Virus Kido dan Cara menghapusnya
Apakah Kido?
Kido (aka Conficker atau Downadup) pertama kali terdeteksi pada bulan November 2008 sebagai worm yang menyebar di jaringan lokal dan removable media penyimpanan. Generasi terbaru dari Kido tidak dapat menyebar dengan sendirinya, tetapi seperti varian sebelumnya, ia dapat memperbarui diri dengan men-download kode tambahan.
Kido telah menciptakan sebuah mesin botnet yang terinfeksi. Ia diprogram untuk memperbarui diri pada 1 April 2009, dan generasi terbaru dari program ini dirancang untuk menghasilkan 50.000 nama domain yang sesuai dengan algoritma acak, kemudian memilih dari 500 domain yang berpotensi untuk memperbarui kontak itu sendiri. Kido sangat menggunakan teknologi canggih. It download pembaruan terus berubah online; P2P menggunakan jaringan sebagai tambahan sumber download; menggunakan enkripsi yang kuat untuk mencegah gangguan dengan pusat komando dan kontrol, dan mencegah dari produk antivirus menerima update.
Tetap tidak jelas mengapa Kido botnet telah dibuat, dan bagaimana ia dapat digunakan di masa depan.
Mengapa Kido ancaman?
Botnet besar yang dibentuk oleh komputer terinfeksi oleh Kido berpotensi cybercriminals dengan menyediakan sarana untuk melakukan serangan DDoS massa pada sumberdaya Internet, rahasia untuk mencuri data dari komputer terinfeksi dan menyebarkan konten yang tidak diinginkan (misalnya massa surat spam). Hal ini diyakini bahwa sekitar lima sampai enam juta komputer di seluruh dunia terinfeksi oleh Kido.
Kido lokal pada awalnya menyebar melalui jaringan dan perangkat removable storage. Khususnya, ia dieksploitasi penting MS08-067 patch kerentanan oleh Microsoft kembali pada Oktober 2008. Namun, sangat percaya bahwa sejumlah besar PC belum patch oleh Januari 2009 ketika penyebaran Kido mencapai puncak.
Informasi lebih lanjut tentang cara Kido penetrates komputer dapat ditemukan di sini:
* Http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782725
* Http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782733
* Http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782749
* Http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782790
Bagaimana cara mencegah infeksi Kido?
Ada beberapa referensi yang boleh di coba
Peranti khusus bernama KKiller.exe dapat digunakan untuk menghapus worm ini.
Untuk mencegah seluruh komputer dan server terinfeksi Kido, Anda disarankan melakukan langkah-langkah berikut ini:
Untuk Menghapus Secara Lokal
1. Matikan Proteksi antivirus.
2.Download KIDOKILLER disini
3. JANGAN DIJALANKAN DULU FILE .exe NYA"
4. Kemudian buka Command Prompt atau dari Run, Ketik CMD.
5. Masuk kedalam folder tempat keberadaannya kidokiller.exe
6. Jalankan perintah: kidokiller.exe -v -p %windir%\system32\
7. Biarkan proses berjalan sampai selesai.
8. Nyalakan kembali Antivirus.
Kido (aka Conficker atau Downadup) pertama kali terdeteksi pada bulan November 2008 sebagai worm yang menyebar di jaringan lokal dan removable media penyimpanan. Generasi terbaru dari Kido tidak dapat menyebar dengan sendirinya, tetapi seperti varian sebelumnya, ia dapat memperbarui diri dengan men-download kode tambahan.
Kido telah menciptakan sebuah mesin botnet yang terinfeksi. Ia diprogram untuk memperbarui diri pada 1 April 2009, dan generasi terbaru dari program ini dirancang untuk menghasilkan 50.000 nama domain yang sesuai dengan algoritma acak, kemudian memilih dari 500 domain yang berpotensi untuk memperbarui kontak itu sendiri. Kido sangat menggunakan teknologi canggih. It download pembaruan terus berubah online; P2P menggunakan jaringan sebagai tambahan sumber download; menggunakan enkripsi yang kuat untuk mencegah gangguan dengan pusat komando dan kontrol, dan mencegah dari produk antivirus menerima update.
Tetap tidak jelas mengapa Kido botnet telah dibuat, dan bagaimana ia dapat digunakan di masa depan.
Mengapa Kido ancaman?
Botnet besar yang dibentuk oleh komputer terinfeksi oleh Kido berpotensi cybercriminals dengan menyediakan sarana untuk melakukan serangan DDoS massa pada sumberdaya Internet, rahasia untuk mencuri data dari komputer terinfeksi dan menyebarkan konten yang tidak diinginkan (misalnya massa surat spam). Hal ini diyakini bahwa sekitar lima sampai enam juta komputer di seluruh dunia terinfeksi oleh Kido.
Kido lokal pada awalnya menyebar melalui jaringan dan perangkat removable storage. Khususnya, ia dieksploitasi penting MS08-067 patch kerentanan oleh Microsoft kembali pada Oktober 2008. Namun, sangat percaya bahwa sejumlah besar PC belum patch oleh Januari 2009 ketika penyebaran Kido mencapai puncak.
Informasi lebih lanjut tentang cara Kido penetrates komputer dapat ditemukan di sini:
* Http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782725
* Http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782733
* Http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782749
* Http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782790
Bagaimana cara mencegah infeksi Kido?
Ada beberapa referensi yang boleh di coba
Peranti khusus bernama KKiller.exe dapat digunakan untuk menghapus worm ini.
Untuk mencegah seluruh komputer dan server terinfeksi Kido, Anda disarankan melakukan langkah-langkah berikut ini:
- Instal patch dari Microsoft yang menutup celah MS08-067, MS08-068, MS09-001.
- Pastikan password akun administrator lokal tidak dapat diterka dengan mudah—password minimal harus terdiri dari 6 karakter yang merupakan perpaduan antara huruf kapital dan non-kapital, angka, serta karakter spesial seperti tanda baca.
- Matikan fitur yang menjalankan file dalam USB flash disk secara otomatis.
Untuk Menghapus Secara Lokal
- Unduh KKiller_v3.4.3.zip dan ekstrak paket itu ke sebuah folder dalam komputer yang sudah terinfeksi.
- Jalankan file KKiller.exe. Ketika scan sudah selesai, jendela command prompt bsia muncul pada layar monitor. Untuk me-minimize jendela itu, tekan sembarang ombol. Agar jendela itu ditutup secara otomatis, disarankan gar KKiller.exe dijalankan dengan parameter “-y”.
- Tunggu sampai proses scan selesai.Bila Agnitum Outpost Firewall terinstal pada komputer yang menjalankan KKiller.exe, restart setelah penggunaan KKiller.exe.
- Lakukan full scan pada komputer dengan Kaspersky Anti-Virus.
- Unduh KKiller_v3.4.3.zip dan ekstrak isinya ke dalam sebuah folder.
- Dalam konsol Administration Kit, buatlah paket instalasi untuk KKiller.exe. Dalam pengaturan paket instalasi, pilih “Make installation package for speficied executable file”.Pada kotak “Executable file command line (optional)” tulisan parameter “-y” agar jendela konsol tertutup secara otomatis setelah proses selesai.
- Buat task untuk instalasi jarak jauh yang dapat dilakukan secara global atau hanya grup tertentu. Jalankan task itu. KKiller.exe dapat dijalankan pada semua komputer dalam jaringan.
- Ketika KKiller.exe sudah selesai bekerja, scan setiap komputer menggunakan Kaspersky Anti-Virus.Kalau Agnitum Outpost Firewall terinstal pada komputer, restart PC setelah KKiller.exe digunakan. Untuk mendapat informasi tambahan, jalankan KKiller.exe dengan parameter tambahan “-help”.
- Putuskan komputer yang akan dibersihkan dari
jaringan/internet. - Matikan system restore (Windows XP/Vista).
- Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Jika belum memiliki, bisa didownload di situs norman.
- Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.
- Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)
- Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini:Gunakan notepad, kemudian simpan dengan nama ‘repair.inf’, lalu ‘Save As Type’ menjadi ‘All Files’ agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih install.Code:
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
Hidden, 0×00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden, 0×00000001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0×00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections
Sementara untuk file yang aktif pada startup, Anda dapat mendisable melalui ‘msconfig’ atau dapat mendelete secara manual pada string: ‘HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run’
7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini dengan baik dan patch komputer Anda dengan patch resmi dari Microsoft guna mencegah infeksi ulang.
1. Matikan Proteksi antivirus.
2.Download KIDOKILLER disini
3. JANGAN DIJALANKAN DULU FILE .exe NYA"
4. Kemudian buka Command Prompt atau dari Run, Ketik CMD.
5. Masuk kedalam folder tempat keberadaannya kidokiller.exe
6. Jalankan perintah: kidokiller.exe -v -p %windir%\system32\
7. Biarkan proses berjalan sampai selesai.
8. Nyalakan kembali Antivirus.
posted by Weddy's Blog | 1:36 AM
0 Comments:
Post a Comment
Subscribe to Post Comments [Atom]
<< Home