Virus ini adalah virus yang baru saja menghebohkan jagad internet.Sampai-sampai google sendiri sebagai mesin pencari terbesar selalu mengingatkan untuk berhati-hati mengakses sebuah situs yang sudah terkena worm ini.
Ini yang saya baca dari BITDEFENDER.COM
Diantara cara bertahan virus agar tidak mudah dihilangkan:
- Dia akan memutus koneksi internet yang meng-akses situs (web) yang berbasis anti virus.
- Men-disabled Windows update.
- Membuat file autorun.inf yang menjalankan file virus yang ada didalam folder system recycler (tempat recycle bin menaruh file sementara setelah dihapus).
Win32.Worm.Downadup adalahVirus yang menular melalui Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (MS08-67) untuk menyebar pada komputer lain pada jaringan lokal (network). Pembuat Virus mencoba berbagai cara untuk membuat malware ini tersebar dengan cepat dan sulit untuk dihapus.
Komputer kemungkinan mudah terinfeksi virus ini disebabkan karena:
- Tidak dipasang (diinstall) patch (Update windows untuk menutup celah keamanan ) terutama MS08-67.
- Account administrator tanpa password (menggunakan password yang mudah ditebak).
- Bila autoplay Windows tidak dimatikan ( flashdisk ditancapkan file virus akan tereksekusi secara otomatis).
Bila virus ini sudah tereksekusi,untuk menguasai komputer ia melakukan berbagai aksi antara lain:
- Menyerang NtQueryInformationProcess dari ntdll.dll yang ada didalam file system yang telah berjalan.
- Mempunyai ciri membuat nama “mutex” didalam komputer yang sudah terinfeksi.
- meng-inject (meng-infeksi) file explorer.exe atau svchost.exe
- menghidden files dengan cara membuat registry “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersio\explorer\Advanced\Folder\Hidden\SHOWALL\”CheckedValue” = “0”
5.Meng-copy dirinya (virus ) ke folder:
1.%Program Files%\Internet Explorer\[Random Name].dl 2.%Program Files%\Movie Maker\[Random Name].dll 3.%Documents and Settings%\All Users\Application Data\[Random Name].dll
4. %Temp%\[Random Name].dll
5.%System32%\[Random Name].dll
6. Bila sudah meng-infeksi file service.exe ,dia akan menyerang NetpwPathCanonicalize yang ada didalam file netapi32.dll dengan tujuan bila komputer terhubung ke network (jaringan) akan ter infeksi lagi.
7. Juga membuat sendto dari file ws2_dll.dll , yang digunakan untuk memanfaatkan file tersebut bila sudah berjalan di svchost.exe .Merubah Query-main dari dnsapi.dll diantaranya DnsQuery_A, DnsQuery_W, DnsQuery_UTF8 supaya tidak bisa akses web anti virus.
dan seterusnya…..bisa dibaca di Bitdefender.com, yang penting cara membersihkannya, yaitu:
- Matikan system restore.
- Lepaskan Komputer yang terinfeksi (mau dibersihkan) dari network ,lepaskan kabel yang menghubungkan ke komputer lain (jaringan.
- download MS08-67 vulnerability fix, sesuai dengan system operasi yang anda gunakan di : http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Jalankan removal tool. atau bisa pakai anti conficker
- Restart komputer anda…
- Pasang kembali kabel jaringan…
- Update anti virus yang sesuai pilihan anda…
- Scan seluruh hardisk untuk memastikan tidak ada virus di dalam komputer anda….
gan kalo registry nya ga ke infeksi… tapi kalo buka situs AVG kok gabisa ya? apa keinfeksi juga?
@uzanluthfi73: untuk kasus tidak bisa mengakses website anti virus…misalnya: avast.com , grisoft.com dll itu memang hasil perbuatan virus … misalnya:kido / conficker , sality virut dll. kalau system sudah berish tapi belum bisa akses website anti virus silakan ketik: cmd di menu Run setelah tampil prompt ketik : netsh winsock reset lalu tekan enter…dan silakan di restart komputer..