----- Original Message -----
From: "khochi" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Thursday, June 01, 2000 5:06 AM
Subject: [MIKRODATA] minta penjelasan
> hallo.....
> saya ada masalah dengan OS windows 98 plus. akhir-akhir ini kalo saya
start
> computer saya (setelah selesai loading windows) keluar warning box (bukan
> error box) dengan judul 'Driver Memory Error' dan di dalam box tertulis
> message 'Kagou-Anti-Kro$oft says not today' dan di bawahnya ada button
'OK'.
Sedikit saya infokan penjelasan pembasmian virus dari Mr Eric Tapan...
NAME: Kak
ALIAS: Wscript.KakWorm, KakWorm
WScript.KakWorm merupakan virus yang melekat pada mail yang dikirim dari
sistem yang telah terinfeksi. Virus ini ditulis dengan Javascript dan
bekerja pada Windows 95/98 versi Bahasa Inggris dan Perancis.
Virus ini memanfaatkan kerentanan Outlook Express. Pada waktu pengguna
menerima e-mail yang telah terinfeksi (biasanya dalam HTML/Rich Text style)
maka virus ini akan membuat file kak.hta pada direktori Windows Startup.
Saya sendiri menemukan file kak.hta ini pada folder :
C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA
Pada waktu kita reboot komputer kita setelah file kak.hta ini sudah ada
dalam sistem kita, maka virus ini mengcopy file c:\autoexec.bat kita menjadi
c:\ae.kak dan membuat file c:\autoexec.bat baru dengan tambahan 2 baris di
akhir file tersebut yang tulisannya sebagai berikut :
@echo off>C:\Windows\STARTM~1\Programs\Startup\kak.hta
del C:\Windows\STARTM~1\Programs\Startup\kak.hta
Kemudian signature kita di Outlook Express 5.0 akan direplace dengan
signature yang telah terinfeksi file kak.htm.
Setelah kejadian ini, secara tak sadar jadilah kita penyebar virus Kak ini,
melalui e-mail yang kita kirim ke rekan-rekan kita.
Jeleknya, kerja virus ini bukan hanya sampai disitu saja.
Registri kitapun diobrak-abrik.
Dengan memodifikasi registri maka virus ini akan bekerja setiap kita memboot
/ menjalankan komputer kita.
Kemudian pada hari pertama setiap bulan, jika waktu telah menunjukkan lebih
dari 17:00 (5:00pm) maka virus ini akan menunjukkan kotak peringatan dengan
tulisan :
Kagou-Anit-Kro$oft say not today!
Kemudian virus ini akan membuat komputer Windows kita shut down.
Saya menemukan isi registri saya sbb. :
MyComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Doc Find Spec MRU
Name Data
(Default) (value not set)
a ""
b ""
c "DS32"
d "kok.reg"
e "kak.worm.bat"
f "sendcmt.cgi"
g "gotmale"
h "kak.reg"
i "bworks"
j "body"
MRUList "hadecgbijf
Kemudian file KAK.HTA saya temukan di :
C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA
dan file kak.htm di : C:\Windows\kak.htm
Bagaimana mengdiagnosanya ?
Berikut ini langkah mendiagnosa sekaligus menghapus virus ini dari sistem
Anda.
Periksa file C:\Autoexec.bat PC Anda.
Start | Run | msconfig
kemudian ke tab Autoexec.bat
Lihat apakah sudah ada 2 baris tambahan yang berisi :
@echo off>C:\Windows\STARTM~1\Programs\Startup\kak.hta
del C:\Windows\STARTM~1\Programs\Startup\kak.hta
Jika kedua baris itu sudah ada, maka yang Anda perlu lakukan adalah
menghapus Autoexec.bat kemudian merename file C:\ae.kak menjadi
C:\autoexec.bat.
Untuk melakukan hal ini gunakan perintah dari DOS.
Cari file :
KAK.HTA, jika ketemu segeralah hapus :
C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA
kak.htm, jika ketemu segeralah hapus :
C:\Windows\kak.htm
Obok-obok registri dengan mencari kata kok.reg atau kak.reg.
Bisa juga langsung saja menuju :
MyComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Doc Find Spec MRU
Kemudian hapus segeralah file / karakter yang ada hubungannya dengan kak dan
kok ini di registri tersebut.
Periksa Start up komputer Anda, caranya :
Start | Run | msconfig, kemudian ke tab Startup.
Akan terlihat dua line yang mengandung kata :
- cAgAu
- kak.hta
Uncheck kedua line ini. Jika telah di unchek, langkah selanjutnya adalah
menghilangkan 2 baris ini melalui regedit.
Gunakan fasilitas regedit ke :
HKLM/Software/Microsoft/Windows/CurrentVersion
Cari di bagian Run atau RunService.
Cari karakter kak atau kok atau cAgAu dan hapus.
Dengan menghapus karakter ini maka fasilitas on/off di startupnya jadi
hilang.
Setelah ini selesai dilakukan, bootlah kembali komputer Anda.
Apa yang harus kita lakukan untuk mencegah tertularnya virus ini ?
Upgrade Internet Explorer 5.0 Anda menjadi 5.01.
Updatenya bisa di download di Websitenya Microsoft Internet Explorer atau
membeli Majalah CHIPS edisi 1 Tahun 2000.
Download security patch dari MS Windows
Patch ini bisa didapat gratis di websitenya MS yaitu di :
Internet Explorer Security Area.
Baca teliti petunjuk di page tersebut dan download semua patch-patch sesuai
dengan konfigurasi komputer Anda. Jika hal ini telah dilakukan, maka sewaktu
ada virus sejenis yang menyerang sistem PC Anda, akan muncul warning :
Some software (ActiveX controls) on this page might be unsafe.
It is recommended that you not run it. Do you want to allow it to run ?
(Yes/No)
Kemudian muncul warning lagi (apapun yang kita tekan) :
An ActiveX control on this page is not safe.
Your current security settings prohibit running unsafe controls on this
page.
As a result this page may not display as intended (OK)
Gunakan selalu plain text dalam bere-mail.
Caranya baca tulisan saya mengenai Mailing List di majalah Mikrodata edisi
Januari 2000.
Demikian tulisan singkat saya berdasarkan pengalaman pribadi, jika ada yang
ingin menambahkan atau mengoreksi, dipersilakan.
------------------------------------------------------------------------
[EMAIL PROTECTED] - Mailing List (milis) MIKRODATA
Post message: [EMAIL PROTECTED]
Subscribe : [EMAIL PROTECTED]
Unsubscribe : [EMAIL PROTECTED]
Website : http://mikrodata.co.id
FTPsite : ftp.mikrodata.co.id
Archives : http://www.mail-archive.com/forum%40mikrodata.co.id/
Milis ini menjadi kontribusi rubrik Konsultasi, Klinik Virus, Opini IT,
Klinik Linux, dan Antar Pembaca di MIKRODATA, Info Komputer,
Detikcom (i-Net), KOMPAS Cyber Media (KCM), dan AntiVirus Media.
