MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

5 Fakta Virus Conficker

Posted by Morphic pada Oktober 22, 2009


5 Fakta virus Conficker

Setelah aku teliti-teliti ada beberapa fakta pada virus conficker.

1. Conficker menulari flashdisk dengan 2 file dan 2 folder.
Kalau yang satu ini aku rasa semua udah pada tahu. Ada dua file dan ada dua folder. Kedua file yang dimaksud adalah autorun.inf dan jwgkvsq.vmx
Dan dua folder yang dimaksud adalah “RECYCLER” dan “S-5-3-42-2819952290-8240758988-879315005-3665” yang berada di dalam folder “Recycler”
Dan perlu ditekankan sekali lagi bahwa conficker berbeda dengan virus Recycler.

Kesamaan antara kedua virus ini adalah keduanya sama-sama membuat folder “Recycler”

2. Ukuran kedua file milik Conficker mudah ditebak!
Inti dari fakta kedua ini:
file autorun.inf milik Conicker selalu di atas 55KB. Dan umumnya berukuran 58Kb.
File jwgkvsq.vmx milik Conficker selalu di atas 150 KB.

Fakta kedua ini sebenarnya sudah aku bahas dulu. Baca lagi artikel yang berjudul “Trik cegah segala varian conficker”

Dengan adanya fakta kedua ini, banyak AV yang sudah bisa menghajar varian-varian conficker yang datangnya dari flashdisk.

Smad*V juga memanfaatkan peluang ini. Tentunya file jqgkvsq.vmx yang ada di flashdiskmu pasti terdetek. Tapi kalo file itu direname, pasti smad*v tidak mendeteknya sebagai virus. Sebenarnya begitu juga dengan Morphost.

3. Virus Conficker adalah virus yang lebih abstrak.
Semua sudah tahu kalo virus komputer adalah hal yang abstrak. Kalo conficker ini lebih dari abstrak.
Komputer yang sudah sempat terinfeksi, kalo discan pake AV lokal (termasuk morphost juga), pasti si conficker gak ketemu. Sementara kalo di flashdisk pasti terdetek.

4. Flashdisk yang terinfeksi mudah dibersihkan.
jangan anggap remeh fakta yang keempat ini. Biasanya kalo flashdisk kita bervirus, pastinya kita membersihkan flashdisk kita d komputer lain yang bersih.
Tapi khusus untuk conficker, flashdisk kita yang udah sempat kena inipun bisa dibersihkan di komputer yang memang sudah terinfeksi conficker.
Sederhananya flashdisk kita yang bervirus bisa dibersihkan secara langsung di komputer korban.
Cukup hapus kedua file conficker!
Untuk melihat bukti bisa cek di komputer yang bersih!

5. Conficker akan mati jika svchost.exe juga mati!
Ini adalah penelitian terakhir kami (MorphostLab). Setelah kami cek, ternyata svchost.exe punya peranan penting bagi conficker. Kesimpulan sederhananya conficker bergantung hidup pada svchost.exe

Kami pastikan bahwa conficker sendiri punya services di komputer korban. Namun tidak jelas services yang mana. (Mungkin beberapa dari pembaca ada yang sudah tahu services milik conficker).
Di SERVICES.MSC ada banyak services yang berstartup ”svchost.exe”.

Supaya lebih pasti kami merename langsung key regedit svchost.
HKLM\software\microsoft\windows NT\currentversion\svchost

Setelah komputer direstart, conficker akan mati.

Catatan:
Setelah komputer direstart akan ada dampak-dampakanya.
-startup makin lambat.
-tampilan welcome dan munculnya desktop sangat lambat sekali.
-tampilan XP akan berubah menjadi tampilan windows 98.
-pada task manager tidak ada process ”SVCHOST.exe”

By: Morphic
http://www.morphostlab.co.nr

thanks to:
-Aditia Perdana designer MorphostLab

15 Tanggapan to “5 Fakta Virus Conficker”

  1. nyiur said

    kalo gak salah, confiker menerapkan teknik inject dll, yaitu meninject dll ke proses proses misalnya svchost.exe
    file convicker sendiri bukan executable(file yang dapat langsung dapat dieksekusi) tapi merupakan file dll (library) yang dipancing aplikasi lain untuk dijalankan pertama kali, misalnya rundll32.exe

    CMIIW=TRUE🙂

  2. muamarkudo said

    om…boleh minta biodatanya? cz mau dijadiin artikel di blogku, profil2 av-maker di indo…

  3. yudha said

    phic, klo mau ganti foto avatar yg disebalah kanan gmana yah? aku mau pakai foto ku yg diblog itu phic… he..he.. Numpang Tenar..

    • Morphic said

      oooo, aku kurang ngerti juga tuh…

      coba tanya si bekabe…

      yang comment-nya dibawah ku ini…

      dia juga punya blogspot sama kyk kw.

  4. Neo BeKaBe said

    Tman2, gmana cara ngebalas komen? Apa mang gak bs klo pkai HP?

    Sat, n’tar klo diminta paswot tu paket ya msukin aja No ku, bukan pkai +62, tp lgsng 08 smpai sterusnya ya!😉 ting.

  5. Neo BeKaBe said

    Tman2, udh nyoba paket yg ada di blog BeKaBe blum? Di artikel yg brjudul Membersihkan Virus Conficker – Recycler VMX itu sudah ku lengkapi senjata penunjang, kali aja bisa dipakai buat kalian mnganalisa!

  6. Ak jg heran, pas smw proses svchost.exe dikill, gk terjadi lg penyabaran ke FD, (atau conficker gk jln lg)
    Why?

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: