Tanggal 1 April kemarin virus conficker aka downadup aka kido terbaru resmi dirilis. Jenis baru ini menurut perusahaan anti virus Rusia Kaspersky berbeda dengan varian sebelumnya. Conficker mendownload update untuk dirinya sendiri dari beberapa situs web yang berubah-ubah. Ia juga menggunakan jaringan lokal sebagai jalur tambahan untuk memperoleh update. Dan jangan lupa, conficker mempunyai mekanisme untuk mematikan fitur keamanan.

Virus Conficker yang juga dikenal dengan nama Kido atau Downadup rasanya sudah pasti akrab di telinga administrator komputer di tahun 2009 ini. Salah satu jenis virus berkategori worm yang melakukan penyebaran yang sangat dahsyat dan memiliki dampak yang sangat serius bagi komputer di jaringan.

Karena itu, vendor sekuriti berlomba-lomba mengeluarkan tools dan “mengklaim” diri sebagai yang paling baik dan paling ampuh untuk membasmi Conficker. Yang menjadi pertanyaan bagi pengguna komputer yang menjadi korban Conficker tentunya simple, apakah semua tools tersebut sesuai janjinya?

Apakah seperti Carrie Underwood yang sudah cantik dan suaranya merdu, seperti William Hung yang agak culun, suara pas-pasan dan juga tidak bisa nari (tetapi tetap ngetop) atau seperti Susan Boyle yang sudah berumur dan tampangnya pas-pasan …. tetapi mampu membuat Simon Cowell ternganga. Kali ini Vaksincom akan mengadakan test atas beberapa tools yang tersedia di internet dan semuanya bisa didapatkan secara Gratis.

Dan apa kesimpulan akhir dari hasil pengetesan ini, apakah benar semua tools bisa membasmi Conficker sampai ke akar-akarnya atau masih memerlukan beberapa tambahan pekerjaan manual, silahkan lihat pada tabel perbandingan yang Vaksincom berikan dan kesimpulan pada akhir artikel ini.

Conficker dan gejalanya

Sebelumnya, mari kita lihat kembali beberapa gejala komputer terinfeksi Conficker :

Tidak bisa akses domain name web security & tidak bisa update antivirus

Ini salah satu ciri khas dari conficker. Coba cek dengan akses pada beberapa web security semisal www.microsoft.com, www.kaspersky.com dan www.norman.com. Bandingkan dengan akses melalui ip dari web tsb, http://65.55.12.249 (microsoft), http://195.27.181.34 (kaspersky) dan http://87.238.48.130 (norman). Jika browser anda tidak bisa mengkases situs tersebut di atas dengan mengetikkan alamat situsnya TETAPI bisa diakses jika mengetikkan alamat Ipnya, maka anda perlu “hakul” yakin bahwa komptuernya terinfeksi Conficker (99 %). Hal ini dilakukan oleh Conficker dengan cara melakukan patch pada DNS Query, sehingga jika mengakses DNS tertentu akan diblok oleh conficker.

Mematikan dan men-disabled beberapa Service Windows

Untuk memudahkan infeksi secara efektif, Conficker mematikan beberapa services seperti Automatic Updates (wuauserv), Background Intelligent Transfer Service (BITS), Error Reporting Service (ERSvc), Help and Support (helpsvc), Security Center (wscsvc).

Membuat service baru dan berjalan dengan mendompleng svchost

Hal ini bertujuan agar mudah aktif dan menginfeksi komputer lain serta mendownload file virus.

Membuat rule firewall baru

Hal ini digunakan agar conficker dapat keluar (menginfeksi komputer lain) dan masuk (update virus baru) dengan mudah. Conficker menggunakan port antara 1024 s/d 10000. jika port yang digunakan virus sama dengan program aplikasi kita, maka aplikasi tersebut akan terganggu.

Membuat scheduled task

Hal ini digunakan agar tetap running pada komputer yang terinfeksi. Agar optimal, Conficker membuat beberapa scheduled task agar running setiap saat.

Disable Show Hidden File & System Restore

Hal ini digunakan agar korban tidak mudah melakukan pembersihan pada virus yang sudah masuk dan berhasil menginfeksi komputer maupun drive flash / external.

Disable System Restore

Berfungsi agar komputer korbannya tidak dapat mengembalikan komputer ke setting awal sebelum di infeksi Conficker. Seperti kita ketahui, System Restore merupakan fitur pada Windows XP / vista yang berfungsi seperti mesin waktu yang dapat menolong kita jika terjadi salah instal / terinfeksi virus dimana hanya dengan beberapa klik kita dapat mengembalikan setting komputer pada hari / waktu sebelum komputer terinfeksi virus / salah instal.

Seperti kita ketahui sebelumnya, conficker menyebar dengan memanfaatkan celah MS08-067 pada MsWindows. Pengguna yang belum mempatchnya (menambal) celah tersebut sangat rentan terkena virus ini. Update yang dilakukan Kido pada bulan Maret kemarin dan mulai aktifnya sistem baru pada 1 April 2009 pun dinilai makin menyulitkan. Apa yang dilakukan Kido, dengan menerima perintah melalui 50.000 domain acak per hari, membuat aksi sang penjahat sulit diprediksi. Padahal, jaringan komputer korban Kido alias Downadup ini bisa digunakan untuk melakukan serangan Distributed Denial of Service (DDoS). Selain itu, botnet tersebut bisa digunakan untuk melakukan aksi pencurian data dan menyebarkan spam.

Here are The Tools, Conficker Killer…

Dari beberapa tools yang ada, Vaksincom mereview beberapa tools yang familiar dan sering digunakan. Tools tsb terdapat 2 kategori, yaitu tools secara umum yang dikeluarkan oleh vendor seperti Kaspersky AVP Removal Tools, Microsoft Malicious Software Removal Tools, Stinger besutan Mc Afee dan Norman Malware Cleaner.

Catatan khusus untuk Norman Malware Cleaner, selain berfungsi untuk membersihkan Conficker juga sekaligus berfungsi untuk membersihkan dan membasmi virus lain dan Norman Malware Cleaner tidak hanya membasmi file virus saja tetapi juga melakukan pembenahan komputer lebih jauh seperti repair host dan repair registry.

Selain itu, Vaksincom membandingkan tool khusus untuk penanganan virus conficker saja yang tidak dapat digunakan untuk membersihkan virus lain.

Berikut beberapa tools yang tesedia sebagai berikut :

1. Kaspersky AVP Removal Tool

Merupakan tools andalan dari Kaspersky Lab yang dibuat sebagai tools pengganti antivirus. Anda dapat mendownload secara gratis. Tetapi sayangnya, tools ini harus diinstall terlebih dahulu sebelum menggunakannya, sehingga jika komputer sudah terinfeksi virus akan sangat sulit jika virus memblok instalasi tools atau aplikasi sekuriti. Untuk conficker / kido, AVP sudah menyertakan database-nya. Desain interface sangat mirip dengan interface antivirus-nya. Sayang tidak bisa untuk repair registry, repair service dan repair host yang diubah oleh virus.

DOWNLOAD DISINI

2.Norman Malware Cleaner

Dibandingkan versi sebelumnya, tools gratis buatan Norman http://www.norman.com ini mengalami kemajuan yang pesat. Tools ini dapat dijadikan alternatif jika komputer terinfeksi virus, karena mampu mengembalikan registry, service dan host yang dibuat oleh virus/spyware. Untuk conficker, tools ini dapat dijadikan alternatif pembersihan. Sayangnya jika tools ini memiliki masa expire (± 14 hari), jadi anda diharuskan untuk mendownload versi yang terbaru dari website norman Adapun aksi yang dapat dilakukan Norman Malware Cleaner adalah:

* Menghentikan proses virus yang sedang berjalan.

* Membersihkan file virus dari media (Flash Disk, Harddisk etc), termasuk komponen ActiveX dan BHO (Browser Helper Object) yang banyak di eksploitasi oleh Spyware.

* Menemukan dan membasmi rootkit.

* Mengembalikan nilai registri yang dirubah oleh virus (tidak tersedia pada removal tools lain)

* Membersihkan perubahan pada hosts file (tidak tersedia pada removal tools lain).

* Membenarkan rule Windows Firewall yang dibuat oleh virus.

Download DISINI =>http://download.norman.no/public/Norman_Malware_Cleaner.exe atau http://norman.com/Virus/Virus_removal_tools/24789/ atau http://norman.com/support/support_tools/58732/en-us

3. McAfee AVERT Stinger

Bagi anda pengguna McAfee, tentunya familiar dengan nama ini. Stinger buatan AVERT yang sempat menjadi salah satu pelopor tools pembersih virus andalan para pengguna komputer dimasa awal kemunculannya.

Sayangnya, perkembangan tools ini agak lambat sehingga mendapatkan saingan banyak tools-tools baru. Untuk conficker, stinger sudah menyertakan databasenya. Masih memiliki desain yang simple seperti dulu tetapi jika digunakan untuk membasmi Conficker, terkadang agak sulit jika virus sudah menginjeksi file system windows dan gagal dibersihkan.

DOWNLOAD DISINI

4. Microsoft Malicious Software Removal Tool

Tools milik Microsoft yang dapat dijadikan sebagai alternatif scan virus saja. Tools ini dapat didownload secara otomatis setiap bulan dengan fitur automatic updates windows yang ada. Lokasi file ini berada pada C:\WINDOWS\system32, dengan nama MRT.exe. Tools ini memiliki fitur scan yang dapat disesuaikan dengan yang anda inginkan.

DOWNLOAD DISINi

Jika menemukan virus yang aktif di memory, MRT akan meminta user untuk restart. Walaupun dapat mendeteksi conficker, tetapi tools ini digunakan hanya untuk scanning virus saja, tanpa merepair registry yang sudah dibuat oleh virus.

Sedangkan beberapa tools yang khusus dibuat untuk membasmi conficker adalah sebagai berikut :

1. KidoKiller (Kaspersky)

Tools khusus buatan Kaspersky Lab untuk virus Conficker. Tools ini sudah masuk revisi 3 yaitu mendeteksi virus conficker versi C/III. Fiturnya pun ditambah terus agar mampu mendeteksi dan mendelete scheduled task, serta mampu mngembalikan system restore. Kelebihan tools ini yaitu mampu mengembalikan fungsi DNS Query tanpa harus restart komputer. Tools ini berjalan pada modus command prompt. Berbeda dengan symantec, tools ini hanya scanning pada path tertentu saja yang dicurigai terinfeksi conficker, sehingga waktu scanning menjadi lebih cepat.

DOWNLOAD DISINI

2. Fix Downad (Trend Micro)

Tools keluaran Trend Micro untuk mengatasi conficker ini sayangnya tidak menyertakan database / patternnya saat di download, sehingga kita harus mendownload terlebih dahulu pattern / database-nya. Kelebihannya database / pattern tsb dapat scanning dari virus/worm lain, sehingga dapat membersihkan virus lain.

Jika tools lain hanya terdiri dari satu file, tools ini memilki beberapa file baik exe maupun file lain yang ternyata terdiri dari pengecekan database / pattern, pengecekan schedule task, pengecekan patch windows, pengecekan virus, pengecekan registry dan pengecekan services. Walau terdiri dari banyak file, kita cukup menjalankan saja 1 file bat (batch file), yang kemudian akan mengeksekusi file lain.

DOWNLOAD DISINI

3. W32.Downadup Removal (Symantec)

Sesuai dengan namanya, tools ini dibuat oleh perusahaan antivirus Symantec untuk mengatasi virus conficker/downadup/kido.

Sekilas tools ini sangat simple, hanya ada menu start, cancel dan about. Tools ini tidak memiliki opsi scanning drive yang diinginkan. Untuk scanning, tools ini mampu mematikan proses virus, mendelete file virus dan memperbaiki registry yang sudah diubah oleh virus.

Sayangnya tools ini tidak menghapus schedule task yang dibuat oleh virus, tidak menghapus rule firewall yang dibuat oleh virus dan tidak mengembalikan system restore kembali normal. Tetapi seperti guru SD saya, tools ini memberikan “nasehat” kepada user agar segera melakukan patching windows dengan MS08-067.

DOWNLOAD DISINI

4. EConfickerRemover (ESET/NOD32)

Tidak mau ketinggalan, ESET juga mengeluarkan tools khusus conficker bagi penggunanya. Tools ini sangat sederhana, sebenarnya kalau sederhana dan ampuh itu yang dicari. Tetapi yang terjadi adalah sangking sederhanya sehingga anda harus menjalankan melalui command prompt. Tools ini selain dapat mematikan proses virus dan mendeletenya, tetapi tidak ada hal khusus lain yang dilakukan.

DOWNLOAD DISINI => http://download.eset.com/special/EConfickerRemover.exe

5 PCMAV Express for Conficker

Wah ternyata PCMAV juga mengejar kepupolerannya dengan mendatangkan PCMAV khusus untuk Confliker. Kini PC Media, sebagai market-leader majalah komputer di Indonesia, menghadirkan PCMAV Express for Conficker yang saat ini merupakan *satu-satunya* antivirus khusus Conficker unggulan di dunia yang mampu memberikan solusi tuntas dalam mengatasi virus tersebut. Dan hal ini membuktikan bahwa PCMAV selalu menjadi antivirus kebanggaan Indonesia, sekalipun yang dihadapi adalah virus asing nan-canggih.

DOWNLOAD DISINI => http://www.sendspace.com/file/p6nx1q

MEGA Test Conficker Tools

Adapun hasil perbandingan 8 tools tersebut adalah sebagai berikut:

Dari hasil pengetesan yang dilakukan oleh lab Vaksincom, baik tools khusus maupun tools umum dapat dilihat bahwa Norman Malware Cleaner membersihkan lebih lengkap dibandingkan tools umum lain karena melakukan “Repair Host”, “Repair Registry”, “Repair Service Windows” dan “Delete Service Virus” yang tidak dilakukan oleh Tools umum lainnya.

Tetapi Norman Malware Cleaner tidak melakukan “Delete Schedule Task” yang dibuat oleh virus dan hal ini dilakukan oleh Kaspersky KidoKiller dan TrendMicro Fix Downad.

TrendMicro Fix downad dan Kaspersky Kido Killer tidak melakukan Repair Host dan Repair Registry. Ada satu keunggulan Kaspersky Kido Killer dimana ia bisa melakukan Fix DNS Query tanpa mengharuskan Windows Restart dimana tools lain setelah fix DNS Query mengharuskan Windows restart.

Jadi dapat disimpulkan bahwa Norman Malware Cleaner menjadi pemenang untuk tools umum dan Kaspersky Kido Killer menjadi pemenang di kategori tools khusus.

Berikut cara-cara membersihkan virus conficker:

Pembersihan di seluruh komputer dan server

1. Instal patch dari Microsoft yang menutup celah MS08-067, MS08-068, MS09-001.

2. Pastikan password akun administrator lokal tidak dapat diterka dengan mudah—password minimal harus terdiri dari 6 karakter yang merupakan perpaduan antara huruf kapital dan non-kapital, angka, serta karakter spesial seperti tanda baca.

3. Matikan fitur yang menjalankan file dalam USB flash disk secara otomatis.

Peranti KKiller.exe dapat dijalankan secara lokal pada komputer yang sudah terinfeksi atau dijalankan secara remote dengan bantukan Kaspersky Administration Kit.

Untuk Menghapus Secara Lokal

1. Unduh KKiller_v3.4.3.zip dan ekstrak paket itu ke sebuah folder dalam komputer yang sudah terinfeksi.

2. Jalankan file KKiller.exe. Ketika scan sudah selesai, jendela command prompt bsia muncul pada layar monitor. Untuk me-minimize jendela itu, tekan sembarang ombol. Agar jendela itu ditutup secara otomatis, disarankan agar KKiller.exe dijalankan dengan parameter “-y”.

3. Tunggu sampai proses scan selesai.Bila Agnitum Outpost Firewall terinstal pada komputer yang menjalankan KKiller.exe, restart setelah penggunaan KKiller.exe.

4. Lakukan full scan pada komputer dengan Kaspersky Anti-Virus.

Untuk Menghapus dengan Administration Kit

1. Unduh KKiller_v3.4.3.zip dan ekstrak isinya ke dalam sebuah folder.

2. Dalam konsol Administration Kit, buatlah paket instalasi untuk KKiller.exe. Dalam pengaturan paket instalasi, pilih “Make installation package for speficied executable file”.Pada kotak “Executable file command line (optional)” tulisan parameter “-y” agar jendela konsol tertutup secara otomatis setelah proses selesai.

3. Buat task untuk instalasi jarak jauh yang dapat dilakukan secara global atau hanya grup tertentu. Jalankan task itu. KKiller.exe dapat dijalankan pada semua komputer dalam jaringan.

4. Ketika KKiller.exe sudah selesai bekerja, scan setiap komputer menggunakan Kaspersky Anti-Virus.Kalau Agnitum Outpost Firewall terinstal pada komputer, restart PC setelah KKiller.exe digunakan. Untuk mendapat informasi tambahan, jalankan KKiller.exe dengan parameter tambahan “-help”.

Setelah googling dan banyak masukan dari bos dan teman2, berikut cara removal conficker:

1. Download removal Conficker.A di http://download.eset.com/special/EConfickerRemover.exe

2. Download removal Conficker.B di http://www.microsoft.com/security/malwareremove/default.mspx

3. Download Remove Restriction Tools di http://en.sergiwa.com/modules/mydownloads/visit.php?cid=2&lid=1

4. Jalankan removal Conficker.A dari command prompt, dan bersihkan conficker jika ditemukan

5. Jalankan removal Conficker.B dan bersihkan

6. Apabila task manager dan regedit didisable oleh virus, aktifkan dengan RRT.exe (Remove Restriction Tools)

7. Segera download NOD32 dan gunakan update yang terbaru. Bisa menggunakan update server http://gxrg.org/eset_upd

8. Scan komputer anda

Berikut adalah 6 langkah membasmi virus Conficker :

1. Putuskan jaringan/internet komputer. Matikan akses WiFi kalau ada dan cabut kabel ethernet dari jaringan LAN.

2. Matikan system restore (Windows XP/Vista).

Caranya pilih Start>>All Program>>Accesories>>System Tools>>System Restore kemudian pada menu setting pilih off untuk seluruh partisi.

3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Link ada pembahasan artikel di atas

4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.

5. Hapus Schedule Task yang dibuat oleh virus. (C:-WINDOWS-Tasks)

6. Hapus string registry yang dibuat oleh virus.

Download pach microsoft

MS08-067

MS08-068

MS09-001

windows-kb890830-v3.6.exe. => http://www.microsoft.com/security/malwareremove/default.mspx

======================UPDATE TERBARU===================

instal XPsp3 disini

Kemudin hot Fix dengan pach dibawah secara berurutan:

- Patch 1.
- Patch 2.
- Patch 3.
- Patch 4.
- Patch 5.
- Patch 6.
- Patch 7.
- Patch 8.
- Patch 9.
- Patch 10.

Selesai dech dijamin G ada Confliker lagi…