ALMAN, Virus Yang Doyan Makan File EXE

Teknik pertahanan virus dengan membuat file induk berekstensi exe, com, ataupun scr di drive system saat ini sudah mulai kehilangan popularitas alias sudah ketinggalan zaman. Pasalnya, trik yang banyak digunakan oleh virus-virus lokal ini sudah sedemikian lumrah, mudah dikenali dan dijinakkan. Cukup dengan memakai windows task manager saja atau pake tools lain semisal ProcessExplorer, System Task Manager, ProcLister, IceSwords dan semacamnya kita dapat dengan mudah mengenali file induk yang dibuat oleh virus lalu mematikan proses atau bahkan menghapus filenya sekalian. Sebutlah sederetan virus lokal seperti brontok, kangen, decoil, Mr. CoolFace, Wayang, Blue Fantasy, dan Moon Light ternyata masih mengusung teknik seperti itu.

Selangkah lebih maju, kspoold bersaudara muncul mengusung teknik yang lebih cerdas dengan cara membuat file avmeter32.dll atau avwav32.dll di direktori system yang akan menginjeksi file explorer.exe. Namun demikian, kehadiran kspoold di komputer kita dengan segera dapat disadari selain karena aksinya merubah file doc dan xls menjadi exe di flash disk (varian barunya katanya merubah seluruh file doc di komputer menjadi bmp) juga karena virus ini masih menulis sebuah file bernama kspoold.exe di direktori system yang dapat dilihat melalui task manager.

Sekitar 1 bulan kemarin saya menemukan sebuah virus baru (mungkin juga ini virus lama, tetapi saya baru menemukannya) yang saya juga tidak tahu apakah virus tersebut made in Indonesia atau bukan, tetapi yang jelasnya virus ini hadir dengan teknik penyamaran yang lebih baik lagi.

Virus yang dikenali dengan nama ALMAN oleh AVG dan Kaspersky ini terbilang cukup unik karena selain kemampuannya menginfeksi file exe, file induk yang dibuatnya cukup sulit dilacak karena bukan berupa file executable tetapi file berekstensi dll sehingga aktivitasnya tidak akan tampak jika dilihat melalui jendela task manager.

Aksi sang virus
Jika menginfeksi system, virus alman akan membuat 2 file di direktori system yakni wmdrtc32.dll dan wmdrtc32.dl_. File wmdrtc32.dll dibuat dengan ukuran sekitar 40 KB, diset beratribut normal. File ini ditugaskan untuk menginjeksi file explorer.exe miliknya windows setiap kali dijalankan. Ini saya ketahui setelah mengintipnya dengan tools gratisan a-squared HijackFree yang sebenarnya juga sedang terinfeksi. Ternyata file wmdrtc32.dll terdaftar sebagai salah satu module yang sedang digunakan oleh file explorer.exe. Demikian halnya file-file executable lain yang telah terinfeksi ketika dieksekusi akan menggunakan file tersebut sebagai salah satu modulnya. Ini mirip dengan aksi yang dilakukan oleh file avmeter32.dll atau avwav32.dll milik virus kspoold. Selanjutnya file wmdrtc32.dl_ berukuran sekitar 26,5 KB dan diset beratribut system dan hidden. Disinilah terlihat kelihaian teknik social engineeringnya karena jika dilihat sepintas lalu, file wmdrtc32.dl_ seolah-olah merupakan file milik windows yang telah direname oleh virus dan digantikan dengan file lain dengan ukuran berbeda. Dengan demikian, kita dapat terkecoh hanya menghapus file wmdrtc32.dll (40 KB) kemudian mengembalikan ekstensi dll pada file wmdrtc32.dl_ (26,5 KB) karena mengira itu filenya windows.
Mengenali file yang terinfeksi

Sebenarnya cukup sulit untuk mengenali file exe yang telah diinfeksi oleh virus ini hanya dengan melihatnya saja. Hal ini disebabkan karena sebagian besar file yang diinfeksinya tetap dapat berjalan dengan normal kecuali beberapa file seperti PCMAV-CLN.exe dan PCMAV-RTP (keduanya antivirus buatan PC Media) yang pernah saya temui.

Namun demikian, sebenarnya jika kita dapat menghafal ukuran file-file executable kita, maka file yang terinfeksi dapat segera dikenali dengan melihat pada perubahan ukuran filenya. Setiap file exe dapat diinfeksi sampai dua kali oleh virus ini, masing-masing dengan penambahan ukuran file sebesar 28 KB dan 40 KB. Maksudnya, jika sebuah file telah terinfeksi dan bertambah ukurannya sebesar 28 KB, maka infeksi selanjutnya akan menambah ukuran file sebesar 40 KB, demikian pula sebaliknya. Jadi, setiap file yang terinfeksi dapat bertambah ukurannnya sebesar 68 KB.

Mematikan Proses Virus
Sebenarnya saya tidak tahu dunia program sama sekali. Jadi saya tidak punya jurus jitu melawan virus ini karena file wmdrtc32.dll tidak dapat di delete begitu saja. Hanya saja karena file dll yang dibuat juga menginfeksi file explorer.exe seperti yang dilakukan oleh kspoold, saya jadi teringat dengan artikel yang pernah saya download dari vaksin.com. Diartikel tersebut ada source code remover sederhana untuk mematikan proses virus sekaligus menghapus file virusnya yang bias dibuat dengan notepad. Source code ini dapat dimodifikasi untuk mematikan proses serta menghapus file wmdrtc32.dll dan wmdrtc32.dl_ yang terdapat di direktori system. Saya tidak menyertakan source codenya disini karena artikelnya akan semakin membengkak ukurannya. Selain itu saya malas dicap suka menjiplak tulisan orang. Jadi kalau mau download sendiri aja di situsnya vaksin.com!
Membersihkan file terinfeksi

Lantas bagaimana nasib file-file exe yang telah terinfeksi? Sampai saat ini, liris terakhir PCMedia yakni PCMedia RC22 belum mengenal virus Alman sama sekali, sedangkan Ansav mengenalnya dengan nama Sality tetapi tidak dapat membersihkannya, file terinfeksi akan dihapus. Hal tersebut tidak berbeda jauh dengan Anti Virus AVG yang hanya main delete saja ketika bertemu virus ini. Berhubung karena saya bukan seorang programmer dan tidak tahu-menahu sama sekali seputar dunia pemrograman, saya hanya mengandalkan kaspersky (bisa juga pake McAfee) update baru yang telah dapat mengenal virus ini dengan baik serta dapat membersihkan file-file yang terinfeksi meskipun tidak semua file dapat dibersihkan dengan sempurna.

Thanks to :

1. Dosen dan Ketua jurusanku yang telah membantuku melepaskan diri dari jurang DO 31 Agustus lalu

2. Vee yang telah memberiku pelajaran sangat berharga meskipun menyakitkan

3. Mua-muanya dech

eL!t!zT