Virus Win32.Worm.Downadup

Virus ini adalah virus yang baru saja menghebohkan jagad internet.Sampai-sampai google sendiri sebagai mesin pencari terbesar selalu mengingatkan untuk berhati-hati mengakses sebuah situs yang sudah terkena worm ini.

Ini yang saya baca dari BITDEFENDER.COM

Diantara cara bertahan virus agar tidak mudah dihilangkan:

  1. Dia akan memutus koneksi internet yang meng-akses situs (web)   yang berbasis anti virus.
  2. Men-disabled Windows update.
  3. Membuat file autorun.inf yang menjalankan file virus yang ada didalam folder system recycler (tempat recycle bin menaruh file sementara setelah dihapus).

Win32.Worm.Downadup adalahVirus yang menular melalui Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (MS08-67) untuk menyebar pada komputer lain pada jaringan lokal (network). Pembuat Virus   mencoba  berbagai cara untuk membuat malware ini tersebar dengan cepat dan sulit untuk dihapus.

Komputer kemungkinan mudah terinfeksi virus ini disebabkan karena:

  1. Tidak dipasang (diinstall) patch (Update windows untuk menutup celah keamanan ) terutama MS08-67.
  2. Account administrator tanpa password (menggunakan password yang mudah ditebak).
  3. Bila autoplay Windows tidak dimatikan ( flashdisk ditancapkan file virus akan tereksekusi secara otomatis).

Bila virus ini sudah tereksekusi,untuk menguasai komputer ia melakukan berbagai aksi antara lain:

  1. Menyerang NtQueryInformationProcess dari ntdll.dll yang ada didalam file system yang telah berjalan.
  2. Mempunyai ciri membuat nama “mutex” didalam komputer yang sudah terinfeksi.
  3. meng-inject (meng-infeksi) file explorer.exe atau svchost.exe
  4. menghidden files dengan cara membuat registry “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersio\explorer\Advanced\Folder\Hidden\SHOWALL\”CheckedValue” = “0”

5.Meng-copy dirinya (virus )  ke  folder:

1.%Program Files%\Internet Explorer\[Random Name].dl            2.%Program Files%\Movie Maker\[Random Name].dll            3.%Documents and Settings%\All Users\Application Data\[Random Name].dll

4. %Temp%\[Random Name].dll

5.%System32%\[Random Name].dll

6.  Bila sudah meng-infeksi file service.exe ,dia akan menyerang NetpwPathCanonicalize yang ada didalam file netapi32.dll dengan tujuan bila komputer  terhubung ke network (jaringan) akan  ter infeksi lagi.

7.   Juga membuat sendto dari file ws2_dll.dll , yang digunakan untuk memanfaatkan file tersebut bila sudah berjalan di svchost.exe .Merubah Query-main dari dnsapi.dll  diantaranya DnsQuery_A, DnsQuery_W, DnsQuery_UTF8 supaya tidak bisa akses web anti virus.

dan seterusnya…..bisa dibaca di Bitdefender.com, yang penting cara membersihkannya, yaitu:

  1. Matikan system restore.
  2. Lepaskan Komputer yang terinfeksi (mau dibersihkan) dari network ,lepaskan kabel yang menghubungkan ke komputer lain (jaringan.
  3. download MS08-67 vulnerability fix, sesuai dengan system operasi yang anda gunakan di : http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
  4. Jalankan removal tool. atau bisa pakai anti conficker
  5. Restart komputer anda…
  6. Pasang kembali kabel jaringan…
  7. Update anti virus yang sesuai pilihan  anda…
  8. Scan seluruh hardisk  untuk memastikan tidak ada virus di dalam komputer  anda….

Tentang Mpu-Elcom

Sholatku , ibadahku , hidupku , dan matiku , ku persembahkan untuk Allah tuhan Alam semesta...
Pos ini dipublikasikan di Virus dan tag , , . Tandai permalink.

2 Balasan ke Virus Win32.Worm.Downadup

  1. uzanluthfi73 berkata:

    gan kalo registry nya ga ke infeksi… tapi kalo buka situs AVG kok gabisa ya? apa keinfeksi juga?

  2. Mpu-Elcom berkata:

    @uzanluthfi73: untuk kasus tidak bisa mengakses website anti virus…misalnya: avast.com , grisoft.com dll itu memang hasil perbuatan virus … misalnya:kido / conficker , sality virut dll. kalau system sudah berish tapi belum bisa akses website anti virus silakan ketik: cmd di menu Run setelah tampil prompt ketik : netsh winsock reset lalu tekan enter…dan silakan di restart komputer..

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s