Giliran Repvblik yang Mengacaukan File Ms Office Anda


Akan muncul di akhir umatku, wanita-wanita yang berpakaian namun pada hakikatnya  bertelanjang.

Kalau kemarin pernah muncul virus yang diilhami oleh lagu Ari Lasso, hari ini kami ingin mengenalkan anda pada satu virus baru yang disinyalir penggemar group musik Repvblik dan mengingatkan pada merek terkenal branded Bvlgari.

Kita tentu masih ingat dengan kasus virus Kespo (kspoold) yang sempat booming dengan target utama file MS Office khususnya MS.Word dan MS.Excel serta beberapa program database. Virus ini berupaya untuk menginjeksi file dengan tetap menggunakan icon asli dari file yang di injeksi sehingga cukup ampuh untuk mengelabui user, walaupun antivirus berhasil “clean” virus tersebut tetapi sayangnya belum mampu untuk mengembalikan icon dan ekstensi file tersebut (file yang di clean masih berekstensi exe dan icon application) sehingga user beranggapan bahwa file tersebut sudah rusak, alhasil muncul lah beberapa tools alternatif untuk split file yang sudah terinfeksi virus tersebut seperti Chanal Splitter (yayat_dhn), Doc/XLS Recovery (Husni), PCMedia Antivirus yang “mengaku” sebagai antivirus terbaik di dunia. Selain Kespo Gultung/Tunggul Kawung juga ikut meramaikan dunia maya dengan target utama menghapus isi dari file yang di infeksi dan menggantinya dengan soal ujian negara, sehingga walaupun virus berhasil di clean tetapi isi dari file tersebut sudah di ganti dengan isi file lain.

Tak mau kalah dengan pendahulunya, baru-baru ini telah muncul virus sejenis Kespo dimana virus ini juga akan berupaya untuk menginjeksi file Office (MS Word dan Excel). Walaupun demikian virus ini masih tergolong “baik” karena ia hanya akan menginjeksi file Office yang ada di Flash Disk saja.

Sebenarnya tidaklah terlalu sulit untuk mengetahui file yang telah terinfeksi virus ini, yakni “hanya” dengan melihat icon dan ekstensi file tesebut. Biasanya file yang sudah terinfeksi virus ini akan mempunyai icon VBS dengan ekstensi .DOC.VBS, seperti terlihat pada gambar 1 di bawah ini.

Ciri-Ciri VBS/Repulik.A

Berikut beberapa ciri-ciri dari VBS/Repulik.A

– Icon VBS
– Ekstensi VBS
– Ukuran 5 KB
– Type file “VBScript script file”
– Injeksi file EXE/DOC dengan menambahkan ukuran file sebesar 5 KB dan mempunyai ekstensi .DOC.VBS. File yang di injeksi ini akan mempunyai icon VBS.
– Pada saat virus ini aktif, ia akan membuat file induk yang akan dijalankan setiap kali komputer booting. Berbeda dengan virus lokal lainnya, ia tidak akan membuat string pada registry editor sehingga tidak terlalu mencurigakan, virus ini juga tidak akan blok fungsi Windows dan software security sehingga lebih mudah untuk dibersihkan.

Berikut file induk yang akan di drop oleh VBS/Repulik.A
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Repvblik.vbs
Selain membuat file induk tersebut, VBS/Repulik.A juga akan menyimpan file injeksi yang dijalankan oleh user dan file Repvblik.txt ke folder C:\Repvblik, seperti terlihat pada gambar di bawah ini:

Pesan dari sang VM

 

 

Padahal bau surga itu dapat dicium dari jarak sekian dan sekian (H.R. Muslim)

Akan muncul di akhir umatku, wanita-wanita yang berpakaian namun pada hakikatnya bertelanjang.
Diatas mereka terdapat suatu penaka punuk unta.
Mereka tidak akan memasuki surga dan tidak juga akan mencium aroma surga.
Padahal bau surga itu dapat dicium dari jarak sekian dan sekian (H.R. Muslim)
By Repvblik
Jika Anda buka file Repvblik.txt yang berada di direktori C:\Repvblik, maka akan muncul pesan tersembunyi yang dibuat oleh sang VM. (lihat gambar 3)

