W32/Kang.C: Return of Kangen dan Cara Pembasmiannya Adang Juhar Taufik* *Technical support pada Vaksincom, penyedia layanan security system dan antivirus Setelah direpotkan oleh virus Kangen (W32/Kang.A) pada bulan April lalu, yang diikuti dengan munculnya varian kedua W32/Kang.B pada pertengahan Mei, dalam waktu kurang dari satu bulan varian berikutnya sudah muncul dengan nama W32/Kang.C. Saat ini penyebarannya termasuk dalam kategori tinggi. (Simak juga rubrik Trend edisi ini!, Red). Karena secara default Windows tidak menampilkan ekstensi file maka file dengan nama ”skripsi.doc” akan terlihat persis sama dengan file ”skripsi.exe” karena icon file yang executable tersebut direkayasa oleh Kangen sehingga sama dengan icon MS-Word. Hal inilah yang menyebabkan Kangen menyebar sangat efektif dan cepat karena setiap kali pengguna komputer yang terinfeksi Kangen mengopikan file MSWordnya ke media lain sebenarnya yang dikopikan adalah file virus dan si pengguna komputer yang menerima file MSWord ”palsu” tersebut akan dikelabui untuk menjalankan virus Kangen ini setiap kali mencoba membuka file MSWord yang dikopikan tadi. W32/Kang.C sebesar 72KB juga menyebar melalui jaringan (file sharing) jika user menjalankan file yang telah terinfeksi virus Kang.C. Ada ada sedikit perbedaan yang menonjol dari virus kangen varian C ini, yaitu pada saat menginfeksi OS 98 maupun 2000, virus ini tidak dapat memblok akses registri edit, Msconfig, dan Task Manager. Kelihatannya varian ini lebih ditujukan untuk menginfeksi Windows XP dan Windows Server 2003 karena notabene populasi komputer yang menggunakan Windows XP dapat dikatakan paling banyak pada saat ini. Jika file ini dijalankan maka akan muncul dokumen MS-Word dengan teks lagu Kangen dan jika berhasil menginfeksi komputer, Kangen akan membuat 3 buah file pada direktori %system% dengan nama file: • Winword.exe (hidden file dengan icon MSWord, ukuran file 72KB) • Winlog.dat (hidden file) • Kangen.exe (icon MSWord dengan ukuran file 2KB) Selain itu virus ini akan membuat file dengan nama winword.exe pada direktori C:\!submit. Kangen juga akan menambahkan 4 buah value pada registri dengan nama: ccApps; LoadService; OSA dengan data value C:\%system%\winword.exe dan SymRun pada lokasi registri: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run Disable Taks Manager, Msconfig dan Registry Editor Seperti pada varian sebelumnya (Kang.A), Kang.C juga akan menonaktifkan Task Manager, dengan tujuan agar user tidak dapat mematikan proses dari virus tersebut. Di samping itu Kangen juga akan memblok akses program Msconfig. Berbeda dengan virus Pesin, Kangen akan langsung mematikan proses Task Manager dan Msconfig jika user berusaha untuk menjalankan dengan tidak menampilkan layar program Task Manager dan Msconfig. Pada virus Pesin program Task Manager dan msconfig dapat dibuka tetapi tidak dapat diakses. Dari hasil pengetesan yang dilakukan ternyata virus Kang.C hanya berhasil melakukan disable MSconfig dan Task Manager pada Windows dengan OS XP/Server 2003, sedangkan pada windows 9x/2000, virus ini tidak dapat melakukan disable Registry, Msconfig maupun Task Manager. Virus Kangen juga akan memblok akses ke Registry Editor (regedit.exe) dan Task Manager dengan menambahkan 2 string yakni DisableRegistryTools dan DisableTaskMgr pada registry key di bawah ini: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Salah satu kehebatan dari virus Kangen adalah, kemampuannya dalam membuat file duplikat bervirus yang dibuat “sangat mirip” dengan file dokumen MS-Word, baik dari nama maupun icon yang mewakilinya. File asli tersebut akan disembunyikan (hidden) sehingga user yang hendak mengakses file MS-Word tidak akan menyadari bahwa bahwa dokumen Wordnya yang asli telah disembunyikan oleh virus Kangen dan sebagai gantinya file yang mirip dengan dokumen yang sedang dia klik adalah file virus Kangen.
“Masih untung” pembuat virus Kangen ini tidak bermaksud jahat menghancurkan file dokumen MS Word yang dipalsukannya. File tersebut tetap ada pada lokasi direktori yang sama, tetapi statusnya diubah sehingga menjadi hidden file. File palsu bervirus Kangen ”selalu” mempunyai ukuran 72KB dengan icon dokumen MSWord dan ekstensi .exe dengan jenis file Application, sehingga jika user menjalankan file tersebut (file yang dibuat oleh virus), maka secara tidak langsung ia akan mengaktifkan virus Kangen. Ini adalah trik yang cukup canggih di mana setingan default Windows tidak memunculkan ekstensi file sehingga nama file “dokumen.doc” dengan “dokumen.exe” akan terlihat seakan-akan sama “dokumen” dengan icon dokumen MS-Word Anda dapat menampilkan file yang di sembunyikan (pada Windows XP/2000/Server 2003) dengan cara: • Buka Windows Explorer • Klik menu [Tools], kemudian klik [Folder Option] • Setelah muncul layar [Folder Option], klik tab [View] • Pada kolom [Advanced and settings], pilih [show hidden files and folder] pada menu [Hidden files and folder] • Untuk melihat ekstensi dari file, matikan opsi [Hide extension for know file types] • Klik [Apply] • Klik [OK] Pada Windows 9x, berikut cara menampilkan file yang di-hidden • Buka Windows Explorer • Klik menu [View], kemudian klik [Folder Option] • Setelah layar [Folder option] terbuka klik tab [View] • Pada kolom Advanced settings, pilih [Show all files] pada menu [Hidden files] • Untuk menampilkan extension dari semua file yang ditampilkan, matikan option [Hide file extension for know files types] • Klik [Apply] lalu klik [Ok] Cara mengatasi virus W32/Kang.C 1. Matikan proses Winword.exe pada Task Manager Anda juga dapat mematikan proses Winword.exe melalui Windows Normal (tanpa melalui ”safe mode”), cara ini hanya bisa dilakukan pada Windows XP/Server 2003. Caranya: • Klik [Start] [Run] • Ketik [cmd] • Pada jendela command prompt, pastikan Anda telah berada pada direktori system Windows dengan mengetik ”CD [spasi] C:\windows\system” • Matikan proses ”Winword.exe” dengan menggunakan perintah Taskkill dengan mengetikkan [taskkill /f /im Winword.exe], dan tekan [Enter] 2. Cari dan hapus file di bawah ini pada folder SYSTEM. • Winword.exe • Winlog.dat • Kangen.exe 3. Hapus direktori C:\!Submit Hapus registry key berikut pada registri key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run item berikut: • ccApps • LoadService • OSA dengan data value C:\%system%\winword.exe • SymRun 4. Untuk mengembalikan dokumen MS-Word yang disembunyikan lakukan cara berikut: • Klik [Start] [Run] • Ketik [cmd] untuk masuk ke command prompt. • Pada layar command promprt, ketikan perintah “Attrib –s –h c:\*.doc /s” (tanpa tanda kutip)
Untuk mencegah infeksi ulang dari virus W32/Kang.C atau Anda ingin membasmi W32/Kang.C secara otomatis, gunakan Norman Virus Control dengan update minimal tanggal 20 Juni 2005.