[atekbl]- [Fwd: [vaksin.com] Virus Kantuk yang membuat korbannya "insomnia"]

Thu, 27 Apr 2006 23:31:55 -0700



-------- Original Message --------

W32.Kang.O       27 April 2006

Virus Kantuk yang membuat korbannya "insomnia"

 

     Komputer saya terkena virus Kantuk, mohon bantuannya. Begitu bunyi salah email di beberapa mailing list sejak akhir Maret 2006. Karena virus ini belum pernah diketahui, maka beramai-ramai member milis yang menyarankan agar komputernya dikasih minum kopi saja, suruh tidur siang sampai makan cabe. Ada juga yang "baik hati" menyarankan untuk menggunakan OS lain yang dipromosikan bebas virus dan ditambahi bonus Gratis lagi. Namun pertanyaan sebenarnya yang belum terjawab, sebenarnya ada tidak sih virus Kantuk dan kalau ada sebenarnya makhluk apa itu ? Menurut catatan Vaksincom, virus Kantuk sebenarnya adalah varian Kangen yang sudah wara wiri sejak Maret 2006. Disebut virus kantuk karena ia membuat file pada komputer korbannya dengan nama kantuk.exe (seperti biasanya akan terlihat sebagai file kantuk dengan icon MS Word).

 

Selain virus Rontokbro [Brontok] ada satu virus yang sempat “menyebar” dan ciri utama dari virus ini adalah melakukan perubahan pada file “Office” dan selalu mengusung tema “cinta”, W32/Kang.O namanya. Berbeda dengan virus Rontokbro, kangen hanya menyebar menggunakan media UFD, FDD dan file sharing. Kang.O akan membuat file duplikat sesuai dengan file yang disembunyikan dan file yang menjadi sasaran dari virus kangen adalah MS Word. Sebenarnya file MS Word tersebut tidak akan dihapus tetapi hanya disembunyikan saja dan Anda dapat mengembalikan file tersebut [file yang disembunyikan] dengan menggunakan perintah “attrib –s –h c:\*.doc /s “ dari Dos Prompt.

 

Dari sekian varian kangen, ada satu jenis varian yang benar-benar jahat, dia [kangen] tidak hanya menyembunyikan data [MS Word] tetapi juga akan menghapus data [MS Word] tersebut, jika hal ini sudah terjadi file yang sudah dihapus akan sulit untuk di recovery. Beberapa korban virus ini sampai menyumpahi agar pembuat virus ini tetap miskin.

 

Selain Kangen.M ada satu jenis varian kangen yang “masih” tetap bermain-main dengan Office, kali ini ia tidak akan menyembunyikan “file office” [seperti yang dilakukan oleh varian sebelumnya] tetapi dengan memindahkan file asli MS Word ke salah satu folder yang telah ditentukan dan membuat 2 file duplikat, yakni :

 

  • File pertama mempunyai ciri-ciri

    • Ukuran file 56 KB

    • Ekstensi file .EXE

    • Type file “application”

 

  • File yang ke dua mempunyia ciri-ciri

    • Ukuran file sesuai dengan file asli

    • Ekstension file .ZIP

    • Type “Winzip file”

 

Dari hasil pengujian virus ini tidak akan membuat file duplikat pada “Lokal Disk” tetapi hanya pada Disket/USB. Dengan up-date terbaru Norman Virus Control mendeteksi sebagai W32/Kang.O atau lebih sering disebut Virus Kantuk [karena virus ini akan membuat file bernama kantuk.exe]

Untuk mengelabui user, Kang.O akan menggunakan icon MS Word, dan mempunyai type file sebagai “application” serta mempunyai ukuran sebesar 56 KB, perhatikan gambar 1 di bawah

 

Gambar 1, File induk W32/kangen.O

 

Jika anda menjalankan file yang terinfeksi Kang.O maka ia akan menampilkan satu aplikasi MS Word yang berisi text berikut (Gambar 2) :

 

Gambar 2, Teks MS Word yang ditampilkan virus Kantuk

 

Setelah itu ia akan membuat file induk yang akan dijalankan pertama setiap kali komputer dinyalakan, yakni

 

  • C:\Windows\system32

    • system

 

Selain itu Kang.O juga akan membuat file kantuk.exe pada direktori

  • Drive C:\ atau D:\

  • C:\Documents and Settings\%user%\Local Settings\Temp

 

Sebagai penunjang Kang.O akan membuat string pada registry editor untuk menjalankan file tersebut

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • LoadService

    • SymRun

 

Selain itu Kang.O juga akan membuat “dua” option pada tabulasi Startup [MSconfig]

  • System

  • Microsoft Windows system run

 

Disable Registry Editor

Rupanya pembuat virus tidak dapat melepaskan kebiasaan lama dalam setiap aksi yang dilakukannya, karena memang kebiasaan adalah sesuatu yang susah untuk diubah, begitupun dengan virus ini dimana ia akan mencoba untuk mempertahankan keberadaannya dengan mematikan sejumlah program yang dimungkinkan dapat memperpendek usia mereka (virus) salah satunya dengan mematikan fungsi registry Editor dengan menambahkan string pada registri editor

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

    • DisableRegistryTools=1

 

Sehingga jika user mencoba untuk menjalankan fungsi ini maka akan muncul pesan error, seperti terlihat pada gambar 3 dibawah ini:

 

Gambar 3, Registry editor akan didisable oleh W32/Kang.O

 

Kang.O tidak menonaktifkan “msconfig” dan “task manager”, tetapi “hebat” nya file induk yang sedang aktif di memori tidak dapat dimatikan melalui “task manager”, sehingga diperlukan cara lain untuk mematikan file tersebut, anda dapat menggunakan perintah taskkill atau menggunakan tools lain [seperti proccexp/pocket killbox] untuk menghentikan proses file tersebut.

 

DISKET/UFD/File Sharing

Seperti pada varian sebelumnya virus ini juga akan menyebar melalui disket/UFD, dimana virus ini akan menyimpan / mengkopikan satu buah file dengan nama kantuk.exe, file ini mempunyai ukuran 56 kb dengan icon MS Word, selain melalui disket/UFD virus ini juga dapat menyebar melalui file sharing dengan terlebih dahulu menjalankan file yang telah terinfeksi, untuk menyebar melalui file sharing virus ini akan menggunakan rekayasa sosial dari pengguna komputer, dimana setting default dari windows adalah menyembunyikan ekstensi dari file tersebut.

 

Memindahkan file MS Word

Jika pada varian sebelumnya kangen akan menyembunyikan file MS Word kemudian untuk mengelabui user supaya menjankan dirinya, kangen akan membuat file duplikat sesuai dengan nama file yang disembunyikan dan Icon MS Word.

 

Rupanya kangen.O juga belajar dari pengalaman, bahwa user biasanya akan menghapus semua file yang ada di direktori TMP, karena apa yang mereka [user] tahu bahwa setiap file yang ada di TMP adalah file sampah yang tidak dibutuhkan lagi, tetapi kangen.O rupanya memanfaatkan celah tersebut sehingga user tidak mengira bahwa file asli mereka ada dalam folder tersebut [TMP], maka jika anda tidak hati-hati file penting anda akan hilang/terhapus.

 

Kangen.O akan berusaha untuk memindahkan  file ”MS Word” yang ada di Disket/USB ke direktori :

  • C:\Documents and Settings\%user%\Local Settings\Temp [Win NT/2000/XP/2003]

  • C:\Windows\temp [Win 9x/ME]

 

Kemudian untuk mengelabui pengguna komputer menjalankan dirinya, Kangen.O akan membuat 2 file duplikat sesuai dengan file yang dipindahkan, dengan ciri-ciri :

  • File pertama mempunyai ciri-ciri

    • Ukuran file 56 KB

    • Ekstensi file .EXE

    • Type file “application”

 

  • File yang ke dua mempunyia ciri-ciri

    • Ukuran file sesuai dengan file asli

    • Ekstensi file .ZIP

    • Type “Winzip file”

 

Jika Anda mencoba mencoba untuk membuka file duplikat [yang mempunyai ext. ZIP] maka akan muncul pesan berikut (gambar 4) :

 

Gambar 4, pesan yang muncul jika file Zip Kantuk di buka

 

Dari hasil pengujian Lab Vaksincom, Kang.O hanya akan  memindahkan file yang ada di UFD/FDD saja dan tidak menyentuh data yang ada pada hardisk lokal. (Lihat gambar 5)

 

Gambar 5, Conroh file virus KAntuk yang berukuran 56 KB.

 

Cara mengatasi W32/Kang.O

Jika anda belum menggunakan Norman Virus Control yang sudah mendeteksi virus ini sejak Maret 2006 dan antivirus yang Anda install belum dapat mengenali virus ini, ikuti langkah pembersihan berikut:

 

  1. Matikan proses file system.exe

Bagi Anda yang menggunakan Windows XP/Server 2003 dapat menggunakan perintah “taskkill” untuk mematikan proses tersebut.

Untuk mematikan proses dengan menggunakan perintah taskkill, caranya adalah

  • Klik [Start] [Run]

  • Ketik [cmd]

  • Matikan proses ”system.exe” dengan menggunakan perintah Taskkill dengan mengetikkan [taskkill /f /im system.exe], dan tekan enter

 Atau Anda dapat menggunakan tools freeware seperti Pocket killbox. Tools ini dapat di download di alamat:

 http://www.bleepingcomputer.com/files/killbox.php

Cara menggunakannya:

  • ·         Jalankan Killbox.exe  pada komputer yang terinfeksi virus

  • ·         Cari proses system.exe pada kolom [system prosess]

  • ·         Kemudian isi lokasi file tersebut pada kolom [Full path file of file to delete]

C:\Windows\system32\system.exe

  • ·         Setelah itu klik [delete file] pada tanda gambar silang merah

  1. Hapus file yang dibuat oleh virus

·         System.exe pada direktori C:\windows\system32 [jika ditemukan]

  1. Hapus semua registry key yang dibuat oleh virus

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • LoadService

    • SymRun

Untuk lebih cepatnya, copy script dibawah ini pada notepad, kemudian simpan sebagai [Save As] "repair.inf", kemudian jalankan file tersebut.

    • Klik kanan repair.inf

    • Klik [install]


[Version]

Signature="$Chicago$"

Provider=Vaksincom

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

 

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, LoadService

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SymRun

  1. Hapus option pada msconfig pada menu [startup]

    • System

    • Microsoft Windows system run

  1. Hapus 2 file duplikat yang dibuat kangen.O dengan ciri-ciri:

    • File pertama mempunyai ciri-ciri

·         Ukuran file 56 KB

·         Ekstension file .EXE

·         Type file “application”

    • File yang ke dua mempunyia ciri-ciri

·         Ukuran file sesuai dengan file asli

·         Ekstension file .ZIP

·         Type “Winzip file”

  1. Kembalikan file yang pernah di pindahkan oleh Kang.O [jika anda beruntung data anda akan dapat dikembalikan], Cari data-data tersebut didirektori

    • C:\Documents and Settings\%user%\Local Settings\Temp [Win NT/2000/XP/2003]

    • C:\Windows\temp [Win 9x/ME]

Catatan:
File tersebut tidak akan di sembunyikan [hidden]

  1. Untuk pembersihan secara optimal, gunakan antivrus yang sudah mengenali virus ini dengan baik. (AJT)

 

Adang Juhar Taufik

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Email : [EMAIL PROTECTED]

 



-- 
------------------------------------------------------------------------
 http://aboen.or.id - BSD051246
 gtalk	: aboenx
 ym	: aboenc
------------------------------------------------------------------------

Kirim email ke