Home > Analisa Virus, Antivirus > [5 varian]Virus KSpoold: DOC & XLS menjadi EXE

[5 varian]Virus KSpoold: DOC & XLS menjadi EXE

June 15th, 2007

Walau secara pemrograman virus KSpoold termasuk sederhana, namun inovasi yang efektif dan efisien yang dilakukan oleh pembuatnya, seakan membawa pakem baru dalam dunia pervirusan di Indonesia.

Namun efek yang ditugaskan oleh pembuatnya, mengubah file .DOC dan .XLS menjadi .EXE serta merusak file database .MDF, .LDF dan .DBF, cukup mengkhawatirkan dan merepotkan pengguna yang dokumennya menjadi korban.

KSpoold aktif sebagai Windows services

Dibuat oleh programmer Indonesia dengan menggunakan Delphi, inilah virus lokal pertama yang kami temukan mampu menggunakan teknik services dan injeksi kode secara efektif dan efisien. Selain itu, tidak seperti virus lokal kebanyakan, virus KSpoold sama sekali tidak tertarik untuk mengutak-ngatik registry. Walau begitu, teknik baru yang dipakai virus ini terbukti efektif melindungi dirinya sendiri dan menyebar dengan luas.

File DOC & XLS terinfeksi dan berubah menjadi EXE

Sayangnya, KSpoold mengemban tugas “jahat” yakni mencari file .DOC dan .XLS di setiap drive removable disk (seperti USB Flash Disk) untuk disusupkan program utama virus ini pada setiap file .DOC dan .XLS yang ditemukan. Setelah disusupi, ekstensi file dokumen .DOC dan .XLS tadi akan berubah menjadi .EXE dan tidak lupa virus akan menyesuaikan icon file dengan jenis dokumen yang diinfeksinya. Selain itu, entah untuk maksud apa, virus ini dapat merusak file database yang berekstensi .MDF, .LDF dan .DBF.

Antivirus sebaiknya mampu melumpuhkan terlebih dulu services virus ini di memory dan mencabut injeksinya pada process yang menjadi target virus ini. Tanpa melakukan hal ini, maka akan sulit mengatasi virus ini secara tuntas, karena akan kembali menginfeksi dokumen Anda. Setelah itu, barulah proses pencarian dan perbaikan file dilakukan. Faktanya, belum ada satupun antivirus yang dibuat khusus untuk virus ini yang mampu melakukannya secara tuntas, terutama mencabut injeksi kodenya.

Walau KSpoold menggunakan teknik services dan injeksi kode, dengan algoritma khusus yang dikembangkan oleh ahli antivirus di PC Media, [new link] PCMAV SE for KSpoold mampu melumpuhkan lima varian dari virus ini secara sempurna, baik di memory, process, maupun di file. Selain itu, file DOC dan XLS yang terinfeksi juga mampu dipulihkan seperti sedia kala, tanpa cacat sedikitpun. Anda pun bisa tenang karena dokumen DOC dan XLS penting milik Anda tetap terselamatkan secara aman.

Namun jangan lupa untuk *selalu* meng-non-aktifkan terlebih dulu System Restore di Windows Anda sebelum menjalankan PCMAV SE for KSpoold. Selain itu, berlatihlah untuk selalu disiplin dalam mem-backup data penting Anda. Bukankah penyesalan akibat kehilangan data penting selalu datang belakangan?

[update! VARIAN BARU]
Varian baru KSpoold ini dikenal oleh PCMAV sebagai KSpoold.B. Pada variannya kali ini, services dari virus tidak lagi aktif di memory. Kali ini ia langsung meng-injeksi-kan sebuah DLL dengan nama avwav32.dll, yang juga merupakan bagian dari virusnya sendiri, ke dalam sebuah process aplikasi yang sedang aktif. Dengan teknik ini, prosedur virus menjadi semacam sebuah modul baru dalam process aplikasi tersebut.

Bekerja dengan hanya melalui proses injeksi DLL semacam ini, tanpa services maupun process, baru kali pertama kami temukan diimplementasikan pada virus lokal. Namun demikian, teknik injeksi ini telah lama ada dan banyak digunakan oleh trojan dari luar negeri. Injeksi DLL semacam ini mampu menjadikan virus ini bersifat relatif siluman (stealth) karena tidak terdeteksi melalui Task Manager. Selain itu, ia pun sulit untuk dimatikan terutama jika menginjeksi process penting sistem. Menggunakan library khusus untuk un-inject yang bersifat umum juga tidak mudah, mengingat kita harus mempelajari dulu teknik virus tersebut melakukan injeksi.

Icon file dokumen yang terinfeksi KSpoold.B bukan word/excel.

Dan sama seperti variannya terdahulu, ia masih akan tetap menginfeksi dokumen .DOC dan .XLS Anda. Setiap file dokumen yang telah terinfeksi oleh virus ini akan menjadi sebuah file .EXE (executable), namun bedanya file terinfeksi tersebut iconnya akan berubah menjadi seperti icon file virus yakni seperti program “Uninstaller”. Karena pada varian lalu, file yang terinfeksi iconnya akan menyesuaikan dengan tipe dokumen yang ia infeksikan, icon Word ataupun Excel.

PCMAV RC17 yang akan rilis tidak lama lagi telah mampu mengatasi lima varian KSpoold ini secara sempurna dan tuntas 100%, termasuk secara otomatis mengetahui ekstensi dokumen yang sesuai. Bahkan, jika antivirus lain kesulitan mengatasi injeksi virus ini pada sistem memory, maka PCMAV dengan mudah dapat melumpuhkannya. Untuk sementara waktu Anda bisa membasminya dengan PCMAV SE for KSpoold versi terbaru di bawah ini:

[new link] PCMAV SE for KSpoold (5 variants): http://www.divshare.com/download/943464-010

Catatan: PCMAV SE terbaru ini dilengkapi dengan parameter “/FORCE”. PCMAV SE sebelumnya telah dilengkapi filter agar perbaikan file WAJIB sesempurna mungkin seperti aslinya dan menolak memperbaiki file dokumen yang dianggap tidak orisinal ataupun format dokumen tidak dikenal. Namun, jika Anda ingin (baca: memaksa) dokumen tersebut dapat tetap diselamatkan walau tanpa filter apapun, maka gunakanlah parameter tersebut. Dengan ini maka PCMAV SE for KSpoold versi sebelumnya dinyatakan tidak berlaku lagi dan link-nya telah ditutup.

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus, Antivirus Tags:
  1. yen
    January 15th, 2008 at 09:14 | #1

    oh ya, sebelumnya tadi wkt scan flashdisk nya g lupa matiin system restore nya. gimana neh?

  2. anas
    January 25th, 2008 at 11:34 | #2

    mas mau nanya kalo word dirumah saya kok setipa dienter ada character tambahan ya…
    trus klo spasi jadi .(cuma ditengah2)
    misalnya = saya.makan.nasi
    itu virusnya variannya apa ya???
    mohon dibantu…..
    trims

  3. Novita Anggie Siagian
    January 28th, 2008 at 17:37 | #3

    Flash disk saya kena virus..gak tau apa nih namanya..
    flashdisk saya 1GB,ada data yg hilang semua di hidden.
    Pas di scan virus gak ke detec,udah dicoba pake attrib *^* juga ga bisa muncul data2nya..terus udah juga di coba dari tool show hidde files juga gak muncul datanta di flashdis.
    Bagi temen-temen yg ngerti gimana caranya munculin data di flash itu lagi,tolong ajarin Novita yah..kasih ide soalnya datanya penting banget buat saya..

  4. Arief
    March 12th, 2008 at 20:30 | #4

    Hallo mas, gimana ya teknik masuknya virus pada sistem komputer terutama pada sistem operasi xp. klo bisa kirim di email saya ya mas. coz saya butuh referensinya mas. Thanks ya mas!!

  5. March 12th, 2008 at 22:13 | #5

    bagi yang mau update database virus pcmav rc 25 lebih dari 1200 virus kirim aja email lo ke sutan@softz-list.org krn gue gak punya server utk download dan filenya kecil ntar gue kirimin(bebas virus)

  6. ibnu hardjo
    March 16th, 2008 at 02:01 | #6

    wah, gawat ini bozz, pusing mikirin virus yang ga bisa disikat pake antivirus dan walaupun udah ku install ulang virus yang ngendon di drive D ternyata masih aktif dan hidden folder, kemarin di scan pake PCMAV 24 hasilnya cuma suspected virus ga bisa dihapus, tulisannya windows/run32dll dikasih norton malah ngeblok sistem ga bisa masuk windows, ini piye piye piye?? mau bikin skripsi ga kelar-kelar kalo diganggu virus kaya gini, udah 2 hari ku keler2 ga ngapa2in, prihatin deh sama crita2 diatas, semoga komputer kita cepet sembuh y coy, amin..

  7. yuu…
    March 19th, 2008 at 11:19 | #7

    pcmav gw nemuin worm “autoit.q.inf”… pake pcmav yg mana ya…buat ngilanginnya…

  8. enal
    March 19th, 2008 at 14:19 | #8

    ass.
    tolong dong kirimin sy referensi ato artikel ato apalh..
    tentang virus, perkembangannya, ciri2nya, sepak terjangnya, trus cara mengatsinya,
    kalo ada samplenya jg boleh,
    tp jgn virusnya loh,,,
    sy lg butuh untk laporan PKL.
    thankz be4 n after.
    Xi Yu Zun…

  9. April 2nd, 2008 at 16:10 | #9

    komputer saya kena virus boraxs dan taty.my love.
    terus internet explorer pun kena hack by godzila.
    saya mau tanya gimana cara menghilangkannya dan apa nama antivirusnya?….]
    terima kasih…saya harap saya bisa mendapat jawabannya disini.

  10. April 5th, 2008 at 13:13 | #10

    Antivirus apa sich yang ampuh brantas virus folder jadi exe.

  11. kspoold
    April 17th, 2008 at 20:56 | #11

    tolong dong, upload PCMAV SE – nya di gudangupload, biar saya bisa download

  12. April 24th, 2008 at 11:00 | #12

    gmna nich flash diks gw kna virus tp udah gw hps tp ga berfungsi lg?

  13. budi
    May 1st, 2008 at 23:33 | #13

    alow anak br nh gw,,mw tny d,,,komputer gw nh dah ancur bgd kekna gr2 virus,,setiap install game2 online,,,pasti ga bs sdipacth,,,gvirus apa tuh ya,,padahal internet jalan,,,tlg bantuannya,,,,

  14. budi
    May 1st, 2008 at 23:41 | #14

    oia,,jg kalo install anti virus avg atau ini,,kok antivirusnya jadi out of date mua ya,,,plese solusinya,,virus apaan nh,,,bikin kesel aja,,thans b4

  15. May 11th, 2008 at 16:00 | #15

    MP4 n Flashdisk Q tiba-tiba kena virus…
    namanya ‘diaz.exe’

    padahal udah di scan pake PCMAV kok ga bisa???

  16. Aghaghaghaghagha
    May 26th, 2008 at 15:18 | #16

    Aduhhh…
    Gmn caranya download PCMAV gratis???
    Ksi tw donk…
    Kom q kena Virus nihh….

  17. otong
    May 30th, 2008 at 21:39 | #17

    lha mo download aja (dulu gratis) skr pake daftar dulu

    kaya inget jaman pak harto
    “kami penguasa, anda butuh? daftar….bayar…..”

  18. dejan
    June 23rd, 2008 at 22:47 | #18

    ada yang tau cara hilangi virus w32.troxa tanpa harus mendelete file aslinya ga?? soalnya kebayakan anti virus menghilangkan virusnya ama filenya. pliss yach kasi tau

  19. aa
    July 2nd, 2008 at 11:17 | #19

    q kena virus kspool nih.pake pcmav,ansav,avg ma yang laen nda mempan.help me!

  20. Berlin
    July 12th, 2008 at 22:54 | #20

    HELP ME !!! Komputer saya suatu pagi tiba2 menjadi super lemot. Booting aja setengah jam belom selesai2. Trus tak install ulang. Tapi pas formatting harddisk, cuma sampe 1 % trus gak jalan2 lagi. Pikiran awal saya, wah bad sector di depan nih. Pasti gara2 sering mati2 listriknya. Trus karena keburu buat kerja, beli komputer baru sekaligus, karena emang udah lama punya cita2 mau ngupgrade komputer. maklum, komputer buat grafis, kudu up to date terus. Komputer baru, tapi dua harddisk lama ikut tak tancepin. Awalnya lancar, trus fil2 di harddisk lama sebagian tak copy ke harddisk baru yang lebih lega. Tapiiiii….. Tadi tiba2 kompie jadi super lemot lagi !!! Trus tak mau instal ulang, eh malah partisi C: nya formatnya jadi UNKNOWN dari tadinya NTFS ! Tambahan lagi, partisi C: itu jadi kosong alias semua free ! parah banget dah. nah mau tak install ulang lagi, eh lagi2 cuma sampe 1 % n gak jalan2 lagi. Tulungin dung !!! saya pernah baca ada virus yang sampe merusak harddisk n bikin bad sector di zeronya harddisk. apa kompie saya kena virus itu y? trus kalo iya, gimana caranya saya bisa merecover data saya di harddisk itu? help me pleeeeeeeaaaassssseeeee…….. sapa sih yang jahat banget bikin virus jahat gitu ?!!! gak perlu tak sumpahin pasti udah masuk neraka tu orang !!!

  21. Berlin
    July 12th, 2008 at 23:01 | #21

    sebagai tambahan, setelah pake HD baru, HD lama belum dipasang, di HD baru tak instal PCMAV 1.4 update terbaru + ClamAV update terbaru, trus AVG 8 Free update terbaru, trus baru tak pasang HD lama. Semua HD tak scan, dapet banyak trojan n virus, termasuk KSpool tu. Kompie yang dulu jg waktu buat nyecan flashdisk temen, dapet KSpool tu. Trus udah tak cure semua, apa emang masih ada yang lolos ya? wong kukira semua sudah aman terkendali, eh tau2 kena kasus yang sama lagi… hiks… T_T

  22. Berlin
    July 12th, 2008 at 23:06 | #22

    o ia, sebelum ancur, dulu juga AVG ku databasenya jadi out of date semua. install ulang AVG masalah selesai, tapi kadang AVG gak mau ngupdate karena ada file yang rusak atau ilang gitu. heran nih ! harusnya Tuhan masukin juga soal virus ini ke kitab suci. “Sesungguhnya membuat virus ganas adalah perbuatan yang paling dibenci oleh Allah dan tiada ampunan lagi baginya di hari kiamat.” Biar nyahok tu tukang buat virusnya…

  23. andri
    September 28th, 2008 at 05:44 | #23

    flash disk ku kena sejenis worm. setiap gw colok fd nya selalu ke detect. gw sekarang pake anti virus Avast. cronologi nya gini: setiap gw colok itu worm selalu ke detect. padahal udah saya delete,move to chest,no action,ignore…semua option yg dr avast nya deh. tp setelah saya lakukan itu semua tetep aja ke detect terus…dan report message nya itu terus”an. akhir nya gw format flash disk gw pake flash memory toolkit. tp hasil nya tetep aja T_T.
    tolong donk pencerahan nya?

  24. jatayu
    October 10th, 2008 at 13:37 | #24

    saya ada problem neeeehhhh..
    saya dah coba pake restore my file ko ga bisa ya..
    awalnya Pc sya kena virus Found.007.ex sama Ae 0124 B.jpg kayanya pirus dara perawan dahhh..
    trusss saya pake ansav-beta kedetec dahh.. dan ke delete..
    yang jadi masalah..
    file – file saya yang ter inpeksi yang ber extensen*.doc terkarantiana di ansav nahhhh…
    saya mau mengembalikan file nya lagi gi mana?
    tenk buat komen dan bantuan semuanya..
    email jatayu98@yahoo.co.id

  25. angga
    October 12th, 2008 at 00:59 | #25

    Bozz mau tanya dokumen xls dan doc di kompter gue koq berubah jdi 1 kb semua yah…gimana cara normalinya,,thanx

  26. angga
    October 12th, 2008 at 01:41 | #26

    Bozz.. doc n xls gue kena virus tapi ekstensinya ga berubah tetap doc n xls, dan ukuran filenya berubah jd 1 kb semua…filenya bisa dibuka pi datanya ga ada.. mlah ada tulisan seperti ini
    HALOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO
    NAMA GUE VIRUS TAPI TERSERAH LOE LAH,MAU MANGGIL GUE APAAN.
    YANG PENTING GUE BISA SENENG-SENENG SEJENAK DI KOMPUTER LOE INI.
    HE…..HE…..HE…..HE…..HE

    Tolongin Dong Please,,,klo ada yang tau solusinya tolong email ke gue y…angga1501@yahoo.com

  27. rommy
    December 12th, 2008 at 20:16 | #27

    Saya hanya mengatasi masalah ini dengan men-disable service ‘k print spooler’ trus delete file ‘kspooled.exe’ di system32. Sampai saat ini virus tidak balik lagi, setiap saya jalankan file .exe excel/word muncul pesan error, tapi filenya otomatis berubah sendiri ke file aslinya dan file .exe nya hilang dengan sendirinya. Apakah ada resikonya dengan cara tersebut?

  28. ayip
    December 29th, 2008 at 11:56 | #28

    mas, pgn tanya…komputerku kena virus namanya MGHolic, commentnya seperti ini:’Virus Paling Tangguh yang Ada di Indonesia , Tak Ada Satupun AntiVirus kecuali Virus ini yang dapat menanganinya !!!”
    original file namenya:”MV.exe”
    di scan pake pcmav gak kedetek, aku dah make beberapa AV, tetep juga gak kedetek.
    gmn nie mas?tlg kirim jawabanya ke emailku yah..thxs b4.

  29. ilham
    March 22nd, 2009 at 23:06 | #29

    Komputer saya kena virus kspoold, dah hampir 2 bln ni, dia ngubah .doc jd application ukuran 140 kb. dah pake PCMAV SE KSPOOLD tp gak bisa juga, ada gak PCMAV SE terbaru untuk kspoold ini ??

  30. topan
    May 25th, 2009 at 17:13 | #30

    pake aja antivirus norman…lebih mantap dan up to date..!

  31. August 27th, 2009 at 17:32 | #31

    Makanya pakai Open Document Format (*.ods, *.odt, *.odp) dong! Salah sendiri pakai produk bajakan ha… ha… ha…

Comment pages
1 5 6 7 62
Comments are closed.