Baru-baru ini muncul virus yang bernama Tunggul Kawung. File virus ini ada dua macam, yaitu file yang dibuat dengan compiler Visual Basic 6, seperti aniee.exe dan hanny.exe dan file yang dibuat dengan Visual Basic Script (VBS), seperti tunggul.vbs, iexplore.vbs, bogor.vbs. Yang bahaya dari virus ini, dia merusak data yang berekstensi doc. File yang dirusak sulit untuk di-recovery. Demikian penjelasan dari www.vaksin.com. Penjelasan lain juga bisa diperoleh di www.ansav.com.
Di dalam script file vbs pada virus Tunggul Kawung tersebut, terdapat perintah yang membahayakan data MS. Excel dan MS. Word. Agar perintah tersebut tidak dapat bekerja, file vbs tersebut harus dicegah agar tidak terseksekusi. Salah satu cara melakukan hal tersebut adalah dengan mengalihkan eksekusi file vbs agar dibuka dengan notepad. Ini bisa dilihat di www.ahlul.web.id.
Selain cara yang disebutkan di atas, ada cara lain yang mempunyai fungsi serupa yaitu:
- Buka program notepad.
- Simpan file tersebut dengan nama coba.vbs (tipe all files)
- Kemudian klik kanan file tersebut, pilih open with.
- Kemudian pilih notepad, dan pilih always use the selected program to open this kind of file
Cara ketiga agar file vbs tidak berfungsi, adalah dengan membatasi eksekusi program yang menjalankan visual basic script (vbs) yaitu wscript.exe dan cscript.exe yang bermukim di c:\windows\system32. Caranya adalah dengan memanfaatkan perubahan registry yang biasa dilakukan oleh virus.
Virus atau worm lokal biasanya berusaha mencegah tereksekusinya beberapa program agar bisa menghambat pembersihan virus tersebut. Program yang biasanya dihambat eksekusinya adalah taskmanager, ms config, regedit, antivirus, dan lain-lain. Adapun setting registry yang ditambahkan adalah di
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]
Contohnya agar file regedit tidak bisa dibuka adalah dengan cara membuat key di registry sebagai berikut:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]“Debugger”=”" .
Hal serupa dapat kita lakukan agar file vbs tidak dijalankan oleh wscript.xe dan cscript.exe. Caranya, buka program notepad, lalu kopi tulisan di bawah ini, kemudian simpan dengan nama bpskrip.reg. Lalu klik dua kali file tersebut dan restart komputer.
Windows Registry Editor Version 5.00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe]“Debugger”=”Notepad.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe]“Debugger”=”Notepad.exe”
Demikian sekelumit hasil dari mempelajari Tunggul Kawung. Mohon koreksi jika ada penjelasan yang kurang atau salah. Terima Kasih
http://madsyair.wordpress.com/2007/09/10/menangkal-serangan-tunggul-kawung/
Tidak ada komentar:
Posting Komentar