Selain itu 'Conficker.DV' juga membuat file pada media removable seperti flashdisk,
harddisk dan card reader dengan menyimpan file hidden pada root drive.
Sementara aksi yang sama seperti pendahulunya, yaitu berusaha mengexploitasi MS08-
067 atau celah keamanan Windows, Windows Server Service atau SVCHOST.exe.
Banyak user yang terinfeksi dikarenakan tidak mengaktifkan fitur Automatic Updates dan
tidak melakukan patch windows MS08-067.
Jika sudah begini, simak 7 langkah singkat analis virus dari Vaksincom Adi Saputra
untuk membasmi virus 'Conficker.DV' yang diterima detikINET, Rabu (28/1/2009):
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
Hidden, 0x00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden, 0x00000001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SH
OWALL,
CheckedValue, 0x00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0x00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0x00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0x00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0x00000002,2
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections
Gunakan notepad, kemudian simpan dengan nama 'repair.inf', lalu 'Save As Type'
menjadi 'All Files' agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan,
kemudian pilih install.
Sementara untuk file yang aktif pada startup, Anda dapat mendisable melalui 'msconfig'
atau dapat mendelete secara manual pada string: 'HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Run'
7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi
ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini
dengan baik dan patch komputer Anda dengan patch resmi dari Microsoft guna mencegah
infeksi ulang.
Jika komputer terlanjur terinfeksi virus Conficker yang kini momok bagi pengguna
komputer di seluruh dunia, tak perlu khawatir. Anda tak sendirian karena diperkirakan
sudah ada 12 juta komputer yang terinfeksi di seluruh dunia saat ini. Kalau antivirus pun
masih gagal mengatasi, masih ada cara membasminya meski butuh sedikit kerja keras.
1. Putuskan komputer yang akan dibersihkan dari jaringan/internet. Matikan akses WiFi
kalau ada dan cabut kabel ethernet dari jaringan LAN.
3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman
untuk membersihkan virus yang aktif. Program ini tersedia cuma-cuma dan dapat di-
download di http://norman.com/support/support_tools/58732/en-us
4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat
mencari secara manual pada registry.
6. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat
menggunakan script registry di bawah ini. Salin script ini lalu install.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-
Hidden-SHOWALL, CheckedValue, 0×00000001,1
[del]
HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, dl
HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, ds
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, dl
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, ds
Gunakan notepad untuk menyalin, kemudian simpan dengan nama “repair.inf” (gunakan
pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). Jalankan repair.inf
dengan klik kanan, kemudian pilih install.
Catatan : Untuk file yang aktif pada startup, anda dapat men-disable melalui “msconfig”
atau dapat men-delete secara manual pada string :
“HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Run”