mengaktifkan Windows Firewall
Fase Kedua : W32.Conficker
Di kantor saya fase ini muncul sekitar awal Januari dan setelah googling ternyata ini merupakan modifikasi yang lebih baru dari W32.DownAdUp, dan effectnya lebih parah (salut buat yang bikin virus…) Penyebaran worm ini sama dengan W32.downadup, yaitu memanfaatkan celah bolong RPC dari windows (bahkan yang sudah diupdate sebelumnya).
Worm ini juga akan memanfaatkan computer yang menjadi server untuk membroadcast, bedanya server ini akan menyerang di svchost client, yang effectnya adalah mematikan service2 berikut
Computer Browser
DHCP Client
Windows Firewall
Yang lain lupa :)
Setelah service - service tersebut mati maka otomatis Computer akan tidak terkoneksi dengan jaringan LAN.
Selain menyerang service - service tersebut, worm ini akan menyerang SVCHOST dengan membuat SVCHOST palsu di “C:WINDOWSSECURITYSVCHOST.EXE” yang nanti akan menyebabkan load tinggi di SVCHOST yang asli dan akan membuat computer Hang dengan muncul pesan “Generic Host Process Win32 ….bla bla bla…”
Kalau computer sudah terinfeksi maka akan muncul service baru dengan nama : Windows Host32 Server Service yang kalau dilihat akan mereference file svchost.exe yang ada di “C:WINDOWSSECURITYSVCHOST.EXE”
Solusi yang dilakukan dan sampai saat ini efektif adalah :
Disable service Windows Host32 Server Service
Delete “svchost.exe” yang ada di “C:WINDOWSSECURITYSVCHOST.EXE”
Delete Registry Windows Host32 Server Service ada di HKEY_LOCAL_MACHINE | SYSTEM | CurrentControlSet | Services | Win32Host (dihapus satu folder), ada satu lagi registrynya W32 cuman saya lupa tempatnya, di Find aja dengan ke cara find “Windows Host32 Server Service”,
Patching Windows lagi, dan hari Rabu 13 Januari 2009 kemarin Windows melakukan patching lagi untuk RPC DOM ini.
Mengaktifkan Windows Firewall Update Antivirus Definition Files Sampai sekarang solusi - solusi diatas masih cukup efektif dari sisi client, tetapi yang menjadi kendala saat ini adalah Computer Server penyebar virus belum ditemukan, dan kalau menginstall Windows di computer baru selama belum di patching maka otomatis bakal kena. Langkah yang dilakukan untuk mengetahui computer mana yang kena virus adalah dengan menggunakan tools WireShark tetapi juga belum ketemu, mungkin kalau ada yang tau caranya tolong diinformasikan. Semoga berguna, Terima Kasih.
Kehebatan virus blaster yang dulu sempat mengexploit ribuan komputer ternyata tahun 2008 terulang lagi, penyebarannya pun sama dengan memanfaatkan celah keamanan yang tidak sempurna di microsoft windows server service rpc handling remote code execution vulnerability, hebatnya lagi worm ini mengexploit hampir semua varian microsoft windows dari windows xp sp 1, sp 2, sp 3, windows server 2003, windows vista, bahkan windows 7 yang masih tahap pre relase. untuk penjelasan mengenai rpc dom dapat dibaca artikel dari pak Alfonsus dari vaksin.com “napak tilas exploitasi RPC Dom vulnerability“
Di kantor w32.downadup pertama kali muncul sekitar akhir november 2008 dan penyebarannya cukup cepat, tidak sampai seminggu worm ini sudah meyebar kemana - mana apalagi komputer yang tidak terproteksi dengan windows firewall. w32.downadup ini akan membuat salah satu komputer di jaringan lan menjadi webserver yang akan secara terus menerus menyebarkan file yang berextension *.jpg. kalau di kantor sendiri fase - fase penyebarannya bisa dirangkum seperti dibawah ini :
Fase Pertama : W32.DownAdUp
Setelah computer terkena virus ini maka akan otomatis mendownload file - file dengan extension *.JPG yang akan ditaruh di “C:Documents and SettingsNetwork ServicesLocal SettingsTemporary Internet FilesContent.IE5”
Worm ini akan menjadikan salah satu computer menjadi server web sehingga akan mem broadcast file - file tersebut diatas. Selama computer server ini belum diatasi maka bias dianggap worm ini masih hidup di Jaringan, effectnya adalah traffic menjadi penuh, dan apabila kita memakai Symantec maka antivirus ini akan otomatis mendelete file2 yang di download, dan ini akan berlangsung terus menerus sehingga akan mengganggu user dalam bekerja tetapi tidak menjadikan jaringan terputus.
Solusi yang dilakukan saat itu dan cukup efektif dalam mencegah worm ini berkembang adalah
Update ke Windows XP SP3
Update Antivirus Definition Files
Patching Windows yang masih SP 1 dan 2 untuk menutup celah di windows
Mengaktifkan Windows Firewall
Fase Kedua : W32.Conficker
Di kantor saya fase ini muncul sekitar awal Januari dan setelah googling ternyata ini merupakan modifikasi yang lebih baru dari W32.DownAdUp, dan effectnya lebih parah (salut buat yang bikin virus…) Penyebaran worm ini sama dengan W32.downadup, yaitu memanfaatkan celah bolong RPC dari windows (bahkan yang sudah diupdate sebelumnya).
Worm ini juga akan memanfaatkan computer yang menjadi server untuk membroadcast, bedanya server ini akan menyerang di svchost client, yang effectnya adalah mematikan service2 berikut
Computer Browser
DHCP Client
Windows Firewall
Yang lain lupa :)
Setelah service - service tersebut mati maka otomatis Computer akan tidak terkoneksi dengan jaringan LAN.
Selain menyerang service - service tersebut, worm ini akan menyerang SVCHOST dengan membuat SVCHOST palsu di “C:WINDOWSSECURITYSVCHOST.EXE” yang nanti akan menyebabkan load tinggi di SVCHOST yang asli dan akan membuat computer Hang dengan muncul pesan “Generic Host Process Win32 ….bla bla bla…”
Kalau computer sudah terinfeksi maka akan muncul service baru dengan nama : Windows Host32 Server Service yang kalau dilihat akan mereference file svchost.exe yang ada di “C:WINDOWSSECURITYSVCHOST.EXE”
Solusi yang dilakukan dan sampai saat ini efektif adalah :
Disable service Windows Host32 Server Service
Delete “svchost.exe” yang ada di “C:WINDOWSSECURITYSVCHOST.EXE”
Delete Registry Windows Host32 Server Service ada di HKEY_LOCAL_MACHINE | SYSTEM | CurrentControlSet | Services | Win32Host (dihapus satu folder), ada satu lagi registrynya W32 cuman saya lupa tempatnya, di Find aja dengan ke cara find “Windows Host32 Server Service”,
Patching Windows lagi, dan hari Rabu 13 Januari 2009 kemarin Windows melakukan patching lagi untuk RPC DOM ini.
Mengaktifkan Windows Firewall Update Antivirus Definition Files Sampai sekarang solusi - solusi diatas masih cukup efektif dari sisi client, tetapi yang menjadi kendala saat ini adalah Computer Server penyebar virus belum ditemukan, dan kalau menginstall Windows di computer baru selama belum di patching maka otomatis bakal kena. Langkah yang dilakukan untuk mengetahui computer mana yang kena virus adalah dengan menggunakan tools WireShark tetapi juga belum ketemu, mungkin kalau ada yang tau caranya tolong diinformasikan. Semoga berguna, Terima Kasih.
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar