Conficker. Worm mancanegara satu ini terkenal lincah menyebar dari satu PC ke PC lainnya dalam waktu yang relatif singkat. Namun demikian pasti ada sebagian orang yang belum mengenal dengan jelas tanda-tanda komputer bila sudah terinfeksi oleh W32/Conficker.DV (Norman Norman Security Suite) alias (Win32.Kido.CG (Kaspersky), W32.Downadup.B (Symantec), W32.Downadup.AL (F-Secure), W32.Conficker.B (Microsoft), W32.Conficker.A (CA, Sophos dan McAfee), Worm_Downad.AD (Trend Micro) dan W32/Conficker.C (Panda)).
Beberapa gejala atau efek yang ditimbulkan Conficker diterangkan oleh Vaksincom (spesialis antivirus dan data recovery). Berikut ini ulasannya:
Pertama, virus ini berusaha mematikan dan men-disable beberapa service, yaitu : • wscsvc : Security Center • wuauserv : Automatic Updates • BITS : Background Intellegent Transfer Service • ERSvc : Error Reporting Service • WerSvc : Windows Error Reporting Service (Vista, Server 2008) • WinDefend : Windows Defender (Vista, Server 2008).
Kedua, virus ini mampu melakukan blocking terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut : Ccert.; sans.; bit9.; windowsupdate; wilderssecurity; threatexpert; castlecops; spamhaus; cpsecure; arcabit;emsisoft; sunbelt; securecomputing; rising; prevx; pctools; norman; k7computing; ikarus; hauri; hacksoft; gdata; fortinet; ewido; clamav; comodo; quickheal; avira; avast; esafe; ahnlab; centralcommand; drweb; grisoft; nod32; f’prot; jotti; kaspersky; f’secure; computerassociates; networkassociates; etrust; panda; sophos; trendmicro; mcafee; norton; symantec; microsoft; defender; rootkit; malware; spyware; virus.
Ketiga, virus akan berusaha melakukan perubahan pada system Windows Vista/Server 2008 dengan menggunakan perintah : “netsh interface tcp set global autotuning=disabled”.
Keempat, virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet. Virus melakukan download pada beberapa website berikut, diantaranya: aaidhe.net; aamkn.cn; abivbwbea.info; aiiflkgcw.cc; alfglesj.info; amcfussyags.net; amzohx.ws; apaix.ws; argvss.info; arolseqnu.ws, dan masih banyak lagi.
Kelima, virus akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa website berikut : baidu.com google.com yahoo.com msn.com ask.com w3.org aol.com cnn.com ebay.com msn.com myspace.com
Keenam, virus akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
Ketujuh, virus akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows: Service name: “[%nama acak%].dll” Path to executable: %System32%-svchost.exe -k netsvcs Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”): Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows.
Kedelapan, virus membuat HTTP Server pada port yang acak : Http://%ExternalIPAddress%:%PortAcak(1024-10000)% Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi : - http://www.getmyip.org - http://www.whatsmyipaddress.com - http://getmyip.co.uk - http://checkip.dyndns.org.
Kesembilan, virus akan membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah : “rundll32.exe .[%extensi acak%], [%acak]“.
(Indah PM/ VaksinCom)
