PCMAV 2.0b Update Build3

Untuk mendapatkan file update PCMAV 2.0a build4 secara manual, bisa men-download file-nya melalui beberapa alamat ini:

SendSpace.com,
ZippyShare.com (mirror), atau
Badongo.com (mirror).

File hasil download tersebut (update.vdb) di masukkan ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, cukup dengan menimpanya saja. Dan pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 2.0b Update Build3:
Astuty
Astuty.htm
Autoit.DL
Autoit.DM
Autoit.DN
Autoit.DO
Autoit.DP
Autoit.DQ
FourTwoOne.vbs.D
FourTwoOne.vbs.D.inf
FullHouse.B
FullHouse.C
FullHouse.jpg
GhostyNet.A.html
JeyJey
Kinza.vbs
Kinza.vbs.inf
LegendOfAang.vbs
LegendOfAang.vbs.inf
RezaTera
RezaTera.bat
Rongkang
Rongkang.inf
Stargate.C
Stargate.C.bat
Stargate.C.html
Vanpraja.B
Vanpraja.jpg.A
Vanpraja.jpg.B
Zul

Sumber:virusindonesia

8 Langkah Membersihkan 'Nadia Saphira'

1. Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan
2. Matikan 'System Restore' selama proses pembersihan virus (untuk Windows XP / Vista).
3. Matikan proses virus yang aktif di memory. Gunakan tools pengganti task manager, seperti CProcess (dapat anda download di situs Nirsoft)
4. Lakukan kill process, pada beberapa file virus yang aktif yaitu :
   • C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe
   • C:\WINDOWS\system32\misconfig.exe
   • C:\WINDOWS\taskmgr.exe
5. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
   
   [Version]
   Signature="$Chicago$" Provider=Vaksincom Oyee [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKCR, batfile\shell\open\command,,,"""%1"" %*" HKCR, comfile\shell\open\command,,,"""%1"" %*" HKCR, exefile\shell\open\command,,,"""%1"" %*" HKCR, piffile\shell\open\command,,,"""%1"" %*" HKCR, lnkfile\shell\open\command,,,"""%1"" %*" HKCR, scrfile\shell\open\command,,,"""%1"" %*" HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,""%1"" HKLM, SOFTWARE\Classes\exefile,,,"Application" HKLM, SOFTWARE\Classes\exefile,infotip,0, "prop:FileDescription;Company;FileVersion;Create;Size" HKLM, SOFTWARE\Classes\exefile,TileInfo,0, "prop:FileDescription;Company;FileVersion" HKCU, Software\Microsoft\Command Processor, AutoRun,0, HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0, HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001,1 HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0x00010001,2 [del] HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, nofind HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, nofind HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sessmgr.exe HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.exe
   
   
   • Gunakan notepad, kemudian simpan dengan nama “*repair.inf*” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
   • Jalankan repair.inf dengan klik kanan, kemudian pilih install.
   • Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
6. Hapus file virus yang mempunyai ciri-ciri sebagai berikut :
   • Icon application/folder
   • Ext. exe
   • Ukuran 69 kb & 17 kb
   • Catatan:
   • Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
   • Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file **.exe* & **.ini* yang mempunyai ukuran 69 KB & 17 KB.
   • Hapus file virus yang biasanya mempunyai date modified yang sama.
7. Tampilkan kembali folder yang disembunyikan pada drive atau flashdisk. Gunakan perintah 'ATTRIB' pada command prompt.
   • Klik 'Start'
   • Klik 'Run'
   • Ketik 'CMD', kemudian tekan tombol Enter
   • Pindahkan posisi kursor ke drive Flash Disk
   • Kemudian ketik perintah *ATTRIB –s –h –r /s /d* kemudian tekan tombol enter
8. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

Sumber:detik.net

PCMAV 2.0b

Info lengkap dapat di baca di sini
PCMAV 2.0b dapat di download di

Ziddu | Uploaded.to | 4Shared | Windows Live Skydrive | Rapidshare

Sumber:virusindonesia

Buka Ms. Office 2007 di Ms. Office 2003

Kehadiran sebuah program baru memang sangat membantu dan mempermudah pekerjaan. Akan tetapi, bagi segelintir orang akan sedikit membawa masalah. Sebut saja MS Office2007, program ini melakukan lompatan jauh dari pendahulu2nya. Tampilan menu program yang sama skali berbeda… terutama dengan tipe (ekstensi) file dari doc menjadi docx (ada tambahan x)

Setelah cari sana sini, akhirnya ketemu juga formula jitu untuk mengatasi masalah tersebut. Dan itu diberikan oleh si empunya produk sendiri yaitu Microsoft. Sebuah File dengan nama FormatConverters.exe dapat diinstal di komputer yang tidak mempunyai/terinstall MS OFfice 2007 tetapi ingin membuka dokumen yang dibuat dengan format/tipe Office 2007.

Dengan Tool ini Anda tidak perlu lagi menginstall MS Office 2007 untuk membuka dan mengedit file docx, xlsx atau pptx menjadi doc, xls atau ppt.

Tool tersebut dapat diunduh/download secara gratis di situs resmi Microsoft atau di SINI

Perintah Umum Linux

Menilik Direktori - ls
Perintah ls (LiSt) melihat daftar berkas dalam suatu direktori.
Membuat Direktori: - mkdir (nama direktori)
Perintah mkdir (MaKeDIRectory) untuk membuat direktori.
Mengubah Direktori: - cd (/direktori/lokasi)
Perintah cd perintah (ChangeDirectory) akan mengubah dari direktori Anda saat ini ke direktori yang Anda tentukan.
Menyalin Berkas/Direktori: - cp (nama berkas atau direktori) (ke direktori atau nama berkas)
Perintah cp (CoPy) akan menyalin setiap berkas yang Anda tentukan. Perintah cp -r akan menyalin setiap direktori yang Anda tentukan.
Menghapus Berkas/Direktori: - rm (nama berkas atau direktori)
Perintah rm perintah (ReMove) akan menghapus setiap berkas yang Anda tentukan. Perintah rm -rf akan menghapus setiap direktori yang Anda tentukan.
Ganti Name Berkas/Direktori - mv (nama berkas atau direktori)
Perintah mv (MoVe) akan mengganti nama/memindahkan setiap berkas atau direktori yang Anda tentukan.
Mencari Berkas/Direktori: - mv (nama berkas atau direktori)

GNU/Linux adalah sistem operasi jaringan yang dibangun dengan pola pikir orang-orang yang ahli dan senang mengoprek jaringan
1. W
W? ya. Hanya w. cukup ketikkan w dan Anda bisa melihat siapa saja yang sedang login pada mesin Anda sekarang, dan melihat proses apa yang mereka jalankan. Berikut cuplikan dari man w:

w - Show who is logged on and what they are doing.

Contoh:
1.a Saat ini hanya ada satu orang saja yang login di mesin saya. Hasil dari perintah w adalah:

deb-909:/home/rhino# w
21:45:07 up 4 min, 1 user, load average: 0.07, 0.27, 0.14
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
rhino :0 - 21:41 ?xdm? 15.17s 0.05s /bin/sh /usr/bin/startkde
deb-909:/home/rhino#

1.b Apabila ada user lain yang login dengan tty yang lain, hasilnya menjadi seperti ini:

deb-909:/home/rhino# w
21:47:42 up 7 min, 2 users, load average: 0.07, 0.17, 0.12
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
rhino :0 - 21:41 ?xdm? 17.68s 0.05s /bin/sh /usr/bin/startkde
root tty2 - 21:47 6.00s 0.01s 0.00s -bash
deb-909:/home/rhino#

1.c Apabila ada user lain yang login dengan ssh, maka hasilnya akan seperti ini:
deb-909:/etc/init.d# w
21:53:23 up 12 min, 3 users, load average: 0.06, 0.11, 0.09
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
rhino :0 - 21:41 ?xdm? 26.09s 0.05s /bin/sh /usr/bin/startkde
root tty2 - 21:47 5:47m 0.01s 0.00s -bash
root pts/3 shadow.local 21:52 1:14m 0.00s 0.00s -bash
deb-909:/etc/init.d#

Terlihat bahwa ada tambahan baris paling bawah dimana kolom FROM tidak kosong, tetapi menunjukkan bahwa login tersebut berasal dari host lain. Dalam contoh di atas, host lain tersebut adalah shadow.local.
Nah, dari sini kita bisa melihat siapa saja yang login, dan mengecek apakah login-nya sah.

2. WATCH
watch - execute a program periodically, showing output fullscreen
Ini utility luar biasa. dengan ini, Anda bisa memonitor apa yang terjadi pada sistem Anda. Karena utility watch ini akan mengeksekusi perintah secara periodik. Bentuk umumnya adalah sebagai berikut:
#watch -n interval command
Parameter penting untuk command watch ini adalah:

-n : mengatur interval update

Contoh:

2.a Anda ingin memonitor siapa saja yang login setiap 1 detik. Maka command-nya adalah:

#watch -n1 w

Dan di layar Anda akan muncul output dari command w yang di-update setiap 1 detik.

Untuk keluar dari command ini. Tekan tombol maut Ctrl+C.

3. NETSTAT

netstat - Print network connections, routing tables, interface statistics, masquerade connections, and multicast memberships

Dengan netstat, Anda bisa melihat siapa saja yang konek dengan komputer Anda, melalui port berapa mereka konek, dan proses apa yang menyediakan koneksinya. Anda juga bisa melihat port mana saja yang terbuka di komputer Anda.

Parameter penting untuk command netstat ini adalah:

-r : menampilkan routing table. Mirip dengan command route tetapi informasinya lebih singkat dan lebih cepat keluar.
-i : Mengatur interface mana yang ingin ditampilkan informasinya. Sangat berguna jika Anda memiliki lebih dari 1 network interface.
-s : Menampilkan statistik koneksi dari awal Anda login sampai sekarang.
-v : Verbose mode. Menampilkan lebih banyak informasi.
-n : Numeric. Tidak meresolve hostname. Host akan ditampilkan sebagai IP-Address. Jauh lebih menarik daripada tanpa -n
-a : Menampilkan semua port yang terbuka. Jika tidak diberi parameter ini, maka netstat hanya akan menampilkan port yang ter-konek saja.
-p : Menampilkan proses apa yang melayani koneksi.

Parameter tipe soket:

-t : Menampilkan soket TCP
-u : Menampilkan soket UDP
-w : Menampilkan soket raw
-x : Menampilkan soket UNIX
–ipx: Menampilkan soket ipx

Contoh:

3.a Anda ingin melihat semua port yang terbuka dan proses apa yang membuka port tersebut:

#netstat -ap

Keluarannya cukup panjang.

3.b Sama dengan diatas, namun Anda ingin membatasi soket tcp saja:

#netstat -tap

Hasilnya lebih rapi.

3.c Sama seperti diatas lagi, namun kali ini tampilkan IP-Address dan bukan nama host:

#netstat -tanp

Ini yang paling enak dilihat

3.d Anda ingin menampilkan port yang terbuka dan IP-Address yang konek dengan komputer Anda dan diupdate setiap 1 detik:

#watch -n1 netstat -tanp

Asik. Bisa monitoring.

3.e Sama dengan diatas, tetapi Anda ingin membatasi memonitor port 80 (service www) saja.

# watch -n1 “netstat -tanp | grep :80″

Perhatikan tanda petiknya.

3.f Anda ingin memonitor statistic jaringan Anda, diupdate 1 detik, dan hanya menampilkan protokol TCP.

# watch -n1 “netstat -ts”

Dah kayak bandwith monitoring

4. KILL

Jika Anda mencurigai suatu proses menyediakan koneksi untuk orang yang tidak sah, Anda bisa memutusnya dengan meng-kill proses nya. PID (nomor proses) bisa dilihat dengan menggunakan perintah netstat diatas.

Contoh:

Anda menemui netstat melaporkan adanya koneksi semacam ini:

tcp6 0 0 ::ffff:192.168.1.3:22 ::ffff:192.168.1.:35205 ESTABLISHED3132/3

Dan Anda mencurigai koneksi ini sebagai penyusup. Bunuh saja prosesnya:

# kill 3132

Yak, mati.

5. TELNET

telnet - user interface to the TELNET protocol

Tool yang dari dulu sampai sekarang belum kehilangan ke-digdayaannya. Jaman dahulu, banyak terminal (komputer) yang hanya menyediakan akses telnet ke sebuah server, sehingga cukup dengan meletakkan satu aplikasi di server, semua client dapat mengaksesnya.

Contoh:

5.aDengan telnet kita bisa login ke komputer lain di dalam jaringan dan berkomputer seakan-akan kita ada di jaringan tersebut. Dengan syarat, komputer lain itu menyediakan layanan telnet di port 23.

deb-909:/home/rhino# telnet 192.168.1.1

Hasilnya adalah:

deb-909:/home/rhino# telnet 192.168.1.1
Trying 192.168.1.1…
Connected to 192.168.1.1.
Escape character is ‘^]’.
Debian GNU/Linux 4.0
shadow.shadow.org login: shadow
Password:
Last login: Mon Aug 6 22:46:21 2007 from ws003.ltsp on pts/5
Linux shadow.shadow.org 2.6.21.5 #1 SMP Sat Jul 14 12:32:04 PDT 2007 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.
shadow@shadow:~$

Dan Anda sudah terlempar ke shell komputer lain itu. Gunakan dengan bijak.

5.b Telnet untuk banner-grabbing. Banner-grabbing adalah memeriksa versi server yang berjalan di sebuah host, dengan demikian kita bisa mengetahui apakah versi server tersebut memiliki celah yang bisa di-exploit atau tidak.

Mengecek port 80:

#telnet 192.168.1.1 80

kemudian ketikkan:

get / http / 1.0

Dan tekan enter 2 kali.

Hasilnya:

deb-909:/home/rhino# telnet 192.168.1.1 80
Trying 192.168.1.1…
Connected to 192.168.1.1.
Escape character is ‘^]’.
get / http / 1.0

HTTP/1.1 302 Found
Date: Tue, 07 Aug 2007 05:53:50 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch1
Location: http://shadow.shadow.org/apache2-default/
Content-Length: 325
Connection: close
Content-Type: text/html; charset=iso-8859-1

Hi…ketauan ya. Server nya pake Debian, Apache versi 2.2.3 PHP versi 5.2.0. Kucari exploit nya ah!

6. CHMOD

chmod - change file access permissions

Chmod adalah tool sangat esensial. Dengan tool ini, Anda dapat mengatur hak akses setiap file di dalam GNU/Linux.

Namun saya rasa lebih enak untuk menjelaskan tentang chmod dan hak akses file di Linux dalam sebuah tulisan terpisah.

7. IPTABLES

iptables - administration tool for IPv4 packet filtering and NAT

Linux Packet Filtering atau Firewall. Sangat kompleks dan njlimet. Tapi, setelah menguasai iptables, Anda bisa paket yang datang dan pergi sesuka hati.

Sumber:helmstandart

Uji Kehandalan 5 Tools Pemantau Conficker

Jakarta - Seiring dengan maraknya Swine Flu (Flu Babi) yang menyerang manusia dan menurut WHO sudah pada taraf kegentingan 4, bandara di seluruh dunia langsung bersiaga memantau para penumpang dari Meksiko dan Amerika Serikat. Kalau di dunia komputer yang menjadi sumber penyebaran virus adalah file yang terinfeksi virus, maka di dunia nyata, yang terinfeksi virus dan menjadi sarana penyebaran virus adalah manusia.

