Darkside of Oktavianus

Making virus and all of them as our friends

[5 varian]Virus KSpoold: DOC & XLS menjadi EXE

Posted by oktavianus pada Oktober 22, 2007

Walau secara pemrograman virus KSpoold termasuk sederhana, namun inovasi yang efektif dan efisien yang dilakukan oleh pembuatnya, seakan membawa pakem baru dalam dunia pervirusan di Indonesia.

Namun efek yang ditugaskan oleh pembuatnya, mengubah file .DOC dan .XLS menjadi .EXE serta merusak file database .MDF, .LDF dan .DBF, cukup mengkhawatirkan dan merepotkan pengguna yang dokumennya menjadi korban.

KSpoold aktif sebagai Windows services

Dibuat oleh programmer Indonesia dengan menggunakan Delphi, inilah virus lokal pertama yang kami temukan mampu menggunakan teknik services dan injeksi kode secara efektif dan efisien. Selain itu, tidak seperti virus lokal kebanyakan, virus KSpoold sama sekali tidak tertarik untuk mengutak-ngatik registry. Walau begitu, teknik baru yang dipakai virus ini terbukti efektif melindungi dirinya sendiri dan menyebar dengan luas.

File DOC & XLS terinfeksi dan berubah menjadi EXE

Sayangnya, KSpoold mengemban tugas “jahat” yakni mencari file .DOC dan .XLS di setiap drive removable disk (seperti USB Flash Disk) untuk disusupkan program utama virus ini pada setiap file .DOC dan .XLS yang ditemukan. Setelah disusupi, ekstensi file dokumen .DOC dan .XLS tadi akan berubah menjadi .EXE dan tidak lupa virus akan menyesuaikan icon file dengan jenis dokumen yang diinfeksinya. Selain itu, entah untuk maksud apa, virus ini dapat merusak file database yang berekstensi .MDF, .LDF dan .DBF.

Antivirus sebaiknya mampu melumpuhkan terlebih dulu services virus ini di memory dan mencabut injeksinya pada process yang menjadi target virus ini. Tanpa melakukan hal ini, maka akan sulit mengatasi virus ini secara tuntas, karena akan kembali menginfeksi dokumen Anda. Setelah itu, barulah proses pencarian dan perbaikan file dilakukan. Faktanya, belum ada satupun antivirus yang dibuat khusus untuk virus ini yang mampu melakukannya secara tuntas, terutama mencabut injeksi kodenya.

Walau KSpoold menggunakan teknik services dan injeksi kode, dengan algoritma khusus yang dikembangkan oleh ahli antivirus di PC Media, [new link] PCMAV SE for KSpoold mampu melumpuhkan lima varian dari virus ini secara sempurna, baik di memory, process, maupun di file. Selain itu, file DOC dan XLS yang terinfeksi juga mampu dipulihkan seperti sedia kala, tanpa cacat sedikitpun. Anda pun bisa tenang karena dokumen DOC dan XLS penting milik Anda tetap terselamatkan secara aman.

Namun jangan lupa untuk *selalu* meng-non-aktifkan terlebih dulu System Restore di Windows Anda sebelum menjalankan PCMAV SE for KSpoold. Selain itu, berlatihlah untuk selalu disiplin dalam mem-backup data penting Anda. Bukankah penyesalan akibat kehilangan data penting selalu datang belakangan?

[update! VARIAN BARU]
Varian baru KSpoold ini dikenal oleh PCMAV sebagai KSpoold.B. Pada variannya kali ini, services dari virus tidak lagi aktif di memory. Kali ini ia langsung meng-injeksi-kan sebuah DLL dengan nama avwav32.dll, yang juga merupakan bagian dari virusnya sendiri, ke dalam sebuah process aplikasi yang sedang aktif. Dengan teknik ini, prosedur virus menjadi semacam sebuah modul baru dalam process aplikasi tersebut.

Bekerja dengan hanya melalui proses injeksi DLL semacam ini, tanpa services maupun process, baru kali pertama kami temukan diimplementasikan pada virus lokal. Namun demikian, teknik injeksi ini telah lama ada dan banyak digunakan oleh trojan dari luar negeri. Injeksi DLL semacam ini mampu menjadikan virus ini bersifat relatif siluman (stealth) karena tidak terdeteksi melalui Task Manager. Selain itu, ia pun sulit untuk dimatikan terutama jika menginjeksi process penting sistem. Menggunakan library khusus untuk uninject yang bersifat umum juga tidak mudah, mengingat kita harus mempelajari dulu teknik virus tersebut melakukan injeksi.

Icon file dokumen yang terinfeksi KSpoold.B bukan word/excel.

Dan sama seperti variannya terdahulu, ia masih akan tetap menginfeksi dokumen .DOC dan .XLS Anda. Setiap file dokumen yang telah terinfeksi oleh virus ini akan menjadi sebuah file .EXE (executable), namun bedanya file terinfeksi tersebut iconnya akan berubah menjadi seperti icon file virus yakni seperti program “Uninstaller”. Karena pada varian lalu, file yang terinfeksi iconnya akan menyesuaikan dengan tipe dokumen yang ia infeksikan, icon Word ataupun Excel.

PCMAV RC17 yang akan rilis tidak lama lagi telah mampu mengatasi lima varian KSpoold ini secara sempurna dan tuntas 100%, termasuk secara otomatis mengetahui ekstensi dokumen yang sesuai. Bahkan, jika antivirus lain kesulitan mengatasi injeksi virus ini pada sistem memory, maka PCMAV dengan mudah dapat melumpuhkannya. Untuk sementara waktu Anda bisa membasminya dengan PCMAV SE for KSpoold versi terbaru di bawah ini:

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: