Selasa, 03 Juli 2007

Basmi Virus Kespo!!!

Menyembunyikan atau menghapus file dokumen seperti DOC dan XLS serta membuat file duplikat sesuai dengan file yang dihapus/disembunyikan sudah biasa dilakukan oleh virus lokal, metode ini mempunyai kelemahan karena user akan mudah mengetahui file duplikat tersebut adalah sebuah virus karena biasanya file duplikat yang dibuat oleh virus akan mempunyai ukuran file yang sama apalagi jika type file masih menggunakan “Application”. Aksi yang dilakukan oleh virus lokal yang ini sedikit berbeda dibandingkan sebelumnya walaupun tetap masih menyerang data. Kali ini virus lokal sudah tidak menyembunyikan file tetapi menginjeksi / menginfeksi dokumen seperti file DOC/XLS, mirip Zombie dengan menambahkan kode virus tersebut sehingga file tersebut akan terjadi penambahan beberapa KB dari ukuran semula, inilah yang menyebabkan user mudah tertipu karena file yang terinfeksi akan mempunyai ukuran yang berbeda, tetapi metode ini dapat kembali dengan mudah diketahui user karena file tersebut mempunyai type file sebagai “Application”.

Salah satu virus yang mencoba untuk injeksi ke dalam file Office seperti DOC atau XLS adalah Kespo atau biasa disebut Kspool. Sampai saat ini Kespo sudah menurunkan 3 varian (dan kemungkinan besar akan terus bertambah) walaupun untuk masing-masing varian melakukan aksi yang sama (menginjeksi file DOC/XLS) tetapi file induk yang dibuat akan berbeda-beda dan yang cukup menarik adalah virus ini bukan made ini VB (Visual Basic) lagi melainkan Delphi.

Dengan update terakhir Norman Virus Control sudah dapat mengenali virus ketiga varian ini. (lihat gambar 1)


Gambar 1, Hasil scanning Norman Virus Control terhadap virus-virus Kespo

File yang diusung oleh Kespo “biasanya” akan terdiri dari 2 jenis file yakni file dengan ekstensi EXE dan DLL. Seperti contoh untuk varian awalnya [Kespo.A] akan mempunyai ukuran sebesar 279 KB untuk file dengan ekstensi EXE dan 59 KB untuk file dengan ekstensi DLL. File yang akan dibuat oleh Kespo.A ini adalah:

* C:\%Windir%\System32\avmeter32.dll
* C:\%Windir%\System32\kspoold.exe
* C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE

Icon yang menyertai file induk Kespo.A ini adalah icon yang menyerupai “gerigi roda” seperti yang terlihat pada gambar 2 dan 3 di bawah ini:


Gambar 2, Icon yang digunakan oleh Kespo.A


Gambar 3, File induk Kespo.A

Menjadikan dirinya sebagai Service “K Print Spooler”

Sebagai pendukung agar dirinya dapat aktif maka ia akan membuat string pada registry berikut dan menjadikan dirinya sebagai Service sehinggga sulit untuk dimatikan. Untuk memastikannya coba Anda lakukan langkah berikut :

* Klik kanan My Computer
* Pilih “Manage”
* Klik Services and Application”
* Klik “Services”
* Kemudian lihat panel sebelah kanan maka akan terlihat satu service baru dengan nama “K Print Spooler”, perhatikan gambar 4 dibawah ini:


Gambar 4, Kespo.A menyamarkan dirinya sebagai Service

Bagaimana ia melakukannnya? Untuk melakukan hal tersebut Kespo.A akan membuat key pada registry berikut

* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon

·ImagePath = C:\%Windir%\System32\Kspoold

* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kspooldaemon

·ImagePath = C:\%Windir%\System32\Kspoold

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon

·ImagePath = C:\%Windir%\System32\Kspoold

Berbeda dengan generasi pertama, untuk generasi kedua icon yang digunakan adalah icon yang menyerupai “Folder” tertutup serta mempunyai ukuran sebesar 438 Kb untuk file dengan ekstensi .EXE dan 63 KB untuk file yang mempunyai ekstensi .DLL, berikut file yang akan dibuat oleh Kespo.B (gambar 5 dan 6) :

* C:\%Windir%\system32\avwav32.dll
* C:\%Windir%\system32\kspool.exe
* C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE


Gambar 5, Icon yang digunakan oleh Kespo.B


Gambar 6, File induk Kespo.B

Jika pada varian pertamanya ia menyamarkan dirinya sebagai service, kini untuk varian kedua tidak melakukan hal tersebut, agar dirinya dapat aktif Kespo.B akan membuat registry berikut :

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

·Kernel spooler = C:\WINDOWS\system32\kspool.exe

Terakhir untuk varian ke tiga file yang terinfeksi akan mempunyai icon “Recycle Bin”. File ini akan mempunyai ukuran sebesar 224 KB untuk file yang berekstensi .EXE dan 64 KB untuk file yang mempunyai ekstensi .DLL. Berikut file yang akan dibuat oleh Kespo.C (gambar 7 dan 8) :


· C:\%Windir%\System32\Kspool.exe
· C:\%Windir%\avwav32.dll terdeteksi sebagai W32/Keylog.BSR
· C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE terdeteksi sebagai W32/Delf.AFRE
· C:\Documents and settings\%user%\Local Settings\Temp\Uninstall log.dat terdetksi sebagai W32/Delf.AFRE


Gambar 7, Icon yang digunakan oleh Kespo.C


Gambar 8, File yang terinfeksi Kespo C.

Agar Kespo.C dapat aktif setiap kali komputer dinyalakan, ia pun akan membuat string pada registry berikut:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o Kernel spooler = C:\WINDOWS\system32\kspool.exe
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o Kernel spooler = C:\WINDOWS\system32\kspool.exe
* HKEY_USERS\S-1-5-21-839522115-706699826-2147125571-500\Software\Microsoft\Windows\CurrentVersion\Run
o Kernel spooler = C:\WINDOWS\system32\kspool.exe


Bagaimana membedakan varian-varian Kespo ini??

Cara yang paling mudah adalah dengan melihat icon pada file induk pada masing-masing virus lokal. Untuk mengetahui hal ini anda dapat menelusuri file kspool.exe atau kspoold.exe yang berada didirektori C:\windows\System32 dengan terlebih dahulu menampilkan semua file/folder yang disembunyikan hal ini disebabkan karena file induk ini akan disembunyikan.


Kespo Tidak blok fungsi Windows/tools security dan Antivirus

Berbeda dengan virus lokal terdahulu, kini Kespo tidak akan melakukan blok terhadap fungsi Windows. Walaupun demikian akibat yang ditimbulkan cukup besar dan merepotkan user apalagi bagi mereka yang awam terhadap komputer. Apa itu ?

Dengan tidak dibloknya fungsi Windows tersebut seharusnya akan lebih memudahkan kita untuk mematikan proses virus tersebut, tetapi kenyataannya tidak L.... Tanya kenapa ?? Jawabnya adalah karena proses virus tersebut [Kspool.exe dan Kspoold.exe] tidak dapat dimatikan melalui Task Manager dan akan keluar pesan bahwa file tersebut sedang digunakan, setelah diselidiki ternyata terdapat satu file DLL yang akan memantau proses Kespo [Kspool.exe dan Kspoold.exe] yakni file avmeter32.dll atau avwav32.dll, file inilah yang harus dimatikan pertama kali agar file kspool.exe atau kspoold.exe dapat dimatikan atau dihapus. Selain itu proses virus Kespo tidak akan terlihat di proses Windows [Task Manager] termasuk jika anda menggunakan ProceeXP atau currProcess J.


Injeksi File MS.Office [*.DOC/*.XLS]

Langkah terakhir yang merupakan inti dari virus ini adalah mencoba untuk menginjeksi/menginfeksi file Office seperti DOC/XLS. Sebenarnya Kespo juga akan bersusaha untuk menyerang file Data Base seperti *.MDF, *.DBF atau LDF tetapi hal ini kurang berhasil karena system penginfeksiannya masih terbatas pada Flash Disk. Kita masih berutung (kata orang Jawa J) karena virus ini untuk sementara hanya menginfeksi file yang ada di Flash Disk saja. Tetapi walaupun demikian pembuat virus ini dapat saja membuat varian lain yang lebih ganas dibandingkan varian sebelumnya, jadi tetap waspada dan selalu update antivirus anda dan selalu backup data penting anda dengan teratur.


File yang sudah terinfeksi oleh Kespo akan mempunyai ciri-ciri berikut:

* Untuk Kespo.A dan Kespo.B, setiap file yang terinfeksi akan mempunyai icon MS.Word atau XLS. Sedangkan untuk Kespo.C setiap file yang terinfeksi akan mempunyai icon “Recycle bin”, perhatikan gambar 9 dan 10 dibawah ini:


Gambar 9, File yang terinfeksi Kespo.A dan Kespo.B


Gambar 10, File yang terinfeksi Kespo.C

Berbeda dengan varian Kespo sebelumnya, jika file yang sudah terinfeksi Kespo.C di buka [run] maka akan terlihat 2 file di direktori yang sama yakni 1 file merupakan file asli dan 1 file lagi merupakan file hasil injeksi / infeksi Kespo.C, untuk lebih jelasnya silahkan lihat gambar 11 dibawah ini:


Gambar 11, File Kespo C yang terinfeksi bila di jalankan

* Ukuran file berbeda-beda , karena virus ini akan menambahkan dirinya kedalam ke file tersebut.
* Mempunyai ekstensi EXE
* Type File sebagai “Application”


Trik membersihkan virus W32/Kespo aka Kspool (Kspoold)

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Jjika menggunaan Windows XP disarankan untuk mematikan / disable “System Restore” selama proses pembersihan berlangsung.
3. Matikan proses virus yang aktif dimemori. Untuk mempermudah dalam mematkan proses virus tersebut, Anda dapat menggunakan tools pengganti Task Manager seperti Pocket Killbox, kenapa Pocket Killbox ? karena selain dapat mematikan proses virus yang aktif dimemori, Pocket Killbox juga dapat langsung menghapus file tersebut.


Silahkan download tools tersebut di alamat berikut:

http://killbox.net/downloads/KillBox.exe


Seperti yang sudah dijelaskan diatas bahwa virus Kespo akan membuat beberapa file induk yang berbeda-beda tergantung dari varian virus tersebut seperti:

1. Kespo.A
· avmeter32.dll
· kspoold.exe

2. Kespo.B
· AVWAV32.DLL
· KSPOOL.EXE.

3. Kespo.C
· KSPOOL.exe
· Avwav32.dll


Agar virus tersebut dapat lebih mudah untuk dihentikan pertama-tama Anda harus menghentikan dan menghapus file induk yang mempunyai ekstensi DLL [avmeter32.dll atau anwav32.dll] karena file ini lah yang selalu memantau keberadaan file induk lain yang mempunyai ekstensi EXE [KSPOOL.exe / KSPOOLD.exe]


Setelah tools Pocket Killbox tersebut berhasil di download, jalankan di komputer yang telah terinfeksi kemudian pada kolom “Full path of file to Delete” isi lokasi file yang akan di matikan / dihapus [biasanya file induk ini akan dibuat diditrektori C:%\Windir%\System32. Setelah menentukan file yang akan di matikan/dihapus kemudian klik tombol “X” untuk menghapus file sesuai jenis Kespo yang menginfeksi komputer anda. Lihat gambar 12 dan 13 sebagai contoh untuk menghapus Kespo.A :


Gambar 12, Menghapus file induk Kespo.A


Gambar 13, Menghapus file induk Kespo.A


4. Jangan lupa untuk menghapus juga file berikut [sesuaikan dengan varian Kespo yang menyerang komputer Anda].
1. %Driver akhir%\MSSETUP.T~~
· UninstallDriver.exe
· Folder.htt
2. %Driver akhir%\Desktop.ini
3. C:\!Submit
4. C:\Documents and Settings\%user%\Local Settings\Temp
· Uninstall Driver.exe
5. C:\Documents and settings\%user%\Local Settings\Temp\Uninstall log.dat


5. Setelah berhasil menghapus file tersebut, lakukan pembersihan pada registry dengan menyalin script dibawah ini pada program notepad kemudian simpan dengan nama Repair.inf dan jalankan file tersebut dengan cara:
1. Klik kanan repair.inf
2. Klik Install

[Version]
Signature="$Chicago$"
Provider=Vaksincom Kespo

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Kernel spooler
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Kernel spooler
HKLM, SYSTEM\ControlSet001\Services\kspooldaemon
HKLM, SYSTEM\ControlSet002\Services\kspooldaemon
HKLM, SYSTEM\CurrentControlSet\Services\kspooldaemon


Tips mematikan proses virus, menghapus file virus dan menghapus registry virus

Untuk mempermudah dalam menghentikan virus ini baik untuk menghentikan proses virus/menghapus file virus serta menghapus registry yang dibuat oleh virus, salin script berikut pada program “Notepad” kemudian simpan dengan nama “RepairKespo.bat”, jangan lupa untuk menyimpan file tersebut di Drive C:, setelah itu jalankan file tersebut dengan cara klik 2X file RepairKespo.bat.

echo off
cls
REM — ubah warna
color b

REM — ubah judul
title KESPO-KSPOOL Remover * by Vaksincom

REM — masuk ke direktori sistem
%SYSTEMDRIVE%
cd %SYSTEMROOT%\system32

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo KESPO-Kspool (All Varian) Remover * by Vaksincom *
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo Fungsi KESPO-Kspool Remover 1.0
echo - Mematikan proses W32/Kespo yang aktif di resident memori
echo - Menghapus file induk yang dibuat oleh W32/Kespo
echo - Menghapus registry yang dibuat oleh W32/Kespo
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo.

pause

echo.
REM — hentikan proses virus
taskkill /f /fi "MODULES EQ AVWAV32.DLL"
taskkill /f /fi "MODULES EQ AVMETER32.DLL"

REM — hentikan proses virus
taskkill /IM kspoold.exe /F /T
taskkill /IM kspool.exe /F /T

