Virus Downadup

Serangan virus Downadup yang konon menginfeksi jutaan server & workstation didunia ternyata hinggap juga di kantor kami.

Pertama kali kami mendapatkan laporan bahwa salah satu file server kami tidak bisa diakses padahal kami melakukan ping lancar dan tidak ditemukan masalah network. Seperti biasa, mungkin obatnya hanya direstart, jadi kami memutuskan untuk merestart server, setelah windows server direstart barulah muncul “Svchost Error”.

Kemudian tidak lama berselang beberapa client mendapatkan laporan “virus downadup detected” dari Symantec Anti Virus. Virus tersebut “keliahatannya” menempel pada folder Temporary Internet Files berusaha untuk mendownload sesuatu dari internet. Tetapi sayangnya software anti virus tersebut “diam” saja dan hanya memblock akses virus tersebut.

Kemudian jika dilihat di hidden files di setiap folder yang komputernya terinfeksi terdapat file “autorun.inf” serta folder “recycler” palsu yang isinya virus.

Benar juga akhirnya salah satu server & beberapa client terkena Virus Worm32 Downadup alias Conficker alias Kido yang menurut Symantec category “low” padahal sebenarnya cukup ampuh membuat para administrator kelimpungan.

Karena Symantec tidak berhasil membersihkan akhirnya kami memutuskan untuk mendownload fixdownadup.exe dari Symantec, tetapi anehnya virusnya malah tidak terdeteksi sama sekali. Tetapi setelah proses scan selesai, terdapat pesan “Please patch your system”.

Virus Downadup yang katanya terdapat 300 varian, ternyata memanfaatkan kelemahan Windows yang tidak terpatch. Padahal patch tersebut sudah ada sejak Oktober 2008 (kok baru sekarang-sekarang ini heboh di Indonesia)? Oleh karena itulah kenapa Symantec berhasil mendeteksi tetapi tidak mampu untuk membersihkan (Pls CMIIW).

Banyak cara yang dilakukan oleh Administrator untuk melakukan tindakan pembersihan dan pencegahan namun intinya sama adalah mengupdate system anda. Berikut salah satu cara kami melakukannya :

  1. Lakukanlah segera update system anda karena Downadup memanfaatkan kelemahan salah satu Windows Service (perhaps Svchost). Updatenya terdapat di  http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
  2. Set “Disable Autoplay” terutama pada USB Drive baik melalui Group Policy Object pada Active Directory atau melalui “gpedit.msc” pada masing-masing PC jika tidak menggunakan Active Directory. Lihat GPO Disable Autoplay.
  3. Password administrator tidak boleh kosong atau yang mudah ditebak. Gantilah password administrator yang sulit ditebak. Karena Downadup menyerang dan menduplikasikan diri dengan menggunakan password administrator yang lemah.
  4. Segera update anti virus anda dengan definition yang terbaru.
  5. Salah satu alternatif anti virus yang pernah kami coba dan cukup ampuh untuk mendeteksi virus dan membersihkan virus serta spyware dan malware adalah Sysclean dari Trend Micro. Linknya sebagai berikut http://www.trendmicro.com/vinfo/secadvisories/default6.asp?VNAME=How+To+Use+SysClean+Package&Page=
Disable GPO Autoplay
Disable GPO Autoplay

Sepengalaman beberapa rekan-rekan yang saya temui, mengalami kesulitan untuk membersihkan virus ini karena kemampuannya untuk menghack administrator password, mendisable windows update & update anti virus dan parahnya virus ini bisa melakukan “live update” sehingga makin mempersulit untuk melakukan pembersihan.

Tetapi terpenting obat dari semua itu adalah pada point nomor satu, oleh karena itu rajin-rajinlah anda melakukan Windows Update.

Selamat Berperang…

7 Replies to “Virus Downadup”

  1. benar2 virus yang menyebalkan.Saya sudah mencoba berbagai macam anti virus ternama seprti bit defender,kapersky,Avast.tapi semua anti virus tersebut tidak bisa mendeteksi,tapi anehnya ketika saya mencoba anti virus AVG free 8 barulah terdeteksi,walaupun AVG hanya bs memblock virus tersebut dan ketika AVG di unsinstaL virus tersebut muncul lagi.Ya sampai sekarang saya mau tidak mau menggunakan AVG.

  2. Klo memang virus ngerepotin…. ganti pake linux aja mas. Jaminan mutu, duit gak keluar banyak. Pokoke Aman

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.