Remove Downadup , Kido dan Conficker di Network

Seperti yang kubahas di Remove Virus / worm W32.Downadup.B
pembersihan computer stand alone tidaklah sesulit computer network, apalagi kita menggunakan active directory / domain controller. Pada computer di network ini, kita akan menemui gejala terputusnya network kita, baik itu share folder maupun share printer atau periperal lainnya. Jika computer kita terhubung ke internet, kita tidak akan dapat melakukan update
antivirus secara online maupun mengunjungi situs antivirus, dan situs microsoft (tapi jika di akses lewat ip-nya bisa). Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi. Dan masih banyak lagi seperti yang kubahas sebelumnnya.

Gejala di Network Active Directory / Domain Controller
Dalam computer network active directory / domain controller cara -cara yang kulakukan seperti di Remove Virus / worm W32.Downadup.B tidak benar benar membersihkan virus / worm ini dari network. Suatu PC yang terkonek ke network dan sudah ter update antivirusnya (gabungan symantec dan AVG) akan kembali menunjukkan peringatan banwa virus / worm masih ada dan walaupun kita sudah melakukan remove, hal itu tetap terjadi terus, dan PC tersebut akan booting (terutama yang pakai symantec, yang pakai AVG tidak). Aku sendiri bingung kok bisa begini efeknya di PC yang antivirus symantec (antivirus lainnya tidak), apa ini kesalahan symantec untuk me remove atau itu merupakan suatu pengamanan dari symantec. Dan ternyata hal ini disebabkan karena symantec lah yang benar benar bisa me remove virus ini. Dan dikarenakan virus / worm ini menggunakan celah dari Microsoft Windows Server Service RPC seperti yang kubahas di Worm Windows Server Service RPC maka terputusnya virus ini akan mengakibatkan booting.
Cara Pembersihan Virus / Worm
Banyak cara yang kulakukan untuk membersihkan virus / worm ini di network, semua artikel yang ada di internet kucoba semu, baik itu yang ada di vaksin.com sampai di website resmi Microsoft yang membahas tentang ini. Cara cara yang dibahas di vaksin.com atau site lainnya tidak juga membersihkan secara bersih. Di http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx diulas secara lengkap, tapi salah satu cara yang ada disitu (remove permission) akan menyebabkan error / lock.
Setelah berpusing ria, ada beberapa cara yang kuterapkan, dan apakah virus ini benar benar bersih aku sendiri tidak tahu, yang penting PC yang terkonek di jaringan / network, bisa connect ke network (login, share, browsing).
caranya :
  • Putus connection computer (network / internet), jika menggunakan active directory, login lewat local user ( administrator this computer )
  • Matikan system restore (Windows XP / Vista)
  • Matikan proses virus yang aktif pada services. Gunakan removal tool
  • Jika kurang bersih lakukan secara manual dg me remove svchost gadungan, Gunakan Autoruns atau Process Explorer atau CurrProcess atau HijackThis atau lainnya yang cocok dari pada pakai regedit dan cari kata2 acak/ aneh di svchost.
  • Matikan semua share ( admin shares ) di server service. click Run, type services.msc, ok. Double-click Server, Click Stop, Select Disabled in the Startup type box, Click Apply
  • Remove semua AT-created scheduled tasks. type AT /Delete /Yes di command prompt
  • Stop Task Scheduler service
  • Install security update 958644 (MS08-067), seperti yang kubahas di Worm Windows Server Service RPC
  • Di Registry Editor, locate dan click registry subkey:
    HKEY_LOCAL_MACHINE
    SOFTWAREMicrosoftWindows NTCurrentVersionSvcHost right-click netsvcs entry, dan click Modify. Delete line yg me reference malware service tersebut. Hati-hati sebelum pengahapusan yakinkan bahwa itu benar-benar malware service, lihat infomation lebih lanjut atau lihat service ini di PC lain yang tidak ter infeksi
  • Buat downadup.inf seperti di vaksin.com dan run.

    [Version]
    Signature=”$Chicago$”
    Provider=Vaksincom Oyee[DefaultInstall]
    AddReg=UnhookRegKey
    DelReg=del

    [UnhookRegKey]
    HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced, Hidden, 0×00000001,1
    HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced, SuperHidden, 0×00000001,1
    HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL, CheckedValue, 0×00000001,1
    HKLM, SYSTEMCurrentControlSetServicesBITS, Start, 0×00000002,2
    HKLM, SYSTEMCurrentControlSetServicesERSvc, Start, 0×00000002,2
    HKLM, SYSTEMCurrentControlSetServiceswscsvc, Start, 0×00000002,2
    HKLM, SYSTEMCurrentControlSetServiceswuauserv, Start, 0×00000002,2

    [del]
    HKCU, SoftwareMicrosoftWindowsCurrentVersionApplets, dl
    HKCU, SoftwareMicrosoftWindowsCurrentVersionApplets, ds
    HKLM, SOFTWAREMicrosoftWindowsCurrentVersionApplets, dl
    HKLM, SOFTWAREMicrosoftWindowsCurrentVersionApplets, ds
    HKLM, SYSTEMCurrentControlSetServicesTcpipParameters, TcpNumConnections
  • Restart computer dengan tetap tidak ter konek ke network dan pakai local user (administrator this computer)
  • Cek virus lagi dengan removal tool atau lakukan akses ke server (share folder untuk domain controller ) atau lakukan akses ke internet yang di blok tadi ( internet ).
  • Jika salah satu di atas normal, restart computer kembali
  • Login lewat domain untuk domain controller.
  • Re-enable Server service untuk meng enable share lagi.
  • Update computer security updates. Gunakan Windows Update, Microsoft Windows Server Update Services (WSUS) server, Systems Management Server (SMS), System Center Configuration Manager (SCCM), atau third-party update management product. Jika menggunakan SMS atau SCCM
  • Jangan lupa update antivirus, dan usahakan secara online update
  • Jangan gunakan antivirus dari Asia, Cina dan Rusia
  • Jika masih bermasalah (sering restart), jangan gunakan antivirus symantec ( aku sendiri belum mengetahui kenapa)
Mungkin ada tambahan yang bisa membantu…….
Memunculkan file yang hilang
Kebanyakan worm lokal yang beredar di Indonesia beraksi dengan menyembunyikan folder/file. Untuk memunculkan folder/file yang disembunyikan, ada beberapa cara, yang mungkin sudah banyak yang tahu. Tapi, tidak ada salahnya di blog ini saya tulis ulang. Adapun cara memunculkan kembali folder/file yang hilang adalah sebagai berikut:
1. Cara yang umum adalah dengan menggunakan perintah attrib [drive:] [path] *.* -h -r -s /s /d

di sistem DOS.
Contohnya, attrib D:/document/*.* -h -r -s /s /d jika file dan folder yang dimunculkan ada di direktory D:/document
2. Cara praktisnya, pakai ANSAVdi menu Plugins-Hidden Revealer atau Gucup Antivirus di menu tools-option-show hidden folder selection
3. Cara lain, bisa menggunakan perintah untuk registry . Copy text di bawah ini ke notepad, lalu simpan dengan nama MunculFolder.reg (file type all files) .

penyelidikan perusahaan antivirus terbesar terutama symantec
REMOVAL  BY SYMANTEC

1. Disable System Restore (Windows Me/XP).
When you are completely finished with the removal procedure and are satisfied that the threat has been removed, reenable System Restore by following the instructions in the aforementioned documents.
2. Update the virus definitions.
Running LiveUpdate, which is the easiest way to obtain virus definitions.
3. Find and stop the service.
  1. Click Start > Run.
  2. Type services.msc, and then click OK.
  3. Locate and select the service that was detected.
  4. Click Action > Properties.
  5. Click Stop.
  6. Change Startup Type to Manual.
  7. Click OK and close the Services window.
  8. Restart the computer.
4. Run a full system scan.
Start your antivirus program and make sure that it is configured to scan all the files. Run a full system scan. If any files are detected, follow the instructions displayed by your antivirus program. After the files are deleted, restart the computer in Normal mode and proceed with the next section. Warning messages may be displayed when the computer is restarted, since the threat may not be fully removed at this point. You can ignore these messages and click OK. These messages will not appear when the computer is restarted after the removal instructions have been fully completed. The messages displayed may be similar to the following :
Title: [FILE PATH]
Message body: Windows cannot find [FILE NAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.
5. Delete any values added to the registry.
  1. Click Start > Run.
  2. Type regedit
  3. Click OK.
  4. Navigate to and delete the following registry subkeys :
    • HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer[CLSID 1]
    • HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer[CLSID 1]
  5. Navigate to and delete the following registry entries:
    • HKCUSoftwareMicrosoftWindowsCurrentVersionRun”[RANDOM CHARACTERS]” = “rundll32.exe “[RANDOM DLL FILE NAME]“, [RANDOM PARAMETER STRING]“
    • HKLMSYSTEMCurrentControlSetServices[RANDOM CHARACTERS]”ImagePath” = “%System%svchost.exe -k netsvcs”
    • HKLMSYSTEMCurrentControlSetServices[RANDOM CHARACTERS]Parameters”ServiceDll” = “[PATH TO THE THREAT]“
    • HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer[CLSID 2]”[WORD 1][WORD 2]” = “[BINARY DATA]“
    • HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer[CLSID 2]”[WORD 1][WORD 2]” = “[BINARY DATA]“
    • HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer[CLSID 2]”[WORD 1][WORD 2]” = “[BINARY DATA]“
    • HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorer[CLSID 2]”[WORD 1][WORD 2]” = “[BINARY DATA]“
    • HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer[CLSID 2]”[WORD 1][WORD 2]” = “[BINARY DATA]“
    • HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer[CLSID 2]”[WORD 1][WORD 2]” = “[BINARY DATA]“
  6. Restore the following registry entries to their previous values, if required:
    • HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun”Windows Defender”
    • HKLMSOFTWAREMicrosoftWindowsCurrentVersionexplorerShellServiceObjects{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
    • HKLMSYSTEMCurrentControlSetControlSafeBoot
  7. Exit the Registry Editor.
Note: If the risk creates or modifies registry subkeys or entries under HKEY_CURRENT_USER, it is possible that it created them for every user on the compromised computer. To ensure that all registry subkeys or entries are removed or restored, log on using each user account and check for any HKEY_CURRENT_USER items listed above.

0 komentar:

Posting Komentar