w32/tunggul kawung merajalela

Tmen q kaget ketika membuka file MS Wordnya, kok file skripsiku berubah jadi soal ujian negara SMA ? Waks ……apa gara-gara dulu suka nyontek yah, sekarang jadi harus mengerjakan soal ujian negara lagi ? Jangan terlalu percaya dengan tahayul, apalagi di zaman kuda gigit prosesor sekarang ini. File MS Office anda berubah jadi file ujian negara disebabkan oleh aksi virus Gultung, yang lebih populer dengan nama Tunggul Kawung (yang diperkirakan berasal dari kota hujan Bogor) dan sangat marak di kota-kota satelit Jakarta. Menurut pengamatan Vaksincom, ibarat strategi bisnis motor Kanzen atau Mao Tze Dong virus ini menyebar dengan cara menguasai desa terlebih dahulu untuk menuju Jakarta. Karena itu para pengguna komputer yang memiliki data MS Office diperingatkan untuk melakukan Back Up data MS officenya segera karena data yang menjadi korban aksi virus ini sangat sulit di recover.

Menyembunyikan file merupakan salah satu trend yang sering digunakan oleh kebanyakan virus lokal yang menyebar saat ini, sehingga terkadang membuat panik para penguna komputer terutama bagi mereka yang awam terhadap komputer apalagi terhadap virus. Sebenarnya masih untung file tersebut hanya disembunyikan saja, jadi data masih aman dan dengan mudah semua file yang tersembunyi dapat ditampilkan kembali baik menggunakan Tools atau menggunakan Command line (ATTRIB) dengan catatan sang vius harus sudah dimusnahkan terlebih dahulu. Saat ini aksi menyembunyikan file sudah mulai dirasakan “basi” (bagi para VM) karena sudah terlalu banyak virus lokal yang melakukan hal itu, sehingga muncullah virus-virus baru yang sudah tidak lagi menyembunyikan file tetapi berusaha untuk menghapus bahkan menginjeksi file. File yang sering di incar biasanya adalah file MS Office seperti MS.Word atau MS.Excel dan tak menutup kemungkinan file lain juga akan di incar tergantung keperluannya. Semenjak kemunculan Kespo, dimana virus ini akan berusaha untuk menginjeksi file MS Office (MS.Word dan MS.Excel) bahkan berusaha untuk menginjeksi file Database (DBF/MDF/SQL). Kini arah penyerangannya mulai sedikit berubah bukan lagi menyembunyikan file tetapi mulai menginjeksi file sehingga file yang terinfeksi akan mempunyai ukuran yang berbeda-beda, hal inilah yang menjadi salah satu penyebab penyebaran yang sangat cepat karena user (terutama user awam) tidak dapat membedakan antara file asli dan file yang sudah terinfeksi virus.

Setelah merebaknya kasus Kespo yang sempat menghebohkan beberapa waktu lalu bahkan sampai saat ini Kespo dan teman-temannya masih menghantui para pengguna komputer hal ini di perparah dengan banyaknya antivirus mancanegara yang langsung menghapus setiap file yang terinfeksi alhasil banyak diantara mereka yang mencoba menggunakan jurus lain untuk menangkal serangan Kespo baik dengan menggunakan tools atau software antivirus lokal yang memang terbukti ampuh untuk menghalau virus Kespo karena dapat merecovery file yang telah terinfeksi oleh Kespo.

Kini telah muncul virus lain yang mempunyai karakteristik seperti kespo, tetapi boleh dibilang virus satu ini mempuyai aksi yang lebih ganas dibandingkan kespo walaupun untuk saat ini masih terbatas menyerang file Office (MS.Word dan MS.Excel). Virus ini juga mampu menggunakan rekayasa sosial yang canggih. Seperti apa rekayasa sosial yang digunakan oleh virus ini?, seperti yang sudah dijelaskan diatas bahwa virus ini mempunyai aksi yang lebih jahat dibandingkan Kespo, yakni dengan mengganti (replace/overwrite) dokumen yang terinfeksi untuk kemudian mengganti dengan dokumen dari virus tersebut plus kode jahatnya, dengan kondisi seperti ini kemungkinan kecil dokumen yang sudah terinfeksi dapat diselamatkan. File yang sudah terinfeksi tersebut akan mempunyai icon “Folder” atau “kamera” (tergantung dari variannya) dengan ekstensi EXE dan sebagai bentuk “pertanggungjawabannya” virus ini juga akan membuat file duplikat lainnnya dengan ukuran yang sama (sama seperti file duplikat yang mempunyai ekstensi EXE) tetapi mempunyai icon MS.Word dengan attribut HIDDEN (disembunyikan) dan mempunyai ekstensi DOC dengan type file sebagai “Microsoft Word Documents” sehingga user beranggapan bahwa file mereka masih “AMAN”, sungguh penyamaran yang luar biasa. Jika file file tersebut dibuka maka akan muncul pesan error seolah-olah file tersebut rusak, jika diteliti lebih dalam sebenarnya file tersebut adalah file yang sudah terinfeksi dan jika kita ubah ekstensi dari file tersebut maka icon yang menyertai virus tersebut akan berubah menjadi “Folder” atau “kamera” (tergantung variannya) yang jika dijalankan maka akan membangkitkan kembali virus tersebut (virus akan aktif).

Saat ini Gultung sudah mengeluarkan 2 versi dimana untuk masing-masing versi mempunyai tujuan yang sama tetapi ada sedikit perbedaan walaupun tidak terlalu banyak. Jika sebelumnya Kespo dibuat dengan Bahasa Delphi kini W32.Gultung kembali dibuat dengan menggunan bahasa Visual Basic.

Icon yang digunakan

Untuk mengelabui user Gultung.A akan menggunakan icon “kamera”, dengan ukuran sekitar 677 KB dengan ekstensi EXE dan mempuyai  type file sebagai “Application”.

Sedangkan untuk Gultung.B akan menggunakan icon “Folder” dengan ukuran sebesar 177 KB, mempunyai ekstensi EXE dengan type file sebagai “Application” 

File induk

Setelah file virus ini dijalankan, maka W32/Gultung akan menampilkan satu lembar notepad yang berisi perasaan si mpunya virus, 

setelah ia akan membuat file induk yang akan dijalankan pertama kali setiap komputer dinyalakan. Kedua varian ini akan membuat nama file induk yang yang sama diantaranya : 

  • C:\Windows\system32\hanny.exe
  • C:\windows\system23\aniee.exe
  • C:\autoexec.bat
  • S:\tunggul.vbs
  • C:\aniee.txt
  • %SystemRoot%\iexplorer.exe (Gultung.A)

 

Published in: on Desember 28, 2007 at 4:20 am  Tinggalkan sebuah Komentar  

The URI to TrackBack this entry is: https://nexsoft.wordpress.com/2007/12/28/w32tunggul-kawung-merajalela/trackback/

RSS feed for comments on this post.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: