Virus Obok-Obok Jaringan Kantor







Harga Handphone, Harga Blackberry, Harga Laptop, Harga Mobil, Harga Motor

DAPATKAN BUKU GRATIS DARI BUKUKITA.COM, CARANYA KLIK DISINI!!!

Belum selesai mempelajari sesuatu yang baru, lagi-lagi virus menyerang kantor. Padahal AntiVirus pada server sudah saya update tiap hari dan setiap client akan otomatis terupdate jika server sudah update.

Dua hari saya disibukkan dan dipusingkan dan harus kerja extra dengan lumpuhnya koneksi jaringan komputer dikantorku, dikarenakan serangan virus, yang memanfaatkan celah keamanan dari Microsoft. Ini terjadi disemua komputer baik itu server maupun client.

Ya mungkin ini juga pelajaran bagi saya yang lupa (red=membela diri) males untuk melakukan patch dan update windows (terlalu banyak komputer).

Tiba-tiba semua komputer baik di kantor area aupun unit muncul
“Generic Host Process for Win32 Services”, Faulting application svchost.exe, version 5.1.2600.2180, faulting module netapi32.dll, version 5.1.2600.2180, fault address 0×0000a3c0.”
eror terjadi di file
WER51f3.dir00svchost.exe.mdmp
TempWER51f3.dir00appcompat.txt

Ternyata bukan cuma di situbondo saja melainkan seluruh kantor sejatim koneksi jaringan down. Gejala lain yang ditimbulkan virus ini adalah virus ini membuat kerja komputer semakin berat dari biasanya.

Seperti dilansir vaksincom

GHP Error akan muncul tiba-tiba dengan pesan “Generic Host Process for Win 32 Services Error“pada saat browsing yang mengakibatkan koneksi internet langsung terputus, meskipun sudah mencoba reset koneksi LAN / Wifi tetap tidak bisa terkoneksi kembali dan koneksi internet hanya bisa normal kembali jika komputer di restart. Tetapi celakanya, hal ini akan berulang lagi beberapa saat kemudian dan frekwensi munculnya sangat mengganggu. Ada pula yang mengeluhkan komputer mendapatkan pesan yang sama dan ketika di scan dengan antivirus tidak mendapatkan virus apapun dan kasus lain yang dilaporkan pada salah satu mailing list bahkan setelah mendapatkan pesan Generic Host Process komputer langsung menolak di instal antivirus.

Patching itu penting
Apapun masalahnya, solusi pertama dan terbaik jika anda menemukan masalah celah keamanan pada komputer anda adalah melakukan patching / penambalan atas celah keamanan Dcom. Jika OS anda ibaratnya adalah benteng yang pintu masuk dan keluarnya dijaga ketat baik oleh program antivirus, celah keamanan ibaratnya ada kelemahan pada tembok benteng yang rapuh dan virus bukan menyerang melalui pintu masuk melainkan masuk dari tembok yang rapuh tersebut.

Program antivirus pada dasarnya tidak di desain untuk menjaga serangan yang mengeksploitasi celah keamanan sehingga secara teknis Operating System komputer yang mengandung celah keamanan dan terproteksi dengan antivirus update terbaru TETAP akan terinfeksi virus sekalipun virus yang menyerang itu sudah terdeteksi oleh program antivirus tersebut, sebab utamanya adalah karena celah keamanan memungkinkan banyak hal, termasuk eksekusi file virus tanpa dapat di intervensi oleh antivirus. Dalam banyak kasus malahan program antivirus kemudian dilumpuhkan oleh virus tersebut. Karena itu, anda sangat disarankan untuk melakukan penambalan celah keamanan RPC Dcom yang terbaru.

Gunakan Firewall
Karena aplikasi Dcom yang sangat luas ini, dalam beberapa kasus masih ditemui komputer yang tetap berhasil dieksploitasi sekalipun sudah di patch. Bahkan menurut laporan yang diterima Vaksincom, Windows XP Service Pack 3 sekalipun tetap mengalami celah keamanan baru tersebut. Pembahasan lebih mendalam untuk celah keamanan RPC Dcom ini akan dilakukan pada artikel berikut. Untuk sementara, guna mengamankan diri anda dari eksploitasi celah keamanan RPC Dcom, Vaksincom menyarankan anda menggunakan Firewall untuk melindungi komputer anda. Adapun port-port yang digunakan untuk menginisiasi koneksi dengan RPC dan perlu anda blok pada firewall anda adalah :

UDP Port 135, 137, 138 dan 445.

TCP Port 135, 139, 445 dan 593

Port-port di atas adalah port yang digunakan untuk menginisiasi koneksi dengan RPC dan eksploitasi celah keamanan RPC dapat dicegah oleh firewall dengan memblok port-port di atas

Ini beberapa Cara untuk mengatasi masalah tersebut
Cara 1
Tutup Port

Cara Menutup port diatas dengan menggunakan registry

Masuk Regedit Backup dulu regstry sebelum melakukan perubahan pada registry anda Secara Umum cari registry: HKLMSOFTWAREMICROSOFTOLE temukan EnableDCOM ; EnableRemoteConnect edit Y atau N (jika tidak ada tambahkan Stringnya).
Kemudian HKLMSOFTWAREMICROSOFTRPCClientProtokols temukan ncacn_ip_tcp ; ncadg_ip_udp buang semua. rpcrt4.dll
HKLMSOFTWAREMICROSOFTRPCDCOMProtokols temukan ncacn_ip_tcp buang. Itu untuk menutup port 135.
kemudian kita lakukan penutupan port 445: HKLMSYSTEMCurrentControlSetServicesNetBTParameters temukan SMBDeviceEnabled Ganti dengan D=Word 00000000 (jika tidak ada tambahkan).

Kesimpulan Bila kita menggunakan Windows registry editor version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle]”EnableDCOM”=”N””EnableRemoteConnect”=”N”
[HKEY_LOCAL_MACHINESystemCurrentControlSetservicesNetBTParameters]”SMBDeviceEnabled”=dword:00000000″

Konsekuensinya jika kita menutup port 135 dan 445 file sharing dan tidak akan berfungsi.

Atau menggunakan Software wwdc
Download di : wwdc

Cara 2
Melakukan patch dan windows hotfix
Untuk Windows XP Minim SP2
WindowsXP-KB894391-x86-ENU
WindowsXP-KB824146-x86-ENU
WindowsXP-KB953155-x86-ENU
WindowsXP-KB954211-x86-ENU
WindowsXP-KB955069-x86-ENU
WindowsXP-KB956803-x86-ENU
WindowsXP-KB956841-x86-ENU
WindowsXP-KB957095-x86-ENU
WindowsXP-KB957097-x86-ENU
WindowsXP-KB958644-x86-ENU

Windows 2003 Minim SP1
WindowsServer2003-KB894391-x86-enu
WindowsServer2003-KB954211-x86-ENU
WindowsServer2003-KB955069-x86-ENU
WindowsServer2003-KB956803-x86-ENU
WindowsServer2003-KB956841-x86-ENU
WindowsServer2003-KB957095-x86-ENU
WindowsServer2003-KB957097-x86-ENU
WindowsServer2003-KB958644-x86-ENU

Untuk melakukan patch usahakan lewat safe mode
cari diregistry dengan key “x.exe” tanpa petik jika ada hapus saja lalu cari file tersebut letaknya berada di c:windowssystem32 setelah ketemu hapus
lalu masuk ke C:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet FilesContent.IE5 hapus semua file yang ada didalam folder ini (file ini hidden) jadi harus pilih show all file dulu pada folder option, setelah itu masuk ke service bisa menggunakan administratif tool atau pake run ketik “services.msc” cari vmwareservices jika ada disable aja. lalu lakukan patch system.setelah selesai restart komputer tsb.

NB :
Saya menggunakan cara kedua, karena semua komputer client masih butuh untuk sharing file, ya mudah-mudahan gak ada masalah lagi, walau belum seluruh komputer selesai dipatch.
Terima kasih untuk teman-teman NOC semua atas sharingnya dan tak lupa juga teman-teman baik di kantor area dan kantor unit atas bantuan melakukan patch system.
Untuk teman-teman di unit maaf masih belum sempat kesana karena masih menyelesaikan patch system disini.

http://inicuma.blogspot.com/2008/12/virus-obok-obok-jaringan-kantor.html

Bagaimana Ramalan Harian, Ramalan Zodiak Harian, Ramalan Mingguan, Zodiak Mingguan, Ramalan Zodiak Mingguan Anda?

Cek Harga HANDPHONE, MOTOR dan Harga Lainnya di www.harganya.com!

Facebook

Twitter