MAKALAH

KAJIAN MENDITEKSI DAN MENGATASI

ANCAMAN CONFICKER

Disusun oleh

Rizki kurniadi 3307220373

Politekhnik Negeri Jakarta

 ABSTRAK

Kehidupan di era globalisasi yang serba modern dan serba berbasis

komputer merupakan cerminan dari diri manusia yang semakin intelek. Seiring berkembangnya
peradaban, kebutuhan akan komputer tak terelakkan lagi. Hampir setiap instansi baik swasta maupun
pemerintah menggunakan komputer sebagai sarana bekerja mereka.

Komputer tanpa koneksi jaringan (stand alone) bagaikan manusia tanpa dunia. Kebutuhan akan
internet dan berbagai akses dari dunia maya sekarang ini sudah menjadi kebutuhan primer bagi para
pecinta komputer network. Namun dengan terkoneksinya komputer dengan jaringan, itu berarti
telah terbukanya gerbang bagi virus-virus internet dan aksi para hacker/cracker. Itu berarti kita harus
siap akan kemungkinan terinfeksinya komputer kita oleh virus-virus yang dengan sangat cepat bisa
berkembang biak dalam komputer.

Sebagai antisipasi terhadap dampak dari terinfeksinya komputer oleh Conficker/worm,

maka alangkah baiknya jika kita menggunakan anti virus sebagai benteng terhadap Conficker. Atau
dengan membuat system keamanan jaringan pada komputer kita. Untuk itu penyusun mencoba
membahas tentang bagaimana mendeteksi dan menghapus conficker.
 DAFTAR ISI
Abstrak

Daftar isi

Bab I Pendahuluan

1.1 Latar Belakang Masalah

1.2 Batasan Masalah

1.3 Tujuan Penelitian

1.4 Metodologi peneltian

1.5 Sistematika Penulisan

BAB II Landasan teori

BAB III Pembahasan

3.1 Pengertian Conficker

3.2 Mendeteksi Conficker

3.3 Dampak-Dampak Conficker

3.4 Mengatasi Conficker

BAB IV Analisa hasil pengembangan dan Pengujian

BAB V Penutup
 BAB I

PENDAHULUAN

1.1LATAR BELAKANG MASALAH

Penamaan virus conficker diambil dari gabungan dua bahasa yaitu Inggris dan Jerman,
configure (Inggris) serta ficker (Jerman) yang berkonotasi kasar (fucker). Virus Conficker
juga dikenal sebagai Downup, Downadup dan Kido adalah virus komputer jenis worm yang
menyerang sistem operasi Microsoft Windows, pertama kali diketahui menyebar pada
November 2008. Conficker diyakini sebagai virus yang paling besar
dampaknya serta cepat menyebar seperti halnya yang terjadi pada 2003
lalu dengan worm yang bernama SQL Slammer Worm.
Virus Conficker sekarang lagi ngetrend di Indonesia. Diperkirakan
sudah puluhan ribu komputer terinfeksi di Indonesia dan jutaan di dunia.
Gejala Conficker yang paling umum adalah munculnya pesan Generic
Host Process Error setiap kali pengguna komputer menghubungkan
dirinya dengan internet. Selain itu, Conficker juga diketahui menyebabkan
login username Active Directory dikunci karena ia melakukan aksi
Bruteforce.

1.2BATASAN MASALAH
Penulisan makalah ini akan mengupas tentang mendeteksi dan mengatasi ancaman
conficker, pada jaringan computer yang terhubung dengan internet atau stand olone. Factor keamanan
dari setiap computer dan bagaimana cara agar computer terbebas dari ancaman conficker.

1.3 TUJUAN PENULISAN

Penulisan makalah ini bertujuan untuk mengetahui suatu jaringan computer terinfeksi conficker
serta untuk menjelaskan solusi-solusi tentang cara untuk mengatasi masalah tersebut.
1.4METODOLOGI PENELITIAN
Metode penelitian dengan mempelajari bagaimana suatu jaringan computer terkena
conficker. Dan juga dengan memberikan suatu contoh penyelesaian yang berhubungan dengan
topic.

