Penyebaran virus Conficker atau yang juga dikenal dengan nama W32/Conficker, W32/Downupad atau W32/Kido saat ini sudah mencapai tingkat yang mengkhawatirkan. Menurut catatan Vaksincom, dalam waktu 2 minggu, di seluruh dunia ada 9 juta kasus Conficker dan saat ini di Indonesia kasusnya membengkak dari hanya ribuan menjadi puluhan ribu kasus komputer yang terinfeksi Conficker sampai dengan pertengahan Januari 2009. Jangankan komputer yang berada dalam jaringan, komputer standalone yang menggunakan koneksi internet dari provider tertentupun terancam oleh ulah Conficker, karena Conficker memiliki kemampuan untuk menyerang komputer lain dalam jaringan provider yang sama. Vaksincom mendapatkan banyak laporan bahwa setiap kali pengguna komputer menghubungkan dirinya dengan internet, otomatis muncul pesan Generic Host Process Error yang merupakan gejala Conficker yang paling umum.
Selain itu, Conficker juga diketahui menyebabkan login username Active Directory di kunci karena ia melakukan aksi Bruteforce dan dalam banyak kasus malahan menyebabkan terganggunya koneksi internet komputer / jaringan korbannya.
Conficker yang dulu muncul pada kasus 'Generic Host Process' error kali ini muncul dengan varian dengan target serangan Windows XP, Vista, semua versi Windows Server. Bahkan, kata Adi, Windows 7 versi Beta pun masih rentan atas serangan virus ini.
Norman Security Suite mendeteksi varian baru virus tersebut sebagai W32/Conficker.DV, sedangkan antivirus lain mendeteksi sebagai Win32.Kido.CG (Kaspersky), W32.Downadup.B (Symantec), W32.Downadup.AL (F-Secure), W32.Conficker.B (Microsoft), W32.Conficker.A (CA, Sophos dan McAfee), Worm_Downad.AD (Trend Micro) dan W32/Conficker.C (Panda).
Ciri File Virus
virus Conficker.DV memiliki file yang dikompres melalui UPX. File virus berukuran 162 kb. File virus yang masuk bertipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype 'dll' (dynamic link library).
Selanjutnya file virus yang berusaha masuk akan berada pada lokasi temporary internet. Jika file virus yang masuk berhasil dijalankan, virus akan mengkopi dirinya pada salah satu lokasi folder. File 'dll' inilah yang aktif dan mendompleng file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali.
"Virus juga akan mengcopy file '[%nama acak%].tmp' pada folder '%WINDOWS%\system32' [contohnya : 01.tmp atau 06.tmp]. Setelah menggunakan file tsb, kemudian virus mendelete file tsb.
Nah, jika sudah terinfeksi W32/Conficker.DV, virus ini akan menimbulkan gejala/efek sebagai berikut:
* Jika varian sebelumnya mematikan service 'Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)'. Maka kali ini virus berusaha untuk mematikan dan mendisable beberapa service, yaitu wscsvc: Security Center, wuauserv: Automatic Updates, BITS : Background Intellegent Transfer Service, ERSvc: Error Reporting Service dan yang lainnya.
* Virus mampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut: Ccert, sans, bit9, windowsupdate, wilderssecurity dan masih banyak lagi. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke situs keamanan.
* Virus berusaha melakukan perubahan pada sistem Windows Vista/Server 2008 dengan menggunakan perintah: 'netsh interface tcp set global autotuning=disabled'. Dengan perintah ini, maka windows auto tuning akan didisable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba akses jaringan.
* Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet.
* Virus akan memeriksa koneksi internet dan mendownload file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus memeriksa pada beberapa situs berikut: baidu, google, yahoo, msn, hingga ask.com
* Virus akan membuat rule firewall pada gateway jaringan lokal yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
* Virus akan membuat service dengan karakteristik tertentu agar dapat berjalan otomatis saat start-up windows serta membuat HTTP Server pada port yang acak
* Virus membuat scheduled task untuk menjalankan file virus yang sudah dikopi dengan perintah: 'rundll32.exe .[%ekstensi acak%], [%acak]'
Untuk membersihkan, ikuti langkah langkah di link ini :
http://vaksin.com/2009/0109/conficker2/conficker2.htm