Me VS Mr.Net-Worm.Win32.Kido.du


Perlu ditulis tentang ini, report pertarunganku melawan si Kido yang menjengkelkan dan merepotkan. Belum lama ini aku terpaksa harus bertemu dengan si Kido ini yang sudah merusak jaringan dan komputer di kantor dan warnetku. Sampai berujung pada IP public di banned oleh DALNET sehingga tidak bisa lagi dipake untuk chat MIRC selama seminggu.. hikz.. awas kmu Kido!!…

Siapakah Kido? Hmm itu cuma nama panggilan sebuah malware di komputer, lebih tepatnya tipe worm tapi klo awam komputer biasanya nyebutnya Virus (g peduli mo worm, trojan, malware, adware, spyware pokoe virus…). Kalo yang terdetek di tempatku namanya Net-Worm.Win32.Kido.du (detected by KAV) kalo antivirus lain mungkin detectnya juga nama yg berbeda.

Masi sodara ma yg namanya Win32/Conficker atau W32.Downadup. Mereka ini para keluarga malware yang mengeksploit kelemahan sistem windows Server service seperti dibahas di sini. Server disini bukan tipe Windowsnya yang Server (kenyataan XP dan Vista jg kena), melainkan nama sebuah layanan (service) di keluarga windows yg terkait dengan sebuah service lainnya yg bernama Computer Browser.

Dah kalo ada yang bingung coba aja pencet Ctrl+Alt+Del trus liat salah satu service bernama SVCHOST.EXE, itulah si service server yg dirusak sama keluarga malware ini. Langsung aja deh gejala kerusakan :

  1. Jaringan lemot, ya iya lah.. soalnya si kido lagi sibuk kirim2 copy dirinya ke semua pc dalam jaringan. Ud gitu nyoba bobolnya pake bruteforce lagi biar bisa masuk ke PC yang ada passwordnya, tapi kalau ada share public bisa langsung copy aja.. so, jelas aja jalur jadi padat dan koneksi jadi megap-megap.
  2. Ga bisa buka MyNetworkPlace/Workgroup. Sama aja soalnya SVCHOSTnya kan uda di rusakin sm si virus. Kadang sampe tewas service Servernya. Kalaupun hidup itu udah disusupi oleh si Kido.
  3. Sering muncul peringatan Generic Host For Win32 Service.. Nah lho ini bukan nama virus, ini laporan dari sistem windows yang menyatakan bahwa ada kerusakan pada servicenya. Jadi jgn diganti namanya jd virus Generic Host, soalnya itu cuma after effect bukan penyebab kerusakan.
  4. Bikin service baru dengan nama random misal msgknqd, bisa dicek dari Start>Run>services.msc. Descriptionnya kembar sama service Server (Svchost) yakni : Supports file, print, and named-pipe sharing over the network for this computer. If this service is stopped, these functions will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start. Di tempatku ada 5 service dengan nama random yang punya description serupa.
  5. Opsi show hidden files and folders di Folder Option dari Windows Explorer selalu gagal diaktifkan. Kalaupun nampak bisa diklik namun kalau dicek kembali pasti sudah kembali ke pilihan do not show hidden files and folders.

Sebenernya kalo ditelusuri eksploitasi service network sistem windows itu udah dari jaman dulu, salah satu casenya yang cukup santer terdengar adalah Blaster. Pihak Microsoft sudah berusaha memperbaiki dengan update patch melalui windows update, sayang ga semua orang mau dan bisa mengupdate. Lagian si tukang bikin virus juga ada aja ide barunya untuk mencari hole keamanan di sistem Windows meskipun seribukali di patch. (Ga ada yg sempurna di dunia ini bro..)

Next.. cara remove yang uda aku lakuin (diambil dari sini. Meskipun mereka berbeda tapi si Kido dan Conficker cara kerjanya mirip, jadi cara membasminya jg mirip2 deh. Langkah2nya sbb :

  1. Test bersihin pake MSRT (Malicious Software Removal Tools) dari microsoft di http://support.microsoft.com/kb/890830
  2. Kalo masi gagal juga bersihinnya, coba pake removal tools Kaspersky KidoKiller yang petunjuk download dan pemakaiannya dapat dilihat di http://support.kaspersky.com/faq/?qid=208279973
  3. Apa?? Masih gagal juga?.. mari kita menyerah saja…
  4. Just kidding, masi banyak jalan.. cuma agak ribet aja. Dan itulah yang saya alami.. lewat jalan diatas si Kido masi bisa balik lagi dan bahkan merusak lebih parah lagi sampai jaringan local down.
  5. Untuk cara manualnya bisa dilihat disini http://support.microsoft.com/kb/962007
  6. Tips tambahan, kalo mau melakukan proses removal, matikan dulu sementara service Server dan isolasi PC Korban dari jaringan local. Misalnya dengan mencabut kabel LANnya atau disconnect dari Wireless Hotspot. Ini untuk memastikan selama proses perbaikan tidak ada kiriman virus lagi melalui jaringan.
  7. Kalau udah sembuh rajin2 lah patch Windows anda, terutama yang berkaitan dengan security update.

Akhirnya setelah melewati perjuangan yang cukup melelahkan, sementara ini peringatan detected virus Net-Worm.Win32.Kido.du tidak muncul lagi. Semoga si Kido bener2 sudah koit dan minggat dari jaringan komputerku. Btw ini aku tambahin list keluarga si Kido :

Net-Worm.Win32.Kido.bw
Net-Worm.Win32.Kido.db
Net-Worm.Win32.Kido.fk
Net-Worm.Win32.Kido.fx
Net-Worm.Win32.Kido.fo
Net-Worm.Win32.Kido.s
Net-Worm.Win32.Kido.dh
Net-Worm.Win32.Kido.ee
Net-Worm.Win32.Kido.gh
Net-Worm.Win32.Kido.fa
Net-Worm.Win32.Kido.gy
Net-Worm.Win32.Kido.ca
Net-Worm.Win32.Kido.by
Net-Worm.Win32.Kido.if
Net-Worm.Win32.Kido.eo
Net-Worm.Win32.Kido.bx
Net-Worm.Win32.Kido.bh
Net-Worm.Win32.Kido.bg
Net-Worm.Win32.Kido.ha
Net-Worm.Win32.Kido.hr
Net-Worm.Win32.Kido.da
Net-Worm.Win32.Kido.dz
Net-Worm.Win32.Kido.cg
Net-Worm.Win32.Kido.eg
Net-Worm.Win32.Kido.eq
Net-Worm.Win32.Kido.bz
Net-Worm.Win32.Kido.do
Net-Worm.Win32.Kido.fw
Net-Worm.Win32.Kido.du
Net-Worm.Win32.Kido.cv
Net-Worm.Win32.Kido.dv
Net-Worm.Win32.Kido.dq
Net-Worm.Win32.Kido.ed
Net-Worm.Win32.Kido.em
Net-Worm.Win32.Kido.bo
Net-Worm.Win32.Kido.bk
Net-Worm.Win32.Kido.bm
Net-Worm.Win32.Kido.cs
Net-Worm.Win32.Kido.ia
Net-Worm.Win32.Kido.gg

Semoga anda tidak bertemu dengan mereka.. Kalau sampai ketemu semoga bisa di bunuh sebelum sempat merusak. Semoga.

Updated On 30 Jan 2009 :

Link KidoKiller V3 : http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.zip

Updated On 06 Feb 2009 :

Link KidoKiller V3.1 http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip

Updated On 23 Mar 2009

Link KidoKiller baru lgsg aja ke situs kaspersky… T.T cape update trs

Nih ada yg dari indonesia, rmoval conficker dari PC-MAV http://pcmav.biz/pcmav-express-for-conficker.html

  1. thanks..bos..pencerahannya,,
    ikut tarung ne berjuang usir kido.du,,hehe

    • apaajadeh
    • January 31st, 2009

    saya juga kena nih

    saya pengelola sebuah warnet. di salah satu kompie saya, kaspersky (versi 7.0.1.325) sering muncul notifikasi ada nya worm (kalau gak salah) Net-Worm.Win32.Kido.ih. ini sudah berlangsung kira2 sejak satu minggu yg lalu. tetapi selama itu tidak ada gangguan yg berarti. koneksi ke jaringan lokal maupun internet berlangsung normal2 saja. sedangkan di komputer lain tidak pernah muncul notifikasi seperti ini.

    nah pagi ini kompie saya gak bisa nyambung ke jaringan. sebelumnya juga pernah tidak bisa terhubung ke internet tetapi ping ke komputer lokal masih bisa. setelah saya set ulang konfigurasi ip nya, bisa nyambung kembali. nah sekarang saya set ulang tetap saja gak nyambung.

    terus saya coba akses ke internet menggunakan kompie lain (masih dlm satu jaringan), hasilnya tidak bisa akses ke websitenya microsoft, kaspersky, symantec, esset atau situs sekuriti lainya. gimana mau download removal / patch, sedangkan akses ke situsnya saja gak bisa.

    ada saran?

    (ini saya sedang bersiap2 ke warnet lain, lihat2 apakah mengalami hal serupa atau tidak)

  2. @erry
    Yukz..bro.. smoga sukses juga. Semangat mengusir penjajah..!! halah

    @apaajadeh
    Download ditempat lain, di RAR baru diekstract didalam PC. Smoga membantu…

    btw.. update KidoKiller (V3) di http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.zip

  3. makasih bro atas penjelasannya.
    gw gak nyadar kl kena worm kido ini, taunya ketika pake antivir😦

    btw, kidokiller udah update diversi 3.1

  4. @Slowgeek

    Sama2 bro.. thx juga buat info update kidokillernya, dah ak edit post ku.
    Mari kita hajar si Kido dimanapun ia berada..

    Updated Link http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip (KidoKiller Ver3.1)

  5. thx bro infonya.. mantaaabbb..🙂 langsung KO si Kido..

    • adi
    • February 7th, 2009

    alow…maap kk nanya nih, kan kmaren tuh aku kena virus kido ini trus dah aku bersihin…
    kbetulan yg kena tuh laptop aku (laptopku acer>>>biasanya kan ada tombol bwt wifi/bluetoth/volume suara dll)…pdhl dah ddel ama tuh antivirus…(kidonya gt)
    tp abis gt kok pas dpencet tombol volume suara/wifi/bluetoth dlayarnya kok g bs kluar keterangan kek biasanya pas sblom kena virus itu yah….
    bs tlgin aku g….
    trim sblomnya….

  6. @iroel
    Seep..bro.. mudah2n emang uda KO, ga cm pura2 KO doang..🙂

    @adi
    Coba aja install ulang driver Acer yang buat hotkey. Mdh2n bisa.. itu cm P3K doang, kalau tetep masi ga bisa perlu diperiksa lbh lanjut, susah klo cm lewat tulisan. Soalnya ada kemungkinan meskipun virus sudah hilang kerusakan yang ditinggalkan permanen ke sistem (harus di benerin secara manual).

    • stan
    • February 11th, 2009

    tq for penjelasannya…
    mo tanya juga bro.. hd external ku kena.. gimana cara bersiinnya tanpa di format (maklum file data smua dan kapasitasnya gede 320gb)

  7. @stan
    Sama2 bro, klo mo basmi di harddisk external atau flash disk bisa gunakan antivirus2 baru yg sudah terupdate dan mengenali kido. Bisa juga dengan memakai Kido killer yang dishare diatas. Cara lain yang saya biasa lakukan dgn toolkit Kaspersky AVP Toolkit (gratis) download di http://devbuilds.kaspersky-labs.com/devbuilds/

    Kemampuannya sama dgn kaspersky, hanya tidak mendukung realtime scanning sperti versi yang berbayar.

    Good luck..

    • apet
    • February 13th, 2009

    tahnks atas penjelasanya,,,
    bagaimana kalo yang di hard disk xternal???
    soalnya di komputer gak ke detect tapi di hard disk xternal malahan ada

  8. @apet
    Gimana kalau baca keatasnya dulu… kyknya ud

    • lalala
    • February 28th, 2009

    Bro, tanya donk. Singkatnya, saya pas ke website kaspersky (www.kaspersky.co.uk) saya melihat warning:

    Virus Alert (warnanya orange)
    01.13.09 20:12 MSK
    Net-Worm.Win32.Kido Danger: moderate risk

    Lalu saya Full Scan dengan Kasperky IS 2009, dan nggak ketemu apa2. Saya pun sampe keliling2 cari removalnya (Kidokiller v 3.32) discan juga ga ada. (tapi banyak access denied-nya)
    Nyoba klwk juga ga dapet apa2.. Mungkin ga sih situsnya salah?

    So, ada ide?

    • @lalala
      Bro, itu virus alert bukan scan di PCnya anda… tapi pemberitahuan oleh pihak kaspersky tentang ancaman virus yg dirasa sedang mewabah saat itu. Jadi semacam pengumuman bahaya Flu Burung gtu di Indonesia, dan berapa besar ancamannya.. Jadi bkn berarti itu hasil scan diPC yang kemudian ditampilkan disitus…

      Tetep jaga update-an KIS anda agar terbebas dari wabah.. wkwkwkw…

      Thx..

    • jayzinc
    • March 13th, 2009

    Bagus nih infonya..

    Kmrn tmn pinjem flash disk trus pas dibalikin lgsg gua scan di laptopku, ternyata ter-detected kido.du oleh KAV 2009 (Update Selalu!)

    Langsung ada perintah disinfect lanjut ke deleted

    Apa kido-nya udah benar2 hilang ya?

    Pas aku jalankan kidokiller jg ga muncul notification apa2

    • santren
    • March 17th, 2009

    ane dah bc ktrgn nte soal kido,ane jg kena malahan bisocam di zyrex ane g kedetek sm skl pdahal dah xp udh d install berulang2..ketk di install driver bisonx malahan restart mulu dan tetap tdk trdeteksi..mohon wejanganx bro..thanx before

  9. @santren
    Wah biasanya klo ud diinstall ulang dengan metode fresh install (clean instaln/bkn repair) harusnya di systemnya uda bersih dari virus. Tinggal install kidokiller atau removal lain untuk conficker lalu bantai sisa2nya di drive lain.

    Mengenai driver tidak terdetek, mungkin file drivernya sendiri ud tercemar virus, coba dicek dulu dgn scanning. Biasanya sih virus sperti ini tidak sampai merusak di level hardware soalnya.

    regards,

    • yey
    • March 23rd, 2009

    mksh yo…
    akan d coba dulu…
    blm parah seh….
    tp yo…bikin lemotttttttttttttt T_T

    • _fhy-23
    • April 14th, 2009

    thx buat infonya
    iya ni..
    ngerepotin.
    gara2 kna kido sering putus dari internet. gagal koneksi

    • richardyusan
    • September 18th, 2010

    hahaha, inget ane dulu pas lagi disekolahan, pelajaran TIK
    mau buka situs lambat bgt…koneksinya juga sering putus – putus😦

    trus w buka KK ( Kido Cleaner ) setelah di scan, koneksi inet jadi lancar😀

    • cape dech
    • November 18th, 2010

    kebayangan bro, jaringan universitas gw kena, untuk membersihkannya kan harus matikan total jaringannya, hampir mustahil dilakukan di satu jaringan yang ada dibeberapa fakultas yang terintegrasi jadi 1. jadi bisanya masing2 orang pasang kaspersky. jadi kidonya masih ada diantara kompi2 tersebut yang belum ada kasperskynya . pusing gw. untuk beli kasperskynya aja anggarannya tidak kecil. ada ide brotherku?

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: