Serangan Worm Win32 Conflicker Downandup Kido
Beberapa minggu belakangan ini dikantor kami disibukkan oleh sebuah worm yang bernama Win32/Conflicker.
Worm ini mempunyai beberapa nama alias diantaranya adalah:
- Downandup
- Downup
- Kido
Serangan worm ini sebenarnya telah dilaporkan sejak bulan Oktober 2008. Target serangan dari worm ini antara lain pada Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 (beta).
Menurut vendor antivirus F-Secure dan harian New York Times, worm ini dilaporkan telah memakan korban 9 juta komputer diseluruh dunia dan akan terus berkembang jumlah korban dari worm ini.
Pada saat worm ini aktif di komputer korban maka akan men-disable beberapa "service" antara lain: Windows Automatic Update, Windows Security Center, Windows Defender dan Windows Error Reporting. Worm ini juga mengaktifkan dirinya melalui Windows Process antara lain: svchost.exe, explorer.exe dan services.exe.
Hebatnya, virus ini juga membuat semacam HTTP service pada komputer korban sehingga semakin mudah untuk menyebarluaskan diri, dengan cara membuka beberapa port secara acak antara 1024 sampai 10000. Sehingga semakin banyak port yang terbuka dan melakukan "request" dan "listen" pada komputer korban maka komputer tersebut akan menjadi lebih lambat.
Secara acak worm Win32/Conflicker ini akan membuat salinan file worm pada komputer korban pada beberapa lokasi antara lain:
- %System%\[Random].dll
- %Program Files%\Internet Explorer\[Random].dll
- %Program Files%\Movie Maker\[Random].dll
- %All Users Application Data%\[Random].dll
- %Temp%\[Random].dll
- %System%\[Random].tmp
- %Temp%\[Random].tmp
[Random] merupakan sebuah nama string dibuat secara acak
Pada saat worm ini menginfeksi sebuah removable media/flash disk, maka akan terdapat sebuah file bernama autorun.inf yang isinya merupakan file binary yang berisi worm win32/Conflicker. Sehingga flashdisk tersebut dapat menginfeksi komputer lain yang belum tertular.
Win32/Conflicker dapat mem-blok akses kedalam beberapa situs web untuk mengupdate atau men-download antivirus. Dengan menggunakan cara ini maka semakin untuk mengatasi worm ini. Beberapa alamat domain yang di-blok oleh worm ini jika berhubungan dengan beberapa kata kunci dibawah ini:
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate
nai
ca
avp
avg
vet
bit9
sans
cert
Jika user yang sedang logon pada komputer korban tidak mempunyai hak Administrator maka worm ini akan mencoba masuk ke dalam Administrator dengan cara menebak password tersebut dari dalam daftar password yang umum dipakai. Biasanya password yang dipakai oleh Administrator merupakan "weak password" akan dapat dengan mudah tertular oleh worm ini. Daftar "weak password" tersebut antara lain:
Jika [Password] sama dengan [Username]
Jika [Password] merupakan kebalikan dari [Username]
Jika [Password] sama dengan [Username] [Username]
Jika password masuk dalam daftar dibawah ini:
00000
0000000
00000000
0987654321
11111
111111
1111111
11111111
123123
12321
123321
12345
123456
1234567
12345678
123456789
1234567890
1234abcd
1234qwer
123abc
123asd
123qwe
1q2w3e
22222
222222
2222222
22222222
33333
333333
3333333
33333333
44444
444444
4444444
44444444
54321
55555
555555
5555555
55555555
654321
66666
666666
6666666
66666666
7654321
77777
777777
7777777
77777777
87654321
88888
888888
8888888
88888888
987654321
99999
999999
9999999
99999999
a1b2c3
aaaaa
abc123
academia
access
account
Admin
admin
admin1
admin12
admin123
adminadmin
administrator
anything
asddsa
asdfgh
asdsa
asdzxc
backup
boss123
business
campus
changeme
cluster
codename
codeword
coffee
computer
controller
cookie
customer
database
default
desktop
domain
example
exchange
explorer
files
foobar
foofoo
forever
freedom
games
home123
ihavenopass
Internet
internet
intranet
killer
letitbe
letmein
Login
login
lotus
love123
manager
market
money
monitor
mypass
mypassword
mypc123
nimda
nobody
nopass
nopassword
nothing
office
oracle
owner
pass1
pass12
pass123
passwd
Password
password
password1
password12
password123
private
public
pw123
q1w2e3
qazwsx
qazwsxedc
qqqqq
qwe123
qweasd
qweasdzxc
qweewq
qwerty
qwewq
root123
rootroot
sample
secret
secure
security
server
shadow
share
student
super
superuser
supervisor
system
temp123
temporary
temptemp
test123
testtest
unknown
windows
work123
xxxxx
zxccxz
zxcvb
zxcvbn
zxcxz
zzzzz
Beberapa akibat yang dapat ditimbulkan oleh worm win32/Conflicker ini antara lain:
- Kinerja komputer korban menjadi lambat karena membuka beberapa port untuk aktivitas HTTP untuk listen dan request
- Mengganggu aktivitas sharing folder dan sharing printer
- Dapat menginfeksi komputer dalam jaringan serta membuat sebuah file worm dengan extension .jpg, .gif, .png dan .bmp. Sehingga pengguna akan menyangka file tersebut adalah file gambar tetapi sebenarnya berisi binary code dari worm win32/Conflicker.
Bahkan pihak Microsoft membuka sebuah sayembara dan akan menghadiahkan sebesar $ 250,000 bagi siapa saja yang dapat menangkap pembuat worm win32/Conflicker ini. DI tahun 2005 pihak Microsoft juga pernah menghadiahkan sebasar $250,000 bagi pihak atau individu yang membantu menginformasikan pembuat virus Sasser. Saat ini pembuat virus Sasser telah ditahan oleh pemerintah Jerman.
Cara mengatasi worm win32/Conflicker
Untuk mengidentifikasi worm win32/Conflicker ini sebaiknya Anda meng-update antivirus dengan versi terbaru dari website vendor antivirus yang Anda pakai.
McAfee DAT files update
AVG Antivirus and Security
Anda dapat juga men-download Win32/Conflicker(Downandup) Removal Tool (antivirus) dibawah ini.
Microsoft Malicious Software Removal Tool
BitDefender Win32/Conflicker(Downandup) Removal Tool
Symantec win32/Conflicker(Downandup) Removal Tool
Selamat berjuang untuk mengatasi worm win32/Conflicker. Semoga berhasil.
 | |
 | 26 Feb 2009 19:31:31 Anon Kuncoro Widigdo Selain terus mengupdate antivirus dengan data yang terbaru. Saran saya Anda memasang software untuk me-monitor dan mengawasi port yang aktif dan terbuka. Hal ini karena meskipun worm Conflicker ini sdh berhasil di hapus oleh antivirus, masih terbuka peluang untuk tertular kembali. Anda bisa memasang software semacam ZoneAlarm. Sehingga akan mem-blok port2 tertentu yg akan dibuka oleh worm Conflicker. Hal ini akan dapat membantu selain penggunaan Antivirus. |
 | 27 Feb 2009 15:23:53 Diaz Mas, cpu-ku kmrn br sj di install ulang. Krn terkena virus worm, skr yg aku pake antivirusnya NOD32 & Kapersky. Tiap hari aku update, tp rasa2nya tetap kena juga tuh. Tolong berikan saran yg terbaik, kira2 apa lg yg hrs aku perbuat? Terima kasih atas bantuannya.. Regards, Diaz |
