orank_aneh

sebuah worm yang bernama Win32/Conflicker.

Worm ini mempunyai beberapa nama alias diantaranya adalah:
- Downandup
- Downup
- Kido

Serangan worm ini sebenarnya telah dilaporkan sejak bulan Oktober 2008. Target serangan dari worm ini antara lain pada Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 (beta).

Menurut vendor antivirus F-Secure dan harian New York Times, worm ini dilaporkan telah memakan korban 9 juta komputer diseluruh dunia dan akan terus berkembang jumlah korban dari worm ini.

Pada saat worm ini aktif di komputer korban maka akan men-disable beberapa "service" antara lain: Windows Automatic Update, Windows Security Center, Windows Defender dan Windows Error Reporting. Worm ini juga mengaktifkan dirinya melalui Windows Process antara lain: svchost.exe, explorer.exe dan services.exe.

Hebatnya, virus ini juga membuat semacam HTTP service pada komputer korban sehingga semakin mudah untuk menyebarluaskan diri, dengan cara membuka beberapa port secara acak antara 1024 sampai 10000. Sehingga semakin banyak port yang terbuka dan melakukan "request" dan "listen" pada komputer korban maka komputer tersebut akan menjadi lebih lambat.

Secara acak worm Win32/Conflicker ini akan membuat salinan file worm pada komputer korban pada beberapa lokasi antara lain:
- %System%\[Random].dll
- %Program Files%\Internet Explorer\[Random].dll
- %Program Files%\Movie Maker\[Random].dll
- %All Users Application Data%\[Random].dll
- %Temp%\[Random].dll
- %System%\[Random].tmp
- %Temp%\[Random].tmp

[Random] merupakan sebuah nama string dibuat secara acak

Pada saat worm ini menginfeksi sebuah removable media/flash disk, maka akan terdapat sebuah file bernama autorun.inf yang isinya merupakan file binary yang berisi worm win32/Conflicker. Sehingga flashdisk tersebut dapat menginfeksi komputer lain yang belum tertular.

Win32/Conflicker dapat mem-blok akses kedalam beberapa situs web untuk mengupdate atau men-download antivirus. Dengan menggunakan cara ini maka semakin untuk mengatasi worm ini. Beberapa alamat domain yang di-blok oleh worm ini jika berhubungan dengan beberapa kata kunci dibawah ini:

virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate
nai
ca
avp
avg
vet
bit9
sans
cert

Jika user yang sedang logon pada komputer korban tidak mempunyai hak Administrator maka worm ini akan mencoba masuk ke dalam Administrator dengan cara menebak password tersebut dari dalam daftar password yang umum dipakai. Biasanya password yang dipakai oleh Administrator merupakan "weak password" akan dapat dengan mudah tertular oleh worm ini. Daftar "weak password" tersebut antara lain:

Jika [Password] sama dengan [Username]
Jika [Password] merupakan kebalikan dari [Username]
Jika [Password] sama dengan [Username] [Username]

Jika password masuk dalam daftar dibawah ini:

00000
0000000
00000000
0987654321
11111
111111
1111111
11111111
123123
12321
123321
12345
123456
1234567
12345678
123456789
1234567890
1234abcd
1234qwer
123abc
123asd
123qwe
1q2w3e
22222
222222
2222222
22222222
33333
333333
3333333
33333333
44444
444444
4444444
44444444
54321
55555
555555
5555555
55555555
654321
66666
666666
6666666
66666666
7654321
77777
777777
7777777
77777777
87654321
88888
888888
8888888
88888888
987654321
99999
999999
9999999
99999999
a1b2c3
aaaaa
abc123
academia
access
account
Admin
admin
admin1
admin12
admin123
adminadmin
administrator
anything
asddsa
asdfgh
asdsa
asdzxc
backup
boss123
business
campus
changeme
cluster
codename
codeword
coffee
computer
controller
cookie
customer
database
default
desktop
domain
example
exchange
explorer
files
foobar
foofoo
forever
freedom
games
home123
ihavenopass
Internet
internet
intranet
killer
letitbe
letmein
Login
login
lotus
love123
manager
market
money
monitor
mypass
mypassword
mypc123
nimda
nobody
nopass
nopassword
nothing
office
oracle
owner
pass1
pass12
pass123
passwd
Password
password
password1
password12
password123
private
public
pw123
q1w2e3
qazwsx
qazwsxedc
qqqqq
qwe123
qweasd
qweasdzxc
qweewq
qwerty
qwewq
root123
rootroot
sample
secret
secure
security
server
shadow
share
student
super
superuser
supervisor
system
temp123
temporary
temptemp
test123
testtest
unknown
windows
work123
xxxxx
zxccxz
zxcvb
zxcvbn
zxcxz
zzzzz

Beberapa akibat yang dapat ditimbulkan oleh worm win32/Conflicker ini antara lain:
- Kinerja komputer korban menjadi lambat karena membuka beberapa port untuk aktivitas HTTP untuk listen dan request
- Mengganggu aktivitas sharing folder dan sharing printer
- Dapat menginfeksi komputer dalam jaringan serta membuat sebuah file worm dengan extension .jpg, .gif, .png dan .bmp. Sehingga pengguna akan menyangka file tersebut adalah file gambar tetapi sebenarnya berisi binary code dari worm win32/Conflicker.

Bahkan pihak Microsoft membuka sebuah sayembara dan akan menghadiahkan sebesar $ 250,000 bagi siapa saja yang dapat menangkap pembuat worm win32/Conflicker ini. DI tahun 2005 pihak Microsoft juga pernah menghadiahkan sebasar $250,000 bagi pihak atau individu yang membantu menginformasikan pembuat virus Sasser. Saat ini pembuat virus Sasser telah ditahan oleh pemerintah Jerman.

Cara mengatasi worm win32/Conflicker
Untuk mengidentifikasi worm win32/Conflicker ini sebaiknya Anda meng-update antivirus dengan versi terbaru dari website vendor antivirus yang Anda pakai.

McAfee DAT files update

AVG Antivirus and Security

F-Secure

Anda dapat juga men-download Win32/Conflicker(Downandup) Removal Tool (antivirus) dibawah ini.

Microsoft Malicious Software Removal Tool

BitDefender Win32/Conflicker(Downandup) Removal Tool