Serangan Mematikan Kido

Beberapa waktu belakangan ini, sebuah worm bernama Kido (nama lainnya Conficker atau Downdup) sangat ramai diberitakan terutama karena tingkat bahaya yang tinggi. Dengan adanya rumor yang mengatakan bahwa virus tersebut telah melakukan update besar-besaran pada tanggal 1 April 2009 lalu, membuat worm ini makin berbahaya.

Kido merupakan sebuah virus yang menyerang celah pada Windows, tepatnya celah MS08-067. Sebenarnya, Windows sudah menambal celah yang ada, namun masih saja terdengar kabar bahwa worm tersebut masih merajalela dengan mudah. Hal ini disebabkan karena masih banyak orang yang belum melakukan update pada Windows mereka. Worm ini juga ternyata memiliki kemampuan untuk membuat dirinya tak terdeteksi dan dapat menghindari perbaikan. Selain itu, worm ini juga membatasi akses user untuk melakukan update. Hal ini membuat worm Kido semakin berbahaya.

Hingga saat ini Kido telah memasuki versi ketiga. Versi ketiga ini tetap menjadi ancaman yang sangat berarti terutama dengan kemampuannya untuk melakukan update pada dirinya sendiri secara otomatis melalui website yang terus-menerus berubah. Selain itu, Kido juga menyebar melalui jaringan lokal untuk melakukan update pada diriya sendiri. Virus yang sangat berbahaya ini juga dibungkus dengan kode enkripsi yang sangat baik dan rumit yang dapat mematikan feature keamanan.

Setelah mengetahui sekilas tentang Kido, mari kita simak bagaimana cara mengetahui apabila komputer Anda sudah terinfeksi worm ini atau belum:

* Jika salah satu komputer dalam jaringan Anda sudah terinfeksi, maka lalu lintas jaringan Anda akan meningkat, karena disebabkan oleh komputer yang terinfeksi secara terus menerus berusaha menginfeksi komputer yang belum terinfeksi dalam jaringan.
* Jika Anda menggunakan antivirus yang memiliki feature “Intrusion Detection Systems” maka akan ada peringatan yang isinya : Intrusion.Win.NETAPI.buffer-overflow.exploit.

Berikut cara kerja Kido pada komputer yang telah terinfeksi:

1. Kido membuat file autorun.inf dan RECYCLED\{SID<....>}\RANDOM_NAME.vmx pada media penyimpanan seperti USB flash disk (kadang-kadang di folder yang di-share pada jaringan).
2. Kido menempatkan dirinya dalam sistem sebagai file DLL dengan nama acak, misalnya c:\windows\system32\zorizr.dll.
3. Dalam sistem, Kido terdaftar dalam service dengan nama acak, misalnya knqdgsm.
4. Kido mencoba menyerang komputer dalam jaringan dengan port 445 atau 139 TCP, menggunakan celah MS08-067.
5. Kido mencoba menghubungkan diri ke situs-situs web berikut ini (kami sarankan penggunaan firewall untuk mengawasi koneksi ke situs-situs web ini):

o http://www.getmyip.org
o http://getmyip.co.uk
o http://www.whatsmyipaddress.com
o http://www.whatismyip.org
o http://checkip.dyndns.org
o http://schemas.xmlsoap.org/soap/envelope/
o http://schemas.xmlsoap.org/soap/encoding/
o http://schemas.xmlsoap.org/soap/envelope/
o http://schemas.xmlsoap.org/soap/encoding/
o http://trafficconverter.biz/4vir/antispyware/loadadv.exe
o http://trafficconverter.biz
o http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz


Untuk mencegah seluruh komputer dan server terinfeksi Kido, Anda disarankan melakukan langkah-langkah berikut ini:

* Instal patch dari Microsoft yang digunakan untuk menutup celah MS08-067, MS08-068, MS09-001.
* Pastikan password account administrator lokal tidak dapat dibobol dengan mudah—password minimal harus terdiri dari 6 karakter yang merupakan perpaduan antara huruf kapital dan non-kapital, angka, serta karakter spesial seperti tanda baca.
* Matikan feature yang menjalankan file dalam USB flash disk secara otomatis (Auto Run).


Untuk melakukan pembersihan komputer dari worm ini, Anda harus download piranti khusus yang diberi nama KKiller.exe (http://data2.kaspersky.com:8080/special/KKiller_v3.4.3.zip)
Peranti KKiller.exe dapat dijalankan secara lokal pada komputer yang sudah terinfeksi atau dijalankan secara remote dengan bantukan Kaspersky Administration Kit.

Untuk Menghapus Secara Lokal

1. Download KKiller_v3.4.3.zip dan ekstrak paket tersebut ke sebuah folder dalam komputer yang sudah terinfeksi.
2. Jalankan file KKiller.exe.
3. Ketika scan sudah selesai, jendela command prompt bisa muncul pada layar monitor. Untuk me-minimize jendela itu, tekan sembarang tombol. Agar jendela itu ditutup secara otomatis, disarankan agar KKiller.exe dijalankan dengan parameter “-y”.
4. Tunggu sampai proses scan selesai.
5. Bila Agnitum Outpost Firewall terinstal pada komputer yang menjalankan KKiller.exe, restart setelah penggunaan KKiller.exe.
6. Lakukan full scan pada komputer dengan Kaspersky Anti-Virus.


Untuk Menghapus dengan Administration Kit

1. Download KKiller_v3.4.3.zip dan ekstrak isinya ke dalam sebuah folder.
2. Dalam konsol Administration Kit, buatlah paket instalasi untuk KKiller.exe. Dalam pengaturan paket instalasi, pilih “Make installation package for speficied executable file”.
3. Pada kotak “Executable file command line (optional)” tulisan parameter “-y” agar jendela konsol tertutup secara otomatis setelah proses selesai
4. Buat task untuk instalasi jarak jauh yang dapat dilakukan secara global atau hanya grup tertentu. Jalankan task itu.
5. KKiller.exe dapat dijalankan pada semua komputer dalam jaringan.
6. Ketika KKiller.exe sudah selesai bekerja, scan setiap komptuer menggunakan Kaspersky Anti-Virus.
7. Kalau Agnitum Outpost Firewall terinstal pada komputer, restart PC setelah KKiller.exe digunakan.
8. Untuk mendapat informasi tambahan, jalankan KKiller.exe dengan parameter tambahan “-help”.


Source: Kaspersky Lab
sumber :http://www.chip.co.id/

BUKU PANDUAN LENGKAP CARA CEPAT HAMIL, Untuk Pemesanan Klik Banner di Bawah Ini!!

Cara Cepat Hamil

Buku Panduan Lengkap Cara Cepat Hamil ini resmi diterbitkan oleh penerbitan online Digi Pustaka dan hingga saat ini sudah naik cetak sebanyak 5 kali Bonus KONSULTASI GRATIS.

1 comment:

  1. Kido kido gawatzzzz........ kudu ati2.. thx mas inponya

    ReplyDelete

Silakan Berkomentar, Spam terpaksa saya hapus