Virus Lokal: Menghancurkan Dokumen MS. Office
Keberadaan virus lokal semakin berulah dan menggangu pengguna PC di Indonesia. Tren terbarunya adalah merusak sejumlah dokumen yang dibuat dengan program MS. Office.
Pada masa keemasan Rontokbro, hampir semua virus yang beredar mengandung bom waktu untuk menutup akses Registry Editor, Task Manager, msconfig, dan Command Prompt. Kini trennya telah bergeser ke virus yang dapat aktif di Safe Mode dan Safe Mode with Command Prompt. Bahkan Vaksincom pernah menemuan virus yang mampu menutup akses ke hard disk walaupun Anda mengaksesnya melalui bantuan Mini PE.
Diindikasikan beberapa virus terbaru juga mampu menutup akses Security Policy di Windows. Kini timbul pertanyaan, seperti apakah bom waktu yang paling ditakuti pengguna PC dan tren terbaru seperti apa yang akan dimunculkan oleh para pembuat virus untuk melancarkan aksinya. Apakah aksi menghancurkan komputer dengan memformat atau menghapus sejumlah file, aksi autoinfect melalui autorun flash disk, aksi menutup sejumlah fungsi di komputer, atau justru aksi mematikan program antivirus di PC Anda.
Jawabannya cukup mengejutkan, aksi yang paling ditakuti dari ancaman sebuah virus bukan hal di atas, melainkan aksi virus yang “mengerjai” file MS Office. Hal ini terlihat dalam forum Vaksincom (http://forum.vaksin.com). Dalam forum tersebut selalu muncul pertanyaan yang berkaitan dengan bagaimana mengembalikan dokumen MS Office yang dirusak oleh virus.
Diindikasikan beberapa virus terbaru juga mampu menutup akses Security Policy di Windows. Kini timbul pertanyaan, seperti apakah bom waktu yang paling ditakuti pengguna PC dan tren terbaru seperti apa yang akan dimunculkan oleh para pembuat virus untuk melancarkan aksinya. Apakah aksi menghancurkan komputer dengan memformat atau menghapus sejumlah file, aksi autoinfect melalui autorun flash disk, aksi menutup sejumlah fungsi di komputer, atau justru aksi mematikan program antivirus di PC Anda.
Jawabannya cukup mengejutkan, aksi yang paling ditakuti dari ancaman sebuah virus bukan hal di atas, melainkan aksi virus yang “mengerjai” file MS Office. Hal ini terlihat dalam forum Vaksincom (http://forum.vaksin.com). Dalam forum tersebut selalu muncul pertanyaan yang berkaitan dengan bagaimana mengembalikan dokumen MS Office yang dirusak oleh virus.
Cukup banyak virus yang dapat merusak dokumen yang dibuat oleh MS Office, seperti virus Tunggul Kawung (W32/Gultung), Kespo, Zulanick (W32/Delf.ZFA), dan W32/Agent.EQXC. Semua virus tersebut merusak dengan memanfaatkan keunggulan teknologi enkripsi. Apakah semua dokumen yang dirusak oleh virus tersebut tidak bisa dikembalikan atau masih ada solusinya.
Secara teori file yang dienkripsi dapat dikembalikan ke asalnya jika Anda mengetahui kunci enkripsinya. Namun, pada beberapa kasus, tidak mudah menemukan kunci enkripsi. Oleh karena itu, cara penyelamatan data harus dilakukan secara manual.
Virus lokal yang menginfeksi dan mengenkripsi data
Kespo
Kespo merupakan sebuah virus yang menjadi pionir di Indonesia karena mampu mengenkripsi data atau dokumen yang tersimpan di komputer. Virus yang dibuat menggunakan bahasa pemrograman Delphi ini memiliki ciri khas mengenkripsi header file sekaligus menginfeksi file MS Office (MS Word dan Excel). Selain itu, Kespo juga dapat menginfeksi file database, seperti MDF, DBF, dan LDF (Visual Foxpro dan MS SQL). Metode enkripsi yang digunakan oleh virus ini cukup sulit terdeteksi. Oleh karena, itu para pengguna PC dan administrator database harus selalu berhatihati. Lakukanlah backup data dengan baik dan benar.
Virus lokal yang menginfeksi dan mengenkripsi data
Kespo
Kespo merupakan sebuah virus yang menjadi pionir di Indonesia karena mampu mengenkripsi data atau dokumen yang tersimpan di komputer. Virus yang dibuat menggunakan bahasa pemrograman Delphi ini memiliki ciri khas mengenkripsi header file sekaligus menginfeksi file MS Office (MS Word dan Excel). Selain itu, Kespo juga dapat menginfeksi file database, seperti MDF, DBF, dan LDF (Visual Foxpro dan MS SQL). Metode enkripsi yang digunakan oleh virus ini cukup sulit terdeteksi. Oleh karena, itu para pengguna PC dan administrator database harus selalu berhatihati. Lakukanlah backup data dengan baik dan benar.
Tunggul Kawung
Tunggul Kawung (W32/Gultung) memiliki karakteristik menyerupai virus Kespo. Namun, aksinya merusak dokumen yang dibuat oleh MS Office lebih ganas. Virus ini juga mampu menggunakan rekayasa sosial yang canggih, yakni mengganti dokumen yang terinfeksi untuk kemudian diubah dengan file virus tersebut, lalu ditambahkan kode jahatnya. File atau dokumen yang terinfeksi akan memiliki icon folder (tergantung variannya) dengan ekstensi file berupa EXE. Untuk mengelabui korbannya, virus ini akan membuat sebuah fileduplikasi.
File duplikasi memiliki ukuran yang sama dengan file utamanya. Icon yang digunakan adalah MS Word dengan atribut HIDDEN. Ekstensi file tersebut berupa DOC dan type filenya adalah “Microsoft Word Documents”. Pengguna PC yang berhasil mengakses file palsu tersebut beranggapan bahwa filenya masih ada. Jika file tersebut dibuka, akan muncul pesan error yang menyebutkan file tersebut rusak. Jika Anda teliti, ternyata file hidden tersebut adalah virus. Bila Anda mengganti ekstensinya, icon yang menyertai virus tersebut akan berubah menjadi folder. Jika file tersebut dijalankan maka akan aktif.
Zulanick
Zulanick terdeteksi oleh Norman Virus Control dengan nama W32/Delf.ZFA. Virus yang dikembangkan dengan bahasa pemrograman Delphi ini memiliki bom waktu. Pada saat yang telah ditentukan, semua file yang ditemuinya akan dipermak dan diubah menjadi file Bitmap (BMP). Kabar baiknya, virus ini tidak sejahat virus Kamasutra. Jika dokumen yang Anda miliki dirusak oleh virus ini, Anda masih berkesempatan untuk mengembalikan semua data yang telah diubah.
W32/Agent.EQXC
Virus ini dideteksi oleh Norman Virus Control sebagai W32/Agent.EQXC. Virus lokal yang sedang mengganas ini memiliki keunikan tersendiri. Diprediksi oleh Vaksincom, bahwa virus ini termasuk virus yang “berumur panjang”. Mengapa Virus ini tidak seperti virus lainnya yang aktif saat proses Windows sedang berjalan, baik menyamar sebagai proses di dalam Windows atau menamakan dirinya menyerupai nama proses yang sedang berjalan di Windows. Pada beberapa virus konvensional, jika virus tersebut aktif dalam proses Windows, kunci utama untuk mematikannya adalah dengan menemukan proses virus terlebih dahulu.
Zulanick
Zulanick terdeteksi oleh Norman Virus Control dengan nama W32/Delf.ZFA. Virus yang dikembangkan dengan bahasa pemrograman Delphi ini memiliki bom waktu. Pada saat yang telah ditentukan, semua file yang ditemuinya akan dipermak dan diubah menjadi file Bitmap (BMP). Kabar baiknya, virus ini tidak sejahat virus Kamasutra. Jika dokumen yang Anda miliki dirusak oleh virus ini, Anda masih berkesempatan untuk mengembalikan semua data yang telah diubah.
W32/Agent.EQXC
Virus ini dideteksi oleh Norman Virus Control sebagai W32/Agent.EQXC. Virus lokal yang sedang mengganas ini memiliki keunikan tersendiri. Diprediksi oleh Vaksincom, bahwa virus ini termasuk virus yang “berumur panjang”. Mengapa Virus ini tidak seperti virus lainnya yang aktif saat proses Windows sedang berjalan, baik menyamar sebagai proses di dalam Windows atau menamakan dirinya menyerupai nama proses yang sedang berjalan di Windows. Pada beberapa virus konvensional, jika virus tersebut aktif dalam proses Windows, kunci utama untuk mematikannya adalah dengan menemukan proses virus terlebih dahulu.
Penanggulangan
Khusus untuk pembaca CHIP, Anda dapat memanfaatkan tools untuk mengembalikan data atau dokumen yang telah diubah oleh virus Kespo dan Zulanick (W32/Delf.ZFA). Semua tools tersebut dapat ditemukan dalam CHIP DVD edisi Juli 2008. Semua tool ini berhasils dikembangkan oleh programmer Indonesia. Untuk mengatasi gangguan virus Agent.EQXC, ada teknik khusus yang dapat Anda lakukan secara manual. Cara ini cukup efektif untuk menyelamatkan data MS Word yang telah dirusak oleh virus tersebut. Langkah pertama, nonaktifkan terlebih dahulu program antivirus yang ada di PC. Selanjutnya, buka file yang telah terinfeksi, ubah nama filenya, lalu simpan dalam format RTF (Rich Text File).
Thanks to
Source: CHIP 07 2008
Author: TIM CHIP
