Dari sekian banyak ulah virus, seperti menyebar ke USB flashdisk dengan jumlah yang banyak melalui penggandaan sebanyak folder yang ada, merusak dokumen, dan lain sebagainya, namun beda dengan worm satu ini. Walaupun worm ini hanya membuat dua buah file indukan, tetapi kekuatan bertahannya memang kuat, bandel untuk dibersihkan dengan mudah.
Karakteristik Worm
Icon: Windows Media Player
Dibuat menggunakan: MS Visual Basic 5.0-6.0 EXE
Nama asli file: KJfiles
Ukuran: 444 KB (454,656 bytes)
Tak ada yang baru dan unik dari tampilan karakter virus ini, tapi siapa yang tau dengan aksinya?
Aksi Virus
Walau kita punya banyak drive aktif, maupun banyak flashdisk yang tertancap ke port USB, hal itu bukan menjadi santapan worm ini.
Adapun yang menjadi aksi serangan worm ini adalah pada Registry:
- Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“HKCU”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\
00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\
69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\
00,72,00,2e,00,65,00,78,00,65,00,00,00
- Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
“Policies”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\
72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\
00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\
65,00,72,00,2e,00,65,00,78,00,65,00,00,00
- Windows Registry Editor Version 5.00
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- “HKLM”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\
- 00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\
- 69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\
- 00,72,00,2e,00,65,00,78,00,65,00,00,00
- Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
“Policies”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\
72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\
00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\
65,00,72,00,2e,00,65,00,78,00,65,00,00,00
Sedangkan untuk peletakan lokasi induk file pada harddisk yaitu pada:
- C:\directory\CyberGate\install\server.exe
- C:\Document and Settings\User\Application Data\install\server.exe
Saat virus sudah berhasil meletakkan indukannya pada lokasi yang aman (yang bahkan pada lokasi tersebut ternyata kita tidak bisa menghapus folder yang dibuat oleh virus/worm), virus akan memanggil “iexplore.exe” untuk dijalankan dan berjalan dibalik layar, entah ini semacam sistem remot kuda Trojan, tak dapat diselidiki dengan mudah. Namun entah kenapa harus ada pemanggilan Dr. Watson (yang mengakibatkan muncunya kotak pesan adanya kerusakan dari IE) dengan parameter:
- C:\WINDOWS\system32\drwtsn32 -p 320 -e 364 –g
Parameter pemanggil Dr. Watson bisa berubah-ubah.
Cobalah untuk mengkill IE! Jika IE atau Internet Explorer ini tidak dapat dikill berarti indukan virus (worm) ini memang masih aktif, belum benar-benar terhapus.
Mencoba Bersihkan dengan Smadav
Walaupun dari laporan hasil Scanning Smadav menyatalkan “Sudah dikarantina”, namun ternyata setelah dilihat pada proses, jika IE masih aktif, dan dicoba dikill, lalu IE aktif kembali, berarti worm ini memang bandel untuk dibersihkan.
Semoga kedepan hal ini sudah bisa diatasi!
Tapi untuk database, Smadav sudah mengenali worm ini, sehingga bagi komputer yang belum terkena worm ini dapat tetap aman dalam pengawasan Smadav. 
Download Smadav di www.smadav.net