Assalamualaikum,

Seperti yang pembaca semua maklum, selain virus H1N1 atau Swine Flu (selsema khinzir) yang semakin merebak di serata dunia, masih terdapat worm yang dikenali sebagai Downadup/Conficker/Kido (nama berlainan adalah berdasarkan apa yang antivirus yang mengesan menamakannya) yang masih berkeliaran di dunia online.

Asal Usul:
Worm ini berasal daripada… daripada.. penulis virus yang mengeksploitasikan servis server di Microsoft Windows 2000 SP4, XP SP2 and SP3, Server 2003 SP1 and SP2, Vista Gold and SP1, Server 2008, dan 7 Pre-Beta (rujuk: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx) yang membolehkan penyerang jarak jauh melancarkan kod arbitrary melalui permintaan RPC (Remote Procedure Call) yang digubah supaya ia memulakan buffer overflow semasa path Canonicalization.

Nama-nama lain:
Win32/Conficker.A [Computer Associates],
W32/Downadup.A [F-Secure],
Conficker.A [Panda Software],
Net-Worm.Win32.Kido.bt [Kaspersky],
WORM_DOWNAD.AP [Trend]
* Sehingga kini, lima variant worm tersebut telah dikesan daripada A,B,C,D dan E.

Tanda-tanda ada worm tersebut:
1. Anda mengklik opsyen palsu ‘Open Folder to View Files’ dalam pendrive anda. Lihat terdapat dua opsyen tersebut:

2. Anda mengklik dua kali sahaja pada bahagian Removable Storage. Perhatikan ikon tersebut, agak janggal, tetapi ikon boleh berubah. Cuma jangan klik dua kali.

3. Ada sesetengah orang menggunakan Map Drive untuk memudahkan kerja-kerja di network. Ini juga berkemungkinan akan membolehkan serangan ke atas komputer anda tanpa perlu pengesahan:

Rujukan: http://www.downadup.com/what-virus-downadup.php

Apa yang berlaku kepada komputer anda?
Terlalu panjang untuk Dekan jelaskan, rujuk laman web ini untuk maklumat lanjut:
http://en.wikipedia.org/wiki/Conficker
http://www.f-secure.com/v-descs/worm_w32_downadup_a.shtml
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=2

Cara virus bertindak

Secara ringkasnya, worm tersebut akan mencipta dan mengubah registry komputer anda. Kemudian ia akan mencuba connect ke laman web tertentu hanya untuk mendapatkan masa sebenar komputer tersebut. Jika tiada akses ke internet, ia akan membaca masa yang terdapat di komputer anda sahaja. Kemudian, pada tarikh-tarikh tertentu ia akan cuba connect domain-domain laman web tertentu dan daripada situ, mana-mana komputer yang dijangkiti akan dapat dikawal oleh penjahat. Worm itu juga berupaya men’generate’ senarai domain-domain baru berdasarkan tarikh hari, bulan, dan tahun. Setakat ini tiada tindakan diambil oleh penjenayah tersebut kerana semua aktiviti mereka diawasi oleh semua professional sekuriti.

Cara untuk membuang virus tersebut
Menggunakan tools yang diberikan oleh antivirus-antivirus secara percuma. Anda juga boleh merujuk di sini:
http://www.downadup.com/remove-downadup.php

Sekian sahaja secara ringkas untuk pengetahuan anda semua. 🙂

P/S: Mungkinkah ia akan dinobatkan sebagai worm-of-the-year untuk Tahun 2009? :p

Post Yang Berkaitan