Conficker juga di kenal sebagai Downup , Downadup dan Kido; Adalah worm komputer yang menargetkan sistem operasi Microsoft Windows yang pertama kali terdeteksi pada November 2008. Conficker menggunakan kelemahan pada perangkat lunak OS Windows dan serangan kamus pada kata sandi administrator untuk menyebar sambil membentuk botnet , dan sangat sulit untuk dilawan karena penggunaan gabungan dari banyak teknik malware tingkat lanjut. Cacing Conficker menginfeksi jutaan komputer termasuk komputer pemerintah, bisnis, dan rumah di lebih dari 190 negara, menjadikannya infeksi cacing komputer terbesar yang di ketahui sejak Welchia 2003 .

Prevalensi

Perkiraan jumlah komputer yang terinfeksi sulit karena virus mengubah strategi penyebaran dan pembaruannya dari versi ke versi. Pada bulan Januari 2009, perkiraan jumlah komputer yang terinfeksi berkisar dari hampir 9 juta hingga 15 juta. Microsoft telah melaporkan jumlah total komputer yang terinfeksi yang terdeteksi oleh produk antimalwarenya tetap stabil di sekitar 1,7 juta dari pertengahan 2010 hingga pertengahan 2011.

Sejarah

Nama

Nama Configure di anggap sebagai kombinasi dari istilah bahasa Inggris “configure” dan istilah merendahkan Jerman Ficker (engl. fucker ). Joshua Phillips memberikan interpretasi alternatif dari nama tersebut, menggambarkannya sebagai penataan ulang bagian dari nama domain trafficconverter .biz yang di gunakan oleh versi awal Conficker untuk mengunduh pembaruan.

Penemuan

Varian pertama Conficker, di temukan pada awal November 2008, di sebarkan melalui Internet dengan memanfaatkan kerentanan dalam layanan jaringan (MS08-067) pada Windows 2000 , Windows XP , Windows Vista , Windows Server 2003 , Windows Server 2008 , dan Windows Server 2008 R2 Beta. Sementara Windows 7 mungkin telah terpengaruh oleh kerentanan ini, Windows 7 Beta tidak tersedia untuk umum sampai Januari 2009.

Varian kedua dari virus, di temukan pada bulan Desember 2008, menambahkan kemampuan untuk menyebar melalui LAN melalui media yang dapat di pindahkan dan berbagi jaringan . Para peneliti percaya bahwa ini adalah faktor penentu dalam memungkinkan virus menyebar dengan cepat.

Dampak di Eropa

Intramar, jaringan komputer Angkatan Laut Prancis , terinfeksi Conficker pada 15 Januari 2009. Jaringan tersebut kemudian di karantina, memaksa pesawat di beberapa pangkalan udara di grounded karena rencana penerbangan mereka tidak dapat diunduh.

Kementerian Pertahanan Inggris melaporkan bahwa beberapa sistem dan desktop utamanya terinfeksi. Virus telah menyebar ke seluruh kantor administrasi, desktop NavyStar/N* di berbagai kapal perang Royal Navy dan kapal selam Royal Navy, dan rumah sakit di seluruh kota Sheffield melaporkan infeksi lebih dari 800 komputer.

Pada 2 Februari 2009, Bundeswehr , angkatan bersenjata Jerman, melaporkan bahwa sekitar seratus komputernya terinfeksi.

Infeksi sistem TI Dewan Kota Manchester menyebabkan gangguan senilai £1,5 juta pada Februari 2009. Penggunaan USB flash drive dilarang, karena diyakini sebagai vektor infeksi awal.

Sebuah memo dari Direktur layanan TIK Parlemen Inggris memberi tahu pengguna House of Commons pada 24 Maret 2009 bahwa mereka telah terinfeksi virus. Memo tersebut, yang kemudian dibocorkan, meminta pengguna untuk menghindari menghubungkan peralatan yang tidak sah ke jaringan.

Pada bulan Januari 2010, jaringan komputer Greater Manchester Police terinfeksi, menyebabkan pemutusan selama tiga hari dari Police National Computer sebagai tindakan pencegahan; Selama itu, petugas harus meminta pasukan lain untuk melakukan pemeriksaan rutin terhadap kendaraan dan orang.

Operasi

Meskipun hampir semua teknik malware canggih yang digunakan oleh Conficker telah di gunakan sebelumnya atau di ketahui oleh para peneliti, penggunaan gabungan virus dari begitu banyak telah membuatnya sangat sulit untuk di berantas. Penulis virus yang tidak diketahui juga di yakini melacak upaya anti-malware dari operator jaringan serta penegak hukum dan secara teratur merilis varian baru untuk menutup kerentanan virus itu sendiri.

Lima varian virus Conficker di kenal dan di juluki Conficker A, B, C, D dan E. Mereka di temukan masing-masing pada 21 November 2008, 29 Desember 2008, 20 Februari 2009, 4 Maret 2009 dan 7 April 2009, masing-masing. Kelompok Kerja Conficker menggunakan penamaan A, B, B++, C, dan E untuk varian yang sama. Ini berarti bahwa (CWG) B++ setara dengan (MSFT) C dan (CWG) C setara dengan (MSFT) D.

Infeksi awal

Varian A, B, C dan E mengeksploitasi kerentanan dalam Layanan Server pada komputer Windows, di mana komputer sumber yang sudah terinfeksi menggunakan permintaan RPC yang di buat khusus untuk memaksa buffer overflow dan mengeksekusi shellcode pada komputer target. Pada komputer sumber, virus menjalankan server HTTP pada port antara 1024 dan 10.000; shellcode target terhubung kembali ke server HTTP ini untuk mengunduh salinan virus dalam bentuk DLL , yang kemudian di lampirkan ke svchost.exe . Varian B dan yang lebih baru mungkin di lampirkan ke proses services.exe atau Windows Explorer yang sedang berjalan. Melampirkan ke proses tersebut mungkin di deteksi oleh fitur kepercayaan aplikasi dari firewall yang di instal.

Varian B dan C dapat mengeksekusi salinan dirinya dari jarak jauh melalui bagian ADMIN$ pada komputer yang terlihat melalui NetBIOS .

Varian B dan C menempatkan salinan formulir DLL mereka di recycle.bin.

Untuk memulai sendiri saat boot sistem. Virus menyimpan salinan formulir DLL-nya ke nama file acak di sistem Windows atau folder system32. Kemudian menambahkan kunci registri agar svchost.exe memanggil DLL itu sebagai layanan jaringan yang tidak terlihat.

Gejala

Gejala infeksi Conficker meliputi:

• Kebijakan penguncian akun di atur ulang secara otomatis.
• Layanan Microsoft Windows tertentu seperti Pembaruan Otomatis , Layanan Transfer Cerdas Latar Belakang (BITS) di nonaktifkan.
• Pengontrol domain merespons permintaan klien dengan lambat.
• Kemacetan pada jaringan area lokal (banjir ARP sebagai konsekuensi dari pemindaian jaringan).
• Situs web yang terkait dengan perangkat lunak antivirus atau layanan Pembaruan Windows menjadi tidak dapat di akses.
• Akun pengguna terkunci.

Tanggapan

Pada 12 Februari 2009, Microsoft mengumumkan pembentukan kelompok industri untuk secara kolaboratif melawan Conficker.

Editor : Rza