kemana Perginya Worm Komputer?

Jadi kemana perginya worm yang sempat begitu mengerikan? Hypponen menduga menurunnya jumlah worm disebabkan oleh semakin banyaknya pengguna Windows XP Service Pack 2 (SP2).

Sistem operasi Windows XP edisi revisi itu memang dirancang dengan keamanan yang lebih baik. Termasuk pemanfaatan firewall yang membuat banyak worm 'ciut'.

Ini tidak jauh berbeda dengan kejadian beberapa tahun silam ketika Windows 95 dan Office 2000 semakin banyak digunakan. Sebelum era Windows 95, virus boot sector adalah rajanya teror di komputer. Sedangkan sebelum Office 2000, pengguna Microsoft Office banyak terancam oleh virus macro.

Selain itu, ujar Hypponen, pembuatan worm tradisional jauh lebih sulit dari jenis virus lainnya. Pasalnya worm mengharuskan penulisnya untuk memiliki kemampuan teknis di atas rata-rata demi memanfaatkan kelemahan pada sistem operasi.

Selain worm e-mail, jenis ancaman lain yang juga sedang tumbuh adalah instant messenger worm (IM Worm). Belum lama ini penyebaran worm lewat IM menjadi metode 'favorit' di kalangan pembuat virus. Sebut saja Bropia atau Kelvir yang mengancam pengguna MSN Messenger.

Program jahat lain juga semakin banyak. Salah satu 'primadona' baru adalah spyware, yaitu program yang menyusup dan diam-diam mengirimkan informasi dari komputer korbannya. Seringkali informasi yang dikirimkan adalah informasi penting seperti nomor kartu kredit atau password.

Di ranah yang berbeda, virus ponsel juga semakin banyak. Setelah Cabir dan Skulls, terakhir muncul CommWarrior yang menyebar lewat multimedia messaging service (MMS).

Jadi kemana perginya virus komputer sebenarnya? Mereka tidak pergi kemana-mana, hanya mengalami evolusi yang semakin mengerikan

Pencegahan Eksekusi Virus Worm yang Bersarang pada UFD

Pemahaman Singkat
Virus dan worm menggunakan 2 teknik agar file yang disebarkan (hasil salinan dirinya) pada UFD
tereksekusi ketika UFD itu digunakan pada suatu komputer, baik itu pada komputer yg sudah 'sakit'
maupun yg masih 'segar'. Kedua teknik yang digunakan oleh para vxers(pembuat virus) tersebut adalah:
1. Injeksi file autorun.inf
Dengan membuat atau menginjeksi file autorun.inf dengan kode-kode tertentu, file virus/worm
dapat tereksekusi:
a. Hanya dengan men-colok-kan UFD ke komputer (fungsi autorun removable device tidak didisable)
b. Ikon UFD diklik 2 kali
c. Mengeksekusi faked command pada klik kanan ikon UFD, misalnya : explorer ( dari explore),
property (properties)
2. Injeksi file desktop.ini dan folder.htt
Sama dengan teknik yg pertama, teknik ini dapat membuat virus/worm tereksekusi ketika ikon
UFD ataupun ikon folder-folder dalam UFD diklik 2 kali.
Pencegahan
Untuk mencegah agar file autorun.inf dan desktop.ini tidak dapat dibuat sekaligus di-inject ketika UFD
digunakan pada komputer yang sudah terinfeksi, maka yang perlu dilakukan adalah:
1. Membuat kedua file tersebut dengan definisi kita sendiri
2. Mengubah atribut menjadi read-only, dan
3. Mencegah agar kedua file tersebut tidak dapat di-inject atau dihapus, dan digantikan dengan file
yang dibuat oleh virus/worm
Langkah-langkah
1. Periksa dan hapus file autorun.inf dan desktop.ini jika sudah ada pada UFD. Perlu dicatat bahwa
kedua file ini mungkin tidak terlihat karena di-hidden ataupun dijadikan file system. Untuk itu
ubah dahulu folder option-nya dengan cara:
a. Pilih Tool �� Folder Options…
b. Pada tab View, pilih show hidden files and folder dan uncheck hide protected operating
system file (recommended)
2. Setelah dihapus, buatlah berkas dengan nama autorun.inf dan desktop.ini di dalam UFD. Isi dari
kedua berkas ini dapat didefinisikan sendiri, misalnya autorun.inf dapat digunakan untuk
mengubah ikon default UFD, dan desktop.ini dapat digunakan untuk menampilkan wallpaper
pada UFD dan mengubah warna font
3. Ubah atribut kedua berkas tersebut menjadi Read-only. Caranya, klik kanan �� properties, check
Read-Only
4. Untuk mencegah agar file yang kita buat tidak dapat dihapus dan atributnya tidak dapat diganti,
caranya:
a. Kembali ke folder option, pada tab view, uncheck use simple file sharing (recommended)
b. Klik kanan �� properties kedua berkas tersebut, pilih tab security, kemudian klik tombol
advanced
c. Untuk setiap group user yang ada (Administrators, System, Guests, Users, dll), TERKECUALI
USERNAME ANDA SENDIRI, edit permission access-nya, misalnya deny: Take Ownership,
Change Permissions, Delete, Write Attributes, Write Extended Attributes, Create Files, Create
Folders, dan lain-lain sesuai keinginan. Yang pasti permission access yang sudah disebutkan
diatas harus di-deny
5. Karena permission access Anda tidak diubah, maka Anda dapat menghapus dan mengubah
kedua berkas tersebut. Agar tidak terlihat, ubah atribut kedua berkas tersebut menjadi hidden
melalui klik kanan �� properties, atau melalui command prompt dengan perintah:
attrib +s +h F:\autorun.inf
attrib +s +h F:\desktop.ini
Asumsikan F:\ adalah drive untuk UFD
6. Kembalikan setting folder option seperti semula.
Demikianlah tips dan trik kali ini, semoga dengan pemahaman dan penguasaan teknik ini dapat
mengurangi penyebaran dan penginfeksian berbagai jenis virus dan worm di kampus ITB pada
khususnya dan dunia luar pada umumnya. Terima kasih.