Gambar 3, Pesan tersembunyi sang VM

Merubah volume (nama) Flash Disk

VBS/Repulik.A juga akan mencoba untuk merubah volume (nama) Flash Disk menjadi REPVBLIK. (lihat gambar 4)

Gambar 4, VBS/Repulik.A merubah nama Flash Disk

Injeksi MS.Word dan MS.Excel

Target utama VBS/Repulik.A tidak lain adalah data khususnya MS.Word dan MS.Excel dengan cara menginjeksi dengan menambahkan code virus pada header file. File yang sudah di injeksi akan bertambah 5 KB dari ukuran semula. File yang sudah di injeksi ini sebenarnya tidak terlalu sulit untuk dikenali karena ia akan tetap menggunakan icon VBS dengan ekstensi .DOC.VBS lain halnya jika icon tersebut menggunakan icon MS.Word atau MS.Excel serta ekstensi file tersebut disembunyikan, sehingga dapat dipastikan user akan mudah terkecoh untuk menjalankan file tersebut.

Kabar baiknya Virus ini hanya mengincar data yang ada di Removable Disk (Flash Disk) saja.
Berikut ciri-ciri file yang sudah di injeksi oleh VBS/Repulik.A

– Icon VBS
– Ukuran “berbeda-beda” (terjadi penambahan ukuran file sebensar 5 KB dari ukuran semula)
– Ekstensi .DOC.VBS
– Jika file yang sudah terinjeksi tersebut di jalankan maka pada folder yang sama akan membuat file temporary dengan ukuran 6 KB dan menggunakan icon VBS, perhatikan gambar 7 dibawah ini :

Menyebar melalui Flash Disk

Untuk mempermudah menyebaranya, ia akan menggunakan Disket / Flash Disk dengan cara drop file virus serta injeksi semua file MS.Word dan MS.Excel yang ada, berikut beberapa file yang akan di buat oleh VBS/Repulik.A

– I am So Sorry.txt.vbs
– Indonesian and their corruption!!.txt.vbs
– Make U lofty.txt.vbs
– NenekSihir and her Secrets.txt.vbs
– Never be touched!!.txt.vbs
– SMS Gratis via GPRS.txt.vbs
– Thank U Ly.txt.vbs

Cara mengatasi VBS/Repulik.A

Nonaktifkan “Sytem Restore” selama proses pembersihan (jika menggunakan Windows ME/XP)

Matikan proses virus yang mempunyai nama file Wscript.exe. Untuk mematikan proses ini Anda dapat menggunakan tools CurrProses.

Hapus file yang dibuat oleh virus

C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Repvblik.vbs

C:\Repvblik

Hapus juga file yang didrop di Flash Disk

I am So Sorry.txt.vbs

Indonesian and their corruption!!.txt.vbs

Make U lofty.txt.vbs

NenekSihir and her Secrets.txt.vbs

Never be touched!!.txt.vbs

SMS Gratis via GPRS.txt.vbs

Thank U Ly.txt.vbs

Ubah Volume/nama Flash Disk secara manual dengan cara:

Klik kanan Flash Disk

Klik Rename

Ganti nama “Repvblik” dengan nama yang Anda inginkan

Untuk antisipasi dan mencegah infeksi ulang, silahkan install dan scan dengan antivirus yang dapat mendeteksi virus ini dengan baik.

Jika antivirus yang Anda install tidak berhasil “repair” file yang sudah di injeksi oleh VBS/Repulik.A. Anda dapat menggunakan tools “Spliter VBS2DOC/XLS”. Silahkan download tools tersebut di alamat berikut:

http://www.4shared.com/file/43727532/dda23d77/_2__Splitter_VBS2DOC_XLS.html?dirPwdVerified=3c4e3b82

Catatan:

Spliter VBS2DOC/XLS ini merupakan pengembangan dari tools Chanal Splitter YAV (Yayat_dhn). Chanal Spliter YAV adalah tools yang digunakan untuk repair file yang sudah di injeksi oleh Kespo (kspoold), silahkan download tools Chanal Spitter YAV di alamat berikut: http://chanal.biz/blog/?p=17

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: