Diawal tahun 2009, ada sedikit masalah, di server (Domain) tempatku bekerja, yaitu “Service Computer Browser” selalu down dan booting terus….
Apa sebenarnya yang terjadi ??
VIRUS ??? WORM ???
Bagi pengguna antivirus, virus / worm ini dikenal dengan nama W32.downadup [symantec], Generic.RKM [AVG], Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.A [Panda Software] …
Apa sebenarnya virus / worm ini ??
Ini sebenarnya termasuk WORM yang mempunyai size 62,976 bytes.
Worm ini menggandakan diri lewat file %System%[RANDOM FILE NAME].dll
Kemudian “dia” menghapus semua user created system restore points, dan membuat service dg nama : netsvcs , ImagePath: %SystemRoot%\system32\svchost.exe -k netsvcs.
Menulis di register entry : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesnetsvcsParameters”ServiceDll” = “[PathToWorm]“
Seberapa bahaya virus / worm ini ???
Jika worm ini menyerang komputer stand alone tidaklah efeknya separah jika menyerang komputer network ( Domain Controller ). Kenapa ???
Worm ini, membuat koneksi UPnP router dan http server pada komputer server dengan menggunakan ramdom port dan selanjutnya akan melakukan remote komputer dan exploit.
Worm ini memanfaatkan kelemahan windows yg disebut “Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability”
Bagaimana mengatasinya ???
Update antivirus terbaru… hal ini tidaklah menyelesaikan masalah…. Hal ini terutama jika di lakukan di Server Domain Controller. Kenapa ???
Worm ini sudah terlanjur melakukan koneksi dengan komputer lainnya, dan walaupun antivirus kita bisa mendeteksi atau bahkan me-remove-nya, maka akan terjadi pemutusan koneksi worm tersebut dan akan mengakibatkan Microsoft Windows Server Service RPC akan melakukan shutdown. Hal itu akan terjadi berulang-ulang….
Solusi yang paling tepat untuk mengatasi Worm ini yaitu dengan memperbaiki “Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability” dan untungnya pihak Microsoft sudah mengeluarkan Patch di Windows-nya, yaitu KB958644
Download :
..- Security Update for Windows XP (KB958644)
- Security Update for Windows Server 2003 (KB958644)
- Security Update for Windows 2000 (KB958644)
- Security Update for Windows Vista (KB958644)
- Security Update for Windows 7 Pre-Beta (KB958644)
- Security Update for Windows Server 2003 x64 Edition (KB958644)
- Security Update for Windows XP x64 Edition (KB958644)
- Security Update for Windows Vista for x64-based Systems (KB958644)
- Security Update for Windows 7 Pre-Beta x64 Edition (KB958644)
- Security Update for Windows Server 2008 (KB958644)
- Security Update for Windows Server 2008 x64 Edition (KB958644)
- Security Update for Windows 7 Pre-Beta for Itanium-based Systems (KB958644)
- Security Update for Windows Server 2003 for Itanium-based Systems (KB958644)
- Security Update for Windows Server 2008 for Itanium-based Systems (KB958644)
Silahkan lakukan patch di windows, selain update antivirus yang anda miliki dengan update antivirus yang terbaru untuk “menjinakkan” worm ini…….
Search Engine Visit :
afganistan , antivirus lokal vs antivirus luar , update avira 10Artikel lain yang berhubungan :
- Alert Conficker / Downadup / Kido on 1 April ?
- Manual Update Norton AntiVirus for Windows 2000/XP/Vista/7
- Remove Downadup , Kido dan Conficker di Network
- Remove Virus / worm W32.Downadup.B
- Hati-hati Jadi Korban Stuxnet Winsta, Hardisk Tiba-tiba Penuh
- Remove Virus Downadup.C , Conficker , Kido
- Manual Update Microsoft Security essentials MSE Offline Mode
- Microsoft vs Virus Downadup, Conficker, Kido
- Free Antivirus for Windows 7
- Download AVG Anti-Virus Free Edition 9.0 versi offline
- Manual Update AVG 9.0 Download
- Iran dan Indonesia terinfeksi Virus Stuxnet Winsta Paling Besar
- Gejala Komputer terinfeksi Virus Stuxnet / Winsta
- Cara Remove & Repair Virus Stuxnet Winsta
- Warnet Bebas Virus setelah Pakai Antivirus Microsoft MSE
- Remove Virus / Worm VBS
- Varian Virus Downadup.C , Conficker , Kido
- Top 10 Virus Indonesia, Juli 2009
- Manual Update Avira Antivir 10, AntiVir VDF update
- Virus Game Online, OnlineGames dan SmallTroj
Artikel Worm Windows Server Service RPC yang terkait di situs lainnya:
Microsoft Security Bulletin MS08-067 – Critical: Vulnerability ...
The vulnerability is caused by the Windows Server service not properly handling specially crafted RPC requests. What is the Server service? The Server service provides RPC support ...
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Microsoft Windows Server Service RPC Code Execution
Microsoft Windows Server Service could allow a remote attacker to execute arbitrary code on the system, caused by a vulnerability in the Remote Procedure Call ... to Conficker Worm.
http://www.iss.net/threats/306.html
Windows XP Common Issues > RPC Blaster Exploit
Remote Procedure Call Exploit - RPC box pops up ... it is most likely that your RPC service ... Windows NT family including Windows 2000, XP and Server 2003 are vulnerable to remote RPC ...
http://www.mvps.org/marksxp/WindowsXP/rpc.php
49243: Microsoft Windows Server Service Crafted RPC Request ...
Microsoft Windows XP, Vista, 2003 Server and 2008 Server Server Service Crafted RPC Request Handling ... of Win32/Conficker.A can create a service in Windows so that the worm ...
http://osvdb.org/49243
Win32.Worm.Downadup.Gen
Win32.Worm.Downadup is a worm that relies on the Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (MS08-67) in order to spread on other ...
http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html
bos, gak bisa didownload nih…
[Reply]
ariefew Reply:
January 30th, 2009 at 5:50 am
avast mungkin mampu juga mengatasi trojan terkenal… tapi permasalah disini kita di sini, sering ketemu virus lokal yg sistem kerjanya seperti trojan (autoran.inf, disable hide folder, disable msconfig, disable regedit) yg semuanya memodif register utk mengamankan dan mempercepat penyebaran dirinya…. ini yang kumaksud.
Untuk gak bisa delete maksudnya, yaitu delete di folder System Volume Information yaitu folder sistem restore. Kita harus turn off sistem restore dulu utk bisa menghapusnya…..
Seperti tentang virus yg kubahas diatas yaitu virus downadup, sekarang sudah muncul varian yang baru yaitu downadup.B (mungkin akan bermodifikasi lagi). Semua AV belum mengenali virus ini, aku hanya bisa menghapus virus ini dg AV symantec 10 dg update terbaru…
[Reply]
Untuk update antivirus AVIRA bisa langsung dilakukan secara gratis? Soalnya sudah saya coba update kok nggak berhasil. Apa karena gratisan? Enaknya pakai antivirus apa ya yang bisa update tanpa harus beli dulu?????????, thanks
[Reply]
Di tempatku kerja juga hampir semua PC terserang virus worm, karena servernya sudah terkena duluan, dan EDPnya sampai saat ini masih bingung harus pakai antivirus apa. Sudah dibersihkan muncul lagi sampai2 program online harus tiap hari diperbaiki.
[Reply]
Di kantorku, hampir semua PC terkena worm karena servernya terinfeksi duluan, sampai saat ini EDP-nya masih kebingungan harus menggunakan antivirus apa untuk membersihkan virus2 itu, sampai2 program online juga sering rusak dan harus diperbaiki tiap hari. Tolong pendapat dan sarannya.
[Reply]
avira ku bisa aku update kok..ak updatenya manual biasanya ak dapat link via email coz aku subscribe info2 dari Avira..so,pasti daat link update-an
[Reply]
Bos aku barusan scan virus terlama …12jam !!!Ulasannya disini
http://clickcomp4more.blogspot.com/2009/01/kurang-ampuh-gunakan-double-engine.html
[Reply]
Mas aku juga kena… parahnya langsung ke svchost
( , kalo aku heal koneksi jd crash… pikir2 cobain pake system restore, ehh untungnya stabil lagii.. kali aja bisa juga..dgn teman2 yg laen.
[Reply]
Avira free bisa dilakukan update untuk beberapa bulan, setelah itu akan expired untuk update (online dan manual). Anda bisa download avira free lagi yang baru dan akan diberikan gratis pemakaian dan update untuk beberapa bulan kemudian….
[Reply]
Semua antivirus mempunyai kelebihan dan kelemahan sendiri2…. antivirus versi lama= cepat fungsi terbatas, antivirus versi baru= berat fungsi lebih bagus… misal scan/clean di folder “System Volume Information”. Selain itu di suatu antivirus ada versi pro yang terdiri dari beberapa macam, misal : INTRENET SECURITY, NETWORK EDITION, ANTI-VIRUS PLUS FIREWALL, EMAIL SERVER EDITION, FILE SERVER EDITION, yang semuanya itu akan terdapat fungsi tambahan selain antivirus dan resident shield, misal : anti spyware, anti spam, anti rookit, email scanner, link scanner, web shield, dll
Selain itu antivirus dalam mengenali virus terbaru juga tergantung daerah… misal antivirus XXX mempunyai kerjasama dg negara YYY, maka av XXX tsb akan lebih cepat mengenali virus lokal negara YYY tsb dibanding dg av lainnya. Misal Norman AV yg kerjasama dg http://www.vaksin.com yg mengulas virus lokal Indonasia.
Dari semua antivirus yang ada, yg terpenting adalah UPDATE dengan update terbaru dan usahakan update secara online…
[Reply]
Pakai perpaduan AV lokal dan AV luar…. PCMAV dan Engine ClamAV…. ya jelas aja lama, sebab berat…. PCMAV tanpa CLAMAV aja sudah berat apalagi digabung ?????
[Reply]
anda beruntung… sebab virus belum masuk sistem restore… kalau sudah masuk, anda akan me-restore virus itu lagi…
[Reply]
di install ulang dong bos
[Reply]
w make avast, hampir tiap hari saat q online selalu ada database baru yang masuk untuk mengupdate Avast, tapi sayangnya kenapa Avast ndak mampu mengatasi virus Trojan ya??
padahal udah terdeteksi, namun saat mo di delete, move/rename gak bisa!!! boro-boro di re-pair.
apa hal ini juga terjadi ama temen2 yang make Avast???
[Reply]
@ariefew,
skarang saya make panda anvir 2009 update 16/1 2009. nah jadi permasalahn sekarang. kok setiap masuk ke sitenya mas kok timbul warning spyware count.kira kira apa tuh yah???
n/b : dikit info telshit dikit buka lagi holenya. malah digratisin lagi..with program chatbox. disana dikatakan bahwa gprsnya gratis dengan make apn: mms, tapi udah nyoba tuk inet browser blum bisa kebuka mungkin mas atw yang lain bisa bantu bantu ngopreknya,.. sekalian jika telah sukses, coba mas posting,… kan enak bisa nambah catantanya mas lagi neh…. he.he.he….
[Reply]
memang solusi termudah refresh installer.
