W32/Kang.A         19 April 2005

Kamu yang kangen kok saya yang jadi repot ??

 

     Kalau anda bertanya, kira-kira lagu apa yang paling sering muncul dibenak pengguna komputer Indonesia pada bulan April 2005, kami yakinkan anda bahwa bukan lagu Christian Bautista "mellow" (The Way You Look at Me) melainkan lagu dari negeri sendiri milik Dewa yang dinyanyikan kembali oleh Chrisye dan Sophie, Kangen. Lagu Kangen "sangat" populer dan di sebut berkali-kali oleh pengguna komputer Indonesia karena ada virus baru mirip MyHeart / Pesin yang sekali menginfeksi komputer korbannya akan menampilkan refrain teks lagu Kangen, memblok akses ke Task Manager, MSConfig dan Regedit. (lihat gambar 1)

 

Gambar 1, Refrain lagu Kangen muncul saat komputer terinfeksi virus Kangen

 

Rekayasa sosial canggih

Seperti kita ketahui, salah satu syarat virus dapat menyebar dengan cepat selain dari ukurannya kecil dan menarik adalah rekayasa sosial (social engineering) yang tepat. Bahkan suatu virus yang tidak perlu canggih tetapi memanfaatkan rekayasa sosial yang tepat seperti Pesin / MyHeart dapat menyebar dengan sangat meluas dan merata di seluruh Indonesia. Vaksincom juga mendapatkan laporan infeksi MyHeart dari netter di Vietnam.

Rekayasa sosial apa yang terkandung dalam virus Kangen ini ?

  1. Tidak menyebarkan diri melalui email melainkan disket / USB Drive / file sharing.
    Kalau virus lain seperti Sober.N yang sedang mengganas di mancanegara (18 April 2005) memanfaatkan salah satu agen penyebaran utamanya email maka Kangen tidak menyebarkan dirinya melalui email melainkan melalui penyebaran disket, copy file antar USB drive dan melalui sharing jaringan. Hal ini patut diacungi jempol karena menurut pengamatan Vaksincom rupanya tingkat penggunaan disket (FDD 3,5 ") di Indonesia masih sangat tinggi dan sangat populer dan bagi sebagian besar masyarakat seperti mahasiswa, pegawai pemerintah dan swasta dijadikan sebagai salah satu media penyimpanan dan pertukaran file utama, jadi kalau virus Kangen dibawa keluar negeri akan sulit menyebar seperti di Indonesia karena pemakaian disket di negara maju sudah sangat rendah (kalau tidak mau dikatakan mulai punah). Yang menjadi kemungkinan lain adalah penyebaran melalui USB Drive / Flashdisk dan jaringan. Karena pada saat ini belum ada program antivirus yang dapat mendeteksi virus W32/Kang.A (kecuali Norman Virus Control) maka dapat dipastikan virus Kangen akan mudah menyebar dan cukup meluas.

  2. Memalsukan dirinya sebagai dokumen MSWord.
    Rekayasa sosial yang simple namun tepat adalah memalsukan dirinya sebagai file dokumen MSWord. "Kabar baiknya", dokumen asli MS Word anda tidak dihapus dan pembuat virus ini "berbaik hati" hanya menyembunyikan file asli anda dengan memberikan atribut hidden pada file MS Word anda. Sebagai gantinya Kangen akan secara otomatis membuat satu kopi file dengan nama yang sama dengan file yang disembunyikan (hidden). "Kabar buruknya", jika anda atau rekan anda mengkopi dokumen MS Word tersebut dan membukanya di komputer lain, otomatis akan menjalankan virus Kangen untuk menginfeksi komputer baru.
     

    Keterangan

    File Asli

    File bervirus

    File disembunyikan (Hidden)

    Ya

    Tidak

    Ukuran File

    Variatif

    64 kb

    Type file

    Microsoft Word Document

    Application

    Extensi File

    .DOC

    .EXE

    Isi file

    Asli

    Sama dengan file asli

  3. Memblok akses Task Manager, MSConfig dan Regedit
    Pada Windows 9X, Kangen akan memblok akses Task Manager, MSConfig dan Regedit. Tetapi pada Windows XP yang kami test, pemblokiran hanya berhasil dilakukan pada Task Manager. Adapun tujuannya memblok Task Manager ini adalah karena Task Manager dapat digunakan untuk mengidentifikasi proses virus dan menghentikan secara manual (dengan menekan [Ctrl] [Alt] [Del]). Untuk membasmi Kangen, pada Windows 9X kami sarankan anda lakukan dari SafeMode dengan menghentikan file ccapps.exe dan pada Windows XP lakukan dari command prompt dengan menggunakan perintah Taskkill. (Gambar 2)

    Gambar 2, taskkill.exe untuk membasmi proses Kangen yang memblok akses Task Menager

Terdeteksi oleh Norman Virus Control

Bagi anda pengguna Norman Virus Control, virus ini sudah terdeteksi sejak tanggal 14 April 2005 sebagai W32/Kang.A dan semua file yang mengandung virus Kangen akan langsung dibasmi oleh Norman. Untuk mencoba Norman Virus Control anda dapat melakukan download ke http://www.norman.com/download_nvc5.shtml dengan memasukkan alamat email anda pada layar registrasi untuk mendapatkan Serial Number Trial. Bagi anda pengguna komputer dengan Motherboard MSI secara otomatis akan mendapatkan CD Norman Virus Control yang berhak untuk mendapatkan update definisi secara Gratis selama 3 bulan.

 

Pembasmian Manual

Windows 9x dan ME

  1. Lakukan pembersihan pada mode “safe mode”
    Restart komputer anda dan tekan [F8] untuk masuk ke ”Safemode”.

  2. Matikan option LoadService dan ccApps pada msconfig

    • Klik [Start] [Run], kemudian ketik [msconfig]

    • Pada layar [System configuration editor], klik tab [Startup] hilangkan centang pada opsi [LoadService] Rest In Peace dan [ccApps] C:\WINDOWS\SYSTEM\ccApps.exe.

    • Klik [Apply] kemudian klik [OK]

  3. Cari dan hapus file dibawah ini pada folder SYSTEM.

    • ccApps.exe

    • winlog

    • Kangen.exe

  4. Tulis script dibawah ini dengan menggunakan notepad untuk mengaktifkan kembali registry editor :

    REGEDIT4
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableRegistryTools"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableRegistryTools"=dword:00000000

    kemudian simpan menjadi nama file repair.reg dan jalankan file tersebut untuk membuka bloking pada Registri Editor. Vaksincom sudah membuatkan file yang dimaksudkan, silahkan klik unblock-kangen.reg lalu safe dan jalankan pada komputer anda untuk membuka bloking registri yang disebabkan oleh virus Kangen. PERHATIAN : Vaksincom tidak bertanggungjawab atas kerusakan yang timbul baik secara langsung ataupun tidak langsung karena menjalankan file ini, file ini sudah kami coba dan berjalan dengan baik.

  5. Jika anda memerlukan proses pembersihan yang cepat, install program antivirus Norman Virus Control lakukan update (minimal tanggal 14 April 2005), kemudian scan komputer anda dan clean semua file yang terdeteksi sebagai W32/Kang.A.

salam,

Adang Juhar Taufik (AJT)

Alfons Tanujaya (AAT)

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@vaksin.com