Awas!!! Varian baru tunggul kawung muncul lagi


<

Kemarin seorang kawan memberikan sebuah file virus. File ini berikon kamera, sama dengan ikon tunggul kawung varian sebelumnya. Saya coba men-scan file itu dengan Ansav 175, ternyata belum bisa mendeteksi. Penasaran, saya coba virus ini. Lumayan buat belajar dan mengisi waktu sambil menunggu berbuka puasa.

Pertama, saya amankan file-file penting. Kemudian saya coba menge-klik file virus tersebut. Setelah file tersebut saya klik, muncul peringatan bahwa komputer akan reboot dan sesaat kemudian komputer reboot.

Tak lama setelah login kembali, seperti biasanya ulah virus, regedit,msconfig, task manager tidak bisa dibuka. Kemudian tiba-tiba mucul jendela pop up Project1 D:\coba\BabI.exe. Lalu saya periksa drive D, dan terlihat file BabI.doc disembunyikan dan terbentuk file baru berekstensi exedengan nama BabI.exe yang berikon kamera. Saya tidak tahu, apakah pembuat virus ini sengaja atau memang ada bug dari virus ini. Jendela Project1 selalu muncul, sehingga kita tahu dimana saja file yang terinfeksi.

Beberapa hal yang terjadi di komputer saya akibat virus ini:

1. Task manager, Msconfig, Regedit,Command.com tidak bisa dibuka,Folder Option dihilangkan, dan lain-lain kebiasaan virus lokal. Untuk memulihkannya, saya men-scan dan memperbaiki dengan SmadAV 3.4.

2. Muncul file baru, yaitu

c:\windows\compobj.txt
c:\windows\config.ini
c:\windows\system32\wuapi32.dll
c:\windows\netwin\aniee.exe
c:\windows\system32\hanny.exe
c:\windows\Iekplore.exe

C:\DOCUME~1\%UserName%\LOCALS~1\Temp\Bogor.vbs

C:\WINDO\system.txt (berisi script virus)

Di Removable disk muncul file Autorun.inf, DokterCinta.jpg.exe dan winsys.exe

3. Saat startup, file annie.exe,hanny.exe dan Iekplore.exe dijalankan.

4. Folder coba tempat saya menyimpan file-file untuk ujicoba, ikonnya berubah menjadi ikonnya Folder Option. Jika folder tersebut diklik, yang muncul adalah folder option. Agar kembali normal, saya hapus file dekstop.ini di folder coba.

5. Beberapa aplikasi di blok sehingga tidak bisa berfungsi dengan membaca Caption aplikasi, yaitu  Windows Task Manager, Registry Editor, C:\Windows,C:\Windows\system32,C:\Windows\system32\cmd.exe,Command Prompt, System Properties,Security Task Manager,ANSAV +E Advanced – [ PORTABLE ]. Beberapa aplikasi juga dihambat agar tidak berjalan dan mengalihkannya sehingga yang tereksekusi adalah Bogor.vbs,melalui setting registry di (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ yaitu command.com, cmd.exe, attrib.exe, setup.exe, msconfig.exe, regedit.exe, iexplore.exe, firefox.exe, taskmgr.exe, ansav.exe, ansavgd.exe, PCMAV-CLN.exe,  PCMAV-RTP.exe, PCMAV-SE.exe, Viremoval.exe, GAV.exe, ntv-md5-pattern.exe, WAV.exe, ShowKillProcess.exe, Avguard.exe, Avscan.exe, ClamWinPortable.exe, Winamp.exe, Winampa.exe, WinRAR.exe, Winzip.exe, YahooMessenger.exe,FrzState2k.exe,DF5Serv.exe

6. File-file doc di folder coba, semua diinjeksi. Seperti varian sebelumnya, virus ini membuat file baru berekstensi exe dan menginjeksi file doc dengan virus lalu menyembunyikannya. File doc yang terinjeksi ekstensinya tidak diubah. Pada varian ini, ada dua macam file exe yang dibuat yaitu file berikon folder option dan berikon kamera.

Untuk me-recovery file doc yang disembunyikan virus ini, pertama process virus saya matikan dengan menggunakan Kill VB Process di Plugin Process Image Finder-nya Ansav. Kemudian file yang tersembunyi dimunculkan kembali dengan Plugin Hidden Revealer-nya Ansav. Setelah itu, file doc yang diinjeksi virus tersebut diubah atributnya agar tidak read only melalui jendela properties. Langkah selanjutnya, file doc tersebut ekstensinya saya ubah menjadi exe. File yang diubah ekstensinya dari doc menjadi exe akan berubah ikonnya menjadi folder option atau kamera. Selanjutnya, saya pisahkan file yang berekstensi kamera dan folder option di folder yang berbeda. Langkah terakhir, saya menggunakan plugin Simple Office Recovery (SOR)-nya Ansav untuk me-recovery file tersebut.

Ternyata tidak semua file bisa di-recovery. File yang berekstensi folder option bisa langsung di-recover. Namun file yang berekstensi kamera, meskipun bisa di-recover, namun gagal dibuka. Karenanya, sekarang saya memakai Hex Editor gratisan, untuk me-recoverynya.

Dari pengamatan terhadap file dokumen yang tidak sempurna di-recovery plugin SOR-nya Ansav, diketahui ternyata terdapat dua kali string D0 CF 11 E0 A1 B1 1A dan beberapa byte header , yang mana hal ini menyebabkan file seolah-olah berhasil di-recovery Plugin SOR, padahal belum bisa di-recovery secara sempurna.

Adapun langkah langkah-langkah untuk merecovery-nya adalah sebagai berikut:

1. Buka file yang gagal di-recovery SOR. Kemudian, cari string D0 CF 11 E0 A1 B1 1A yang kedua, dan pindahkan kursor di sebelah kiri D0 (perhatikan gambar di bawah, lihat tanda panah )

tunggulkawungbaru

2. Pilih menu Edit -Delete to Cursor

3. Simpan file tersebut dari menu file-save-as .

Catatan:

1. Jika tiba-tiba komputer anda tiba-tiba muncul jendela pop up Project 1, segera pakai Kill VB Process di Plugin Process Image Finder-nya Ansav agar file yang diinfeksi virus ini tidak semakin banyak.

2. Tulisan saya sebelumnya, ternyata tidak mempan untuk mencegah penginfeksian dokumen oleh tunggul kawung varian ini.

3. Sebaiknya cegah komputer terinfeksi virus ini dengan cara ini atau yang ini.

4. Perlakuan untuk file yang terinfeksi tunggul kawung, mungkin berbeda-beda, tergantung metode penginjeksiannya.

5. Baru sebatas ini yang saya ketahui dari mempelajari virus ini.

6. Untuk menghapus virus ini, bisa memakai Power Remover , Saran saya jangan langsung dihapus, tetapi dikarantina dulu, kemudian pilih file-file dokumen yang akan diperbaiki, file virus-nya dihapus.

Update 21 September 2007.

7. Ternyata virus ini juga menginfeksi file terkompres dengan format zip.

8. Ansav 176 sudah bisa mendeteksi virus ini, hanya belum bisa merecovery dokumennya.

9. Saat ini sudah ada varian baru lagi dari tunggul kawung. Pada varian terbaru ini, ikon yang dipakai adalah ikon Ms Word dan kamera untuk file virusnya . Sudah tidak ada lagi Pop Up Windows Project 1, ketika menginfeksi dokumen. Rupanya pembuat virus ini terus memperbaiki virusnya. Untuk varian terbaru ini, Ansav 176 belum bisa mendeteksi.

10. Ada kasus, file dokumen dan file virusnya menjadi berukuran 0 kb. Untuk yang kasus begini, saya belum menemukan solusinya. Sementara yang pernah saya lakukan adalah mencari file temporary (berekstensi tmp) yang biasanya berada di folder yang sama dengan file dokumen. Lalu ubah ekstensi file tmp menjadi doc.

 (update 2 Oktober 2007: Ansav +EA 180 Sudah mengenali varian tunggul kawung ini. Jadi, Ansav sudah mengenali keempat varian ini. Sebaiknya, file yang dideteksi dikarantina saja, agar bisa dipilah mana yang file virus dan file data. Sementara ini recovery datanya masih menggunakan Hex Editor).

Update 17 Oktober 2007)

11. Varian baru muncul lagi. Kali ini virus ini membuat file sebagai berikut:

C:/windows/dayeuh.txt
C:/windows/system/wtask.dll
C:/windows/system/deskjet.dll
C:/windows/system/printer.dll
C:/windows/system.exe (ikon kabel)
C:/windows/kujang.jpg
C:/windows/system32/wuapi32.dll (ukuran 205 kb)
C:/windows/config.ini
C:/Windows/system32/himem32.sys (ukuran 204 kb)
C:/windows/system.txt
C:/document and setting/(nama login user)/local setting/temp/bogor.vbs

12. Untuk memperbaiki file doc yang terinfeksi, bisa memakai docrestore buatan darkxerion yang bisa didiwnload di sini,
sedangkan untuk memperbaiki file zip yang terinfeksi, bisa memakai Winrar/Winzip dengan menggunakan fitur file

13. Ada beberapa file yang menurut laporan bisa terinfeksi tunggul kawung yaitu file yang berekstensi jpg,  dbf, mdf, rtf, doc, xls

6 Tanggapan

  1. wah nggak pernah tau virus tuh..he he macs apple..salam

    @ ya mas. Yang diincar punyanya om bill🙂 salam

  2. hehe.. hobbynya keren tuh, koleksi virus. ato jangan2 ini sipembuat virus jga? hiiiii

    kabuuuurrrr

    @ wah, saya tidak ngerti bahasa pemrograman. Jangan kabur. Bayar dulu baksonya🙂

  3. sangat membantu sekali, walau belum bisa direcover semua.
    icon nya berubah jadi excel waktu file excel kena virus

  4. saya mo coba virus excel,bisa kasih salinan file ato webnya dimana?
    @ Kalau file excel saya sampai saat ini aman. Coba cari di di forum ansav atau di virus.ognizer.net atau di http://www.4shared.com/dir/2620108/280269d2/Malware_Sample.html

  5. kalo ansav 1.89 ub bisa buat remove virusnya sendiri atau belum?
    kalo blm, ada gak antivirus yg bisa detect and remove?

    @ansav dah bisa mendeteksi 4 varian. Kalau buat remove bisa, cuma merecoverynya belum. Sebaiknya file dikarantina aja dan tidak dikompreskan (jangan aktifkan kompresi file karantina di option-nya). Lalu, untuk mengembalikan data yang kena tunggul kawung, pake aja docrestore di http://www.geocities.com/darkxerion/docrestore.zip

  6. wah bahasannya terlalu tinggi buat saya Mas.. gak ngerti nih…
    laptop kantor baru kemaren kena virus ini. gak tau virus versi keberapa. lagi scan pake pcmac tapi kok
    minta update terbaru. lagi nyari updatenya ketemu website sampean. cuman… masih terlalu sulit buat yg awam seperti saya.. hehehe

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: