jump to navigation

Remove Virus Kido February 23, 2009

Posted by Herwin Anggeriana in General Knowledge.
trackback

Virus Kido adalah sebuah worm yang telah menginfeksi jaringan computer sejak 2008. Virus ini sendiri terdiri dari 26 varian yang tercatat dan menyebar secara jaringan lokal dan memiliki kemampuan untuk menyebar dan menginfeksi media penyimpanan portable seperti USB.
Virus Kido ini sendiri termasuk virus dengan kategori virus confiker, atau istilah terkenalnya [Net-Worm.Win32.Kido ].

Apa saja kemampuan dari virus Kido :
1. Virus ini di-design untuk menginfeksi celah keamanan pada patch Microsoft yaitu MS08-067.
2. Oleh karena virus tersebut menginfeksi MS08-067, dimana patch tersebut adalah suatu layanan dari Microsoft untuk fasilitas LAN dan removeable storage, maka dapat dipastikan jika computer anda terinfeksi virus ini, sebaiknya anda diwajibkan untuk melakukan pembersihan pada removeable storage anda.
3. Setelah virus tersebut berhasil memodifikasi celah keamanan pada patch Microsoft, maka langkah selanjutnya yang dilakukan oleh virus tersebut adalah menutup dan me-non aktifkan fasilitas “system restore”.
4. Secara umumnya, setelah berhasil melakukan langkah ke 2 dan langkah ke 3, maka untuk melindungi dirinya dari pemusnahan virus, maka virus tersebut melakukan blocking akses terhadap beberapa security website.
5. Dan untuk membuat pusing user, dan menghambat lajunya pemusnahan virus, virus ini juga melakukan alternatife pelindungan dirinya dengan mengaktifkan automatic download virus-virus lain atau automatic download malware yang lainnya yang terdapat di internet.
6. Transmisi [ Port internet ] penyebaran dari virus ini adalah port 445 atau port 139
7. Secara pasti, ketika computer anda terinfeksi virus ini, maka computer anda akan berubah fungsi dari desktop / workstation kerja menjadi “Honey Pot”. Istilah “Honey Pot” adalah suatu istilah yang memicu dan menarik virus berdatangan ke computer tersebut.
8. Jika computer anda yang terinfeksi virus ini, terkoneksi dalam suatu domain, atau jaringan yang berbasis “ADC” [ active directory connector ] maka virus ini akan melakukan locking terhadap ADC anda. Dan dapat dipastikan anda tidak dapat memanage ADC, baik itu add user ataupun delete user, dan memodifikasi account user dalam jaringan.

Langkah-langkah apa yang harus anda lakukan untuk membasmi virus Kido :
1.   Blocking computer yang terinfeksi / cabut kabel LAN / cabut kabel jaringan dari computer yang terinfeksi virus ini.
2.   Setelah langkah ke 1, anda tinggal mencari suatu filename dari virus tersebut. Virus Kido ini akan generate suatu filename dengan extension [ autorun.inf ]dan RECYCLED\{SID<..>}\RANDOM_NAME.vmx
3.   Sebagai catatan, RANDOM_NAME.vmx yang dimaksudkan adalah filename tersebut bisa dengan nama apa saja.. yang harus diperhatikan adalah extension-nya yaitu [.vmx]
4.   File tersebut akan selalu ada dan biasanya nonggol dalam berupa hidden, dan keberadaannya ada pada folder sharing dan removeable storage
5.   Hapus semua jenis file tersebut.
6.   Dari computer anda yang lain yang masih sehat alias bersih dari virus, kemudian download patch ke website Microsoft [ http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx ]
7.   Setelah anda download selesai, sebelum anda jalankan patch tersebut, anda harus disable removable storage anda.
8.   Kemudian install patch tersebut pada computer yang terinfeksi virus Kido.
9.   Setelah proses instalasi patch Microsoft berhasil, anda download disini removal tool virus Kido
10. Sebagai catatan, anda harus terlebih dahulu melakukan installasi patch terbaru Microsoft kemudian anda jalankan removal tool virus Kido.
Kalo anda melakukan secara terbalik, bisa dijamin virus tersebut tidak akan ter-delete alias virus tersebut masih ada.
11. Setelah semua langkah berhasil. Dan virus tersebut terdetect dan berhasil dihapus. Maka anda kudu restart computer anda, kemudian lakukan “Full Scan” dari product Antivirus anda.

 ** Catatan : Product Antivirus yang memiliki fasilitas Intrusion Detection system, justru menjadi pemicu dan sebagai sarana virus tersebut untuk menyebarkan dirinya dalam jaringan data, hal ini dapat dilihat dari cara kerja virus Kido yang melakukan Intrusion.Win.NETAPI.buffer-overflow.exploit –> Bagi Administrator system, anda jangan kaget dan tertipu ketika melihat suatu network traffic volume yang secara tiba-tiba menjadi membesar alias meninggi trafficnya –> ini karena virus tersebut sedang menyebar..

https://herw1n.wordpress.com || Document by : Herwin Anggeriana

Download this document

Comments»

No comments yet — be the first.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s