Kemarin malem pas lagi asik asiknya bergelut dengan kode kode J2ME yang mana dengan setia kode kode tersebut ditemani oleh si Netbeans. tiba tiba dengan tergopoh gopoh datang temenku dengan membopong komputer seperangkat komputer minus monitor,mouse, keyboard dengan kata lain cuma bawa cpu nya doang.
si temen ini menjelaskan kalo komputernya sedang kena serangan virus yang “memakan” file wordnya (yang berekstensi doc/docx). antivirus yang dipakainya tidak dapat mengenali, Ansav juga ga kenal, bahkan si MsWav :P juga gak bisa.
untuk antivirus yang terakhir ini aku gak bisa berkomentar. hehehehe.
akhirnya dengan perasaan penuh kasihan aku caput kabel VGA monitor ku, keyboard, dan mouse dari CPU ku. untuk aku pasangkan ke CPU si teman malang tadi.
tak coba liat file file yang keinfeksi dan berubah jadi exe dengan icon ms word. tiba tiba pikiranku melayang ke virus Kspold yang pernah mambuat indonesia gonjang ganjing.
aku coba scan pake anti virus yang tadi disebutin diatas gak ada yang mendeteksi sama sekali. ufff… langsung keluar keringat dingin. di hati membatin apakah file word ini cuma di sembunyikan dengan mengganti atribute jadi hidden? coba buka setingan hidden di komputer tersebut. dan ga ada file word yang disembunyikan. kembali terbetik dihati apakah file word tersebut di encrypt kemudian dimasukan ke file virus? ahh ga yakin dengan ini. tapi harus di coba diliat isi virus ini.
terpaksa aku kembali mencari tools tool yang dulu aku pakai untuk analisis virus sebelum akhirnya dibuat database signaturenya (ini pas aku lagi semangat2nya bikin MsWav yang gak pernah terkenal
).
coba aku ambil dua virus trus aku buka pake WinHex yang merupakan hex editor kesukaanku. dengan sangat hati hati aku liat struktur si virus tersebut( mendramatisir keadaan :P). kenapa aku buka dua virus sekaligus? cuma untuk perbandingan aja sih. gak lebih.
pada baris ke…?? halah lupa pokoknya kalo di desimalin diangka ke 387 yang merupakan besar asli dari virus ini dibawahnya ada patern dari file word yang cuma keliatan sparuh. sedangkan yang lainnya sampai isi file word tersebut kayakny. kayaknya lho ya. di encrypt!!
bertambah banyak keringat dingin yang keluar, disertai dengan perasaan dag dig dug ga karuan. dengan keadaan ini akhirnya aku menyimpulkan bahwa memang benar file word ini di encrypt walau tanpa pertimbangan yang matang. :P terserah deh apa kata orang.
terbersit dihati untuk mengerjai si virus ini. iseng iseng bikin file di notepad dengan isi cuma huruf “a,s,u” (tanpa koma dan tanda petik. maaf ya).aku simpan dengan ekstensi doc, trus aku umpanin ke virus ini. wow ternyata di makan juga umpanku.hehehe. dapet korban nih.
sebenernya aku cuma ingin memastikan saja apakah bener2 virus ini mengencrypt file doc yang “dimakannya”?. aku coba buka file dengan WinHex terlihat di baris akhir file ini ada 3 huruf yaitu “arw” (tanpa tanda petik). wow apakah ini hasil encryptnya?
ah coba lagi hasil encrypt tsb tak bikin file baru dengan ekstensi doc lagi. trus tak umpanin lagi ke virus. setelah “di makan” si umpan kedua ini. kembali tak buka dengan WinHex kesayanganku. dan dorrr…..hehehehe. kok di baris akir dari virus tsb ada 3 huruf nama hewan tadi ya. anehh?
masih belum percaya dengan hasil ini. aku coba membuat umpan lagi kali ini bermacam macam kata dan sumpah serapah yang aku coba buat pake notepad. trus aku uji coba seperti tadi diatas. ternyata hasilnya sama aja.
oke deh kalo gitu aku coba dengan file word asli yang yang udah aku buka di atas tadi. prosedur uji cobanya sama. dan hasilnya file word itu kembali seperti sediakala walaupun masih berada di tubuh virus. nah kalo sekarang di scan pake SOR nya ansav atau MsWav bisa kedetek nih. dan lancar lancar aja ketika di pisahkan.
sampai disini aku jadi berfikir tentang metode ecrypt dan decrypt dari virus tersebut…
ah sudahlah gak usah banyak pikir. pikirin aja TA aja deh.
akhirnya besoknya kepada sang temen tadi yang ketiban sial, aku kasih cara manual aja untuk mengembalikan file yang dimakan virus tsb tersebut. yaitu jalanin aja virus tersebut, karena ketika menjalankan virus itu file word yg ada di tubuh virus ini akan dikeluarkan menjadi file asli berekstensi doc dan dberatribut hiden di folder yang sama. trus sivirus akan mambuka file asli ini seolah2 file ini baik2 aja. setelah kebuka file word itu save as aja dan ubah ke ekstensi rtf biar aman. karena virus ini kayaknya gak menyentuh ekstensi ini. kemudian delete file virus yang berekstensi exe tsb. lakukan yang sama untuk file2 “liyane”
.
oya virus ini sepertinya ga membikin file induk, ga membikin service untuk starUp. jadi dia menginfeksi ketika kita menjalankan file yang udah keinfeksi.dia akan mencari file word keseluruh penjuru folder2 dikomputer, kalo ketemu dia infeksi. setelah selesai pencariannya dia akan “bunuh diri”.
yaaa cuma segitu hasil dari analisis yang gak karuan ini aku lakukan lebihnya ga ada dan pasti banyak kekurangannya.
.
http://www.maswawa.web.id/2008/03/an...o-gak-salah-p/
[Serius]Need help ttg Virus
"you're either with us, or against us" (George W. Bush)
Originally Posted by http://www.maswawa.web.id
Kemarin malem pas lagi asik asiknya bergelut dengan kode kode J2ME yang mana dengan setia kode kode tersebut ditemani oleh si Netbeans. tiba tiba dengan tergopoh gopoh datang temenku dengan membopong komputer seperangkat komputer minus monitor,mouse, keyboard dengan kata lain cuma bawa cpu nya doang.
Reply With Quote
Share This Thread