Having problems with message search?
|
W32/Kang.C Revenge of Kangen
Rupanya pembuat virus Kangen tidak mau kalau dengan George Lucas yang meluncurkan Starwars III (Revenge of the Sith), terbukti dengan keluarnya varian ke tiga Kangen hanya dalam waktu 2 bulan dan hebatnya varian Kangen yang ke tiga ini menyebar dengan sangat cepat dan tidak dapat terdeteksi oleh program antivirus biasa. Norman Virus Control dengan update tanggal 20 Juni 2005 dapat mendeteksi varian ke 3 dari Kangen ini sebagai W32/Kang.C. Bila varian pertama hanya menampilkan refrain lagu kangen, varian W32/Kang.C ini menampilkan secara lengkap teks lagu Kangen. Vaksincom menerima ratusan keluhan dari komputer yang terinfeksi virus ini sejak awal Juni 2005 namun kelihatannya puncaknya pada minggu ke dua dan ketiga Juni dimana paling sedikit ratusan komputer di Indonesia dapat dipastikan terinfeksi W32/Kang.C. Perbedaan W32/Kang.C adalah ia menggunakan file winword.exe sebagai file eksekusinya sehingga cara membasmi W32/Kang.A tidak akan mempan digunakan untuk membasmi W32/Kang.C karena file eksekusi virusnya berbeda.
Mengincar Windows XP dan Windows 2003 Server (sudah belajar marketing :)). Virus ini mempunyai karakteristik yang sama dengan pendahulunya, mulai dari mematikan MSCONFIG, Task Manager dan Regedit, akibat yang ditimbulkannya pun tak jauh beda dengan varian sebelumnya yaitu menyembunyikan file asli (*.DOC) dan membuat file yang sama persis dengan file asli, tetapi mempunyai ekstensi *.EXE file bervirus ini mempunyai ukuran sebesar 72 kb. Selain itu media penyebaran yang digunakan virus ini masih menggunakan metode yang sama dengan varian sebelumnya, yaitu menyebar melalui disket atau removable disk (USB) dengan mengcopykan file kangen.exe dengan ukuran file 72 kb (icon MS.WORD dan ext .exe), selain itu virus ini juga akan menyebar melalui jaringan (File sharing) yaitu jika user menjalankan file yang telah terinfeksi virus Kang.C.
Ada ada sedikit perbedaan yang menarik dari virus kangen varian C ini, yaitu pada saat menginfeksi OS 98 maupun 2000, virus ini tidak dapat men-disable registry, mscofig maupuan Task Manager, kemungkinan varian ini lebih ditujukan untuk menginfeksi windows XP dan server 2003 karena notabene populasi komputer yang menggunakan Windows XP dan Windows Server 2003 dapat dikatakan paling banyak (perkembangannya) pada saat ini. Mungkin saja atau memang ada ”BUG” (kesalahan) dalam pembuatan virus tersebut, yang jelas dari beberapa sample dan uji coba yang dilakukan team Vaksincom, virus ini baru bisa berjalan sempurna pada windows dengan OS XP dan Server 2003, selain itu virus ini hanya akan membuat file winword.exe pada direktori C:\Windows\%system%, oleh karena itu jika direktori instalasi windows adalah C:\WINNT, kemungkinan dampak virus ini sangat kecil (seperti NT/2000).
Tidak terdeteksi antivirus lain. Per tanggal 20 Juni 2005, virus Kangen ini sudah menginfeksi ratusan komputer di seluruh Indonesia dan keluhan yang disampaikan adalah program antivirus biasa yang populer tidak mampu mendeteksi varian baru ini. Berbeda dengan Norman Virus Control telah berhasil mendeteksi dan menghapus virus kangen.C (definisi virus tanggal 20-6-2005) karena memiliki support dan lab virus lokal untuk menganalisa dan membasmi virus baru dengan cepat.
Norman berhasil mendeteksi dan menghapus virus kangen varian C
Berbeda dengan pendahulunya, virus ini akan menampilkan lirik lagu ”kangen” (tulisan berjalan) yang ditampilkan pada menu start (lihat gambar 1), hal ini hanya ditampilkan pada windows XP dan Server 2003 saja. Kalau di W32/Kang.A hanya mampu menyanyikan refrain lagu kangen saja, maka pada W32/Kang.C rupanya tidak mau kalau dengan Chrisye dan Sophia Latjuba dan sekarang sudah bisa menyanyikan yang lirik lagu Kangen secara lengkap.
