Conficker downadup kido

W32/Conficker.DV 27 Januari 2009

Antara Cina dan Rusia, kita kena virus

Jika anda mengalami satu atau beberapa gejala dibawah ini :

Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.
Komputer mendapatkan pesan error Generic Host Process.
Komputer tidak bisa mengakses situs-situs tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan “Address not Found” tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan berarti.
Update definisi antivirus terganggu karena akses ke situs antivirus diblok.
Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000

Harap berhati-hati, karena anda sudah terinfeksi virus yang sedang mengganas di seluruh dunia. Anda tidak perlu malu karena bukan komputer anda saja yang terinfeksi, tetapi juga komputer departemen pertahanan Perancis dan Inggris sekalipun terinfeksi oleh virus ini. Kalau anda penasaran siapa sebenarnya yang membuat virus ini, Vaksincom tidak memiliki data yang akurat. Tetapi jika dilihat dari beberapa situs yang dan forum-forum antivirus yang pertama kali memuat informasi mengenai infeksi virus ini, maka dapat dikatakan bahwa pembuat virus ini mirip seperti lagu ciptaan Oddie Agam yang dinyanyikan oleh Sheila Madjid …… Antara Cina dan Rusia. :P.

Pada artikel dibawah ini Ad Sap dari Vaksincom memberikan uraian tentang aksi virus ini dan bagaimana cara membasminya. Tetapi memang virus Conficker ini cukup cerdas dan memiliki kemampuan mengupdate dirinya dan memiliki satu payload spesial yang sangat menyulitkan pembuat antivirus untuk membuat tools membasmi dirinya. Karena itu, jika jaringan komputer di kantor anda terinfeksi virus ini dan meskipun anda sudah banting tulang membersihkan tetapi virus tersebut tetap membandel. Dan anda ingin mendapatkan informasi terkini dari ahlinya untuk membasmi virus ini, silahkan hadiri Seminar Membasmi Conficker yang akan diadakan pada tanggal 28 Januari 2009 di Club Chouse Apartemen Paviliun. Biaya seminar Rp. 125.000,- termasuk makan siang dan coffee break.

Di setiap pergantian tahun, kebanyakan orang berkomitmen dengan harapan, semangat, motivasi dan energi baru, agar memiliki perubahan kehidupan yang lebih baik lagi di tahun yang baru. Bagi sebagian kalangan pengguna komputer, tahun baru terkadang dijadikan sebagai ajang untuk implementasi sistem baru (baik itu upgrade hardware komputer maupun program/software baru).

Tak terkecuali bagi para pembuat virus, tahun baru dijadikan sebagai ajang “unjuk gigi” dan percobaan ide-ide serta metode-metode baru dalam melakukan penyebaran virus. Jika sebelumnya virus lokal “hopeless” mengawali rekan-rekan pembuat virus lokal di tahun baru ini, maka tidak ketinggalan dengan virus mancanegara yang juga ikut mengawali tahun baru dengan varian virus yang lebih canggih. Masih ingat kah anda pada kasus “Generic Host Process” error yang merupakan pertanda dari virus W32/Conficker atau W32/Downadup, http://vaksin.com/2008/1208/conficker/conficker.htm , maka kali ini muncul dengan varian baru virus yang memiliki target serangan Windows XP, Vista, Windows Server (semau versi) dan bahkan Windows 7 versi Beta pun masih rentan atas serangan virus ini.

Norman Security Suite mendeteksi varian baru virus tsb sebagai W32/Conficker.DV, sedangkan antivirus lain mendeteksi sebagai Win32.Kido.CG (Kaspersky), W32.Downadup.B (Symantec), W32.Downadup.AL (F-Secure), W32.Conficker.B (Microsoft), W32.Conficker.A (CA, Sophos dan McAfee), Worm_Downad.AD (Trend Micro) dan W32/Conficker.C (Panda). (lihat gambar 1)

Gambar 1, Norman Security Suite mendeteksi sebagai W32/Conficker.DV

Ciri File Virus

Virus Conficker.DV memiliki file yang di kompress melalui UPX. File virus berukuran 162 kb. File virus yang masuk bertipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype "dll" (dynamic link library).

File virus yang berusaha masuk akan berada pada lokasi temporary internet :

- %Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\[%nama acak%].[%gif,jpeg,bmp,png%]

- %Documents and Settings\[%user%]\Local Settings\Temporary Internet Files\[%gif,jpeg,bmp,png%]

Jika file virus yang masuk berhasil dijalankan, virus akan mengcopy dirinya pada salah satu lokasi folder berikut :

- %Documents and Settings%\[%user%]\Application Data\[%nama acak%].dll

- %Program Files%\Internet Explorer\[%nama acak%].dll

- %Program Files%\Movie Maker\[%nama acak%].dll

- %WINDOWS%\system32\[%nama acak%].dll

- %WINDOWS%\Temp\[%nama acak%].dll

File "dll" inilah yang aktif dan "mendompleng" file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali.

Virus juga akan mengcopy file “[%nama acak%].tmp” pada folder %WINDOWS%\system32 (contohnya : 01.tmp atau 06.tmp). Setelah menggunakan file tsb, kemudian virus mendelete file tsb.

Gejala / Efek Virus

Jika sudah terinfeksi W32/Conficker.DV, virus akan menimbulkan gejala / efek berikut :

- Jika varian sebelumnya mematikan service “Workstation, Server dan Windows Firewall / Internet Connection Sharing (ICS)”. Maka kali ini virus berusaha untuk mematikan dan men-Disable beberapa service, yaitu : (lihat gambar 2)

· wscsvc : Security Center

· wuauserv : Automatic Updates

· BITS : Background Intellegent Transfer Service

· ERSvc : Error Reporting Service

· WerSvc : Windows Error Reporting Service (Vista, Server 2008)

· WinDefend : Windows Defender (Vista, Server 2008)

Gambar 2, Aksi virus Conficker mematikan banyak service di Windows

- Virus mampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut :

Ccert.
sans.
bit9.
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
nod32
f'prot
jotti
kaspersky
f'secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus

Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke website keamanan.

- Virus berusaha melakukan perubahan pada system Windows Vista / Server 2008 dengan menggunakan perintah :

“netsh interface tcp set global autotuning=disabled”

Dengan perintah ini, maka windows auto tuning akan di-disable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba akses jaringan. Info selengkapnya pada http://support.microsoft.com/kb/947239

- Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet. Virus melakukan download pada beberapa website berikut :

aaidhe.net

aamkn.cn

abivbwbea.info

aiiflkgcw.cc

alfglesj.info

amcfussyags.net

amzohx.ws

apaix.ws

argvss.info

arolseqnu.ws

asoidakm.cn

atnsoiuf.cc

avweqdcr.cn

axaxmhzndcq.cc

barhkuuu.com

bbuftxpskw.cc

bdykhlnhak.cc

bdzpfiu.biz

bijkyilaugs.cn

bjpmhuk.ws

bmmjbsjidmt.com

bzagbiwes.cc

carse.cn

cauksxf.biz

cfhlglxofyz.biz

cinsns.cc

ciynbjwm.com

cljivsb.biz

cpeadyepcis.biz

cqnxku.ws

ctmchiae.ws

cxjsy.net

czkdu.net

dbffky.cn

dgbdjsb.com

drpifjfxlyl.ws

dtosuhc.org

duahpzq.org

dwrtwgsm.cn

dyjomzyz.com

earuldx.cn

egqoab.net

egxbsppn.cn

ehkvku.cn

elivvks.net

emxmg.info

eobvidij.org

erwojl.org

evqvmwgw.cn

ewioygq.biz

exxkvcz.cc

ffaqk.info

fhlwov.net

fitjg.net

fkhbumne.info

fknacmvowib.cn

fmdsqasqm.net

fmgcjv.cn

fpljpuqp.info

fsrljjeemkr.info

fthil.cc

ftphtsfuv.net

gbgklrka.cc

gbmkghqcqy.net

gbxyu.ws

gezjwr.biz

gjbwolesl.info

glkzckadwu.biz

gmvhjp.ws

gsvrglz.cc

gutvjbektzq.com

gwtqx.cn

hbyzvpeadkb.net

hewdw.ws

hjcxnhtroh.cn

hltowx.com

hqjazhyd.com

hrmirvid.com

hudphigb.org

hvagbqmtxp.info

idvgqlr.ws

ihnvoeprql.biz

iidqkzselpr.com

ijthszjlb.com

iklzskqoz.cn

iqgnqt.org

iqrzamxo.ws

isjjlnv.org

iudqzypn.cn

iyfcmcaj.cn

jayrocykoj.ws

jffhkvhweds.cn

jfxcvnnawk.org

jgrftgunh.org

jguxjs.net

jhanljqti.cc

jhvlfdoiyn.biz

jjhajbfcdmk.net

jkisptknsov.biz

jknxcxyg.net

jlouqrgb.org

jpppffeywn.cc

jradvwa.biz

juqsiucfrmi.net

jvnzbsyhv.org

jxnyyjyo.net

kaonwzkc.info

kdcqtamjhdx.ws

kgeoaxznfms.biz

kihbccvqrz.net

kimonrvh.org

kjsxwpq.ws

kkrxwcjusgu.cn

knqwdcgow.ws

koaqe.cc

kodzhq.org

kqjvmbst.net

kufvkkdtpf.net

kxujboszjnz.ws

lagcrxz.cc

lawwb.com

lbdfwrbz.net

ljizrzxu.cc

lmswntmc.biz

lotvecu.com

lplsebah.cn

lxhmwparzc.ws

lyamwnhh.info

mciuomjrsmn.cn

mdntwxhj.cn

meqyeyggu.cc

mfigu.cn

mimdezm.biz

mkdsine.cn

mmtdsgwfa.net

mouvmlhz.cc

mozsj.biz

mpqzwlsx.ws

msvhmlcmkmh.biz

mtruba.ws

myrmifyuqo.biz

naucgxjtu.ws

ncwjlti.cn

nertthl.net

nnxqqmdl.info

nuxtzd.cn

nxvmztmryie.ws

nybxvgb.net

nzsrgzmhay.net

oadscrk.org

oezepyh.info

ojrswlg.net

olgjkxih.org

omqxqptc.ws

ooudifyw.cn

opkawiqb.cn

oqsfz.ws

orvfkx.cc

otoajxfn.net

oxeeuikd.net

oyezli.com

pfath.info

plsexbnytn.com

poplie.cc

psbdfflh.cn

qfmbqxom.ws

qjvtczqu.com

qpcizvlvio.biz

qslhoks.cn

qtcnfvf.biz

qtsnk.cn

qzktamrsgu.cn

rbhixtifxk.cc

rccoq.net

rgievita.ws

rlrbqpxv.org

rozhtnmoudg.cc

rpsctacalyd.cn

rrmkv.com

rtpuqxp.net

rtztoupc.net

satmxnz.ws

sbtalilx.com

sdjnaeoh.cc

sirkqq.org

sjkkfjcx.biz

sjkxyjqsx.net

stmsoxiguz.net

tdeghkjm.biz

tkhnvhmh.biz

tmdoxfcc.org

torhobdfzit.cc

trdfcxclp.org

tscmbj.net

tuwcuuuj.com

txeixqeh.biz

uazwqaxlpq.info

ubxxtnzdbij.com

ucnfehj.org

uekmqqedtfm.com

uhtmou.ws

uhveiguagm.biz

uoieg.ws

uttcx.net

uyhgoiwswn.cc

uyvtuutxm.cn

vfxifizf.info

vupnwmw.biz

vzqpqlpk.ws

waeqoxlrprp.org

wdrvyudhg.cc

wediscbpi.org

whgtdhqg.net

wkstxvzr.org

wmrgzac.info

wnwqphzao.info

wsajx.com

wskzbakqfvk.org

wtngipaynh.info

wumvjpbbmse.cc

wuzunxevor.info

wwftlwlvm.org

xcncp.info

xeeuat.com

xhazhbir.biz

xjnyfwt.org

xlrqvoqmsxz.info

xqgbn.cn

xwrrxwmo.cc

xxabrkhb.cc

xxmgkcw.cc

xxxxgvtaa.com

xzoycphicpk.com

ybbfrznr.info

ycceqdmm.cc

ydxnochqn.org

ygmwharv.info

ylnytttckyc.com

yuvudlsdop.cc

ywhaunsyez.cc

ywxdggnaaad.org

zindtsqq.ws

zkywmqx.com

zoosmv.info

zqekqyq.cn

zqked.org

zsatn.ws

ztgsd.info

ztioydng.com

zzczpujz.biz

- Virus akan mengecek koneksi internet dan men-download file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek pada beberapa wesite berikut :

baidu.com

google.com

yahoo.com

msn.com

ask.com

w3.org

aol.com

cnn.com

ebay.com

msn.com

myspace.com

- Virus akan membuat rule firewall pada gateway jaringan local yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000). Lihat gambar 3 dan 4.

Gambar 3, Conficker akan membuka akses dari luar dengan mengeset firewall Windows.

Gambar 4, Conficker membuka port acak guna mengupdate dirinya ke internet

- Virus akan membuat services dengan karakteristik berikut, agar dapat berjalan otomatis saat start-up windows : (lihat gambar 5)

Service name: "[%nama acak%].dll"

Path to executable: %System32%\svchost.exe -k netsvcs

Serta dengan menggunakan kombinasi dari beberapa string berikut yang muncul pada deskripsi service (biasanya gabungan 2 string semisal “Security Windows”) :

Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows

Gambar 5, Services yang dibuat virus agar dapat berjalan secara otomatis pada saat start Windows.

- Virus membuat HTTP Server pada port yang acak :

Http://%ExternalIPAddress%:%PortAcak(1024-10000)%

Virus melakukan koneksi ke beberapa website untuk mendapatkan alamat IP Address external yang sudah diinfeksi :

- http://www.getmyip.org

- http://www.whatsmyipaddress.com

- http://getmyip.co.uk

- http://checkip.dyndns.org

- Virus membuat scheduled task untuk menjalankan file virus yang sudah di copy dengan perintah :

“rundll32.exe .[%ekstensi acak%], [%acak]”

Metode Penyebaran

Virus Conficker.DV juga menggunakan metode penyebaran yang berbeda dari pendahulunya, diantaranya sebagai berikut :

1) Network Shares (Brute Force Attack)

Virus berusaha mengakses jaringan menggunakan celah windows “Default Share” (ADMIN$\system32) dengan menebak password administrator. Virus menggunakan “Dictionary” password dengan string berikut :

