Conficker adalah program komputer yang bisa menggandakan diri. Program jahat ini bisa mengambilalih kompyter yang tidak memiliki security patch terkini Windows. Sejak mulai beredar Oktober 2008, piranti lunak jahat jenis worm Conficker telah menjangkiti jutaan komputer di seluruh dunia. Salah satunya adalah komputer di tempat kerja saya.
Begitu masuk dalam komputer, Conficker sulit dibersihkan karena berada jauh di dalam sistem piranti lunak komputer tersebut. Program jauh ini menyebar ke jaringan komputer dengan menebak username dan password. Para spesialis security komputer menganjurkan memperkuat password dengan menyertakan angka, tanda baca dan huruf besar. Virus komputer ini melapor kepada penciptanya untuk mendapatkan update dengan mengunjungi web domain. Malware seperti Downadup bisa dipicu untuk mencuri data, atau mengalihkan kendali komputer yang terjangkit ke hacker jahat yang kemudian mengubahnya menjadi barisan botnet atau komputer yang bisa dikendalikan dari jauh. Jaringan komputer yang telah terjangkit itu bisa digunakan untuk mengirim spam, tempat untuk menyimpan data curian atau bajakan dan melancarkan serangan terhadap mesin komputer lain. Meski Downadup tersebar luas, pencipta belum mengaktifkan payload program ini atau melancarkan serangan lain.
Program jahat ini telah memusingkan administrator jaringan yang harus melayani pengguna yang tidak bisa masuk ke account komputer mereka ketika worm itu berhasil menerka password. Para pakar komputer mengatakan, pengguna sebaiknya segera memperbaharui piranti lunak antivirus mereka dan menginstall pacth MS08-067 atau KB958644 dari Microsoft.
Salah satu tanda komputer kita terserang conficker adalah tidak dapat mengakses situs ini (http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx) dan sejenisnya yang bersifat menetralkan virus ini, keren ya.
Ciri komputer yang terserang conficker (saya dapat dari sini, dan karena saya dapat mengaksesnya, maka komputer yang saya gunakan sekarang aman) adalah sebagai berikut:
Jika mendadak komputer anda mendapatkan pesan Generic Host Process (GHP) Error dan setelah itu koneksi internet dari komputer tersebut mati, maka kemungkinan besar jaringan komputer anda sudah tercemar oleh Conficker. Penyebabnya bukanlah komputer yang menampilkan pesan GHP error tersebut, melainkan karena (minimal) salah satu komputer di jaringan anda sudah terinfeksi Conficker dan secara otomatis melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua komputer yang rentan atau belum di patch MS 06-037.
Jika ada komputer yang berhasil di infeksi, maka Conficker akan melakukan beberapa rutin canggih yang membuat geleng-geleng kepala antara lain :
1. Melumpuhkan System Restore.
Conficker akan melumpuhkan System Restore dengan cara mereset “Restore Point” guna mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point. System Restore adalah fasilitas “Mesin Waktu” yang tersedia di beberapa OS Windows seperti ME, XP dan Vista yang berfungsi sebagai backup system OS dan dapat membantu mengembalikan setting komputer pada keadaan normal jika suatu saat terjadi kesalahan instal program yang tidak diingini ataupun karena terinfeksi virus.
2. Membuat HTTP Server.
Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) bagi jaringan lokal. Jika ada komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch, maka ia akan mencoba menyerang dan jka berhasil maka komputer korbannya akan mendownload ke HTTP server yang dibuat tadi untuk mendownload file virus dan menjalankannya. Selain itu, dalam aksinya ini Conficker menyebabkan matinya Internet connection Sharing.
3. Melakukan patch pada komputer korbannya.
Setelah berhasil menginfeksi komputer korbannya, Conficker akan melakukan patching pada komputer korbannya, jangan berterimakasih dulu kepada virus ini. Tujuannya melakukan patch adalah untuk mencegah infeksi ulang yang malahan akan mengakibatkan komputer tidak stabil sehingga tidak bisa mencari korban baru.
- Download File untuk update dirinya.
Conficker meniru antivirus akan berusaha mendownload file (kemungkinan updatenya di masa depan) ke beberapa website yang telah disiapkan daftarnya (250 domain) dengan tujuan mempersulit vendor antivirus untuk memblok domain-domain update tersebut satu persatu. Domain-domain tersebut antara lain :
- pdmqxeumc.info
- fntkbzdcdpp.net
- clhosan.biz
- dynppafxww.biz
- rnsnpgtql.org
- ubuwka.biz
- nbykxprbx.biz
- lgjse.info
- sqyjtz.biz
- qrmbw.info
- jlopa.net
- pisaonnpht.info
- zdimkl.org
- jbaporuw.biz
- tzjxlmwzwr.com
- jlispc.org
- xxzynv.com
- obzueobl.org
- tsmaeeil.info
- mpqqqnp.com
- cxqlmwgp.com
- pdesl.com
- wfgpaosz.org
- bwssb.info
- cupgw.biz
- hdunbnus.org
- pijtber.org
- gcqnhcxkubp.com
- dpdszcxxw.net
- osbeaescr.biz
- yeszvf.com
- hhdecyyznvj.info
- rncviqzt.info
- yvwhkimeub.com
- zhmpqdetg.net
- ixdrqyfm.info
- ohnviuwnuf.biz
- hxbrrbnrdet.net
- zbuqkgqoeg.info
- mgroq.info
- tagumbpqa.com
- hfhlitaauh.com
- mawsezpa.com
- gbqxdo.com
- ihkifipkob.com
- lxlwjany.info
- rmzchhf.info
- ubtyckmg.com
- hohwolepnvb.net
- xmirfew.com
- espvtm.net
- wrmfc.com
- pkxsngzrc.com
- qfszswn.com
- oepsmq.info
- timpsb.com
- saewkwhy.info
- hdbvwlhmy.info
- atffhfyr.info
- ixukyfoyarg.com
- nbgsq.info
- yxgoqcg.biz
- hfpmgvkimks.net
- yezzqntd.org
- obopljobg.org
- lrfyqneanck.org
- xdofi.com
- gxxromkhtx.org
- fpabgx.info
- aihbjawqll.info
- yxljmzxmbm.com
- gxoli.com
- uswsaki.info
- rofuirvnkq.info
- ybgxlz.com
- ttbcb.info
- nguxos.net
- ybjmfmlzxf.org
- esotw.net
- edgvfinrbc.net
- xegmskqvmxs.info
- lxhru.biz
- dcpaiqzc.biz
- gxffs.net
- djlwuayzv.net
- sjymarcq.com
- kuylneworqs.info
- czkiptwai.info
- nxekr.com
- uxykdjpqp.org
- andndjmts.com
- rpvuyeiyo.biz
- ynsprbyapcg.biz
- mcngeewe.net
- uxwtykgty.info
- supwcqpn.org
- esmgvh.info
- buxbpcuhgks.biz
- mmrqzxju.org
- tfwiypsv.info
- ijiwdbfe.net
- vfpbzy.biz
- qpvxbhgdc.biz
- ywzpzbypmgq.net
- zfvepki.net
- qcdfklazpwb.com
- bqbgqkx.org
- mkpih.net
- zzuluunbcl.org
- glvnmc.net
- mcmyhkzlf.org
- vdovf.org
- kdgypwbe.biz
- fdkpw.info
- tdgoyhpua.com
- gyvdjzkd.info
- oplqgkc.com
- uolctymvtl.biz
- vxfuyk.com
- mxjoextn.com
- cpoqvn.org
- inanwchr.org
- iwetmh.net
- kmpzc.org
- xkdvxketsn.net
- sanpqayp.com
- adnherho.com
- ryjincwdq.com
- hatveqxgn.info
- zthmwctg.biz
- bpbokixgrr.com
- ecclfke.info
- saywd.net
- dzoibj.info
- qcdkcghpyhj.net
- gquvqirf.org
- xewkvyi.com
- mlpuconaddf.net
- sbywqb.com
- ppdtaqaa.net
- qxynx.biz
- sfgvicncwcs.net
- muvlf.net
- uxbxjt.biz
- zuiwain.info
- tuesiglpy.net
- bfhfa.org
- zcpzbmii.info
- jebzcbsaljz.biz
- ugtfcacq.org
- ilmenn.org
- rxnunynbalh.com
- snmlvr.com
- lidrjmqi.org
- exrudww.com
- dsfflhy.com
- cubbrbh.biz
- uwhfgofog.biz
- jjsajvu.com
- lqjrdrh.org
- spvdkjdp.net
- hojmuh.com
- pwrkfyh.org
- zmvpqfym.com
- zlxkgdkj.com
- owqwsmcc.biz
- gtgyzcq.net
- waxet.info
- kuyinxdwg.net
- kaiaw.info
- tshttkma.info
- wydpf.org
- rwiqvdes.biz
- sbekp.com
- fcwak.net
- lpqpev.info
- sqrffrncfm.biz
- hzfdvzal.org
- hzxqfyuy.org
- dwbxwdjvg.com
- maiow.biz
- xjvppmge.net
- lnbslx.org
- munrulnyoxr.com
- slnzxx.biz
- germtbzda.com
- npxmlclpzop.net
- neacdkow.com
- jnuiamwb.biz
- uflir.info
- ahzvceeg.biz
- byqibg.net
- arrqczqj.com
- zcatwgmi.biz
- nelkzm.net
- fbtbsshxtqc.com
- nxdcbqyism.info
- xfclsh.net
- qazvsxhgloa.info
- usimkdlizxu.org
- hbdaaqpgj.biz
- orvehkxvpo.biz
- agiwjyx.biz
- nelxfbw.biz
- jwdqzdqsj.net
- gdxsk.biz
- qpcbthly.com
- yefcelcnl.biz
- namvkxkdxmm.info
- aftzwhcjk.info
- hlflxstgcs.net
- yrhvlci.com
- qxnwhtob.com
- yopmwpnmzvg.net
- utazsru.net
- yiaswysd.net
- hyrvvlt.org
- zpodrkmqg.net
- zgvylvrxsj.com
- yvvnm.net
- ciyqydagnbi.net
- sijrllxplcf.org
- kuffkactpj.biz
- nwlovpsjku.biz
- btuzcgytmg.biz
- dczokqhd.net
- toxckrmg.org
- afshu.info
- iybkspozz.biz
- xfrxclyxj.com
- yfaooxcwa.com
- dvlzq.info
- nkzwdb.org
- aconklcn.net
- hkefcack.info
- ufefitds.org
- ltkdit.biz
- fsbeui.biz
- skuwzlpa.info
- bkidqwqd.com
- ivscm.net
- epefw.biz
- ycvazaatojy.biz
- klefutkoadt.biz
- jospdiqg.info
- bjamrxy.info
- xxwurg.org
- gqsaoheic.biz
- zkfnpv.com
- bkzdbmwqf.org
sebaik-baik pengobatan adalah dengan mencegahnya. Maka, sebelum komputer anda terserang virus ini, jika komputer anda menampilkan pesan adanya virus Conficker secara berulang-ulang meskipun sudah dibersihkan oleh antivirus anda, pertama-tama yakinkan bahwa virus tersebut tidak aktif di komputer anda. Caranya adalah dengan memutuskan hubungan komputer ke jaringan. Jika setelah hubungan ke jaringan diputuskan infeksi virus terhenti, maka artinya sumber virus bukan dari komputer anda melainkan dari “salah satu” komputer di jaringan. Karena itu anda harus mencari sumber penyebar conficker di jaringan sebelum mengkoneksikan komputer anda. Logikanya, semua komputer yang belum di patch RPC Dcom 3 dan terhubung ke jaringan dimana ada satu komputer saja yang terinfeksi virus conficker akan terinfeksi conficker dalam waktu singkat, kecuali komputer-komputer tersebut di lindungi oleh Firewall yang memproteksi port :
- UDP Port 135, 137, 138 dan 445.
- TCP Port 135, 139, 445 dan 593
Cara terbaik adalah melakukan pekerjaan rumah anda patch SEMUA komputer yang OSnya rentan terhadap celah keamanan RPC Dcom 3. Untuk mendapatkan detail patchnya silahkan download ke http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.
Kalo saya pribadi ketika terserang virus ini cara ternyaman adalah dengan segera menginstall ulang, dikarenakan komputer yang dipakai oleh banyak orang, maka penerapan sistem proteksi sangat mengandalkan antivirus yang terinstall di komputer. Salah satu cara terbaik adalah dengan kerajinan kita untuk men-scan tiap removable disk atau file-file dari internet sebelum hinggap di dalam harddisk kita.
Filed under: Teknologi , komputer, pengetahuan, virus