 | 18 Mar 2009 02:41:04 saling bantu Berikut ini adalah prosedur untuk memblokir penyebaran Downadup / Conflicker worm di komputer jaringanmu (Anda harus menjalankan tindakan ini dengan lokal administrator) disini saya menggunakan Symantec Antivirus/ SEP. 1. Memeriksa keberadaan patch KB958644 Microsoft dan menginstalnya jika perlu. 2. Buat file downadup.bat & deactivate_admin.reg (menempatkan link registry dalam direktori yang sama) 3. Periksa rilis dari Symantec file definisi virus (setidaknya 08/01/09 rev. 7) dan jika perlu menginstal updatednya. 4. Desable System Restore. 5. Jalankan Full system scan. Untuk Win NT4, patch KB958644 tidak tersedia. Anda hanya dapat menerapkan salah satu solusi berikut: - Desable Server servicer - Blokir port 139 dan 445 Juga saya sarankan untuk tidak mengaktifkan fungsi Auto Run di USB. Format file downadup.bat sbb: Buka notepad, copy paste script dibawah lalu save as type: All File dengan nama diatas (ingat extention file .bat), begitu juga dengan file .reg (registry). downadup.bat ------------ reg import deactivate_admin.reg net stop server net start server deactivate_admin.reg -------------------- Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 Demikian informasi dari saya semoga membantu rekan2 dan bermanfaat. Jika ada saran & masukkan dari antivirus lainnya bisa di share ya... :) Salam, Oki S. Bayu "The most important source of information for strategic decision maker not come from internal data but the outside world" |
 | 26 Mar 2009 18:30:41 ian harisman kalo gk salah pembuat conficker uda merilis conficker yang baru.. conficker yang baru sudah ditambah dengan fungsi trojan.nantinya worm ini sekaligus bertidank sebagai bot ( botnet ) untuk itu update2 tu anti virus..kalo gk mau repot kena virus,pake linux or unix aja.. kenapa seh conficker bisa menyebar lewat jaringan,,??conficker menyebar memanfaatkan salah satu kelemahan pada service windows.tepatnya pada samba service.. bagi yang terbiasa melakukan penetration system ( just like me ),kelemahan services windows ini bisa ditemukan pada module exploit ms08_067_netapi pada metasploit.. menurutku seh kalo pengen ngeblok peredaran conficker,sysadmin or network administrator harus pintar2 menganalisis jaringan.misalnya menganalisi traffic shellcode,setelah itu tinggal diporting ke rule snort untuk melakukan pemeriksaan yang dynamic.. |
 | 29 Mar 2009 13:28:53 ferdy_aja Sekedar pemberitahuan aja,,kaspersky tuh jelekna lau udah kejangkit virus gak bisa lg ngedetek,apalagi kena conflicker,,,Jadi pas saat nginstal ulang sebaiknya jangan diutak atik dulu seblum nginstal antivirus+update terbaru.. Q juga sempat kena neh virus mpek nyebar satu kontrakan lewat jaringan,rasanya menyebalkan bgt,,antivirus yang lumayan bisa ngatasi neh baru kaspersky 2009,kalau nod32 kadang ngedetek tp gak bisa ngehapus,,, |
 | 15 Jul 2009 16:03:34 riza mau tanya mas... kalo ngilangin virus ini di mobile disc gimana ya caranya... soalnya sudah coba pake bitdefender sama pcmav express tetep ga bisa ke detect yg di mobile disc... kalo pake nod32 hanya ke detect doang, tapi ga bisa di clean/dihapus... thx |
Mas anun kuncoro thank ya untuk informasi mengenai virus w32confliker / downadup kebetulan saya terkena worm jenis ini. Saya pernah mencoba instal ulang laptop saya tapi kena juga padahal sering saya update pake symantec live update 10 gara2 terhubung internet dikantor kemungkinan terjangkit dari network.......saya pernah mencoba symantec win32/confliker removal tool tapi selain itu tools apa lagi ya untuk membersihkan worm semacam ini.....mohon sarannya...