jump to navigation

Mengatasi Virus Kangen 10 June 2007

Posted by computeraholic in Uncategorized.
trackback

Kangen

Untuk saat ini varian kangen saja sudah mencapai 9 generasi, yaitu Kangen I. Setelah Kangen ada satu virus lain yang mempunyai karakteristik seperti virus Kangen tetapi mempunyai metode penyerangan yang berbeda yaitu Fawn.A dan dapat di katakan virus Fawn.A lebih “jahat” dibandingkan virus Kangen, karena setiap file duplikat yang dibuat oleh Fawn.A tidak dapat dibuka hal ini berbeda dengan Kangen dimana file yang terinfeksi masih dapat dibuka, sehingga user beranggapan bahwa data mereka telah rusak, walaupun sebenarnya data mereka masih utuh dan hanya disembunyikan saja.

Setelah sekian lama posisi Kangen diduduki oleh Fawn, kini telah muncul varian terbaru dari kangen. Varian kangen ini mempunyai metode yang berbeda dengan varian sebelumnya, dengan ukuran 48 kb dengan icon disamarkan (biasa…akan menggunakan icon ms.word) dan walaupun dibuat dengan menggunakan bahasa Visual Basic virus ini siap membuktikan bahwa dirinya patut diperhitungkan apalagi dengan daya serang yang lumayan ”dahsyat”.

Cinta.., seperti biasanya para pembuat virus selalu mengusung tema cinta dalam kreasinya, begitupun dengan varian ini dimana akan muncul pesan yang isinya antara lain Untuk Yang Tercinta Juwita Ningrum, pesan ini muncul ketika file yang terinfeksi dijalankan, pesan ini disampaikan dari seorang kekasih yang mempunyai inisial helsspawn.

Munculnya pesan tersebut menandakan tamu Anda telah datang dan siap untuk menjalankan niat ”buruknya”.

Untuk memanggil pesan tersebut virus ini akan membuat file dengan nama love.dot pada direktori C:\Mydocuments and settings, jika diperhatikan sebenarnya ada 2 file yang dibuat didirektori tersebut dengan nama love1.dot, jika file love1.dot ini dijalankan maka akan muncul pesan dalam bentuk ms.word.

Seperti pada kebanyakan virus yang beredar, ia akan menyimpan (drop) satu atau beberapa file didirektori tertentu dimana file inilah yang akan dijalankan pertama kali ketika komputer tersebut dinyalakan, begitupun dengan virus ini diamana ia akan membuat file :

  1. Tskmgr.exe pada direktori C:\windows\fonts
  2. Rundll32.exe pada direktori C:\windows
  3. Syslove.exe pada direktori C:\windows\system32
  4. love1.dot dan love.dot pada direktori C:\Documents and settings\
  5. untukmu.exe pada direktori C:\

Semua file tersebut mempunyai ukuran 48 kb dengan icon MS.Word, kecuali untuk file love.dot dan love1.dat yang mempunyai ukuran 1-2 kb dengan type Microsoft Word Template.

Tidak seperti pada kebanyakan virus yang ada dimana biasanya akan membuat dan manjalankan file didirektori C:\windows atau C:\windows\%system%, sedangkan untuk virus ini ia akan menjalankan file yang disimpan pada direktori C:\windows\fonts dengan nama TSKMGR.EXE

Untuk memastikan agar dirinya dapat langsung aktif setiap pertama kali komputer dijalankan, maka akan membuat registry key :

  • local Service
  • Security

Pada registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Selain merubah registry key, virus ini juga akan membuat 2 option pada tabulasi [startup] pada program msconfig dengan nama

  • Witta I Love You
  • Disable Task Manager

Rupanya pembuat virus tidak dapat melepaskan kebiasaan lama dalam setiap aksi yang dilakukannya, karena memang kebiasaan adalah sesuatu yang susah untuk diubah, begitupun dengan virus ini dimana ia akan mencoba untuk mempertahankan keberadaannya dengan mematikan sejumlah program yang dimungkinkan dapat memperpendek usia mereka (virus) salah satunya dengan mematikan fungsi Task Manager, tetapi metode yang digunakan berbeda dengan varian sebelumnya, dimana untuk menonaktifkan fungsi Task Manager virus ini tidak akan menambahkan string pada registry, tetapi dengan menjalankan perintah taskkill /f /im taskmgr.exe /t. Sebenarnya virus ini juga akan berusaha untuk mematikan fungsi regedit dengan menjalankan perintah taskkill /f /im regedit.exe /t, tetapi dari hasil pengujian ternyata hal tersebut tidak berhasil sehingga program registry editor masih bisa digunakan, begitupun dengan fungsi msconfig dimana virus ini juga tidak akan mematikan fungsi Msconfig.

Rupanya virus ini mempunyai niat ”baik” disamping niat ”jahat” dimana virus ini akan menonaktifkan varian sebelumnya dengan mematikan proses winword.exe yang ada di lokasi C:\windows\system32, dengan menggunakan perintah taskkill /f /im winword.exe /t, hal ini dimaksudkan agar virus ini dapat berjalan secara sempurna, rupanya mpunya virus belajar dari apa yang dilakukan para pembuat virus “non lokal”, Anda tentu masih ingat tentang pertempuran antara Netsky dan Bagle walaupun dalam konteks yang berbeda.

DISKET/USB/File Sharing

Seperti pada varian sebelumnya virus ini juga akan menyebar melalui disket/usb, dimana virus ini akan menyimpan/mengcopykan satu buah file dengan nama untukmu.exe, file ini mempunyai ukuran 48 kb dengan icon Ms.word, selain melalui disket/usb virus ini juga dapat menyebar melalui file sharing dengan terlebih dahulu menjalankan file yang telah terinfeksi, untuk menyebar melalui file sharing virus ini akan menggunakan rekayasa sosial dari pengguna komputer, dimana setting default dari windows adalah menyembunyikan extension dari file tersebut.

Merubah volume/nama drive dari suatu Hard Disk

Rupanya tak sampai disitu aksi yang dilakukan oleh varian ini, kali ini ia akan merubah volume atau nama dari suatu Hard Disk , dengan nama CintaKu untuk drive C: dan DEVIL untuk drive D:\, tidak berbahaya memang tetapi tetap saja menggangu.

Menyembunyikan file MS.Word

Seperti yang dilakukan oleh varian sebelumnya, virus ini juga akan menyembunyikan file Ms.Word pada direktori yang sama. Untuk mengelabui pengguna komputer virus ini mempunyai satu trik yang cukup bagus dimana dia akan membuat file duplikat yang sama persis dengan file aslinya yang tentunya didirektori yang sama tetapi mempunyai ext. .DOC.EXE dengan spasi sebanyak 154 kali setelah ext. DOC, Jika option [hide extensions for known files types] pada [folder option] dimatikan, dan option [show hidden files and folders] diaktifkan.

Walaupun ekstensi file di setting untuk tidak dimunculkan tetapi setiap file yang bervirus tetap akan menampilkan ekstension pertama (.DOC), sedangkan untuk ekstension ke dua (.EXE) akan disembunyikan, apalagi type yang ditampilkan adalah “application” jadi lebih mudah untuk megetahui bahwa fle tersebut sebenarnya virus, sedangkan untuk file yang tidak terinfeksi virus extensi dari file tersebut tidak akan ditampilkan.

Jika file yang terinfeksi tersebut berusaha dijalankan maka jangan berharap data yang ingin dilihat akan muncul tetapi Anda akan diantarkan untuk menikmati sebuah kata-kata manis dari seseorang yang mempunyai inisial helsspawn

Apa yang harus dilakukan ?

Jika antivirus yang Anda install belum dapat mengenali virus ini, ikuti langkah pembersihan berikut:

1. Matikan proses file tskmgr.exe
Bagi Anda yang menggunakan Windows XP/Server 2003 dapat menggunakan perintah “taskkill” untuk mematikan proses tersebut.
Untuk mematikan proses dengan menggunakan perintah taskkill, caranya adalah

  1. Klik [Start] [Run]
  2. Ketik [cmd], Matikan proses ”tskmgr.exe” dengan menggunakan perintah Taskkill dengan mengetikkan [taskkill /f /im tskmgr.exe], dan tekan enter
  3. Atau Anda dapat menggunakan tools freeware seperti Pocket killbox (khusunya untuk windows diluar XP/2003 server). Tools ini dapat di download di alamat:http://www.bleepingcomputer.com/files/killbox.php

Cara menggunakannya:

  1. Jalankan Killbox.exe pada komputer yang terinfeksi virus
  2. Cari proses tskmgr.exe pada kolom [system prosess]
  3. Kemudian isi lokasi file tersebut pada kolom [Full path file of file to delete]
  4. C:\Windows\fonts\tskmgr.exe

  5. Setelah itu klik [delete file] pada tanda gambar silang merah

2. Hapus file yang dibuat oleh virus

  1. Tskmgr.exe pada direktori C:\windows\fonts
  2. Rundll32.exe pada direktori C:\windows
  3. Syslove.exe pada direktori C:\windows\system32
  4. love1.dot dan love.dot pada direktori C:\Documents and settings\
  5. untukmu.exe pada direktori C:\

3. Hapus semua registry key yang dibuat oleh virus

  1. local Service
  2. Security

Pada registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. Hapus option pada msconfig pada menu [startup]

  1. Witta I Love You
  2. Tskmgr

5. Tampilkan kembali file MS. WORD yang telah disembunyikan dengan cara:

  1. Klik [Start] [Run]
  2. Ketik [cmd] untuk masuk ke command prompt.
  3. Pada layar command prompt, ketikan perintah “Attrib –s –h c:\*.doc /s” (tanpa tanda kutip)

Catatan:
Jika drive anda lebh dari satu (contoh drive D:\ atau E:\ ), gunakan perintah diatas untuk menampilkan file yang disembunyikan dengan mengganti lokasi drive, contoh “attrib –s –h d:\*.doc /s”.
Jika terdapat nama file yang sama tetapi dengan ext. yng berbeda (file tersebut ada dalam satu folder) dengan salah satu file mempunyai ukuran 48 kb, sebaiknya hapus file tersebut secara manual (ingat !!! jangan sampai Anda salah dalam menghapus file tersebut, hapus file yang mempunyai icon MS. WORD dengan ekstension. Doc.exe dengan ukuran file 48 kb)

Comments»

No comments yet — be the first.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: