Info :Sewa Hosting

Jika kita menyewa sebuah hostingan apakah webserver, php, segala macam, mesti kita upload terlebih dahulu ? Bagaimana jika kita ingin mempunyai forum, gallery, dan lain sebagainya, apakah juga mesti kita upload satu per satu ?

Jawabnya tidak perlu. Karena di dalam sebuah hostingan yang menggunakan Cpanel sebagai halaman administrasinya semuanya sudah disediakan. Intinya, webserver, apache, sudah terpasang. Begitu pula dengan dukungan bahasa pemrograman seperti PHP, Perl, serta database juga sudah disediakan.

Database itu yang mana sich ? Database yang ada pada umumnya adalah MySQL. Dengan database ini semua data yang ada tersimpan didalamnya. Seperti kalau kita menggunakan WordPress maka semua artikel beserta komentar-komentarnya tersimpan di database ini.

Lalu bagaimana dengan tool-tools yang ingin kita pasang, seperti misal mau bikin blog pake WordPress. Di dalam Cpanel ada yang namanya Fantastico. Di dalam Fantastico inilah ada banyak kumpulan script pre-installed yang mendukung kebutuhan kita dalam membuat website. Dari tool blog sampai tool untuk membuat layanan e-commerce.

Semua tersusun rapi tinggal kita ingin install atau menggunakan yang mana. Namun ingat semua tentunya membutuhkan space untuk pemakaiannya. Semua keterangannya bisa kita lihat terlebih dahulu seperti kebutuhan akan space dan lain sebagainya.

Jangan sampai kita keenakan install tau-tau space yang ada sudah habis. Tapi yang jelas semua itu sudah dihandle oleh Cpanel. Kita tidak perlu lagi memikirkan apa yang mesti kita upload jika kita ingin sebuah blog, forum, gallery, atau yang lain. Kecuali kalau memang kita sudah bikin tool sendiri tidak mau menggunakan tool-tools yang sudah ada itu.

Capture: Fantastico

July 2, 2007 Posted by miekuah | IT | | No Comments Yet

Automated Malware Analysis with Instant Results

SandBox Malware Analyzer products

Add to My Norman Bookmarks

Automated Malware Analysis with Instant Results Analyzing malware can be a cumbersome and time consuming task, involving multiple applications for code analysis, as well as a network of computers. Most of the time you would need to combine the results of several applications to find the true actions and intents of the malware. With Norman’s new SandBox product line, the complexity, speed and infrastructure needed to analyze files has been dramatically reduced. This will give you a quick Return on Investment. Pressure on security managers to quickly and cost-effectively analyze and debug viruses and other forms of malware has never been greater. What used to take days, and even weeks, can now be done in minutes with Norman’s SandBox Malware Analyzer product line, which automates file analysis, saving you time, money, and manpower. In August 2006 Norman SandBox Analyzer won Info Security Products Guide’s “Tomorrow’s Technology Today Award”. in the categories “Virtual Environment Solutions” and “Forensics”. Click image or text link to go directly to product information on a separate web SandBox Analyzer SandBox Online Analyzer SandBox Analyzer Pro SandBox Reporter

Note in particular that these SandBox Malware Analyzer products presented here, are high-end technical products. They are intended for highly technical personell. They are not intended for single users! The Sandbox is presented in less technical terms on Norman Sandbox Information Center.

July 2, 2007 Posted by miekuah | Virus | | No Comments Yet

Info Virus : Worm/NetSky.P

Virus:	Worm/NetSky.P
Date discovered:	21/03/2004
Type:	Worm
In the wild:	Yes
Reported Infections:	Medium to high
Distribution Potential:	Medium
Damage Potential:	Low to medium
Static file:	Yes
File size:	50.688 Bytes
MD5 checksum:	04ad0c4ec6b2a96d4ba6fd52fb015d9d
VDF version:	6.24.00.65 - Sun, 21 Mar 2004 19:11 (GMT+1)

 General 

Method of propagation:
• Email

Aliases:
•  Symantec: W32.Netsky.P@mm
•  Mcafee: W32/Netsky.p@MM
•  Kaspersky: Email-Worm.Win32.NetSky.q
•  TrendMicro: WORM_NETSKY.P
•  F-Secure: Email-Worm.Win32.NetSky.q
•  Sophos: W32/Netsky-P
•  Panda: W32/Netsky.P.worm
•  Grisoft: I-Worm/Netsky.Q
•  VirusBuster: I-Worm.Netsky.Q1
•  Eset: Win32/Netsky.Q worm
•  Bitdefender: Win32.Netsky.P@mm

Platforms / OS:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP

Side effects:
• Drops a malicious file
• Uses its own Email engine
• Registry modification

 Files 

It copies itself to the following location:
• %WINDIR%\fvprotect.exe

The following files are created:

– It creates the following archive containing a copy of the malware:
• %WINDIR%\zipped.tmp

– MIME encoded copies of itself:
• %WINDIR%\zip1.tmp
• %WINDIR%\zip2.tmp
• %WINDIR%\zip3.tmp
• %WINDIR%\base64.tmp

– %WINDIR%\userconfig9x.dll Further investigation pointed out that this file is malware, too.

 Registry 

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• “Norton Antivirus AV”=”%WINDIR%\FVProtect.exe”

The values of the following registry key are removed:

–  HKLM\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Run
• “norton antivirus av”
• “explorer”
• “system.”
• “msgsvr32″
• “au.exe”
• “winupd.exe”
• “direct.exe”
• “jijbl”
• “Video”
• “Service”
• “DELETE ME”
• “d3dupdate.exe”
• “OLE”
• “sentry”
• “gouday.exe”
• “rate.exe”
• “taskmon”
• “Windows Services Host”
• “sysmon.exe”
• “ssrate.exe”
• “winupd.exe”

 Email 

It contains an integrated SMTP engine in order to send emails. A direct connection with the destination server will be established. The characteristics are described in the following:

From:
The sender address is spoofed.

To:
– Email addresses found in specific files on the system.

Subject:
One of the following:
• Re:approved; approved bil; Re:Approved document; Re:Bad request;
Re:Bill; data; Re:Delivery Server; Do you?; Does it matter?;
Re:Encrypted Mail; Re:Error; Re:Error in document; Re:Failure;
Re:file; Re:Free porn; Re:hello; Re:here; Re:Hi; Hi; I cannot forget
you!; important data; Internet Provider Abuse; Is that your password?;
Re:Its me; Re:List; Re:Message Error; Re:my bill; Re:my data;
Re:Order; Postcard; Re:Proof of concept; Re:Protected Mail Delivery;
Protected Mail System; Re:Protected Mail system; Re:Question;
Re:Request; Re:Sample; Re:Secure SMTP Message; Shocking document;
Fw:Warning again; Re:Status; Your day; Re:Your document; Re:your
document_all

In some cases the subject might also be empty.

Body:
The body of the email is one of the following:

• I noticed that you have visited illegal websites.
See the name in the list!

• Important message, do not show this anyone!
your big love,

• Thanks!
Protected message is attached.

• Congratulations!,
your best friend.

• Best wishes,
your friend.

• Your document is attached.

• See the file.

• Please see the attached file for details.

• Your document is attached to this mail.

• SMTP: Please confirm the attached message.

• You have written a very good text, excellent, good work!

• Your photo, uahhh…. , you are naked!

• You have received an extended message. Please read the instructions.

• Partial message is available.

• Waiting for authentification.

• I hope the patch works.

• Here is the website.

• Your file is attached.

• Do not visit this illegal websites!

• Delivered message is attached.

• I cannot believe that.

• I am shocked about your document!

• Please authenticate the secure message

• I have corrected your document.

• Here is my icq list.

• You got a new message.

• I hope you accept the result!

• Important message, do not show this anyone!

• Please read the document.

Attachment:
The filename of the attachment is constructed out of the following:

–  It starts with one of the following:
• important
• details
• information
• corrected
• bill
• after_you
• message
• readme.txt
• data
• text
• details
• document
• software
• game
• archive
• postcard
• msg
• bill
• text
• application
• www.freeporn4all
• text01
• letter
• private
• excel document

Sometimes continued by one of the following:
• _

Sometimes continued by random characters or by one of the following:
• %several random numbers from 0 to 9%

Sometimes continued by one of the following fake extensions:
• pif
• zip
• doc
• scr
• txt

The file extension is one of the following:
• .exe
• .zip

Here are a few examples of how the filename of the attachment might look like:
• application.txt          &nbsp.exe
• msg.scr

The attachment is a copy of the malware itself.

The email may look like one of the following:

 P2P 

In order to infect other systems in the Peer to Peer network community the following action is performed:

–   It searches for directories that contain one of the following substrings:
• share
• upload
• download
• ftp

If successful, the following files are created:
• Kazaa Lite 4.0 new.exe; Britney Spears Sexy archive.doc.exe; Kazaa
new.exe; Britney Spears porn.jpg.exe; Harry Potter all e.book.doc.exe;
Britney sex xxx.jpg.exe; Harry Potter 1-6 book.txt.exe; Britney Spears
blowjob.jpg.exe; Harry Potter e book.doc.exe; Britney Spears
cumshot.jpg.exe; Harry Potter.doc.exe; Harry Potter game.exe; Britney
Spears fuck.jpg.exe; Britney Spears.jpg.exe; Harry Potter 5.mpg.exe;
Britney Spears and Eminem porn.jpg.exe; Matrix.mpg.exe; Britney Spears
Song text archive.doc.exe; Britney Spears full album.mp3.exe;
Eminem.mp3.exe; Britney Spears.mp3.exe; Eminem Song text
archive.doc.exe; Eminem Sexy archive.doc.exe; Eminem full
album.mp3.exe; Eminem Spears porn.jpg.exe; Ringtones.mp3.exe; Eminem
sex xxx.jpg.exe; Ringtones.doc.exe; Eminem blowjob.jpg.exe; Altkins
Diet.doc.exe; Eminem Poster.jpg.exe; American Idol.doc.exe;
Cloning.doc.exe; Saddam Hussein.jpg.exe; Arnold
Schwarzenegger.jpg.exe; Windows 2003 crack.exe; Windows XP crack.exe;
Adobe Photoshop 10 crack.exe; Microsoft WinXP Crack full.exe; Teen
Porn 15.jpg.pif; Adobe Premiere 10.exe; Adobe Photoshop 10 full.exe;
Best Matrix Screensaver new.scr; Porno Screensaver britney.scr; Dark
Angels new.pif; XXX hardcore pics.jpg.exe; Microsoft Office 2003 Crack
best.exe; Serials edition.txt.exe; Screensaver2.scr; Full album
all.mp3.pif; Ahead Nero 8.exe; netsky source code.scr; E-Book
Archive2.rtf.exe; Doom 3 release 2.exe; How to hack new.doc.exe; Learn
Programming 2004.doc.exe; WinXP eBook newest.doc.exe; The Sims 4
beta.exe; Win Longhorn re.exe; Dictionary English 2004 -
France.doc.exe; RFC compilation.doc.exe; 1001 Sex and more.rtf.exe; 3D
Studio Max 6 3dsmax.exe; Keygen 4 all new.exe; Windows 2000
Sourcecode.doc.exe; Norton Antivirus 2005 beta.exe; Gimp 1.8 Full with
Key.exe; Partitionsmagic 10 beta.exe; Star Office 9.exe; Magix Video
Deluxe 5 beta.exe; Clone DVD 6.exe; MS Service Pack 6.exe; ACDSee
10.exe; Visual Studio Net Crack all.exe; Cracks & Warez Archiv.exe;
WinAmp 13 full.exe; DivX 8.0 final.exe; Opera 11.exe; Internet
Explorer 9 setup.exe; Smashing the stack full.rtf.exe; Ulead Keygen
2004.exe; Lightwave 9 Update.exe

These files are copies of the malware itself.

The shared directory might look like the following:

 Miscellaneous 

Mutex:
It creates the following Mutexes:
• ‘D’r'o’p'p’e'd’S'k’y'N’e't’
• _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

July 2, 2007 Posted by miekuah | Virus | | No Comments Yet

Info Virus : Kespo Gang

 

Kespo Gang          12 Juni 1007

 

Virus Zombie …….Apakah Jill Valentine bisa selamat ?

 

Pernah main game atau nonton film Resident Evil ?? Survival game tentang Jill Valentine ini mengisahkan tentang perjuangan menghindari serangan zombie. Zombie yang menyerang ini sebelumnya adalah manusia biasa yang terinfeksi oleh kuman zombie dan kalau jagoannya terluka dia akan menjadi zombie dan… game over. Hal yang mirip terjadi pada dunia pervirusan Indonesia, sejak dua bulan terakhir ini sedang beredar virus yang men”zombie”kan file-file MS Office.

Sebenarnya cara termudah untuk membersihkan virus adalah jurus pamungkas, tanpa pengetahuan yang mendalam tentang cara kerja virus, bisa dikatakan “Anak Kecil Juga Tahu” dengan memformat dapat dikatakan virus dapat dienyahkan dari komputer anda. Itu kalau virusnya menginfeksi sistem. Pertanyaannya, bagaimana kalau virusnya menghancurkan file data. Untuk kasus ini perlu di lihat case by case, kalau datanya hanya di hidden (disembunyikan) tentunya dengan mudah dapat di kembalikan atau di rubah atributnya, yang lebih susah lagi kalau virusnya memformat komputer, diatasi dengan Data Recovery biasa yang mampu mengembalikan harddisk terformat. TETAPI kalau virusnya menghancurkan struktur file data (menginjeksi dengan string tidak berguna) sehingga data menjadi tidak dapat dipakai …. hmm, masalah ini termasuk sulit dan hanya data recovery dengan jam terbang tingkat tinggi yang dapat mengembalikan datanya. Itupun tergantung banyak faktor seperti berapa ukuran harddisk dan ruang kosong yang tersisa, apakah OS komputer yang ingin di recover langsung dimatikan atau sering dinyalakan yang dapat mengurangi tingkat keberhasilan recovery.

Kali ini Vaksincom ingin membahas lebih mendalam tentang keluarga virus Kespo yang akhir-akhir ini menyebar cukup merata dua bulan terakhir ini dan menurut pantauan Vaksincom korbannya di Indonesia mencapai ribuan kasus. Virus ini bahkan sudah beranak pinak dan sampai artikel ini diturunkan Vaksincom sudah menemukan 3 varian virus ini. Kali ini Vaksincom akan membahas lebih mendalam tentang virus Kespo ini dan memberikan tips untuk menyelamatkan Jill Valentine anda J.

 

Menyembunyikan atau menghapus file dokumen seperti DOC dan XLS serta membuat file duplikat sesuai dengan file yang dihapus/disembunyikan sudah biasa dilakukan oleh virus lokal, metode ini mempunyai kelemahan karena user akan mudah mengetahui file duplikat  tersebut adalah sebuah virus karena biasanya file duplikat yang dibuat oleh virus akan mempunyai ukuran file yang sama apalagi jika type file masih menggunakan “Application”. Aksi yang dilakukan oleh virus lokal yang ini sedikit berbeda dibandingkan sebelumnya walaupun tetap masih menyerang data. Kali ini virus lokal sudah tidak menyembunyikan file tetapi menginjeksi / menginfeksi dokumen seperti file DOC/XLS, mirip Zombie dengan menambahkan kode virus tersebut sehingga file tersebut akan terjadi penambahan beberapa KB dari ukuran semula, inilah yang menyebabkan user mudah tertipu karena file yang terinfeksi akan mempunyai ukuran yang berbeda, tetapi metode ini dapat kembali dengan mudah diketahui user karena file tersebut mempunyai type file sebagai “Application”.

 

Salah satu virus yang mencoba untuk injeksi ke dalam file Office seperti DOC atau XLS adalah Kespo atau biasa disebut Kspool. Sampai saat ini Kespo sudah menurunkan 3 varian (dan kemungkinan besar akan terus bertambah) walaupun untuk masing-masing varian melakukan aksi yang sama (menginjeksi file DOC/XLS) tetapi file induk yang dibuat akan berbeda-beda dan yang cukup menarik adalah virus ini bukan made ini VB (Visual Basic) lagi melainkan Delphi.

 

Dengan update terakhir Norman Virus Control sudah dapat mengenali virus ketiga varian ini. (lihat gambar 1)

 

Gambar 1, Hasil scanning Norman Virus Control terhadap virus-virus Kespo

 

File yang diusung oleh Kespo “biasanya” akan terdiri dari 2 jenis file yakni file dengan ekstensi EXE dan DLL. Seperti contoh untuk varian awalnya [Kespo.A] akan mempunyai ukuran sebesar 279 KB  untuk file dengan ekstensi EXE dan 59 KB untuk file dengan ekstensi DLL. File yang akan dibuat oleh Kespo.A ini adalah:

 

• C:\%Windir%\System32\avmeter32.dll
• C:\%Windir%\System32\kspoold.exe
• C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE

 

Icon yang menyertai file induk Kespo.A ini adalah icon yang menyerupai “gerigi roda” seperti yang terlihat pada gambar 2 dan 3 di bawah ini:

 

Gambar 2, Icon yang digunakan oleh Kespo.A

 

Gambar 3, File induk Kespo.A

 

Menjadikan dirinya sebagai Service “K Print Spooler”

Sebagai pendukung agar dirinya dapat aktif maka ia akan membuat string pada registry berikut dan menjadikan dirinya sebagai Service sehinggga sulit untuk dimatikan. Untuk memastikannya coba Anda lakukan langkah berikut :

• Klik kanan My Computer
• Pilih “Manage”
• Klik Services and Application”
• Klik “Services”
• Kemudian lihat panel sebelah kanan maka akan terlihat satu service baru dengan nama “K Print Spooler”, perhatikan gambar 4 dibawah ini:

 

Gambar 4, Kespo.A menyamarkan dirinya sebagai Service

 

Bagaimana ia melakukannnya? Untuk melakukan hal tersebut Kespo.A akan membuat key pada registry berikut

 

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon

·         ImagePath = C:\%Windir%\System32\Kspoold

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kspooldaemon

·         ImagePath = C:\%Windir%\System32\Kspoold

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon

·         ImagePath = C:\%Windir%\System32\Kspoold

 

Berbeda dengan generasi pertama, untuk generasi kedua icon yang digunakan adalah icon yang menyerupai “Folder” tertutup serta mempunyai ukuran sebesar 438 Kb untuk file dengan ekstensi .EXE dan 63 KB untuk file yang mempunyai ekstensi .DLL, berikut file yang akan dibuat oleh Kespo.B (gambar 5 dan 6) :

 

• C:\%Windir%\system32\avwav32.dll
• C:\%Windir%\system32\kspool.exe
• C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE

      Gambar 5, Icon yang digunakan oleh Kespo.B

 

Gambar 6, File induk Kespo.B

 

Jika pada varian pertamanya ia menyamarkan dirinya sebagai service, kini untuk varian kedua tidak melakukan hal tersebut, agar dirinya dapat aktif Kespo.B akan membuat registry berikut :

 

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

·         Kernel spooler = C:\WINDOWS\system32\kspool.exe

 

Terakhir untuk varian ke tiga file yang terinfeksi akan mempunyai icon “Recycle Bin”. File ini akan mempunyai ukuran sebesar 224 KB untuk file yang berekstensi .EXE dan 64 KB untuk file yang mempunyai ekstensi .DLL. Berikut file yang akan dibuat oleh Kespo.C (gambar 7 dan :

 

·         C:\%Windir%\System32\Kspool.exe

·         C:\%Windir%\avwav32.dll terdeteksi sebagai W32/Keylog.BSR

·         C:\Documents and settings\%user%\Local Settings\Temp\UNINSTALL DRIVER.EXE terdeteksi sebagai W32/Delf.AFRE

·         C:\Documents and settings\%user%\Local Settings\Temp\Uninstall log.dat terdetksi sebagai W32/Delf.AFRE

 

Gambar 7, Icon yang digunakan oleh Kespo.C

 

Gambar 8, File yang terinfeksi Kespo C.

 

Agar Kespo.C dapat aktif setiap kali komputer dinyalakan, ia pun akan membuat string pada registry berikut:

 

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Kernel spooler = C:\WINDOWS\system32\kspool.exe
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Kernel spooler = C:\WINDOWS\system32\kspool.exe
• HKEY_USERS\S-1-5-21-839522115-706699826-2147125571-500\Software\Microsoft\Windows\CurrentVersion\Run
  • Kernel spooler = C:\WINDOWS\system32\kspool.exe

 

Bagaimana membedakan varian-varian Kespo ini??

Cara yang paling mudah adalah dengan melihat icon pada file induk pada masing-masing virus lokal. Untuk mengetahui hal ini anda dapat menelusuri file kspool.exe atau kspoold.exe yang berada didirektori C:\windows\System32 dengan terlebih dahulu menampilkan semua file/folder yang disembunyikan hal ini disebabkan karena file induk ini akan disembunyikan.

 

Kespo Tidak blok fungsi Windows/tools security dan Antivirus

Berbeda dengan virus lokal terdahulu, kini Kespo tidak akan melakukan blok terhadap fungsi Windows. Walaupun demikian akibat yang ditimbulkan cukup besar dan merepotkan user apalagi bagi mereka yang awam terhadap komputer. Apa itu ?

 

Dengan tidak dibloknya fungsi Windows tersebut seharusnya akan lebih memudahkan kita untuk mematikan proses virus tersebut, tetapi kenyataannya tidak L…. Tanya kenapa ?? Jawabnya adalah karena proses virus tersebut [Kspool.exe dan Kspoold.exe] tidak dapat dimatikan melalui Task Manager dan akan keluar pesan bahwa file tersebut sedang digunakan, setelah diselidiki ternyata terdapat satu file DLL yang akan memantau proses Kespo [Kspool.exe dan Kspoold.exe] yakni file avmeter32.dll atau avwav32.dll, file inilah yang harus dimatikan pertama kali agar file kspool.exe atau kspoold.exe dapat dimatikan atau dihapus. Selain itu proses virus Kespo tidak akan terlihat di proses Windows [Task Manager] termasuk jika anda menggunakan ProceeXP atau currProcess J.

 

Injeksi File MS.Office [*.DOC/*.XLS]

Langkah terakhir yang  merupakan inti dari virus ini adalah mencoba untuk menginjeksi/menginfeksi file Office seperti DOC/XLS. Sebenarnya Kespo juga akan bersusaha untuk menyerang file Data Base seperti *.MDF, *.DBF atau LDF tetapi hal ini kurang berhasil karena system penginfeksiannya masih terbatas pada Flash Disk. Kita masih berutung (kata orang Jawa J) karena virus ini untuk sementara hanya menginfeksi file yang ada di Flash Disk saja. Tetapi walaupun demikian pembuat virus ini dapat saja membuat  varian lain yang lebih ganas dibandingkan varian sebelumnya, jadi tetap waspada dan selalu update antivirus anda dan selalu backup data penting anda dengan teratur.

 

File yang sudah terinfeksi oleh Kespo akan mempunyai ciri-ciri berikut:

• Untuk Kespo.A dan Kespo.B, setiap file yang terinfeksi akan mempunyai icon MS.Word atau XLS. Sedangkan untuk Kespo.C setiap file yang terinfeksi akan mempunyai icon “Recycle bin”, perhatikan gambar 9 dan 10 dibawah ini:

 

 

Gambar 9, File yang terinfeksi Kespo.A dan Kespo.B

 

Gambar 10, File yang terinfeksi Kespo.C

 

Berbeda dengan varian Kespo sebelumnya, jika file yang sudah terinfeksi Kespo.C di buka [run] maka akan terlihat 2 file di direktori yang sama yakni 1 file merupakan file asli dan 1 file lagi merupakan file hasil injeksi / infeksi Kespo.C, untuk lebih jelasnya silahkan lihat gambar 11 dibawah ini:

 

Gambar 11, File Kespo C yang terinfeksi bila di jalankan

 

• Ukuran file berbeda-beda , karena virus ini akan menambahkan dirinya kedalam ke file tersebut.
• Mempunyai ekstensi EXE
• Type File sebagai “Application”

 

Trik membersihkan virus W32/Kespo aka Kspool (Kspoold)

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Jjika menggunaan Windows XP disarankan untuk mematikan / disable “System Restore” selama proses pembersihan berlangsung.
3. Matikan proses virus yang aktif dimemori. Untuk mempermudah dalam mematkan proses virus tersebut, Anda dapat menggunakan tools pengganti Task Manager seperti Pocket Killbox, kenapa Pocket Killbox ? karena selain dapat mematikan proses virus yang aktif dimemori, Pocket Killbox juga dapat langsung menghapus file tersebut.

 

Silahkan download tools tersebut di alamat berikut:

http://killbox.net/downloads/KillBox.exe

 

Seperti yang sudah dijelaskan diatas bahwa virus Kespo akan membuat beberapa file induk  yang berbeda-beda tergantung dari varian virus tersebut seperti:

 

1. 1. Kespo.A

·         avmeter32.dll

·         kspoold.exe

1. 1. Kespo.B

·         AVWAV32.DLL

·         KSPOOL.EXE.

1. 1. Kespo.C

·         KSPOOL.exe

·         Avwav32.dll

 

Agar virus tersebut dapat lebih mudah untuk dihentikan pertama-tama Anda harus menghentikan dan menghapus file induk yang mempunyai ekstensi DLL [avmeter32.dll atau anwav32.dll] karena file ini lah yang selalu memantau keberadaan file induk lain yang mempunyai ekstensi EXE [KSPOOL.exe / KSPOOLD.exe]

 

Setelah tools Pocket Killbox tersebut berhasil di download, jalankan di komputer yang telah terinfeksi kemudian pada kolom “Full path of file to Delete” isi lokasi file yang akan di matikan / dihapus [biasanya file induk ini akan dibuat diditrektori C:%\Windir%\System32. Setelah menentukan file yang akan di matikan/dihapus kemudian klik tombol “X” untuk menghapus file sesuai jenis Kespo yang menginfeksi komputer anda. Lihat gambar 12 dan 13 sebagai contoh untuk menghapus Kespo.A :

 

Gambar 12, Menghapus file induk Kespo.A

 

Gambar 13, Menghapus file induk Kespo.A

 

1. Jangan lupa untuk menghapus juga file berikut [sesuaikan dengan varian Kespo yang menyerang komputer Anda].
   1. %Driver akhir%\MSSETUP.T~~

·         UninstallDriver.exe

·         Folder.htt

1. 1. %Driver akhir%\Desktop.ini
   2. C:\!Submit
   3. C:\Documents and Settings\%user%\Local Settings\Temp

·         Uninstall Driver.exe

1. 1. C:\Documents and settings\%user%\Local Settings\Temp\Uninstall log.dat
2. Setelah berhasil menghapus file tersebut, lakukan pembersihan pada registry dengan menyalin script dibawah ini pada program notepad kemudian simpan dengan nama Repair.inf dan jalankan file tersebut dengan cara:
   1. Klik kanan repair.inf
   2. Klik Install

 

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Kespo

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Kernel spooler

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Kernel spooler

HKLM, SYSTEM\ControlSet001\Services\kspooldaemon

HKLM, SYSTEM\ControlSet002\Services\kspooldaemon

HKLM, SYSTEM\CurrentControlSet\Services\kspooldaemon

 

Tips mematikan proses virus, menghapus file virus dan menghapus registry virus

Untuk  mempermudah dalam menghentikan virus ini baik untuk menghentikan proses virus/menghapus file virus serta menghapus registry yang dibuat oleh virus, salin script berikut pada program “Notepad” kemudian simpan dengan nama “RepairKespo.bat”, jangan lupa untuk menyimpan file tersebut di Drive C:, setelah itu jalankan file tersebut dengan cara klik 2X file RepairKespo.bat.

 

   echo off

    cls

    REM — ubah warna

    color b

 

    REM — ubah judul

    title KESPO-KSPOOL Remover * by Vaksincom

 

    REM — masuk ke direktori sistem

    %SYSTEMDRIVE%

    cd %SYSTEMROOT%\system32

 

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    echo KESPO-Kspool (All Varian) Remover * by Vaksincom *

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    echo Fungsi KESPO-Kspool Remover 1.0

    echo – Mematikan proses W32/Kespo yang aktif di resident memori

    echo – Menghapus file induk yang dibuat oleh W32/Kespo

    echo – Menghapus registry yang dibuat oleh W32/Kespo

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    echo.

 

    pause

 

    echo.

    REM — hentikan proses virus   

    taskkill /f /fi “MODULES EQ AVWAV32.DLL”

    taskkill /f /fi “MODULES EQ AVMETER32.DLL”

 

    REM — hentikan proses virus

    taskkill /IM kspoold.exe /F /T

    taskkill /IM kspool.exe /F /T

 

    REM — set atribut file virus menjadi normal

    attrib -s -h -r kspoold.exe

    attrib -s -h -r kspool.exe

    attrib -s -h -r avmeter32.dll

    attrib -s -h -r avwav32.dll

 

    REM — hapus file virus

    del kspoold.exe

    del kspool.exe

    del avmeter32.dll

    del avwav32.dll

 

    REM — hapus registry virus

    reg delete HKLM\SYSTEM\ControlSet001\Services\kspooldaemon /f

    reg delete HKLM\SYSTEM\ControlSet002\Services\kspooldaemon /f

    reg delete HKLM\SYSTEM\CurrentControlSet\Services\kspooldaemon /f

    reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “kernel spooler” /f

    reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “kernel spooler” /f

   

    cls

 

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    echo KESPO-Kspool (All Varian) Remover * by Vaksincom *

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    echo Fungsi KESPO-Kspool Remover 1.0

    echo – Mematikan proses W32/Kespo yang aktif di resident memori

    echo – Menghapus file induk yang dibuat oleh W32/Kespo

    echo – Menghapus registry yang dibuat oleh W32/Kespo

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    echo.

 

    echo — Please click “close” to exit —

 

msg %username% /time:30 “Selamat… – Virus “W32/KESPO (KSPOOL)” berhasil dihapus, Silahkan cek ulang dengan antivirus yang up-to-date -”

   

    CALL EXPLORER 

 

    exit 

 

1. Recover DOC dan XLS file

Untuk memulihkan dokumen DOC/XLS yang sudah di injeksi/infeksi oleh virus, Anda dapat menggunakan tools yang banyak dibuat oleh programmer lokal seperti Docxlsrecover.exe, silahkan download tools tersebut dialamat http://adilmakmur.wordpress.com/2007/05/25/doc-xls-recover/ (lihat gambar 14)

 

Gambar 14, Tools recovery DOC/XLS

 

Jika Anda menjumpai file DOC atau XLS berubah dengan  icon  menggunakan icon aplikasi serta mengggunakan ekstensi EXE, untuk mengembalikannya silahkan gunakan tools diatas [lihat gambar 15 dan 16 dibawah]. Dari info yang didapat bahwa untuk saat ini tools tersebut hanya bisa melakukan perbaikan file yang terinfeksi satu persatu, perhatikan gambar di bawah ini.

 

Gambar 15, File yang sudah dibersihkan dengan ekstensi masih menggunakan icon Application

 

 

 

Gambar 16, File yang masih bervirus

 

Selain menggunakan tools diatas Anda dapat menggunakan Antivirus PCMAV Gratis yang mengklaim dapat merecover flle DOC/XLS yang sudah terinfeksi ke kondisi semula.

 

Silahkan download di alamat berikut

http://www.divshare.com/download/841131-001

 

Atau Anda juga dapat menggunakan tools alternatif lainnya yakni menggunakan Chanal Splitter, dari hasil mengujian Tools ini ampuh untuk memisahkan file virus dan file asli yang menginfeksi file tersebut dan yang hebatnya lagi Tools ini dapat melakukan pencarian terhadap Drive atau Flash Disk tanpa harus memilih file yang akan di pulihkan satu persatu, walaupun demikian masih ada sedikit “bug” karena ada beberapa file yang gagal di pulihkan dan biasanya file ini mempunyai ekstensi “DOC”, jika Anda mengalami hal ini sebaiknya ganti ekstensi file tersebut menjadi DOC.

 

Silahkan download di alamat berikut (lihat gambar 17)

http://chanal.biz/blog/wp-content/uploads/2007/06/yav.exe

 

Gambar 17, Aplikasi Chanal Splitter

 

Posted by miekuah | Virus | | No Comments Yet