Waspadai ” W32.Trafox.A Worm Semi Virus buatan lokal: Sebuah Evolusi Malware Lokal”

Sebuah Evolusi Malware Lokal yang perlu diwaspadai, “W32.Trafox.A”, malware lokal ini tidak hanya menggandakan diri seperti kebanyakan worm lokal Indonesia, tetapi juga menginfeksi file-file eksekutable bertipe .EXE, sehingga lebih pantas disebut sebagai Worm semi virus,karena dia menggandakan diri dan juga mampu menjadi parasit dalam tubuh program lainnya.

Memang beberapa worm lokal lainnya ( sebelumnya ) juga ada yang melakukan modifikasi pada file/program lainnya, contohnya worm Grogotix, tapi kenapa worm grogotik tidak disebut sebagai Worm semi virus? padahal dia juga melakukan modifikasi pada file EXE lainnya. Tidak, Grogotix tidak memodifikasi file/program lainnya, seandainya iya pasti hanya berupa modifikasi yang tak berarti, Grogotix justru malah memodifikasi tubuhnya sendiri dan tentu saja hal ini tidak bisa dimasukkan dalam katagori infeksi, karena modifikasi tubuhnya sendiri itu maksudnya hanya menyimpan file/program lainnya kedalam tubuh worm yang tepatnya pada offset terakhir file-nya dan menjadi Overlays Data pada tubuh Grogotix sendiri, sehingga file/program asli tidak jalan dengan semestinya karena Grogotix butuh untuk mengekstraknya terlebih dahulu ke direktori tertentu ( dalam kasus ini direktori Temp ) dan menjalankan program tersebut dari situ, sehingga tidak semua program bisa jalan dengan sewajarnya, terutama program-program yang meletakkan runtime pada direktori instalasinya, sehingga tidak bisa disebut sebagai infeksi. hal ini berbeda dengan worm semi virus W32.Trafox.A yang saya dapatkan ini, karena virus ini benar-benar melakukan modifikasi pada program lainnya dan tidak hanya menumpuki atau meng-Append (menempelkan) file rawnya saja seperti Grogotix

Adapun yang dilakukan Trafox untuk menginfeksi file EXE adalah dengan cara membelokkan entrypoint program aslinya ke tubuh virus, hal ini bisa dilakukan dengan cara menempelkan tubuh virus ke program lain dengan membuat section baru pada section terakhir, section tersebut memiliki nama ‘.idata’ ( ini pada varian virus yang saya dapatkan, pada varian lainnya mungkin akan berubah/berbeda ) dan virus ini akan membelokkan entrypoint program aslinya ke entrypoint virus. Sebentar…, apa itu entrypoint? Entrypoint adalah alamat awal suatu program yang akan dibaca dan dieksekusi terlebih dahulu ketika program pertama kali dijalankan, jadi apabila misalnya program kita asumsikan Winamp.exe (program pemutar musik paling terkenal) apabila winamp.exe tersebut terinfeksi oleh virus ini dan Anda mencoba menjalankan winamp, maka winamp akan tetap berjalan seperti biasa tetapi.., ini ada tetapi berarti anda juga secara tidak langsung telah menjalankan virus-nya, mengapa? Karena kode virus akan terlebih dahulu dieksekusi oleh komputer sebelum kode asli program winamp dijalankan, adapun apa yang akan diperbuat oleh kode virus ini adalah dengan cara menjalankan rutin untuk mengekstrak file (berupa worm induk) pada direktori System dan menjalankan worm induk tersebut dari sana, setelah proses tersebut selesai, virus akan segera mengembalikan kendali ke program yang sebenarnya (winamp.exe) sehingga sangat sulit untuk mengidentifikasi keberadaan virus ini, hal ini berpengaruh juga pada proses pembersihan virus tersebut, proses pembersihan menjadi lebih sulit dibandingkan membersihkan worm lokal lainnya, mengapa? karena kita harus panda-pandai memisahkan antara program asli dengan virus, jadi tidak bisa langsung Seek And Delete, karena apabila asal delete file program aslinya pun akan ikut hilang beserta virusnya, dan jarang ada orang yang berkeinginan demikian.

Worm ini saya rasa cukup arogan, karena pada tubuh raw-nya, terdapat salah saru source :

<HTML>
<head>
</head>
<body bgcolor="red">
<center><h1>W32.TR4F0X.A</h1><br>
<br><font face="arial black" size="5">
- Say War To #VM Community (Jowoboot)<br>
- Kill all AV<br>
- Destroy all fuckin company.<br>
<br><br>
[ IVS * INDONESIAN VIRUS SOCIETY ]</font></center>
</body>

Anda tentunya sudah bisa menebak apa yang akan terjadi dengan pesan diatas, Kata-kata yang tidak mengenakkan ada pada pesan diatas pada baris kedua yaitu “Say War To #VM Community (Jowoboot)“, mengapa hal ini mengkhawatirkan?, karena kata-kata tersebut bisa memancing atau istilahnya memprovokasi para Vxer-vxer lain untuk berlomba-lomba membuat virus-virus baru dan dapat berakibat Cyber War, seperti yang pernah terjadi sebelumnya yaitu pertarungan antara Gang Antibrontok yang diwakili RomanticDevil + NoBron melawan Gang Jowoboot yang diwakili Brontok + Rontokbro, dan saya yakin Anda pasti tidak mengharapkan yang demikian ini terjadi ~_~”.

Namun Anda tak perlu khawatir, karena untuk mengobati kompi Anda yng telah terinfeksi malware ini tidaklah begitu sulit,berikut adalah cara membersihkannya :

• Matikan fasilitas system restore pada Windows versi 2K/XP keatas
• Matikan proses dengan nama “Services_test.exe”, bisa menggunakan Windows Task Manager.
• Jalankan remover “Ansav SE w32.trafox.A Cleaner” (Anda bisa cari di Mbah google

Insya’Allah kompi Anda akan terobati.