Remove Virus / worm W32.Downadup.B

February 3, 2009 by ariefew
Filed under: Antivirus, Virus
Social Bookmark |  



Seperti yang kubahas di Worm Windows Server Service RPC tentang serangan virus / worm yang menyerang computer dan terutama sangat fatal akibatnya jika computer dalam suatu network , yang akan mengakibatkan Microsoft Windows Server Service RPC akan melakukan shutdown. Maka sekarang ini, di computer network kembali muncul varian baru dari w32.downadup yaitu w32.downadup.b . Virus / worm ini mempunyai ciri-ciri penyerangan yang sama dengan adiknya yaitu downadup, tapi terasa lebih menjengkelkan !!! Computer pada saat login ke domain kadang mouse akan hilang, respon terhadap network sangat lambat, trafik network sangat tinggi, dan hang.

Apa w32.downadup.b itu ?

W32.Downadup.B
Risk Level 2 : Low
Discovered : December 30, 2008
Updated : December 31, 2008 9:58:37 AM
Also Known As : Worm : W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend]
Type : Worm
Systems Affected : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

W32.Downadup.B is a worm that spreads by exploiting the Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability

Remove Virus / worm W32.Downadup.B

..

Dari process diatas terlihat bahwa, downadup tidak hanya patch RPC vulnerability di memory, tetapi mengunakan patch ini untuk memcoba recognize incoming exploit dari Downadup lain yang terinfeksi. Worm selalu menganalisa incoming shellcode dan checks apakah sama dengan exploit shellcode nya sendiri. Jika shellcode sama, akan menginformasikan kembali kepada computer lain yang terinfeksi untuk extract shellcode. Ini “back connect” menggunakan HTTP protocol, tetapi menggunakan random port. Downadup dapat men transfer multiple payload files. Semuanya ter encrypted (digitally signed) dan mempunyai header file identifier dan date timestamp. File identifier memperbolehkan worm untuk check dan update. Date timestamp digunakan expiration date dan jika expiration date akan dilakukan discard. Payload files akan menyimpan registry dan provided ketika peer lain request padanya dan payload files akan maintained reboot.
Payload files dapat tersimpan di disk dan execute atau load direct pada memory.

Remove W32.Downadup.B

Jika anda menggunakan network atau connect ke internet, seperti DSL atau cable modem, disconnect computer dari network dan Internet. Disable atau password-protect file sharing, atau set share file ke Read Only, sebelum reconnect computer ke network atau internet. Hal ini disebab worm ini menggunakan share folder pada network computer. Untuk mencegah worm tidak reinfect computer setelah di remove.

Symantec.com mengeluarkan removal tool untuk mengatasi downadup ini yaitu :

W32.Downadup Removal Tool

Discovered: January 13, 2009
Type: Removal Information

This tool is designed to remove the infections of:

Download Removal Tool

Silahkan download removal tool tersebut dan jangan lupa update antivirus anda dengan update yang terbaru. Aku anjurkan, anda menggunakan antivirus symantec untuk mengatasi virus ini. Dan sampai saat postingan ini muncul banyak antivirus yang belum mengenali / salah mengenali worm ini.




Tags: Antivirus, code execution, computer, computer network, connections, domain, download, downloader, encryption, folders, http, internet, memory, microsoft, modems, network, port, protocol, random, random port, respon, risk level, server, server service, setting, sophos, symantec, tools, update, varian, Virus, virus worm, w32, windows, worm



Similiar Post



Popular Post



Random Post











Comments

20 Comments on Remove Virus / worm W32.Downadup.B

  1. GIsamsuNo Gravatar on Wed, 4th Feb 2009 12:34 am

    2. CLingak…Clinguk… :D

    Reply

  2. The CcNo Gravatar on Fri, 6th Feb 2009 8:44 am

    3. Virus” baru selalu bermunculan :)
    Itulah dunia kita hehehe

    Reply

  3. YUANNNo Gravatar on Sun, 8th Feb 2009 8:14 am

    4. sy pake bitdefender dengan update terbaru kalo kemarin scan sih hilang tuh virusnya
    tapi beberapa saat kemudian terinfeksi lagi

    Reply

  4. rencemanNo Gravatar on Sat, 14th Feb 2009 8:22 pm

    5. Di kantor saya sekarang lagi ter infeksi virus ini. Terima kasih infonya, gw bayarnya pake ngklik adsense nya ya…
    Jangan lupa kunjungi blog saya

    Reply

  5. ariefewNo Gravatar on Sun, 15th Feb 2009 10:32 am

    6. trim… berhubung virus ini sangat sulit hilangnya, terutama di jaringan, maka akan ku ulas terus pembersihannya

    Reply

    ariefewNo Gravatar Reply:
    February 6th, 2009 at 4:05 pm

    benar … sepertinya virus ini merupakan ajang unjuk gigi di akhir tahun 2008. Kantor pertahanan Perancis dan Inggris saja masih kebobolan. Dan sampai saat ini aku belum bisa benar2 bisa membersihkannya, dan hanya mematikan satu persatu aja…….

    Reply

  6. The TridentzNo Gravatar on Sun, 15th Feb 2009 2:16 pm

    7. Pasti yang bikin virus ini agen rahasia Symantec! aQ berani taruhan potong k****l!

    Reply

  7. ariefewNo Gravatar on Mon, 16th Feb 2009 2:38 am

    8. aku gak berani ngatakan itu, antivirus yg paling dulu menemukan virus ini memang symantec, tapi jika kita pasang symantec PC akan menunjukkan gejala yang paling aneh, walaupun itu sudah update terbaru. Kalau lihat penyebaran virus ini terbesar di antara Cina dan Rusia, ini ada hubungannya dg payload dan bajakan….

    Reply

  8. mamiyNo Gravatar on Thu, 19th Feb 2009 11:48 am

    9. gimana apa ada waktu hari sabtu ??? benahi laptopku ya …

    Reply

  9. ariefewNo Gravatar on Fri, 20th Feb 2009 7:03 am

    10. @MySister
    Sabtu Malam aja (ke rumahku)….. atau Minggu ( aku ke rumahmu)

    Reply

  10. Rizki(14 tahun)No Gravatar on Thu, 5th Mar 2009 2:16 am

    11. kompi ku kena virus namanya file nya reclers bagaimana cara untuk membersihkan virus itu mas,aq sudah hapus pakai avira dengan update terbaru masih aja virus itu datang lgi,klu tau hubungi lewat email aq ya,nih emailku[rizki_saputra_guanteng@ yahoo.com

    Reply

    ariefewNo Gravatar Reply:
    March 7th, 2009 at 10:47 am

    tolong berikan ciri-cirinya yang lebih spesifik…..

    Reply

  11. teatarNo Gravatar on Wed, 18th Mar 2009 3:49 pm

    12. open notepad, go to Save As … choose Save As tipe: ALL FILES … file name: file name of the virus w32.downadup.b attempts to create the c: \ windows \ system32 (eg: vtbuzl.pv or ycjtvub.hi similar) then save the same file name in c: \ windows \ system32. mark it as read only … ende …

    Reply

    ariefewNo Gravatar Reply:
    March 18th, 2009 at 6:53 pm

    maksudnya di buat nama sama yg di read only ??? bisa juga… tapi berapa banyak nama dan letaknya yang harus kita buat ???? apalagi yang varian c ini sulit di tebak….

    Reply

  12. Cak WinNo Gravatar on Wed, 25th Mar 2009 4:34 pm

    13. Makasih bosss mantap banget

    Reply

  13. PierreNo Gravatar on Wed, 29th Apr 2009 5:59 pm

    14. Mau nanya….apakah virus ini bisa menyebar via chat box…soalnya begitu buka chatbox di salah satu situs, langsung muncul alert merah dari norton kalo komputernya terdeteksi virus ini….mohon infonya dari teman2…

    thanks sebelumnya….

    Reply

    ariefewNo Gravatar Reply:
    April 30th, 2009 at 3:46 am

    virus ini sangat cepat menyebar lewat jaringan dan internet. Dan virus ini akan kelihatan jinak jika tidak terkonek dengan temannya…. Nisa saja kita tidak merasakan kehadiran virus ini jika stand alone… tapi baru merasakan efeknya jika kita konek internet atau jaringan…….

    Reply

  14. catatanku» Remove Downadup , Kido dan Conficker di Network on Sun, 10th May 2009 3:49 am

    15. [...] Matikan proses virus yang aktif pada services. Gunakan removal tool [...]

  15. faizNo Gravatar on Sat, 28th Nov 2009 8:51 pm

    16. thanks infonya…

    Reply

  16. baimNo Gravatar on Fri, 29th Jan 2010 3:34 pm

    17. komputer ku sring blank jika buka internet,kdng klik kanan slalu mental,pa komp aku kna virus worm?gmn solusinya,,,thanks

    Reply

Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!





CommentLuv Enabled

Comment moderation is enabled. Your comment may take some time to appear.


Subscribe to ariefew rss feed

ariefew feed

  

Enter your email address:

Delivered by FeedBurner