|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
W32/Gultung (Tunggul
Kawung) File MS Office anda
berubah jadi soal Ujian Negara Donald
terkaget-kaget ketika membuka file MS Wordnya, kok file skripsiku berubah jadi
soal ujian negara SMA ? Waks ……apa gara-gara dulu suka nyontek yah, sekarang
jadi harus mengerjakan soal ujian negara lagi ? Jangan terlalu percaya dengan
tahayul, apalagi di zaman kuda gigit prosesor sekarang ini. File MS Office anda
berubah jadi file ujian negara disebabkan oleh aksi virus Gultung, yang lebih
populer dengan nama Tunggul Kawung (yang diperkirakan berasal dari kota hujan
Bogor) dan sangat marak di kota-kota satelit Jakarta. Menurut pengamatan
Vaksincom, ibarat strategi bisnis motor Kanzen atau Mao Tze Dong virus ini
menyebar dengan cara menguasai desa terlebih dahulu untuk menuju Jakarta. Karena
itu para pengguna komputer yang memiliki data MS Office diperingatkan untuk
melakukan Back Up data MS officenya segera karena data yang menjadi korban aksi
virus ini sangat sulit di recover. Menyembunyikan
file merupakan salah satu trend yang sering digunakan oleh kebanyakan virus
lokal yang menyebar saat ini, sehingga terkadang membuat panik para penguna
komputer terutama bagi mereka yang awam terhadap komputer apalagi terhadap
virus.
Sebenarnya masih untung file tersebut hanya disembunyikan
saja, jadi data masih aman dan dengan mudah semua file yang tersembunyi dapat
ditampilkan kembali baik menggunakan Tools atau menggunakan Command line
(ATTRIB) dengan catatan sang vius harus sudah dimusnahkan terlebih dahulu. Saat ini aksi menyembunyikan file
sudah mulai dirasakan “basi” (bagi para VM) karena sudah terlalu banyak virus
lokal yang melakukan hal itu, sehingga muncullah virus-virus baru yang sudah
tidak lagi menyembunyikan file tetapi
berusaha untuk menghapus bahkan menginjeksi file. File yang sering di incar biasanya adalah file MS Office seperti MS.Word atau MS.Excel dan tak menutup
kemungkinan file lain juga akan di incar tergantung keperluannya. Semenjak kemunculan Kespo, dimana virus ini akan berusaha untuk menginjeksi
file MS Office (MS.Word dan MS.Excel) bahkan berusaha untuk menginjeksi file
Database (DBF/MDF/SQL). Kini arah penyerangannya mulai sedikit berubah bukan
lagi menyembunyikan file tetapi mulai menginjeksi file sehingga file yang
terinfeksi akan mempunyai ukuran yang berbeda-beda, hal inilah yang menjadi salah
satu penyebab penyebaran yang sangat cepat karena user (terutama user awam)
tidak dapat membedakan antara file asli dan file yang sudah terinfeksi virus. Setelah
merebaknya kasus Kespo yang sempat menghebohkan beberapa waktu lalu bahkan
sampai saat ini Kespo dan teman-temannya masih menghantui para pengguna
komputer hal ini di perparah dengan banyaknya antivirus mancanegara yang
langsung menghapus setiap file yang terinfeksi alhasil banyak diantara mereka
yang mencoba menggunakan jurus lain untuk menangkal serangan Kespo baik dengan
menggunakan tools atau software antivirus lokal yang memang terbukti ampuh untuk
menghalau virus Kespo karena dapat merecovery file yang telah terinfeksi oleh
Kespo. Kini telah muncul
virus lain yang mempunyai karakteristik seperti kespo, tetapi boleh dibilang
virus satu ini mempuyai aksi yang lebih ganas dibandingkan kespo walaupun untuk saat ini masih terbatas menyerang file Office (MS.Word
dan MS.Excel). Virus ini juga mampu menggunakan rekayasa sosial yang canggih.
Seperti apa rekayasa sosial yang digunakan oleh virus ini?, seperti yang sudah
dijelaskan diatas bahwa virus ini mempunyai aksi yang lebih jahat dibandingkan
Kespo, yakni dengan mengganti (replace/overwrite) dokumen yang terinfeksi untuk
kemudian mengganti dengan dokumen dari
virus tersebut plus kode jahatnya, dengan kondisi
seperti ini kemungkinan kecil dokumen yang sudah terinfeksi dapat diselamatkan.
File yang sudah terinfeksi tersebut akan mempunyai icon “Folder” atau “kamera”
(tergantung dari variannya) dengan ekstensi EXE dan sebagai bentuk “pertanggungjawabannya” virus ini juga akan membuat file duplikat lainnnya dengan
ukuran yang sama (sama seperti file duplikat yang mempunyai
ekstensi EXE) tetapi mempunyai icon MS.Word dengan attribut HIDDEN
(disembunyikan) dan mempunyai ekstensi DOC dengan type file sebagai “Microsoft
Word Documents” sehingga user beranggapan bahwa file mereka masih “AMAN”, sungguh
penyamaran yang luar biasa. Jika file file tersebut dibuka maka akan muncul
pesan error seolah-olah file tersebut rusak, jika diteliti lebih dalam
sebenarnya file tersebut adalah file
yang sudah terinfeksi dan jika kita ubah ekstensi dari file tersebut maka icon
yang menyertai virus tersebut akan berubah menjadi “Folder” atau “kamera”
(tergantung variannya) yang jika dijalankan maka akan membangkitkan kembali
virus tersebut (virus akan aktif). Dengan update
terbaru Norman Virus Control mengelai sebagai W32/Gultung.A dan W32/Gultung.B (lihat gambar 1) atau sering disebut sebagai virus Aniee atau Tunggul Kawung.
Gambar
1, Norman mendeteksi virus Tunggul Kawung
sebagai W32/Gultung.A dan W32/Gultung.B Saat ini Gultung
sudah mengeluarkan 2 versi dimana untuk masing-masing versi mempunyai tujuan yang sama tetapi ada sedikit perbedaan walaupun tidak terlalu banyak.
Jika sebelumnya Kespo dibuat dengan Bahasa Delphi kini W32.Gultung kembali dibuat dengan menggunan bahasa Visual Basic. Kira-kira seganas
apa aksi yang dilakukan oleh W32/Gultung dan apa yang membedakan Gultung.A dan Gultung.B ? Icon yang digunakan Untuk mengelabui
user Gultung.A akan menggunakan icon “kamera”, dengan ukuran sekitar 677 KB dengan ekstensi EXE dan mempuyai type file sebagai “Application”. (lihat gambar 2)
Gambar
2, File induk Gultung.A Sedangkan untuk
Gultung.B akan menggunakan icon “Folder” dengan ukuran sebesar 177 KB,
mempunyai ekstensi EXE dengan type file sebagai “Application” (lihat gambar 3)
Gambar
3, File induk Gultung.B File induk Setelah file
virus ini dijalankan, maka W32/Gultung akan menampilkan satu lembar notepad
yang berisi perasaan si mpunya virus (lihat gambar 4 dan 5), setelah ia akan membuat file induk yang akan dijalankan pertama kali setiap
komputer dinyalakan. Kedua varian ini akan membuat nama file induk yang yang sama
diantaranya
:
Gambar 4, Pesan yang akan ditampilkan oleh W32/Gultung.A Gambar 5, Pesan yang akan ditampilkan oleh W32/Gultung.B String Registry yang dibuat W32/Gultung Agar file induk
tersebut dapat di jalankan, maka W32/Gultung akan membuat beberapa string pada
registry berikut: Gultung.A
- microfost = C:\windows\system32\hanny.exe - sysedit = C:\windows\iexplorer.exe
- winsystem = c:\windows\system32\aniee.exe Gultung.B
- Microfost = G:\WINDOWS\system32\hanny.exe
- winsystem = G:\WINDOWS\system23\aniee.exe Blok Fungsi Windows Sebagai upaya
untuk mempertahankan dirinya, W32/Gultung akan berupaya untuk blok beberapa fungsi Windows maupun software security seperti antivirus,
berikut beberapa fungsi Windows dan software security yang akan diblok oleh
W32/Gultung. - AVG - ClamAV - Ansav - PCMAV - Viremoval - antv-md5-pattern - Task Manager - Msconfig - Attrib - Cmd - Command - Regedit - Setup - Winamp - Winrar Untuk melakukan
hal tersebut, ia akan membuat beberapa string pada registry berikut : - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ § NoFolderOptions = 1 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ansav.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ansavgd.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Avguard.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\attrib.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Avscan.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ClamWinPortable.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\cmd.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\command.com - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\firefox.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\iexplore.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\msconfig.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\PCMAV-CLN.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\PCMAV-RTP.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\PCMAV-SE.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\regedit.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\setup.exe\\debugger § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\taskmgr.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ViRemoval.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Winamp.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Winrar.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Winzip.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\antv-md5-pattern.exe § Debugger = “” - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN § CheckedValue = 2 § DefaultValue = 2 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL § CheckedValue = 1 § DefaultValue = 1 Babat file DOC dan XLS Target utama yang
diincar Gultung kemungkinan besar adalah file MS Office seperti MS Word atau MS.Excel dengan merubah
isi dari file asli kemudian menggantikannya dengan data lain berupa lembar ujian dari sebuah “Sekolah
Menengah Atas (Al-kholidin)” plus di tambah juga kode jahat dari virus tersebut sehingga ukuran dari file tersebut akan
membengkak. Jika pada kasus
Kespo semua data yang telah terinfeksi masih bisa diselamatkan baik dengan
menggunakan Tools atau antivirus lokal, tetapi untuk kasus virus W32/Gultung ini
kecil kemungkinan datanya dapat diselamatkan hal ini karena virus tersebut
sudah mengganti isi dari dokumen asli dengan dokumen
virus tersebut. Seperti yang kita
ketahui bahwa kebanyakan virus akan mencoba untuk menyembunyikan file dan
sebagai upaya untuk mengelabui user ia akan membuat file duplikat sesuai dengan
nama file yang disembunyikan, sehingga data mereka masih aman karena tidak dihapus. Rupanya celah ini
digunakan oleh W32/Gultung untuk mengelabui user, bagaimana caranya ? Untuk mengelabui
user Gultung akan menggunakan reyakasa sosial yang cukup rumit dengan membuat 2 buah file duplikat (yang keduanya sudah terinfeksi virus) dimana kedua file tersebut akan mempunyai ukuran
yang sama, satu file dengan ekstensi EXE dan satu file dengan ekstensi DOC. Khusus
untuk file dengan ekstensi DOC ini akan disembunyikan (hidden), hebatnya lagi icon yang digunakan adalah icon MS.Word dengan type file
sebagai “Microsoft Word Document”, sehingga user yang pernah disembunyikan filenya oleh
virus lokal lain akan beranggapan bahwa file mereka masih
aman dan dengan santai mereka mencoba untuk menampilkan kembali file yang
disembunyikan tersebut dengan menghilangkan atribut SYSTEM dan
HIDDEN baik menggunakan perintah ATTRIB atau dengan menggunakan Tools. Tetapi
jika file tersebut dijalankan maka akan muncul pesan error seolah-olah file
tersebut rusak (
lihat gambar 6). Jika diteliti lebih
jauh sebenarnya file duplikat yang mempunyai ekstensi DOC tersebut merupakan
virus, sehingga antivirus akan menghapus file ini, untuk membuktkannya coba
ubah ekstensi dari file tersebut maka icon dari file tersebut akan berubah
menjadi icon “kamera” atau icon “Folder”, dan jika file ini dijalankan maka
secara tidak langsung akan mengaktifkan W32/Gultung. Walaupun file tersebut
berhasil di recover (dipisahkan antara file asli dengan virus) maka isi file
yang terinfeksi tersebut akan berubah dan digantikan dengan lembar Ujian Negara Agama.
(lihat gambar 7)
Gambar 6 Pesan error ketika menjalankan file duplikat yang mempunyai ekstensi DOC
Gambar 7 Isi Ujian Negara Agama yang “dikerjakan” oleh korban virus :PA Cara membersihkan W32/Gultung (tunggul kawung)
·
Klik Kanan repair.inf ·
Klik Install [Version] Signature="$Chicago$" Provider=Vaksincom
Oye [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1""
%*" HKLM,
Software\CLASSES\comfile\shell\open\command,,,"""%1""
%*" HKLM,
Software\CLASSES\exefile\shell\open\command,,,"""%1""
%*" HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""%1""
%*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe
"%1"" HKLM,
Software\CLASSES\scrfile\shell\open\command,,,"""%1""
%*" HKLM<
SOFTWARE\Classes\lnkfile\shell\open\command,,,"""%1""
%*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe" HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0,
"cmd.exe" HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0,
"cmd.exe" | |||||||||||||||||||||||||||||||||||||||||||||||||||||||
