mengatasi virus conficker

>> Kamis, 19 Maret 2009

Akhir-akhir ini banyak virus beredar dan yang terakhir dan sempat bikin pusing yaitu virus conficker versi microsoft, kido versi kaspersky dan downup versi symantec. Sebenarnya tidak terlalu berbahaya tetapi cukup mengganggu karena cara penyebarannya yang mencoba melakukan akses ke jaringan membuat account user di active directory menjadi terkunci. Account terkunci karena policy untuk acount locked diaktifkan dan akan terkunci apabila user mencoba logon menggunakan password yang salah selama beberapa kali.

Adapun akibat dari virus conficker ini adalah :

  1. account user locked.
  2. mematikan service Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender, and Error Reporting Services
  3. Respon Domain controllers menjadi lambat
  4. Jaringan macet
  5. beberapa website tidak dapat diakses

Cara menangani (workstation windows XP)

Apply security patch dari microsoft

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx


Disable autorun
Cara ini digunakan agar virus tidak menyebar melalui file autorun.inf yang biasanya ada di flashdisk atau mapped network drive. Ada beberapa cara untuk mendisable autorun yaitu menggunakan software seperti TweakUI atau edit langsung dari Group Policy. Langkah yang paling mudah adalah edit langsung dari Group Policy.

  1. klik start-run dan ketikkan gpedit.msc
  2. navigasi ke computer configuration, system dan aktifkan opsi turn off autoplay set ke all drives
  3. navigasi ke user configuration, system dan set enabled turn off autoplay ke all drives


Scan komputer

Scan komputer menggunakan anti virus yang sudah update atau menggunakan removal tool

atau menggunakan tool conficker removal


Perbaiki registry

Buat sebuah file text dan beri nama misalnya saja fixconficker.reg lalu paste kode berikut:

Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINDOWS\APPINIT_DLLS\vhoinp.dll][-HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS
NT\CURRENTVERSION\WINLOGON\NOTIFY\vhoinp.dll][-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vhoinp.dll][-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\vhoinp.dll][-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\URLSearchHooks\vhoinp.dll][-HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN\vhoinp.dll][-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Toolbar\vhoinp.dll][-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Explorer
Bars\vhoinp.dll][-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Extensions\vhoinp.dll][-HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\vhoinp.dll][-HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\vhoinp.dll][-HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCEEX\vhoinp.dll][-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\vhoinp.dll][-HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\URLSearchHooks\vhoinp.dll][-HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN\vhoinp.dll][-HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Toolbar\vhoinp.dll][-HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Explorer
Bars\vhoinp.dll][-HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Extensions\vhoinp.dll][-HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\vhoinp.dll][-HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\vhoinp.dll][-HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCEEX\vhoinp.dll]

double klik file tadi dan pilih yes, lalu akan keluar konfiramsi bahwa key sudah ditambahkan

Untuk pengguna active directory, tambahkan beberapa policy baru di GPO yaitu GPO untuk mengamankan file svchost dan folder tasks. Langkah ini tidak akan menghilangkan virus conficker tetapi hanya mencegah penyebaran virus tersebut
  1. ketikkan dsa.msc di run box
  2. klik kanan pada OU dan pilih properties
  3. buat group policy baru
  4. navigasi ke Computer Configuration\Windows Settings\Security Settings\Registry
  5. klik kanan di registry dan pilih add key
  6. navigasi ke Software\Microsoft\Windows NT\CurrentVersion\Svchost
  7. pada dialog box hilangkan full control untuk administrator dan system
  8. pada Add Object dialog box, klik Replace existing permissions on all subkeys with inheritable permissions. klik OK.
  9. navigasi ke Computer Configuration\Windows Settings\Security Settings\File System
  10. klik kanan file system dan add file
  11. pada bagian Add a file or folder dialog box, browse ke %windir%\Tasks folder. pastikan Tasks sudah terpilih
  12. selanjutnya sama dengan langkah 7 dan 8

Diposting oleh penggemar nasi goreng di 10.24
Label:

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)

  © Blogger templates Sunset by Ourblogtemplates.com 2008

Back to TOP