Worm Windows Server Service RPC

Diawal tahun 2009, ada sedikit masalah, di server (Domain) tempatku bekerja, yaitu “Service Computer Browser” selalu down dan booting terus….

Apa sebenarnya yang terjadi ??
VIRUS ??? WORM ???
Bagi pengguna antivirus, virus / worm ini dikenal dengan nama W32.downadup [symantec], Generic.RKM [AVG], Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.A [Panda Software] …
Apa sebenarnya virus / worm ini ??
Ini sebenarnya termasuk WORM yang mempunyai size 62,976 bytes.
Worm ini menggandakan diri lewat file %System%\[RANDOM FILE NAME].dll
Kemudian “dia” menghapus semua user created system restore points, dan membuat service dg nama : netsvcs , ImagePath: %SystemRoot%\\system32\\svchost.exe -k netsvcs.
Menulis di register entry : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\”ServiceDll” = “[PathToWorm]“
Seberapa bahaya virus / worm ini ???
Jika worm ini menyerang komputer stand alone tidaklah efeknya separah jika menyerang komputer network ( Domain Controller ). Kenapa ???
Worm ini, membuat koneksi UPnP router dan http server pada komputer server dengan menggunakan ramdom port dan selanjutnya akan melakukan remote komputer dan exploit.
Worm ini memanfaatkan kelemahan windows yg disebut “Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability”
Bagaimana mengatasinya ???
Update antivirus terbaru… hal ini tidaklah menyelesaikan masalah…. Hal ini terutama jika di lakukan di Server Domain Controller. Kenapa ???
Worm ini sudah terlanjur melakukan koneksi dengan komputer lainnya, dan walaupun antivirus kita bisa mendeteksi atau bahkan me-remove-nya, maka akan terjadi pemutusan koneksi worm tersebut dan akan mengakibatkan Microsoft Windows Server Service RPC akan melakukan shutdown. Hal itu akan terjadi berulang-ulang….
Solusi yang paling tepat untuk mengatasi Worm ini yaitu dengan memperbaiki “Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability” dan untungnya pihak Microsoft sudah mengeluarkan Patch di Windows-nya, yaitu KB958644
Download :
..
Silahkan lakukan patch di windows, selain update antivirus yang anda miliki dengan update antivirus yang terbaru untuk “menjinakkan” worm ini…….

0 komentar:

Posting Komentar

 
Powered by Blogger