Diawal tahun 2009, ada sedikit masalah, di server (Domain) tempatku bekerja, yaitu “Service Computer Browser” selalu down dan booting terus….
Apa sebenarnya yang terjadi ??
VIRUS ??? WORM ???
Bagi pengguna antivirus, virus / worm ini dikenal dengan nama W32.downadup [symantec], Generic.RKM [AVG], Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.A [Panda Software] …
VIRUS ??? WORM ???
Bagi pengguna antivirus, virus / worm ini dikenal dengan nama W32.downadup [symantec], Generic.RKM [AVG], Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.A [Panda Software] …
Apa sebenarnya virus / worm ini ??
Ini sebenarnya termasuk WORM yang mempunyai size 62,976 bytes.
Worm ini menggandakan diri lewat file %System%\[RANDOM FILE NAME].dll
Kemudian “dia” menghapus semua user created system restore points, dan membuat service dg nama : netsvcs , ImagePath: %SystemRoot%\\system32\\svchost.exe -k netsvcs.
Menulis di register entry : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\”ServiceDll” = “[PathToWorm]“
Ini sebenarnya termasuk WORM yang mempunyai size 62,976 bytes.
Worm ini menggandakan diri lewat file %System%\[RANDOM FILE NAME].dll
Kemudian “dia” menghapus semua user created system restore points, dan membuat service dg nama : netsvcs , ImagePath: %SystemRoot%\\system32\\svchost.exe -k netsvcs.
Menulis di register entry : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\”ServiceDll” = “[PathToWorm]“
Seberapa bahaya virus / worm ini ???
Jika worm ini menyerang komputer stand alone tidaklah efeknya separah jika menyerang komputer network ( Domain Controller ). Kenapa ???
Worm ini, membuat koneksi UPnP router dan http server pada komputer server dengan menggunakan ramdom port dan selanjutnya akan melakukan remote komputer dan exploit.
Worm ini memanfaatkan kelemahan windows yg disebut “Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability”
Jika worm ini menyerang komputer stand alone tidaklah efeknya separah jika menyerang komputer network ( Domain Controller ). Kenapa ???
Worm ini, membuat koneksi UPnP router dan http server pada komputer server dengan menggunakan ramdom port dan selanjutnya akan melakukan remote komputer dan exploit.
Worm ini memanfaatkan kelemahan windows yg disebut “Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability”
Bagaimana mengatasinya ???
Update antivirus terbaru… hal ini tidaklah menyelesaikan masalah…. Hal ini terutama jika di lakukan di Server Domain Controller. Kenapa ???
Worm ini sudah terlanjur melakukan koneksi dengan komputer lainnya, dan walaupun antivirus kita bisa mendeteksi atau bahkan me-remove-nya, maka akan terjadi pemutusan koneksi worm tersebut dan akan mengakibatkan Microsoft Windows Server Service RPC akan melakukan shutdown. Hal itu akan terjadi berulang-ulang….
Update antivirus terbaru… hal ini tidaklah menyelesaikan masalah…. Hal ini terutama jika di lakukan di Server Domain Controller. Kenapa ???
Worm ini sudah terlanjur melakukan koneksi dengan komputer lainnya, dan walaupun antivirus kita bisa mendeteksi atau bahkan me-remove-nya, maka akan terjadi pemutusan koneksi worm tersebut dan akan mengakibatkan Microsoft Windows Server Service RPC akan melakukan shutdown. Hal itu akan terjadi berulang-ulang….
Solusi yang paling tepat untuk mengatasi Worm ini yaitu dengan memperbaiki “Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability” dan untungnya pihak Microsoft sudah mengeluarkan Patch di Windows-nya, yaitu KB958644
Download :
..- Security Update for Windows XP (KB958644)
- Security Update for Windows Server 2003 (KB958644)
- Security Update for Windows 2000 (KB958644)
- Security Update for Windows Vista (KB958644)
- Security Update for Windows 7 Pre-Beta (KB958644)
- Security Update for Windows Server 2003 x64 Edition (KB958644)
- Security Update for Windows XP x64 Edition (KB958644)
- Security Update for Windows Vista for x64-based Systems (KB958644)
- Security Update for Windows 7 Pre-Beta x64 Edition (KB958644)
- Security Update for Windows Server 2008 (KB958644)
- Security Update for Windows Server 2008 x64 Edition (KB958644)
- Security Update for Windows 7 Pre-Beta for Itanium-based Systems (KB958644)
- Security Update for Windows Server 2003 for Itanium-based Systems (KB958644)
- Security Update for Windows Server 2008 for Itanium-based Systems (KB958644)
Silahkan
lakukan patch di windows, selain update antivirus yang anda miliki
dengan update antivirus yang terbaru untuk “menjinakkan” worm ini…….
0 komentar:
Posting Komentar