Extensi Excel - Word berubah ke exe gara-gara kena virus, Tunggu!!!

Jangan
Dihapus Dulu kalee...

Lagi-lagi mengenai virus

Beberapa waktu lalu file dokumen ( Ms Word dan Excel ) teman-teman disini terkena virus.
Setiap dibuka folder yang berisi file ber-ekstensi *.doc dn *.xls maka file tersebut akan
berubah menjadi virus ( ber-ekstensi *.exe ) dan jika dipaksa dibuka dengan word/excel maka
tampilannya akan kacau balau. Akhirnya beberapa teman menghapus file tersebut, yang
sebenarnya merupakan file yang cukup penting. Karena ukuran dan ciri virus ( signature )
tidak tetap, maka berbagai anti virus yang sudah dicoba tidak bisa mendeteksi, walau dengan
update terbaru.

Setelah melihat sendiri file yang terinfeksi virus, sebenarnya si pembuat virus tidak terlalu
jahat, karena dokumen itu masih bisa di selamatkan 100%. Virus itu hanya menambahkan
file dokumen ke dalam dirinya sendiri sehingga ukurannya berbeda-beda sesuai dengan
ukuran file. Terus bagaimana cara menyelamatkan dokumennya ?

1. Buka file yang terinfeksi virus dengan aplikasi Hex Editor, jika belum punya silahkan
download Hexapad ( 180 KB), mungkin free Hex editor yang terkecil, karena hanya
82 KB tapi dengan berbagai fasilitas dan bahkan source codenya disertakan.

2. Buka juga file *.doc atau *.xls yang tidak terkena virus (jika tidak ada silahkan
membuat file doc atau xls baru ) dengan hexapad.

3. Ada tiga bagian di tampilan hexapad. Mulai dari kiri adalah offset ( alamat kode ),
Kode ( dalam bilangan Hexadesimal ) dan paling kanan adalah kode dalam text.

4. Coba perhatikan awal kode antara file yang terinfeksi virus dan yang asli. File yang
terinfeksi diawali dengan kode hex = 4D 5A ( text : MZ ) dan file asli Hex = D0
CF 11 E0 A1 (.. ). Masing-masing merupakan bagian dari header file
yang selalu sama. kode MZ untuk file seperti *.exe dan *.dll.

5. Karena header file asli sudah tahu, maka selanjutnya tinggal mencari kode D0 CF 11
E0 A1 ( sepertinya 3 kode awal sudah cukup ) di file yang terinfeksi virus. caranya
buka pencarian ( Ctrl+F) dan isikan di bagian Kode nilai D0 CF 11 E0 A1 ( beri spasi
antar kode ). dan klik search.

6. Setelah ditemukan maka itulah awal file doc atau xls-nya. Tinggal memilih kode
mulai dari kode sebelum D0 CF sampai awal kode dan hapus. Kemudian save as
dengan ekstensi yang sesuai doc / xls.

Langkah-langkah diatas dapat dilakukan jika file yang terinfeksi tidak banyak, tetapi jika
filenya banyak tentu sangat menyita waktu. Misalnya ketika disini file yang terinfeksi 200
lebih, maka diperlukan tool/ program khusus untuk merecovery file tersebut.

Tool tersebut sudah tersedia, download Restore my files ( 27 KB )

Mow - Infeksi File Dokumen + Cara Heal

Minggu, 05 Agustus 20123komentar

Mow.exe - Pasti kita bisa menjadi teringat dengan virus lokal KsPoold akan
infeksi dokumennya dulu, yups virus lokal ini sama dengan KsPoold dalam
menginfeksi dokumen. Akan tetapi metode infeksinya lumayan membingungkan
user yang terkena oleh virus ini.

Virus ini tidak begitu memikirkan dalam melakukan aksi mematikan task
manager, regedit, ataupun perlindungan diri. Mow juga menyebar pada
komputer yang terhubung dengan komputer lainnya.

Walaupun tidak begitu berbahaya, tetapi cukup membuat ribet user komputer
karena disetiap dokument user komputer yang terinfeksi akan berganti menjadi
file *.exe . seperti contoh berikut ini
Setelah terinfeksi seperti contoh pada gambar memiliki 2 perbedaan yaitu :

Ekstensi berubah [menjadi file PE]

Ukuran bertambah besar

Pada setiap file tersebut, memiliki ciri ciri khusus yaitu pada nama section
terakhir file tersebut memiliki nama yang cukup tidak familiar kita lihat, berikut
ini gambarnya :

Pada section terakhir terdapat nama "qcyrwal". Selain itu juga terdapat section
name UPX0 dan UPX1, berarti ada kemungkinan file induk asli terkompresi oleh
UPX. Biasanya kalau file terkompresi oleh UPX maka akan menjadi hanya 3
section name yaitu UPX0, UPX1, dan .rsrc .
Jadi kemungkinan UPX0, UPX1, .rsrc adalah Induk virus yang terenkripsi oleh
virus. Sedangkan qcyrwal adalah file dokumen virus. sehingga virus membawa
isi data dokumen''. Kemudian mari kita R. Offset qcyrwal letak section tersebut
berada yaitu pada 0x19C00.

Apabila kita lihat ini agak sedikit membingungkan karena terlihat bahwa file
tersebut berbeda dengan isi file dokumen yang sebelum terinfeksi. Akan tetapi
yang terlihat pada setiap file yang terinfeksi oleh Mow.exe dari mulai offset 0x0
sampai 0x19BFF sama semua, akan tetapi dari 19C00 memiliki isi text yang
berbeda.

Untuk lebih jelas mari kita lihat, penulis akan memakai kelinci percobaan sebuah
text file [bukan dokumen] bernama Abdan.txt yang berisi tulisan
"AbdanGanteng" .

Kemudian kita rubah ekstensinya menjadi .doc , kemudian kita tunggu apakah
virus Mow bereaksi pada sebuah text file tersebut. Dan alhasil file tersebut
terinfeksi juga oleh virus Mow [hal ini menandakan bahwa virus Mow tidak
melakukan filter ketika menginfeksi] . berikut ini kita lihat pada offset 0x19C00
pada file Abdan.exe yang telah terinfeksi tersebut
Berikut ini String Abdan.txt yang terenkripsi oleh Huffman.

Secara agak hampir sama ada tulisan menyerupai AbdanGanteng, berarti string
tersebut terenkripsi. Jadi Isi file dokumen yang terinfeksi akan terenkripsi
stringnya. String tersebut adalah string yang terenkripsi dengan enkripsi
Huffman. Akan tetapi kalau pada Huffman terdapat "HE3" pada awal tetapi disini
diganti oleh
43 68 7F 72 33 43 48 31 [Hex].

Membuat program heal

Algoritma : Cek Apakah Valid PE ==> Cek apakah section terakhir merupakan
Qcyrwal ==> Dapatkan string dimulai dari offset 0x19C08 [Hex] Sampai ukuran
dokument [Ukuran File - 0x19C08] ==> Tambahkan HE3 + stringnya. Decrypt
String Huffman tersebut ==> Buat file hasil decrypt tersebut

NB: 0x19C08 karena Ch.r3CH1 itu diabaikan,

Source code : http://www.mediafire.com/?mizua6r9mhalfb5

Terima kasih banyak buat agan Mujaf