[5 varian]Virus KSpoold: DOC & XLS menjadi EXE
Walau secara pemrograman virus KSpoold termasuk sederhana, namun inovasi yang efektif dan efisien yang dilakukan oleh pembuatnya, seakan membawa pakem baru dalam dunia pervirusan di Indonesia.
Namun efek yang ditugaskan oleh pembuatnya, mengubah file .DOC dan .XLS menjadi .EXE serta merusak file database .MDF, .LDF dan .DBF, cukup mengkhawatirkan dan merepotkan pengguna yang dokumennya menjadi korban.
Dibuat oleh programmer Indonesia dengan menggunakan Delphi, inilah virus lokal pertama yang kami temukan mampu menggunakan teknik services dan injeksi kode secara efektif dan efisien. Selain itu, tidak seperti virus lokal kebanyakan, virus KSpoold sama sekali tidak tertarik untuk mengutak-ngatik registry. Walau begitu, teknik baru yang dipakai virus ini terbukti efektif melindungi dirinya sendiri dan menyebar dengan luas.
Sayangnya, KSpoold mengemban tugas “jahat” yakni mencari file .DOC dan .XLS di setiap drive removable disk (seperti USB Flash Disk) untuk disusupkan program utama virus ini pada setiap file .DOC dan .XLS yang ditemukan. Setelah disusupi, ekstensi file dokumen .DOC dan .XLS tadi akan berubah menjadi .EXE dan tidak lupa virus akan menyesuaikan icon file dengan jenis dokumen yang diinfeksinya. Selain itu, entah untuk maksud apa, virus ini dapat merusak file database yang berekstensi .MDF, .LDF dan .DBF.
Antivirus sebaiknya mampu melumpuhkan terlebih dulu services virus ini di memory dan mencabut injeksinya pada process yang menjadi target virus ini. Tanpa melakukan hal ini, maka akan sulit mengatasi virus ini secara tuntas, karena akan kembali menginfeksi dokumen Anda. Setelah itu, barulah proses pencarian dan perbaikan file dilakukan. Faktanya, belum ada satupun antivirus yang dibuat khusus untuk virus ini yang mampu melakukannya secara tuntas, terutama mencabut injeksi kodenya.
Walau KSpoold menggunakan teknik services dan injeksi kode, dengan algoritma khusus yang dikembangkan oleh ahli antivirus di PC Media, [new link] PCMAV SE for KSpoold mampu melumpuhkan lima varian dari virus ini secara sempurna, baik di memory, process, maupun di file. Selain itu, file DOC dan XLS yang terinfeksi juga mampu dipulihkan seperti sedia kala, tanpa cacat sedikitpun. Anda pun bisa tenang karena dokumen DOC dan XLS penting milik Anda tetap terselamatkan secara aman.
Namun jangan lupa untuk *selalu* meng-non-aktifkan terlebih dulu System Restore di Windows Anda sebelum menjalankan PCMAV SE for KSpoold. Selain itu, berlatihlah untuk selalu disiplin dalam mem-backup data penting Anda. Bukankah penyesalan akibat kehilangan data penting selalu datang belakangan?
[update! VARIAN BARU]
Varian baru KSpoold ini dikenal oleh PCMAV sebagai KSpoold.B. Pada variannya kali ini, services dari virus tidak lagi aktif di memory. Kali ini ia langsung meng-injeksi-kan sebuah DLL dengan nama avwav32.dll, yang juga merupakan bagian dari virusnya sendiri, ke dalam sebuah process aplikasi yang sedang aktif. Dengan teknik ini, prosedur virus menjadi semacam sebuah modul baru dalam process aplikasi tersebut.
Bekerja dengan hanya melalui proses injeksi DLL semacam ini, tanpa services maupun process, baru kali pertama kami temukan diimplementasikan pada virus lokal. Namun demikian, teknik injeksi ini telah lama ada dan banyak digunakan oleh trojan dari luar negeri. Injeksi DLL semacam ini mampu menjadikan virus ini bersifat relatif siluman (stealth) karena tidak terdeteksi melalui Task Manager. Selain itu, ia pun sulit untuk dimatikan terutama jika menginjeksi process penting sistem. Menggunakan library khusus untuk un-inject yang bersifat umum juga tidak mudah, mengingat kita harus mempelajari dulu teknik virus tersebut melakukan injeksi.
Dan sama seperti variannya terdahulu, ia masih akan tetap menginfeksi dokumen .DOC dan .XLS Anda. Setiap file dokumen yang telah terinfeksi oleh virus ini akan menjadi sebuah file .EXE (executable), namun bedanya file terinfeksi tersebut iconnya akan berubah menjadi seperti icon file virus yakni seperti program “Uninstaller”. Karena pada varian lalu, file yang terinfeksi iconnya akan menyesuaikan dengan tipe dokumen yang ia infeksikan, icon Word ataupun Excel.
PCMAV RC17 yang akan rilis tidak lama lagi telah mampu mengatasi lima varian KSpoold ini secara sempurna dan tuntas 100%, termasuk secara otomatis mengetahui ekstensi dokumen yang sesuai. Bahkan, jika antivirus lain kesulitan mengatasi injeksi virus ini pada sistem memory, maka PCMAV dengan mudah dapat melumpuhkannya. Untuk sementara waktu Anda bisa membasminya dengan PCMAV SE for KSpoold versi terbaru di bawah ini:
[new link] PCMAV SE for KSpoold (5 variants): http://www.divshare.com/download/943464-010
Catatan: PCMAV SE terbaru ini dilengkapi dengan parameter “/FORCE”. PCMAV SE sebelumnya telah dilengkapi filter agar perbaikan file WAJIB sesempurna mungkin seperti aslinya dan menolak memperbaiki file dokumen yang dianggap tidak orisinal ataupun format dokumen tidak dikenal. Namun, jika Anda ingin (baca: memaksa) dokumen tersebut dapat tetap diselamatkan walau tanpa filter apapun, maka gunakanlah parameter tersebut. Dengan ini maka PCMAV SE for KSpoold versi sebelumnya dinyatakan tidak berlaku lagi dan link-nya telah ditutup.
bantu gue dong, aku kena virus kspoold nih. PCMAV Rc 17 gak mempan nih. gue scan pake Trend micro kok malah documentnya ikut hilang padahal dokumennya penting. tolong dong para master…..
gw pernah kena juga yang namanya virus kspoold, file doc, xls berubah jadi .exe trus gw pake anti virus (g???) dan semuanya hilang (delete) tapi kalo diliat di properti masih ada, kapasitas memori gak berubah
(contoh misalkan file doc 25mb setelah diheal masih tetap 25mb) artinya file lo ga hilang. coba jalanin ‘run’ trus isi alamatnya atau link atau apalah itu namanya gw ga ngerti. serta nama dan tempat file lo berada
(contoh D:/docoment file/skripsi/bab I.doc).
moga-moga lo pada selamet asal belom di format dan folder tempat lo nyimpen file belum didelete atau di pindah
boz aq kena Varian K Spoold.A
waktu aq scan pake RC 17 emang ke deteck tapi….
hasilnya …. Object can’t be cleaned
gimana neh….????
oiii, mana nichh. katanya bisa abisin ntu virus KSpoolD???
pas gwe buka pake task manager, masih ada??
help dung, masa ngga bisa euy??
klo butuh contoh virusnya, ntar dikirimin ma yg ini
Mau numpang naya nich….
FD gw kena virus kspoold, gw scan pake PCMav 17 sich terdeteksi, tapi ketika aku mau cure, kok keterangannya “can’t delete bla-bla”.
terus taskbar and start menu gw jadi hilang, tapi sepertinya tuh virus tidak menjangkiti komp gw.
Gimana cara munculin taskbarnya lagi, bantuin dong????
Terima kasih… karena saya berhasil meNgatasi virus tsb, dan file2 word dan excel bisa di selamatkan lg…
Bagi Teman – teman yg belum bisa membasmi virus tsb, coba terlebih dahulu unistall AV yg di pakai, lalu bersihkan Induk virus tsb, yg sudah di jelaskan diatas…!! Lalu scan dengan PCMAV SE for Kspoold… insya ALLah virus tsb bisa di atasi!!
Maju terus vm Indonesia
gw kena virus baru neh!!!
file doc, txt yang gedenya biasanya di atas 10 kb bisa jadi 1 kb doang!!!!
trus klo dibuka tulisannya
“My Sharona Inside”
virus apaan tuh???
Hmmm… Banyk jg yg komplain virus kspoold, kompi gw jg kna d hum, bnr dr flsdsk, gw prnh copy k my doc. trs gw scan pk pcmav 17, hsilnya ga mmuaskn,trs pgaruhnya sbrpa bsr ama kompi? Gw sih ga trlu psg, asl file2 yg dkrjain ga ilang, yg ptg rajin backup, tiap bwt tgs lwt word,excel.
Yo wis, dukung trs pmbuat antivirus /virus Indonesia…
Biar smakin pintar…
Dan tdk lpa salam gamers_DOTA only…hehehe…
eng .. ing … eng …
Kompi di kantor gw kena virus yang ubah folder option – view di windows explorer jadi bahasa indonesia gak karuan. Virus apaan tuch….? Dan anti virusnya tentu!!!
ya… ya… Ngomong2 tentang tuh Virus ada kejadian yang sy alami dan mhn komentarnya yaitu semua file dbf tiba2 menjadi rusak, dimana struktur data dan isi diubah menjadi ASCI, file dianggap bukan “Database File” lagi, apakah itu disebabkan oleh Virus Kspoold…? pls…pls…pls di komentarin…….
maw nanya?
gmn cara hapus dalam dokumen.
soalnya virus ini tidak berbentuk dot exe,tp ttp word.
klu datanya dibuka pake explore bisa.
tp klu dibuka pake office g bisa.
dan membuat komputer jadi lambat.
saya pake hexeditor dan restore my files ttp g bisa.
solusinya gmn?
mhn segera dikirim solusinya.
terima kasih
Untuk “mensterilkan” file baik word maupun exel pakai hexapad aja nech q kirim tutorialnya:
1. Buka file yang terinfeksi virus dengan aplikasi Hex Editor,
jika belum punya silahkan download Hexapad ( 180 KB),
mungkin free Hex editor yang terkecil, karena hanya 82 KB
tapi dengan berbagai fasilitas dan bahkan source codenya disertakan.
2. Buka juga file *.doc atau *.xls yang tidak terkena virus
(jika tidak ada silahkan membuat file doc atau xls baru ) dengan hexapad.
3. Ada tiga bagian di tampilan hexapad.
Mulai dari kiri adalah offset ( alamat kode ),
Kode ( dalam bilangan Hexadesimal ) dan paling kanan adalah kode dalam text.
4. Coba perhatikan awal kode antara file yang terinfeksi virus dan yang asli.
File yang terinfeksi diawali dengan kode hex = 4D 5A … ( text : MZ …)
dan file asli Hex = D0 CF 11 E0 A1 … (ÐÏ.ࡱ.á … ).
Masing-masing merupakan bagian dari header file yang selalu sama.
kode MZ untuk file seperti *.exe dan *.dll.
5. Karena header file asli sudah tahu,
maka selanjutnya tinggal mencari kode D0 CF 11 E0 A1 ( sepertinya 3 kode awal sudah cukup )
di file yang terinfeksi virus. caranya buka pencarian ( Ctrl+F) dan isikan
di bagian Kode nilai D0 CF 11 E0 A1 ( beri spasi antar kode ). dan klik search.
6. Setelah ditemukan maka itulah awal file doc atau xls-nya.
Tinggal memilih kode mulai dari kode sebelum D0 CF … sampai awal kode dan hapus.
Kemudian save as dengan ekstensi yang sesuai doc / xls.
Semoga bermanfaat.
teman2 yg menggunakan intivirus luar jgn coba2 scan data yg terinfeksi virus kspoold ntar data lo ilang….nangis….. ni ada anti virus lokal, thanks PCMedia….
GOOD job.dude ,,,,!!!
gimana caranya ngembalikin data dbf, mdf, ldf kenapa hanya doc dan xls aja yang bisa??? kalo ada yang tau caranya…..mohon bantuannya nih….
Komp gw da masalah nih,,,, tiba-tiba partisi e: ilang tanpa jejak n gw nemu kspoold di system32,,,,
Gmana yah solusinya????
punyaku juga kena…file .doc dan .xls berubah jadi .exe
saya pake Office2007,kalo Ms Office 2007, dibuka file .exe-nya otomatis office-nya misahin file yang terinfeksi,di bagi jadi file .exe-nya sendiri, file documentnya sendiri,terus di Save As dengan extention .docx(punya office2007) n klo saya mo nyimpan di FD saya simpan filenya tanpa extention.untuk sementara bagi ku itu masih pencegahan,belum tau cara ngilanginnya.bantuin juga dong!tapi saya masih punya jurus sakti! INSTAL ULANG!
Dan sama seperti variannya terdahulu, ia masih akan tetap menginfeksi dokumen .DOC dan .XLS Anda. Setiap file dokumenyang telah terinfeksi oleh virus ini akan menjadisebuahfile.EXE(executable),namunbedanyafileterinfeksitersebuticonnyaakanberubahmenjadisepertiiconfilevirusyaknisepertiprogram“Uninstaller”.Karenapadavarianlalu,fileyangterinfeksiiconnyaakanmenyesuaikandengantipedokumenyangiainfeksikan,iconWord ataupun Excel.
hwuekekekekek
hwuekekekekek
Terima kasih sebelumnya…n langsung aja aku mo tanya kalo mo pake pcmav-SE-KSpoold etelah ngejalanin katanya harus buat attrib -r -a – s -h Drive:\*.*/S /D
gimana caranya sih..apa buat pake txt atao gmana..mohon diterangkan lebih jelas cara buat attribnya..saya masih belum tahu caranya…
Virus baru :
5. Virus Suspected (WP); Tempatnya : C:\WINDOWS\Installer\{90280409-6000-11D3-8CFE-0050048383C9}\wordicon.exe
6. Virus Suspected (SS); Tempatnya : C:\WINDOWS\Installer\{90280409-6000-11D3-8CFE-0050048383C9}\xlicons.exe
saya Pake PCMAV RC17 virus tersebut gak bisa di clean. Whyyyyyy??
CAPEK DEEEee.hhh
Wah masih ndak bisa tuh dengan PCMAV yang sy download dari link yang ada disini. apa ya harus nunggu PCMAV yang ke 7.. Ayolah segera… karena sy udah gerah dengan virus ini. Reseh bgt nie virus
File database Sql server gue kemarin rusak gara2 virus ini.Ada yang tahunya ngak ya tools yg free buat benerin database Sql Server gue?Thx a lot
Percuma bikin virus pake vb 6.0 udah gak zaman bro …!, apalagi yang instan & hasil edit mengedit. adapun pake c++ dikit, nyombongnya minta ampun !!! kaya virus makernya brntk , budak elektro tamansari itb. Kalian So….
fuckkk jowo bot
oi……..oi…….,klo kaspold hapus manual aja, trus file yg terinfeksi ganti aja ext yg exe jadi doc……..udah dech baik lg..
Wah gimana neh? Aku di kantor pake Aplikasi yang dibangun pake FoxPro, trus karena kena virus Kspoold, databasenya rusak dan aku gak tau gimana cara mengembalikannya? Ada yg pny ide?
buat “orang awam”, percuma kalo cuma diganti extentionnya aja.gue udah nyoba kemarin, hasilnya tuh file teteub aja rusak pas g coba buka pake microsoft word…menyesatkan tuh!
tahu nda CMOSviras yang menggunakan bahasa asambler……?? kalau tau boleh minta penjelasannya nda….thank..
PCMAV gk ampuh..padhl udh diupdate
paten tennaaaaannnnnnnnn!!!!!!!!!
gw setuju ma ZlisCahNdoet, klo yg buat vrs mank asli org indonesia, berarti ntu org sangat amat teramat bego sekali, because what ? karena ngancurin negara sendiri. bwat para pmbuat vrs : Tunjukan diri kalian klo brani ! ( tim pc mav tlg bantu saya klo beneran terjadi perang antara pembuat virus ma pembuat antinya)
setiap saya membuat file .doc pasti terkena kspoold dan itu terjadi bila pindah ke os xp saja, saya pemakai os 98.thanks
Bos gw kena virus yang ngerubah file folder di my document menjadi ” .scr ” sebesar 15,5 kb. gw dah scan pake pcmav rc20 build 3 tapi ga ke detect. virus apaan nech gmana cara ngirimin samplenye? ada yang bisa nolongin gw ga?????????
Neraka buat yang buat virus, surga buat pcmav team. thanks bro.
Duh…Knp bnyk bngt virus yg brkliarn???Heran nech… >.
gw kena spoolsv!!! dan pcmav diatas ga mempan! hue,,gmn ya??
Komputer saya kena virus, dan nda kejaring di PCMAV RC 22. Saya nggak bisa membuka file ekstensi .exe (selalu keluar error… Sorry for your inconvenience… send/don’t send). Virus ini juga mengganti 1 option di Folder options menjadi ‘gak punya mobil’. Kira-kira, virus apa yang menginfeksi komputer saya?? TOLONG KELUARKAN ANTIVIRUSNYA!!
(VIRUS BARU)gua gak tau ini virus apaan tapi dia dapat bertahan dari scanner PCMAV RC23 BUILD 1,ketika di restart virusnya masih ada padahal system restore udah saya matikan dan saya scaner lewat system modenya xp sample yang saya dapat yang terinfeksi:
sysos.exe (WIN32:Delf-EDN) dan systemm.exe (WIN32:Delf-EDO)
ini salah satu varian dari K-SPOOL kalo gak salah
katanya ada viru baru tati my love ya virus nya kya apa sih berbahaya ga sih
woiii kata nye ada virus baru ya tati my love
Oiii!! tulungin gw atuh !!!, PC gw kena virus W32.rontokbro@mm, sama trojan Horse Backdoor.delf, ada yang tau ngatasin ga?, thanks
buat yang ngebikin virus, semoga engkau mati kena viruss !!!!!!!!.
Bagaimana cara menghapus file virus kalong secara otomatis????
Walaupun discan pke PCMAC RC23 tidak terdeteksi file virus kalongnya,bagaimana caranya supaya file virus bisa terdeteksi&hilang???
mau tanya cara update pcmax via internet gimana yahh..
terus ada virus baru namanya MgHolic.
kok di scan pake pc max ga bisa yaaa..
makasih….
yup, virus memang menjengkelkan. dan aku bosan. setelah 2 bulanan trial Ubuntu, yah sekarang full migrasi ke Ubuntu. Tenaaang banget ga mikirin virus. tlusap-tlusup kemana saja saat surfing, chatting, file sharing.
gak ngurus macem2 virus, yg penting aku aman tentram, dan bisa ngeloni bjo terus…..soale aku gak punya yg namanya kompi………..
pcmav, g baru scan flash disk pake pcmav, tapi bukan pcmav se. setelah discan dan kedetect virusnya, langsung automatically delete. file yang terkenal virus juga kehapus. gimana caranya g mengembalikan file tersebut ya. thanx.