WORM Downadup, mem-blok berbagai situs Antivirus
Sejak beberapa hari ini sempat mendapat informasi mengenai worm Downadup di beberapa blog tentang security/virus/antivirus, tetapi ternyata banyaknya yang memberitakan tentang worm ini karena memang worm ini cukup “dahsyat” dan canggih Berdasarkan perkiraan dari F-Secure, salah satu variant baru worm ini sudah menginfeksi hampir 9 juta komputer hanya dalam waktu 4 hari. Jumlah yang tidak sedikit untuk worm yang belum lama muncul. Nama asli Worm ini adalah Worm:W32/Downadup.gen dan mempunyai berbagai nama alias seperti : W32/Conficker.worm.gen (Symantec), Mal/Conficker (Sophos) , Worm: Win32/Conficker (Microsoft). Selain itu juga dikenal dengan nama Conflicker dan Kido (contoh nama : Worm: W32/Downadup.gen!A, Net-Worm.Win32.Kido.ih ). Worm ini termasuk kategori Malware yang berjalan di windows 32 -bit, makanya disebut W32. Penyebaran worm Penyebaran worm ini melalui berbagai cara, seperti Network/jaringan yang di share atau password yang lemah, juga bisa menyebar dengan membuat file pemicu autorun.inf yang di copykan ke USB Flashdisk (drive) atau media removable lainnya. Maka sebaiknya fitur autorun windows ini dimatikan selain untuk mencegah penularan berbagai virus lainnya. Worm ini memanfaatkan celah keamanan Windows untuk menginfeksi korbannya, seperti artikel sebelumnya Ada apa dengan Security Update Windows MS08-067. Worm akan membuat folder dengan nama acak di dalam directory RECYCLER ( yang digunakan Recycle Bin untuk menyimpan file yang telah dihapus ) juga menduplikasi diri di berbagai tempat lainnya. Efek Worm Downadup Worm ini mampu mengubah/menambah fungsi internal windows (TCP) untuk memblok akses situs-situs keamanan (security/antivirus), dengan memfilter alamat yang mempunyai karakter/text tertentu. Dan untuk menghilangkan efek tersebut tidak mudah, karena boleh dibilang sudah tingkat low level programming. Worm ini didesign untuk melindungi diri dari deteksi antivirus dengan menggunakan teknik tertentu yang jarang digunakan, melindungi diri dari upaya untuk di hapus, mematikan windows update, restore point sebelum infeksi, mematikan trafik jaringan tertentu, mengoptimalkan fitur windows Vista untuk memudahkan penyebaran, mampu menginjeksi explorer.exe, svchost.exe dan services.exe dan lainnya. Situs-situs yang di blok cukup banyak, meliputi web yang menggunakan text seperti berikut ( bisa di blok atau selalu memunculkan pesan Time Out ketika membuka situsnya) : • virus • spyware • malware • rootkit • defender • microsoft • symantec • norton • mcafee • trendmicro • sophos • panda • etrust • f-secure • kaspersky • f-prot • nod32 • eset • grisoft • avast • avira • comodo • clamav • norman • pctools • rising • sunbelt • threatexpert • wilderssecurity • windowsupdate • avp • avg Selain itu juga situs-situs security lainnya. Bagi yang belum terkena, maka untuk menghindari bisa download update Untuk Windows XP Microsoft Security Update MS08-067 (Patch for fixing the security hole). Sedangkan jika komputer sudah terinfeksi, maka bisa download remover tool. Test apakah komputer terinfeksi Conficker / Kido Ada beberapa cara mudah yang bisa kita gunakan untuk lebih meyakinkan bahwa komputer kita aman dari Conficker. Karena jika sudah terinfeksi, maka Antivirus-pun kadang tidak akan bisa mendeteksi atau menangani, harus menggunakan tools khusus ( sudah banyak tersedia di internet). Berikut beberapa test yang bisa dilakukan. Buka alamat situs ini : Conficker Eye Chart , jika disana tampil 6 gambar secara utuh, maka kemungkinan besar komputer aman, tetapi jika ada sebagian gambar yang tidak tampil, bisa jadi komputer terinfeksi Conficker. Jika beberapa gambar tidak tampil, maka kemungkinan komputer terkena infeksi salah satu varian Conficker ( Conficker B/C atau mungkin juga virus lainnya). Jika semua gambar tidak tampil, pastikan setting/pengaturan web browser untuk menampilkan gambar sudah aktif. Cara diatas memerlukan akses internet, karena seperti diketahui Conficker akan menutup / memblok akses lebih dari 100 website keamanan/antivirus. Tetapi jika koneksi internet komputer melalui proxy server (misalnya satu kantor menggunakan satu koneksi saja) test tersebut tidak akan efektif. Jika terindikasi terinfeksi Conficker, bisa menggunakan tools/remover (pembersih) dari salah satu vendor antivirus berikut :
• Sophos
• Symantec/Norton
• F-Secure
• Kaspersky
• BitDefender Download Downadup Removal Tools
• http://www.bitdefender.com/site/Downloads/downloadFile/1584/FreeRemovalTool
• ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
• Versi terbaru dari f-secure di ftp://ftp.f-secure.com/anti-virus/tools/beta/
• Removal Tools dari Microsoft, Malicious Software Removal Tool Referensi lebih lanjut
• http://www.f-secure.com/v-descs/worm_w32_downadup_gen.shtml
• http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
• http://www.megaleecher.net/Fix_Worm_W32.Downadup_Win32.Conficker
http://news.bitdefender.com/NW923-en–BitDefender-Reports-Older-Known-Worm-Causing-New-Outbreaks.html
• http://www.bitdefender.com/VIRUS-1000462-en–Win32.Worm.Downadup.Gen.html
• Sophos
• Symantec/Norton
• F-Secure
• Kaspersky
• BitDefender Download Downadup Removal Tools
• http://www.bitdefender.com/site/Downloads/downloadFile/1584/FreeRemovalTool
• ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
• Versi terbaru dari f-secure di ftp://ftp.f-secure.com/anti-virus/tools/beta/
• Removal Tools dari Microsoft, Malicious Software Removal Tool Referensi lebih lanjut
• http://www.f-secure.com/v-descs/worm_w32_downadup_gen.shtml
• http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
• http://www.megaleecher.net/Fix_Worm_W32.Downadup_Win32.Conficker
http://news.bitdefender.com/NW923-en–BitDefender-Reports-Older-Known-Worm-Causing-New-Outbreaks.html
• http://www.bitdefender.com/VIRUS-1000462-en–Win32.Worm.Downadup.Gen.html