Oh..Conficker
14 April 2009
, Posted by semarangrepair at Selasa, April 14, 2009
Asingkah anda para pengguna PC atau notebook dengan virus conficker? tentu saja sebagian besar pengguna komputer tidak asing dengan virus ini, bagaimana itu terjadi? beberapa sumber menyebutkan 9 juta PC di seluruh dunia terinfeksi oleh virus ini, dengan tingkat penyebaran yang luar biasa. Apa sih keistimewaan virus ini?
Beragam sumber banyak memberitakan kehadiran virus ini hingga membuat virus ini terkenal. Virus ini tidak seperti virus yang lain berformat (EXE) tetapi virus conficker ini berformat Dynamic Link Library (DLL), dengan nama file dan extensinya yang berubah-ubah. Beberapa teknologi ikut serta dalam tubuh virus ini, mulai dari enkripsi, mengeksploitasi celah operasi sistem, proteksi file dan registry, API hooking, hingga otomatis updatenya yang luar biasa.
Penulis bukan ahli IT atau sejenisnya, mengapa penulis tertarik untuk mengangkat artikel ini di blog? sekali lagi karena keistimewaan dan terkenalnya virus ini, artikel ini ditulis dari beberapa sumber yang penulis sempat membaca di sejumlah media. Oke kita lanjut untuk segera mengetahui keistimewaan conficker ini.
Bagaimana virus ini menginfeksi komputer? karena formatnya DLL dan untuk aktif pertama ia membutuhkan bantuan rundll32.exe. File virus di load ke memory, virus ini akan mengontrol apakah ia dijalankan oleh rundll32.exe dan mencari dimana servis netsvcs berada. Normalnya servis netsvcs dijalankan oleh proses svchost.exe pada windows XP atau Vista. Karena proses svchost.exe pada sistem tidak hanya satu, ia harus mencari alamat asli dari svchost.exe yang bertugas menjalankan servis netsvcs. Setelah ditemukan sebuah alamat di memory akan dialokasikan, dan menaruh kodenya disana. Perintah LoadLibrary akan dipanggil untuk meload kode jahat virus ini ke memory. Kemudian perintah CreateRemoteThread dipanggil, sehingga servis netsvcs menciptakan thread khusus untuk menjalankan kode jahat virus ini.
Pada komputer yang terinfeksi, virus ini akan memilih direktori tempatnya tinggal, apakah di sistem32, program files\internet explorer, program files\movie maker, atau document and setting\application data. File induk yang di taruh diberi attribut hidden agar tidak terlihat oleh sistem, dengan sebelumnya mengeset folder option.
Virus ini cukup pintar dengan memproteksi fel maupun registry miliknya. Conficker menerapkan security attribute pada file maupun registry miliknya, dengan access control list, virus ini mengeset hanya Local System yang berhak mengakses file ataupun registry miliknya. User administrator pun tak dapat berkutik. Untuk dapat aktif secara otomatis, conficker akan membuat key baru di registry HKEY_LOCAL_MACHINE\SYSTEM_CurrentControlSet\Services\, dengan nama acak.
Pengguna flashdisk juga harus waspada, karena conficker memanfaatkan kelemahan fitur autorun untuk dapat menyebar. Saat komputer terinfeksi dan terhubung ke jaringan, virus ini akan memeriksa apakah ada sharing admin yang terbuka. Kalau ketemu ia akan mencari user pemilik sharing dan mencoba masuk komputer user dengan cara mem-bruteforce password user bersangkutan.
Untuk mempertahankan hidup, virus ini dapat menghapus system restore point agar user tidak dapat menghapus virus dengan mengembalikan ke restore point sebelum terinfeksi. Beberapa servis di matikan seperti automatic update, security center.
Untuk membersihkan secara tuntas dapat menggunakan PCMAV atau PCMAV Express for Conficker pastikan komputer tidak terhubung internet saat proses scan sampai selesai. Bagaimana cukup cerdik dan istimewa bukan dari sederet virus-virus yang pernah beredar.
Artikel ini sebagian besar sumber dari majalah pc media dan sumber lainnya. Oke selamat membaca..
