Worm Windows Server Service RPC



Diawal tahun 2009, ada sedikit masalah, di server (Domain) tempatku bekerja, yaitu “Service Computer Browser” selalu down dan booting terus….
Apa sebenarnya yang terjadi ??
VIRUS ??? WORM ???
Bagi pengguna antivirus, virus / worm ini dikenal dengan nama W32.downadup [symantec], Generic.RKM [AVG], Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.A [Panda Software] …

Apa sebenarnya virus / worm ini ??
Ini sebenarnya termasuk WORM yang mempunyai size 62,976 bytes.
Worm ini menggandakan diri lewat file %System%\[RANDOM FILE NAME].dll
Kemudian “dia” menghapus semua user created system restore points, dan membuat service dg nama : netsvcs , ImagePath: %SystemRoot%\\system32\\svchost.exe -k netsvcs.
Menulis di register entry : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\”ServiceDll” = “[PathToWorm]“

Seberapa bahaya virus / worm ini ???
Jika worm ini menyerang komputer stand alone tidaklah efeknya separah jika menyerang komputer network ( Domain Controller ). Kenapa ???
Worm ini, membuat koneksi UPnP router dan http server pada komputer server dengan menggunakan ramdom port dan selanjutnya akan melakukan remote komputer dan exploit.
Worm ini memanfaatkan kelemahan windows yg disebut “Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability”

Bagaimana mengatasinya ???
Update antivirus terbaru… hal ini tidaklah menyelesaikan masalah…. Hal ini terutama jika di lakukan di Server Domain Controller. Kenapa ???
Worm ini sudah terlanjur melakukan koneksi dengan komputer lainnya, dan walaupun antivirus kita bisa mendeteksi atau bahkan me-remove-nya, maka akan terjadi pemutusan koneksi worm tersebut dan akan mengakibatkan Microsoft Windows Server Service RPC akan melakukan shutdown. Hal itu akan terjadi berulang-ulang….

Solusi yang paling tepat untuk mengatasi Worm ini yaitu dengan memperbaiki “Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability” dan untungnya pihak Microsoft sudah mengeluarkan Patch di Windows-nya, yaitu KB958644

Download :

Silahkan lakukan patch di windows, selain update antivirus yang anda miliki dengan update antivirus yang terbaru untuk “menjinakkan” worm ini…….


Post Update :
Date : Friday, April 25, 2014 - Jumat, 25 April 2014
Posted in: Virus


Related posts "Worm Windows Server Service RPC":

28 Comments on "Worm Windows Server Service RPC"

Trackback | Comments RSS Feed

  1. jeni says:

    bos, gak bisa didownload nih…

    [Reply]

    ariefew Reply:

    avast mungkin mampu juga mengatasi trojan terkenal… tapi permasalah disini kita di sini, sering ketemu virus lokal yg sistem kerjanya seperti trojan (autoran.inf, disable hide folder, disable msconfig, disable regedit) yg semuanya memodif register utk mengamankan dan mempercepat penyebaran dirinya…. ini yang kumaksud.
    Untuk gak bisa delete maksudnya, yaitu delete di folder System Volume Information yaitu folder sistem restore. Kita harus turn off sistem restore dulu utk bisa menghapusnya…..
    Seperti tentang virus yg kubahas diatas yaitu virus downadup, sekarang sudah muncul varian yang baru yaitu downadup.B (mungkin akan bermodifikasi lagi). Semua AV belum mengenali virus ini, aku hanya bisa menghapus virus ini dg AV symantec 10 dg update terbaru…

    [Reply]

  2. sweetpea says:

    Untuk update antivirus AVIRA bisa langsung dilakukan secara gratis? Soalnya sudah saya coba update kok nggak berhasil. Apa karena gratisan? Enaknya pakai antivirus apa ya yang bisa update tanpa harus beli dulu?????????, thanks

    [Reply]

  3. sweetpea says:

    Di tempatku kerja juga hampir semua PC terserang virus worm, karena servernya sudah terkena duluan, dan EDPnya sampai saat ini masih bingung harus pakai antivirus apa. Sudah dibersihkan muncul lagi sampai2 program online harus tiap hari diperbaiki.

    [Reply]

  4. sweetpea says:

    Di kantorku, hampir semua PC terkena worm karena servernya terinfeksi duluan, sampai saat ini EDP-nya masih kebingungan harus menggunakan antivirus apa untuk membersihkan virus2 itu, sampai2 program online juga sering rusak dan harus diperbaiki tiap hari. Tolong pendapat dan sarannya.

    [Reply]

  5. demed says:

    avira ku bisa aku update kok..ak updatenya manual biasanya ak dapat link via email coz aku subscribe info2 dari Avira..so,pasti daat link update-an

    [Reply]

  6. eddy says:

    Bos aku barusan scan virus terlama …12jam !!!Ulasannya disini
    http://clickcomp4more.blogspot.com/2009/01/kurang-ampuh-gunakan-double-engine.html

    [Reply]

  7. pidz says:

    Mas aku juga kena… parahnya langsung ke svchost :(( , kalo aku heal koneksi jd crash… pikir2 cobain pake system restore, ehh untungnya stabil lagii.. kali aja bisa juga..dgn teman2 yg laen.

    [Reply]

  8. ariefew says:

    Avira free bisa dilakukan update untuk beberapa bulan, setelah itu akan expired untuk update (online dan manual). Anda bisa download avira free lagi yang baru dan akan diberikan gratis pemakaian dan update untuk beberapa bulan kemudian….

    [Reply]

  9. ariefew says:

    Semua antivirus mempunyai kelebihan dan kelemahan sendiri2…. antivirus versi lama= cepat fungsi terbatas, antivirus versi baru= berat fungsi lebih bagus… misal scan/clean di folder “System Volume Information”. Selain itu di suatu antivirus ada versi pro yang terdiri dari beberapa macam, misal : INTRENET SECURITY, NETWORK EDITION, ANTI-VIRUS PLUS FIREWALL, EMAIL SERVER EDITION, FILE SERVER EDITION, yang semuanya itu akan terdapat fungsi tambahan selain antivirus dan resident shield, misal : anti spyware, anti spam, anti rookit, email scanner, link scanner, web shield, dll
    Selain itu antivirus dalam mengenali virus terbaru juga tergantung daerah… misal antivirus XXX mempunyai kerjasama dg negara YYY, maka av XXX tsb akan lebih cepat mengenali virus lokal negara YYY tsb dibanding dg av lainnya. Misal Norman AV yg kerjasama dg http://www.vaksin.com yg mengulas virus lokal Indonasia.
    Dari semua antivirus yang ada, yg terpenting adalah UPDATE dengan update terbaru dan usahakan update secara online…

    [Reply]

  10. ariefew says:

    Pakai perpaduan AV lokal dan AV luar…. PCMAV dan Engine ClamAV…. ya jelas aja lama, sebab berat…. PCMAV tanpa CLAMAV aja sudah berat apalagi digabung ?????

    [Reply]

  11. ariefew says:

    anda beruntung… sebab virus belum masuk sistem restore… kalau sudah masuk, anda akan me-restore virus itu lagi…

    [Reply]

  12. mbah_suro says:

    di install ulang dong bos

    [Reply]

  13. ixyak says:

    w make avast, hampir tiap hari saat q online selalu ada database baru yang masuk untuk mengupdate Avast, tapi sayangnya kenapa Avast ndak mampu mengatasi virus Trojan ya??
    padahal udah terdeteksi, namun saat mo di delete, move/rename gak bisa!!! boro-boro di re-pair.
    apa hal ini juga terjadi ama temen2 yang make Avast???

    [Reply]

  14. @ariefew,
    skarang saya make panda anvir 2009 update 16/1 2009. nah jadi permasalahn sekarang. kok setiap masuk ke sitenya mas kok timbul warning spyware count.kira kira apa tuh yah???
    n/b : dikit info telshit dikit buka lagi holenya. malah digratisin lagi..with program chatbox. disana dikatakan bahwa gprsnya gratis dengan make apn: mms, tapi udah nyoba tuk inet browser blum bisa kebuka mungkin mas atw yang lain bisa bantu bantu ngopreknya,.. sekalian jika telah sukses, coba mas posting,… kan enak bisa nambah catantanya mas lagi neh…. he.he.he….

    [Reply]

  15. ariefew says:

    memang solusi termudah refresh installer.
    Tapi permasalahan disini, bagaimana jika terdapat file-file penting yg banyak ? Virus/ worm menyebar ke semua drive ? Virus/ worm menyebar menyebar kesemua komputer di jaringan ? Server jaringan tempat menyimpan data terkena juga …

    [Reply]

  16. ariefew says:

    Avast av memang mempunyai kelemahan dibanding av lain dalam mengatasi tojan dan worm. AVG lebih unggul dalam trojan dan worm. Symantec dan McAfee lebih “bisa” masuk System Volume Information. Norman lebih bisa mengenali virus lokal. Selain itu anda bisa gunakan AV lokal PCMAV dan ANSAV (tanpa rel time protect) untuk jaga2 virus lokal yg belum dikenali oleh AV anda. Dan gunakan juga antispyware untuk remove register spyware, misal gunakan Spybot – Search & Destroy atau Ad-Aware

    [Reply]

  17. ariefew says:

    coba gunakan Spybot – Search & Destroy atau Ad-Aware untuk menghapus register2 spyware

    [Reply]

  18. Novan says:

    Masa si klo avast kurang mampu ngatasin trojan? Coba liat di av-comparative.org ,avast 4.8 pro itu peringkat ke 4 dari 15 antivirus terkenal lainy. Dg total kmampuan 97%. Peringkat prtma avira premium dg deteksi 99%. Avg/kaspesky cuma 95%/94%. Mcafee home (tanpa athermeis) cuma 87%. Tes trsebut dilakukan dengan malware sebanyak 1 juta 100 ribuan, dngan trojan diantaranya sebanyak 700 ribuan. Klo masalah ga bisa delete/move atau repair itu mungkin detekny di CD kali. CD itu kan gak bisa diubah/ diotak-atik isinya. Cd/cd-r itu trmasuk tipe ROM/read only memory.

    [Reply]

  19. novan says:

    Klo di avast kn ad yg namanya boot time scanning. Jadi sebelum windows aktif bisa scaning komputer trhadap malware. Mungkin disitu bisa lebih masuk scan ke folder system volume information. Btw norman bagus ga? Denger” dia krja sama dg vaksin.com. Brarti lebih mengenali virus lokal downk. Cz di negara qta ini trmsuk salah satu negara trproduktif dlm mnciptakan virus. Selain norman, ada lagi ga antivirus luarnegeri laen yg punya krja sama ama indonesia?? Cz slma ini sy biasa pke 2 antivirus, avast buat nanganin virus mancanegara, sama pcmav buat nanganin virus lokal buatan “anak negeri sndiri”

    [Reply]

  20. ariefew says:

    Memang AV luar yang lebih mengenal virus lokal sini, Norman. Dia kerjasama dg vaksin.com. AV lain, untuk kerjasama secara khusus tdk ada, tapi mcaffee dan symantec mempunyai jaringan yg luas untuk virus.
    Kalau aku lebih cenderung pasang symantec 10 dan avg 8 yang sama2 di real time protect, sangat akur kok…. antivir, avast, ansav dan pcmav ku pasang juga, tapi tidak real time protector dan servis kumatikan….

    [Reply]

  21. asmoro says:

    Untuk windows 98 apakah ada patch-nya?

    [Reply]

  22. asmoro says:

    skalian juga patch untuk windows 2000 server ya..
    thanks

    [Reply]

  23. ariefew says:

    untuk PC yang menggunakan win98, selama ini di tempat ku tidak ada yg terinfeksi virus / worm ini

    [Reply]

  24. ariefew says:

    Windows 2000 AS, patch sama dengan windows 2000 (KB958644). Virus / worm ini sangat “cerdas” di windows AD / DC, dalam beberapa minggu downadup sudah menjadi downadup.B

    [Reply]

  25. ecol says:

    mas mau curhat sedikit nih, setelah sy menginstall Avira Premium Suite (license gratis 3 bln) .,kinerja komputer sy secara keseluruhan meningkat…mungkin karna virus & malwarenya dah keberantas semua…terusterang sy jd lega…,tapi yg bikin sy agak pusing, kinerja IDM (internet download manager) sy jadi drop lebih dari setengahnya …bahkan ketika diganti dengan downloader lainpun sama hasilnya (lelet abis).., sy coba di laptop/komp yg lain juga sama, setelah pake avira itu jadi pada turun kinerja downloadernya…kenapa bisa demikian..? tolong pencerahannya…terimakasih sebelumnya…

    [Reply]

    ariefew Reply:

    hal tersebut dikarenakan setiap file transfer yang anda download dg IDM atau downloader lainnya selalu di cek oleh AV… coba anda cari di configuration, guard, scanner……

    [Reply]

  26. agung says:

    thx infonya,,, maju terus mas…

    [Reply]

Post a Comment


− 2 = 2