Cara mudah menghilangkan virus MOW

(doc menjadi exe)

Virus MOV ini adalah virus yang bekerja dengan cara merubah file dengan extensi doc/docx
menjadi .exe, dan tentu saja file yang sudah berubah menjadi exe tidak akan bisa kita buka,
malah virus menyebar di komputer kita.
Virus ini berinteraksi dengan cara menginfeksi file induk Microsoft Office Word yakni
"WINWORD.EXE" yang terletak di c:\\Windows\System32. Dan kalau Anda scan
menggunakan Antivirus biasa seperti; Mcafee, AVG, Eset, Smadav maka Antivirus akan
langsung menghapus file dokumen Anda yang terinfeksi dan dokumen Anda pun pasti hilang.
Untuk Menanganinya virus tersebut saya sudah siapkan Anda aplikasi sederhana yang saya
dapatkan dari teman saya yakni Internet dan nama aplikasi itu ialah MOW REMOVAL Untuk
Anda yang mau silakan Anda download di sini.
DOWNLOAD MOW REMOVAL

Setelah di download silakan Anda buka aplikasinya dan pada kotak yang paling bawah
silakan Anda isi dengan lokasi yang ingin Anda Scanning. Misal, saya ingin scanning drive C
maka saya isi dengan C:\ dan jika saya ingin drive D maka saya isi dengan D:\.
Mudah bukan. Setelah Anda scan kemudian, Anda lanjutkan dengan membuka folder options
dan lakukan hal berikut pada tab View :

1. Beri tanda centang pada show hidden files, folders and drivers 
2. Hilangkan tanda centang pada Hide extensions for known file types
3. Hilangkan tanda centang pada Hide protected operating system files

Atau dengan cara Command Promp yakni :

1. Buka run > CMD

2. masuk ke drive C:\ atau D:\
3. ketik "attrib -h -s *.* /d /s" (tanpa tanda kutip)

Mudah bukan?
selamat mencoba dan keep trying
Virus Mow yang Menginfeksi File Microsoft Word
20:10:00  Malware (Virus Komputer)  8 comments

Tipe Sampel: EXE

Size: 108 KB

File Induk: WINWORD.EXE

CRC32: 144ef1c1
MD5: 90d7d34d314ac402a4d63f568cbd060d

Beberapa minggu yang lalu, Saya mendapatkan keluhan dari teman Saya bahwa file-file
Dokumen Microsoft Word (*.doc dan *.docx) yang berada di dalam Flashdisknya telah
terinfeksi virus menjadi file aplikasi (*.exe) setelah dicolokkan ke komputer lain. Dan
memang belum semua antivirus bisa mendeteksi virus ini.
Perbandingan file sebelum dengan setelah diinfeksi virus Mow:

Beberapa saat setelah itu, Saya mencoba Browsing untuk mencari Sampel lain dari virus ini.
Dan ternyata saya menemukan dua varian lainnya dari virus ini pada forum Anti Virus Lokal
Smadav, yaitu:

Varian 1

Size: 103 KB
CRC32: 559bfdac
MD5: f5e196696fd1b554857d07e4db58d046

Varian 2

Size: 175 KB
CRC32: 6e2d0753
MD5: 149478e1a7d46897773195b990b4425f

Dan tidak menutup kemungkinan masih terdapat Varian yang lain.

Penamaan Mow ini didasarkan pada String yang terdapat pada WINWORD.EXE:

Berkaca dari virus Trojan jadul, yang mana hanya menyembunyikan (Hidden) file dokumen
aslinya, kemudian membuat file exe duplikat virus dengan nama yang sama dengan nama file
dokumen yang disembunyikannya dengan harapan agar User terkecoh dan membuka file
duplikat virus tersebut. Jadi, dokumen aslinya sebenarnya tidak hilang melainkan hanya
disembunyikan saja.

Lain dengan itu, virus Mow tidak menyembunyikan dokumen, tetapi 'menelannya' dan
menghasilkan file terinfeksi dengan nama yang sama dengan nama dokumen yang diinfeksi.
Jadi, dokumen aslinya tidak ada lagi/hilang walaupun Anda telah melakukan setting terhadap
Folder Options ataupun menjalankan perintah attrib pada Command Prompt.

Hati-hati dengan file yang terinfeksi ini, karena selain bisa menginfeksi komputer yang masih
sehat, Scan yang dilakukan dengan Sebagian besar (Hampir Semua) Anti Virus ternyata
hanya menghapus langsung file hasil yang terinfeksi ini tanpa diperbaiki menjadi file
dokumen aslinya. Jadi, Anda dihadapkan dengan dilema antara tetap menyimpan file hasil
infeksi ini karena takut kehilangan dokumen aslinya ataupun menghapusnya saja agar
komputer anda aman dari virus ini.
Aksi File

Sewaktu komputer terserang dengan virus ini, akan terdapat 2 file berikut:

C:\WINDOWS\system32\WINWORD.EXE
C:\WINDOWS\system32\Com\ctfmoon.exe

WINWORD.EXE dan ctfmoon.exe merupakan 2 file yang identik (kode signature MD5 yang
sama).
WINWORD.EXE (induk virus) ini dibuat dengan nama yang sama dengan aplikasi Ms. Word
WINWORD.EXE yang terdapat pada: C:\Program Files\Microsoft Office\Office12 untuk
mengecoh User. Begitu juga ctfmoon.exe ini dibuat dengan nama yang menyerupai
ctfmon.exe (File Windows) pada: C:\WINDOWS\system32 yang juga untuk mengelabui
User.

Saat mulai dijalankan, WINWORD.EXE dan ctfmoon.exe pertama sekali akan menghapus
semua file maupun folder di dalam C:\WINDOWS\Temp\_$Cf. Tentang ini, akan dibahas
lebih detil pada segmen (*).

Aksi Regitry

Untuk mempertahankan dirinya, virus ini membuat value Registry berikut

ini agar WINWORD.EXE dan ctfmoon.exe selalu aktif setiap kali User melakukan log on
pada Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
ctfmoon.exe = "C:\WINDOWS\system32\Com\ctfmoon.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
AUTOWORD = "C:\WINDOWS\system32\WINWORD.EXE"

HKEY_USERS\[USER]\Software\Microsoft\Windows\CurrentVersion\Run,
ctfmoon.exe = "C:\WINDOWS\system32\Com\ctfmoon.exe"

NB: Walaupun identik, namun peran ctfmoon.exe tidaklah sebesar WINWORD.EXE.

Jika ctfmoon.exe dijalankan, maka dia hanya bertugas untuk membuat kembali
file WINWORD.EXE (apabila telah sempat dihapus/dibersihkan) dan menjalankannya
kembali. File ctfmoon.exe ini sama sekali tidak mengubah registry. Jadi, ctfmoon.exe hanya
bertindak sebagai pemicu ulang.

Infeksi File Dokumen

Salah satu hal yang paling merugikan dari virus ini adalah penginfeksian terhadap file Ms.
Word. File dokumen asli dalam bentuk doc maupun docx tidak ditemukan lagi, sehingga bisa
dikatakan virus ini 'menelannya'.

Adapun proses penginfeksian yang dilakukannya:

Mencari file doc dan docx pada setiap Drive yang dibuka User

Saat aktif, virus ini tidak langsung mencari file doc dan docx pada setiap drive (C, D, E,
dstnya) sebagai target infeksinya sampai suatu saat User membuka Drive/Folder yang di
dalamnya berisi file doc dan docx. Penginfeksian yang dilakukannya pun hanya terbatas pada
folder yang dibuka oleh User saja sampai User membuka folder yang lain.
Tetapi ada pengecualian untuk Removable Disk (seperti Flash Disk ataupun Hard Disk
External), file doc dan docx di dalamnya akan langsung diinfeksinya tanpa menunggu User
untuk membukanya.

WINWORD.EXE Sedang Mengakses Removable Disk Tanpa Menunggu User Untuk

Membukanya

Perilaku aneh ini mungkin bertujuan untuk tidak memperlambat kinerja komputer secara
signifikan sehingga tidak menimbulkan kecurigaan. Bayangkan jika virus ini langsung
mencari file dokumen target pada setiap drive tanpa menunggu aksi dari User, maka akan
memberatkan penggunaan memori RAM.

Membuat file enkripsi *.enc dari dokumen target infeksi

Setelah menemukan target dokumen, virus mulai membuat file enkripsinya yang berekstensi
*.enc pada C:\WINDOWS\system32. Enkripsi ini menggunakan metode Huffman.

Menghapus file dokumen aslinya

Setelah melakukan enkripsi, virus ini kemudian akan menghapus file dokumen aslinya.

