Kespo Gang          12 Juni 1007

Virus Zombie .......Apakah Jill Valentine bisa selamat ?

 

Pernah main game atau nonton film Resident Evil ?? Survival game tentang Jill Valentine ini mengisahkan tentang perjuangan menghindari serangan zombie. Zombie yang menyerang ini sebelumnya adalah manusia biasa yang terinfeksi oleh kuman zombie dan kalau jagoannya terluka dia akan menjadi zombie dan... game over. Hal yang mirip terjadi pada dunia pervirusan Indonesia, sejak dua bulan terakhir ini sedang beredar virus yang men”zombie”kan file-file MS Office.

Sebenarnya cara termudah untuk membersihkan virus adalah jurus pamungkas, tanpa pengetahuan yang mendalam tentang cara kerja virus, bisa dikatakan “Anak Kecil Juga Tahu” dengan memformat dapat dikatakan virus dapat dienyahkan dari komputer anda. Itu kalau virusnya menginfeksi sistem. Pertanyaannya, bagaimana kalau virusnya menghancurkan file data. Untuk kasus ini perlu di lihat case by case, kalau datanya hanya di hidden (disembunyikan) tentunya dengan mudah dapat di kembalikan atau di rubah atributnya, yang lebih susah lagi kalau virusnya memformat komputer, diatasi dengan Data Recovery biasa yang mampu mengembalikan harddisk terformat. TETAPI kalau virusnya menghancurkan struktur file data (menginjeksi dengan string tidak berguna) sehingga data menjadi tidak dapat dipakai .... hmm, masalah ini termasuk sulit dan hanya data recovery dengan jam terbang tingkat tinggi yang dapat mengembalikan datanya. Itupun tergantung banyak faktor seperti berapa ukuran harddisk dan ruang kosong yang tersisa, apakah OS komputer yang ingin di recover langsung dimatikan atau sering dinyalakan yang dapat mengurangi tingkat keberhasilan recovery.

Kali ini Vaksincom ingin membahas lebih mendalam tentang keluarga virus Kespo yang akhir-akhir ini menyebar cukup merata dua bulan terakhir ini dan menurut pantauan Vaksincom korbannya di Indonesia mencapai ribuan kasus. Virus ini bahkan sudah beranak pinak dan sampai artikel ini diturunkan Vaksincom sudah menemukan 3 varian virus ini. Kali ini Vaksincom akan membahas lebih mendalam tentang virus Kespo ini dan memberikan tips untuk menyelamatkan Jill Valentine anda J.

 

Menyembunyikan atau menghapus file dokumen seperti DOC dan XLS serta membuat file duplikat sesuai dengan file yang dihapus/disembunyikan sudah biasa dilakukan oleh virus lokal, metode ini mempunyai kelemahan karena user akan mudah mengetahui file duplikat  tersebut adalah sebuah virus karena biasanya file duplikat yang dibuat oleh virus akan mempunyai ukuran file yang sama apalagi jika type file masih menggunakan “Application”. Aksi yang dilakukan oleh virus lokal yang ini sedikit berbeda dibandingkan sebelumnya walaupun tetap masih menyerang data. Kali ini virus lokal sudah tidak menyembunyikan file tetapi menginjeksi / menginfeksi dokumen seperti file DOC/XLS, mirip Zombie dengan menambahkan kode virus tersebut sehingga file tersebut akan terjadi penambahan beberapa KB dari ukuran semula, inilah yang menyebabkan user mudah tertipu karena file yang terinfeksi akan mempunyai ukuran yang berbeda, tetapi metode ini dapat kembali dengan mudah diketahui user karena file tersebut mempunyai type file sebagai “Application”.

 

Salah satu virus yang mencoba untuk injeksi ke dalam file Office seperti DOC atau XLS adalah Kespo atau biasa disebut Kspool. Sampai saat ini Kespo sudah menurunkan 3 varian (dan kemungkinan besar akan terus bertambah) walaupun untuk masing-masing varian melakukan aksi yang sama (menginjeksi file DOC/XLS) tetapi file induk yang dibuat akan berbeda-beda dan yang cukup menarik adalah virus ini bukan made ini VB (Visual Basic) lagi melainkan Delphi.

 

Dengan update terakhir Norman Virus Control sudah dapat mengenali virus ketiga varian ini. (lihat gambar 1)

 

Gambar 1, Hasil scanning Norman Virus Control terhadap virus-virus Kespo

 

File yang diusung oleh Kespo “biasanya” akan terdiri dari 2 jenis file yakni file dengan ekstensi EXE dan DLL. Seperti contoh untuk varian awalnya [Kespo.A] akan mempunyai ukuran sebesar 279 KB  untuk file dengan ekstensi EXE dan 59 KB untuk file dengan ekstensi DLL. File yang akan dibuat oleh Kespo.A ini adalah:

 

  • C:\%Windir%\System32\avmeter32.dll
  • C:\%Windir%\System32\kspoold.exe
  • C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE

 

Icon yang menyertai file induk Kespo.A ini adalah icon yang menyerupai “gerigi roda” seperti yang terlihat pada gambar 2 dan 3 di bawah ini:

 

Gambar 2, Icon yang digunakan oleh Kespo.A

 

Gambar 3, File induk Kespo.A

 

Menjadikan dirinya sebagai Service “K Print Spooler”

Sebagai pendukung agar dirinya dapat aktif maka ia akan membuat string pada registry berikut dan menjadikan dirinya sebagai Service sehinggga sulit untuk dimatikan. Untuk memastikannya coba Anda lakukan langkah berikut :

  • Klik kanan My Computer
  • Pilih “Manage”
  • Klik Services and Application”
  • Klik “Services”
  • Kemudian lihat panel sebelah kanan maka akan terlihat satu service baru dengan nama “K Print Spooler”, perhatikan gambar 4 dibawah ini:

 

Gambar 4, Kespo.A menyamarkan dirinya sebagai Service

 

Bagaimana ia melakukannnya? Untuk melakukan hal tersebut Kespo.A akan membuat key pada registry berikut

 

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon

·         ImagePath = C:\%Windir%\System32\Kspoold

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kspooldaemon

·         ImagePath = C:\%Windir%\System32\Kspoold

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon

·         ImagePath = C:\%Windir%\System32\Kspoold

 

Berbeda dengan generasi pertama, untuk generasi kedua icon yang digunakan adalah icon yang menyerupai “Folder” tertutup serta mempunyai ukuran sebesar 438 Kb untuk file dengan ekstensi .EXE dan 63 KB untuk file yang mempunyai ekstensi .DLL, berikut file yang akan dibuat oleh Kespo.B (gambar 5 dan 6) :

 

  • C:\%Windir%\system32\avwav32.dll
  • C:\%Windir%\system32\kspool.exe
  • C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE

      Gambar 5, Icon yang digunakan oleh Kespo.B

 

Gambar 6, File induk Kespo.B

 

Jika pada varian pertamanya ia menyamarkan dirinya sebagai service, kini untuk varian kedua tidak melakukan hal tersebut, agar dirinya dapat aktif Kespo.B akan membuat registry berikut :

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

·         Kernel spooler = C:\WINDOWS\system32\kspool.exe

 

Terakhir untuk varian ke tiga file yang terinfeksi akan mempunyai icon “Recycle Bin”. File ini akan mempunyai ukuran sebesar 224 KB untuk file yang berekstensi .EXE dan 64 KB untuk file yang mempunyai ekstensi .DLL. Berikut file yang akan dibuat oleh Kespo.C (gambar 7 dan 8) :

 

·         C:\%Windir%\System32\Kspool.exe

·         C:\%Windir%\avwav32.dll terdeteksi sebagai W32/Keylog.BSR

·         C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE terdeteksi sebagai W32/Delf.AFRE

·         C:\Documents and settings\%user%\Local Settings\Temp\Uninstall log.dat terdetksi sebagai W32/Delf.AFRE

 

Gambar 7, Icon yang digunakan oleh Kespo.C

 

Gambar 8, File yang terinfeksi Kespo C.

