KSPOOLD (DELPHI/WORM)
membahas cara penghentian worm ini pada sistem secara detail
apalagi membahas cara kerja worm ini.
yeah seperti kita ketahui bersama worm ini bekerja menyerang file word dokumen,
(*.doc) sebenernya bukan menginfeksi sih, tapi meWRAP menggabungkan file .doc -
dengan worm itu sendiri, yang mengakibatkan file doc asli hilang dan digantikan
oleh file .exe yang terdiri dari worm itu sendiri dan dokumen asli.
kasus seperti ini juga pernah digunakan oleh worm FLU BURUNG, yaitu mengEmbed -
dokumen asli ke tubuh virus/worm itu sendiri..
Kalo kebetulan ada yang terserang ni worm jangan cepet2 gunakan Antivirus teru-
tama Antivirus profesional dari luar (Norton,AVG,etc)
karena berdasar penelitian AV tersebut akan langsung menganggap file doc yang -
di ubah jadi exe tersebut adalah virus, padahal juga berisi data ketikan anda..
lets do it...
[getting started]
ciri-ciri:
- Menggunakan icon document microsoft word 2003
- File size dropper berubah (disesuaikan dg filesize doc asli)
file dropper ini berisi juga dokumen word, jika dijalankan maka akan menampil
kan suatu dokumen word sesuai aslinya.
- Pada file properties muncul Tab Compatibility (winXP) yg mana pada file .doc
sebenarnya tidak ada. tab Compatibility muncul pada file executable aja.
[Manual]
- Pembasmian
Untuk melakukan penghantian dari sistem cukup gampang, tinggal hentikan process
worm tersebut dari memori dan mendelete file masternya, beres deh..
untuk menghentikan prosesnya bisa digunakan taskmanager,taskkill, kalo ga bisa
juga bisa digunakan procDump32,PETools,TuneUp Utillities Process viewer,atau -
process viewer/explorer laen lah..
buanyak banget di internet..
cari aja process file kspoold.exe (Print Spooler Service) terus di kill aja tuh
prosesnya.. terus hapus worm entry services (Print Spooler Service) pake tool -
autoruns (sysinterials) kalo muncul lagi kill lagi terus sampe bisa..
gw nyoba di kill 3X processnya dah berhenti dan file master dari worm tersebut-
yang berada pada lokasi :\WINDOWS\System32\kspoold.exe bisa segera di delete -
dengan mudahnya.. :-)
kemudian untuk lebih pastinya hapus juga registry yang dibuat oleh worm ini yaitu
pada lokasi: Software\Microsoft\Windows\CurrentVersion\Run (kspoold)
- Recovery
Untuk pengembalian data .doc yang telah berubah jadi .exe gampang aja..
yah gampang2 susah c, kalo datanya cuman dikit ga sampe 100 file c masih bisa di
bilang gampang. kalo sampe ratusan???
yah, tapi untuk pelajaran aja jika ada terjadi kasus yang sama bisa digunakan kem
bali..
yah pertama kita sediakan aja sebuah tool HEX EDITOR?
pada tau ini gunanya untuk apa?
yah sama aja kaya text editor,tapi ini bekerja pada mode hex.
di internet banyak banget tersedia HEX EDITOR gratisan yang bisa didownload kapan
aja, juga mudah penggunaanya.
ok gw gunakan HEX EDITOR dengan judul XVI32 by Christian Maas.
- Download program Hex Editor.
salah satunya Hex Editor XVI32 v2.51 (freeware)
http://www.chmaas.handsha...xvi32/xvi32.htm
lalu ekstrak dan jalankan XVI32.exe - Mencari tahu header asli dokumennya.
Di XVI32 buka file dokumen (doc, xls) yang masih sehat.
- Ok jalankan XVI32 dan load file .doc yang diubah jadi .exe
File -> open -> pilih file misal file "makalah.exe"
- Search string untuk langsung menuju ke file .doc asli
lalu pilih radio button pada HEX STRING dan ketikkan string D0 CF 11 E0
kemudian cek radio button direction pada opsi down
setelah itu klik tombol OK.
- kemudian mundurkan 1 byte (1kotak) ke kiri (dengan tombol panah)
- kemudian Save file dengan ekstensi .doc
maka file .doc anda sudah kembali seperti semula.
file size akan berkuran sekitar 323 KB
[last words]
Ok, ini adalah cara manualnya. kiranya untuk penyelamatan data dalam jumlah banyak
diperlukan waktu yang ga sebentar dan juga kesabaran yang cukup tinggi, tapi perca
yalah terkadang walopun mungkin ini terasa menyakitkan tapi ada hikmah tersendiri,
yah kalo ada kejadian serupa dimasa mendatang semoga bisa menangani sendiri, yah -
tanpa harus kita bingung dulu ketika ada virus/worm kaya gini lagi menyerang......
yah sambil nunggu para pembuat AV yang pinter2 merilis karyanya..
daripada BeTe Nunggu mending kita coba tangani sendiri dulu..
BTW, jangan pernah 100% mengandalkan AV untuk menjaga komputer anda. jangan jadi -
orang yang parno lah.. be positif.. dan janganlah sekali-kali menyalahkan orang lain
ketika komputer anda terserang virus, walopun virus tersebut adalah orang laen yang
menularkan..
ah malang nian nasib temen2 yang jadi parno karena komputernya kena virus :-)
gw ngeliat sndiri, ada temen yg stelah kena virus, kerjaanya tiap hari scanning virus
hahahaaa tiap ada orang mo ngupi data aja harus di scan dulu Flashdisknya...
ya kalo AV nya di update terus, kalo updatenya udah kadaluwarsa ya sama aja boong :-p
SARAN gw c matiin aja tuh autorun buat removable media kaya CD,Flashdisk,dll
edit aja pada registry berikut:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=dword:03ffffff
"NoDriveTypeAutoRun"=dword:000000fd
terus pada folder option tampilin aja file2 hidden dan file extension..
yah lebih waspada.. :-)
OK gw kira cukup jelas kan?
yups selamat mencoba....
I Hope that you have learned something from this tutorial and i hope i have helped you
to better understand how this ehmmm... virus.. shit maybe... crap.. works.. and if you
did, let me know. If you didn't, good for you.
If anyone have any comments on this piece of article, be it good or bad, please let me
know what you think of this, and if I have got any points wrong,
You can e-mail me atma5_arie@yahoo.com
Note: on any instance, this tutorial is just for educational purposes and not for
commercialized and should never be carried out. It comes without no warranty, so use it
at your own risk!!
sehingga berada di belakang karakter dengan nilain hex D0
maka akan langsung menuju ke header file .doc yang asli
tekan key Ctrl+F maka akan muncul dialog search,seperti berikut:
kemudian akan muncul gambar seperti berikut ini
Tidak ada komentar:
Posting Komentar