Serangan Virus ini memanfaatkan beberapa celah yang ada sebelum patch terhadap celah tersebut dirilis. Microsoft sendiri memberi nama virus ini sebagai Win32/Conficker.b dimana virus ini meng-exploit celah pada Windows Server Service (SVCHOST.EXE) terhadap Windows 2000, Windows XP, Windows Vista, Windows Server 2003 dan Windows Server 2008. Selain itu, serangan ini juga mempunyai metode propagasi pada:

1. Workstation/Server yang belum diimplementasikan patch MS08-067 (CVE-2008-4250), detil bisa dibaca di http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

2. Penggunaan Network Shares.

3. Penggunaan fungsi Autoplay.

Masalah diatas memang riskan, namun terhadap segala jenis virus yang ada, kembali lagi ke perlakuan user terhadap workstation/server itu sendiri. Terkadang celah bisa diakibatkan oleh human error dan celah itu ada bukan karena Operating System tersebut lemah, karena masalah ini ada di level aplikasi (ingat bahwa virus merupakan sebuah program, namun bertujuan negatif).

Banyak vendor antivirus yang telah merilis update terbaru untuk membersihkan virus ini. Walaupun tidak semua menggunakan conficker (sebagian menggunakan nama Downadup), namun membasmi virus tidak harus selalu bergantung pada antivirus. Antivirus digunakan hanya untuk mempercepat proses pencarian file-file yang merupakan trigger dari virus, namun belum tentu memulihkan struktur registry maupun membunuh proses yang menjalankan virus. Sehingga beberapa check list tetap harus dilakukan untuk meyakinkan bahwa virus telah bersih (terutama pada Jaringan).

Beberapa akibat yang disebabkan oleh virus ini yang sering dilaporkan melalui mailing list ataupun langsung kepada saya adalah Account Locked Out (pada lingkungan domain). Jika kita lihat dari gambar diatas, user yang mempunyai password lemah (weak password), mempunyai potensi mudah terserang. Oleh karena itu, penggunaan password kompleks dan strong direkomendasikan untuk IT Security Policy yang diterapkan pada perusahaan.

selanjutnya penanganan pertama akibat serangan virus ini:

1. Stay up to date dengan patch dan hotfix terbaru.

2. Menggunakan Removal Tool atau Antivirus untuk mendeteksi dan membuang file-file virus (sebagai contoh, bisa dengan menggunakan MSRT dari Microsoft http://support.microsoft.com/kb/890830 atau antivirus dari Microsoft yaitu Forefront Client Security http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B).

3. Perkuat IT Policy terutama yang berkaitan dengan file sharing over network.

4. Gunakan password yang kompleks dan strong dan disarankan menerapkan perubahan password setiap rentang waktu tertentu.

5. Jika antivirus sudah dapat melakukan penghapusan terhadap virus, checklist registry dan hal-hal lain yang mungkin merupakan trigger dari Virus ini, mengacu ke http://support.microsoft.com/kb/962007

6. Jangan ragu untuk konsultasikan hal ini dengan vendor anda/vendor anti virus anda untuk membantu mencegah hal ini.

Terakhir, mungkin apa yang saya tulis tidak bisa membantu banyak, namun diharapkan dengan kesabaran dan kehati-hatian dalam melakukan pencegahan terhadap virus ini, diharapkan bisa benar-benar bersih (terutama dalam lingkungan infrastruktur jaringan).

Best Regards,

Raymond Engelbert