Menangkal Serangan Tunggul Kawung


Baru-baru ini muncul virus yang bernama Tunggul Kawung. File virus ini ada dua macam, yaitu file yang dibuat dengan compiler Visual Basic 6, seperti aniee.exe dan hanny.exe dan file yang dibuat dengan Visual Basic Script (VBS), seperti tunggul.vbs, iexplore.vbs, bogor.vbs. Yang bahaya dari virus ini, dia merusak data yang berekstensi doc. File yang dirusak sulit untuk di-recovery. Demikian penjelasan dari www.vaksin.com. Penjelasan lain juga bisa diperoleh di www.ansav.com.

Di dalam script file vbs pada virus Tunggul Kawung tersebut, terdapat perintah yang membahayakan data MS. Excel dan MS. Word. Agar perintah tersebut tidak dapat bekerja, file vbs tersebut harus dicegah agar tidak terseksekusi. Salah satu cara melakukan hal tersebut adalah dengan mengalihkan eksekusi file vbs agar dibuka dengan notepad. Ini bisa dilihat di www.ahlul.web.id.

Selain cara yang disebutkan di atas, ada cara lain yang mempunyai fungsi serupa yaitu:
1. Buka program notepad.
2. Simpan file tersebut dengan nama coba.vbs (tipe all files)
3. Kemudian klik kanan file tersebut, pilih open with.
4. Kemudian pilih notepad, dan pilih always use the selected program to open this kind of file

Cara ketiga agar file vbs tidak berfungsi, adalah dengan membatasi eksekusi program yang menjalankan visual basic script (vbs) yaitu wscript.exe dan cscript.exe yang bermukim di c:\windows\system32. Caranya adalah dengan memanfaatkan perubahan registry yang biasa dilakukan oleh virus.

Virus atau worm lokal biasanya berusaha mencegah tereksekusinya beberapa program agar bisa menghambat pembersihan virus tersebut. Program yang biasanya dihambat eksekusinya adalah taskmanager, ms config, regedit, antivirus, dan lain-lain. Adapun setting registry yang ditambahkan adalah di

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]

Contohnya agar file regedit tidak bisa dibuka adalah dengan cara membuat key di registry sebagai berikut:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
“Debugger”=”” .

 

Hal serupa dapat kita lakukan agar file vbs tidak dijalankan oleh wscript.xe dan cscript.exe. Caranya, buka program notepad, lalu kopi tulisan di bawah ini, kemudian simpan dengan nama bpskrip.reg. Lalu klik dua kali file tersebut dan restart komputer.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe]
“Debugger”=”Notepad.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe]
“Debugger”=”Notepad.exe”

 

Demikian sekelumit hasil dari mempelajari Tunggul Kawung. Mohon koreksi jika ada penjelasan yang kurang atau salah. Terima Kasih

10 Tanggapan

  1. tapi gimana kalo computer nya sudah terinfeksi, dan saya coba yang dianjurkan vaksin.com memasukkan beberapa registry. hasilnya malah seluruh documents (*.doc) berubah kapasitasnya menjadi 0 kb. bagaimana me repairnya kembali ?
    karena sekarang virus lokal cenderung untuk merusak document² sehingga sulit untuk direcovery.

    @ Untuk file yang ukurannya menjadi 0 kb, saya belum menemukan solusi untuk meecovery-nya. Sementara yang bisa saya lakukan adalah mencari file temporary (yang biasanya tersembunyi dan berekstensi tmp, karena itu ubah di folder option agar show hidden file dan folder), kemudian ubah ekstensinya menjadi doc.

  2. Dokumen saya (*.doc) yang terinfeksi,saya ubah ekstensinya menjadi exe, kemudian saya scan pake pugin SOR-nya Ansav. Alhamdulillah bisa kembali. Ansav dan pugin SOR bisa didownload di http://www.ansav.com

  3. Ternyata, file saya yg terinfeksi dan bisa di-recovery adalah Tunggul Kawung versi awal (berikon folder), tetapi varian Tunggul Kawung yang lain , sulit direcover. Diskusi tentang ini bisa dilihat di http://ansav.com/component/option,com_fireboard/Itemid,36/func,view/catid,5/id,3155/#3155 , ada cara manual memakai hex editor untuk merecovernya.

  4. […] Setelah survei-survei tersebut selesai, saya mempunyai cukup waktu untuk menyelesaikan draft publikasi. Di sela-sela waktu menyelesaikan pembuatan publikasi tersebut, saya mencoba untuk mencari bahan membuat tulisan di blog ini agar kejenuhan karena rutinitas kerja bisa berkurang. Setelah cari informasi di sana-sini, akhirnya selesai tulisan ini. […]

  5. […] Tulisan saya sebelumnya, ternyata tidak mempan untuk mencegah penginfeksian dokumen oleh tunggul kawung varian […]

  6. […] Konon, dahulu orang Sunda sangat lihai membuat pantun. Misalanya, dalam Bogor Tunggul Kawung, dikisahkan bahwa Tunggul adalah anak miskin. Ia ditakdirkan hidup dalam kehinaan, sampai kemudian Tuhan berkehendak lain. Ia bertemu dengan Eyang Ajar Sakti, seorang petapa di sebuah Padepokan Lembur Padusunan. Eyang Ajar yang welas asih itu berkenan padanya dan minta Tunggul mengikuti segala petunjuknya. Tunggul disuruh mandi di Sumur Ayu kemudian ke Sumur Taman Ayu. Ia pun dilarang beristri sebelum cita-citanya tercapai dan tidak boleh berbuat tercela seperti mencuri, berbohong, menipu, dan sebagainya. Dalam perjalanannya mencari rahasia kehidupan, Tunggul menemukan “Tangkal Koneng Sakeumbaran” (pohon bercabang dua berwarna kuning kembar) dan bertapa di sana. Kelak, di hutan di mana ia bertapa itulah pusat Kota Bogor berada (Kompas, Senin, 21 Juli 2003). Namun, kini, anak-anak muda di Bogor sudah banyak meninggalkan budaya pantun. Ke mana meraka? Selidik punya selidik, di saat Pantun “Buhun” Sunda makin tersingkir, ternyata orang Sunda sudah bisa memanfaatkan kemajuan teknologi informasi, bahkan sampai pembuatan virus komputer. Hal ini, menandakan bahwa ada pergeseran budaya yang cukup kuat dalam masyarakat untuk memainkan kekuatan lokal dalam kemajuan teknologi. Bahkan, tidak tanggung-tanggung kekuatan lokal ini menjelma menjadi virus komputer yang berbahaya. Coba perhatikan, kisah Tunggul Kawung dalam Pantun Buhun tadi, kini sudah menjelma menjadi virus W32/Gultung.A. (Tunggul Kawung).Virus ini disinyalir berasal dari Kota Hujan Bogor. Virus Lokal Kehadiran malware di tahun 2007 mengalami peningkatan dibandingkan tahun sebelumnya. Virus lokal seperti Rontokbro dan Kespo menjadi virus nomor satu. Sementara spyware yang dua tahun lalu sempat menguasai dunia malware, meski kini tetap berlaga, harus tunduk pada intensitas serangan virus lokal maupun mancanegara. Metode lama seperti menyelipkan spyware melalui game, masihlah efisien. “Sejumlah game yang bersifat adiktif semisal Bejeweled, Bookworm dan Atomica merupakan target penyelipan spyware yang utama. Statistik virus lokal yang dihimpun Vaksincom memberikan hasil yang menakjubkan. Menurut spesialis antivirus PT Vaksincom Alfons Tanujaya, virus lokal sepanjang tahun 2007 mampu menjadi tuan di rumah sendiri. “Bahkan persentase insiden yang dikuasai oleh virus lokal lebih dari 50 persen, jadi kalau statistik penyebaran virus ini diibaratkan sebagai suatu Perseroan Terbatas, maka virus lokal adalah pemegang saham mayoritas,” ujarnya seperti dikutip dari detikINET, Senin (10/9/2007). Dirigen virus lokal Rontokbro berhasil menguasai 48 persen penyebaran virus di Indonesia. Tenor dari paduan suara ini, lanjut Alfons, adalah Kespo yang meskipun hanya menguasai 0.95 persen penyebaran virus dengan 1.512 insiden, namun dalam 3 bulan terakhir ini merupakan virus nomor satu memakan korban file-file MS Word dan Excel. “Kespo mengubah file MS Word dan Excel dari komputer korbannya menjadi file eksekusi (.EXE) dan pada awalnya program antivirus tidak mampu mengenali virus yang dibuat menggunakan Delphi ini,” tukasnya. Ketika program antivirus mampu mengenali virus ini, akan muncul masalah baru dimana file terinjeksi virus yang tadinya MS Office yang berhasil dibersihkan formatnya berubah menjadi .exe sehingga tidak bisa dibuka. “Bukan itu saja, sebuah antivirus terkenal dari Rusia bahkan langsung menghapus semua file Office yang diinjeksi Kespo sehingga membuat penggunanya frustasi. Padahal seharusnya virus tersebut dapat dibersihkan dengan antivirus YAV dan file Office yang diinjeksinya dapat diselamatkan,”. YAV yang dibuat programmer Warnet Chanal Yogya membuktikan bahwa orang Indonesia juga tidak kalah dengan negara lain dan mampu memisahkan virus Kespo dari file MS Office sehingga korban Kespo banyak yang tertolong justru oleh komunitas programmer lokal. Hebatnya lagi, YAV dibuat dengan VB Script yang merupakan program ‘kebangsaan’ para pembuat virus. Hal ini menunjukkan bahwa Bahasa Pemrograman adalah alat (senjata) yang jika digunakan untuk tujuan baik akan dapat membantu banyak orang meningkatkan produktivitas. “Kespo juga membuat geger dengan menginjeksi file database.dbf sehingga tidak bisa digunakan dan para vendor antivirus dan analis virus di luar negeri angkat tangan. Tetapi sekali lagi berkat bantuan veteran database Indonesia berhasil di recovery Mas Is dan Papuasoft berhasil di-recover dengan baik, imbuh Alfons. Virus W32/Gultung.A. (Tunggul Kawung) Celakanya, Alfons menandaskan, hal ini memberi ide bagi pembuat virus dari Bogor untuk membuat virus yang menghancurkan data seperti ‘Small.KI’, para pengguna komputer yang aktif bertukar data melalui Flash Disk harap berhati-hati dan selalu mem-backup data pentingnya pada media yang terpisah karena data korban virus Gultung (Tunggul Kawung) tidak dapat di-recover dengan sempurna. “Hanya teknik recovery advance saja yang dapat me-recover data yang dihancurkan oleh virus ini dengan tingkat recovery dibawah 70 persen,” tandas Alfons sebagaimana dikutip dari Detik.Net (Senin, 10/09/2007 08:50 WIB). Menurut madsyair (Menangkal Serangan Tunggul Kawung), file virus ini ada dua macam, yaitu file yang dibuat dengan compiler Visual Basic 6, seperti aniee.exe dan hanny.exe dan file yang dibuat dengan Visual Basic Script (VBS), seperti tunggul.vbs, iexplore.vbs, bogor.vbs. Yang bahaya dari virus ini, dia merusak data yang berekstensi doc. File yang dirusak sulit untuk di-recovery. Demikian penjelasan dari http://www.vaksin.com. Penjelasan lain juga bisa diperoleh di http://www.ansav.com. Di dalam script file vbs pada virus Tunggul Kawung tersebut, terdapat perintah yang membahayakan data MS. Excel dan MS. Word. Agar perintah tersebut tidak dapat bekerja, file vbs tersebut harus dicegah agar tidak terseksekusi. Aj Tau, W32/Gultung (Tunggul Kawung): File MS Office Anda Berubah Jadi Soal Ujian Negara (Vaksin.Com, 4 September 2007), mengatakan bahwa setelah merebaknya kasus Kespo yang sempat menghebohkan beberapa waktu lalu, kini telah muncul virus yang mempunyai karakteristik seperti kespo, tetapi boleh dibilang virus ini mempuyai aksi lebih ganas dibandingkan kespo walaupun untuk saat ini masih terbatas menyerang file Office (MS.Word dan MS.Excel). Namun, menurut Zurick Zaryan (nama inisial), sebenarnya virus ini menggunakan software virus maker AzVirGen versi 5.50. Kalau dilihat dari jenisnya bisa saja termasuk worm atau trojan, karena virus yang asli dibuat dengan menggunakan visual basic dan di dalam virus tersebut ditumpangi trojan. Nama virus dari visual basic RainCity.exe, kalau RainCity.exe dijalanakan akan membuat tunggul.vbs, KotaHujan.html, kujang.bat, dan KebunRaya.exe. Dari masing-msing file berbeda cara menginfeksinya. File RainCity.exe adalah file induk yang menyimpan beberapa file dan membuat di folder masing-masing file, file tunggul.vbs menyimpan menyembunyikan file DOC dan membuat file dengan nama sama dengan file DOC, tapi berakhiran VBS, file KotaHujan.html, kujang.bat belum terdapat sampelnya, sementara kebunraya.exe menumpangi file yang berakhiran DOC (sama seperti Ksplood) di semua drive kecuali A:. Dari semua file masing-masing mempunyai tugas tersendiri dan yang paling banyak tugasnya adalah tunggul.vbs. (Ansav.com). Pendapat yang terakhir ini lebih mengena daripada pendapat-pendapat sebelumnya mengenai virus Tunggul Kawung ini. Sayang, di Indonesia belum ada spyware yang dapat menangkal serangan virus Tunggul Kawung dari Bogor ini. Sementara di luar negeri sudah mulai membuat anti virus yang membahayakan ini. Wallahu’alam Rujukan: http://vaksin.com/2007/0907/Gultung.htm http://ansav.com/content/view/39/31/ http://kompas.com/kompa… […]

