Having problems with message search?
MEGA Tes
8 Tools Conficker Killer
Virus Conficker yang
juga dikenal dengan nama Kido atau
Downadup rasanya sudah pasti akrab di telinga administrator komputer di tahun
2009 ini. Salah
satu jenis virus berkategori worm yang melakukan penyebaran yang sangat dahsyat
dan memiliki dampak yang
sangat
serius
bagi komputer di
jaringan.
Karena itu, vendor
sekuriti berlomba-lomba mengeluarkan tools dan "mengklaim" diri sebagai yang
paling baik dan paling ampuh untuk membasmi Conficker. Yang menjadi pertanyaan
bagi pengguna komputer yang menjadi korban Conficker tentunya simple, apakah
semua tools tersebut sesuai janjinya ? Apakah seperti Carrie Underwood yang
sudah cantik dan suaranya merdu, seperti William Hung yang agak culun, suara
pas-pasan dan juga tidak bisa nari (tetapi tetap ngetop
J) atau seperti
Susan Boyle yang sudah berumur dan tampangnya pas-pasan …. tetapi mampu membuat
Simon Cowell ternganga
J. Kali ini Vaksincom akan mengadakan test atas beberapa tools yang
tersedia di internet dan semuanya bisa didapatkan secara Gratis.
Dan apa kesimpulan
akhir dari hasil pengetesan ini, apakah benar semua tools bisa membasmi
Conficker sampai ke akar-akarnya atau masih memerlukan beberapa tambahan
pekerjaan manual, silahkan lihat pada tabel perbandingan yang Vaksincom berikan
dan kesimpulan pada akhir artikel ini.
Conficker dan gejalanya
Sebelumnya, mari kita lihat kembali
beberapa gejala komputer terinfeksi
Conficker :
ü
Tidak bisa
akses domain name web security & tidak bisa update antivirus
Ini salah
satu ciri khas
dari conficker. Coba cek dengan akses pada
beberapa web security semisal www.microsoft.com, www.kaspersky.com dan
www.norman.com. Bandingkan dengan akses melalui ip dari web tsb,
http://65.55.12.249 (microsoft), http://195.27.181.34 (kaspersky) dan
http://87.238.48.130 (norman).
Jika browser anda tidak bisa
mengkases situs tersebut di atas dengan mengetikkan alamat situsnya TETAPI bisa
diakses jika mengetikkan alamat Ipnya, maka anda perlu "hakul" yakin bahwa
komptuernya terinfeksi Conficker (99 %).
Hal ini
dilakukan oleh Conficker
dengan
cara
melakukan
patch pada DNS Query, sehingga jika mengakses DNS tertentu akan diblok oleh
conficker.
ü
Mematikan dan
men-disabled beberapa Service Windows
Untuk memudahkan
infeksi secara efektif, Conficker mematikan beberapa services seperti Automatic
Updates (wuauserv), Background Intelligent Transfer Service (BITS), Error
Reporting Service (ERSvc), Help and Support (helpsvc), Security Center
(wscsvc).
ü
Membuat
service baru dan berjalan dengan mendompleng svchost
Hal ini bertujuan
agar mudah aktif dan menginfeksi komputer lain serta mendownload file virus.
ü
Membuat rule
firewall baru
Hal ini digunakan
agar conficker dapat keluar (menginfeksi komputer lain) dan masuk (update virus
baru) dengan mudah. Conficker menggunakan port antara 1024 s/d 10000. jika port
yang digunakan virus sama dengan program aplikasi kita, maka
aplikasi tersebut akan terganggu.
ü
Membuat
scheduled task
Hal ini digunakan
agar tetap running pada komputer yang terinfeksi. Agar optimal, Conficker
membuat beberapa scheduled task agar running setiap saat.
ü
Disable Show
Hidden File & System Restore
Hal ini digunakan
agar korban
tidak mudah melakukan pembersihan pada virus
yang sudah masuk dan
berhasil
menginfeksi komputer maupun drive flash / external.
ü
Disable
System Restore
Berfungsi agar
komputer korbannya tidak dapat mengembalikan
komputer ke setting awal sebelum di infeksi Conficker. Seperti kita
ketahui, System Restore merupakan fitur pada Windows XP / vista yang berfungsi
seperti mesin waktu yang dapat menolong kita jika terjadi salah instal /
terinfeksi virus dimana hanya dengan beberapa klik kita dapat mengembalikan
setting komputer pada hari / waktu sebelum komputer terinfeksi virus / salah
instal.
Here
are The Tools, Conficker Killer...
Dari beberapa tools yang ada,
Vaksincom mereview
beberapa tools yang familiar dan sering digunakan. Tools tsb terdapat 2
kategori, yaitu tools secara umum yang dikeluarkan oleh vendor
seperti Kaspersky AVP Removal Tools, Microsoft Malicious Software
Removal Tools, Stinger besutan Mc Afee dan Norman Malware Cleaner. Catatan
khusus untuk Norman Malware Cleaner, selain berfungsi untuk membersihkan
Conficker juga sekaligus berfungsi untuk membersihkan dan membasmi virus lain
dan Norman Malware Cleaner tidak hanya membasmi file virus saja tetapi juga
melakukan pembenahan komputer lebih jauh seperti repair host dan repair
registry.
Selain itu, Vaksincom
membandingkan tool
khusus untuk penanganan virus conficker saja yang tidak dapat
digunakan untuk membersihkan virus lain.
Berikut beberapa tools yang
tesedia sebagai
berikut :
1)
Kaspersky AVP Removal Tool
Merupakan tools
andalan dari Kaspersky Lab yang dibuat sebagai tools pengganti antivirus. Anda
dapat mendownload secara gratis. Tetapi sayangnya, tools ini harus diinstall
terlebih dahulu sebelum menggunakannya, sehingga jika komputer sudah terinfeksi
virus akan sangat sulit
jika
virus memblok instalasi
tools atau aplikasi sekuriti. Untuk conficker / kido,
AVP sudah menyertakan database-nya. Desain interface sangat mirip dengan
interface antivirus-nya. Sayang tidak bisa untuk repair registry, repair
service dan repair host yang diubah oleh virus. (lihat gambar
1)
Gambar 1, Kaspersky AVP Removal
Tools
2)
Norman Malware Cleaner
Dibandingkan versi sebelumnya, tools
GRATIS
buatan
Norman www.norman.com
ini mengalami
kemajuan yang pesat. Tools ini dapat dijadikan alternatif jika komputer
terinfeksi virus, karena mampu mengembalikan registry, service dan host yang
dibuat oleh virus/spyware. Untuk conficker, tools ini dapat dijadikan
alternatif pembersihan. Sayangnya jika tools ini memiliki masa expire (± 14
hari), jadi anda diharuskan untuk mendownload versi yang terbaru dari website norman http://norman.com/Virus/Virus_removal_tools/24789/.
Adapun aksi yang dapat dilakukan Norman Malware Cleaner adalah :
-
Menghentikan proses virus yang sedang berjalan.
-
Memberishkan file virus dari media (Flash Disk,
Harddisk etc), termasuk komponen ActiveX dan BHO (Browser Helper Object) yang banyak di
eksploitasi oleh Spyware.
-
Menemukan dan membasmi rootkit.
-
Mengembalikan nilai registri yang dirubah oleh virus (tidak
tersedia pada removal tools lain)
-
Membersihkan perubahan pada hosts file (tidak tersedia
pada removal tools lain).
-
Membenarkan rule Windows Firewall yang dibuat oleh virus.
Lihat gambar 2 dibawah untuk melihat Norman Malware
Cleaner menjalankan aksinya.
Gambar
2, Norman Malware Cleaner in action
3)
McAfee AVERT Stinger
Bagi anda pengguna
McAfee, tentunya familiar dengan nama ini. Stinger buatan AVERT
yang sempat menjadi salah satu pelopor tools pembersih virus andalan
para pengguna komputer dimasa awal kemunculannya.
Sayangnya, perkembangan
tools ini agak
lambat sehingga
mendapatkan saingan banyak tools-tools baru. Untuk conficker,
stinger sudah menyertakan databasenya. Masih memiliki desain yang simple
seperti dulu tetapi jika digunakan untuk membasmi Conficker, terkadang agak
sulit jika virus sudah menginjeksi file system windows dan gagal dibersihkan. (lihat gambar 3)
Gambar 3, Stinger in action
4)
Microsoft Malicious Software Removal Tool
Tools milik Microsoft
yang dapat dijadikan sebagai alternatif scan virus saja. Tools ini dapat
didownload secara otomatis setiap bulan dengan fitur automatic updates windows
yang ada. Lokasi file ini berada pada C:\WINDOWS\system32, dengan nama MRT.exe.
Tools ini memiliki fitur scan yang dapat disesuaikan dengan yang anda inginkan.
Jika menemukan virus yang aktif di memory, MRT akan meminta user untuk restart.
Walaupun dapat mendeteksi conficker, tetapi tools ini digunakan hanya untuk
scanning virus saja, tanpa merepair registry yang sudah dibuat oleh virus.
(lihat gambar 4)
Gambar 4, MWMSRT - Microsoft Windows Malicious Software Removal Tools
Sedangkan beberapa tools yang khusus
dibuat untuk
membasmi
conficker adalah sebagai berikut :
1)
KidoKiller (Kaspersky)
Tools khusus buatan Kaspersky Lab untuk
virus Conficker. Tools ini sudah masuk revisi 3 yaitu mendeteksi virus
conficker versi C/III. Fiturnya pun ditambah
terus
agar mampu
mendeteksi dan mendelete scheduled task, serta mampu mngembalikan system
restore. Kelebihan tools ini yaitu mampu mengembalikan fungsi DNS Query tanpa
harus restart komputer. Tools ini berjalan pada modus command prompt. Berbeda
dengan symantec, tools ini hanya scanning pada path tertentu saja yang
dicurigai terinfeksi conficker, sehingga waktu scanning menjadi lebih cepat.
(lihat gambar 5)
Gambar 5, KidoKiller by Kaspersky
2)
Fix Downad (Trend Micro)
Tools
keluaran Trend
Micro untuk mengatasi conficker ini sayangnya tidak
menyertakan database
/ patternnya
saat di download, sehingga kita harus mendownload terlebih dahulu pattern / database-nya.
Kelebihannya database
/ pattern
tsb dapat scanning dari virus/worm lain, sehingga dapat membersihkan virus
lain. Jika tools lain hanya terdiri dari satu file, tools ini memilki beberapa
file baik exe maupun file lain yang ternyata terdiri dari pengecekan database / pattern,
pengecekan schedule task, pengecekan patch windows, pengecekan virus,
pengecekan registry dan pengecekan services. Walau terdiri dari banyak file,
kita cukup menjalankan saja 1 file bat (batch file), yang kemudian akan
mengeksekusi file lain. (lihat gambar 6)
Gambar 6, FixTOOL Worm_Downad
oleh TrendMicro
3)
W32.Downadup Removal (Symantec)
Sesuai dengan
namanya, tools ini dibuat oleh perusahaan antivirus Symantec untuk mengatasi
virus conficker/downadup/kido.
(lihat gambar 7)
Gambar 7, Downad Removal Tool by
Symantec
Sekilas tools ini
sangat simple, hanya ada menu start, cancel dan about. Tools ini tidak memiliki
opsi
scanning drive yang diinginkan. Untuk
scanning, tools ini mampu mematikan proses virus, mendelete file virus dan
memperbaiki registry yang sudah diubah oleh virus. Sayangnya tools ini tidak
menghapus schedule task yang dibuat oleh virus, tidak menghapus rule firewall
yang dibuat oleh virus dan tidak mengembalikan system restore kembali normal.
Tetapi seperti guru SD saya,
tools ini memberikan
"nasehat" kepada user agar segera melakukan patching windows
dengan MS08-067.
Gambar 8, "Nasehat" yang
diberikan oleh Downad Removal Symantec
4)
EConfickerRemover
(ESET/NOD32)
Tidak mau
ketinggalan, ESET juga mengeluarkan tools khusus conficker bagi penggunanya.
Tools ini sangat sederhana,
sebenarnya kalau sederhana dan
ampuh itu yang dicari. Tetapi yang terjadi adalah sangking sederhanya sehingga anda harus
menjalankan melalui command prompt.
Tools ini
selain dapat mematikan proses virus dan mendeletenya,
tetapi tidak
ada hal khusus lain yang dilakukan. (lihat gambar 9)
Gambar 9, EconfickerRemover by
Eset
MEGA Test Conficker Tools
Adapun hasil
perbandingan 8 tools tersebut adalah sebagai berikut : (lihat tabel 1 dan 2)
Kategori Tools Umum :
|
Kategori |
Keterangan |
Kaspersky |
Norman |
McAfee |
Microsoft |
|
|
|
AVP Removal Tool |
Malware Cleaner |
AVERT Stinger |
Malicious Removal
Tool |
|
Virus Umum |
Penggunaan |
Instalasi |
Portable |
Portable |
Portable |
|
Virus/Spyware |
√ |
√ |
√ |
√ |
|
|
Repair Host |
- |
√ |
- |
- |
|
|
Repair Registry |
- |
√ |
- |
- |
|
|
Update Definisi |
√ |
√ |
√ |
√ |
|
|
Conficker |
Matikan Proses Virus |
√ |
√ |
√ |
√ |
|
Delete Virus |
√ |
√ |
√ |
Restart |
|
|
Delete Schedule Task |
- |
- |
- |
- |
|
|
Repair Service Windows |
- |
√ |
- |
- |
|
|
Delete Service Virus |
- |
√ |
- |
- |
|
|
Delete Rule Firewall |
- |
- |
- |
- |
|
|
Fix DNS Query |
- |
Restart |
- |
Restart |
|
|
Enable System Restore |
- |
- |
- |
- |
|
|
Repair Show Hidden |
- |
- |
- |
- |
Tabel 1, Perbandingan Conficker Tools kategori tools
umum
Kategori Tools Khusus :
|
Kategori |
Keterangan |
Kaspersky |
TrendMicro |
Symantec |
Eset (NOD32) |
|
|
|
KidoKiller |
Fix Downad |
W32.Downadup
Removal |
Conficker Remover |
|
Umum |
Penggunaan |
Portable |
Portable |
Portable |
Portable |
|
Virus/Spyware |
- |
√ |
- |
- |
|
|
Repair Host |
- |
- |
- |
- |
|
|
Repair Registry |
- |
- |
- |
- |
|
|
Update Definisi |
- |
√ |
- |
- |
|
|
Conficker |
Matikan Proses Virus |
√ |
√ |
√ |
√ |
|
Delete Virus |
√ |
√ |
√ |
Restart |
|
|
Delete Schedule Task |
√ |
√ |
- |
- |
|
|
Repair Service Windows |
- |
- |
Restart |
- |
|
|
Delete Service Virus |
√ |
√ |
- |
- |
|
|
Delete Rule Firewall |
- |
- |
- |
- |
|
|
Fix DNS Query |
√ |
Restart |
Restart |
Restart |
|
|
Enable System Restore |
√ |
- |
- |
- |
|
|
Repair Show Hidden |
√ |
- |
√ |
- |
Tabel 2, Perbandingan Conficker Tools kategori khusus
Dari hasil
pengetesan yang dilakukan oleh lab Vaksincom, baik tools khusus maupun
tools umum dapat dilihat bahwa Norman Malware Cleaner membersihkan lebih
lengkap dibandingkan tools umum lain karena melakukan "Repair Host", "Repair
Registry", "Repair Service Windows" dan "Delete Service Virus" yang tidak
dilakukan oleh Tools umum lainnya. Tetapi Norman Malware Cleaner tidak
melakukan "Delete Schedule Task" yang dibuat oleh virus dan hal ini dilakukan
oleh Kaspersky KidoKiller dan TrendMicro Fix Downad.
TrendMicro Fix downad
dan Kaspersky Kido Killer tidak melakukan Repair Host dan Repair Registry.
Ada satu keunggulan
Kaspersky Kido Killer dimana ia bisa melakukan Fix DNS Query tanpa mengharuskan
Windows Restart dimana tools lain setelah fix DNS Query mengharuskan Windows
restart.
Jadi dapat
disimpulkan bahwa Norman Malware Cleaner
menjadi pemenang untuk tools umum dan Kaspersky Kido Killer menjadi pemenang di
kategori tools khusus.
Adapun beberapa
perubahan yang dilakukan oleh Conficker yang perlu menjadi perhatian sekalipun
anda sudah menggunakan tools pembersihan adalah sebagai
berikut :
- Schedule Task
Hapus
schedule task yang sudah dibuat oleh virus.
(lihat gambar 10)
Gambar 10, Schedule Task yang
dibuat oleh Conficker
- Rule Firewall
Delete rule firewall
yang dibuat oleh virus. (lihat gambar 11)
Gambar 11, Hapus Rule Firewall
yang dibuat oleh Conficker
- Repair
Registry
Repair registry yang
dirubah oleh virus (service windows yang mati dan show hidden file). Buat
script pada notepad, kemudian save as menjadi repair.inf.
[Version]
Signature="$
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=
[UnhookRegKey]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden,
0x00000001,1
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,
0x00000001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0x00000001,1
HKLM,
SYSTEM\CurrentControlSet\Services\BITS, Start, 0x00000002,2
HKLM,
SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0x00000002,2
HKLM,
SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0x00000002,2
HKLM,
SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0x00000002,2
[
HKCU,
Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU,
Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM,
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections
- Clean temporary file
Bersihkan
temporary file, gunakan disk cleanup atau dapat menggunakan tools cleaner
seperti ATF Cleaner.
Tips
Pencegahan...
Dari hasil tes, walaupun sudah
dibersihkan tetapi virus/worm ini masih mudah masuk dikarenakan beberapa faktor
sebagai berikut :
-
Autoplay/Autorun
Windows
Lakukan pencegahan
dengan men-disable fungsi autoplay. Fungsi ini memudahkan conficker masuk dan
menginfeksi komputer.
-
Default Share
Windows
Fungsi ini memudahkan
virus/worm berusaha masuk melalui jaringan dengan mudah. Matikan fungsi ini
jika tidak diperlukan. Sebagai alternatif jika masih diperlukan gunakan password
komputer (baik lokal maupun jaringan) yang unik dan tidak standar/biasa serta
kombinasi angkadan huruf.
-
Patch Windows
Selalu rajin patch
windows. Hal ini akan mencegah dari serangan virus saat koneksi internet. Akan
lebih baik jika meng-aktifkan Automatic Updates.
-
Install
Antivirus dan Update
Terakhir, lakukan
instalasi antivirus dan selalu pastikan terupdate dengan baik.
Jika anda mengalami
infeksi Conficker yang membandel dan sudah mecoba berbagai macam cara tetapi
masih belum tuntas. Mungkin karena sudah gemas sampai anda memformat komputer-komputer
di jaringan tetapi setelah dihubungkan ke jaringan kembali terinfeksi. Ada
baiknya anda pertimbangkan untuk meminta bantuan support dari vendor antivirus
anda. Bagi pengguna Norman Virus Control for Corporate dapat menghubungi
teknisi Vaksincom untuk mendapatkan support onsite Free.
Salam,
Adi Saputra (AD Sap) &
Alfons Tanujaya
Offline 
Send Email