REM — set atribut file virus menjadi normal
attrib -s -h -r kspoold.exe
attrib -s -h -r kspool.exe
attrib -s -h -r avmeter32.dll
attrib -s -h -r avwav32.dll

REM — hapus file virus
del kspoold.exe
del kspool.exe
del avmeter32.dll
del avwav32.dll

REM — hapus registry virus
reg delete HKLM\SYSTEM\ControlSet001\Services\kspooldaemon /f
reg delete HKLM\SYSTEM\ControlSet002\Services\kspooldaemon /f
reg delete HKLM\SYSTEM\CurrentControlSet\Services\kspooldaemon /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "kernel spooler" /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "kernel spooler" /f

cls

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo KESPO-Kspool (All Varian) Remover * by Vaksincom *
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo Fungsi KESPO-Kspool Remover 1.0
echo - Mematikan proses W32/Kespo yang aktif di resident memori
echo - Menghapus file induk yang dibuat oleh W32/Kespo
echo - Menghapus registry yang dibuat oleh W32/Kespo
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo.

echo --- Please click "close" to exit ---

msg %username% /time:30 "Selamat... - Virus "W32/KESPO (KSPOOL)" berhasil dihapus, Silahkan cek ulang dengan antivirus yang up-to-date -"

CALL EXPLORER

exit


6. Recover DOC dan XLS file

Untuk memulihkan dokumen DOC/XLS yang sudah di injeksi/infeksi oleh virus, Anda dapat menggunakan tools yang banyak dibuat oleh programmer lokal seperti Docxlsrecover.exe, silahkan download tools tersebut dialamat http://adilmakmur.wordpress.com/2007/05/25/doc-xls-recover/ (lihat gambar 14)


Gambar 14, Tools recovery DOC/XLS

Jika Anda menjumpai file DOC atau XLS berubah dengan icon menggunakan icon aplikasi serta mengggunakan ekstensi EXE, untuk mengembalikannya silahkan gunakan tools diatas [lihat gambar 15 dan 16 dibawah]. Dari info yang didapat bahwa untuk saat ini tools tersebut hanya bisa melakukan perbaikan file yang terinfeksi satu persatu, perhatikan gambar di bawah ini.


Gambar 15, File yang sudah dibersihkan dengan ekstensi masih menggunakan icon Application


Gambar 16, File yang masih bervirus

Selain menggunakan tools diatas Anda dapat menggunakan Antivirus PCMAV Gratis yang mengklaim dapat merecover flle DOC/XLS yang sudah terinfeksi ke kondisi semula.


Silahkan download di alamat berikut
http://www.divshare.com/download/841131-001


Atau Anda juga dapat menggunakan tools alternatif lainnya yakni menggunakan Chanal Splitter, dari hasil mengujian Tools ini ampuh untuk memisahkan file virus dan file asli yang menginfeksi file tersebut dan yang hebatnya lagi Tools ini dapat melakukan pencarian terhadap Drive atau Flash Disk tanpa harus memilih file yang akan di pulihkan satu persatu, walaupun demikian masih ada sedikit “bug” karena ada beberapa file yang gagal di pulihkan dan biasanya file ini mempunyai ekstensi “DOC”, jika Anda mengalami hal ini sebaiknya ganti ekstensi file tersebut menjadi DOC.


Silahkan download di alamat berikut (lihat gambar 17)
http://chanal.biz/blog/wp-content/uploads/2007/06/yav.exe


Gambar 17, Aplikasi Chanal Splitter


Gambar 18, Contoh file yang gagal dipulihkan


Catatan bagi pengguna antivirus Norman

Norman sudah berhasil mendeteksi ketiga varian tersebut. Jika Anda pengguna Antivirus Norman, setelah antivirus Norman mendeteksi Kespo maka file yang terinfeksi tersebut dapat di perbaiki / repair tetapi ekstensi dari file tersebut masih perlu dirubah secara manual. Agar file tersebut dapat digunakan kembali Anda harus merubah ekstensi EXE manjadi ekstensi sesuai dengan aplikasi file tersebut secara manual, contohnya jika file tersebut merupakan file MS.Word maka ekstensi EXE tersebut diubah menjadi DOC begitupun dengan file MS.Excel diubah menjadi XLS.


Jika Anda tidak mengetahui mana file DOC dan file XLS, anda dapat menggunakan tools Chanal Splitter seperti yang sudah dijelaskan di atas.


7. Setelah melakukan langkah diatas sebaiknya scan ulang dengan Norman Virus Control yang sudah mengenali virus ini dengan baik, bersihkan semua file yang terdeteksi sebagai Kespo. Instalasi Norman Virus Control dengan update terbaru juga penting untuk mencegah infeksi ulang.

8. Aktifkan kembali System Restore.
<vaksin.com>



Baca Juga:

0 komentar:

Posting Komentar