Bahaya Virus Net-Worm.Win32 Kido.ih

Saturday, 25 December 2010
Dengan semakin menyebarnya Virus Downadup, Conficker , Kido yang menyerang jutaan PC yang menggunakan produk microsoft. Microsoft bekerja sama dengan pakar keamanan dan Internet Corporation for Assigned Names and Numbers (ICANN) untuk mencari jejak dan menangkap pembuat virus ini. Microsoft menjanjikan akan memberikan US$ 250.000 untuk informasi yang mengarah pada penangkapan pembuatnya…. wow…..


Berbagai perusahaan antivirus dan security seperti F-Secure, Symantec, VeriSign, Afilias, Internet Systems Consortium (ISC) dan Shadowserver Foundation bekerja sama juga untuk mengatasi virus ini.

Worm virus ini dapat menyebar cepat dikarenakan dia bisa me replikasi dirinya sendiri dan memanfaatkan network atau computer yang mempunyai hole network security. Pada varian virus yang baru banyak muncul teknik baru, misal download software pada computer korban, mengirim email spam, menaruh software pencuri password dan melakukan serangan denial of service (DoS).

Virus ini mulai menarik perhatian pada Desember, saat varian B muncul dengan memiliki 297 subroutine, dan sebanyak 39 routine baru ditambahkan pada varian selanjutnya, serta 3 subroutine telah dimodifikasi. Dan soubroutine ini akan bertambah dan bertambah lagi pada varian selanjutnya…..

Virus Kido adalah sebuah worm yang telah menginfeksi jaringan computer sejak 2008. Virus ini sendiri terdiri dari 26 varian yang tercatat dan menyebar secara jaringan lokal dan memiliki kemampuan untuk menyebar dan menginfeksi media penyimpanan portable seperti USB.
Virus Kido ini sendiri termasuk virus dengan kategori virus confiker, atau istilah terkenalnya [Net-Worm.Win32.Kido ].

Apa saja kemampuan dari virus Kido :
  • Virus ini di-design untuk menginfeksi celah keamanan pada patch Microsoft yaitu MS08-067.
  • Oleh karena virus tersebut menginfeksi MS08-067, dimana patch tersebut adalah suatu layanan dari Microsoft untuk fasilitas LAN dan removeable storage, maka dapat dipastikan jika computer anda terinfeksi virus ini, sebaiknya anda diwajibkan untuk melakukan pembersihan pada removeable storage anda.
  • Setelah virus tersebut berhasil memodifikasi celah keamanan pada patch Microsoft, maka langkah selanjutnya yang dilakukan oleh virus tersebut adalah menutup dan me-non aktifkan fasilitas “system restore”.
  • Secara umumnya, setelah berhasil melakukan langkah ke 2 dan langkah ke 3, maka untuk melindungi dirinya dari pemusnahan virus, maka virus tersebut melakukan blocking akses terhadap beberapa security website.
  • Dan untuk membuat pusing user, dan menghambat lajunya pemusnahan virus, virus ini juga melakukan alternatife pelindungan dirinya dengan mengaktifkan automatic download virus-virus lain atau automatic download malware yang lainnya yang terdapat di internet.
  • Transmisi [ Port internet ] penyebaran dari virus ini adalah port 445 atau port 139
  • Secara pasti, ketika computer anda terinfeksi virus ini, maka computer anda akan berubah fungsi dari desktop / workstation kerja menjadi “Honey Pot”. Istilah “Honey Pot” adalah suatu istilah yang memicu dan menarik virus berdatangan ke computer tersebut.
  • Jika computer anda yang terinfeksi virus ini, terkoneksi dalam suatu domain, atau jaringan yang berbasis “ADC” [ active directory connector ] maka virus ini akan melakukan locking terhadap ADC anda. Dan dapat dipastikan anda tidak dapat memanage ADC, baik itu add user ataupun delete user, dan memodifikasi account user dalam jaringan.
 
Langkah-langkah apa yang harus anda lakukan untuk membasmi virus Kido :
  1. Blocking computer yang terinfeksi / cabut kabel LAN / cabut kabel jaringan dari computer yang terinfeksi virus ini.
  2. Setelah langkah ke 1, anda tinggal mencari suatu filename dari virus tersebut. Virus Kido ini akan generate suatu filename dengan extension [ autorun.inf ]dan RECYCLED\{SID<..>}\RANDOM_NAME.vmx
  3. Sebagai catatan, RANDOM_NAME.vmx yang dimaksudkan adalah filename tersebut bisa dengan nama apa saja.. yang harus diperhatikan adalah extension-nya yaitu [.vmx]
  4. File tersebut akan selalu ada dan biasanya nonggol dalam berupa hidden, dan keberadaannya ada pada folder sharing dan removeable storage
  5. Hapus semua jenis file tersebut.
  6. Dari computer anda yang lain yang masih sehat alias bersih dari virus, kemudian download patch ke website Microsoft [ http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx ]
  7. Setelah anda download selesai, sebelum anda jalankan patch tersebut, anda harus disable removable storage anda.
  8. Kemudian install patch tersebut pada computer yang terinfeksi virus Kido.
  9. Setelah proses instalasi patch Microsoft berhasil, anda download disini removal tool virus Kido 
  10. Sebagai catatan, anda harus terlebih dahulu melakukan installasi patch terbaru Microsoft kemudian anda jalankan removal tool virus Kido. Kalo anda melakukan secara terbalik, bisa dijamin virus tersebut tidak akan ter-delete alias virus tersebut masih ada.
  11. Setelah semua langkah berhasil. Dan virus tersebut terdetect dan berhasil dihapus. Maka anda kudu restart computer anda, kemudian lakukan “Full Scan” dari product Antivirus anda.
 ** Catatan : 

Product Antivirus yang memiliki fasilitas Intrusion Detection system, justru menjadi pemicu dan sebagai sarana virus tersebut untuk menyebarkan dirinya dalam jaringan data, hal ini dapat dilihat dari cara kerja virus Kido yang melakukan Intrusion.Win.NETAPI.buffer-overflow.exploit –> Bagi Administrator system, anda jangan kaget dan tertipu ketika melihat suatu network traffic volume yang secara tiba-tiba menjadi membesar alias meninggi trafficnya –> ini karena virus tersebut sedang menyebar.....

Semoga Bermanfaat ......
Sumber : dari berbagai sumber

0 komentar:

Post a Comment