Virus KOK / KAK
Nama virus : WScript/kok.worm.bat
Masih ingat virus Bubble Boy ?
Virus itu memunculkan trend baru tentang adanya virus e-mail.
Tidak seperti virus Happy99.exe dan PrettyPark.exe yang berbentuk
attachment pada e-mail. Virus Bubbleboy dan virus Kok ini merupakan virus
yang
berada dalam mail yang terinfeksi.
Jadi penerima mail tak perlu menjalankan file attachment, tetapi cukup
dengan membaca mail tersebut, terinfeksilah PCnya dengan virus e-mail
generasi terbaru.
Pada tanggal 11 Februari 2000, sewaktu saya membuka PC saya, program
antivirus McAfee saya memberi message seperti ini :
C:\Autoexec.bat
Found the WScript/kok.worm.bat
Virus apa pula ini ?
Kenapa PC saya (berbasiskan Windows '98) bisa terinfeksi virus ini ?
Darimana asal muasal virus ini ? Koq tidak ada warning dari McAfee saya
sewaktu virus itu akan menginfeksi PC saya ?
Karena saya tidak bisa menemukan cara membersihkan virus ini(pada waktu
itu), maka saya tekan tombol enter saja dan menjalankan komputer seperti
biasanya. Saya mulai merasa terganggu akan kehadiran virus ini setelah
sering komputer saya hang, padahal sedang online (kejadian ini tidak saya
alami lagi sewaktu virus tersebut sudah saya bersihkan).
Saya kemudian ke homepage McAfee dan Network Associates, tetapi jawaban
yang saya temukan adalah :
Search Results
No Archive Documents Matched The Query:
WScript/kak.worm.bat
Wah ternyata, antivirus saya belum mempunyai catatan mengenai virus aneh
ini. Kemudian mulailah saya menjelajah mencari-cari keterangan mengenai
virus ini. (berita terakhir saya temui, virus ini dengan nama :
Kagou-Anti-Kro$oft Kak )
Akhirnya saya temukan sedikit keterangan di F-Secure : (dan berita
terakhir Norton 2000 juga sudah mengantisipasi hal ini).
NAME: Kak
ALIAS: Wscript.KakWorm, KakWorm
WScript.KakWorm merupakan virus yang melekat pada mail yang dikirim dari
sistem yang telah terinfeksi. Virus ini ditulis dengan Javascript dan
bekerja pada Windows 95/98 versi Bahasa Inggris dan Perancis.
Virus ini memanfaatkan kerentanan Outlook Express. Pada waktu pengguna
menerima e-mail yang telah terinfeksi (biasanya dalam HTML/Rich Text style)
maka virus ini akan membuat file kak.hta pada direktori Windows Startup.
Saya sendiri menemukan file kak.hta ini pada folder :
C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA
Pada waktu kita reboot komputer kita setelah file kak.hta ini sudah ada
dalam sistem kita, maka virus ini mengcopy file
C:\autoexec.bat kita menjadi C:\ae.kak dan membuat file
C:\autoexec.bat baru dengan tambahan 2 baris di akhir file tersebut yang
tulisannya sebagai berikut :
@echo off>C:\Windows\STARTM~1\Programs\Startup\kak.hta
del C:\Windows\STARTM~1\Programs\Startup\kak.hta
Kemudian signature kita di Outlook Express 5.0 akan direplace dengan
signature yang telah terinfeksi file kak.htm.
Setelah kejadian ini, secara tak sadar jadilah kita penyebar virus Kak
ini, melalui e-mail yang kita kirim ke rekan-rekan kita.
Jeleknya, kerja virus ini bukan hanya sampai disitu saja. Registri
kitapun diobrak-abrik. Dengan memodifikasi registri maka virus ini akan
bekerja
setiap kita memboot / menjalankan komputer kita.
Kemudian pada hari pertama setiap bulan, jika waktu telah menunjukkan
lebih dari 17:00 (5:00pm) maka virus ini akan menunjukkan kotak peringatan
dengan tulisan :
Kagou-Anit-Kro$oft say not today!
Kemudian virus ini akan membuat komputer Windows kita shutdown.
Saya menemukan isi registri saya sbb. :
MyComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Doc Find Spec MRU
Name Data
(Default) (value not set)
a ""
b ""
c "DS32"
d "kok.reg"
e "kak.worm.bat"
f "sendcmt.cgi"
g "gotmale"
h "kak.reg"
i "bworks"
j "body"
MRUList "hadecgbijf
Kemudian file KAK.HTA saya temukan di :
C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA dan file kak.htm di :
C:\Windows\kak.htm
Bagaimana mengdiagnosanya ?
Berikut ini langkah mendiagnosa sekaligus menghapus virus ini dari sistem
Anda.
Periksa file C:\Autoexec.bat PC Anda.
Start | Run | msconfig
kemudian ke tab Autoexec.bat
Lihat apakah sudah ada 2 baris tambahan yang berisi :
@echo off>C:\Windows\STARTM~1\Programs\Startup\kak.hta
Delete C:\Windows\STARTM~1\Programs\Startup\kak.hta
Jika kedua baris itu sudah ada, maka yang Anda perlu lakukan adalah
menghapus Autoexec.bat kemudian merename file
C:\ae.kak menjadi C:\autoexec.bat.
Untuk melakukan hal ini gunakan perintah dari DOS.
Cari file :
* KAK.HTA,
jika ketemu segeralah hapus :
* C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA
* kak.htm,
jika ketemu segeralah hapus :
Obok-obok registri dengan mencari kata kok.reg atau kak.reg.
Bisa juga langsung saja menuju :
MyComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Doc Find Spec MRU
Kemudian hapus segeralah file / karakter yang ada hubungannya dengan " kak
"dan " kok " ini di registri tersebut.
Periksa Start up komputer Anda, caranya :
1. Start | Run | msconfig, kemudian ke tab Startup.
Akan terlihat dua line yang mengandung kata :
- cAgAu
- kak.hta
Uncheck (dihilangkan tanda centang "v" ) kedua line ini. Jika telah di
unchek, langkah selanjutnya adalah menghilangkan 2 baris ini melalui
regedit.
2. Gunakan fasilitas regedit ke :
HKLM/Software/Microsoft/Windows/CurrentVersion
Cari di bagian Run atau RunService.
Cari karakter kak atau kok atau cAgAu dan hapus.
Dengan menghapus karakter ini maka fasilitas on/off di startupnya jadi
hilang.
Setelah ini selesai dilakukan, bootlah kembali komputer Anda.
Apa yang harus kita lakukan untuk mencegah tertularnya virus ini ?
* Upgrade Internet Explorer 5.0 Anda menjadi 5.01.
* Updatenya bisa di download di Websitenya Microsoft Internet
Explorer atau membeli Majalah CHIPS edisi 1 Tahun 2000.
*
* Download security patch dari MS Windows
* Patch ini bisa didapat gratis di websitenya MS yaitu di :
* Internet Explorer Security Area.
* Baca teliti petunjuk di page tersebut dan download semua patch-patch
sesuai dengan konfigurasi komputer Anda. Jika hal ini telah dilakukan,
maka sewaktu ada virus sejenis yang menyerang sistem PC Anda, akan muncul
warning :
* Some software (ActiveX controls) on this page might be unsafe.
* It is recommended that you not run it. Do you want to allow it to run
?(Yes/No)
* Kemudian muncul warning lagi (apapun yang kita tekan) :
* An ActiveX control on this page is not safe.
* Your current security settings prohibit running unsafe controls on this
page.
* As a result this page may not display as intended (OK)
*
*
* Gunakan selalu plain text dalam bere-mail.
* Caranya baca tulisan saya mengenai Mailing List di majalah Mikrodata edisi
Januari 2000.
Demikian tulisan singkat saya berdasarkan pengalaman pribadi, jika ada
yang ingin menambahkan atau mengoreksi, dipersilakan.
-----Original Message-----
From: Ibnu Qosim [mailto:[EMAIL PROTECTED]]
Sent: Wednesday, April 19, 2000 4:18 PM
To: [EMAIL PROTECTED]
Subject: Re: [balita-anda] Harga
Saya kok dapat virus warning kaya gini ya ?!
At 13:36 2000/04/19 +0700, you wrote:
> ****************** InterScan Message (on webproxy1)
>
> Found virus VBS_KAKWORM.A-M in file noname
> The file is moved to /var/iscan/virus/virWCD0NnYTP.
>
> ★★★ このメールに添付されていた添付ファイルにウィルスが発見されました。
(NAiS-IS)★★★
>
> *********************************************************
>
> Ini daftar harganya.........
>
> 復元された添付ファイル:"E:\My Documents\Attached\Harga.xls"
> Info balita, http://www.balita-anda.indoglobal.com
> ->Aneka kado pilihan untuk anak, http://www.indokado.com/kado.html
> Etika berinternet, kirim email ke: [EMAIL PROTECTED]
> Berhenti berlangganan, e-mail ke: [EMAIL PROTECTED]
>
>
>
>
>
>
>
>
>
>
_____________________________________
Care about children, visit my page at
http://fedus.8m.com
high thinking plain living
Ibnu Qosim
Info balita, http://www.balita-anda.indoglobal.com
->Aneka kado pilihan untuk anak, http://www.indokado.com/kado.html
Etika berinternet, kirim email ke: [EMAIL PROTECTED]
Berhenti berlangganan, e-mail ke: [EMAIL PROTECTED]
Info balita, http://www.balita-anda.indoglobal.com
->Aneka kado pilihan untuk anak, http://www.indokado.com/kado.html
Etika berinternet, kirim email ke: [EMAIL PROTECTED]
Berhenti berlangganan, e-mail ke: [EMAIL PROTECTED]
- [balita-anda] Harga Haify
- Re: [balita-anda] Harga Ibnu Qosim
- Gatot Imam Sukoco