KANGEN..Kutrima suratmu 'tlah kubaca dan aku mengerti Betapa merindunya dirimu akan hadirnya diriku Didalam hari-harimu bersama lagi Kau bertanya padaku kapan aku akan kembali lagi Katamu kau tak kuasa melawan gejolak didalam dada Yang membara menahan rasa pertemuan kita nanti Saat kau ada disisiku Semua kata rindumu Semakin membuatku tak berdaya Menahan rasa ingin jumpa Percayalah padaku akupun rindu kamu Ku akan pulang melepas semua kerinduan Yang terpendam..... Kau tuliskan padaku kata cinta Yang manis dalam suratmu Kau katakan padaku Saat iniKuingin dalam pelukmu Dan belai lembut kasihmu Takkan kulupa slamanya Saat bersama dirimu Jangan katakan cinta Menambah beban rasaSudah simpan saja sedihmu itu Ku akan datang..... Hacked by : k.gen
Gambar 1 Virus ini akan menyebarkan dirinya melalui jaringan (file sharing), tetapi virus kangen ini tidak dapat berjalan secara otomatis melainkan memerlukan bantuan pihak ketiga untuk menjalankan file yang telah terinfeksi tersebut.
Jika file ini dijalankan maka akan muncul dokumen MS. Word dengan teks Refrain lagu Kangen. (lihat gambar 2)
Gambar 2
Jika berhasil menginfeksi komputer, Kangen akan membuat 3 buah file pada direktori %system% dengan nama file :
Selain itu virus ini akan menbuat file dengan nama winword.exe pada direktori C:\!submit
Kangen juga akan menambahkan 4 buah value pada registri dengan nama :
pada lokasi registri : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run
Disable Taks Manager, Msconfig dan Registry Editor Seperti pada varian sebelumnya (Kang.A), Kang.C juga akan menonaktifkan Task Manager, dengan tujuan agar user tidak dapat mematikan proses dari virus tersebut. Disamping itu Kangen juga akan menonaktifkan program Msconfig. Berbeda dengan virus Pesin, Kangen akan langsung mematikan proses Task Manager dan Msconfig jika user berusaha untuk menjalankan dengan tidak menampilkan layar program Task Manager dan Msconfig terlebih dahulu. Pada virus Pesin program Task Manager dan msconfig dapat dibuka tetapi tidak dapat diakses. Dari hasil pengetesan yang dilakukan ternyata virus Kang.C hanya berhasil melakukan disable MSconfig dan Task Manager pada Windows dengan OS XP/Server 2003, sedangkan pada windows 9x/2000, virus ini tidak dapat melakukan disable Registry, Msconfig maupun Task Manager.
Virus Kangen juga akan memblok akses ke Registry Editor (regedit) dan Task Manager dengan menambahkan 2 string :
pada registry key dibawah ini dan : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Salah satu kehebatan dari virus Kangen adalah, kemampuannya dalam membuat file duplikat bervirus yang dibuat “sangat mirip” dengan file dokumen MS. Word, baik dari nama maupun icon yang mewakilinya. File asli tersebut akan di sembunyikan (hidden) sehingga user yang hendak mengakses file MS Wordnya tidak akan menyadari bahwa bahwa dokumen Wordnya yang asli telah disembunyikan oleh virus Kangen dan sebagai gantinya file yang mirip dengan dokumen yang sedang dia klik adalah file virus Kangen.
“Masih untung” pembuat virus Kangen ini tidak bermaksud jahat menghancurkan file dokumen MS Word yang dipalsukannya, file tersebut tetap ada pada lokasi direktori yang sama, tetpai statusnya dirubah sehingga menjadi hidden file.
File palsu bervirus Kangen ”selalu” mempunyai ukuran 72kb dengan icon dokumen MS. Word dan ekstensi.EXE serta mempunyai type sebagai file Application, sehingga jika user menjalankan file tersebut (file yang dibuat oleh virus), maka secara tidak langsung akan mengaktifkan virus Kangen. Hal ini merupakan trik yang cukup canggih dimana settingan default windows tidak memunculkan ekstensi file sehingga nama file “dokumen.doc” dengan “dokumen.exe” akan terlihat seakan-akan sama “dokumen” dengan icon dokumen MS Word. (Lihat Gambar 3)
(Gambar 3)
Keterangan
Anda dapat menampilkan file yang di sembunyikan (pada Windows XP/2000/Server 2003) dengan cara,
Gambar 4
Menampilkan file yang dihidden (pada windows 9x) · Buka Windows Explorer · Klik menu [View], kemudian klik [Folder Option] · Setelah layar [Folder option] terbuka klik tab [View] · Pada kolom Advanced settings, pilih [Show all files] pada menu [Hidden files] · Untuk menampilkan extension dari semua file yang ditampilkan, matikan pada option [Hide file extension for know files types] · Klik [Apply] · Klik [Ok]
Gambar 5
Dibawah ini kami lampirkan tabel perbandingan antara file asli dan file yang telah terinfeksi virus Kangen :
salam, Adang Juhar Taufik (AJT) Alfons Tanujaya (AAT) PT. Vaksincom Jl. Tanah Abang III /19 E Ruko Tanaga Mas Jakarta 10160 Telp : 62-21-3456 850 Email : info@... |
Offline 
Send Email