Bakawan

9 May

Bila salah satu gambar tidak`terlihat di browser berarti komputer kamu sudah kena malware, bro. Karena tiap gambar ini disimpan di server vendor anti virus ternama. Hanya malware saja yg melakukan blok akses dari website nemesis mereka, yaitu para pembuat anti virus.

Detektor Virus via Tes Gambar

1. dari Fsercure.com
2. dari Secureworks.com
3. dari Trendsmicro.com
4. dari Confickerworkinggroup.org
5. dari Free.avg.com
6. Image dari Eset.com
7. Image dari Symantec.com
8. dari Sophos.com
9. dari Free-av.com
10. dari Avira.com

Cara baca image

• Bila gambar nomor 1, 2, 3 tidak tampil maka kemungkinan kena conficter varian C atau yg lebih baru
• Bila gambar nomor 1 dan 3, tidak muncul maka kemungkinan kena conficter varian A/B
• Bila semua image ngak muncul di browser berarti ada masalah di browser (atau koneksi internet kamu najis banget hahahah).

Ps : image nomor 5 dan seterusnya bukan untuk pengecekan conficter tapi virus secara general. Semua gambar diatas tidak satu pun yg disimpan di flicker ataupun di server bakawan. Melainkan langsung di hotlink ke situs bersangkutan. Hotlink dilakukan tanpa ijin dan tanpa tau image apa yg dilink karena diambil dari cache google. Saat menulis posting ini saya belum install anti virus conficter demi studi kasus di komputer sendiri.

Mengecek Fitur Image Load Browser

Pengguna Firefox bisa mengecek fitur image aktif atau tidak via Tools >> Option >> Tab Content. Seharusnya “Load Images Automatically” sudah diceklist. Sementara pengguna Internet Explorer bisa menemukannya di Tools >> Internet Options >> Tab Advanced. Scroll sampai ke bagian Multimedia lalu ceklist “Show Pictures”. (Kata padanan buat ceklist apa yah ? kasih tanda curug?).

Detektor Tambahan

Selain detektor gambar di atas, ada juga detektor virus conficter lain di universitas bonn (mengatakan kalau status komputer sy sudah kena conficter variant B). Detektor ini juga sama sama terinspirasi ide joe stewart. Ide awal berasal dari eye chart di confickerworkinggroup.org

Ciri Virus Conficter

Apa itu Conficter ? Conficter itu sebuah worm, yg juga dikenal sebagai Kido atau Downadup. Worm ini mulai aktif sejak november 2008 dan bekerja memanfaatkan lubang keamanan windows.

1. Salah satu fitur menarik dari virus ini adalah menginstal anti virus palsu. Software palsu ini bernama Spyware Protect 2009 yg selalu menampilkan pesan pop up warning menyebalkan yg mengatakan kalau komputer kita kena virus. Software ini dihargai $49.95 per lisensi. Pop up ini terus menerus muncul mengganggu aktifitas dan membuat siapa pun pasti kesal.
   

   Bila korban yang kesal itu bodoh maka dia bakal membeli lisensi ini melalui kartu kredit via internet. Otomatis, nomor pin kartu kredit dia sudah berada di tangan pembuat virus dan siap untuk dikuras habis habisan. Dan bila korban itu putus asa, dia bakal instal ulang windows lagi kemudian menulis posting di blog bakawan hahahah.

2. Melakukan update varian virus secara berkala via koneksi peer to peer antara komputer yg sudah terinfeksi. Biasanya penambahan fitus baru yg tujuannya mengelabui scanning anti virus. Proses update ini tanda virus juga di-maintenance seperti layaknya antivirus.
3. Kadang pada tanggal tertentu, virus mendownload langsung ke domain dgn server bullet proff yg dihost di cina. Some asshole web hosting di cina mengijinkan spammer, carder, dan cracker menyewa server mereka sekalipun jelas jelas dipakai untuk mencederai privasi orang.
   

   Bahkan salah satu web hosting ini, Tecom, mempromosikan layanan brengsek mereka dgn tajuk :

   “Umumnya, provider web hosting itu akan segera suspend account dan shutdown web site bila mengetahui kamu mengirim e-mail spam dan redirect orang ke situs kamu yg ada di server mereka. Web hosting Bullet-Proof akan membantu kamu redirect pengunjung dan kamu juga tidak perlu khawatir (disuspend) karena komplain spam.”

   Biasanya bila sebuah domain dipakai ngespam atau pun menyebar malware, maka kita bisa melaporkan domain tsb kepada perusahaan web hosting yg mendaftarkan domain tsb. Nantinya mereka akan suspend account pemilik domain spam beserta situs jahanam mereka dari internet.

   Tapi hal tersebut tidak berlaku bagi domain bulletproof karena perusahaan hosting mereka tidak akan mengabulkan permintaan kita. Cuma permintaan negara RRC (Republik rakyat cina) aja yg bisa memaksa karena perusahaan mereka berada di bawah yuridiksi hukum RRC. Domain dan server bulletproof ini juga menjadi alasan mengapa banyak blogger yg ngeblok ip address dari cina.

4. Menurut para ahli, kode virus ini sepenuhnya dienskrip sehingga susah dianalisa.
5. Dilengkapi rootkit yg mampu menguasai komputer korban sehingga pembuat rootkit bisa memiliki akses admin via koneksi internet. Rootkit akan membuat backdoor yg memudahkan penyadapan informasi korban.
   

   Rootkit umumnya didesain agar operating system juga tidak mampu menonaktifkan rootkit ini. Dalam konteks windows, bahkan Task Manager pun tidak bisa menghentikan proses rootkit. Makanya saat kita melakukannya via task manager, windows sering ngehang dan shut down otomatis seolah virus sudah jadi komponen vital windows.

6. Virus berusaha koneksi ke CNN.com, AOL.com, eBay.com, MSN.com dan MySpace sebagai test apakah koneksi internet tersedia. Kemudian menghapus jejak koneksi barusan agar kita tidak akan menemukan jejak tsb di folder history windows.
7. Virus ini tidak menginfeksi linux dan Macintosh. Apakah arti pertanda kedua operating sistem ini lebih hebat ? hahaha bocah mana yg mau percaya ? virus aja ngak mau pake linux dan Macintosh apalagi manusia. *ditimpuk pake dus cd ubuntu segede gaban gambreng*
8. Cara Kerja Virus : Penyebaran dimulai melalui lubang keamanan windows dan juga melalui flashdisk dan jaringan LAN yg memiliki password yg lemah. Nantinya, virus akan membuat anti virus impoten dan memblok akses koneksi ke web site perusahaan anti virus.
9. Policy windows untuk Lckout Account direset paksa.
10. Service Windows seperti automatic updates, Background intelligent transfer Service (BITS), Windows defender, dan windows error reporting disabled.
11. Account user terkunci.
12. Domain controller bekerja pelan.
13. Adanya penambahan file di folder etc.

Cek domain perusahaan anti virus

Bila kamu memiliki koneksi internet, maka kamu bisa browsing ke situs dibawah ini untuk memastikan lebih lanjut apakah komputer kamu kena virus. Daftar situs ini adalah daftar official site perusahaan antivirus.

1. Situs AVG di http://free.avg.com/
2. Situs Eset (Proteksi spyware dan malware) di http://www.eset.com/
3. Situs Symantec (Perusahaan Norton Anti Virus) di http://www.symantec.com/
4. Blog daftar virus kasperky di http://www.viruslist.com/en/weblog
5. Perusahaan Anti Virus Sophos di http://www.sophos.com/
6. Situs Avira (Antivir) di http://www.free-av.com/ dan http://www.avira.com/
7. Blog trend micro di http://countermeasures.trendmicro.eu/

Bila kamu sudah menghapus cache browser sebelumnya, dan ternyata browser kamu berhasil me-load situs antivirus tsb maka artinya komputer kamu sudah bebas virus Conficter dan variant virus ini. Salah satu modus operandi Virus conficter ini ialah dengan memblok akses ke domain perusahaan tsb. Metode ini juga bisa dipakai untuk varian malware lain yg juga berusaha memblok akses browsing kita ke situs di atas.

Kamu bisa mengecek cache situs via google cache untuk melihat bagaimana isi konten situs yg diblok virus.

Gambar disamping adalah Contoh cache situs AVG. Bila kita bisa membaca cache, artinya googlebot bisa mengakses situs yg virus blok dan situs masih eksis di internet sampai tanggal pembuatan cache tsb.

Cek Windows Service

Cek status build in service windows seperti

1. Automatic Updates
   via control panels atau dgn shortcut “C:\WINDOWS\system32\wuaucpl.cpl”
2. Background Intelligent Transfer Service (BITS)
   via start >> run >> services.msc lalu lihat daftar service yg berjalan di balik layar. Periksa apakah BITS ini aktif atau tidak.
3. Error Reporting Services (Idem sama cara bits)

Bila status salah satu service non aktif tanpa sepengetahuan kita, atau policy kunci account telah berubah tanpa ijin maka ada kemungkinan komputer kita sudah bermasalah.

Download Removal Tools

Saat kita mencari tool pembasmi virus ini, Ternyata menggunakan Search engine bukan ide terbaik karena penggunaan black hat seo dalam penyebaran virus. Menurut vendor panda, googling dgn keyword conficter ternyata menghasilkan link ke situs malware. Perusahaan anti virus lebih menyarankan kita mendownload langsung ke offical website vendor. Tapi bagaimana cara download anti virus bila akses situs aja di blok ?

Nah, disinilah ironi saran sy berikut ini. Kita tidak akan memblok tool removal dari situs resmi melainkan dari situs download software biasa seperti cnet.com. Sebenarnya mendownload dari cnet.com ini agak berbahaya. Kita tidak tau apakah software mereka itu bebas virus. Situasi ini seperti pepatah buah simalakama, yah ? Tapi berhubung kalau kita ngak download bukan cuma bapak dan ibu yg mati tapi kita juga ikut mati. Yah udahlah, download aja hahahha (kecuali kamu mau install ulang windows lalu download dari situs resmi).

Berikut ini daftar download baik offical maupun via cnet

1. McAfee’s Stinger Tool: McAfee-AVERT-W32-Conficker-Stinger dan (tinyurl.com/apex-worm1 untuk jaga jaga bila kena blok) di download.cnet.com
2. Symantec’s Removal Tool di cnet (ini tinyurl yg akan redirect ke halaman yg sama, apex-worm2)
3. Sophos Removal Tool di cnet. (apex-worm3)

Disclaimer : resiko tanggung sendiri. Setiap tool removal ini spesifik pada worm conficter aja. Bila ternyata kamu memang sudah terinfeksi (karena gambar ngak kelihatan) maka ada kemungkinan infeksi variant baru atau memang bukan worm confickter.

Scanning Virus

Akhir sy cuma mendownload Stinger Tool Mcafee. Dan mulai mensave file dgn nama aneh seperti xxsdsersdfks.exe. Hahaah tujuannya agar saat virus scan file, dia tidak menemukan nama dgn embel2 confickter pada nama file. Sy ngak tau cara ini berguna atau tidak. Tp setidaknya tool remover ini bisa scan sistem komputer saya.

Daftar File yg kena

1. Svchost.exe >> w32/conficker!mem torjan. Status tidak dapat diperbaiki :(.
2. 01.tmp, 02.tmp, 03.tmp, 04.tmp >> w32/conficker!sys trojan
3. nszukcaq.dll >> w32/conficker.worm

Setelah restart komputer, maka saat melakukan deteksi gambar kembali setiap gambar bisa tampil di browser. :D

Pasca Scanning Virus

Disable autorun

Salah satu varian worm ini efektif menyebar melalui autorun USB. Makanya langkah pencegahan yg penting adalah menyumbat akses via fitur autoron windows. Untuk mendisable autorun sepenuhnya :

1. Buka notepad.exe
2. tulis barisan kode registry ini :
   

   REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\Autorun.inf]@=”@SYS:DoesNotExist”

3. Simpan ke file ekstensi reg (contohnya lalala_regeditnoautorun.reg)
4. Double klik anti autorun ini.
5. Periksa autorun apakah masih berfungsi dengan memasukkan CD ke cdroom.

Download tool remover tambahan

1. Panda vaksin USB : Tool blog penyebaran virus yg memanfaatkan media USB drives (flashdisk)
2. Microsoft’s Malicious Software Removal Tool: malwareremove. Bila kita sudah terinfeksi malware, maka pasti situs ini sudah diblok. Tool ini bisa juga menghapus worm Blaster, Sasser, and Mydoom.

Trivia (serba serbi info)

Hang the Bitch!

Microsoft menawarkan hadiah $250,000 bagi siapa saja yg mampu memberi informasi siapa pembuat virus conficter ini, baik hidup maupun mati. Pada tahun 2003, perusahaan ini meluncurkan program 5 juta dollar yg ditujukan untuk menangkap pelaku. Sebelumnya, hadiah yg sama ditawarkan bagi penangkapan worm MSBlast, virus Sobig, virus Mydoom, dan worm Sasser.

Daftar Korban Virus

Ciri Ciri Korban Virus

1. Sudah pasti semua korban virus ini memakai Microsoft windows operating system. Memang Microsoft sudah menyediakan patch. Tapi fitur automatic updates sudah diblok virus dan microsoft sendiri tidak memberi ijin akses download bagi komputer tanpa lisensi resmi windows. Apalagi sudah menjadi thumbrule untuk menonaktifkan secara sengaja fitur automatic updates karena fitur ini mengijinkan situs microsoft mengecek apakah OS windows yg kita pakai itu windows original atau bajakan. kita kan ngak mau windows kita dikasih tanda bajakan ama microsoft via proses update hehehehe.
2. Mayoritas komputer korban berasal dari asia dimana tinggi tingkat pembajakan windows.
3. Versi windows bisa vista maupun XP.

Spekulasi Tujuan Virus

Ada Spekulasi menarik mengenai tujuan pembuat conficter. Apakah worm ini bertujuan iseng ? atau lebih memiliki tujuan bisnis dikarenakan virus menginstal anti virus palsu yg tidak melakukan apapun selain menambah lebih banyak virus ? Spekulasi ini melebar sampai adanya kemungkinan worm dan jaringan komputer yg terinfeksi olehnya akan disewakan. Seperti amazon.com yg menyediakan jaringan cloud komputer bagi klien di seluruh dunia, para pembuat conficter mungkin akan menyewakan jaringan komputer untuk tujuan jahat seperti spamming.

REFERENSI

Diclaimer : Dalam posting ini, conficter kadang disebut worm, lalu virus dan sesekali cuma dipanggil malware. Kode mereka canggih dan terminologi tradisional sudah tidak bisa memberi nama lagi. Btw, sy suka disclaimer. Mereka menyembunyikan kebodohan saya sama instilah komputer hahaha

Related Post :

Tulisan (yg mungkin) Mirip