Membasmi Worm Conficker/ Downadup /Kido

HDR Eye

Image by ?Felix? via Flickr

Worm? Mungkin kata ini belum familiar bagi sebagian orang. Worm masih berkerabat dekat dengan virus komputer. Yang membedakan adalah worm hampir sebagian besar menyebar melalui jaringan (LAN), membuat jaringan lamban, & sering kali target utamanya adalah server. Conficker adalah salah satu worm terbaru yang telah menginfeksi >9 juta komputer di seluruh dunia (sumber).

Tulisan ini merupakan pengalaman pribadi menghadapi Conficker alias Win32/Conficker.A/B (CA, Microsoft), W32.Downadup (Symantec), W32/Downadup.A (F-Secure), Conficker.A (Panda), Net-Worm.Win32.Kido.bt (Kaspersky) di kantor yang bikin pusing tujuh keliling..

Teknik Infeksi

Worm ini mengeksploitasi celah keamanan Windows yang dikenal sebagai MS08-067. Secara teknis, worm ini menyebar secara primer (cara sekunder adalah melalu flash disk) melalui kelemahan buffer overflow pada Server Service di Windows. Worm ini akan membuat RPC (Remote Procedure Call) request spesial untuk menjalankan kode di komputer target. Microsoft telah mengeluarkan update untuk menutup celah ini, jadi pastikan Windows anda selalu diupdate.

Setelah terinfeksi, worm ini akan membuka jalur ke sebuah server yang akan menginstruksikan worm ini untuk melakukan tindakan selanjutnya, mengambil data-data pribadi anda, dab mengunduh & menginstall malware/trojan.

Tanda-tanda Terinfeksi

  • Muncul pesan Generic Host Process (GHP) error.
  • Beberapa servis Windows seperti Automatic Update, Backgorund Intelligent Transfer (BITS), Windows Defender tidak berjalan.
  • Anda tidak bisa mengujungi beberapa website antivirus (Symantec, AVG, dll). Namun anda masih mengunjungi website tersebut jika mengetahui IP addressnya (ketik IP address di browser).

Khusus untuk kantor/jaringan (terutama yang memakai Active Directory):

  • Sering muncul account locked out (jika aturan ini diaktifkan). Jika server sudah terinfeksi, account lockout policy otomatis di reset oleh worm.
  • Domain Controler akan lamban merespon request client. Jika anda memperhatikan Task Manager, maka proses CPU terlihat lebih tinggi dari biasanya. Hal ini dikarenakan worm ini mencoba membobol password admin ratusan/ribuan kali dalam sedetik (brute force attack). Aktifkan Audit Directory Object di server untuk mengetahui hal ini (untuk server 2003 lihat disini). Jadi pastikan Account Lockedout Policy diaktifkan jika tidak ingin server anda bobol.
  • Jaringan secara keseluruhan menjadi lamban.

conficker_final

Teknik Membersihkan

  1. Install patch untuk celah keamanan Windows (KB958644) di: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
  2. Unduh Microsoft Windows Malicious Software Removal Tool/MSRT (KB890830) dari http://www.microsoft.com/security/malwareremove/default.mspx dan jalankan untuk membersihkan worm ini.
  3. Disable autorun (KB953252), karena teknis infeksi sekunder worm ini melalui flash disk: http://support.microsoft.com/kb/953252 & import  key registry berikut dari halaman ini: http://www.us-cert.gov/cas/techalerts/TA09-020A.html
  4. Update antivirus anda, dan lakukan scan menyeluruh.

Khusus untuk kantor/jaringan (terutama yang memakai Active Directory):

  • Karena worm ini akan berusaha membobol password Administrator jaringan maka ganti password dengan yang lebih kuat (mengandung huruf besar/kecil, angka, tanda baca, & minimal 6 digit).
  • Jangan login ke komputer menggunakan account domain, khususnya account Administrator jaringan. Cabut komputer yang terinfeksi dari jaringan, lalu login ke komputer dengan account admin local (this computer), dan lakukan langkah-langkah di atas. Disarankan anda juga mengganti password admin local dengan yang lebih aman juga.
  • Khusus untuk server yang tidak ada admin local (Active Directory), langkah kedua (membersihkan worm) dapat dilakukan dengan booting server dengan CD anti virus. Saya menggunakan keluaran Avira (http://www.free-av.de/en/tools/12/avira_antivir_rescue_system.html). Cabut kabel jaringan dari server, boot & bersihkan dengan CD, restart server, patch Windows (jika belum) dan jalankan MSRT untuk amannya.
  • Jika anda menggunakan WSUS (Windows Server Update Services) pastikan semua KB (update) yang saya sebutkan di atas sudah di deploy ke seluruh komputer. Jika belum, anda harus sedikit mem “push” nya dengan mengatur deadline (misalkan satu minggu).

Referensi:

61 thoughts on “Membasmi Worm Conficker/ Downadup /Kido

  1. Bagaimana membersihkan worm ini, jika windows 2003 server yang berfungsi sebagai Active Directory sudah terkena (terinfeksi) worm conficker ini ?

    1. Mas Hatta, ada kok di tulisan saya di bagian Teknik Membersihkan bagian kantor/jaringan point #3.

      Semoga bisa membantu Mas. Kabari saja jika masih ada masalah.

    1. Mas Bhumi membersihkan Conficker dengan tool apa? Mungkin Confickernya belum betul2 bersih, sehingga masih ada service yang “didomplengi” oleh Conficker. Saya sarankan coba bersihkan kembali dengan MSRT seperti saran saya di atas.

  2. Semua step yang anda sarankan sudah saya jalankan, tapi conficker/downadup/kido masih menginfeksi computer di perusahaan kami. Bagaimana menurut anda?
    Pertanyaan lain, mengenai svchost.exe, apakah benar harus di delete dari registry atau tidak? Karena saya mendapatkan 2 saran yang berbeda mengenai ini.Kalau memang harus di delete, svchost yang mana yang harus didelete? dan dimana lokasinya?
    terima kasih atas jawabannya.

    1. Mas Azis sudah menjalankan step di atas di SEMUA pc kantor atau belum? Ingat bahwa conficker menyerang Windows berbasis NT, artinya prosedur diatas harus dijalankan di semua PC dengan OS Windows 2000, XP (semua varian), Vista (semua varian), & Windows Server (semua varian).

      Mengenai svchost, jika Mas Azis membersihkan menggunakan MSRT tidak perlu khawatir akan masalah ini. Jika anda ingin membersihkan secara manual (dan jauh lebih ribet) silahkan baca disini: http://support.microsoft.com/kb/962007

    1. Avira rescue CD atau yang diinstall? Kalau setelah dibersihkan tanda2 di atas sudah tidak muncul, kemungkinan besar sudah bersih. Tp tidak ada salahnya di cek sekali lagi dengan MSRT.

  3. maaf mas ya,
    masaah saya disini malah saya gak bisa pakai PATCH dari microsoft. karena OS saya tidak original.
    Jadi gimana donk mass.
    Tolong donk sarannya.

  4. Que tradução de Google mais horrível!
    O autor não se esforçou nem um pouquinho pra arrumar o texto.

    1. Dear Zek, sorry if the Google Translation to Portuguese is not very good (it’s a machine translation anyway). You’re welcome to ask any questions to me, but in English please.

  5. Salam Kenal Mas,

    Dikantor saya juga kena virus ini mas.. smua pc sudah client sudah normal kembali, cuma di pc server akhir2 ini setiap beberapa menit pc client kadang2 tidak bisa mengakses folder sharing maupun internet sharing ( suka drop ). gmana soal yang ini mas?
    tengkyu.

    1. Cek task manager server, jika load CPU masih tinggi, kemungkinan besar belum bersih. Aktifkan Account locked out policy (lihat artikel diatas untuk caranya), sehingga user yang tidak terinfeksi bisa tetap otentikasi ke active directory.

