Virus Zombie .......Apakah Jill Valentine bisa selamat ?
Pernah main game atau nonton film Resident Evil ?? Survival game tentang Jill Valentine ini mengisahkan tentang perjuangan menghindari serangan zombie. Zombie yang menyerang ini sebelumnya adalah manusia biasa yang terinfeksi oleh kuman zombie dan kalau jagoannya terluka dia akan menjadi zombie dan... game over. Hal yang mirip terjadi pada dunia pervirusan Indonesia, sejak dua bulan terakhir ini sedang beredar virus yang men”zombie”kan file-file MS Office.
Sebenarnya cara termudah untuk membersihkan virus adalah jurus pamungkas, tanpa pengetahuan yang mendalam tentang cara kerja virus, bisa dikatakan “Anak Kecil Juga Tahu” dengan memformat dapat dikatakan virus dapat dienyahkan dari komputer anda. Itu kalau virusnya menginfeksi sistem. Pertanyaannya, bagaimana kalau virusnya menghancurkan file data. Untuk kasus ini perlu di lihat case by case, kalau datanya hanya di hidden (disembunyikan) tentunya dengan mudah dapat di kembalikan atau di rubah atributnya, yang lebih susah lagi kalau virusnya memformat komputer, diatasi dengan Data Recovery biasa yang mampu mengembalikan harddisk terformat. TETAPI kalau virusnya menghancurkan struktur file data (menginjeksi dengan string tidak berguna) sehingga data menjadi tidak dapat dipakai .... hmm, masalah ini termasuk sulit dan hanya data recovery dengan jam terbang tingkat tinggi yang dapat mengembalikan datanya. Itupun tergantung banyak faktor seperti berapa ukuran harddisk dan ruang kosong yang tersisa, apakah OS komputer yang ingin di recover langsung dimatikan atau sering dinyalakan yang dapat mengurangi tingkat keberhasilan recovery.
Kali ini Vaksincom ingin membahas lebih mendalam tentang keluarga virus Kespo yang akhir-akhir ini menyebar cukup merata dua bulan terakhir ini dan menurut pantauan Vaksincom korbannya di Indonesia mencapai ribuan kasus. Virus ini bahkan sudah beranak pinak dan sampai artikel ini diturunkan Vaksincom sudah menemukan 3 varian virus ini. Kali ini Vaksincom akan membahas lebih mendalam tentang virus Kespo ini dan memberikan tips untuk menyelamatkan Jill Valentine anda J.
Menyembunyikan atau menghapus file dokumen seperti DOC dan XLS serta membuat file duplikat sesuai dengan file yang dihapus/disembunyikan sudah biasa dilakukan oleh virus lokal, metode ini mempunyai kelemahan karena user akan mudah mengetahui file duplikat tersebut adalah sebuah virus karena biasanya file duplikat yang dibuat oleh virus akan mempunyai ukuran file yang sama apalagi jika type file masih menggunakan “Application”. Aksi yang dilakukan oleh virus lokal yang ini sedikit berbeda dibandingkan sebelumnya walaupun tetap masih menyerang data. Kali ini virus lokal sudah tidak menyembunyikan file tetapi menginjeksi / menginfeksi dokumen seperti file DOC/XLS, mirip Zombie dengan menambahkan kode virus tersebut sehingga file tersebut akan terjadi penambahan beberapa KB dari ukuran semula, inilah yang menyebabkan user mudah tertipu karena file yang terinfeksi akan mempunyai ukuran yang berbeda, tetapi metode ini dapat kembali dengan mudah diketahui user karena file tersebut mempunyai type file sebagai “Application”.
Salah satu virus yang mencoba untuk injeksi ke dalam file Office seperti DOC atau XLS adalah Kespo atau biasa disebut Kspool. Sampai saat ini Kespo sudah menurunkan 3 varian (dan kemungkinan besar akan terus bertambah) walaupun untuk masing-masing varian melakukan aksi yang sama (menginjeksi file DOC/XLS) tetapi file induk yang dibuat akan berbeda-beda dan yang cukup menarik adalah virus ini bukan made ini VB (Visual Basic) lagi melainkan Delphi.
Dengan update terakhir Norman Virus Control sudah dapat mengenali virus ketiga varian ini. (lihat gambar 1)
Gambar 1, Hasil scanning Norman Virus Control terhadap virus-virus Kespo
File yang diusung oleh Kespo “biasanya” akan terdiri dari 2 jenis file yakni file dengan ekstensi EXE dan DLL. Seperti contoh untuk varian awalnya [Kespo.A] akan mempunyai ukuran sebesar 279 KB untuk file dengan ekstensi EXE dan 59 KB untuk file dengan ekstensi DLL. File yang akan dibuat oleh Kespo.A ini adalah:
- C:\%Windir%\System32\avmeter32.dll
- C:\%Windir%\System32\kspoold.exe
- C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE
Icon yang menyertai file induk Kespo.A ini adalah icon yang menyerupai “gerigi roda” seperti yang terlihat pada gambar 2 dan 3 di bawah ini:
Gambar 2, Icon yang digunakan oleh Kespo.A
Gambar 3, File induk Kespo.A
Menjadikan dirinya sebagai Service “K Print Spooler”
Sebagai pendukung agar dirinya dapat aktif maka ia akan membuat string pada registry berikut dan menjadikan dirinya sebagai Service sehinggga sulit untuk dimatikan. Untuk memastikannya coba Anda lakukan langkah berikut :
- Klik kanan My Computer
- Pilih “Manage”
- Klik Services and Application”
- Klik “Services”
- Kemudian lihat panel sebelah kanan maka akan terlihat satu service baru dengan nama “K Print Spooler”, perhatikan gambar 4 dibawah ini:
Gambar 4, Kespo.A menyamarkan dirinya sebagai Service
Bagaimana ia melakukannnya? Untuk melakukan hal tersebut Kespo.A akan membuat key pada registry berikut
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon
· ImagePath = C:\%Windir%\System32\Kspoold
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kspooldaemon
· ImagePath = C:\%Windir%\System32\Kspoold
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon
· ImagePath = C:\%Windir%\System32\Kspoold
Berbeda dengan generasi pertama, untuk generasi kedua icon yang digunakan adalah icon yang menyerupai “Folder” tertutup serta mempunyai ukuran sebesar 438 Kb untuk file dengan ekstensi .EXE dan 63 KB untuk file yang mempunyai ekstensi .DLL, berikut file yang akan dibuat oleh Kespo.B (gambar 5 dan 6) :
- C:\%Windir%\system32\avwav32.dll
- C:\%Windir%\system32\kspool.exe
- C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE
Gambar 5, Icon yang digunakan oleh Kespo.B
Gambar 6, File induk Kespo.B
Jika pada varian pertamanya ia menyamarkan dirinya sebagai service, kini untuk varian kedua tidak melakukan hal tersebut, agar dirinya dapat aktif Kespo.B akan membuat registry berikut :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
· Kernel spooler = C:\WINDOWS\system32\kspool.exe
Terakhir untuk varian ke tiga file yang terinfeksi akan mempunyai icon “Recycle Bin”. File ini akan mempunyai ukuran sebesar 224 KB untuk file yang berekstensi .EXE dan 64 KB untuk file yang mempunyai ekstensi .DLL. Berikut file yang akan dibuat oleh Kespo.C (gambar 7 dan 8) :
· C:\%Windir%\System32\Kspool.exe
· C:\%Windir%\avwav32.dll terdeteksi sebagai W32/Keylog.BSR
· C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE terdeteksi sebagai W32/Delf.AFRE
· C:\Documents and settings\%user%\Local Settings\Temp\Uninstall log.dat terdetksi sebagai W32/Delf.AFRE
Gambar 7, Icon yang digunakan oleh Kespo.C
Gambar 8, File yang terinfeksi Kespo C.
Agar Kespo.C dapat aktif setiap kali komputer dinyalakan, ia pun akan membuat string pada registry berikut:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Kernel spooler = C:\WINDOWS\system32\kspool.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Kernel spooler = C:\WINDOWS\system32\kspool.exe
- HKEY_USERS\S-1-5-21-839522115-706699826-2147125571-500\Software\Microsoft\Windows\CurrentVersion\Run
- Kernel spooler = C:\WINDOWS\system32\kspool.exe
Bagaimana membedakan varian-varian Kespo ini??
Cara yang paling mudah adalah dengan melihat icon pada file induk pada masing-masing virus lokal. Untuk mengetahui hal ini anda dapat menelusuri file kspool.exe atau kspoold.exe yang berada didirektori C:\windows\System32 dengan terlebih dahulu menampilkan semua file/folder yang disembunyikan hal ini disebabkan karena file induk ini akan disembunyikan.
Kespo Tidak blok fungsi Windows/tools security dan Antivirus
Berbeda dengan virus lokal terdahulu, kini Kespo tidak akan melakukan blok terhadap fungsi Windows. Walaupun demikian akibat yang ditimbulkan cukup besar dan merepotkan user apalagi bagi mereka yang awam terhadap komputer. Apa itu ?
Dengan tidak dibloknya fungsi Windows tersebut seharusnya akan lebih memudahkan kita untuk mematikan proses virus tersebut, tetapi kenyataannya tidak L.... Tanya kenapa ?? Jawabnya adalah karena proses virus tersebut [Kspool.exe dan Kspoold.exe] tidak dapat dimatikan melalui Task Manager dan akan keluar pesan bahwa file tersebut sedang digunakan, setelah diselidiki ternyata terdapat satu file DLL yang akan memantau proses Kespo [Kspool.exe dan Kspoold.exe] yakni file avmeter32.dll atau avwav32.dll, file inilah yang harus dimatikan pertama kali agar file kspool.exe atau kspoold.exe dapat dimatikan atau dihapus. Selain itu proses virus Kespo tidak akan terlihat di proses Windows [Task Manager] termasuk jika anda menggunakan ProceeXP atau currProcess J.
Injeksi File MS.Office [*.DOC/*.XLS]
Langkah terakhir yang merupakan inti dari virus ini adalah mencoba untuk menginjeksi/menginfeksi file Office seperti DOC/XLS. Sebenarnya Kespo juga akan bersusaha untuk menyerang file Data Base seperti *.MDF, *.DBF atau LDF tetapi hal ini kurang berhasil karena system penginfeksiannya masih terbatas pada Flash Disk. Kita masih berutung (kata orang Jawa J) karena virus ini untuk sementara hanya menginfeksi file yang ada di Flash Disk saja. Tetapi walaupun demikian pembuat virus ini dapat saja membuat varian lain yang lebih ganas dibandingkan varian sebelumnya, jadi tetap waspada dan selalu update antivirus anda dan selalu backup data penting anda dengan teratur.
File yang sudah terinfeksi oleh Kespo akan mempunyai ciri-ciri berikut:
- Untuk Kespo.A dan Kespo.B, setiap file yang terinfeksi akan mempunyai icon MS.Word atau XLS. Sedangkan untuk Kespo.C setiap file yang terinfeksi akan mempunyai icon “Recycle bin”, perhatikan gambar 9 dan 10 dibawah ini:
Gambar 9, File yang terinfeksi Kespo.A dan Kespo.B
Gambar 10, File yang terinfeksi Kespo.C
Berbeda dengan varian Kespo sebelumnya, jika file yang sudah terinfeksi Kespo.C di buka [run] maka akan terlihat 2 file di direktori yang sama yakni 1 file merupakan file asli dan 1 file lagi merupakan file hasil injeksi / infeksi Kespo.C, untuk lebih jelasnya silahkan lihat gambar 11 dibawah ini:
Gambar 11, File Kespo C yang terinfeksi bila di jalankan
- Ukuran file berbeda-beda , karena virus ini akan menambahkan dirinya kedalam ke file tersebut.
- Mempunyai ekstensi EXE
- Type File sebagai “Application”
Trik membersihkan virus W32/Kespo aka Kspool (Kspoold)
- Putuskan hubungan komputer yang akan dibersihkan dari jaringan
- Jjika menggunaan Windows XP disarankan untuk mematikan / disable “System Restore” selama proses pembersihan berlangsung.
- Matikan proses virus yang aktif dimemori. Untuk mempermudah dalam mematkan proses virus tersebut, Anda dapat menggunakan tools pengganti Task Manager seperti Pocket Killbox, kenapa Pocket Killbox ? karena selain dapat mematikan proses virus yang aktif dimemori, Pocket Killbox juga dapat langsung menghapus file tersebut.
Silahkan download tools tersebut di alamat berikut:
http://killbox.net/downloads/KillBox.exe
Seperti yang sudah dijelaskan diatas bahwa virus Kespo akan membuat beberapa file induk yang berbeda-beda tergantung dari varian virus tersebut seperti:
- Kespo.A
· avmeter32.dll
· kspoold.exe
- Kespo.B
· AVWAV32.DLL
· KSPOOL.EXE.
- Kespo.C
· KSPOOL.exe
· Avwav32.dll
Agar virus tersebut dapat lebih mudah untuk dihentikan pertama-tama Anda harus menghentikan dan menghapus file induk yang mempunyai ekstensi DLL [avmeter32.dll atau anwav32.dll] karena file ini lah yang selalu memantau keberadaan file induk lain yang mempunyai ekstensi EXE [KSPOOL.exe / KSPOOLD.exe]
Setelah tools Pocket Killbox tersebut berhasil di download, jalankan di komputer yang telah terinfeksi kemudian pada kolom “Full path of file to Delete” isi lokasi file yang akan di matikan / dihapus [biasanya file induk ini akan dibuat diditrektori C:%\Windir%\System32. Setelah menentukan file yang akan di matikan/dihapus kemudian klik tombol “X” untuk menghapus file sesuai jenis Kespo yang menginfeksi komputer anda. Lihat gambar 12 dan 13 sebagai contoh untuk menghapus Kespo.A :
Gambar 12, Menghapus file induk Kespo.A
Gambar 13, Menghapus file induk Kespo.A
- Jangan lupa untuk menghapus juga file berikut [sesuaikan dengan varian Kespo yang menyerang komputer Anda].
- %Driver akhir%\MSSETUP.T~~
· UninstallDriver.exe
· Folder.htt
- %Driver akhir%\Desktop.ini
- C:\!Submit
- C:\Documents and Settings\%user%\Local Settings\Temp
· Uninstall Driver.exe
- C:\Documents and settings\%user%\Local Settings\Temp\Uninstall log.dat
- Setelah berhasil menghapus file tersebut, lakukan pembersihan pada registry dengan menyalin script dibawah ini pada program notepad kemudian simpan dengan nama Repair.inf dan jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Kespo
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Kernel spooler
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Kernel spooler
HKLM, SYSTEM\ControlSet001\Services\kspooldaemon
HKLM, SYSTEM\ControlSet002\Services\kspooldaemon
HKLM, SYSTEM\CurrentControlSet\Services\kspooldaemon
Tips mematikan proses virus, menghapus file virus dan menghapus registry virus
Untuk mempermudah dalam menghentikan virus ini baik untuk menghentikan proses virus/menghapus file virus serta menghapus registry yang dibuat oleh virus, salin script berikut pada program “Notepad” kemudian simpan dengan nama “RepairKespo.bat”, jangan lupa untuk menyimpan file tersebut di Drive C:, setelah itu jalankan file tersebut dengan cara klik 2X file RepairKespo.bat.
echo off
cls
REM — ubah warna
color b
REM — ubah judul
title KESPO-KSPOOL Remover * by Vaksincom
REM — masuk ke direktori sistem
%SYSTEMDRIVE%
cd %SYSTEMROOT%\system32
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo KESPO-Kspool (All Varian) Remover * by Vaksincom *
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo Fungsi KESPO-Kspool Remover 1.0
echo - Mematikan proses W32/Kespo yang aktif di resident memori
echo - Menghapus file induk yang dibuat oleh W32/Kespo
echo - Menghapus registry yang dibuat oleh W32/Kespo
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo.
pause
echo.
REM — hentikan proses virus
taskkill /f /fi "MODULES EQ AVWAV32.DLL"
taskkill /f /fi "MODULES EQ AVMETER32.DLL"
REM — hentikan proses virus
taskkill /IM kspoold.exe /F /T
taskkill /IM kspool.exe /F /T
REM — set atribut file virus menjadi normal
attrib -s -h -r kspoold.exe
attrib -s -h -r kspool.exe
attrib -s -h -r avmeter32.dll
attrib -s -h -r avwav32.dll
REM — hapus file virus
del kspoold.exe
del kspool.exe
del avmeter32.dll
del avwav32.dll
REM — hapus registry virus
reg delete HKLM\SYSTEM\ControlSet001\Services\kspooldaemon /f
reg delete HKLM\SYSTEM\ControlSet002\Services\kspooldaemon /f
reg delete HKLM\SYSTEM\CurrentControlSet\Services\kspooldaemon /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "kernel spooler" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "kernel spooler" /f
cls
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo KESPO-Kspool (All Varian) Remover * by Vaksincom *
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo Fungsi KESPO-Kspool Remover 1.0
echo - Mematikan proses W32/Kespo yang aktif di resident memori
echo - Menghapus file induk yang dibuat oleh W32/Kespo
echo - Menghapus registry yang dibuat oleh W32/Kespo
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo.
echo --- Please click "close" to exit ---
msg %username% /time:30 "Selamat... - Virus "W32/KESPO (KSPOOL)" berhasil dihapus, Silahkan cek ulang dengan antivirus yang up-to-date -"
CALL EXPLORER
exit
- Recover DOC dan XLS file
Untuk memulihkan dokumen DOC/XLS yang sudah di injeksi/infeksi oleh virus, Anda dapat menggunakan tools yang banyak dibuat oleh programmer lokal seperti Docxlsrecover.exe, silahkan download tools tersebut dialamat http://adilmakmur.wordpress.com/2007/05/25/doc-xls-recover/ (lihat gambar 14)
Gambar 14, Tools recovery DOC/XLS
Jika Anda menjumpai file DOC atau XLS berubah dengan icon menggunakan icon aplikasi serta mengggunakan ekstensi EXE, untuk mengembalikannya silahkan gunakan tools diatas [lihat gambar 15 dan 16 dibawah]. Dari info yang didapat bahwa untuk saat ini tools tersebut hanya bisa melakukan perbaikan file yang terinfeksi satu persatu, perhatikan gambar di bawah ini.
Gambar 15, File yang sudah dibersihkan dengan ekstensi masih menggunakan icon Application
Gambar 16, File yang masih bervirus
Selain menggunakan tools diatas Anda dapat menggunakan Antivirus PCMAV Gratis yang mengklaim dapat merecover flle DOC/XLS yang sudah terinfeksi ke kondisi semula.
Silahkan download di alamat berikut
http://www.divshare.com/download/841131-001
Atau Anda juga dapat menggunakan tools alternatif lainnya yakni menggunakan Chanal Splitter, dari hasil mengujian Tools ini ampuh untuk memisahkan file virus dan file asli yang menginfeksi file tersebut dan yang hebatnya lagi Tools ini dapat melakukan pencarian terhadap Drive atau Flash Disk tanpa harus memilih file yang akan di pulihkan satu persatu, walaupun demikian masih ada sedikit “bug” karena ada beberapa file yang gagal di pulihkan dan biasanya file ini mempunyai ekstensi “DOC”, jika Anda mengalami hal ini sebaiknya ganti ekstensi file tersebut menjadi DOC.
Silahkan download di alamat berikut (lihat gambar 17)
http://chanal.biz/blog/wp-content/uploads/2007/06/yav.exe
Gambar 17, Aplikasi Chanal Splitter
Gambar 18, Contoh file yang gagal dipulihkan
Catatan bagi pengguna antivirus Norman
Norman sudah berhasil mendeteksi ketiga varian tersebut. Jika Anda pengguna Antivirus Norman, setelah antivirus Norman mendeteksi Kespo maka file yang terinfeksi tersebut dapat di perbaiki / repair tetapi ekstensi dari file tersebut masih perlu dirubah secara manual. Agar file tersebut dapat digunakan kembali Anda harus merubah ekstensi EXE manjadi ekstensi sesuai dengan aplikasi file tersebut secara manual, contohnya jika file tersebut merupakan file MS.Word maka ekstensi EXE tersebut diubah menjadi DOC begitupun dengan file MS.Excel diubah menjadi XLS.
Jika Anda tidak mengetahui mana file DOC dan file XLS, anda dapat menggunakan tools Chanal Splitter seperti yang sudah dijelaskan di atas.
- Setelah melakukan langkah diatas sebaiknya scan ulang dengan Norman Virus Control yang sudah mengenali virus ini dengan baik, bersihkan semua file yang terdeteksi sebagai Kespo. Instalasi Norman Virus Control dengan update terbaru juga penting untuk mencegah infeksi ulang.
- Aktifkan kembali System Restore.
Salam,
No comments:
Post a Comment