Penyebaran virus dewasa ini semakin ganas, motif yang digunakanpun semakin beragam, mulai dari hanya sekedar ”pamer” , sampai dengan merusak dan mengambil data. Media penginfeksian pun semakin canggih mulai dari disket, LAN sampai internet. Ada satu hal yang pasti, penyebaran virus tersebut telah membawa dampak yang cukup besar (dan menyebalkan) bagi para pengguna komputer baik materiil maupun non materiil.
Maraknya penyebaran virus dan spyware, rupanya semakin memberikan semangat bagi para pembuat virus lokal untuk terus ”berkarya” hal ini terbukti dengan keluarnya virus lokal baru dengan nama resmi W32/Kang.A atau lebih dikenal dengan nama Kangen. Dinamakan Kangen karena setiap komptuer yang terinfeksi akan menampilkan refrain lagu Kangen (Dewa 19) pada file MS Word atau wallpaper. Norman Virus Control mendeteksi virus ini pada tanggal 14 April 2005 sebagai W32/Kang.A.
Cara kerja virus Kangen mempunyai kemiripan dengan virus Pesin dengan beberapa perbedaan kecil. Sama seperti Pesin / MyHeart, Kangen menyebar melalui disket dan jaringan (File Sharing) dan akan membuat file yang mengandung virus mirip dengan dengan icon file dokumen MS. Word dengan ekstensi.EXE (contoh: Kangen.exe dengan ukuran 64kb). Dalam menyebarkan dirinya melalui jaringan (file sharing), Kangen tidak dapat berjalan secara otomatis melainkan memerlukan bantuan pihak ketiga untuk menjalankan file yang telah terinfeksi. Jika file ini dijalankan maka akan muncul dokumen MS. Word dengan teks Refrain lagu Kangen.
Jika berhasil menginfeksi komputer, Kangen akan membuat 3 buah file pada direktori system dengan nama file :
- CCAPPS.EXE (hidden file dengan icon MS.Word, ukuran file 64KB)
- Winlog (hidden file)
- Kangen.exe (icon MS.Word dengan ukuran file 2kb)
Kangen juga akan menambah 2 buah value pada registri dengan nama :
- CCAPPS
- LoadService
pada lokasi registri :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run
Disable Taks Manager, Msconfig dan Registry Editor
Secara cerdik Kangen akan menonaktifkan Task Manager, dengan tujuan agar user tidak dapat mematikan proses dari virus tersebut. Disamping itu Kangen juga akan menonaktifkan program Msconfig. Berbeda dengan virus Pesin, Kangen akan langsung mematikan proses Task Manager dan Msconfig jika user berusaha untuk menjalankan dengan tidak menampilkan layar program Task Manager dan Msconfig terlebih dahulu. Pada virus Pesin program Task Manager dan msconfig dapat dibuka tetapi tidak dapat diakses.
Virus Kangen juga akan memblok akses ke Registry Editor (regedit) dan Task Manager dengan menambahkan 2 string :
- DisableRegistryTools
- DisableTaskMgr
pada registry key dibawah ini dan :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Menurut pengetesan Vaksincom, pemblokiran akses pada Task Manager pada Windows XP (karena Win 9x/ME tidak memiliki Task Manager), sedangkan pemblokiran akses Registry Editor hanya berjalan pada windows 9x/Me dimana akan muncul pesan error jika berusaha untuk menjalankan program Registry editor pada Win 9x/ME
Untuk lebih detailnya perbedaan metode penyerangan yang dilakukan oleh virus Kangen antara windows 9x dan NT System (NT/2000/XP/Server 2003) adalah sebagai berikut :
| Keterangan | 9x / ME | NT/2000/XP/Server 2003 |
| Disable Task Manager | Tidak ada | Ya |
| Disable Registry Editor | Ya | Tidak |
| Disable MSCONFIG | Tidak | Ya |
| Terminate Proses melalui Command (Taskkill) | Tidak bisa | Ya |
Salah satu kehebatan dari virus Kangen adalah, kemampuannya dalam membuat file duplikat bervirus yang dibuat “sangat mirip” dengan file dokumen MS. Word, baik dari nama maupun icon yang mewakilinya. File asli tersebut akan di sembunyikan (hidden) sehingga user yang hendak mengakses file MS Wordnya tidak akan menyadari bahwa bahwa dokumen Wordnya yang asli telah disembunyikan oleh virus Kangen dan sebagai gantinya file yang mirip dengan dokumen yang sedang dia klik adalah file virus Kangen.
“Masih untung” pembuat virus Kangen ini tidak bermaksud jahat menghancurkan file dokumen MS Word yang dipalsukannya, file tersebut tetap ada pada lokasi direktori yang sama, tetpai statusnya dirubah sehingga menjadi hidden file.
File palsu bervirus Kangen ”selalu” mempunyai ukuran 64kb dengan icon dokumen MS. Word dan ekstensi.EXE serta mempunyai type sebagai file Application, sehingga jika user menjalankan file tersebut (file yang dibuat oleh virus), maka secara tidak langsung akan mengaktifkan virus Kangen. Hal ini merupakan trik yang cukup canggih dimana settingan default windows tidak memunculkan ekstensi file sehingga nama file “dokumen.doc” dengan “odkumen.exe” akan terlihat seakan-akan sama “dokumen” dengan icon dokumen MS Word.
Dibawah ini kami lampirkan tabel perbandingan antara file asli dan file yang telah terinfeksi virus Kangen :
| Keterangan | File Asli | File bervirus |
| File disembunyikan | Ya | Tidak |
| Ukuran File | Bervariasi | 64 kb |
| Type file | Microsoft Word Docukent | Application |
| Ekstensi File | .doc | .exe |
| Isi file | Dokumen MS Word | Virus |
Tidak ada komentar:
Posting Komentar