  6. Punten pak, saya mao nanya apabila di kantor tempat saya bekerja hanya ada 2 komputer server (win 2003 service pack 2) muncul generic host process, untuk komputer user2 yang lain belum di cek ulang. Seharusnya saya tidak dapat membrows bukan?? Tapi saya tetap bisa brows. mengunjungi websites antivirus seperti avg avira bitdef microsoft dsbnya. Yang tidak bisa malah file yang di sharing pada ke 2 server ini tidak bisa di akses oleh user. Tapi apa bila di ping tetap terdetect. Untuk koneksi internet ada 1 server dgn os win xp pro service pack 2.. untuk komputer server internet aman2 sajah pak. Kami disini memakai AVG 8.5 Free Edition dan selalu mengupdate database virus nya. AVG hanya mendetect Downadup di temporary internet files dan sudah di remove.. tetapi tetap terus bermunculan sehabis di remove. Yang jadi pertanyaannya apakah ada Microsoft security update untuk win server 2003 enterprise service pack 2? Saya cari tidak dapat2 pak.. dan apakah virus ini terdapat pada ke 2 server win 2003 ini? Ataw karena dari user? User disini semua dapat brows / download secara bebas. Sebelum dan Sesudahnya terima kasih banyak pak. Semoga dapat dibantu.
    Thx A Million

    1. Mungkin anda terkena conficker variant A. Download patch dari point no 1 (pilih server 2003), lalu bersihkan dengan MSRT (no 2).

      Untuk mengetahui user mana yang “menyerang” server, aktifkan Account Lockedout Policy.

  7. om… plis help me..
    semua prosedur diatas dah kami jalanin..
    malah kurang puas kami instal ulang semua 35 pc 1 server.
    masalahnya jika kita masukin FD yg terjangkit langsung deh kena menyeluruh lagi..
    gmn yah menghilangkan Config itu dari FD..?

    1. Pastikan semua anti virus sudah selalu terupdate dan disable auto run di semua PC. Kalau auto run tidak di disable, begitu flash disk di tancapkan, virus langsung menyerang.

      Kalau di tempat saya, saya menerapkan “strict” policy. Semua USB port saya disable dari BIOS (& BIOS di password), jadi tidak sembarang orang bisa pakai flash disk.

  8. salam..

    mau nanya nih mas.
    komputer sy muncul psan GHP error, trus smuanya jadi lambat. mulai dari perform komputer sampai dengan koneksi internet. padahal komputer saya baru sy install ulang. karena kmrin(sblm I/U) juga seperti ini. tp masih aja, kluar pesan GHp error. trus tampilan taskbar-nya berubah-ubah sendiri. bingung, terganggu banget karena kerjaan saya jd ikut lambat.

    sy udh coba pake antivirus kapersky, AVG 8,5, AVIRA, NORMAN Malware. ga bereaksi. da detect.

    kalo saya pake norton 2009 *trial*, lumayan ampuh, pesan GHP error ga muncul lg. tp internet masih lambat(ga pernah lambat krn sy pake up 1 MB/ down 1 MB untuk komputer saya aja) dan kadang YM-nya putus gt.

    mohon bantuannya ya mas.
    NB: sy pake windows bajakan
    *blushing*

    thanks

  9. mas, saya ada server windows 2003 kena conficker, udah saya clean pake kido killer, terus saya jalankan juga norman malware cleaner, setelah itu ada permintaan untuk restart, begitu restart, gak bisa masuk windows, saya coba repair, setelah copying bukannya melakukan instalasi tapi langsung restart juga, bisa kasih solusi mas , karena ada data di mysql yg belum terbackup 3 minggu nih.

    makasih ya

    1. Kemungkinan besar ada file system yang dihapus/di rename oleh NMC. Coba di repair sekali lagi & ketika tidak bisa boot perhatikan pesan kesalahan ketika tidak bisa masuk windows.

      Teorinya conficker tidak akan menghapus data anda. Untuk menyelamatkan data mysql, coba booting dengan live-cd linux (ubuntu misalnya) lalu browse direktori instalasi mysql (mis: c:\program files\mysql\data) dan copy semua isi folder ini ke flash disk/jaringan. Untuk restore data, copy kan kembali ke direktori yang sama (install mysql versi yg sama).

