W32.Kangen.I Detail and how to remove
Kangen, ........ pasti anda kenal dengan virus yang satu ini, virus ini sempat membuat heboh para pengguna komputer hal ini dibuktikan dengan banyaknya laporan yang diterima oleh Vaksincom baik melalui email, telepon, millis Vaksincom maupun Forum tanya jawab virus http://forum.vaksin.com <http://forum.vaksin.com/> . Untuk saat ini varian kangen saja sudah mencapai 9 generasi, yaitu Kangen I. Setelah Kangen ada satu virus lain yang mempunyai karakteristik seperti virus Kangen tetapi mempunyai metode penyerangan yang berbeda yaitu Fawn.A dan dapat di katakan virus Fawn.A lebih "jahat" dibandingkan virus Kangen, karena setiap file duplikat yang dibuat oleh Fawn.A tidak dapat dibuka hal ini berbeda dengan Kangen dimana file yang terinfeksi masih dapat dibuka, sehingga user beranggapan bahwa data mereka telah rusak, walaupun sebenarnya data mereka masih utuh dan hanya disembunyikan saja. Setelah sekian lama posisi Kangen diduduki oleh Fawn, kini telah muncul varian terbaru dari kangen. Varian kangen ini mempunyai metode yang berbeda dengan varian sebelumnya, dengan ukuran 48 kb dengan icon disamarkan (biasa...akan menggunakan icon ms.word) dan walaupun dibuat dengan menggunakan bahasa Visual Basic virus ini siap membuktikan bahwa dirinya patut diperhitungkan apalagi dengan daya serang yang lumayan "dahsyat". Cinta.., seperti biasanya para pembuat virus selalu mengusung tema cinta dalam kreasinya, begitupun dengan varian ini dimana akan muncul pesan yang isinya antara lain Untuk Yang Tercinta Juwita Ningrum, pesan ini muncul ketika file yang terinfeksi dijalankan, pesan ini disampaikan dari seorang kekasih yang mempunyai inisial helsspawn. (lihat Gambar 1) Gambar 1, Surat Cinta yang muncul pada komputer yang terinfeksi Kangen-I Munculnya pesan tersebut menandakan tamu Anda telah datang dan siap untuk menjalankan niat "buruknya". Untuk memanggil pesan tersebut virus ini akan membuat file dengan nama love.dot pada direktori C:\Mydocuments and settings, jika diperhatikan sebenarnya ada 2 file yang dibuat didirektori tersebut dengan nama love1.dot, jika file love1.dot ini dijalankan maka akan muncul pesan dalam bentuk ms.word, lihat gambar 2 Gambar 2, Sajak Cinta Kahlil Gibran yang terkandung pada file love1.dot Seperti pada kebanyakan virus yang beredar, ia akan menyimpan (drop) satu atau beberapa file didirektori tertentu dimana file inilah yang akan dijalankan pertama kali ketika komputer tersebut dinyalakan, begitupun dengan virus ini diamana ia akan membuat file : * Tskmgr.exe pada direktori C:\windows\fonts * Rundll32.exe pada direktori C:\windows * Syslove.exe pada direktori C:\windows\system32 * love1.dot dan love.dot pada direktori C:\Documents and settings\ * untukmu.exe pada direktori C:\ Semua file tersebut mempunyai ukuran 48 kb dengan icon MS.Word, kecuali untuk file love.dot dan love1.dat yang mempunyai ukuran 1-2 kb dengan type Microsoft Word Template. Tidak seperti pada kebanyakan virus yang ada dimana biasanya akan membuat dan manjalankan file didirektori C:\windows atau C:\windows\%system%, sedangkan untuk virus ini ia akan menjalankan file yang disimpan pada direktori C:\windows\fonts dengan nama TSKMGR.EXE Untuk memastikan agar dirinya dapat langsung aktif setiap pertama kali komputer dijalankan, maka akan membuat registry key : * local Service * Security Pada registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Selain merubah registry key, virus ini juga akan membuat 2 option pada tabulasi [startup] pada program msconfig dengan nama * Witta I Love You * Tskmgr (lihat Gambar 3) Gambar 3, Start up item yang diciptakan oleh Kangen-I Disable Task Manager Rupanya pembuat virus tidak dapat melepaskan kebiasaan lama dalam setiap aksi yang dilakukannya, karena memang kebiasaan adalah sesuatu yang susah untuk diubah, begitupun dengan virus ini dimana ia akan mencoba untuk mempertahankan keberadaannya dengan mematikan sejumlah program yang dimungkinkan dapat memperpendek usia mereka (virus) salah satunya dengan mematikan fungsi Task Manager, tetapi metode yang digunakan berbeda dengan varian sebelumnya, dimana untuk menonaktifkan fungsi Task Manager virus ini tidak akan menambahkan string pada registry, tetapi dengan menjalankan perintah taskkill /f /im taskmgr.exe /t. Sebenarnya virus ini juga akan berusaha untuk mematikan fungsi regedit dengan menjalankan perintah taskkill /f /im regedit.exe /t, tetapi dari hasil pengujian ternyata hal tersebut tidak berhasil sehingga program registry editor masih bisa digunakan, begitupun dengan fungsi msconfig dimana virus ini juga tidak akan mematikan fungsi Msconfig. Rupanya virus ini mempunyai niat "baik" disamping niat "jahat" dimana virus ini akan menonaktifkan varian sebelumnya dengan mematikan proses winword.exe yang ada di lokasi C:\windows\system32, dengan menggunakan perintah taskkill /f /im winword.exe /t, hal ini dimaksudkan agar virus ini dapat berjalan secara sempurna, rupanya mpunya virus belajar dari apa yang dilakukan para pembuat virus "non lokal", Anda tentu masih ingat tentang pertempuran antara Netsky dan Bagle walaupun dalam konteks yang berbeda. DISKET/USB/File Sharing Seperti pada varian sebelumnya virus ini juga akan menyebar melalui disket/usb, dimana virus ini akan menyimpan/mengcopykan satu buah file dengan nama untukmu.exe, file ini mempunyai ukuran 48 kb dengan icon Ms.word, selain melalui disket/usb virus ini juga dapat menyebar melalui file sharing dengan terlebih dahulu menjalankan file yang telah terinfeksi, untuk menyebar melalui file sharing virus ini akan menggunakan rekayasa sosial dari pengguna komputer, dimana setting default dari windows adalah menyembunyikan extension dari file tersebut. Merubah volume/nama drive dari suatu Hard Disk Rupanya tak sampai disitu aksi yang dilakukan oleh varian ini, kali ini ia akan merubah volume atau nama dari suatu Hard Disk , dengan nama CintaKu untuk drive C: dan DEVIL untuk drive D:\, tidak berbahaya memang tetapi tetap saja menggangu. lihat gambar 4 Gambar 4, Volume harddisk yang dirubah oleh Kangen-I Menyembunyikan file MS.Word Seperti yang dilakukan oleh varian sebelumnya, virus ini juga akan menyembunyikan file Ms.Word pada direktori yang sama. Untuk mengelabui pengguna komputer virus ini mempunyai satu trik yang cukup bagus dimana dia akan membuat file duplikat yang sama persis dengan file aslinya yang tentunya didirektori yang sama tetapi mempunyai ext. .DOC.EXE dengan spasi sebanyak 154 kali setelah ext. DOC, Jika option [hide extensions for known files types] pada [folder option] dimatikan, dan option [show hidden files and folders] diaktifkan maka akan terlihat seperti gambar 5 Gambar 5, file MS Word yang disembunyikan oleh Kangen-I Tetapi jika [hide extensions for known files types] pada [folder option] diaktifkan, dan option [Do not show hidden files and folders] diaktifkan maka akan terlihat seperti gambar 6 Gambar 6 Dari gambar 6 dapat dilihat walaupun ekstensi file di setting untuk tidak dimunculkan tetapi setiap file yang bervirus tetap akan menampilkan ekstension pertama (.DOC), sedangkan untuk ekstension ke dua (.EXE) akan disembunyikan, apalagi type yang ditampilkan adalah "application" jadi lebih mudah untuk megetahui bahwa fle tersebut sebenarnya virus, sedangkan untuk file yang tidak terinfeksi virus extensi dari file tersebut tidak akan ditampilkan, lihat gambar 7 dibawah: Gambar 7, File yang tidak terinfeksi virus Jika file yang terinfeksi tersebut berusaha dijalankan maka jangan berharap data yang ingin dilihat akan muncul tetapi Anda akan diantarkan untuk menikmati sebuah kata-kata manis dari seseorang yang mempunyai inisial helsspawn, lihat gambar 8. Gambar 8 Apa yang harus dilakukan ? Jika antivirus yang Anda install belum dapat mengenali virus ini, ikuti langkah pembersihan berikut: 1. Matikan proses file tskmgr.exe Bagi Anda yang menggunakan Windows XP/Server 2003 dapat menggunakan perintah "taskkill" untuk mematikan proses tersebut. Untuk mematikan proses dengan menggunakan perintah taskkill, caranya adalah * Klik [Start] [Run] * Ketik [cmd] * Matikan proses "tskmgr.exe" dengan menggunakan perintah Taskkill dengan mengetikkan [taskkill /f /im tskmgr.exe], dan tekan enter Atau Anda dapat menggunakan tools freeware seperti Pocket killbox (khusunya untuk windows diluar XP/2003 server). Tools ini dapat di download di alamat: http://www.bleepingcomputer.com/files/killbox.php Cara menggunakannya: . Jalankan Killbox.exe pada komputer yang terinfeksi virus . Cari proses tskmgr.exe pada kolom [system prosess] . Kemudian isi lokasi file tersebut pada kolom [Full path file of file to delete] o C:\Windows\fonts\tskmgr.exe . Setelah itu klik [delete file] pada tanda gambar silang merah Gambar 9 2. Hapus file yang dibuat oleh virus * Tskmgr.exe pada direktori C:\windows\fonts * Rundll32.exe pada direktori C:\windows * Syslove.exe pada direktori C:\windows\system32 * love1.dot dan love.dot pada direktori C:\Documents and settings\ * untukmu.exe pada direktori C:\ 3. Hapus semua registry key yang dibuat oleh virus * local Service * Security Pada registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 4. Hapus option pada msconfig pada menu [startup] * Witta I Love You * Tskmgr 5. Tampilkan kembali file MS. WORD yang telah disembunyikan dengan cara: * Klik [Start] [Run] * Ketik [cmd] untuk masuk ke command prompt. * Pada layar command prompt, ketikan perintah "Attrib -s -h c:\*.doc /s" (tanpa tanda kutip) Catatan: Jika drive anda lebh dari satu (contoh drive D:\ atau E:\ ), gunakan perintah diatas untuk menampilkan file yang disembunyikan dengan mengganti lokasi drive, contoh "attrib -s -h d:\*.doc /s" Berikut hasil setelah menjalankan baris perintah diatas. Gambar 10 Jika terdapat nama file yang sama tetapi dengan ext. yng berbeda (file tersebut ada dalam satu folder) dengan salah satu file mempunyai ukuran 48 kb, sebaiknya hapus file tersebut secara manual (ingat !!! jangan sampai Anda salah dalam menghapus file tersebut, hapus file yang mempunyai icon MS. WORD dengan ekstension. Doc.exe dengan ukuran file 48 kb) Adang Juhat Taufik (AJT) Email : <mailto:[EMAIL PROTECTED]> [EMAIL PROTECTED] PT. Vaksincom Tanah Abang III / 19E Jakarta 10160 -----Original Message----- From: [email protected] [mailto:[EMAIL PROTECTED] On Behalf Of scamel Sent: Monday, October 17, 2005 11:33 AM To: [email protected] Subject: [PCplus] Tanya Virus dengan nama file win32.anf Boleh kan minta tulung pada rekans semua yang sudah pasti bakal ngasih solusi. PC temenku terinfeksi virus pada folder my documents terdapat file win32.anfyang terbaca oleh windows sebagai file document yang berstatus hidden. Beberapa file lainnya berekstensi .exe tapi type filenya terbaca MS-Word dan hidden, padahal jelas2 file tersebut adalah dokumen biasa. Sebenarnya virus tersebut nama sebenarnya apa? Trus untuk scanningnya menggunakan anti virus apa yang kira2 mumpuni, ato barangkali ada solusi lainnya. Best regard [Non-text portions of this message have been removed] Yahoo! Groups Links ------------------------ Yahoo! Groups Sponsor --------------------~--> Give at-risk students the materials they need to succeed at DonorsChoose.org! http://us.click.yahoo.com/Ryu7JD/LpQLAA/E2hLAA/BRUplB/TM --------------------------------------------------------------------~-> Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/mailplus/ <*> To unsubscribe from this group, send an email to: [EMAIL PROTECTED] <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/
