Ditemui Pada: December 30, 2008
Juga Dikenali sebagai: Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos]
Jenis: Worm
Systems yang terjangkit: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
CVE References: CVE-2008-4250 Instruction dibawah boleh digunakan untuk membuang Worm ini.
Disable System Restore (Windows Me/XP).
Update Antivirus.
Cari dan hentikan service.
Cari dan buang sebarang scheduled task, jika perlu(task yang tidak dikenalpasti).
Buat full scan.
Delete value2 pada registry.
Maklumat lanjut bagi setiap step di atas adalah seperti berikut.
1. Untuk disable System Restore (Windows Me/XP)
Sekiranya anda menngunakan Windows ME atau XP, sila turn off System Restore buat sementara. Windows ME/XP menggunakan tool ini yang secara default nya diaktifkan. Ini adalah untuk mengembalikan file dalam komputer sekiranya berlaku kerosakkan data. Sekiranya virus, worm, atau trojan mengjangkiti komputer anda, System Restore akan backup virus, worm atau trojan tersebut.
Windows menghalang program luar termasuk Antivirus daripada mengubah sebarang data/maklumat dalam System Restore. Antivirus atau Removal Tool tidak dapat membuang ancaman ini daripada folder System Restore. Ini menjadikan System Restore berpotensi besar untuk restore semula virus, worm atau trojan ini walaupun anda telah membersihkan file2 ancaman tersebut.
Malah, antivirus masih akan mengesan ancaman dalam System Restore walaupun anda telah membuang ancaman itu.
Untuk mematikan fungsi ini, baca Windows Documentation tentang artikel berikut:
How to disable or enable Windows Me System Restore
How to turn off or turn on Windows XP System Restore
Note: Selepas anda melakukan pembersihan ini, sila aktifkan semula fungsi ini.
2. Untuk update the Anti Virus
Update Antivirus anda dengan definition terkini seperti biasa.
3. Untuk mencari dan membuang service
Klik Start > Run.
Taip: services.msc,kemudian klik OK.
Cari dan pilih service yang dikenalpastiClick Action > Properties.
Klik Stop.
Tukar Startup Type kepada Manual.
Klik OK dan tutup Service window
Restart komputer anda.
4. Untuk mencari dan membuang scheduled task, jika perlu
Klik Start > Program Files.
Klik > Accessories.
Klik > System Tools.
Klik > Scheduled Tasks.
Cari dan pilih scheduled task yang berkenaan.
Klik Delete this Item
Klik Yes dan tutup tetingkap Scheduled Tasks
Restart komputer.
5. Untuk buat full system scan
Lancarkan antivirus anda dan pastikan anda set untuk scan keseluruhan file dalam komputer anda.
Full system scan.
Sekiranya sebarang file dikesan sebagai worm ini, ikut arahan antivirus anda
Penting: Sebaik-baiknya anda membuang full scan ini dalam save mode
Selepas file-file itu dipadam, restart komputer anda dalam Normal Mode dan ikuti arahan seterusnya.
Warning messages mungkin akan dipaparkan selepas komputer anda restart. Ini mungkin kerana bukan semua ancaman ini telah dibuang setakat ini. Abaikan mesej itu dan klik OK. Selepas semua arahan ini dilakukan, mesej ini tidak akan dipaparkan lagi. Mesej ini lebih kurang macam ni:
Title: [FILE PATH]
Message body: Windows cannot find [FILE NAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.
6. Untuk memadam value daripada registry
Klik Start > Run.
Taip regedit
Klik OK.
Note: Sekiranya anda dihalang daripada melancarkan Regedit, sila gunakan tool seperti GVR,NVR untuk memulihkan keadaan ini.
Cari dan delete key ini:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "rundll32.exe "[RANDOM FILE NAME].dll", ydmmgvos"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"DisplayName" = "[WORM GENERATED SERVICE NAME]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Type" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ErrorControl" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = "%SystemRoot%\system32\svchost.exe -k
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]"
Kembalikan registry entries berikut kepada value asal, sekiranya perlu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" = "00FFFFFE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
Exit Registry Editor.
Note: pastikan anda mencari juga dibawah subkey HKEY_CURRENT_USER, ia adalah tidak mustahil worm ini akan membuat entri dalam setiap user account yang ada dalam komputer anda. Untuk memastikan semua registry subkey atau entri dibuang dan dikembalikan ke asal, semak juga semua subkey dibawah HKEY_CURRENT_USER utuk item seperti yang tersenarai di atas.
