Virus Downadup sudah menjangkiti jutaan komputer di seluruh dunia. Ia menulari komputer melalui password jaringan, software Windows yang belum di-patch, dan terutama melalui USB stick. Karena virus ini dapat men-disable auto update dari Microsoft dan perusahaan-perusahaan anti virus, maka sistem kekebalan komputer Anda menjadi lemah dan rentan terhadap serangan-serangan dari luar.
Bagaimana mengetahui apakah komputer kita sudah terserang virus ini?
Biasanya setelah men-scan komputer dengan anti virus, kita akan mendapati warning yang menyatakan bahwa komputer kita sudah terinfeksi oleh Downadup, Kido, atau Conficker, yang biasanya disebutkan dengan nama-nama sebagai berikut:
• Net-Worm.Win32.Kido
• W32/Conficker.worm.gen
• Worm.Conficker
• W32.Downadup
• W32/Downadup.AL
• W32/Confick-A
• Win32/Conficker.A
• Mal/Conficker
Lalu terjadi connection dan Windows Errors, antara lain:
• Auto update dari Microsoft dan auto update anti virus berulang kali gagal
• Tidak dapat meng-update Windows Defender
• Munculnya random errors “svchost”
• Tidak dapat browsing ke situs-situs yang menyediakan penangkal untuk virus ini (misalnya tidak bisa browsing ke www.microsoft.com)
Selain itu, layanan-layanan Windows tidak dapat bekerja, misalnya:
• wuauserv: Windows Automatic Update Service
• BITS: Background Intelligent Transfer Service
• wscsvc: Windows Security Center Service
• WinDefend: Windows Defender Service
• ERSvc: Windows Error Reporting Service
• WerSvc: Windows Error Reporting Service
Bagaimana cara penyebaran virus ini?
Virus ini menyebar dengan empat cara, yaitu:
• Dengan mengeksploitasi PC Windows yang belum di-patch yang terhubung pada suatu jaringan
• Dengan serangan “brute force dictionary” terhadap password administrator yang menggunakan password yang lemah
• Dengan menginfeksi removable drive stick (thumb drive)
• Dengan menggunakan Windows scheduled tasks dan Autorun untuk menginfeksi ulang PC yang sudah dibersihkan dengan anti virus (makanya, jangan keburu senang jika anti virus kita menyatakan bahwa komputer kita sudah bersih, karena setelah re-start, virus tersebut akan hadir lagi jika dilakukan scan ulang)
Setelah mengenai komputer, maka virus ini akan:
• Menggandakan diri ke dalam folder system Windows (misalnya C:\\Windows\System 32)
• Mengubah registry Windows
• Mengganti akses klik kanan dan registry keys supaya pengguna tidak dapat mengubah dan menghapusnya
• Membuatnya mampu me-restart saat Windows di-start
• Menghubungi suatu situs dengan IP address umum (misalnya http://www.getmyip.org) untuk menemukan IP address komputer kita
• Mendownload versi-versi modifikasi dari virus itu sendiri dari sejumlah websites berdasarkan waktu dan tanggal yang sangat susah untuk diprediksi kapan akan terjadi
• Memulai sendiri web server pada random port dari PC kita untuk mendownload virus yang sudah dimodifikasi
Cara menanggulangi virus tersebut:
Dengan menggunakan PCMAV Express
Pcmav express dapat di download dihttp://www37.indowebster.com/6521cb620d2a43d91020aa7b44f1b6dc.zipatauhttp://www.4shared.com/file/92347515/58536385/PCMAVExpress.html.
Sedangkan untuk penggunaannya (dicopas darihttp://darmawanku.wordpress.com/2009/03/12/pcmav-express-untuk-membasmi-virus-conficker)
1. Pastikan memakai user yang memiliki hak setara Administrator.
2. Non-aktifkan antivirus yang terinstall agar tidak mengganggu PCMAV Express.
3. Pastikan sebelumnya bahwa komputer tidak terkoneksi ke jaringan atau internet selama proses scan.
4. Setelah selesai, sangat disarankan untuk melakukan restart dan scan ulang (jika perlu).
5. Setelah virus berhasil dituntaskan, segera update/patch Windows Anda. PCMAV Express ini pun dapat mendeteksi apabila komputer Anda belum di patch.
6. Pastikan seluruh PC yang telah terhubung di dalam jaringan juga telah bebas Conficker.
7. Pastikan password hak Administrator di PC tidak mudah ditebak, karena Conficker memiliki kemampuan menyusup dengan melakukan “tebakan” terhadap password Administrator dengan kosa-kata umum yang ada dalam kamusnya.
8. Jika langkah 3-7 di atas tidak Anda ikuti dengan baik, maka besar kemungkinan Conficker dapat menyerang kembali, sebagus apapun antivirus yang Anda gunakan.
Menggunakan Microsoft Windows Malicious Software
Hilangkan virus tersebut dengan Microsoft Windows Malicious Software Removal Tool. Namun jika komputer kita telah terinfeksi virus ini, besar kemungkinan semua sites yang menjadi host tool ini sudah di-block olehnya. Maka kita dapat mendownloadnya secara gratis dari website Microsoft’s content distribution network di:
http://mscom-dlcecn.vo.llnwd.net/dow…90830-v2.6.exe
Untuk komputer berbasis Vista x64, Windows XP x64 and Windows 2003 x64, dapat mendownload tool tersebut secara gratis dari:
http://mscom-dlcecn.vo.llnwd.net/dow…0-x64-v2.6.exe
Jika Windows tool tersebut gagal, kita juga dapat mencoba menggunakan K7 Antivirus atau K7 Computing Free Virus Removal Tool. Karena domain-nya juga sudah di-block oleh si virus, gunakan link di bawah ini untuk mendownloadnya:
http://70.32.74.100/tools/k7downadupremover.zip
Setelah instalasi, langkah-langkah yang dianjurkan untuk dilakukan adalah:
• Meng-update versi terbaru dari tool ini
• Me-restart Windows di safe mode
• Menjalankan full system scan
• Menghapus semua file yang sudah terinfeksi virus ini
• Re-start Windows dalam normal mode
Fix Windows Registry
Virus ini, seperti layaknya jenis-jenis virus lainnya, selalu momodifikasi Windows Registry. Maka jangan lupa untuk men-scan dan mem-fix Windows Registry dengan fixregistry. Setelah fixing windows registry, disarankan untuk selalu meng-update Windows Anda.
Disable AutoRun and AutoPlay
Sangat dianjurkan untuk men-disable AutoRun dan Auto{lay untuk menghindari infeksi virus sejenis di masa mendatang.
AutoRun dan AutoPlayadalah salah satu feauture default dari Windows yang memungkinkan media dan devices untuk meluncurkan program dengan menggunakan perintah-perintah terdaftar di “autorun.inf” yang tersimpan di medium’s root directory. Para pencipta malware sangat menyukai AutoRun dan AutoPlay karena susah untuk di-disable dan mudah untuk dieksploitasi.
Untuk men-disable AutoRun dan AutoPlay secara cepat dan mudah, kita dapat melakukannya dengan cara:
• Mendownload secara gratis tool DisableAuto 0.2 (Softpedia) secara gratis dari website http://www.softpedia.com/get/Tweak/R…ableAuto.shtml
• Unzip file-nya. Maka akan muncul sebuah reg file yang disebut “disableauto.reg”
• Double klik Reg file tersebut untuk memodifikasi Registry
• Reboot Windows. Sekarang AutoPlay dan AutoRun sudah dalam status disabled. Tapi kita masih bisa meng-akses dan menjalankan semua media secara manual.