  10. udah saya repair sampai 7x neh, hasil sama, msg erornya system_license_violation , seperti ada hardware atau software yg baru di install gitu, bisa minta link untuk dl live cd linux nya mas ? atau ada opsi sebelum format neh. makasih ya

    1. Conficker tidak bisa menyerang linux (& semua *nix variant nya). Namun jika anda membuat file server linux & salah satu filenya sudah terinfeksi conficker, mungkin saja client (Windows) terinfeksi.

  11. trima kasih byk responnya mas.. 1 lagi pertanyaan ekor :)
    klo ada client yang udah terinfeksi conficker, apa bisa menginfeksi client yg lain? dalam hal ini saya pake server linux..

  12. server di kantor saya, win2003, juga terkena. kemarin sudah saya donlot kan update SP2 server 2003, tp tidak bisa, karena win2003 nya ilegal ( biasa.. bajakan..) sedangkan yg client sudah bisa di update ke SP3. bagaimana caranya agar bisa update ke SP2, win2003 saya…?? terima kasih sebelumnya

    1. Setahu saya pengecekan asli/tidak hanya pada proses awal download, tidak pada instalasi. Jadi download update SP2 dari PC dengan Windows original lalu copy file tsb ke server & install. Maaf kalau salah, karena Windows server/client di sini original.

  13. komputer temen saya kena virus ini dah saya scan pke pcmav, bitdefender n fsecure khusus virus ini. virus na dah hilang tp ko efeknya msih ada c, gmn cra menghilangkannya

    1. Kemungkinan besar terinfeksi lagi begitu selesai dibersihkan. Cabut kabel jaringan (jika ada lebih dari 1 komputer) & jangan tancapkan flash disk. Download rescue CD dari website menggunakan komputer lain, burn, lalu bersihkan komputer + install kembali patch dari Microsoft.

  14. wah berhasil, saya coba scan lagi pke norman malware cleaner and pke kido killer di tutup dengan install pacth dari microsoft kembali seperti semula……

  15. Kalau mengatasi konficker pada komputer yang menggunakan PC net gimana mas..Thanks All atas semua ilmunya mas..

    1. PC Net maksudnya apa ya? PC yang di share buat 2 orang/lebih? seharusnya tidak ada bedanya dengan cara membersihkan PC biasa.

      Sama2 mas litophank..

  16. win200 server (tidak ada service pack) saya baru terinfeksi dg conficker, sy coba install avira antivir tidak bisa..bgmana melumpuhkan process yg dibuat oleh virus tersebut sehingga saya bisa menginstall antivirus tsb..apakah dg MSRT (sy sdg download) file yg dibersihkan tidak akan rusak? thanks

    1. Perlu diperhatikan bahwa conficker bukan virus biasa, namun memanfaatkan exploit celah keamanan OS. Jadi selama celah keamanannya Anda tidak betulkan (dengan melakukan update/patch OS), conficker akan selalu merajalela. Saya sarankan mengupdate Win 2000 server Anda ke service pack terakhir lalu lakukan Windows Update.

      MSRT dapat membersihkan dan berdasarkan pengalaman tidak merusak file data yang dibersihkan (kalau file eksekusi seperti exe kan bisa di unduh ulang).

  17. mas Hatta, mo minta tolong dund, saya ada masalah dgn server 2003, wins small business server 2003R2. stlah d instol ok tapi stlah 2 mgg bisa mati sendiri/turn off sendiri..awal na saya fikir hardwer na yg masalah, trus mgkin sofwer na saya instol sampai 3 x. stlah tnya teman coba liat conficker nya mgkn yang ada masalah, ada d web blaszta.com tolong bantuan na penyebab yang sebenar na itu apa ya..trim’s…”mamoth”

    1. Ini nanya sama saya apa Mas Hatta (yg komen pertama)? :-)

      Oke, coba saya bantu ya.. Sebagai catatan, saya belum pernah pakai SBS sebelumnya.
      Untuk trouble shooting masalah Windows, hal pertama yang Anda harus lakukan adalah: membaca log window.