000

0000

00000

0000000

00000000

0987654321

111

1111

11111

111111

1111111

11111111

123

123123

12321

123321

1234

12345

123456

1234567

12345678

123456789

1234567890

1234abcd

1234qwer

123abc

123asd

123qwe

1q2w3e

222

2222

22222

222222

2222222

22222222

321

333

3333

33333

333333

3333333

33333333

4321

444

4444

44444

444444

4444444

44444444

54321

555

5555

55555

555555

5555555

55555555

654321

666

6666

66666

666666

6666666

66666666

7654321

777

7777

77777

777777

7777777

77777777

87654321

888

8888

88888

888888

8888888

88888888

987654321

999

9999

99999

999999

9999999

99999999

a1b2c3

aaa

aaaa

aaaaa

abc123

academia

access

account

Admin

admin

admin1

admin12

admin123

adminadmin

administrator

anything

asddsa

asdfgh

asdsa

asdzxc

backup

boss123

business

campus

changeme

cluster

codename

codeword

coffee

computer

controller

cookie

customer

database

default

desktop

domain

example

exchange

explorer

file

files

foo

foobar

foofoo

forever

freedom

fuck

games

home

home123

ihavenopass

Internet

internet

intranet

job

killer

letitbe

letmein

login

Login

lotus

love123

manager

market

money

monitor

mypass

mypassword

mypc123

nimda

nobody

nopass

nopassword

nothing

office

oracle

owner

pass

pass1

pass12

pass123

passwd

password

Password

password1

password12

password123

private

public

pw123

q1w2e3

qazwsx

qazwsxedc

qqq

qqqq

qqqqq

qwe123

qweasd

qweasdzxc

qweewq

qwerty

qwewq

root

root123

rootroot

sample

secret

secure

security

server

shadow

share

sql

student

super

superuser

supervisor

system

temp

temp123

temporary

temptemp

test

test123

testtest

unknown

web

windows

work

work123

xxx

xxxx

xxxxx

zxccxz

zxcvb

zxcvbn

zxcxz

zzz

zzzz

zzzzz

Catatan : Jika dalam domain dilakukan pengaturan untuk account lock, maka dalam upaya virus yang berusaha login beberapa kali akan menyebabkan account user terputus dalam domain dan account menjadi lock/terkunci.

Jika sukses, virus akan mengcopy dirinya dengan menggunakan nama acak sebagai berikut :

\\[%IP atau hostname%]\ADMIN$\system32\[%nama acak%].[%extensi acak%]

Kemudian membuat scheduled task untuk menjalankan file virus yang sudah di copy tsb dengan perintah :

rundll32.exe .[%extensi acak%], [%acak]

2) Removable Drives

Virus Conficker.DV juga membuat file pada media removable seperti USB (flashdisk, Harddisk, Card Reader, dll). Virus menyimpan file hidden pada root drive, yaitu :

- Autorun.inf

- RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

3) Eksploitasi celah keamanan windows

Sama seperti pendahulunya, virus berusaha mengexploitasi MS08-067 (celah keamanan windows, Windows Server Service atau SVCHOST.exe). Banyak user yang terinfeksi dikarenakan tidak mengaktifkan fitur Automatic Updates dan tidak melakukan patch windows MS08-067. http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Modifikasi Registry

Agar dapat aktif saat computer dijalankan, virus membuat string berikut :

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

%nama acak% = rundll32.exe [%lokasi file virus%], %nama acak%

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

%nama acak% = rundll32.exe [%lokasi file virus%], %nama acak%

Selain itu virus membuat string berikut :

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets

dl = 0

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets

ds = 0

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets

dl = 0

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets

ds = 0

Virus men-disable beberapa service dengan membuat string berikut :

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS

Start = 4

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc

Start = 4

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WerSvc

Start = 4

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend

Start = 4

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

Start = 4

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

Start = 4

Selain itu, virus membuat service baru dengan membuat string berikut :

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[%Nama Acak%]

DisplayName = [%Gabungan 2 String%]

Type = 32

Start = 2

ErrorControl = 0

ImagePath = %SystemRoot%system32\svchost.exe -k netsvcs

ObjectName = LocalSystem

Description = [%Deskripsi Acak%]

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[%Nama Acak%]\Parameters

ServiceDll = [%Lokasi Virus%]

Agar dapat menyebar cepat dalam jaringan, virus membuat string berikut :

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

TcpNumConnections = 0x00FFFFFE

Terakhir, virus berusaha menyembunyikan file virus dengan membuat string berikut :

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Hidden = 0

SuperHidden = 0

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue = 0

Pembersihan Virus

ü Putuskan komputer yang akan dibersihkan dari jaringan/internet.

ü Matikan system restore (Windows XP / Vista).

ü Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. (lihat gambar 6)

http://download.norman.no/public/Norman_Malware_Cleaner.exe

Gambar 6, Gunakan Norman Malware Cleaner untuk membersihkan virus yang aktif

ü Delete service svchost.exe gadungan yang ditanamkan virus pada regisrty. Anda dapat mencari secara manual pada registry (lihat gambar 7)

Gambar 7, Hapus proses svchost.exe gadungan yang mengaktifkan virus

ü Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)

ü Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini :

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x00000001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0x00000001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00000001,1

HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0x00000002,2

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Catatan : Untuk file yang aktif pada startup, anda dapat men-disable melalui “msconfig” atau dapat men-delete secara manual pada string :

“HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run”

ü Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini dengan baik dan patch komputer anda dengan http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx guna mencegah infeksi ulang.

Salam,

Ad Sap

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19 E

Jakarta 10160