Membuat file virus dengan nama yang sama dengan file dokumen yang dihapus

Setelah menghapusnya, virus ini akan menggunakan kembali file hasil enkripsinya untuk
membuat file virus berkestensi *.exe. File virus ini mempunyai nama yang sama dengan
nama dokumen yang telah dhapusnya. File inilah sebagai hasil akhir penginfeksian terhadap
file dokumen.
Karena file dokumen aslinya telah dihapus, maka diharapkan User tidak memiliki pilihan lain
selain membuka kembali file hasil infeksi ini. Dengan membuka file hasil infeksi ini maka
komputer tadinya bersih ataupun sedang dibersihkan, akan diserang (kembali) oleh virus ini.

Perbandingan Antara File Dokumen Asli, File yang Dienkripsi, dan File Hasil
Infeksi

Untuk lebih mengerti tentang teknik pengenkripsian Huffman, Lihat ilustrasi berikut ini:

Apa yang terjadi jika User membuka file hasil infeksi ini?

Apabila User membuka/menjalankan file hasil infeksi ini, maka file ini akan:

Menghapus file maupun folder di dalam C:\WINDOWS\Temp\_$Cf

Folder C:\WINDOWS\Temp\_$Cf ini merupakan folder yang dibuat oleh file hasil infeksi ini
sebelumnya. Seluruh file dan folder didalamnya akan dihapus kecuali folder yang beratribut
Hidden. Tujuan menghapusnya mungkin untuk menghilangkan jejak.

Membuat file osk.exe dan Mengekstrak file dokumen asli (sebelum diinfeksi)

File hasil infeksi ini akan membuat file osk.exe (File osk.exe ini identik
dengan WINWORD.EXE dan ctfmoon.exe) pada folder C:\WINDOWS\Temp\_$Cf dan
kemudian mengekstrak file dokumen aslinya ke folder C:\WINDOWS\Temp\_$Cf dengan
nama file yang sama. Kemudian, melakukan penambahan satu buah karakter 'Spasi' pada
nama file dokumen ini.

File Dokumen Aslinya Diekstrak Terlebih Dahulu Dengan Nama File yang Sama,
Kemudian Ditambahi Karakter Spasi

Perhatikan Pertambahan 1 Buah Karakter Spasi Pada Nama File Dokumen Asli yang Telah
Diekstrak

Menjalankan osk.exe dan membuka file dokumen asli yang telah diekstraknya ini

Setelah itu, file hasil infeksi ini akan menjalankan osk.exe yang perannya sama
dengan ctfmoon.exe. Jadi, osk.exe di sini berfungsi untuk menyebar ke komputer lain
ataupun sebagai pemicu ulang pada komputer yang telah diserangnya.

File Hasil Infeksi Sedang Menjalankan

osk.exe

Setelah menjalankan osk.exe, file hasil infeksi ini akan memerintahkan Windows

Explorer (C:\WINDOWS\explorer.exe) untuk membuka file dokumen asli yang telah
diekstraknya ini. Singkatnya, file dokumen asli yang telah di-'telan'-nya ini kemudian akan
di-'muntahkan'-nya kembali.

File Hasil Infeksi Sedang Memerintahkan explorer.exe untuk Membuka File Dokumen
Aslinya

(*) Saat mulai dijalankan, osk.exe (demikian juga

dengan WINWORD.EXE dan ctfmoon.exe) pertama sekali akan menghapus semua file
maupun folder di dalam C:\WINDOWS\Temp\_$Cf. Jadi, file dokumen asli yang telah
diekstraknya ini sebenarnya akan duluan terhapus sebelum sempat dibuka oleh Windows
Explorer. Ini akan membuat trauma para pengguna komputer yang terserang virus ini karena
tidak dapat membuka kembali dokumen yang telah terinfeksi.

File Dokumen yang Telah Diekstrak Tidak Bisa Dibuka Karena Telah Dihapus
Oleh osk.exe

Untuk beberapa kasus pengecualian, mungkin saja antivirus yang digunakan tidak
mendeteksi file hasil infeksi tetapi mendeteksi osk.exe sebagai virus, sehingga akses terhadap
file hasil infeksi tidak dicegah tetapi akses terhadap osk.exe berhasil dicegah.
Jadi, osk.exe tidak sempat menjalankan aksinya (karena dicegah) sehingga tidak sempat
menghapus file dokumen asli (yang telah diekstraknya) di dalam C:\WINDOWS\Temp\_$Cf.
Dalam kasus ini, file dokumen aslinya berhasil dibukanya.

Pembersihan

Pembersihan virus Mow cukup mudah, download saja Aplikasi berikut ini:

PCMAV Express for Mow

Aplikasi ini dibuat oleh Tim PCMAV (Antivirus Buatan) Indonesia.

Mow Removal

Aplikasi ini dibuat oleh Seorang Programmer yang dilampirkan pada halaman ini.
Keunggulan aplikasi ini adalah dapat memilih Path tertentu untuk discan sehingga cocok
untuk menyembuhkan file dokumen kita yang terinfeksi pada Removable Drive tetapi belum
sempat menginfeksi komputer kita.

Pencegahan

Membuat folder osk.exe yang tidak bisa dihapus

Satu-satunya cara bagi virus ini untuk menular ke komputer yang sehat adalah melalui file
dokumen yang berhasil diinfeksinya. Jika file yang telah diinfeksi ini dipindahkan ke
komputer yang masih sehat (melalui Removable Disk) dan dijalankan, maka virus ini akan
menular lewat osk.exe yang dibuatnya pada C:\WINDOWS\Temp\_$Cf. Kemudian setelah
osk.exe ini dijalankan, maka osk.exe akan membuat file WINWORD.EXE pada folder C:\
WINDOWS\system32. Dan pada gilirannya, WINWORD.EXE yang akan dijalankan terus
menerus dan berperan sebagai induk virus.

Jika saja kita bisa mencegah terbentuknya file osk.exe, maka pembentukan induk
virus WINWORD.EXE akan terhambat.

Untuk tujuan itu, bisa dengan dibuat satu folder baru bernama osk.exe dan letakkan pada C:\
WINDOWS\Temp\_$Cf. Dengan dibuat folder dengan nama yang sama, file osk.exe dari virus
tidak akan muncul karena Windows tidak mengijinkan ada dua file/folder yang bernama sama
dalam lokasi yang sama.

Tetapi, folder yang telah dibuat ini haruslah tidak bisa dihapus secara manual dan berartibut
Hidden. Cara membuat folder ini:

1. Tekan:   + R

2. Ketikkan "cmd" dan tekan Enter

3. Copy dan pastekan tulisan di bawah ini dan tekan Enter setelahnya:

mkdir \\.\E:\WINDOWS\Temp\_$Cf\osk.exe\nul\con\aux
attrib E:\WINDOWS\Temp\_$Cf\osk.exe +s +h

NB: Jangan mengabaikan satu buah karakter Enter Ingat sesuaikan tulisan C di atas sesuai
dengan Drive sistem Windows berada.

Hasilnya, akan terbentuk sebuah folder osk.exe yang didalam folder ini terdapat folder nul.
Di dalam folder nul terdapat folder con. Dan yang terakhir, di dalam folder con terdapat
folder aux. Folder con, nul, dan aux ini tidak bisa dihapus dengan cara yang biasa karena
mengandung nama sistem variabel windows.

Nama-nama folder yang tidak bisa dihapus selain ketiga nama di atas adalah: Prn, Com1,
Com2, hingga Com9, dan Lpt1, Lpt2, hingga Lpt9.

Dengan ini, komputer tidak bisa terinfeksi oleh virus ini walaupun anda membuka file
dokumen yang telah diinfeksinya karena folder osk.exe yang telah dibuat ini akan
menghalangi terbentuknya osk.exe virus.
Dengan tidak terbentuknya file virus osk.exe, maka file dokumen asli (yang telah
diekstraknya) di dalam C:\WINDOWS\Temp\_$Cf tidak terhapus sehingga kita bisa
mendapatkan kembali file dokumen aslinya.

Perhatikan gambar di bawah, ketika membuka file Contoh.exe, file Contoh .doc tidak
terhapus sehingga kita bisa memindahkan file dokumen asli Contoh .doc ini ke tempat lain.
Dengan ini, kita bisa mendapatkan Contoh .doc secara langsung tanpa harus menggunakan
kedua Removal di atas untuk mengembalikan Contoh.exe menjadi Contoh.doc.

Lindungi file dokumen anda

Lindungi file *.doc dan *.docx Anda dengan cara ini agar tidak diinfeksi ketika berhadapan
dengan virus ini. Terutama yang berada di dalam Removable Disk (Flash Disk ataupun
External Hard Disk), karena bisa saja suatu saat Flash Disk anda dicolokkan ke komputer
yang telah terserang virus Mow.

