Me VS Mr.Net-Worm.Win32.Kido.du
Perlu ditulis tentang ini, report pertarunganku melawan si Kido yang menjengkelkan dan merepotkan. Belum lama ini aku terpaksa harus bertemu dengan si Kido ini yang sudah merusak jaringan dan komputer di kantor dan warnetku. Sampai berujung pada IP public di banned oleh DALNET sehingga tidak bisa lagi dipake untuk chat MIRC selama seminggu.. hikz.. awas kmu Kido!!…
Siapakah Kido? Hmm itu cuma nama panggilan sebuah malware di komputer, lebih tepatnya tipe worm tapi klo awam komputer biasanya nyebutnya Virus (g peduli mo worm, trojan, malware, adware, spyware pokoe virus…). Kalo yang terdetek di tempatku namanya Net-Worm.Win32.Kido.du (detected by KAV) kalo antivirus lain mungkin detectnya juga nama yg berbeda.
Masi sodara ma yg namanya Win32/Conficker atau W32.Downadup. Mereka ini para keluarga malware yang mengeksploit kelemahan sistem windows Server service seperti dibahas di sini. Server disini bukan tipe Windowsnya yang Server (kenyataan XP dan Vista jg kena), melainkan nama sebuah layanan (service) di keluarga windows yg terkait dengan sebuah service lainnya yg bernama Computer Browser.
Dah kalo ada yang bingung coba aja pencet Ctrl+Alt+Del trus liat salah satu service bernama SVCHOST.EXE, itulah si service server yg dirusak sama keluarga malware ini. Langsung aja deh gejala kerusakan :
- Jaringan lemot, ya iya lah.. soalnya si kido lagi sibuk kirim2 copy dirinya ke semua pc dalam jaringan. Ud gitu nyoba bobolnya pake bruteforce lagi biar bisa masuk ke PC yang ada passwordnya, tapi kalau ada share public bisa langsung copy aja.. so, jelas aja jalur jadi padat dan koneksi jadi megap-megap.
- Ga bisa buka MyNetworkPlace/Workgroup. Sama aja soalnya SVCHOSTnya kan uda di rusakin sm si virus. Kadang sampe tewas service Servernya. Kalaupun hidup itu udah disusupi oleh si Kido.
- Sering muncul peringatan Generic Host For Win32 Service.. Nah lho ini bukan nama virus, ini laporan dari sistem windows yang menyatakan bahwa ada kerusakan pada servicenya. Jadi jgn diganti namanya jd virus Generic Host, soalnya itu cuma after effect bukan penyebab kerusakan.
- Bikin service baru dengan nama random misal msgknqd, bisa dicek dari Start>Run>services.msc. Descriptionnya kembar sama service Server (Svchost) yakni : Supports file, print, and named-pipe sharing over the network for this computer. If this service is stopped, these functions will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start. Di tempatku ada 5 service dengan nama random yang punya description serupa.
- Opsi show hidden files and folders di Folder Option dari Windows Explorer selalu gagal diaktifkan. Kalaupun nampak bisa diklik namun kalau dicek kembali pasti sudah kembali ke pilihan do not show hidden files and folders.
Sebenernya kalo ditelusuri eksploitasi service network sistem windows itu udah dari jaman dulu, salah satu casenya yang cukup santer terdengar adalah Blaster. Pihak Microsoft sudah berusaha memperbaiki dengan update patch melalui windows update, sayang ga semua orang mau dan bisa mengupdate. Lagian si tukang bikin virus juga ada aja ide barunya untuk mencari hole keamanan di sistem Windows meskipun seribukali di patch. (Ga ada yg sempurna di dunia ini bro..)
Next.. cara remove yang uda aku lakuin (diambil dari sini. Meskipun mereka berbeda tapi si Kido dan Conficker cara kerjanya mirip, jadi cara membasminya jg mirip2 deh. Langkah2nya sbb :
- Test bersihin pake MSRT (Malicious Software Removal Tools) dari microsoft di http://support.microsoft.com/kb/890830
- Kalo masi gagal juga bersihinnya, coba pake removal tools Kaspersky KidoKiller yang petunjuk download dan pemakaiannya dapat dilihat di http://support.kaspersky.com/faq/?qid=208279973
- Apa?? Masih gagal juga?.. mari kita menyerah saja…
- Just kidding, masi banyak jalan.. cuma agak ribet aja. Dan itulah yang saya alami.. lewat jalan diatas si Kido masi bisa balik lagi dan bahkan merusak lebih parah lagi sampai jaringan local down.
- Untuk cara manualnya bisa dilihat disini http://support.microsoft.com/kb/962007
- Tips tambahan, kalo mau melakukan proses removal, matikan dulu sementara service Server dan isolasi PC Korban dari jaringan local. Misalnya dengan mencabut kabel LANnya atau disconnect dari Wireless Hotspot. Ini untuk memastikan selama proses perbaikan tidak ada kiriman virus lagi melalui jaringan.
- Kalau udah sembuh rajin2 lah patch Windows anda, terutama yang berkaitan dengan security update.
Akhirnya setelah melewati perjuangan yang cukup melelahkan, sementara ini peringatan detected virus Net-Worm.Win32.Kido.du tidak muncul lagi. Semoga si Kido bener2 sudah koit dan minggat dari jaringan komputerku. Btw ini aku tambahin list keluarga si Kido :
Net-Worm.Win32.Kido.bw
Net-Worm.Win32.Kido.db
Net-Worm.Win32.Kido.fk
Net-Worm.Win32.Kido.fx
Net-Worm.Win32.Kido.fo
Net-Worm.Win32.Kido.s
Net-Worm.Win32.Kido.dh
Net-Worm.Win32.Kido.ee
Net-Worm.Win32.Kido.gh
Net-Worm.Win32.Kido.fa
Net-Worm.Win32.Kido.gy
Net-Worm.Win32.Kido.ca
Net-Worm.Win32.Kido.by
Net-Worm.Win32.Kido.if
Net-Worm.Win32.Kido.eo
Net-Worm.Win32.Kido.bx
Net-Worm.Win32.Kido.bh
Net-Worm.Win32.Kido.bg
Net-Worm.Win32.Kido.ha
Net-Worm.Win32.Kido.hr
Net-Worm.Win32.Kido.da
Net-Worm.Win32.Kido.dz
Net-Worm.Win32.Kido.cg
Net-Worm.Win32.Kido.eg
Net-Worm.Win32.Kido.eq
Net-Worm.Win32.Kido.bz
Net-Worm.Win32.Kido.do
Net-Worm.Win32.Kido.fw
Net-Worm.Win32.Kido.du
Net-Worm.Win32.Kido.cv
Net-Worm.Win32.Kido.dv
Net-Worm.Win32.Kido.dq
Net-Worm.Win32.Kido.ed
Net-Worm.Win32.Kido.em
Net-Worm.Win32.Kido.bo
Net-Worm.Win32.Kido.bk
Net-Worm.Win32.Kido.bm
Net-Worm.Win32.Kido.cs
Net-Worm.Win32.Kido.ia
Net-Worm.Win32.Kido.gg
Semoga anda tidak bertemu dengan mereka.. Kalau sampai ketemu semoga bisa di bunuh sebelum sempat merusak. Semoga.
Updated On 30 Jan 2009 :
Link KidoKiller V3 : http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.zip
Updated On 06 Feb 2009 :
Link KidoKiller V3.1 http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip
Updated On 23 Mar 2009
Link KidoKiller baru lgsg aja ke situs kaspersky… T.T cape update trs
Nih ada yg dari indonesia, rmoval conficker dari PC-MAV http://pcmav.biz/pcmav-express-for-conficker.html
Fighting My Mind 
thanks..bos..pencerahannya,,
ikut tarung ne berjuang usir kido.du,,hehe
saya juga kena nih
saya pengelola sebuah warnet. di salah satu kompie saya, kaspersky (versi 7.0.1.325) sering muncul notifikasi ada nya worm (kalau gak salah) Net-Worm.Win32.Kido.ih. ini sudah berlangsung kira2 sejak satu minggu yg lalu. tetapi selama itu tidak ada gangguan yg berarti. koneksi ke jaringan lokal maupun internet berlangsung normal2 saja. sedangkan di komputer lain tidak pernah muncul notifikasi seperti ini.
nah pagi ini kompie saya gak bisa nyambung ke jaringan. sebelumnya juga pernah tidak bisa terhubung ke internet tetapi ping ke komputer lokal masih bisa. setelah saya set ulang konfigurasi ip nya, bisa nyambung kembali. nah sekarang saya set ulang tetap saja gak nyambung.
terus saya coba akses ke internet menggunakan kompie lain (masih dlm satu jaringan), hasilnya tidak bisa akses ke websitenya microsoft, kaspersky, symantec, esset atau situs sekuriti lainya. gimana mau download removal / patch, sedangkan akses ke situsnya saja gak bisa.
ada saran?
(ini saya sedang bersiap2 ke warnet lain, lihat2 apakah mengalami hal serupa atau tidak)
@erry
Yukz..bro.. smoga sukses juga. Semangat mengusir penjajah..!! halah
@apaajadeh
Download ditempat lain, di RAR baru diekstract didalam PC. Smoga membantu…
btw.. update KidoKiller (V3) di http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.zip
makasih bro atas penjelasannya.
gw gak nyadar kl kena worm kido ini, taunya ketika pake antivir 😦
btw, kidokiller udah update diversi 3.1
@Slowgeek
Sama2 bro.. thx juga buat info update kidokillernya, dah ak edit post ku.
Mari kita hajar si Kido dimanapun ia berada..
Updated Link http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip (KidoKiller Ver3.1)
thx bro infonya.. mantaaabbb.. 🙂 langsung KO si Kido..
alow…maap kk nanya nih, kan kmaren tuh aku kena virus kido ini trus dah aku bersihin…
kbetulan yg kena tuh laptop aku (laptopku acer>>>biasanya kan ada tombol bwt wifi/bluetoth/volume suara dll)…pdhl dah ddel ama tuh antivirus…(kidonya gt)
tp abis gt kok pas dpencet tombol volume suara/wifi/bluetoth dlayarnya kok g bs kluar keterangan kek biasanya pas sblom kena virus itu yah….
bs tlgin aku g….
trim sblomnya….
@iroel
Seep..bro.. mudah2n emang uda KO, ga cm pura2 KO doang.. 🙂
@adi
Coba aja install ulang driver Acer yang buat hotkey. Mdh2n bisa.. itu cm P3K doang, kalau tetep masi ga bisa perlu diperiksa lbh lanjut, susah klo cm lewat tulisan. Soalnya ada kemungkinan meskipun virus sudah hilang kerusakan yang ditinggalkan permanen ke sistem (harus di benerin secara manual).
tq for penjelasannya…
mo tanya juga bro.. hd external ku kena.. gimana cara bersiinnya tanpa di format (maklum file data smua dan kapasitasnya gede 320gb)
@stan
Sama2 bro, klo mo basmi di harddisk external atau flash disk bisa gunakan antivirus2 baru yg sudah terupdate dan mengenali kido. Bisa juga dengan memakai Kido killer yang dishare diatas. Cara lain yang saya biasa lakukan dgn toolkit Kaspersky AVP Toolkit (gratis) download di http://devbuilds.kaspersky-labs.com/devbuilds/
Kemampuannya sama dgn kaspersky, hanya tidak mendukung realtime scanning sperti versi yang berbayar.
Good luck..
tahnks atas penjelasanya,,,
bagaimana kalo yang di hard disk xternal???
soalnya di komputer gak ke detect tapi di hard disk xternal malahan ada
@apet
Gimana kalau baca keatasnya dulu… kyknya ud
Bro, tanya donk. Singkatnya, saya pas ke website kaspersky (www.kaspersky.co.uk) saya melihat warning:
Virus Alert (warnanya orange)
01.13.09 20:12 MSK
Net-Worm.Win32.Kido Danger: moderate risk
Lalu saya Full Scan dengan Kasperky IS 2009, dan nggak ketemu apa2. Saya pun sampe keliling2 cari removalnya (Kidokiller v 3.32) discan juga ga ada. (tapi banyak access denied-nya)
Nyoba klwk juga ga dapet apa2.. Mungkin ga sih situsnya salah?
So, ada ide?
@lalala
Bro, itu virus alert bukan scan di PCnya anda… tapi pemberitahuan oleh pihak kaspersky tentang ancaman virus yg dirasa sedang mewabah saat itu. Jadi semacam pengumuman bahaya Flu Burung gtu di Indonesia, dan berapa besar ancamannya.. Jadi bkn berarti itu hasil scan diPC yang kemudian ditampilkan disitus…
Tetep jaga update-an KIS anda agar terbebas dari wabah.. wkwkwkw…
Thx..
Bagus nih infonya..
Kmrn tmn pinjem flash disk trus pas dibalikin lgsg gua scan di laptopku, ternyata ter-detected kido.du oleh KAV 2009 (Update Selalu!)
Langsung ada perintah disinfect lanjut ke deleted
Apa kido-nya udah benar2 hilang ya?
Pas aku jalankan kidokiller jg ga muncul notification apa2
ane dah bc ktrgn nte soal kido,ane jg kena malahan bisocam di zyrex ane g kedetek sm skl pdahal dah xp udh d install berulang2..ketk di install driver bisonx malahan restart mulu dan tetap tdk trdeteksi..mohon wejanganx bro..thanx before
@santren
Wah biasanya klo ud diinstall ulang dengan metode fresh install (clean instaln/bkn repair) harusnya di systemnya uda bersih dari virus. Tinggal install kidokiller atau removal lain untuk conficker lalu bantai sisa2nya di drive lain.
Mengenai driver tidak terdetek, mungkin file drivernya sendiri ud tercemar virus, coba dicek dulu dgn scanning. Biasanya sih virus sperti ini tidak sampai merusak di level hardware soalnya.
regards,
mksh yo…
akan d coba dulu…
blm parah seh….
tp yo…bikin lemotttttttttttttt T_T
thx buat infonya
iya ni..
ngerepotin.
gara2 kna kido sering putus dari internet. gagal koneksi
Ok deh..sama2 mudah2n ga kena kido lagi ya…
hahaha, inget ane dulu pas lagi disekolahan, pelajaran TIK
mau buka situs lambat bgt…koneksinya juga sering putus – putus 😦
trus w buka KK ( Kido Cleaner ) setelah di scan, koneksi inet jadi lancar 😀
kebayangan bro, jaringan universitas gw kena, untuk membersihkannya kan harus matikan total jaringannya, hampir mustahil dilakukan di satu jaringan yang ada dibeberapa fakultas yang terintegrasi jadi 1. jadi bisanya masing2 orang pasang kaspersky. jadi kidonya masih ada diantara kompi2 tersebut yang belum ada kasperskynya . pusing gw. untuk beli kasperskynya aja anggarannya tidak kecil. ada ide brotherku?