Adapun tanda-tanda visual terinfeksi atau tidaknya komputer oleh virus conficker adalah dengan melihat apakah ditampilkan atau tidak beberapa image yang ada pada halaman situs tersebut.

Untuk detil lebih lengkapnya, silahkan klik disini.

Terimakasih untuk Conficker Working Group yang sudah menyediakan cara cepat mendeteksi virus Conficker ini. Semoga bermanfaat.

Untuk mendeteksi dan menghapus virus conficker di PC kamu, silahkan download dan scan menggunakan tools tersebut, semoga bermanfaat.

Link download :

• AhnLab
• ESET
• Kaspersky
• F-Secure Malware Removal Tool
• McAfee
• Microsoft Malicious Software Removal Tool
• Sophos
• Symantec Notes
• TrendMicro

Selain itu ‘Conficker.DV’ juga membuat file pada media removable seperti flashdisk, haraddisk dan card reader dengan menyimpan file hidden pada root drive.

Sementara aksi yang sama seperti pendahulunya, yaitu berusaha mengexploitasi MS08-067 atau celah keamanan Windows, Windows Server Service atau SVCHOST.exe. Banyak user yang terinfeksi dikarenakan tidak mengaktifkan fitur Automatic Updates dan tidak melakukan patch windows MS08-067.

Jika sudah begini, simak 7 langkah singkat analis virus dari Vaksincom Adi Saputra untuk membasmi virus ‘Conficker.DV’ yang diterima detikINET, Rabu (28/1/2009):

1. Putuskan komputer yang akan dibersihkan dari jaringan/internet.
2. Matikan system restore (Windows XP/Vista).
3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Jika belum memiliki, bisa didownload di situs norman.
4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.
5. Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)
6. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini:

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
Hidden, 0×00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden, 0×00000001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0×00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

Gunakan notepad, kemudian simpan dengan nama ‘repair.inf’, lalu ‘Save As Type’ menjadi ‘All Files’ agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sementara untuk file yang aktif pada startup, Anda dapat mendisable melalui ‘msconfig’ atau dapat mendelete secara manual pada string: ‘HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run’

7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini dengan baik dan patch komputer Anda dengan patch resmi dari Microsoft guna mencegah infeksi ulang.

1. Buka dulu Windows Explorer dan aktifkan pilihan “show hidden files and folders” dengan cara masuk ke menu TOOLS — FOLDER OPTIONS — VIEW, kemudian pilih “show hidden files and folders“.

2. Tools yang akan kita gunakan untuk mengembalikan file atau folder yang hilang adalah perintah “attrib“, perintah ini nantinya kita gunakan pada mode Command Prompt.

3. Selanjutnya kita masuk ke Command Prompt, caranya Klik START — RUN, kemudian ketik “cmd” pada box lalu Klik OK.

4. Nah pada layar hitam inilah nantinya kita akan mengetikkan perintah “attrib” ini.

5. OK, skrg kita coba periksa isi dari file atau folder yang dihidden oleh virus pada flashdisk kita, kita asumsikan disini Drive F adalah Flashdisk. Ketikkan perintah berikut “F:” kemudian tekan ENTER, perintah ini berguna untuk pindah prompt ke drive F.

6. Untuk melihat file atau folder apa saja yang dihidden pada drive F (flashdisk), gunakan perintah “dir /ah”

Maka kita akan bisa melihat file atau folder apa saja yang disembunyikan oleh virus di flashdisk kita. Disini ada 2 folder dan 1 file yang dalam kondisi hidden, yaitu folder “DATA-PENTING“,”DATA-TA” dan “tugas-akhir.doc“.

7. Sekarang kita akan gunakan perintah “attrib” untuk memunculkan kembali file dan folder yang hidden tadi. Disini dicontohkan untuk memunculkan kembali folder “DATA-TA” dan file “tugas-akhir.doc”. Perintah “attrib” yang perlu diketikkan disini adalah :

F:\> attrib.exe -R -H -S /s /d DATA-TA

Perintah diatas akan memunculkan kembali folder “DATA-TA”, untuk memunculkan file “tugas-akhir.doc” kita gunakan perintah dibawah :

F:\> attrib.exe -R -H -S tugas-akhir.doc

8. Untuk memastikan folder dan file telah muncul kembali, silahkan kamu lihat menggunakan Windows Explorer.

9. Selamat… data kamu sudah muncul lagi..

Catt :
- Untuk memunculkan Folder gunakan perintah : “attrib.exe -R -H -S /s /d nama-folder
- Untuk memunculkan Folder gunakan perintah : “attrib.exe -R -H -S nama-file-lengkap

Semoga artikel ini memberikan manfaat..salam

Denial of Service (DoS)

Varian pertama serangan berupa pengiriman air bah data ke target itu adalah DoS (Denial of Service). Dalam serangan ini penyerang hanya menggunakan satu komputer untuk menyemburkan data ke korbannya.

Penjelasan sederhananya seperti ini: Suatu ketika handphone anda berbunyi. Sebelum anda sempat menggangkatnya handphone anda telah berhenti berbunyi. Tiba-tiba handphone anda berbunyi lagi dan tanpa sempat anda mengangkatnya, bunyi itupun segera berhenti. Beberapa kali anda biarkan tapi masalah ini tak kunjung selesai. Beberapa kolega anda yang hendak menghubungi anda terpaksa tidak bisa melakukannya karena handphone anda sibuk terus. Itulah gambaran sederhana serangan DoS di dunia non-cyber.

Di dunia cyber, kasus anda tersebut merupakan serangan salah satu jenis DOS (Denial of Service). Yang pasti, sebegitu mudahnya DOS ini diterapkan tapi mencegahnya bukanlah suatu hal yang gampang. Target-target serangan DOS biasanya adalah server-server ISP, Internet Banking, E-commerce, Web perusahaan, dan pemerintah.

Serangan DoS dapat dilakukan dengan mengirimkan query sebanyak mungkin hingga target tidak bisa lagi menanganinya sehingga target lumpuh. Cara lain melakukan serangan DoS adalah dengan mengirimkan data rusak atau data yang tidak mampu di tangani oleh server target sehingga server tersebut menjadi hang (tidak bisa berfungsi sebagaimana mestinya dan perlu di restart ulang).

DDOS (Distributed Denial of Service)

Mengirimkan data secara terus menerus dengan menggunakan satu komputer tidak begitu efektif karena biasanya sumber daya server yang diserang lebih besar dari komputer penyerang. Daya bunuh serangan juga akhirnya menjadi lemah.

Hacker penyerangpun memutar otaknya. Serangan dapat lebih mematikan jika tenaga banyak komputer dijadikan satu untuk menciptakan banjir data yang lebih besar.

Komputer-komputer yang diambil alih oleh hacker tersebut disebut zombie. Zombie berfungsi sebagai anak buah atau agent penyerang yang siap beraksi saat mendapat perintah dari “tuannya.”

Semakin banyak zombie yang dkuasai seorang penyerang, semakin berkuasalah sang hacker tersebut karena besarnya tenaga yang ia genggam. Dengan tenaga besar yang dikumpulkan dari komputer-komputer yang dikuasai (secara illegal tentunya) tersebut, serangan DDoS hampir tidak dapat ditangkal. Karena itulah serangan tipe ini sangat populer di kalangan hacker.

Beberapa situs raksasa seperti Amazon.com, eBay, dan Yahoo pada Februari 2000 rontok selama beberapa jam karena serbuan ini. Gedung Putih juga sempat boyongan karena serangan tipe ini. Gedung Putih terpaksa “memindahkan” IP address situsnya karena jengah menerima serangan DDoS yang sudah dirancang untuk muncul pada tanggal dan jam tertentu dengan memanfaatkan virus tertentu tanpa mampu mencegahnya.

DDoS adalah tipe serangan dengan konsep sederhana. Namun efeknya bisa memindahkan “istana negara.”

Menghadapi Serangan DDOS

Serangan DDoS adalah serangan dengan teori sederhana namun dengan dampak yang sangat besar. Sayangnya, sampai saat ini belum ditemukan cara paling tepat untuk menghindari serangan ini secara total.

Meski sampai saat ini belum ada sistem yang kebal terhadap serangan ini, ada sejumlah langkah yang dapat dilakukan untuk memperkecil resiko serangan DDoS ini.

Karena serangan DDoS dapat dilakukan dengan memanfaatkan kelemahan operating system yang anda gunakan, jangan pernah lupa mengupdate patch untuk memerbaiki sistem pengoperasian anda. Ingatlah bahwa tidak ada satupun sistem operasi di dunia ini yang aman dan 100 persen bebas dari kelemahan.

Gunakan hardware/server yang kuat. Server tersebut harus mampu menangani beban yang cukup berat sehingga server anda tidak mudah down. Anda bisa mendesain network yang saling membackup dan akan lebih bagus jika berada pada beberapa daerah sekaligus.

Gunakan firewall untuk mengeblok port-port (pintu masuk) yang tidak di perlukan di server-server anda.

Gunakan IDS (Intrusion Detection System) untuk mendeteksi penyusup dan melakukan pencegahan yang lebih cerdik.

Terminologi dan Tools Pada DDoS (uzi)

Terminologi-terminologi yang umum dalam serangan DDoS antara lain adalah Client – sebuah aplikasi yang digunakan untuk memicu serangan dengan mengirimkan perintah ke komponen-komponen lain, Daemon – sebuah proses dalam menjalankan agent yang bertanggung jawab menerima dan melaksanakan perintah yang dikeluarkan client, Master – host yang menjalankan client, Agent – host yang menjalankan Daemon, dan Target – korban (berupa host atau jaringan) yang dihantam serangan DDoS. Alur serangan DDoS adalah:

Penyerang (Master) -> Client -> Daemon -> Korban (Target)

Tools

Program-program yang dapat digunakan hacker untuk melancarkan serangan DDoS semakin mudah didapatkan dari Internet. Karenanya semakin berbahaya pula ancaman ini dengan semakin banyaknya orang yang dapat melakukannya.

Beberapa tool paling terkenal yang sering digunakan untuk melancarkan serangan DDoS adalah TFN2K, Trinoo dan Stacheldraht

TFN2K

TFN2K (Tribe Flood Network 2000) adalah tool untuk melancarkan serangan DDoS. TFN2K adalah turunan Trojan TFN.

TFN2K memungkinkan master mengeksploitasi sejumlah agent untuk mengkoordinasikan serangan pada satu atau beberapa target yang diincar. Saat ini, Unix, Solaris, dan Windows NT adalah platform-platform yang rentan terhadap serangan ini.

TFN2K adalah sistem dengan dua komponen. Yang pertama adalah client yang dikomando oleh master dan sebuah proses daemon yang beroperasi pada sebuah agent. Master menginstruksikan para agent yang telah ditaklukkannya untuk menyerang target yang telah ditentukan. Para agent tersebut kemudian merespon dengan membanjirkan serbuan paket data. Sejumlah agent, dengan perintah Master, dapat bekerjasama selama serangan ini untuk mematahkan akses target. Komunikasi master-to-agent telah dienkripsi dan bercampur dengan paket-paket yang diluncurkan. Baik komunikasi master-to-agent maupun serangan itu sendiri dapat dikirimkan melalui paket-paket TCP, UDP, dan ICMP yang telah diacak. Master juga dapat melakukan pemalsuan IP address (spoofing). Hal ini membuat penagkalan TFN2K sangat sukar dilakukan.

Trinoo

Trinoo (a.k.a. trin00) adalah program slave/master terkenal yang digunakan dalam serangan DDoS. Daemon Trinoo awalnya ditemukan pada format binary sejumlah sistem Solaris 2.x, yang diidentifikasi dapat dimanfaatkan dengan mengeksploitasi bug buffer overrun.

Jaringan Trinoo dapat berupa ratusan bahkan ribuan sistem di Internet yang diambilalih dengan eksploitasi buffer overrun secara remote. Akses ke sistem-sistem yang dijadikan agent tersebut didapatkan dengan menanamkan program back door sekaligus daemon Trinoo.

Sebuah jaringan Trinoo yang paling tidak terdiri atas 227 sistem – 114 diantaranya merupakan situs-situs Internet – yang pada 17 Agustus 1999 digunakan untuk membanjiri satu sistem yang ada di University of Minnessota. Akibatnya, server malang itu ambruk dan koma selama dua hari. Saat penanganan terhadap serangan 17 Agustus itu dilakukan, banjir besar data juga diketahui sedang menyerang paling tidak 16 sistem lain, yang sebagian terdapat di luar AS.

Stacheldraht

Stacheldraht (Bahasa Jerman yang artinya adalah kawat berduri) adalah tool lain yang populer untuk melancarkan serangan DDoS.

Tool ini sangat unik karena ia menggabungkan fitur-fitur yang dimiliki oleh Trinoo dan TFN generasi pertama. Tool ini juga mempunyai enkripsi komunikasi antara penyerang dan master-master Stacheldraht serta mampu melakukan update agent secara otomatis.

Seperti Trinoo, Stacheldraht terdiri atas program-program master (handler) dan daemon atau bcast (agent). Fitur TFN yang dimiliki Stacheldraht adalah gaya-gaya serangan ICMP flood, SYN flood, UDP flood, dan “Smurf.” (uzi)

Sumber: http://forum.webgaul.com/

Bahan Bacaan:

http://www10.org/cdrom/papers/409/
http://panoptis.sourceforge.net/
http://www.grc.com/dos/drdos.htm
http://www.icir.org/vern/papers/reflectors.CCR.01/reflectors.html
http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html
http://staff.washington.edu/dittrich/misc/ddos/

from adminpreman.web.id

Use the following access control rules to make sure this never happens to you. First, always deny all requests that don’t come from your local network. Define an ACL element for your subnet:

acl MyNetwork src 10.0.0.0/16

Then, place a deny rule near the top of your http_access rules that matches requests from anywhere else:

http_access deny !MyNetwork
http_access ...
http_access ...

While that may stop outsiders, it may not be good enough. It won’t stop insiders who intentionally, or unintentionally, try to forward spam through Squid. To add even more security, you should make sure that Squid never connects to another server’s SMTP port:

acl SMTP_port port 25
http_access deny SMTP_port

In fact, there are many well-known TCP ports, in addition to SMTP, to which Squid should never connect. The default squid.conf includes some rules to address this. There, you’ll see a Safe_ports ACL element that defines good ports. A deny !Safe_ports rule ensures that Squid does not connect to any of the bad ports, including SMTP.

The introduction of high-speed Internet connectivity has created a powerful and extraordinary computer networking experience. This newfound burst of bandwidth has launched new innovations in information exchange, media access, and other advanced computing experiences. Unfortunately, this technology has also created a very accessible conduit to the internals of your computer. Using these open and available digital pipelines, it’s now easier than ever for hackers, worms, and viruses to attack your unprotected home and home office computers.

These threats aren’t exaggerations thrown around by computer industry pundits or descriptions of theoretical worst-case scenarios. A test in my lab found that a computer added onto a previously unconnected cable-modem connection was found by automated hacker tools in three minutes, attacked by an Internet worm in eleven minutes, and it only took five hours before a hacker was running active scans against my computer in an attempt to find an open doorway or unlocked pathway into my system.

These timeframes are staggering. If an unprotected computer is connected to your high-speed Internet connection then your confidential information, financial details, private email messages, and any other personal information on your computer is at risk. If you connect to the Internet in hotels or wireless hot-spots without a personal firewall, then your computer and private information can be easily attacked.

Fortunately, Microsoft has built a very secure lock for the front door of your computer to protect against these malicious activities. Microsoft’s Windows Firewall was designed to keep out the bad guys while allowing all of the good traffic to freely traverse your computer. If you already use Windows XP or Windows Server 2003, then you already own this free security software!

Other Windows versions such as Windows 98 or Windows NT do not include a firewall as part of the operating system. For these computers, we recommend ZoneAlarm, a free personal firewall from Zone Labs. Other commercial personal firewall options are also available from companies such as Symantec and McAfee Security. Regardless of the source, a personal firewall is an important piece of your computer.s security. Don’t neglect this important layer of network protection!

Click Here for a Complete Steps…!

I have been assigned a project within my organization to perform OS Fingerprinting on subnets. What I find is that end-users that do not use Windows Firewall (have it disabled or not installed), I am able to detect their OS with no problem. The problem lies that many new users have Windows SP2 Firewall enabled which are limiting my scan results. I am using the following nmap command in Linux. (# nmap -sS -O -PI 192.168.0.1/24)What should I do to accurately perform an OS Fingerprint scan on my subnet? If not 100% accurate, what nmap commands would your suggest?

Jesse –

OS Fingerprinting against a filtered device is certainly a challenge. In most cases where a firewall or packet filter is in place, the OS fingerprint won’t be very accurate. This is because the OS fingerprinting process needs to find at least one open port and one closed port to make the resulting fingerprint worthwhile.

Nmap only sends eight frames to complete an OS scan. Four of the frames are TCP frames to an open port, three are TCP frames to a closed port, and one is a UDP frame to a closed port. The resulting operating system determination is based on the responses of these eight tests. If we only get to run four or five of the eight tests, the fingerprinting obviously won’t be as accurate. We need to determine which TCP ports are open or closed prior to the OS scan, which is why nmap requires a TCP-based scan to run along with the operating system tests.

When it comes to OS scans, personal firewalls are problematic. Since most port scans are going to be dropped unless administratively allowed in the firewall, nmap won’t ever find a closed port. If the firewall is tightened down to disregard exceptions, you won’t even find an open port!

There’s not a lot you can do to improve the accuracy of the OS fingerprinting when a firewall is in place. Once the firewall has decided to drop the frames to the port, you’re out of luck regardless of the nmap scan type.

If the system you’re scanning is using Microsoft’s Windows Firewall and you have more control over your location on the network, you may find that you’re able to find open or closed ports if you’re on the same subnet as the target devices. Some of the Windows file sharing features are automatically configured in Windows Firewall to trust devices on a local IP subnet when attempting to connect with port 445.

If you’re scanning across subnets, you may want to take advantage of idlescan to determine if the ports might be open to a local device but not a remote device. An idlescan won’t support an OS scan, but it might get you a little closer to the information you need.

In the end, you may be able to tell more about the operating system running on a remote device by running a version scan (-sV). Unfortunately, a version scan is relatively invasive and you’ll certainly show up in an application log on the target device.

The are a couple of things that are essential to any hacker’s walk of life. To name a few, there’s the ubiquitous flash drive for data transfer. You have the crossover cable for even faster data transfer. There’s the WiFi antenna for high gain and strong amplification. Possibly, you might find a video capture card in the computer. Of course, there’s the ubiquitous laptop and desktop computer. But what software is on these computers? Undoubtedly, you will find at least two operating systems, most often Windows and Linux. But with Linux, there are several different distributions. Is there a specific one? With hackers and crackers, there is only one Linux distro out there. It is called Backtrack.

Back Track is quite possibly the most comprehensive Linux distribution of security tools. Both hackers and crackers can appreciate the features of this distribution. For black-hatters, it is an easy access to software that facilitates exploitations of secure system. For white-hatters, it is a penetration tester that finds holes in a security scheme. See, everybody wins!

Major Features

BackTrack features the latest in security penetration software. The current Linux kernel is patched so that special driver installation is unnecessary for attacks. For example, an Atheros-based wireless networking adapter will no enter monitor mode or inject packets without the MadWiFi driver patch. With BackTrack, you don’t need to worry about that. It’s just plug-and-play ready-to-go!

What’s great is that this Linux distribution comes Live-on-CD. So, no installation is needed. However, what you experience BackTrack, you will realize that it is a must to download this operating system and install it on your Laptop. At the very least, download the VMWare Virtual Appliance for Backtrack. Make sure you also install the VMWare Tools for Linux as well. Many features will still work in VMWare mode.

Support

Support is kind of limited with BackTrack. But when you’re dealing with this field, what do you expect? Anyone messing with this stuff should have a clue. Basically, like many open-source operations, your only support is the BackTrack Wiki and the Remote Exploit Forums.

Try BackTrack if you can work without organized support. I promise, the features will make it worth your while!

( from Internet )

Most Wi-Fi access points and routers ship with a feature called hardware or MAC address filtering. This feature is normally turned “off” by the manufacturer, because it requires a bit of effort to set up properly. However, to improve the security of your Wi-Fi LAN (WLAN), strongly consider enabling and using MAC address filtering.Without MAC address filtering, any wireless client can join (authenticate with) a Wi-Fi network if they know the network name (also called the SSID) and perhaps a few other security parameters like encryption keys. When MAC address filtering is enabled, however, the access point or router performs an additional check on a different parameter. Obviously the more checks that are made, the greater the likelihood of preventing network break-ins.

To set up MAC address filtering, you as a WLAN administrator must configure a list of clients that will be allowed to join the network.

First, obtain the MAC addresses of each client from its operating system or configuration utility. Then, they enter those addresses into a configuratin screen of the wireless access point or router. Finally, switch on the filtering option.

Once enabled, whenever the wireless access point or router receives a request to join with the WLAN, it compares the MAC address of that client against the administrator’s list. Clients on the list authenticate as normal; clients not on the list are denied any access to the WLAN.

MAC addresses on wireless clients can’t be changed as they are burned into the hardware. However, some wireless clients allow their MAC address to be “impersonated” or “spoofed” in software. It’s certainly possible for a determined hacker to break into your WLAN by configuring their client to spoof one of your MAC addresses. Although MAC address filtering isn’t bulletproof, still it remains a helpful additional layer of defense that improves overall Wi-Fi network security.

Do not confuse MAC address filtering with content filtering. Content filtering on a wireless access point or router allows administrators to maintain a list of Web site URLs or addresses that should not be accessed from the home WLAN.

From Bradley Mitchell,
Your Guide to Wireless / Networking.