Selesai, komputer Anda telah aman dari virus Mow.

Read more: http://herman-salim.blogspot.com/2012/11/virus-mow-yang-menginfeksi-

file.html#ixzz4mwOrMuoA
Follow us: @KiamhuBlog on Twitter | 167710176658956 on Facebook
Home » Malware (Virus Komputer) , Tips » Membuat Folder yang Tahan/Kebal Terhadap
Serangan Virus

Membuat Folder yang Tahan/Kebal Terhadap Serangan Virus

09:05:00  Malware (Virus Komputer), Tips  No comments

Pernahkah file-file dan folder di dalam komputer maupun pada Removable Disk Anda diutak-
atik virus? Biasanya virus suka menyembunyikan, menginfeksi, ataupun menghapusnya file-
file yang ditemuinya sehingga kita direpotkan untuk menemukannya kembali.

Agar file-file kesayangan Anda tidak disembunyikan, diinfeksi, ataupun dihapus oleh virus,
biasakan menyimpan file penting anda di dalam sebuah folder yang diberi penamaan dengan
simbol unik (Unicode Folder Naming). Simbol Unicode ini merupakan simbol yang tidak
bisa kita jumpai dalam keyboard.

Misalnya:

Bagaimana cara menemukan karakter seperti ini?

Fitur Symbol Pada Microsoft Word

Buat Anda, pasti sudah tidak asing dengan Microsoft Word. Simbol-simbol unik dapat Anda
peroleh dari Insert–Symbol. Jangan lupa untuk mengatur ke opsi Unicode (hex) pada opsi
from.
Fitur Character Map Pada Windows

Tekan:   + R, Kemudian ketikkan "charmap" dan tekan Enter. Simbol-simbol dengan fitur
ini lebih lengkap. Bahkan, Anda bisa memilih Tulisan Mandarin dan Jepang pada Font Arial
Unicode MS dan Lucida Sans Unicode.

Fitur Translator

Anda bisa mencoba menerjemahkan suatu kata menjadi bahasa Mandarin, Jepang, ataupun
Korea dengan menggunakan Translator Online. Salah satunya adalah Google Translate.
Gunakan tulisan yang telah diterjemahkan ini untuk penamaan suatu folder.

Dalam penamaannya, menggunakan satu buah karakter Unicode saja sudah cukup
membuatnya aman dari serangan virus.

Apabila file-file yang telah anda simpan di dalam folder yang mengandung karakter Unicode
ini tidak bisa dibuka/dijalankan secara sempurna, maka pindahkan dulu ke folder lain yang
tidak mengandung karakter Unicode dan coba buka/jalankan kembali.

Untuk Anda yang langsung ingin menggunakan karakter unicode tanpa mengutak-atik lagi,
saya berikan beberapa di sini:

ﾋ థ r ஃ ﾛ ষ 醇 Ж 〣

Mengapa bisa tahan terhadap serangan virus?

Hampir semua virus yang beredar sejauh ini belum didukung oleh kemampuan membaca
karakter Unicode. Jadi, mereka sama sekali tidak sanggup untuk mengenal folder yang
berkarakter Unicode ini apalagi membuka dan mengutak-atik isi di dalamnya.

Bagaimana cara mengujinya?

Untuk mengujinya, tidak perlu mencari virusnya dan menyerahkan folder ini sebagai umpan.
Cukup dengan menginstalasi aplikasi ini. Setelah itu, klik kanan pada folder yang ingin diuji
dan klik Open Command Window Here.
Untuk pengguna Windows 7, tidak perlu menginstalasi tetapi cukup dengan menekan dan
menahan tombol Shift lalu klik kanan ke folder yang akan diuji kemudian klik Open
Command Window Here.

Setelah itu, akan keluar jendela Command Prompt, kemudian perhatikan nama foldernya.
Apabila terdapat tanda tanya, itu berarti karakter yang digunakan sebagai nama foldernya
tidak bisa diidentifikasi oleh Command Prompt dan sama halnya juga oleh virus.

Perluasan kata kunci: Kebal, Aman, Tahan, Serangan, Virus, Trojan, Worm, Ramnit, Sality, Mow, Qvod.

Read more: http://herman-salim.blogspot.com/2012/11/membuat-folder-yang-tahan-

terhadap.html#ixzz4mwQn1HaO
Follow us: @KiamhuBlog on Twitter | 167710176658956 on Facebook