Untuk membersihkan virus ini secara maksimal gunakan SmadAV versi terbaru, Antivirus SmadAV bisa anda dapatkan secara geratis di www.smadav.net . SmadAV dapat mengenali virus ini sebagai “VBS.VirusCode” dan “Yuyun.Shortcut”

• Jalankan SmadAV pada TAB Scanner beri centang pada Computer Drive untuk membersihkan virus diseluruh drive yang anda punya. Lalu tekan tombol SCAN >> untuk memulai proses scanning. Tunggu hingga proses scanning selesai 100%, jika sudah selesai tekan tombol FIX ALL

Daftar file virus yang terdeteksi

Tampilan proses scanning telah selesai

Karakteristik Virus

Virus VBS ini hadir dengan ektensi berbeda dari kebanyakan virus VBS lainya yakni dengan menggunakan ektensi “.db” dan “.lnk” [shortcut], virus menyamarkan dirinya sebagai shortcut dan file “Thumbs.db” untuk mengelabui korbanya. Teknik yang ia gunakan yakni menyamarkan dirinya sebagai folder dengan memanfaatkan shortcut yang ia buat agar nantinya virus dapat tereksekusi saat korbannya mengakses file shortcut samaran folder tersebut.

Ciri file virus :

• Berektensi “.db” menyamar sebagai file “Thumb.db”
• Dan file shortcut berektensi “.lnk” yang digunakan virus untuk menyamarkan dirinya sebagai folder

File-file virus yang dibuat diseluruh folder

File-file virus tersebut dapat kita temui diseluruh folder yang ada dikomputer terinfeksi oleh virus ini, virus ini akan menyembunyikan seluruh folder-folder yang ditemuinya di setiap drive yang ada dikomputer korbanya yakni dengan cara membuat shortcut samaran yang  mirip dengan nama folder yang ia sembunyikan, file-file yang ia buat antara lain file induk virus “Thumb.db”, “Autorun.inf”, shortcut virus “Microsoft”, “New Harry Potter and…” dan shortcut yang ia buat mirip dengan nama folder yang ia sembunyikan.

Kita dapat melihat perbedaan antara file dan folder asli dengan file dan folder palsu yang dibuat oleh virus.

Dari gambar diatas kita dapat melihat perbedan dengan jelas mana file dan folder asli milik system dengan file dan folder palsu yang dibuat oleh virus.

Ciri-ciri File dan folder asli

• Folder tidak terdapat tanda panah di icon nya dan type nya adalah folder
• File Thumbs asli mempunyai nama lengkap Thumbs.db

Ciri-ciri file dan folder palsu buatan virus

• Folder memiliki tanda panah di icon nya dan typenya adalah Shortcut
• File Thumbs yang dibuat oleh virus namanya “Thumb.db”

Selain itu juga terdapat file Autorun.inf yang dibuat oleh virus agar dirinya dapat aktif secara otomatis saat korbanya mengakses drive. Isi autorun nya seperti gambar dibawah ini

File Autorun.inf yang dibuat oleh virus

Aksi Virus

Saat pertama kali shortcut virus dijalankan, virus memeriksa keberadaan folder yang disembunyikan apakah folder yang disembunyikan ada atau tidak, jika ada virus akan membuka folder yang disembunyikan dan jika tidak ditemukan maka virus akan membuat folder baru mirip dengan nama shortcut yang dijalankan lalu membuka folder tersebut dengan menggunakan explorer. Jadi seolah olah shortcut virus yang dijalankan sama seperti membuka folder biasa.

Kemudian virus membaca tubuhnya dan mendeksrip kode aslinya dan membuat beberapa file ke direktori Temp. File file yang dibuatnya antara lain Auto.exe [Script Autorun.inf virus], v.doc [Pesan virus] dan file Yuyun.Q [File kosong] :

• C:\Documents and Settings\user\Local Settings\Temp\auto.exe
• C:\Documents and Settings\user\Local Settings\Temp\v.doc
• C:\Documents and Settings\user\Local Settings\Temp\Yuyun.Q

File induk Virus

Pada direktori My Documents virus membuat file induknya dengan nama “database.mdb”, yang akan ia jadikan file induk aslinya. Sebenarnya file ini merupakan file VBS [Visual Basic Script] yang dirubah ektensinya menjadi .mdb agar mirip sepertti file dartabase. File induk ini akan dijalakan setiap computer dihidupkan.

• C:\Documents and Settings\user\My Documents\database.mdb

Selain itu ia juga mencoba membuat file induk virus dengan memnafaatkan system NTFS yakni dengan membuat file ADS agar file induk ini tersembunyi dan tidak dapat dilihat

• C:\WINDOWS\:Microsoft Office Update for Windows XP.sys

Menyebarkan diri ke seluruh drive dan folder

Virus akan mencari keberadaan folder disetiap drive, jika ia menemukanya virus akan mensembunyikan folder asli lalu membuat shortcut mirip dengan folder yang disembunyikan, dan membuat  beberapa file virus lainya di direktori yang sama. File-file yang ia buat diseluruh drive dan folder antara lain :

• Thumb.db
• Microsoft.lnk
• Autorun.inf
• %Folder%.lnk <Sesuai dengan nama foder yang disembunyikan>

File shortcut yang dibuatnya berisi perintah yang akan menjalankan file induk “Thumb,db”

• C:\WINDOWS\system32\wscript.exe //e:VBScript thumb.db “%NamaFolder%”

Menginfeksi Direktori CD Burning

Virus berusaha menginfeksi direktori CD Burning yang berada di “C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning”  dengan membuat file “Autorun.inf” dan “Thumb.db”

• C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning\Autorun.inf
• C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning\Thumb.db

Menyebar melalui jaringan – Infeksi NetHood

Virus ini juga bisa menyebar melalui jaringan yakni dengan mencari folder yang di share dijaringan pada directori NetHood “C:\Documents and Settings\user\NetHood”, jika virus menemukanya ia akan menyembunyikan semua folder yang didapat kemudian membuat shortcut dengan nama yang sama dengan folder yang ia sembunyikan.

Pesan Virus

Di folder Temp “C:\Documents and Settings\user\Local Settings\Temp\” kita dapat menemukan sebuah pesan yang dibuat oleh virus, pesan itu berupa file text dengan nama “v.doc”

• C:\Documents and Settings\user\Local Settings\Temp\v.doc

Registry yang di infeksi

Virus ini tidak banyak melakukan perubahan didalam registry, virus hanya membuat startup, menghapus beberapa value dan mendisable registry tool [regedit], sedangkan tols seperti Task Manager, Folder Options, CMD, dan Msconfig tidak diblok oleh virus.

• HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}\ = “Yuyun_Cantix”
• HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}\DefaultIcon\”= “shell32.dll,48”
• HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444 555555555555}\ShellFolder\Attributes = 0
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\ = “”
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools = 1

Menghapus Value “IsShortcut” agar tanda panah pada icon shortcut tidak ditampilkan

• HKEY_CLASSES_ROOT\lnkfile\IsShortcut

Membuat Autorun di registry agar virus dapat aktif secara otomatis saat computer dihidupkan

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Explorer = “Wscript.exe //e:VBScript C:\Documents and Settings\user\My Documents\database.mdb”
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate = “Wscript.exe //e:VBScript C:\WINDOWS\:Microsoft Office Update for Windows XP.sys

Para ahli mengatakan satu laptop dapat menyebarkan virus ini ke seluruh jaringan komputer. Sejauh ini, mereka dibingungkan tentang apa sebenarnya tujuan utama virus Conficker ini. Virus ini telah membuktikan bahwa penyebarannya sebagai salah satu penyebaran terbesar yang pernah terjadi.

Virus ini memanfaatkan sebuah bug di Microsoft Windows untuk menginfeksi sebagian besar jaringan perusahaan, walaupun virus ini belum menyebabkan kerusakan apapun tapi dia memiliki hubungan dengan titik asal pembuatnya, ini artinya dia dapat menerima perintah langsung dari pembuatnya untuk membuat kerusakan.

Microsoft telah membagikan patch untuk memperbaiki bug ini, tetapi jika satu PC terinfeksi di sebuah jaringan besar, virus ini dapat menyebar tanpa terkendali sehingga sering menginfeksi ulang PC yang sudah diperbaiki, sehingga patch yang sudah dilakukan menjadi percuma.

Ancaman virus ini mendesak Microsoft yang bekerjasama dengan industri teknologi lainnya untuk mengumumkan hadiah sebesar $250,000 untuk informasi tentang keberadaan pembuat virus Conficker ini.

“Sebagai bagian dari usaha keamanan berkelanjutan Microsoft, kami tak henti-hetinya mencari berbagai macam cara dan pengembangan metodologi untuk melindungi pelanggan kami” kata George Stathakopoulos, dari Microsoft’s Trustworthy Computing Group.
Mikko Hypponen, pemimpin penelitian di anti-virus F-Secure mengatakan banyaknya penyebaran virus sebenarnya tidak diketahui, tapi dalam 24 jam terakhir perusahaannya memonitor sinyal Conficker dari dua juta alamat protokol Internet.
“Itu sangat banyak” dia bercerita pada CNN. “Dan satu alamat IP disini tidak berarti satu komputer yang terinfeksi, itu sebenarnya berarti setidaknya satu komputer terinfeksi.”

“Sebagian besar alamat-alamat IP adalah proxy atau firewall perusahan, yang dibelakangnya terdapat lebih banyak PC yang terinfeksi. Jadi, ini membuat tidak mungkin untuk memperkirakan total banyaknya sistem yang terinfeksi. Jadi penyebarannya itu sangat besar”

Microsoft sebelumnya sudah pernah membayar hadiah yang sama untuk seseorang yang menginformasikan keberadaan pembuat virus Sasser, salah satu virus terkenal pada tahun 2004. Pelaku sudah dibawa ke Jerman, dimana dia dijatuhi hukuman satu tahun kemudian.

Jadi, walaupun hampir tidak mungkin pembuat virus Conficker ini berada di Indonesia, jika Anda tahu tentang keberadaan pembuat virus ini segeralah melapor ke Microsoft, Anda akan langsung menjadi milyuner karena mendapatkan hadiah Rp 3 Milyar. Untuk pembuat virus lokal, segeralah bertobat karena tidak menutup kemungkinan Anda juga bisa dipenjarakan akibat terus membuat virus dan menyebarkannya di Indonesia.

Sebagai informasi, sudah diperkirakan ribuan bahkan puluhan ribu komputer di Indonesia terinfeksi virus Conficker. Karena virus ini mempunyai kemampuan luar biasa, kemungkinan besar komputer Anda juga akan segera terinfeksi. Jadi, untuk mencegah terjadinya infeksi virus Conficker, gunakanlah Smadav Rev. 3 dengan fitur SmaRTP RealTime Protection-nya akan selalu menjaga PC Anda dari infeksi virus-virus semacam ini. Mencegah lebih baik daripada mengobati.

Referensi : cnn.com