Karena itu bandara menerapkan scanning atas penumpang yang dicurigai mengidap flu dengan menggunakan scanner suhu tubuh karena pengidap flu (apapun jenisnya) pasti mengalami peningkatan suhu tubuh karena badannya bereaksi atas adanya virus asing yang masuk. Sebenarnya prinsip di dunia komputer juga sama, kalau bandara menggunakan scanner suhu tubuh maka “bandara” di internet adalah router-router dan aplikasi yang digunakan bukan scanner tubuh manusia melainkan Firewall.

Tetapi ada satu keunggulan yang dimiliki oleh dunia IT dibandingkan dunia manusia (jika dibandingkan) saat ini, dimana pada dunia manusia tidak mungkin (sangat sulit dan mahal) untuk dapat memantau seluruh manusia di satu kota dan menentukan siapa saja yang terinfeksi flu. Kalau di dunia IT kita bisa menggunakan scanner khusus untuk mendeteksi komputer mana saja yang terinfeksi virus sehingga dapat dilakukan antisipasi yang cepat dan efektif untuk menghadapi masalah virus.

Setelah melakukan test terhadap beberapa tools untuk membasmi Conficker, langkah berikutnya yang paling krusial jika anda administrator jaringan adalah mengidentifikasi komputer mana saja yang terinfeksi virus dan berusaha menyebarkan virus. Karena itu, Vaksincom melakukan pengetesan terhadap tools untuk mendeteksi komputer di jaringan yang terinfeksi Conficker dan berusaha melakukan penyebaran terhadap komputer dalam jaringan.

Jika kita hanya melakukan pembersihan terhadap satu komputer saja tentu tidak masalah, tetapi bagaimana jika dalam jaringan anda terinfeksi komputer tetapi anda tidak tahu komputer mana yang terinfeksi, karena terkadang komputer yang menginfeksi jaringan kita tidak terduga-duga, misalnya komputer notebook yang sering dibawa pulang oleh pimpinan atau bagian yang sering dinas luar. Selain itu, jika kita memvonis komputer tertentu terinfeksi virus, tentunya kita harus memiliki bukti.

Conficker dan Gejalanya di Dalam Jaringan

Jika pada mega test sebelumnya dijelaskan gejala conficker pada komputer tersebut, maka kali ini kita harus mengatahui apa dampak conficker pada jaringan, sebagai berikut:

Berusaha mendownload dan mencoba akses pada 250 domain (conficker B) atau 50.000 domain (conficker C) yang random. Berikut beberapa domain yang random tersebut :

• aaidhe.net
• barhkuuu.cn
• cfhlglxofyz.biz
• dtosuhc.org
• elivvks.info
• fsrljjeemkr.cc
• gbmkghqcqy.ch
• hudphigb.net
• iqrzamxo.ws
• jjhajbfcdmk.com

Berusaha akses ke beberapa domain yang umum untuk mengecek waktu saat ini. Beberapa domain tersebut yaitu :

• baidu.com
• google.com
• yahoo.com
• msn.com
• ask.com
• w3.org
• aol.com
• cnn.com
• ebay.com
• msn.com
• myspace.com
• facebook.com
• rapidshare.com

Pada dasarnya virus ini berusaha melakukan penyebaran melalui default share windows menggunakan port 445, tetapi selain itu Conficker juga menggunakan port 1024 s/d 10000 untuk melakukan penyebaran pada jaringan komputer.

The Tools, Conficker Network Detection...

Dari beberapa tools yang ada, Vaksincom melakukan pengetesan beberapa tools yang familiar dan sering digunakan. Tools tersebut dikeluarkan oleh beberapa vendor security untuk membantu mempermudah deteksi dari serangan Conficker pada jaringan anda.

Berikut beberapa tools yang tersedia sebagai berikut :

1. Wireshark

Wireshark/Ethereal merupakan salah satu dari sekian banyak tools Network Analyzer yang banyak digunakan oleh Network administrator untuk menganalisa kinerja jaringannya dan juga merupakan tools andalan Vaksinis (teknisi Vaksincom). Wireshark banyak disukai karena interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis.

Wireshark mampu menangkap paket-paket data/informasi yang berseliweran dalam jaringan yang kita “intip”. Semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Tools ini tersedia di berbagai versi OS, seperti Windows, Linux, Macintosh, dll.

Pada awal kemunculan dan perkembangan Conficker, tools ini merupakan “pelopor” tools yang digunakan oleh beberapa vendor security untuk menganalisa paket-paket data/informasi dalam jaringan dari serangan Conficker. Anda dapat mendownload wireshark pada alamat http://www.wireshark.org/download.html.

Pada saat instalasi, perhatikan untuk mengaktifkan dan menginstall plugin MATE (Meta Analysis Tracing Engine), karena secara default belum diaktifkan. Plugin ini dapat berfungsi untuk memfilter seluruh paket-paket data dari berbagai protocol yang lewat dalam jaringan. Selain itu dalam proses instalasi juga disertakan WinPcap. Lakukan instalasi WinPcap, WinPcap merupakan driver yang digunakan untuk membaca dan mem-filter lalu lintas paket data/informasi yang lewat.

Untuk penggunaannya cukup mudah, pada saat anda menjalankan Wireshark, pilih saja tab Capture kemudian pilih list Interfaces. Pada pilihan capture interfaces, pilih yang sesuai dengan jaringan LAN/Ethernet card anda kemudian klik tombol start. Wireshark juga memiliki kemampuan untuk melakukan scan komputer antar segmen.

Untuk deteksi Conficker, lakukan filter dengan protocol NBNS (NetBIOS Name Service) kemudian perhatikan info yang diberikan, umumnya NBNS akan membaca hostname komputer tetapi jika NBNS membaca selain hostname komputer dalam hal ini adalah domain-domain yang dituju oleh Conficker, maka source IP tersebut merupakan komputer yang terinfeksi dan berusaha untuk menyebarkan dan mengupdate dirinya.

2. Nmap

Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara eksklusif menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan Nmap kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif pada port yang lebih spesifik.

Nmap merupakan salah satu tools yang paling banyak digunakan untuk melakukan scanning jaringan dan terkenal sebagai tool yang multi platform, cepat dan ringan. Nmap berjalan pada semua jenis OS, baik mode console maupun grafis. Hebatnya lagi, tidak seperti Wireshark, Nmap juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh Conficker sehingga dapat membantu administrator menentukan komputer mana saja yang masih memiliki celah keamanan yang dapat dieksploitasi oleh Conficker.

Selain itu, Nmap juga memiliki satu keunggulan yang mungkin membuat administrator jaringan besar jatuh cinta, ia dapat melakukan scanning komputer antar segmen.

Terhadap kemunculan dan perkembangan Conficker, Nmap dengan bantuan source code dari Tillman Werner dan Felix Leder dari The Honeynet Project, telah merilis versi baru dengan tambahan fitur deteksi terhadap komputer yang terinfeksi Conficker. Anda dapat mendownload versi terbaru pada alamat http://nmap.org/download.html.

Proses instalasi Nmap cukup mudah, sama halnya seperti wireshark, Nmap juga melakukan instalasi terhadap WinPcap (jika belum terinstall). Jika sudah terinstall WinPcap, biasanya akan terjadi error dan proses instalasi WinPcap sebaiknya di lewatkan saja.

Untuk penggunaannya, baik mode console maupun GUI, kita tetap menggunakan perintah command. Penggunaan command untuk mendeteksi Conficker ada 2 cara :
Scan jaringan dengan membaca port 139 & 445 (lebih cepat) :

• nmap -p 139,445 -T4 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1…..)
• Scan jaringan dengan membaca seluruh port yang digunakan Conficker (agak lambat) :
• nmap -p - -T4 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkall=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1….)

3. Retina Network Security Scanner (Conficker Worm)

Walaupun agak terlambat dan diluncurkan menjelang 1 April 2009, sebagai salah satu vendor keamanan komputer, eEye Digital Security juga ikut meluncurkan tools khusus dan gratis untuk mendeteksi keberadaan Conficker dalam jaringan. Tools ini didesain untuk mendeteksi keberadaan Conficker dan sekaligus mendeteksi vulnerability windows tersebut dari celah keamanan Windows Server Service (patch MS08-067). Anda dapat mendownload tools ini pada alamat http://www.eeye.com/html/downloads/other/ConfickerScanner.html.

Proses instalasi sangat mudah dan cepat, anda cukup menjalankan file instalasi yang dilanjutkan perintah-perintah selanjutnya hingga selesai.

Bagi pengguna umum, tools Retina dari Eeye relatif lebih mudah dibandingkan Wireshark dan Nmap, saat anda menjalankan tools ini anda dapat langsung memilih target yang diinginkan baik single IP maupun dengan range IP. Jika sudah, anda dapat langsung klik tombol scan.

Jika sudah selesai akan muncul box pesan tanda selesai. Hasil dari scan tersebut terdapat 4 kategori yaitu :

• Not Tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)
• Infected (komputer terdeteksi terinfeksi Conficker)
• Patched (komputer bersih dan sudah di patch MS08-067)
• Vulnerable (komputer bersih tetapi belum di patch, rawan terinfeksi Conficker)

Sayangnya tools ini hanya membaca port 139 dan 445, sehingga sangat sulit jika komputer yang terinfeksi tidak mengaktifkan port tersebut (File and Printer Sharing). Selain itu, Retina tidak dapat melakukan scanning antar segmen dan juga tidak memantau port 1024 – 10.000 yang di eksploitasi oleh Conficker.

4. SCS (Simple Conficker Scanner)

Tools simple dan canggih buatan Tillman Werner dan Felix Leder dari The Honeynet Project, yang pada saat awal diluncurkan banyak digunakan oleh Vaksincom untuk mendeteksi IP – IP ISP Indonesia yang terinfeksi Conficker ini menjadi rujukan beberapa vendor untuk membuat tools sejenis.

Mereka membuat tools conficker network scanner dari bahasa Python yang kemudian beserta source code-nya dipublish secara bebas. Tercatat beberapa vendor seperti Nmap, eEye dan Foundstone menggunakan source code yang kemudian di compile dan dijadikan plugin tools masing-masing vendor untuk digunakan mendeteksi conficker.

Tools ini dapat didownload pada alamat http://www.4shared.com/get/95921961/d7727fab/scs.html .