 

Agar Kespo.C dapat aktif setiap kali komputer dinyalakan, ia pun akan membuat string pada registry berikut:

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Kernel spooler = C:\WINDOWS\system32\kspool.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Kernel spooler = C:\WINDOWS\system32\kspool.exe
  • HKEY_USERS\S-1-5-21-839522115-706699826-2147125571-500\Software\Microsoft\Windows\CurrentVersion\Run
    • Kernel spooler = C:\WINDOWS\system32\kspool.exe

 

Bagaimana membedakan varian-varian Kespo ini??

Cara yang paling mudah adalah dengan melihat icon pada file induk pada masing-masing virus lokal. Untuk mengetahui hal ini anda dapat menelusuri file kspool.exe atau kspoold.exe yang berada didirektori C:\windows\System32 dengan terlebih dahulu menampilkan semua file/folder yang disembunyikan hal ini disebabkan karena file induk ini akan disembunyikan.

 

Kespo Tidak blok fungsi Windows/tools security dan Antivirus

Berbeda dengan virus lokal terdahulu, kini Kespo tidak akan melakukan blok terhadap fungsi Windows. Walaupun demikian akibat yang ditimbulkan cukup besar dan merepotkan user apalagi bagi mereka yang awam terhadap komputer. Apa itu ?

 

Dengan tidak dibloknya fungsi Windows tersebut seharusnya akan lebih memudahkan kita untuk mematikan proses virus tersebut, tetapi kenyataannya tidak L.... Tanya kenapa ?? Jawabnya adalah karena proses virus tersebut [Kspool.exe dan Kspoold.exe] tidak dapat dimatikan melalui Task Manager dan akan keluar pesan bahwa file tersebut sedang digunakan, setelah diselidiki ternyata terdapat satu file DLL yang akan memantau proses Kespo [Kspool.exe dan Kspoold.exe] yakni file avmeter32.dll atau avwav32.dll, file inilah yang harus dimatikan pertama kali agar file kspool.exe atau kspoold.exe dapat dimatikan atau dihapus. Selain itu proses virus Kespo tidak akan terlihat di proses Windows [Task Manager] termasuk jika anda menggunakan ProceeXP atau currProcess J.

 

Injeksi File MS.Office [*.DOC/*.XLS]

Langkah terakhir yang  merupakan inti dari virus ini adalah mencoba untuk menginjeksi/menginfeksi file Office seperti DOC/XLS. Sebenarnya Kespo juga akan bersusaha untuk menyerang file Data Base seperti *.MDF, *.DBF atau LDF tetapi hal ini kurang berhasil karena system penginfeksiannya masih terbatas pada Flash Disk. Kita masih berutung (kata orang Jawa J) karena virus ini untuk sementara hanya menginfeksi file yang ada di Flash Disk saja. Tetapi walaupun demikian pembuat virus ini dapat saja membuat  varian lain yang lebih ganas dibandingkan varian sebelumnya, jadi tetap waspada dan selalu update antivirus anda dan selalu backup data penting anda dengan teratur.

 

File yang sudah terinfeksi oleh Kespo akan mempunyai ciri-ciri berikut:

  • Untuk Kespo.A dan Kespo.B, setiap file yang terinfeksi akan mempunyai icon MS.Word atau XLS. Sedangkan untuk Kespo.C setiap file yang terinfeksi akan mempunyai icon “Recycle bin”, perhatikan gambar 9 dan 10 dibawah ini:

 

 

Gambar 9, File yang terinfeksi Kespo.A dan Kespo.B

 

Gambar 10, File yang terinfeksi Kespo.C

 

Berbeda dengan varian Kespo sebelumnya, jika file yang sudah terinfeksi Kespo.C di buka [run] maka akan terlihat 2 file di direktori yang sama yakni 1 file merupakan file asli dan 1 file lagi merupakan file hasil injeksi / infeksi Kespo.C, untuk lebih jelasnya silahkan lihat gambar 11 dibawah ini:

 

Gambar 11, File Kespo C yang terinfeksi bila di jalankan

 

  • Ukuran file berbeda-beda , karena virus ini akan menambahkan dirinya kedalam ke file tersebut.
  • Mempunyai ekstensi EXE
  • Type File sebagai “Application”

 

Trik membersihkan virus W32/Kespo aka Kspool (Kspoold)

  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
  2. Jjika menggunaan Windows XP disarankan untuk mematikan / disable “System Restore” selama proses pembersihan berlangsung.
  3. Matikan proses virus yang aktif dimemori. Untuk mempermudah dalam mematkan proses virus tersebut, Anda dapat menggunakan tools pengganti Task Manager seperti Pocket Killbox, kenapa Pocket Killbox ? karena selain dapat mematikan proses virus yang aktif dimemori, Pocket Killbox juga dapat langsung menghapus file tersebut.

 

Silahkan download tools tersebut di alamat berikut:

http://killbox.net/downloads/KillBox.exe

 

Seperti yang sudah dijelaskan diatas bahwa virus Kespo akan membuat beberapa file induk  yang berbeda-beda tergantung dari varian virus tersebut seperti:

 

    1. Kespo.A

·         avmeter32.dll

·         kspoold.exe

    1. Kespo.B

·         AVWAV32.DLL

·         KSPOOL.EXE.

    1. Kespo.C

·         KSPOOL.exe

·         Avwav32.dll

 

Agar virus tersebut dapat lebih mudah untuk dihentikan pertama-tama Anda harus menghentikan dan menghapus file induk yang mempunyai ekstensi DLL [avmeter32.dll atau anwav32.dll] karena file ini lah yang selalu memantau keberadaan file induk lain yang mempunyai ekstensi EXE [KSPOOL.exe / KSPOOLD.exe]

 

Setelah tools Pocket Killbox tersebut berhasil di download, jalankan di komputer yang telah terinfeksi kemudian pada kolom “Full path of file to Delete” isi lokasi file yang akan di matikan / dihapus [biasanya file induk ini akan dibuat diditrektori C:%\Windir%\System32. Setelah menentukan file yang akan di matikan/dihapus kemudian klik tombol “X” untuk menghapus file sesuai jenis Kespo yang menginfeksi komputer anda. Lihat gambar 12 dan 13 sebagai contoh untuk menghapus Kespo.A :

 

Gambar 12, Menghapus file induk Kespo.A

 

Gambar 13, Menghapus file induk Kespo.A

 

  1. Jangan lupa untuk menghapus juga file berikut [sesuaikan dengan varian Kespo yang menyerang komputer Anda].
    1. %Driver akhir%\MSSETUP.T~~

·         UninstallDriver.exe

·         Folder.htt

    1. %Driver akhir%\Desktop.ini
    2. C:\!Submit
    3. C:\Documents and Settings\%user%\Local Settings\Temp

·         Uninstall Driver.exe

    1. C:\Documents and settings\%user%\Local Settings\Temp\Uninstall log.dat
  1. Setelah berhasil menghapus file tersebut, lakukan pembersihan pada registry dengan menyalin script dibawah ini pada program notepad kemudian simpan dengan nama Repair.inf dan jalankan file tersebut dengan cara:
    1. Klik kanan repair.inf
    2. Klik Install

 

[Version]

Signature="$Chicago$"

Provider=Vaksincom Kespo

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Kernel spooler

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Kernel spooler

HKLM, SYSTEM\ControlSet001\Services\kspooldaemon

HKLM, SYSTEM\ControlSet002\Services\kspooldaemon

HKLM, SYSTEM\CurrentControlSet\Services\kspooldaemon

 

Tips mematikan proses virus, menghapus file virus dan menghapus registry virus

Untuk  mempermudah dalam menghentikan virus ini baik untuk menghentikan proses virus/menghapus file virus serta menghapus registry yang dibuat oleh virus, salin script berikut pada program “Notepad” kemudian simpan dengan nama “RepairKespo.bat”, jangan lupa untuk menyimpan file tersebut di Drive C:, setelah itu jalankan file tersebut dengan cara klik 2X file RepairKespo.bat.

 

   echo off

    cls

    REM — ubah warna

    color b

 

    REM — ubah judul

    title KESPO-KSPOOL Remover * by Vaksincom

 

    REM — masuk ke direktori sistem

    %SYSTEMDRIVE%

    cd %SYSTEMROOT%\system32

 

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    echo KESPO-Kspool (All Varian) Remover * by Vaksincom *

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    echo Fungsi KESPO-Kspool Remover 1.0

    echo - Mematikan proses W32/Kespo yang aktif di resident memori

    echo - Menghapus file induk yang dibuat oleh W32/Kespo

    echo - Menghapus registry yang dibuat oleh W32/Kespo

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    echo.

 

    pause

 

    echo.

    REM — hentikan proses virus   

    taskkill /f /fi "MODULES EQ AVWAV32.DLL"

    taskkill /f /fi "MODULES EQ AVMETER32.DLL"

 

    REM — hentikan proses virus

    taskkill /IM kspoold.exe /F /T

    taskkill /IM kspool.exe /F /T

 

    REM — set atribut file virus menjadi normal

    attrib -s -h -r kspoold.exe

    attrib -s -h -r kspool.exe

    attrib -s -h -r avmeter32.dll

    attrib -s -h -r avwav32.dll

 

    REM — hapus file virus

    del kspoold.exe

    del kspool.exe

    del avmeter32.dll

    del avwav32.dll

 

    REM — hapus registry virus

    reg delete HKLM\SYSTEM\ControlSet001\Services\kspooldaemon /f

    reg delete HKLM\SYSTEM\ControlSet002\Services\kspooldaemon /f

    reg delete HKLM\SYSTEM\CurrentControlSet\Services\kspooldaemon /f

    reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "kernel spooler" /f

    reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "kernel spooler" /f

   

    cls

 

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    echo KESPO-Kspool (All Varian) Remover * by Vaksincom *

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    echo Fungsi KESPO-Kspool Remover 1.0

    echo - Mematikan proses W32/Kespo yang aktif di resident memori

    echo - Menghapus file induk yang dibuat oleh W32/Kespo

    echo - Menghapus registry yang dibuat oleh W32/Kespo

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    echo.

 

    echo --- Please click "close" to exit ---

 

msg %username% /time:30 "Selamat... - Virus "W32/KESPO (KSPOOL)" berhasil dihapus, Silahkan cek ulang dengan antivirus yang up-to-date -"

   

    CALL EXPLORER 

 

    exit 

 

  1. Recover DOC dan XLS file

Untuk memulihkan dokumen DOC/XLS yang sudah di injeksi/infeksi oleh virus, Anda dapat menggunakan tools yang banyak dibuat oleh programmer lokal seperti Docxlsrecover.exe, silahkan download tools tersebut dialamat http://adilmakmur.wordpress.com/2007/05/25/doc-xls-recover/ (lihat gambar 14)

 

Gambar 14, Tools recovery DOC/XLS

 

Jika Anda menjumpai file DOC atau XLS berubah dengan  icon  menggunakan icon aplikasi serta mengggunakan ekstensi EXE, untuk mengembalikannya silahkan gunakan tools diatas [lihat gambar 15 dan 16 dibawah]. Dari info yang didapat bahwa untuk saat ini tools tersebut hanya bisa melakukan perbaikan file yang terinfeksi satu persatu, perhatikan gambar di bawah ini.

 

Gambar 15, File yang sudah dibersihkan dengan ekstensi masih menggunakan icon Application