Tapi permasalahan disini, bagaimana jika terdapat file-file penting yg banyak ? Virus/ worm menyebar ke semua drive ? Virus/ worm menyebar menyebar kesemua komputer di jaringan ? Server jaringan tempat menyimpan data terkena juga …
[Reply]
Avast av memang mempunyai kelemahan dibanding av lain dalam mengatasi tojan dan worm. AVG lebih unggul dalam trojan dan worm. Symantec dan McAfee lebih “bisa” masuk System Volume Information. Norman lebih bisa mengenali virus lokal. Selain itu anda bisa gunakan AV lokal PCMAV dan ANSAV (tanpa rel time protect) untuk jaga2 virus lokal yg belum dikenali oleh AV anda. Dan gunakan juga antispyware untuk remove register spyware, misal gunakan Spybot – Search & Destroy atau Ad-Aware
[Reply]
coba gunakan Spybot – Search & Destroy atau Ad-Aware untuk menghapus register2 spyware
[Reply]
Masa si klo avast kurang mampu ngatasin trojan? Coba liat di av-comparative.org ,avast 4.8 pro itu peringkat ke 4 dari 15 antivirus terkenal lainy. Dg total kmampuan 97%. Peringkat prtma avira premium dg deteksi 99%. Avg/kaspesky cuma 95%/94%. Mcafee home (tanpa athermeis) cuma 87%. Tes trsebut dilakukan dengan malware sebanyak 1 juta 100 ribuan, dngan trojan diantaranya sebanyak 700 ribuan. Klo masalah ga bisa delete/move atau repair itu mungkin detekny di CD kali. CD itu kan gak bisa diubah/ diotak-atik isinya. Cd/cd-r itu trmasuk tipe ROM/read only memory.
[Reply]
Klo di avast kn ad yg namanya boot time scanning. Jadi sebelum windows aktif bisa scaning komputer trhadap malware. Mungkin disitu bisa lebih masuk scan ke folder system volume information. Btw norman bagus ga? Denger” dia krja sama dg vaksin.com. Brarti lebih mengenali virus lokal downk. Cz di negara qta ini trmsuk salah satu negara trproduktif dlm mnciptakan virus. Selain norman, ada lagi ga antivirus luarnegeri laen yg punya krja sama ama indonesia?? Cz slma ini sy biasa pke 2 antivirus, avast buat nanganin virus mancanegara, sama pcmav buat nanganin virus lokal buatan “anak negeri sndiri”
[Reply]
Memang AV luar yang lebih mengenal virus lokal sini, Norman. Dia kerjasama dg vaksin.com. AV lain, untuk kerjasama secara khusus tdk ada, tapi mcaffee dan symantec mempunyai jaringan yg luas untuk virus.
Kalau aku lebih cenderung pasang symantec 10 dan avg 8 yang sama2 di real time protect, sangat akur kok…. antivir, avast, ansav dan pcmav ku pasang juga, tapi tidak real time protector dan servis kumatikan….
[Reply]
Untuk windows 98 apakah ada patch-nya?
[Reply]
skalian juga patch untuk windows 2000 server ya..
thanks
[Reply]
untuk PC yang menggunakan win98, selama ini di tempat ku tidak ada yg terinfeksi virus / worm ini
[Reply]
Windows 2000 AS, patch sama dengan windows 2000 (KB958644). Virus / worm ini sangat “cerdas” di windows AD / DC, dalam beberapa minggu downadup sudah menjadi downadup.B
[Reply]
mas mau curhat sedikit nih, setelah sy menginstall Avira Premium Suite (license gratis 3 bln) .,kinerja komputer sy secara keseluruhan meningkat…mungkin karna virus & malwarenya dah keberantas semua…terusterang sy jd lega…,tapi yg bikin sy agak pusing, kinerja IDM (internet download manager) sy jadi drop lebih dari setengahnya …bahkan ketika diganti dengan downloader lainpun sama hasilnya (lelet abis).., sy coba di laptop/komp yg lain juga sama, setelah pake avira itu jadi pada turun kinerja downloadernya…kenapa bisa demikian..? tolong pencerahannya…terimakasih sebelumnya…
[Reply]
ariefew Reply:
March 14th, 2009 at 2:33 pm
hal tersebut dikarenakan setiap file transfer yang anda download dg IDM atau downloader lainnya selalu di cek oleh AV… coba anda cari di configuration, guard, scanner……
[Reply]
thx infonya,,, maju terus mas…
[Reply]