SCS tidak perlu diinstall, anda hanya perlu akstrak pada folder/drive yang anda tentukan saja. Tetapi untuk menjalankan SCS anda perlu meng-install Nmap. Hal ini dikarenakan SCS membutuhkan driver paket monitoring data.

Untuk penggunaannya, SCS menggunakan mode console atau command prompt. Pada mode command prompt, pindah pada folder scs kemudian ketik perintah berikut :

• “scs [IP_Awal] [IP Akhir]” , contoh : C:\scs>scs 192.168.1.1 192.168.1.255

Sama seperti Retina, SCS hanya membaca port 139 dan 445 saja.

5. Conficker Detection Tool (MCDT)

Melalui salah satu divisi-nya yaitu Foundstone, McAfee ikut merilis salah satu tools network untuk mendeteksi keberadaan conficker. Tools yang juga menggunakan source dari Tillman Werner dan Felix Leder dari The Honeynet Project, merupakan pengembangan dari team Foundstone yang didesain untuk mendeteksi keberadaan komputer yang terinfeksi conficker, dan telah dipublish secara gratis. Anda dapat mendownload pada alamat http://www.mcafee.com/us/enterprise/confickertest.html .

Tools ini tidak perlu diinstall, anda hanya perlu ekstrak pada direktori / drive yang anda tentukan saja.

Untuk penggunaannya pun cukup mudah, saat anda menjalankan tools ini anda dapat langsung memilih range target yang diinginkan. Bahkan anda dapat melakukan scanning jika terdapat beberapa segmen pada jaringan komputer anda, hal ini yang tidak terdapat pada Retina.

Tetapi sayangnya tools ini tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang di eksploitasi Conficker seperti Nmap dan Retina. Berbeda dengan Retina, tools ini memiliki 3 kategori hasil scan yaitu :

• INFECTED (komputer terinfeksi conficker)
• Not infected (komputer bersih atau tidak terinfeksi)
• Not tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)

Sama seperti halnya Retina dan SCS, tool ini hanya membaca port 139 dan 445 (File Printer Sharing) dan tidak melakukan pemantauan atas port 1024 – 10.000 yang di eksploitasi oleh Conficker.

Hasil Perbandingan.....

Dari beberapa tools tersebut, kami me-review dan membuat tabel perbandingan-nya sebagai berikut (klik untuk memperbesar):





Dari hasil pengujian yang dilakukan oleh lab Vaksincom, terlihat bahwa tidak ada tools yang sempurna. Masing-masing tools memiliki kelebihan dan kekurangannya masing-masing.

Nmap walaupun memiliki fitur yang paling lengkap tetapi memiliki kelemahan pada sisi penggunaan yang masih menggunakan command dan kecepatan scan yang lambat dibanding tools yang lain. Sementara MCDT merupakan tools yang sangat simple tanpa instalasi serta proses scan cukup cepat memilki kelemahan tidak dapat berfungsi dengan baik jika port 445 ditutup/disable (File and Printer Sharing di non aktifkan) dan tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang dieksploitasi oleh Conficker.

Sumber:detik.com

Adu Tangguh 8 Pembasmi Conficker

Jakarta - Piranti lunak pembasmi Conficker, alias Kido alias Downadup, banyak beredar. Seperti apa performa software tersebut jika diadu? Simak pengujian yang dilakukan analis antivirus dari Vaksincom, Alfons Tanujaya, berikut ini:


Virus Conficker yang juga dikenal dengan nama Kido atau Downadup rasanya sudah pasti akrab di telinga administrator komputer di tahun 2009 ini. Salah satu jenis virus berkategori worm yang melakukan penyebaran yang sangat dahsyat dan memiliki dampak yang sangat serius bagi komputer di jaringan.

Karena itu, vendor sekuriti berlomba-lomba mengeluarkan tools dan “mengklaim” diri sebagai yang paling baik dan paling ampuh untuk membasmi Conficker. Yang menjadi pertanyaan bagi pengguna komputer yang menjadi korban Conficker tentunya simple, apakah semua tools tersebut sesuai janjinya?

Apakah seperti Carrie Underwood yang sudah cantik dan suaranya merdu, seperti William Hung yang agak culun, suara pas-pasan dan juga tidak bisa nari (tetapi tetap ngetop) atau seperti Susan Boyle yang sudah berumur dan tampangnya pas-pasan …. tetapi mampu membuat Simon Cowell ternganga. Kali ini Vaksincom akan mengadakan test atas beberapa tools yang tersedia di internet dan semuanya bisa didapatkan secara Gratis.

Dan apa kesimpulan akhir dari hasil pengetesan ini, apakah benar semua tools bisa membasmi Conficker sampai ke akar-akarnya atau masih memerlukan beberapa tambahan pekerjaan manual, silahkan lihat pada tabel perbandingan yang Vaksincom berikan dan kesimpulan pada akhir artikel ini.

Conficker dan gejalanya

Sebelumnya, mari kita lihat kembali beberapa gejala komputer terinfeksi Conficker :

Tidak bisa akses domain name web security & tidak bisa update antivirus

Ini salah satu ciri khas dari conficker. Coba cek dengan akses pada beberapa web security semisal www.microsoft.com, www.kaspersky.com dan www.norman.com. Bandingkan dengan akses melalui ip dari web tsb, http://65.55.12.249 (microsoft), http://195.27.181.34 (kaspersky) dan http://87.238.48.130 (norman). Jika browser anda tidak bisa mengkases situs tersebut di atas dengan mengetikkan alamat situsnya TETAPI bisa diakses jika mengetikkan alamat Ipnya, maka anda perlu “hakul” yakin bahwa komptuernya terinfeksi Conficker (99 %). Hal ini dilakukan oleh Conficker dengan cara melakukan patch pada DNS Query, sehingga jika mengakses DNS tertentu akan diblok oleh conficker.

