Virus yang satu ini emang bikin runyam, gara-gara virus ini saya mesti kerja keras selama satu minggu lebih membunuh satu persatu PC desktop yang ada dikantor yang jumlahnya lumayan banyak lebih dari 50 unit, alhamdulillah selebihnya sekitar 150 unit lebih sudah digantikan thin client jadi tidak usah mengupdate karena dengan thin client setiap kali kita melakukan restart maupun menyalakan pertama kali system akan kembali ke default system.

Cara kerja virus ini singkatnya seperti ini:

1. Mencoba menginfeksi semua komputer yg ada dalam satu jaringan dengan cara membroadcast virusnya, walhasil akan membuat trafik network menjadi lambat

2. Virus akan mencoba mengaktifkan kembali dirinya setelah dimatikan dengan cara memanggil salah satu komputer yg telah terinfeksi dan dijadikan host servernya. Oleh karena itu sangat sulit memberantasnya jika kita belum menemukan komputer yg dijadikan sebagai host virusnya.

3. Virus akan mencoba menggunakan semua account yg ada dengan menggunakan beberapa weak password yg ada pada dirinya untuk membuka share folder.  Kalau password yg telah diterapkan dijaringan domain sudah kombinasi tidak menjadi masalah, tetapi jika kita terapkan policy di domain apabila setiap user salah memasukkan password beberapa kali kemudian system mengunci  account nya walhasil kita akan selalu di telepon oleh user yg minta untuk  membuka account nya (unlock)

Untuk mengetahui lebih detil tentang virus ini bisa dilihat disini

Tidak lengkap rasanya kalau saya hanya mengulas virus ini, tapi tidak disertakan penanganannya. Untuk itu saya ingin berbagi  berdasarkan pengalaman saya menangani virus ini dan ada tool khusus untuk mengetahui komputer mana yg telah terinfeksi jadi kita tidak perlu keliling ataupun menerka satu persatu komputer tapi cukup isolasi komputer yg terinfeksi di jaringan. Entah berapa lama lagi waktu yg harus saya keluarkan kalau tidak ada tool ini.

Cara menghapus virusnya :

1. Scan semua komputer di jaringan anda dengan tools ini (catatan: tool ini tidak bisa mendeteksi jika kondisi  firewall di komputer aktif)

2. Jika sudah ditemukan komputer yg terinfeksi, segera update windows dengan patch ini, WindowsXP-KB958644-x86-ENU(MS08-067)WindowsXP-KB957097-x86-ENU(MS08-068) , WindowsXP-KB958687-x86-ENU(MS09-001). Di banyak situs-situs lain hanya menyarankan untuk mengupdate dengan patch yg pertama saja, tetapi dari penelusuran saya sewaktu googling sebaiknya ketiga patch diatas dilakukan karena dikhawatirkan akan muncul variant baru dari virus ini yg akan bisa menginfeksi kembali komputer anda. Setiap melakukan patch setiap kali sebaiknya direstart terlebih dahulu

3. Pastikan  System Restore dari  System Properties sudah dimatikan agar virus tidak bisa merecover kembali dirinya.

4.  Setelah terpatch semuanya silakan gunakan beberapa tool ini atau Windows Malicious Software Removal Tool terakhir saat ini untuk memeriksa komputer anda,  pastikan melakukannya jangan bersamaan tapi satu persatu dan lakukan restart sebelumnya. Karena dari pengalaman saya terkadang virus masih bersarang walaupun virus sudah terdeteksi dan di delete oleh tool tersebut.

Selamat berjuang……