virus kido atau conficker atau downadup merupakan virus worms yang menyebar melalui jaringan lokal dan removable media (flashdisk). Worm tsb merupakan windows file PE DLL, berukuran berkisar antara 155kb-165kb yang dipacking menggunakan UPX.
Worms ini akan mencopykan diri pada tempat2 berikut:
%System%\
%Program Files%\Internet Explorer\acak
%Program Files%\Movie Maker\acak
%All Users Application Data%\
%Temp%\
%System%\
%Temp%\
untuk memastikan bahwa worms ini berjalan, dia akan membuat service sistem yang akan menjalankan file worms pada saat booting windows, berikut ini registry yang ditambahkan:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "
Penyebaran melewati jaringan lokal dan flashdisk, pada jaringan lokal dengan cara membuat server web pada port acak dan mencoba menyerang komputer pada satu jaringan dengan menggunakan celah keamanan server service pada windows yang menyebabkan terjadinya buffer overflow. Penyebaran pada flashdisk dengan cara membuat folder berikut pada flashdisk
dan juga membuat file autorun
Berikut langkah manual menghapus virus Kido/Conficker/Downadup
1. Hapus registry key berikut:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
2. Hapus "%System%\
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"
3. Restart Komputer
4. Hapus file worm dari komputer (lokasi tergantung dari bagaimana virus masuk ke komputer)
5. Hapus duplikat file virus berikut:
%System%\
%Program Files%\Internet Explorer\acak
%Program Files%\Movie Maker\
%All Users Application Data%\
%Temp%\
%System%\
%Temp%\
6. Hapus file pada flashdisk
7. Download dan install update windows:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
--------------
Atau gunakan PCMAV Express for Conficker download disini
Posts
0 comments:
Post a Comment