Mematikan dan men-disabled beberapa Service Windows

Untuk memudahkan infeksi secara efektif, Conficker mematikan beberapa services seperti Automatic Updates (wuauserv), Background Intelligent Transfer Service (BITS), Error Reporting Service (ERSvc), Help and Support (helpsvc), Security Center (wscsvc).

Membuat service baru dan berjalan dengan mendompleng svchost

Hal ini bertujuan agar mudah aktif dan menginfeksi komputer lain serta mendownload file virus.

Membuat rule firewall baru

Hal ini digunakan agar conficker dapat keluar (menginfeksi komputer lain) dan masuk (update virus baru) dengan mudah. Conficker menggunakan port antara 1024 s/d 10000. jika port yang digunakan virus sama dengan program aplikasi kita, maka aplikasi tersebut akan terganggu.

Membuat scheduled task

Hal ini digunakan agar tetap running pada komputer yang terinfeksi. Agar optimal, Conficker membuat beberapa scheduled task agar running setiap saat.

Disable Show Hidden File & System Restore

Hal ini digunakan agar korban tidak mudah melakukan pembersihan pada virus yang sudah masuk dan berhasil menginfeksi komputer maupun drive flash / external.

Disable System Restore

Berfungsi agar komputer korbannya tidak dapat mengembalikan komputer ke setting awal sebelum di infeksi Conficker. Seperti kita ketahui, System Restore merupakan fitur pada Windows XP / vista yang berfungsi seperti mesin waktu yang dapat menolong kita jika terjadi salah instal / terinfeksi virus dimana hanya dengan beberapa klik kita dapat mengembalikan setting komputer pada hari / waktu sebelum komputer terinfeksi virus / salah instal.
Here are The Tools, Conficker Killer...

Dari beberapa tools yang ada, Vaksincom mereview beberapa tools yang familiar dan sering digunakan. Tools tsb terdapat 2 kategori, yaitu tools secara umum yang dikeluarkan oleh vendor seperti Kaspersky AVP Removal Tools, Microsoft Malicious Software Removal Tools, Stinger besutan Mc Afee dan Norman Malware Cleaner.

Catatan khusus untuk Norman Malware Cleaner, selain berfungsi untuk membersihkan Conficker juga sekaligus berfungsi untuk membersihkan dan membasmi virus lain dan Norman Malware Cleaner tidak hanya membasmi file virus saja tetapi juga melakukan pembenahan komputer lebih jauh seperti repair host dan repair registry.

Selain itu, Vaksincom membandingkan tool khusus untuk penanganan virus conficker saja yang tidak dapat digunakan untuk membersihkan virus lain.

Berikut beberapa tools yang tesedia sebagai berikut :

1. Kaspersky AVP Removal Tool

Merupakan tools andalan dari Kaspersky Lab yang dibuat sebagai tools pengganti antivirus. Anda dapat mendownload secara gratis. Tetapi sayangnya, tools ini harus diinstall terlebih dahulu sebelum menggunakannya, sehingga jika komputer sudah terinfeksi virus akan sangat sulit jika virus memblok instalasi tools atau aplikasi sekuriti. Untuk conficker / kido, AVP sudah menyertakan database-nya. Desain interface sangat mirip dengan interface antivirus-nya. Sayang tidak bisa untuk repair registry, repair service dan repair host yang diubah oleh virus. (

2.Norman Malware Cleaner

Dibandingkan versi sebelumnya, tools gratis buatan Norman www.norman.com ini mengalami kemajuan yang pesat. Tools ini dapat dijadikan alternatif jika komputer terinfeksi virus, karena mampu mengembalikan registry, service dan host yang dibuat oleh virus/spyware. Untuk conficker, tools ini dapat dijadikan alternatif pembersihan. Sayangnya jika tools ini memiliki masa expire (± 14 hari), jadi anda diharuskan untuk mendownload versi yang terbaru dari website norman http://norman.com/Virus/Virus_removal_tools/24789/. Adapun aksi yang dapat dilakukan Norman Malware Cleaner adalah:

• Menghentikan proses virus yang sedang berjalan.
• Membersihkan file virus dari media (Flash Disk, Harddisk etc), termasuk komponen ActiveX dan BHO (Browser Helper Object) yang banyak di eksploitasi oleh Spyware.
• Menemukan dan membasmi rootkit.
• Mengembalikan nilai registri yang dirubah oleh virus (tidak tersedia pada removal tools lain)
• Membersihkan perubahan pada hosts file (tidak tersedia pada removal tools lain).
• Membenarkan rule Windows Firewall yang dibuat oleh virus.

3. McAfee AVERT Stinger

Bagi anda pengguna McAfee, tentunya familiar dengan nama ini. Stinger buatan AVERT yang sempat menjadi salah satu pelopor tools pembersih virus andalan para pengguna komputer dimasa awal kemunculannya.

Sayangnya, perkembangan tools ini agak lambat sehingga mendapatkan saingan banyak tools-tools baru. Untuk conficker, stinger sudah menyertakan databasenya. Masih memiliki desain yang simple seperti dulu tetapi jika digunakan untuk membasmi Conficker, terkadang agak sulit jika virus sudah menginjeksi file system windows dan gagal dibersihkan.

4. Microsoft Malicious Software Removal Tool

Tools milik Microsoft yang dapat dijadikan sebagai alternatif scan virus saja. Tools ini dapat didownload secara otomatis setiap bulan dengan fitur automatic updates windows yang ada. Lokasi file ini berada pada C:\WINDOWS\system32, dengan nama MRT.exe. Tools ini memiliki fitur scan yang dapat disesuaikan dengan yang anda inginkan.

Jika menemukan virus yang aktif di memory, MRT akan meminta user untuk restart. Walaupun dapat mendeteksi conficker, tetapi tools ini digunakan hanya untuk scanning virus saja, tanpa merepair registry yang sudah dibuat oleh virus.



Sedangkan beberapa tools yang khusus dibuat untuk membasmi conficker adalah sebagai berikut :

1. KidoKiller (Kaspersky)

Tools khusus buatan Kaspersky Lab untuk virus Conficker. Tools ini sudah masuk revisi 3 yaitu mendeteksi virus conficker versi C/III. Fiturnya pun ditambah terus agar mampu mendeteksi dan mendelete scheduled task, serta mampu mngembalikan system restore. Kelebihan tools ini yaitu mampu mengembalikan fungsi DNS Query tanpa harus restart komputer. Tools ini berjalan pada modus command prompt. Berbeda dengan symantec, tools ini hanya scanning pada path tertentu saja yang dicurigai terinfeksi conficker, sehingga waktu scanning menjadi lebih cepat.

2. Fix Downad (Trend Micro)

Tools keluaran Trend Micro untuk mengatasi conficker ini sayangnya tidak menyertakan database / patternnya saat di download, sehingga kita harus mendownload terlebih dahulu pattern / database-nya. Kelebihannya database / pattern tsb dapat scanning dari virus/worm lain, sehingga dapat membersihkan virus lain.

Jika tools lain hanya terdiri dari satu file, tools ini memilki beberapa file baik exe maupun file lain yang ternyata terdiri dari pengecekan database / pattern, pengecekan schedule task, pengecekan patch windows, pengecekan virus, pengecekan registry dan pengecekan services. Walau terdiri dari banyak file, kita cukup menjalankan saja 1 file bat (batch file), yang kemudian akan mengeksekusi file lain.

3. W32.Downadup Removal (Symantec)

Sesuai dengan namanya, tools ini dibuat oleh perusahaan antivirus Symantec untuk mengatasi virus conficker/downadup/kido.

Sekilas tools ini sangat simple, hanya ada menu start, cancel dan about. Tools ini tidak memiliki opsi scanning drive yang diinginkan. Untuk scanning, tools ini mampu mematikan proses virus, mendelete file virus dan memperbaiki registry yang sudah diubah oleh virus.

Sayangnya tools ini tidak menghapus schedule task yang dibuat oleh virus, tidak menghapus rule firewall yang dibuat oleh virus dan tidak mengembalikan system restore kembali normal. Tetapi seperti guru SD saya, tools ini memberikan “nasehat” kepada user agar segera melakukan patching windows dengan MS08-067.

4. EConfickerRemover (ESET/NOD32)

Tidak mau ketinggalan, ESET juga mengeluarkan tools khusus conficker bagi penggunanya. Tools ini sangat sederhana, sebenarnya kalau sederhana dan ampuh itu yang dicari. Tetapi yang terjadi adalah sangking sederhanya sehingga anda harus menjalankan melalui command prompt. Tools ini selain dapat mematikan proses virus dan mendeletenya, tetapi tidak ada hal khusus lain yang dilakukan. (lihat gambar 9)



MEGA Test Conficker Tools

Adapun hasil perbandingan 8 tools tersebut adalah sebagai berikut:







Dari hasil pengetesan yang dilakukan oleh lab Vaksincom, baik tools khusus maupun tools umum dapat dilihat bahwa Norman Malware Cleaner membersihkan lebih lengkap dibandingkan tools umum lain karena melakukan “Repair Host”, “Repair Registry”, “Repair Service Windows” dan “Delete Service Virus” yang tidak dilakukan oleh Tools umum lainnya.

Tetapi Norman Malware Cleaner tidak melakukan “Delete Schedule Task” yang dibuat oleh virus dan hal ini dilakukan oleh Kaspersky KidoKiller dan TrendMicro Fix Downad.

TrendMicro Fix downad dan Kaspersky Kido Killer tidak melakukan Repair Host dan Repair Registry. Ada satu keunggulan Kaspersky Kido Killer dimana ia bisa melakukan Fix DNS Query tanpa mengharuskan Windows Restart dimana tools lain setelah fix DNS Query mengharuskan Windows restart.

Jadi dapat disimpulkan bahwa Norman Malware Cleaner menjadi pemenang untuk tools umum dan Kaspersky Kido Killer menjadi pemenang di kategori tools khusus.

Sumber:detik.com