Pencegahan Eksekusi Virus Worm yang Bersarang pada UFD

Pemahaman Singkat
Virus dan worm menggunakan 2 teknik agar file yang disebarkan (hasil salinan dirinya) pada UFD
tereksekusi ketika UFD itu digunakan pada suatu komputer, baik itu pada komputer yg sudah 'sakit'
maupun yg masih 'segar'. Kedua teknik yang digunakan oleh para vxers(pembuat virus) tersebut adalah:
1. Injeksi file autorun.inf
Dengan membuat atau menginjeksi file autorun.inf dengan kode-kode tertentu, file virus/worm
dapat tereksekusi:
a. Hanya dengan men-colok-kan UFD ke komputer (fungsi autorun removable device tidak didisable)
b. Ikon UFD diklik 2 kali
c. Mengeksekusi faked command pada klik kanan ikon UFD, misalnya : explorer ( dari explore),
property (properties)
2. Injeksi file desktop.ini dan folder.htt
Sama dengan teknik yg pertama, teknik ini dapat membuat virus/worm tereksekusi ketika ikon
UFD ataupun ikon folder-folder dalam UFD diklik 2 kali.
Pencegahan
Untuk mencegah agar file autorun.inf dan desktop.ini tidak dapat dibuat sekaligus di-inject ketika UFD
digunakan pada komputer yang sudah terinfeksi, maka yang perlu dilakukan adalah:
1. Membuat kedua file tersebut dengan definisi kita sendiri
2. Mengubah atribut menjadi read-only, dan
3. Mencegah agar kedua file tersebut tidak dapat di-inject atau dihapus, dan digantikan dengan file
yang dibuat oleh virus/worm
Langkah-langkah
1. Periksa dan hapus file autorun.inf dan desktop.ini jika sudah ada pada UFD. Perlu dicatat bahwa
kedua file ini mungkin tidak terlihat karena di-hidden ataupun dijadikan file system. Untuk itu
ubah dahulu folder option-nya dengan cara:
a. Pilih Tool 􀃆 Folder Options…
b. Pada tab View, pilih show hidden files and folder dan uncheck hide protected operating
system file (recommended)
2. Setelah dihapus, buatlah berkas dengan nama autorun.inf dan desktop.ini di dalam UFD. Isi dari
kedua berkas ini dapat didefinisikan sendiri, misalnya autorun.inf dapat digunakan untuk
mengubah ikon default UFD, dan desktop.ini dapat digunakan untuk menampilkan wallpaper
pada UFD dan mengubah warna font
3. Ubah atribut kedua berkas tersebut menjadi Read-only. Caranya, klik kanan 􀃆 properties, check
Read-Only
4. Untuk mencegah agar file yang kita buat tidak dapat dihapus dan atributnya tidak dapat diganti,
caranya:
a. Kembali ke folder option, pada tab view, uncheck use simple file sharing (recommended)
b. Klik kanan 􀃆 properties kedua berkas tersebut, pilih tab security, kemudian klik tombol
advanced
c. Untuk setiap group user yang ada (Administrators, System, Guests, Users, dll), TERKECUALI
USERNAME ANDA SENDIRI, edit permission access-nya, misalnya deny: Take Ownership,
Change Permissions, Delete, Write Attributes, Write Extended Attributes, Create Files, Create
Folders, dan lain-lain sesuai keinginan. Yang pasti permission access yang sudah disebutkan
diatas harus di-deny
5. Karena permission access Anda tidak diubah, maka Anda dapat menghapus dan mengubah
kedua berkas tersebut. Agar tidak terlihat, ubah atribut kedua berkas tersebut menjadi hidden
melalui klik kanan 􀃆 properties, atau melalui command prompt dengan perintah:
attrib +s +h F:\autorun.inf
attrib +s +h F:\desktop.ini
Asumsikan F:\ adalah drive untuk UFD
6. Kembalikan setting folder option seperti semula.
Demikianlah tips dan trik kali ini, semoga dengan pemahaman dan penguasaan teknik ini dapat
mengurangi penyebaran dan penginfeksian berbagai jenis virus dan worm di kampus ITB pada
khususnya dan dunia luar pada umumnya. Terima kasih.

cara mengatsi virus worm 2

Worms mereplikasikan dirinya melalui jaringan, biasanya worm akan aktif secara otomatis tanpa bantuan dari user tapi jenis worm ‘mass mailer’ tidak selalu aktif secara otomatis. Worms sebenarnya tidak memerlukan suatu system/host. Namun pada beberapa worms seperti W32/Nimda.A@mm (@mm = massmailer) bekerja seperti virus kebanyakan, dia akan menyebar menginfeksi file-file dan menginfeksi systemnya. Jadi worm adalah jenis virus yang tujuan utamanya adalah menyerang jaringan.

Cacing-cacing di Internet (Worms) adalah autonomous intrusion agents yang mampu melakukan penggandaan-diri dan menyebar dengan memanfaatkan kelemahan-kelemahan sekuriti (security flaws) pada services yang umum digunakan. Worm bukanlah sebuah fenomena baru, ditemukan pertama kali penyebarannya pada tahun 1988. Worms telah menjadi sebuah ancaman yang mematikan di Internet, walaupun sebagian besar kasus yang terjadi secara spesifik adalah pada sistim berbasis Windows. Beberapa jenis worms terbaru memanfaatkan electronic mail (e-mail) sebagai medium penyebarannya.
Mekanisme Penyebaran
Worm menginfeksi host korban dan memasukkan kode program sebagai bagian dari program worm ke dalamnya. Kode program tersebut dapat berupa machine code, atau routine untuk menjalankan program lain yang sudah ada pada host korban. Dalam proses penyebarannya, worm harus mencari korban baru dan menginfeksi korban dengan salinan dirinya. Proses pendistribusian tersebut dapat berlangsung sebagai proses distribusi satuan (dari satu host ke host yang lain) atau sebagai proses distribusi masal (dari satu host ke banyak host).
Proses distribusi masal dipertimbangkan sebagai metode penyebaran tercepat dengan asumsi batasan yang digunakan adalah satuan waktu. Terdapat beberapa mekanisme penyebaran yang digunakan worm untuk menemukan calon korban yaitu dengan melakukan scanning, mencari korban berdasarkan target list yang sudah dipersiapkan terlebih dahulu oleh penulis worm atau berdasarkan list yang ditemukan pada sistim korban maupun di metaserver, serta melakukan monitoring secara pasif.

Virus Worm Incar Messenger

Program instant messenger (IM) yang tengah populer di kalangan pengguna internet tampaknya bakal jadi sasaran empuk virus-virus jenis worm. Setelah lama membidik program email, para pembuat virus worm tampaknya akan mulai membidik layanan IM.Demikian diberitakan Zdnet.com, Rabu (15/8/2001). Akhir Juni 2001 lalu, sebuah virus worm bernama "Choke" melakukan serangan terhadap MSN messenger, jaringan IM milik Microsoft Corp. Sebulan sebelumnya, virus sejenis berkode W32/Hello juga menyerang jaringan yang sama. Kalangan ahli keamanan komputer menilai kewaspadaan terhadap serangan semacam ini masih sangat kurang. Padahal bukannya tidak mungkin serangan virus worm akan menyerang jaringan IM yang lain, semisal AOL Instant Messenger (AIM) dan ICQ milik AOL Time Warner atau Yahoo Messenger milik Yahoo. Kalangan pembuat virus saat ini tengah merancang sebuah virus worm yang dapat menyerang berbagai jenis jaringan IM, termasuk sistem pertukaran file peer-to-peer dan sistem wireless. Namun hingga saat ini memang belum ada jenis yang seeektif virus worm yang menyebar melalui program email semisal virus cinta, Anna Kournikova dan Melissa. Chief Technology Officer (CTO) Privacy Foundation, Richard Smith, menegaskan, email saat ini masih merupakan wahana paling efektif untuk menyebarkan email. Namun kalangan ahli keamanan komputer mengingatkan, serangan masif virus worm melalui jaringan IM hanyalah soal waktu. Saat ini puluhan juta user di internet telah menggunakan IM untuk melakukan komunikasi secara real time. Layanan ini diprediksi akan menjadi program paling populer di internet dalam waktu dekat.

worm dkernel

Name : dKernel
Filename : dkernel.exe
Perintah : C:\Windows\System32\I75-D2\dkernel.exe
Deskripsi : Added by the W32/Decoy-A worm.
Lokasi File : C:\Windows\System32\I75-D2\dkernel.exe
Startup Type : Akan jalan otomatis melalui Run, RunOnce, RunServices, or RunServicesOnce entry in the registry.

TANDA - TANDA

1. File .doc anda akan disembunyikan dan diganti sesuai dengan namanya. Misalnya namanya coba.doc akan diganti oleh virus menjadi coba.doc.exe

2. Windows berjalan agak lelet. Karena virus tersebut memakai timer untuk menjalankan prosesnya.

3. Di task manager ada IEXPLORER.EXE dan DKERNEL.EXE
REGISTRY

Virus ini merubah beberapa file registry windows yaitu :

Alamat : HKLM/Software/Microsoft/Windows/CurrentVersion/Run
Key : dKernel
Value : "C:\Windows\System32\I75-D2\dkernel.exe"

PENANGGULANGAN



4. Jika masih tidak bisa tekan ctrl+alt+delete , lalu klik TASK MANAGER.
5. kemudian lihat pada task manager dkernel.exe, klik Processes
6. Pilih dkernel.exe dan klik kanan lalu pilih End Process Tree

Masih gak bisa lagi…

1a. Masuk ke MS-DOS dengan klik start-> run-> cmd kemudian enter
2a. Ketik kode dibawah ini pada dos:

C:\>TASKKILL /S system /F /IM dkernel.exe /T

3a. kemudian enter.

Setelah hilang proses dkernel.exe tersebut, ikuti langkah di bawah ini :

1. buka windows explorer
2. Masuk ke direktori :

C:\Windows\System32\I75-D2\

3. Cari file dkernel.exe, jika masih hidden set file tersebut ke file normal atau unhide.
4. Hapus file tersebut.
5. Kemudian klik start -> Search -> For File or Folder
6. Ketik *.doc.exe
7. Hapus file - file tersebut, jika ada yang tidak bisa terhapus berarti file lagi dipakai, nah file itu yang harus dihentikan prosesnya terlebih dahulu.

Untuk menghentikannya:

1. Tekan ctrl+alt+del
2. Klik task manager, kemudian cari proses sesuai dengan nama file yang tidak bisa terhapus
3. Kemudian klik kanan dan pilih End Process Tree

Setelah itu hapus filenya.

Untuk mengembalikan file .doc yang disembunyikan, cukup download file P3KDiary.exe di www.virologi.info/download

menghilangkan worm sasser

Jika anda memakai Microsoft® Windows® XP atau Windows XP Service Pack 1 (SP1) dan komputer anda telah terinfeksi

Worm Sasser, anda dapat mengikuti langkah berikut ini untuk mengganti perangkat lunak anda, menghilangkan

wormnya, dan memberikan perlindungan dari serangan berikutnya. Jika anda memakai Microsoft® Windows® XP atau

Windows XP Service Pack 1 (SP1) dan komputer anda telah terinfeksi Worm Sasser, anda dapat mengikuti langkah

berikut ini untuk mengganti perangkat lunak anda, menghilangkan wormnya, dan memberikan perlindungan dari

serangan berikutnya.

Langkah 1: Putuskan sambungan komputer anda ke Internet Untuk mencegah masalah selanjutnya, pustuskan

sambungan komputer anda dari Internet:

- Bagi Penguuna Sambungan Internet Broadband Cari kabel yang menghubungkan komputer ke modem eksternal DSL

atau kabel yang menghubungkan komputer ke modem atau ke sambungan telepon.Cabutlah kabel itu dari modem atau

dari sambungan telepon, sehingga sambungan komputer anda ke Internet terputus.

- Dial-up connection users: Carilah kabel yang menghubungkan modem internal dalam komputer anda ke sambungan

telepon, kemudian cabutlah kabel itu agar tidak menghubungkan komputer anda ke Internet. Langkah 2: Hentikan Siklus

Shutdown Worm ini akan menyebabkan file LSASS.EXE tidak bereaksi atas perintah lainnya (stop responding), yang

kemudian menyebabkan sistem operasi kembali shut down setelah 60 detik. Jika komputer anda mulai shut down,

ikutilah langkah berikut ini agar system tidak mengalami shutdown.

- Pada taskbar dibawah layar komputer anda, click Start, lalu click Run.

- Ketikan: cmd dan kemudian click OK.

- Pada promt, ketikan : shutdown.exe -a kemudian tekan tombol ENTER. Langkah 3: Lakukan Pencegahan Anda bisa

secara periodik membuang semua tanda tanda adanya worm menginfeksi komputer anda dengan cara membuat

sebuah file log. Membuat file log

- Pada taskbar dibawah layar monitor anda, click Start, kemudian click Run.

- Ketikan: cmd kemudian click OK.

- Pada prompt, ketikan: echo dcpromo >%systemroot%\debug\dcpromo.log dan tekan ENTER. Membuat file log

berstatus read-only

- Pada prompt, ketikan: attrib +R %systemroot%\debug\dcpromo.log lalu tekan tombol ENTER. Langkah 4: Ubahlah

Performansi Sistem Jika komputer anda memberikan tanda adanya sambungan Internet yang lambat, worm mungkin

sedang masuk ke jaringan komputer anda. Sehingga mengakibatkan anda sulit melakukan download dan menginstalasi

perangkat lunak upodate nya.Untuk mengubah performansi sistem anda lakukan :

- Tekan CTRL+ALT+DELETE, kemudian click Task Manager.

- Untuk setiap langkah berikut ini yang mungkin ada dalam daftarnya, click task untuk memilihnya, kemudian click End

Task button untuk mengakhirinya.

- Setiap task berakhir dengan _up.exe (contoh , 12345_up.exe).

- Setiap task dimulai dengan avserve (contoh, avserve.exe).

- Setiap task dimulai dengan avserve2 (contoh, avserve2.exe).

- Setiap task dimulai dengan skynetave (contoh, skynetave.exe).

- hkey.exe

- msiwin84.exe

- wmiprvsw.exe

Perhatian Jangan mengakhiri task wmiprvse.exe; sebab ini merupakan task sistem yang sedang dipakai. Langkah 5:

Enable Firewall Sebuah firewall adalah sebagian perangkat lunak ataupun perangkat keras yang dibuat untuk tameng

penghalang antara komputer anda dan Internet. Jika komputer anda terinfeksi, sebuah firewall akan menolong

memperkecil efek dari worm. Windows XP dilengkapi dengan Internet Connection Firewall (ICF). Operaikan ICF:

- Pada taskbar dibawah layar monitor anda, click Start, kemudian click Control Panel.

- Click kategori Network and Internet Connections.

(Jika Network and Internet Connections adalah not visible, click Switch to Category View dalam Control Panel bagian

sisi kiri window Control Panel.)

- Click Network Connections.

- Click tombol kanan mouse anda pada Dial-up, LAN, atau pada sambungan High-Speed Internet yang adan

pergunakan untuk akses ke Internet, lalu click Properties dari menu shortcut.

- Pada tab Advanced, pada Internet Connection Firewall, pilih Protect my computer and network, kemudian click OK.

Windows XP firewall sudah enable sekarang. Langkah 6: Sambungkan Kembali ke Internet Hubungkan kabel seperti

yang disebutkan pada langkah 1, ke bagian belakang komputer anda, ke sambungan telepon atau kemodem. Langkah

7: Installasi File Update Yang Diperlukan Untuk menolong perlindungan komputer anda melawan worm di waktu

mendatang, anda harus mendownload dan menginstalasi file update security 835732, yang telah diumumkan dalam

Microsoft Security Bulletin MS04-011. Untuk mendownload update security 835732, carilah disitus

http://go.microsoft.com/?LinkID=526067 Langkah 8: Pengecekan dan Pembersih Sasser Setelah anda menginstalasi file

update security pada komputer anda dan melakukan restart komputer anda, akseslah halaman web "What You Should

Know About the Sasser Worm and Its Variants" di situs http://www.microsoft.com/security/incident/sasser.asp. Pakailah

Hari Kuswanto's Site

http://hari.000webhost.info Powered by: Joomla! Generated: 9 December, 2008, 12:06

perangkat lunak pembersih worm Sasser agar hardisk anda bisa discan dan dibersihkan dari Sasser.A, Sasser.B,

Sasser.C, dan Sasser.D. Tentang Internet Connection Firewall Windows XP Internet Connection Firewall dapat

memblokir task berguna seperti file sharing atau printer melalui jaringan komputer, pengiriman file atau penyimpanan

game multiplayer. Microsoft menyarankan agar anda memakai firewall untuk perlindungan komputer anda. Jika anda

mengoperasikan Internet Connection Firewall dan menemui masalah dimana atas task yang anda inginkan, bacalah

"How to Open Ports in the Windows XP Internet Connection Firewall" dalam situs

http://www.microsoft.com/security/protect/ports.asp. Jika anda memiliki lebih dari satu komputer, dan ingin informasi

teknis lebih lanjut, atau ingin belajar lebih lanjut tentang firewall, bacalah "Frequently Asked Questions About Firewalls"

dalam situs http://www.microsoft.com/security/protect/firewall.asp.