Keluaran virus terbaru sekarang ini sangat cangih, karena virus2 diatas tersebut dapat mematikan system jaringan komputer kita, untuk dapat membasminya juga tidak mudah Semoga cara2 di bawah ini dapat membantu
1. Worm ini menyerang dengan memanfaatkan bolongnya celah keamanan di
RPC (seperti pada kasus blaster beberapa tahun yang lalu-baca pejelasan
napak tilas RPC Dom dari pak Alfon-Vaksin.com), dan yang bisa terinfeksi
adalah hamper semua varian Windows, bahkan Windows 7 yang masih beta
version.
2. Setelah computer terkena virus ini maka akan otomatis mendownload
file - file dengan extension *.JPG yang akan ditaruh di "C:\Documents and
Settings\Network Services\Local Settings\Temporary Internet
Files\Content.IE5\"
3. Worm ini akan menjadikan salah satu computer menjadi server web
sehingga akan mem broadcast file - file tersebut diatas. Selama computer
server ini belum diatasi maka bias dianggap worm ini masih hidup di
Jaringan, effectnya adalah traffic menjadi penuh, dan apabila kita memakai
Symantec maka antivirus ini akan otomatis mendelete file2 yang di download,
dan ini akan berlangsung terus menerus sehingga akan mengganggu user dalam
bekerja tetapi tidak menjadikan jaringan terputus.
4. Solusi yang dilakukan saat itu dan cukup efektif dalam mencegah
worm ini berkembang adalah :
. Update ke Windows XP SP3
. Update Antivirus Definition Files
. Patching Windows yang masih SP 1 dan 2 untuk menutup celah di
windows.
. Mengaktifkan Windows Firewall
B. Fase Kedua : W32.Conficker
Di kantor saya fase ini muncul sekitar awal Januari dan setelah googling
ternyata ini merupakan modifikasi yang lebih baru dari W32.DownAdUp, dan
effectnya lebih parah (salut buat yang bikin virus.)
1. Penyebaran worm ini sama dengan W32.downadup, yaitu memanfaatkan
celah bolong RPC dari windows (bahkan yang sudah diupdate sebelumnya).
2. Worm ini juga akan memanfaatkan computer yang menjadi server untuk
membroadcast, bedanya server ini akan menyerang di svchost client, yang
effectnya adalah mematikan service2 berikut :
. Computer Browser
. DHCP Client
. Windows Firewall
. Yang lain lupa (J)
3. Setelah service - service tersebut mati maka otomatis Computer akan
tidak terkoneksi dengan jaringan LAN.
4. Selain menyerang service - service tersebut, worm ini akan
menyerang SVCHOST dengan membuat SVCHOST palsu di
"C:\WINDOWS\SECURITY\SVCHOST.EXE" yang nanti akan menyebabkan load tinggi
di SVCHOST yang asli dan akan membuat computer Hang dengan muncul pesan
"Generic Host Process Win32 ..bla bla bla."
5. Kalau computer sudah terinfeksi maka akan muncul service baru
dengan nama : Windows Host32 Server Service yang kalaui dilihat akan
mereference file svchost.exe yang ada di "C:\WINDOWS\SECURITY\SVCHOST.EXE"
6. Solusi yang dilakukan dan sampai saat ini efektif adalah :
. Disable service Windows Host32 Server Service
. Delete "svchost.exe" yang ada di "C:\WINDOWS\SECURITY\SVCHOST.EXE"
. Delete Registry Windows Host32 Server Service ada di
HKEY_LOCAL_MACHINE | SYSTEM | CurrentControlSet | Services | Win32Host
(dihapus satu folder), ada satu lagi registrynya W32 cuman saya lupa
tempatnya, di Find aja dengan ke cara find "Windows Host32 Server Service",
. Patching Windows lagi, dan hari Rabu 13 Januari 2009 kemarin
Windows melakukan patching lagi untuk RPC DOM ini.
. Mengaktifkan Windows Firewall
. Update Antivirus Definition Files
Sampai sekarang solusi - solusi diatas masih cukup efektif dari sisi client,
tetapi yang menjadi kendala saat ini adalah Computer Server penyebar virus
belum ditemukan, dan kalau menginstall Windows di computer baru selama belum
di patching maka otomatis bakal kena. Langkah yang dilakukan untuk
mengetahui computer mana yang kena virus adalah dengan menggunakan tools
WireShark tetapi juga belum ketemu, mungkin kalau ada yang tau caranya
tolong diinformasikan. Semoga berguna, Terima Kasih.
Atau gunakan cara yang ini untuk membasi Genric Host Process For Win32
peringatan yg kamu maksud seperti ini yah..: “Generic Host Process for Win32 Services has encountered a problem and needs to close. We are sorry for the inconvenience.” eror ini merujuk kepada 2 file yg bermasalah yaitu "netapi32.dll dan svchost.exe"
ok,, aku ada 2 solusi untuk itu:
1. tutup port 445 & port 135
-caranya: buka regedit dan cari key ini: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\NetBT\Parameters
di dalam key ini temukan key dgn nama "TransportBindName", dobel klik TransportBindName lalu kosongkan (blank) valuenya.
-cari key HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
temukan string "EnableDCOM" set valuenya menjadi N (biasanya di situ Y).
2. update system anda pake "WindowsXP-KB894391-x86-ENU" (cari di situs resmi microsoft)
Setelah cara2 diatas sudah selesai untuk memastikannya bisa anda gunakan tools ini untuk meremove virus tersebut
1. tools dari Kaspersky disini
Tidak ada komentar:
Posting Komentar