      Bagaimana caranya? Klik kanan icon My Computer, pilih Manage > Event Viewer > System. Di bagian kanan akan muncul log system. Perhatikan log dengan icon silang (merah) atau tanda seru (kuning). Dari sini Anda dapat mengambil keputusan apa yang harus dilakukan.

      Untuk tahu kena Conficker atau tidak, baca indikasinya di tulisan di atas.

  18. he.he.he…sory mas, saya fikir nama na mas Hatta.. oh ya stelah saya ikuti saran yang mas tulis d atas memang btl ada bbrapa info yang error dan tanda na x merah,setelah saya klik d st tampilan na help dan masuk k web windows, stlah d klik gak bisa d buka, ket. na seperti : error, tgl 8/12/2009, 13.29.35, source SBCore, categ none, event 10001, user N/A, comp server3.sampai d sn saya gak faham harus gm? dan langkah2 apa yang saya hrs terapkan. jd ket tadi adalah setiap jam/tgl tsb server mati ttl..mohon bantuan na mas trim’s…”soal bhs eng na pasif..heheh trim;s

  19. mas saya udh iktin langakah2 mas yg d atas samapai no 2…..
    pas no 2 saya klik 2 xle Microsoft Windows Malicious Software Removal Tool/MSRT (KB890830) dari http://www.microsoft.com/security/malwareremove/default.mspx dan jalankan untuk membersihkan worm ini.
    aplikasi ya menutup sndiri udh gt saya coba buka kambali ternyata tidak bisa…..
    kenapa ya???
    udh gt setelah saya instal petunjuk pertama avira saya unknow sm aviraguard
    knp ya??

    1. Ada 2 kemungkinan mengapa MSRT tidak berjalan: 1. Ada virus/spyware (selain conficker) yang memblok jalannya aplikasi ini, 2. Ada software/patch yang dibutuhkan namun belum terinstall (saya sarankan update windows ke service pack terakhir).

      Jika tidak bisa juga, coba download Avira Rescue CD (http://www.free-av.com/en/tools/12/avira_antivir_rescue_system.html), burn, lalu boot system dengan CD tersebut. Jangan tancapkan ke jaringan sampai benar2 yakin confickernya sudah hilang.

  20. mas.. mau nanya donk.. aku dulu pernah kena downadup ini… tapi sekarang da bersih… masalahnya beberapa services nya gak jalan.. terutama services windows updatenya..
    (windows 2003 R2 SP2 x64). coba update melalui browser, selalu keluar tampilan kosong alias blank.
    da di coba berbagai macam cara yang saya dapet di googling, tapi tetap gak bisa.. tau solusinya gak yaa?

    1. Kalau sudah tidak bisa di akalin, solusi kedua terakhir adalah repair install (solusi terakhirnya ya install ulang dari nol). Sebaiknya system di image dulu (true image, ghost, clonezilla, dll.) jadi jika tidak memuaskan masih bisa dikembalikan.

  21. MAS Q PAKE SERVER 2003 SP 1 UPDATE SP2 NA sekarang posisi kena confiker donadub dan apa yang namanya virus jaringan jd tiap clien yang mau konek ke server adminnya jd gues jd tidak bisa k server, dan ini sudah saya instol dan hasilnya setiap kali update antivirus kav 6.0.4 sudah di dahului virusnya, gimana caranya mas tolong d bantu.

  22. mas saya gk bsa ngunjungin web anti virus dan microsoft, kta na terkena virus worm downadup. jadi saya gk bisa download internet security. saya gk bsa jga download patch dan tool yang di atas.
    saya harus gimana?
    tolong mas bantu sya membasmi na?

  23. mas blasztaaaaa, jaringan dikantor saya terkena virus downad, dan dikantor saya memakai viirus trend micro, tp ttp belum bisa teratasi.
    bagaimana solusinya mas blazztaa???

  24. mas blaszta.. saya mau tanya, saya menggunakan windows XP SP3.
    Saya tidak bisa mendapatkan patch, tapi MSRT sudah selesai dilakukan. Namun masih tidak dapat membuka website antivirus dan support microsoft. mohon bantuan pencerahannya mas

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>