Oleh: manto | 28 Juli 2009

Virus W32/KANGEN dan Cara Membasmi

W32/Kangen dan Cara Pembasmiannya 
dari : Adang Juhar Taufik  Technical support pada Vaksincom, penyedia layanan security system dan antivirus 

 

Setelah direpotkan oleh virus Kangen (W32/Kang.A) pada bulan April lalu, yang diikuti 
dengan munculnya varian kedua W32/Kang.B pada pertengahan Mei, dalam waktu kurang dari satu 
bulan varian berikutnya sudah muncul dengan nama W32/Kang.C. Saat ini penyebarannya termasuk 
dalam kategori tinggi. (Simak juga rubrik Trend edisi ini!, Red). 
Karena secara default Windows tidak menampilkan ekstensi file maka file dengan nama 
”skripsi.doc” akan terlihat persis sama dengan file ”skripsi.exe” karena icon file yang executable 
tersebut direkayasa oleh Kangen sehingga sama dengan icon MS-Word. Hal inilah yang 
menyebabkan Kangen menyebar sangat efektif dan cepat karena setiap kali pengguna komputer yang 
terinfeksi Kangen mengopikan file MSWordnya ke media lain sebenarnya yang dikopikan adalah file 
virus dan si pengguna komputer yang menerima file MSWord ”palsu” tersebut akan dikelabui untuk 
menjalankan virus Kangen ini setiap kali mencoba membuka file MSWord yang dikopikan tadi. 
W32/Kang.C sebesar 72KB juga menyebar melalui jaringan (file sharing) jika user menjalankan file 
yang telah terinfeksi virus Kang.C.  
Ada ada sedikit  perbedaan yang menonjol dari virus kangen varian C ini, yaitu pada saat 
menginfeksi OS 98 maupun 2000, virus ini tidak dapat memblok akses registri edit, Msconfig, dan 
Task Manager. Kelihatannya varian ini lebih ditujukan untuk menginfeksi Windows XP dan 
Windows Server 2003 karena notabene populasi komputer yang menggunakan Windows XP dapat 
dikatakan paling banyak pada saat ini. 
Jika file ini dijalankan maka akan muncul dokumen MS-Word dengan teks lagu Kangen dan 
jika berhasil menginfeksi komputer, Kangen akan membuat 3 buah file pada direktori %system% 
dengan nama file: 

Winword.exe (hidden file dengan icon MSWord, ukuran file  72KB) 

Winlog.dat (hidden file) 

Kangen.exe (icon MSWord dengan ukuran file 2KB) 
Selain itu virus ini akan membuat file dengan nama winword.exe pada direktori C:\!submit. 
Kangen juga akan menambahkan 4 buah value
 pada registri dengan nama: ccApps; LoadService; 
OSA dengan data value C:\%system%\winword.exe dan SymRun pada lokasi registri: 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run 
 
Disable Taks Manager, Msconfig dan Registry Editor  
Seperti pada varian sebelumnya (Kang.A), Kang.C juga akan menonaktifkan Task Manager, 
dengan tujuan agar user tidak dapat mematikan proses dari virus tersebut. Di samping itu Kangen 
juga akan memblok akses program Msconfig. Berbeda dengan virus Pesin, Kangen akan langsung 
mematikan proses Task Manager dan Msconfig jika user berusaha untuk menjalankan dengan tidak 
menampilkan layar program Task Manager dan Msconfig. Pada virus Pesin program Task Manager 
dan msconfig  dapat dibuka tetapi tidak dapat diakses. Dari hasil pengetesan yang dilakukan ternyata 
virus Kang.C hanya berhasil melakukan disable MSconfig dan Task Manager pada Windows dengan 
OS XP/Server 2003, sedangkan pada windows 9x/2000, virus ini tidak dapat melakukan disable 
Registry, Msconfig maupun Task Manager. 
Virus Kangen juga akan memblok akses ke Registry Editor (regedit.exe) dan Task Manager 
dengan menambahkan 2 string  yakni DisableRegistryTools dan DisableTaskMgr pada registry key 
di bawah ini: 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 
 
Salah satu kehebatan dari virus Kangen adalah, kemampuannya dalam membuat file duplikat 
bervirus yang dibuat “sangat mirip” dengan file dokumen MS-Word, baik dari nama maupun icon 
yang mewakilinya. File asli tersebut akan disembunyikan (hidden) sehingga user yang hendak 
mengakses file MS-Word tidak akan menyadari bahwa bahwa dokumen Wordnya yang asli telah 
disembunyikan oleh virus Kangen dan sebagai gantinya file yang mirip dengan dokumen yang 
sedang dia klik adalah file virus Kangen.

Iklan

Kategori

%d blogger menyukai ini: