|
Subject: Wscript.KakWorm, KakWorm
Date: Maret 30, 2000 19;58 Virus KOK Nama virus : WScript/kok.worm.bat
Masih ingat virus Bubble Boy ? Virus itu memunculkan trend baru tentang adanya virus e-mail. Tidak seperti virus Happy99.exe dan PrettyPark.exe yang berbentuk attachment pada e-mail. Virus Bubbleboy dan virus Kok ini merupakan virus yang berada dalam mail yang terinfeksi. Jadi penerima mail tak perlu menjalankan file attachment, tetapi cukup dengan membaca mail tersebut, terinfeksilah PCnya dengan virus e-mail generasi terbaru. Pada tanggal 11 Februari 2000, sewaktu saya
membuka PC saya, program antivirus McAfee saya memberi message seperti ini
:
C:\Autoexec.bat
Found the WScript/kok.worm.bat Virus apa pula ini ?
Kenapa PC saya (berbasiskan Windows '98) bisa terinfeksi virus ini ? Darimana asal muasal virus ini ? Koq tidak ada warning dari McAfee saya sewaktu virus itu akan menginfeksi PC saya ? Karena saya tidak bisa menemukan cara membersihkan virus ini (pada waktu itu), maka saya tekan tombol enter saja dan menjalankan komputer seperti biasanya. Saya mulai merasa terganggu akan kehadiran virus ini setelah sering komputer saya hang, padahal sedang online (kejadian ini tidak saya alami lagi sewaktu virus tersebut sudah saya bersihkan). Saya kemudian ke homepage McAfee dan Network
Associates, tetapi jawaban yang saya temukan adalah :
Search Results
No Archive Documents Matched The Query:
WScript/kak.worm.bat
Wah ternyata, antivirus saya belum mempunyai
catatan mengenai virus aneh ini. Kemudian mulailah saya menjelajah mencari-cari
keterangan mengenai virus ini. (berita terakhir saya temui, virus ini dengan
nama : Kagou-Anti-Kro$oft Kak )
Akhirnya saya temukan sedikit keterangan di F-Secure : (dan berita terakhir Norton 2000 juga sudah mengantisipasi hal ini). NAME: Kak ALIAS: Wscript.KakWorm, KakWorm WScript.KakWorm merupakan virus yang melekat pada mail yang dikirim dari sistem yang telah terinfeksi. Virus ini ditulis dengan Javascript dan bekerja pada Windows 95/98 versi Bahasa Inggris dan Perancis. Virus ini memanfaatkan kerentanan Outlook Express. Pada waktu pengguna menerima e-mail yang telah terinfeksi (biasanya dalam HTML/Rich Text style) maka virus ini akan membuat file kak.hta pada direktori Windows Startup. Saya sendiri menemukan file kak.hta ini pada folder : C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA Pada waktu kita reboot komputer kita setelah
file kak.hta ini sudah ada dalam sistem kita, maka virus ini mengcopy file
c:\autoexec.bat kita menjadi c:\ae.kak dan membuat file c:\autoexec.bat baru
dengan tambahan 2 baris di akhir file tersebut yang tulisannya sebagai berikut
:
@echo
off>C:\Windows\STARTM~1\Programs\Startup\kak.hta
del C:\Windows\STARTM~1\Programs\Startup\kak.hta Kemudian signature kita di Outlook Express 5.0
akan direplace dengan signature yang telah terinfeksi file kak.htm.
Setelah kejadian ini, secara tak sadar jadilah kita penyebar virus Kak ini, melalui e-mail yang kita kirim ke rekan-rekan kita. Jeleknya, kerja virus ini bukan hanya sampai disitu saja. Registri kitapun diobrak-abrik. Dengan memodifikasi registri maka virus ini akan bekerja setiap kita memboot / menjalankan komputer kita. Kemudian pada hari pertama setiap bulan, jika waktu telah menunjukkan lebih dari 17:00 (5:00pm) maka virus ini akan menunjukkan kotak peringatan dengan tulisan : Kagou-Anit-Kro$oft say not today! Kemudian virus ini akan membuat komputer Windows kita shut down. Saya menemukan isi registri saya sbb. : MyComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Doc Find Spec MRU Name
Data
(Default) (value not set) a "" b "" c "DS32" d "kok.reg" e "kak.worm.bat" f "sendcmt.cgi" g "gotmale" h "kak.reg" i "bworks" j "body" MRUList "hadecgbijf Kemudian file KAK.HTA saya temukan di : C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA dan file kak.htm di : C:\Windows\kak.htm Bagaimana mengdiagnosanya ?
Berikut ini langkah mendiagnosa sekaligus menghapus virus ini dari sistem Anda. 1.. Periksa file
C:\Autoexec.bat PC Anda.
Start | Run | msconfig kemudian ke tab Autoexec.bat Lihat apakah sudah ada 2 baris tambahan yang berisi : @echo off>C:\Windows\STARTM~1\Programs\Startup\kak.hta del C:\Windows\STARTM~1\Programs\Startup\kak.hta Jika kedua baris itu sudah ada, maka yang Anda perlu lakukan adalah menghapus Autoexec.bat kemudian merename file C:\ae.kak menjadi C:\autoexec.bat. Untuk melakukan hal ini gunakan perintah dari DOS. 2.. Cari file : a.. KAK.HTA, jika ketemu segeralah hapus : C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA b.. kak.htm, jika ketemu segeralah hapus : C:\Windows\kak.htm 3.. Obok-obok registri dengan mencari kata kok.reg atau kak.reg. Bisa juga langsung saja menuju : MyComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Doc Find Spec MRU Kemudian hapus segeralah file / karakter yang ada hubungannya dengan kak dan kok ini di registri tersebut. 4.. Periksa Start up komputer Anda, caranya : 1.. Start | Run | msconfig, kemudian ke tab Startup. Akan terlihat dua line yang mengandung kata : - cAg0u, c:\WINDOWS\SYSTEM\0F1E71980.hta - kak.hta, kak.hta Uncheck kedua line ini. Jika telah diunchek, langkah selanjutnya adalah menghilangkan 2 baris ini melalui regedit. 2.. Gunakan fasilitas regedit ke : HKLM/Software/Microsoft/Windows/CurrentVersion Cari di bagian Run atau RunService. Cari karakter kak atau kok atau cAg0u dan hapus. Dengan menghapus karakter ini maka fasilitas on/off di startupnya jadi hilang. 5.. Langkah terakhir adalah membersihkan Recycle Bin Anda. Setelah ini selesai dilakukan, bootlah kembali komputer Anda. Apa yang harus kita lakukan untuk mencegah
tertularnya virus ini ?
a.. Upgrade Internet Explorer
5.0 Anda menjadi 5.01.
Updatenya bisa di download di Websitenya Microsoft Internet Explorer atau membeli Majalah CHIPS edisi 1 Tahun 2000. b.. Download security patch dari MS Windows Patch ini bisa didapat gratis di websitenya MS yaitu di : Internet Explorer Security Area. Baca teliti petunjuk di page tersebut dan download semua patch-patch sesuai dengan konfigurasi komputer Anda. Jika hal ini telah dilakukan, maka sewaktu ada virus sejenis yang menyerang sistem PC Anda, akan muncul warning : Some software (ActiveX controls) on this page might be unsafe. It is recommended that you not run it. Do you want to allow it to run ? (Yes/No) Jadi jika kita menekan tombol No, maka akan muncul warning : An ActiveX control on this page is not safe. Your current security settings prohibit running unsafe controls on this page. As a result this page may not display as intended (OK) JANGAN SEKALI-KALI MENEKAN TOMBOL "YES". Jika kita menekan tombol Yes, maka terinfeksilah PC kita. c.. Gunakan selalu plain text dalam bere-mail. Caranya baca tulisan saya mengenai Mailing List di majalah Mikrodata edisi Januari 2000. Jika Anda menggunakan Eudora Pro, tetapi masih
bisa diinfeksi virus ini, maka langkah yang perlu Anda lakukan adalah seperti
yang ditulis oleh rekan saya Arif Gatot :
yth sdr. erik program eudora menggunakan bantuan ie untuk menampilkan tampilan html pada surat (bisa dilihat pada file readme eudora ) dengan demikian eudora bisa menampilkan active x cara kerjanya seperti plug-in pada netscape / ie bisa dinon aktifkan dengan mengubah setting eudora (tools-options-viewing email-disable executables in email) kalau kurang jelas bisa dilihat di file help eudora sekian Demikian tulisan singkat saya berdasarkan
pengalaman pribadi, jika ada yang ingin menambahkan atau mengoreksi,
dipersilakan.
-------------------------------------------------------------------------------- Kirim Komentar FAQ Milis Top Erik's Page at Hypermart Back Last modified on : 5 Maret 2000, by Erik Tapan From: Wisnu Agung <[EMAIL PROTECTED]> To: e-Software <[EMAIL PROTECTED]> Date: April 28, 2000 21;41 Subject: [i-kan-software] request anti virus Syaloom Apakah ada yang memiliki anti virus ataupun trik
untuk menghilangkan virus "kak script?"
terima kasih
Wisnu
|
- [i-kan-software] Re: request anti virus pttwr
- [i-kan-software] Re: request anti virus Adrian Soetanto
