Menangkal Serangan Tunggul Kawung

Baru-baru ini muncul virus yang bernama Tunggul Kawung. File virus ini ada dua macam, yaitu file yang dibuat dengan compiler Visual Basic 6, seperti aniee.exe dan hanny.exe dan file yang dibuat dengan Visual Basic Script (VBS), seperti tunggul.vbs, iexplore.vbs, bogor.vbs. Yang bahaya dari virus ini, dia merusak data yang berekstensi doc. File yang dirusak sulit untuk di-recovery. Demikian penjelasan dari www.vaksin.com. Penjelasan lain juga bisa diperoleh di www.ansav.com.

Di dalam script file vbs pada virus Tunggul Kawung tersebut, terdapat perintah yang membahayakan data MS. Excel dan MS. Word. Agar perintah tersebut tidak dapat bekerja, file vbs tersebut harus dicegah agar tidak terseksekusi. Salah satu cara melakukan hal tersebut adalah dengan mengalihkan eksekusi file vbs agar dibuka dengan notepad. Ini bisa dilihat di www.ahlul.web.id.

Selain cara yang disebutkan di atas, ada cara lain yang mempunyai fungsi serupa yaitu:
1. Buka program notepad.
2. Simpan file tersebut dengan nama coba.vbs (tipe all files)
3. Kemudian klik kanan file tersebut, pilih open with.
4. Kemudian pilih notepad, dan pilih always use the selected program to open this kind of file

Cara ketiga agar file vbs tidak berfungsi, adalah dengan membatasi eksekusi program yang menjalankan visual basic script (vbs) yaitu wscript.exe dan cscript.exe yang bermukim di c:windowssystem32. Caranya adalah dengan memanfaatkan perubahan registry yang biasa dilakukan oleh virus.

Virus atau worm lokal biasanya berusaha mencegah tereksekusinya beberapa program agar bisa menghambat pembersihan virus tersebut. Program yang biasanya dihambat eksekusinya adalah taskmanager, ms config, regedit, antivirus, dan lain-lain. Adapun setting registry yang ditambahkan adalah di

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]

Contohnya agar file regedit tidak bisa dibuka adalah dengan cara membuat key di registry sebagai berikut:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsregedit.exe]
“Debugger”=”” .

 

Hal serupa dapat kita lakukan agar file vbs tidak dijalankan oleh wscript.xe dan cscript.exe. Caranya, buka program notepad, lalu kopi tulisan di bawah ini, kemudian simpan dengan nama bpskrip.reg. Lalu klik dua kali file tersebut dan restart komputer.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionswscript.exe]
“Debugger”=”Notepad.exe”

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionscscript.exe]
“Debugger”=”Notepad.exe”

 

Demikian sekelumit hasil dari mempelajari Tunggul Kawung. Mohon koreksi jika ada penjelasan yang kurang atau salah. Terima Kasih

9 thoughts on “Menangkal Serangan Tunggul Kawung”

  1. tapi gimana kalo computer nya sudah terinfeksi, dan saya coba yang dianjurkan vaksin.com memasukkan beberapa registry. hasilnya malah seluruh documents (*.doc) berubah kapasitasnya menjadi 0 kb. bagaimana me repairnya kembali ?
    karena sekarang virus lokal cenderung untuk merusak document² sehingga sulit untuk direcovery.

    @ Untuk file yang ukurannya menjadi 0 kb, saya belum menemukan solusi untuk meecovery-nya. Sementara yang bisa saya lakukan adalah mencari file temporary (yang biasanya tersembunyi dan berekstensi tmp, karena itu ubah di folder option agar show hidden file dan folder), kemudian ubah ekstensinya menjadi doc.

  2. VIRUS APAAN NIY???
    Setelah saya memasukan flashdisk ke Computer dan menekan salah satu file berbentuk .vbs atau kalau dilihat diproperties adalah Windows Based Script Host. Tiba-tiba saja computer saya mendapatkan virus yang gak bisa kedetech ma Anti Virus seperti PC MAV RC 22 dan Ansav, hanya antivirus AVG saja, tetapi kan seperti yang kita tahu AVG itu bukan men-cure alias menyembuhkan tetapi malah menghapus file padahal sudah hampir seluruh halaman terisi dan banyak file penting disana. Semakin lama seluruh file-file berbunyi .doc tidak bisa dibuka dan berganti menjadi file .vbs, misal file sebelum terkena virus adalah ‘makalah.doc’ setelah terkena menjadi ‘makalah.doc.vbs’ dan iconnya berganti ke winamp atau jet audio atau ke icon player. Tidak hanya itu saja, seluruh folder di C, D dan lainnya juga sudah terisi file atau virus yang berbunyi sebagai berikut : Time After Time, Sebuah Balada, dan Love Story, DLL pokoknya lah.
    Berbagai macam cara sudah saya lakukan dengan install ulang. Tetapi hasilnya nol semua.
    Tolong dong, bagi blogger atau siapa aja yang tahu antivirus apa yang bisa menyembuhkan computer saya ini bagi-bagi infonya dong, tolong banget yah…
    Eh ternyata computer teman-teman saya dikampus juga gitu, gimana niy? Harus pake antivirus apa and downloadnya dimana?.thanx

    @ coba pake power remover di http://www.donixsoftware.web.id, pengalaman bagus untuk menangani virus vbs. Kalau yang dihapus avg adalah makalah.doc.vbs, tidak masalah, karena itu adalah file virusnya. Pertanyaannya, di mana file makalah.doc yang asli? Silahkan baca “catatan si Joni di blog ini”.
    Oh, ya. Anda bisa kirimkan sampel virusnya ke http://www.ansav.com atau ke email saya.

Leave a Reply

Your email address will not be published. Required fields are marked *