  7. […] tandas Alfons sebagaimana dikutip dari Detik.Net (Senin, 10/09/2007 08:50 WIB). Menurut Madsyair (Menangkal Serangan Tunggul Kawung), file virus ini ada dua macam, yaitu file yang dibuat dengan […]

  8. VIRUS APAAN NIY???
    Setelah saya memasukan flashdisk ke Computer dan menekan salah satu file berbentuk .vbs atau kalau dilihat diproperties adalah Windows Based Script Host. Tiba-tiba saja computer saya mendapatkan virus yang gak bisa kedetech ma Anti Virus seperti PC MAV RC 22 dan Ansav, hanya antivirus AVG saja, tetapi kan seperti yang kita tahu AVG itu bukan men-cure alias menyembuhkan tetapi malah menghapus file padahal sudah hampir seluruh halaman terisi dan banyak file penting disana. Semakin lama seluruh file-file berbunyi .doc tidak bisa dibuka dan berganti menjadi file .vbs, misal file sebelum terkena virus adalah ‘makalah.doc’ setelah terkena menjadi ‘makalah.doc.vbs’ dan iconnya berganti ke winamp atau jet audio atau ke icon player. Tidak hanya itu saja, seluruh folder di C, D dan lainnya juga sudah terisi file atau virus yang berbunyi sebagai berikut : Time After Time, Sebuah Balada, dan Love Story, DLL pokoknya lah.
    Berbagai macam cara sudah saya lakukan dengan install ulang. Tetapi hasilnya nol semua.
    Tolong dong, bagi blogger atau siapa aja yang tahu antivirus apa yang bisa menyembuhkan computer saya ini bagi-bagi infonya dong, tolong banget yah…
    Eh ternyata computer teman-teman saya dikampus juga gitu, gimana niy? Harus pake antivirus apa and downloadnya dimana?.thanx

    @ coba pake power remover di http://www.donixsoftware.web.id, pengalaman bagus untuk menangani virus vbs. Kalau yang dihapus avg adalah makalah.doc.vbs, tidak masalah, karena itu adalah file virusnya. Pertanyaannya, di mana file makalah.doc yang asli? Silahkan baca “catatan si Joni di blog ini”.
    Oh, ya. Anda bisa kirimkan sampel virusnya ke http://www.ansav.com atau ke email saya.

  9. prinsip anti virus sebenarnya hanya memberi kemudahan kepada user untuk mencegah! dan membasmi virus. untuk itu, pilah dan pilih anti virus anda sesuai kebutuhan.

  10. Нужна совет, как убрать затертости с крышки багажника автомобиля.
    Кто-то притерся во дворе и поцарапал. Деньги расходовать на перекраску элемента не хочу, т.к дофига стоит.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: