Monthly Archives: February 2009

Cara Mengenali Ciri-ciri Serangan Conficker

Begitu terinfeksi virus Conficker, komputer benar-benar seperti zombie yang diambil alih pihak lain. Pengguna tak berkutik terutama saat terhubung dengan jaringan Internet. Serangan Conficker akan sangat mengganggu karena tidak hanya mengambil alih sebagian kerja komputer, namun juga menelanjangi fungsi keamanan yang seharusnya melindungi komputer dari ancaman virus dan sejenisnya.

Namun, karena tidak merusak langsung seringkali serangan tersebut tak disadari. Nah, apakah komputer sudah terinfeksi Conficker atau belum dapat dikenali dari ciri-cirinya. Gejala Conficker yang paling umum adalah munculnya pesan Generic Host Process Error setiap kali pengguna komputer menghubungkan dirinya dengan internet.

Selain itu, Conficker juga diketahui menyebabkan login username Active Directory dikunci karena ia melakukan aksi Bruteforce. Dalam banyak kasus malahan serangan menyebabkan terganggunya koneksi internet komputer/jaringan korbannya.

Jika anda mengalami satu atau beberapa gejala dibawah ini, berarti Conficker telah menginfeksi:

1. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.

2.Komputer mendapatkan pesan error Generic Host Process.

3.Komputer tidak bisa mengakses situs-situs tertentu seperti http://www.microsoft.com, http://www.symantec.com, http://www.norman.com, http://www.clamav.com, http://www.grisoft.com, http://www.avast.com dan http://www.eset.com dengan pesan “Address not Found” tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan berarti.

4.Update definisi antivirus terganggu karena akses ke situs antivirus diblok.

5. Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000

Ciri File Virus

Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bert ipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype “dll” (dynamic link library).

File virus yang berusaha masuk akan berada pada lokasi temporary internet:

1. %Documents and Settings-Settings-Internet Files-acak%].[%gif,jpeg,bmp,png%]

2. %Documents and Settings-Settings-Temporary Internet Files-

Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut :

3. %Documents and Settings%-Data-acak%].dll

4. %Program Files%-Explorer-acak%].dll

5. %Program Files%-Maker-acak%].dll

6. %WINDOWS%-acak%].dll

7. %WINDOWS%-acak%].dll

File “dll” inilah yang aktif dan “mendompleng” file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali. Vi rus juga akan mengcopy file “[%nama acak%].tmp” pada folder %WINDOWS%-(contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tersebut, kemudian virus mendelete file tersebut.

Gejala/Efek Virus

Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :

1. Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-disable beberapa service, yaitu:

– wscsvc : Security Center

– wuauserv : Automatic Updates

– BITS : Background Intellegent Transfer Service

– ERSvc : Error Reporting Service

– WerSvc : Windows Error Reporting Service (Vista, Server 2008)

– WinDefend : Windows Defender (Vista, Server 2008)

2. Virus m ampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke website keamanan.

– Ccert.
– sans.
– bit9.
– windowsupdate
– wilderssecurity
– threatexpert
– castlecops
– spamhaus
– cpsecure
– arcabit
– emsisoft
– sunbelt
– securecomputing
– rising
– prevx
– pctools
– norman
– k7computing
– ikarus
– hauri
– hacksoft
– gdata
– fortinet
– ewido
– clamav
– comodo
– quickheal
– avira
– avast
– esafe
– ahnlab
– centralcommand
– drweb
– grisoft
– nod32
– f’prot
– jotti
– kaspersky
– f’secure
– computerassociates
– networkassociates
– etrust
– panda
– sophos
– trendmicro
– mcafee
– norton
– symantec
– microsoft
– defender
– rootkit
– malware
– spyware
– virus

3. Virus berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :

” netsh interface tcp set global autotuning=disabled”

Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba aks es jaringan. Info selengkapnya pada http://support.microsoft.com/kb/947239

4. Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet. Virus melakukan download pada beberapa website berikut :

aaidhe.net

aamkn.cn

abivbwbea.info

aiiflkgcw.cc

alfglesj.info

amcfussyags.net

amzohx.ws

apaix.ws

argvss.info

arolseqnu.ws

asoidakm.cn

atnsoiuf.cc

avweqdcr.cn

axaxmhzndcq.cc

barhkuuu.com

bbuftxpskw.cc

bdykhlnhak.cc

bdzpfiu.biz

bijkyilaugs.cn

bjpmhuk.ws

bmmjbsjidmt.com

bzagbiwes.cc

carse.cn

cauksxf.biz

cfhlglxofyz.biz

cinsns.cc

ciynbjwm.com

cljivsb.biz

cpeadyepcis.biz

cqnxku.ws

ctmchiae.ws

cxjsy.net

czkdu.net

dbffky.cn

dgbdjsb.com

drpifjfxlyl.ws

dtosuhc.org

duahpzq.org

dwrtwgsm.cn

dyjomzyz.com

earuldx.cn

egqoab.net

egxbsppn.cn

ehkvku.cn

elivvks.net

emxmg.info

eobvidij.org

erwojl.org

evqvmwgw.cn

ewioygq.biz

exxkvcz.cc

ffaqk.info

fhlwov.net

fitjg.net

fkhbumne.info

fknacmvowib.cn

fmdsqasqm.net

fmgcjv.cn

fpljpuqp.info

fsrljjeemkr.info

fthil.cc

ftphtsfuv.net

gbgklrka.cc

gbmkghqcqy.net

gbxyu.ws

gezjwr.biz

gjbwolesl.info

glkzckadwu.biz

gmvhjp.ws

gsvrglz.cc

gutvjbektzq.com

gwtqx.cn

hbyzvpeadkb.net

hewdw.ws

hjcxnhtroh.cn

hltowx.com

hqjazhyd.com

hrmirvid.com

hudphigb.org

hvagbqmtxp.info

idvgqlr.ws

ihnvoeprql.biz

iidqkzselpr.com

ijthszjlb.com

iklzskqoz.cn

iqgnqt.org

iqrzamxo.ws

isjjlnv.org

iudqzypn.cn

iyfcmcaj.cn

jayrocykoj.ws

jffhkvhweds.cn

jfxcvnnawk.org

jgrftgunh.org

jguxjs.net

jhanljqti.cc

jhvlfdoiyn.biz

jjhajbfcdmk.net

jkisptknsov.biz

jknxcxyg.net

jlouqrgb.org

jpppffeywn.cc

jradvwa.biz

juqsiucfrmi.net

jvnzbsyhv.org

jxnyyjyo.net

kaonwzkc.info

kdcqtamjhdx.ws

kgeoaxznfms.biz

kihbccvqrz.net

kimonrvh.org

kjsxwpq.ws

kkrxwcjusgu.cn

knqwdcgow.ws

koaqe.cc

kodzhq.org

kqjvmbst.net

kufvkkdtpf.net

kxujboszjnz.ws

lagcrxz.cc

lawwb.com

lbdfwrbz.net

ljizrzxu.cc

lmswntmc.biz

lotvecu.com

lplsebah.cn

lxhmwparzc.ws

lyamwnhh.info

mciuomjrsmn.cn

mdntwxhj.cn

meqyeyggu.cc

mfigu.cn

mimdezm.biz

mkdsine.cn

mmtdsgwfa.net

mouvmlhz.cc

mozsj.biz

mpqzwlsx.ws

msvhmlcmkmh.biz

mtruba.ws

myrmifyuqo.biz

naucgxjtu.ws

ncwjlti.cn

nertthl.net

nnxqqmdl.info

nuxtzd.cn

nxvmztmryie.ws

nybxvgb.net

nzsrgzmhay.net

oadscrk.org

oezepyh.info

ojrswlg.net

olgjkxih.org

omqxqptc.ws

ooudifyw.cn

opkawiqb.cn

oqsfz.ws

orvfkx.cc

otoajxfn.net

oxeeuikd.net

oyezli.com

pfath.info

plsexbnytn.com

poplie.cc

psbdfflh.cn

qfmbqxom.ws

qjvtczqu.com

qpcizvlvio.biz

qslhoks.cn

qtcnfvf.biz

qtsnk.cn

qzktamrsgu.cn

rbhixtifxk.cc

rccoq.net

rgievita.ws

rlrbqpxv.org

rozhtnmoudg.cc

rpsctacalyd.cn

rrmkv.com

rtpuqxp.net

rtztoupc.net

satmxnz.ws

sbtalilx.com

sdjnaeoh.cc

sirkqq.org

sjkkfjcx.biz

sjkxyjqsx.net

stmsoxiguz.net

tdeghkjm.biz

tkhnvhmh.biz

tmdoxfcc.org

torhobdfzit.cc

trdfcxclp.org

tscmbj.net

tuwcuuuj.com

txeixqeh.biz

uazwqaxlpq.info

ubxxtnzdbij.com

ucnfehj.org

uekmqqedtfm.com

uhtmou.ws

uhveiguagm.biz

uoieg.ws

uttcx.net

uyhgoiwswn.cc

uyvtuutxm.cn

vfxifizf.info

vupnwmw.biz

vzqpqlpk.ws

waeqoxlrprp.org

wdrvyudhg.cc

wediscbpi.org

whgtdhqg.net

wkstxvzr.org

wmrgzac.info

wnwqphzao.info

wsajx.com

wskzbakqfvk.org

wtngipaynh.info

wumvjpbbmse.cc

wuzunxevor.info

wwftlwlvm.org

xcncp.info

xeeuat.com

xhazhbir.biz

xjnyfwt.org

xlrqvoqmsxz.info

xqgbn.cn

xwrrxwmo.cc

xxabrkhb.cc

xxmgkcw.cc

xxxxgvtaa.com

xzoycphicpk.com

ybbfrznr.info

ycceqdmm.cc

ydxnochqn.org

ygmwharv.info

ylnytttckyc.com

yuvudlsdop.cc

ywhaunsyez.cc

ywxdggnaaad.org

zindtsqq.ws

zkywmqx.com

zoosmv.info

zqekqyq.cn

zqked.org

zsatn.ws

ztgsd.info

ztioydng.com

zzczpujz.biz

5. Virus akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa wesite berikut :

baidu.com

google.com

yahoo.com

msn.com

ask.com

w3.org

aol.com

cnn.com

ebay.com

msn.com

myspace.com

6. Virus akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).

7. Virus akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows :

Service name: “[%nama acak%].dll”

Path to executable: %System32%–k netsvcs

Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) :

Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows

8. Virus membuat HTTP Server pada port yang acak :

http://%ExternalIPAddress%:%PortAcak(1024-10000)%

Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi :

http://www.getmyip.org

-http://www.whatsmyipaddress.com

http://getmyip.co.uk

-http://checkip.dyndns.org

– Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah :

“rundll32.exe .[%eks tensi acak%], [%acak]”

Cara Mudah Back-up Setting Office 2003

Di dalam paket Microsoft Office 2003 terdapat beberapa aplikasi yang dibundel di dalamnya, sebut saja Microsoft Word, Microsoft Excel, Microsoft PowerPoint dan Microsoft Access. Di luar keempat aplikasi inti tadi masih terdapat aplikasi perkantoran lain seperti Microsoft OneNote atau Microsoft InfoPath yang dibundel bersama paket Office 2003 versi tertentu.
Apabila Anda menggunakan kesemua aplikasi Office tersebut, pastilah Anda akan melakukan customize agar Office 2003 nyaman saat digunakan. Tidak dapat dipungkiri pula bahwa untuk melakukan kustomasi yang sesuai dengan keinginan diperlukan waktu yang tidak sedikit. Jika suatu saat karena satu dan lain hal Anda harus meng-install ulang Windows, maka bisa dipastikan seluruh perubahan yang Anda lakukan selama ini pada Microsoft Office akan hilang begitu saja.
Agar di Windows Anda yang baru memiliki “feel” yang sama dengan sebelumnya, Anda harus meng-customize ulang setiap setting pada setiap aplikasi. Tentunya ini sangat tidak efisien.
Cara terbaik agar waktu Anda tidak banyak terbuang: lakukan back-up setting, install ulang Windows, dan restore setting pada Windows yang baru. Untuk mem-back-up dan restore tentu saja dibutuhkan sebuah tool khusus agar prosesnya tidak terlalu rumit, namun jangan kuatir tool tersebut telah diintegrasikan dengan paket Microsoft Office 2003, sehingga Anda tinggal menggunakannya.
Untuk cara akses dan penggunaan, Anda cukup mengikuti langkah-langkah yang telah dijabarkan dibawah ini, tapi ingat sebelum mencoba trik berikut pastikan seluruh aplikasi Office telah ditutup.
1. Klik menu [Start] > [All Programs] > [Microsoft Office] > [Microsoft Office Tools] > [Microsoft Office 2003 Save My Settings Wizard].
2. Sebuah wisaya Microsoft Office 2003 Save My Settings Wizard yang berisi sambutan akan muncul. Klik [Next], untuk melanjutkan proses.
3. Pada halaman berikutnya, Anda akan diberikan dua pilihan: [Save the settings from this machine] dan [Restore previously saved settings to this machine]. Karena Anda baru pertama kali menjalankan wizard ini, pilih [Save the settings from this machine] untuk menyimpan setting. Dikemudian hari Anda bisa menggunakan opsi [Restore previously saved settings to this machine] untuk mengembalikan setting yang telah Anda simpan.
4. Lanjutkan dengan mengklik [Next].
5. Sekarang tentukan lokasi folder dan nama file dimana Anda akan menyimpan/mengembalikan setting pada bagian File to save/restore settings to:. Jika Anda malas mengetikkan lokasinya, klik saja tombol [Browse…].
6. Tekan tombol [Finish] untuk memulai proses penyimpanan/pengembalian setting.

Langkah-langkah di atas juga bisa digunakan jika Anda memiliki banyak PC pada suatu jaringan dan ingin agar seluruh komputer tersebut memiliki setting yang sama. Secara garis besar, caranya adalah sama: simpan setting dari komputer sumber, kemudian restore file hasil back-up ke semua komputer. Dengan begini, akan banyak waktu yang dapat dihemat karena Anda tidak perlu meng-customize tiap komputer secara manual.

Cara Membuat Prefetcher Bekerja Sempurna

Sejak Windows XP, tersedia sebuah fitur bernama Prefetcher. Prefetcher melakukan optimasi lokasi file yang digunakan untuk boot dengan menggunakan Disk Defragmenter. Fitur ini juga diakomodasi hingga Windows Vista.
Meski fitur ini sangat berguna, pengerjaannya tidak selalu dilakukan tiap hari. Prefetcher hanya bekerja setelah beberapa kali boot dan hanya bekerja saat komputer tidak digunakan. Untuk mengetahui kapan terakhir kali Prefetcher bekerja, Anda dapat melihatnya dengan membuka Registry Editor dan masuk ke HKEY_LOCAL_MACHINE- SOFTWARE-Microsoft-Windows NT-CurrentVersion-Prefetcher, lalu lihat isi key LastDiskLayoutTimeString.
Kondisi di atas bisa menjadi masalah jika Anda adalah tipe orang yang tidak sabaran. Seperti telah dijelaskan di atas, Prefetcher hanya bekerja saat komputer dibiarkan menganggur. Kenyataannya, tidak semua pengguna cukup sabar menunggu booting selesai apalagi membiarkan Windows menganggur saat dinyalakan. Kebanyakan, begitu taskbar terlihat, tombol Start langsung ditekan, dan komputer langsung digunakan. Kalau kondisinya seperti itu, sama saja Anda tidak memberikan kesempatan Prefetcher untuk bekerja.
Solusinya, gunakan trik berikut untuk memaksa Prefetcher bekerja:
1. Klik tombol Start, ketik cmd pada kotak pencarian dan tekan [Enter].
2. Setelah jendela command prompt terbuka, ketik Rundll32.exe advapi32.dll, ProcessIdleTasks dan tekan [Enter]. Komputer Anda akan segera menjalankan tugas yang telah Anda amanatkan.

Tips: Sebelum defragmenter selesai menegerjakan tugasnya, sebaiknya Anda jangan menjalankan aplikasi yang berat agar komputer tidak terasa lambat.

Cara Cepat Uninstall Windows XP dari Command Prompt

Salah satu fitur yang dimiliki Windows XP adalah kemampuannya melakukan uninstall XP setelah kita berhasil melakukan upgrade dari Windows 98, 98SE, atau Windows Me. Pada umumnya uninstall dilakukan melalui tool [Add/Remove Programs] di Control Panel dalam kondisi booting Windows normal.

Namun, bila cara tersebut tak berhasil, kita bisa masuk ke Safe Mode dan membuang Windows melalui Add/Remove Programs. Seandainya cara yang ini pun gagal, barangkali satu-satunya jalan adalah melalui Command Prompt.

Caranya sebagai berikut :
1. Ketikkan cd- dan tekan [Enter].
2. Ketikkan cd-windows-system32 kemudian tekan [Enter].
3. Ketikkan osuninst.exe dan tekan [Enter].

Selanjutnya ikuti petunjuk pada layar yang akan membantu mengembalikan komputer ke sistem operasi sebelumnya.

Perlu diingat, cara ini hanya bisa dilakukan apabila sebelum melakukan upgrade ke Windows XP Anda telah mem-backup sistem operasi sebelumnya, selain itu Anda harus melakukannya sebagai Administrator atau user yang memiliki akses administrator.