1.5SISTEMATIKA PENULISAN
 BAB II
LANDASAN TEORI

Virus Conficker yang juga dikenal dengan nama Kido atau Downadup rasanya sudah
pasti akrab di telinga administrator komputer di tahun 2009. Salah satu jenis virus berkategori
worm yang melakukan penyebaran yang sangat dahsyat dan memiliki dampak yang sangat serius
bagi komputer di jaringan.
Conficker adalah sebuah spesies unik baru dari worm yang dapat mengupdate dirinya
sendiri dan telah menyedot banyak perhatian dari orang-orang yang berurusan dengan malware.
Kenyataannya, apabila kalian mengoperasikan internet honeynet (Kumpulan suatu system yang
didesain untuk diserang / disusupi hacker, system ini tak punya nilai produksi) belakangan ini.
conficker merupakan malware yang paling sulit untuk dihindari, Mulai dari akhir
November sampai dengan December 2008 tercatat lebih dari 13.000 infeksi conficker didalam
honeynet yang dibuat oleh tim MTC (Malware Threat Center) dan terlihat lebih dari 1,5 juta IP
address dari 206 negara terinfeksi
Belakangan ini, suatu sensus yang dilakukan oleh tim MTC terhadap salah satu varian
conficker, yaitu conficker.A menunjukan bahwa worm ini telah mempengaruhi lebih dari 4,7 juta
IP address, sementara varian penerusnya yaitu conficker.B mempengaruhi 6,7 juta IP address.
Berdasarkan analisa tim tersebut, kedua worm itu memiliki perbandingan ukuran (kelipatan 3)
dan ukuran infeksi yang aktif conficker.A dan B secera terpisah adalah 1 dan 3 juta host.
Jumlah yang dilaporkan kepada masyarakat luas terlihat terlalu dilebih-lebihkan,
dikatakan bahwa tidak pernah terlihat dominasi infeksi yang meledak seperti ini sejak kejadian
“Sasser” di tahun 2004 dan juga kemampuan menyedihkan dari antivirus untuk mendeteksi
variasi biner malware sejak “the Storm” meluas pada 2007.
 BAB III
PEMBAHASAN

3.1 PENGERTIAN CONFICKER

Penamaan virus conficker diambil dari gabungan dua bahasa yaitu Inggris dan Jerman,
configure (Inggris) serta ficker (Jerman) yang berkonotasi kasar (fucker). Virus Conficker juga
dikenal sebagai Downup, Downadup dan Kido adalah virus komputer jenis worm yang
menyerang sistem operasi Microsoft Windows, pertama kali diketahui menyebar pada November
2008.
Conficker adalah sebuah spesies unik baru dari worm yang dapat mengupdate dirinya,
Varian pertama dari conficker, ditemukan pada awal November 2008, tersebar melalui internet
dengan memanfaatkan kelemahan network services, pada Windows 2000, Windows XP,
Windows Vista, Windows Server 2003, Windows Server 2008, dan Windows Server 2008 R2
Beta. Windows 7 masih mempunyai kelemahan ini, oleh karena itu pihak Microsoft tidak merilis
Windows 7 sampai January 2009. Walaupun Microsoft mengeluarkan patch pada23 Oktober
2008, untuk menutup kelemahan ini, tetap saja masih banyak pc yang menggunakan Windows
yang belum mendapatkan patch ini. Varian kedua dari worm ini, ditemukan pada Desember
2008, pada varian ini terdapat kemampuan tambahan yaitu kemampuan untuk menyebar lewat
jaringan LAN melalui removable media dan jaringan yang di share.

Versi ketiga Kido saat ini tengah menyebar. Program ini menggunakan teknologi yang
Sangat rumit, kido mengunduh update untuk dirinya sendiri dari beberapa alamat situs web yang
terus-menerus berubah. Kido menggunakan jaringan lokal sebagai jalur tambahan untuk
memperoleh update, enkripsi yang sangat baik menambah kerumitan Kido. Kido bahkan
memiliki mekanisme untuk mematikan fitur keamanan. Kido melakukan update dengan
mengunduh kode dari 500 domain. Domain-domain itu dipilih dari 50.000 domain yang dibuat
setiap hari. Kelima ratus domain itu dipilih secara acak sehingga sulit untuk dimonitor.
 Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran
162 kb. File virus yang masuk bertipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif
umumnya bertype “dll” (dynamic link library). File virus yang berusaha masuk akan berada pada
lokasi temporary internet

3.2 Mendeteksi conficker

Gejala Conficker yang paling umum adalah munculnya pesan Generic Host Process Error
setiap kali pengguna komputer menghubungkan dirinya dengan internet. Selain itu, Conficker
juga diketahui menyebabkan login username Active Directory dikunci karena ia melakukan aksi
Bruteforce. Penyebabnya bukanlah komputer yang menampilkan pesan GHP error tersebut,
melainkan karena (minimal) salah satu komputer di jaringan anda sudah terinfeksi Conficker dan
secara otomatis melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua
komputer yang rentan atau belum di patch MS 06-037.
Untuk mendeteksi ada tidaknya virus conficker di dalam sebuah jaringan internet kita
memerlukan suatu alikasi yang memonitoring jalur-jalur yang di lewati sebuah paket, aplikasi
tersebut adalah Nmap.
Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara
eksklusif menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan
Nmap kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang
aktif pada port yang lebih spesifik. Nmap merupakan salah satu tools yang paling banyak
digunakan untuk melakukan scanning jaringan dan terkenal sebagai tool yang multi platform,
cepat dan ringan. Nmap berjalan pada semua jenis OS, baik mode console maupun grafis. Nmap
juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh Conficker
sehingga dapat membantu administrator menentukan komputer mana saja yang masih memiliki
celah keamanan yang dapat dieksploitasi oleh Conficker, ia dapat melakukan scanning komputer
antar segmen.
Dengan Nmap bisa melakukan Probing (probe) keseluruh jaringan dan mencari tahu
service apa yang aktif pada port yang lebih spesifik. Bukan saja hanya itu tapi juga mencampur
fingerprinting (Banner Grap) yang bisa membandingkan dan memberikan estimasi akan apa jenis
Sistem Operasi (OS) target. Nmap juga mempunyai banyak kelebihan atau Flags yang akan
memanipulasi bagaimana cara dia (Nmap) melakukan Scanning, hanya perlu melakukan
tcp()connect scanning yang akan membuat full connection ke host atau syn scanning juga biasa
dikenal Half Connection, testing Firewall atau mencari tahu apakah ada Firewall atau Packet
Filter, Idle Scan yang akan melakukan Spoofing ke Host yang lain atau memakai Decoy yang
akan membuat Jejak semakin susah untuk dilacak.

3.3 DAMPAK- DAMPAK CONFICKER

Conficker mempunyai dampak mampu melakukan blok terhadap program aplikasi yang
berjalan saat mengakses website. Hal ini dilakukan tanpa melakukan perubahan pada host file
yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan
update antivirus dan mencegah user saat mencoba akses ke website keamanan. Seperti Ccert,
sans, bit9, windowsupdate, pctools, norman, clamav, avira, avast, grisoft, nod32, kaspersky,
f’secure, etrust, panda, sophos, trendmicro, mcafee, norton, symantec, microsoft, defender.
Conficker akan membuat services dengan karakteristik berikut, agar dapat berjalan
otomatis saat start-up windows :
Service name: “[%nama acak%].dll“
Path to executable: %System32%–k netsvcs
Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi
service (biasanya gabungan 2 string semisal “Security Windows”) : Boot, Center, Config, Driver,
Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell,
Support, System, Task, Time, Universal, Update, Windows.

Conficker akan membuat rule firewall pada gateway jaringan local yang membuat
serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi
melalui berbagai macam port (1024 hingga 10000),

Conficker berusaha melakukan perubahan pada system Windows Vista / Server 2008
dengan menggunakan perintah :” netsh interface tcp set global autotuning=disabled” Dengan
perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan
salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa
ketika mencoba aks es jaringan.

Conficker membuat HTTP Server pada port yang acak: http://%ExternalIPAddress%:

%PortAcak(1024-10000)%
Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external
yang sudah diinfeksi: http://www.getmyip.org, http://www.whatsmyipaddress.com,
http://getmyip.co.uk, http://checkip.dyndns.org, Virus membuat scheduled task untuk
menjalankan file virus yang sudah di copy dengan perintah : “rundll32.exe .[%eks tensi acak%],
[%acak]“

Conficker akan mengecek koneksi internet dan men-download file dengan menyesuaikan
tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa website berikut:
baidu.com, google.com, yahoo.com, msn.com, ask.com, w3.org, aol.com, cnn.com, ebay.com,
msn.com, myspace.com.

3.4 MENGATASI CONFICKER

1. Putuskan komputer yang akan dibersihkan dari jaringan/internet. Matikan akses WiFi kalau
ada dan cabut kabel ethernet dari jaringan LAN.

2. Matikan system restore (Windows XP/Vista).

Caranya pilih Start>>All Program>>Accesories>>System Tools>>System Restore kemudian
pada menu setting pilih off untuk seluruh partisi.

3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk
membersihkan virus yang aktif. Program ini tersedia cuma-cuma dan dapat di-download di
bawah ini :
http://download.norman.no/public/Norman_Malware_Cleaner.exe

4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat
mencari secara manual pada registry.

5. Hapus Schedule Task yang dibuat oleh virus. (C:-WINDOWS-Tasks)

6. Hapus string registry yang dibuat oleh virus

7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang,
sebaiknya menggunakan antivirus yang ter-update dan mampu mendeteksi virus ini dengan baik
dan patch komputer anda dengan

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx guna mencegah infeksi

ulang.
 BAB IV

ANALISA HASIL PENGEMBANGAN DAN PENGUJIAN

Conficker, yang juga biasa diketahui sebagai Downup, Downadup, Kido, adalah sebuah
worm komputer yang khusus menargetkan pada operating system windows, worm ini pertama
kali diketahui pada November 2008. Worm ini memanfaatkan celah keamanan pada windows,
untuk mengkontrol mesin yang menggunakan OS ini, dan menghubungkan mereka ke virtual
komputer yang di control seara remote oleh pembuat worm ini. Conficer telah menginfeksi 7
miliar komputer dan sekarang telah berada dibawah control worm ini. Mulai dari komputer
pemerintahan, bisnis, dan komputer rumah di lebih 200 negara, berdasarkan New York Times

Asal usul nama dari conficker ini mengacu kepada kata portmanteau(mengkonfigurasi)
dan kata ficker dari bahasa jerman. Di sisi lain analis dari Microsoft Joshua Philips
mendeskripsikan nama dari conficker ini adalah suatu penyusunan ulang dari nama domain
trafficconverter.biz, yang digunakan conficker versi awal untuk meng-update dirinya sendiri.

Varian pertama dari conficker, ditemukan pada awal November 2008, tersebar melalui
internet dengan memanfaatkan kelemahan network services, pada Windows 2000, Windows XP,
Windows Vista, Windows Server 2003, Windows Server 2008, dan Windows Server 2008 R2
Beta. Windows 7 masih mempunyai kelemahan ini, oleh karena itu pihak Microsoft tidak merilis
Windows 7 sampai January 2009. Walaupun Microsoft mengeluarkan patch pada23 Oktober
2008, untuk menutup kelemahan ini, tetap saja masih banyak pc yang menggunakan Windows
yang belum mendapatkan patch ini. Varian kedua dari worm ini, ditemukan pada Desember
2008, pada varian ini terdapat kemampuan tambahan yaitu kemampuan untuk menyebar lewat
jaringan LAN melalui removable media dan jaringan yang di share.

Gejala Conficker yang paling umum adalah munculnya pesan Generic Host Process Error
setiap kali pengguna komputer menghubungkan dirinya dengan internet. Selain itu, Conficker
juga diketahui menyebabkan login username Active Directory dikunci karena ia melakukan aksi
Bruteforce.

Ada beberapa gambar file pemicu virus confiker seperti dibawah ini adalah virus confiker yang
pertama kali dirilis :
 Virus confiker tersebut dijalankan oleh autorun.inf untuk menginfeksi dirinya ke
computer korban dan ke usb. Virus tersebut bisa berganti-ganti ekstensinya, seperti
(.exe,.scr.vmx.pif,.inf,)dsb.

Tidak lama kemudian sekitar 5 bulan kedepan dia mengeluarkan varian virus lagi,
kemudian mengeluarkan Kiddo.db dan Kiddo.ih atau biasa disebut juga (virus
W32/Conficker.DV ) pada antivirus Kaspersky virus ini juga terdeteksi dengan nama
Worm/Kiddo.db/ Kiddo.ih, oleh antivirus Norman terdeteksi dengan nama Worm/ Generic.

Virus ini mempunyai kebiasaan yang aneh, tetapi ada kemiripan dengan virus confiker
yang lama seperti mengeluarkan pesan Generic Host Process Error. Bedanya file confiker baru
isi file nya seperti file korupt. Kita lihat virus versi baru dari confiker
 Jika komputer terlanjur terinfeksi virus Conficker yang kini menjadi momok bagi
pengguna komputer di seluruh dunia, yah, tidak perlu khawatir. Anda tidak sendirian karena
diperkirakan sudah ada 12 juta komputer yang terinfeksi di seluruh dunia saat ini. Kalau
antivirus pun masih gagal mengatasi, masih ada cara membasminya meskipun dibutuhkan sedikit
kerja keras.
 BAB V
PENUTUP

Makalah ini di buat untuk betujuan memberitahu bagaimana sutu administrator jaringan
melindungi jaringan yang telah ada dari ancaman conficker,