Remove Virus / worm W32.Downadup.B

Seperti yang kubahas di Worm Windows Server Service RPC tentang serangan virus / worm yang menyerang computer dan terutama sangat fatal akibatnya jika computer dalam suatu network , yang akan mengakibatkan Microsoft Windows Server Service RPC akan melakukan shutdown. Maka sekarang ini, di computer network kembali muncul varian baru dari w32.downadup yaitu w32.downadup.b . Virus / worm ini mempunyai ciri-ciri penyerangan yang sama dengan adiknya yaitu downadup, tapi terasa lebih menjengkelkan !!! Computer pada saat login ke domain kadang mouse akan hilang, respon terhadap network sangat lambat, trafik network sangat tinggi, dan hang.

Apa w32.downadup.b itu ?

W32.Downadup.B
Risk Level 2 : Low
Discovered : December 30, 2008
Updated : December 31, 2008 9:58:37 AM
Also Known As : Worm : W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend]
Type : Worm
Systems Affected : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

W32.Downadup.B is a worm that spreads by exploiting the Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability

Dari process diatas terlihat bahwa, downadup tidak hanya patch RPC vulnerability di memory, tetapi mengunakan patch ini untuk memcoba recognize incoming exploit dari Downadup lain yang terinfeksi. Worm selalu menganalisa incoming shellcode dan checks apakah sama dengan exploit shellcode nya sendiri. Jika shellcode sama, akan menginformasikan kembali kepada computer lain yang terinfeksi untuk extract shellcode. Ini “back connect” menggunakan HTTP protocol, tetapi menggunakan random port. Downadup dapat men transfer multiple payload files. Semuanya ter encrypted (digitally signed) dan mempunyai header file identifier dan date timestamp. File identifier memperbolehkan worm untuk check dan update. Date timestamp digunakan expiration date dan jika expiration date akan dilakukan discard. Payload files akan menyimpan registry dan provided ketika peer lain request padanya dan payload files akan maintained reboot.
Payload files dapat tersimpan di disk dan execute atau load direct pada memory.

Remove W32.Downadup.B

Jika anda menggunakan network atau connect ke internet, seperti DSL atau cable modem, disconnect computer dari network dan Internet. Disable atau password-protect file sharing, atau set share file ke Read Only, sebelum reconnect computer ke network atau internet. Hal ini disebab worm ini menggunakan share folder pada network computer. Untuk mencegah worm tidak reinfect computer setelah di remove.

Symantec.com mengeluarkan removal tool untuk mengatasi downadup ini yaitu :

W32.Downadup Removal Tool

Discovered: January 13, 2009
Type: Removal Information

This tool is designed to remove the infections of:

Download Removal Tool

Silahkan download removal tool tersebut dan jangan lupa update antivirus anda dengan update yang terbaru. Aku anjurkan, anda menggunakan antivirus symantec untuk mengatasi virus ini. Dan sampai saat postingan ini muncul banyak antivirus yang belum mengenali / salah mengenali worm ini.

Comments(21)
  1. GIsamsu
  2. The Cc
  3. ariefew
  4. YUANN
  5. renceman
  6. ariefew
  7. The Tridentz
  8. ariefew
  9. mamiy
  10. ariefew
  11. Rizki(14 tahun)
  12. ariefew
  13. teatar
  14. ariefew
  15. Cak Win
  16. Pierre
  17. ariefew
  18. faiz
  19. baim
  20. business loans for single moms
  21. Jonathan Crandell

Leave a Reply

Your email address will not be published. Required fields are marked *