Jika Anda menggunakan software Billing Explorer untuk warnet Anda, pasti Anda pernah mengalami kejadian yang saya alami ini.
Kejadian berawal pada saat warnet tempat saya bekerja sedang sepi. Pada sebuah komputer kosong (Pada saat itu adalah Client No 5) terjadi suatu keanehan. Komputer yang sedang dalam keadaan idle tiba-tiba mempunyai aktivitas jaringan (LAN) yang melebihi batas normal. Lampu indikator LAN berkedip sangat cepat. Dan seketika komputer yang sedang idle tersebut menjadi lambat, dan karena komputer tersebut mempunyai aktivitas LAN internet yang sangat tinggi, maka koneksi internet di warnet saya menjadi terganggu, bahkan internet sempat terputus beberapa kali.
Curiga akan adanya virus, saya langsung scan komputer no 5 tersebut. Hasil antivirus menunjukkan bahwa komputer tersebut terkena virus trojan downloader tertentu, dan tidak tanggung-tanggung, jumlah virus yang ditemukan berjumlah lebih dari 20 virus dengan jenis dan nama yang berbeda-beda. Saya sempat bingung karena meskipun antivirus sudah menemukan virus di komputer tersebut, antivirus tersebut tidak dapat menghapus / membersihkan virus tersebut. Pada saat akan dihapus / didelete, selalu muncul Access Denied!, Failed!, atau pesan Gagal Lainnya. Dengan begitu maka aktivitas virus semakin menjadi-jadi. Dan jaringan internet di warnet saya pun semakin lambat dan lumpuh. Maka tidak ada jalan lain selain saya cabut Kabel LAN yang menancap pada komputer yang terinfeksi tersebut.
Kemudian koneksi internet pun berangsur-angsur kembali normal. Lalu saya berpikir, "Apa yang harus saya lakukan terhadap komputer yang rusak ini?". Dengan keadaan yang terserang virus dan tidak dapat dibersihkan, maka jalan satu-satunya adalah dengan cara install ulang. Akhirnya terpaksa saya install ulang komputer tersebut dan saya install aplikasi-aplikasi yang dibutuhkan untuk internet dan juga tidak lupa Billing Explorernya. Setelah proses instal ulang dan installasi software-software pendukung lainnya, komputer tampak berjalan normal, setidaknya untuk satu hari ini.
Keesokan harinya kejadian yang sama terulang lagi. Malahan tidak tanggung-tanggung, hampir semua komputer yang dalam keadaan idle mempunyai aktivitas LAN yang sangat tinggi. Sehingga koneksi internet di warnet nyaris lumpuh total. Saya sangat bingung saat itu. Saya berpikir apakah virus yang kemarin memang sudah menyebar lewat jaringan? Tapi kemungkinan tersebut sangat kecil. Karena di setiap komputer sudah terpasang DeepFreeze 6 yang masih dalam keadaan aktif (Freeze). Bagaimana mungkin virus tersebut dapat menembus Deep Freeze? Akhirnya tidak ada jalan lain selain menginstall ulang komputer-komputer yang bermasalah tersebut.
Tiga hari setelah install ulang selesai semua, kejadian tersebut terulang lagi. Saya sempat stress karena hal ini. Apa yang salah ya? Darimana datangnya virus itu ya? Padahal komputer sudah ada Deep Freeze semua. Lalu darimana datangnya virus kalau Deep Freeze dalam keadaan aktif. Lalu saya punya ide, bagaimana kalau ternyata virus tersebut masuk dari instalasi software setelah komputer diinstall ulang? Dengan kata lain mungkin ada dari salah satu installer tersebut yang terinfeksi oleh virus.
Kemudian saya mulai bekerja lagi. Saya install ulang satu komputer, dan dalam keadaan windows yang masih fresh dan bersih setelah install ulang, saya langsung install antivirus (saya install Kaspersky yang trial 30 hari). Seketika itu juga saya langsung update KAV nya. Setelah update selesai dan saya scan windowsnya, Kaspersky tidak menemukan virus apapun. Lalu dalam keadaan Kaspersky yang aktif, saya mulai install aplikasi-aplikasi pendukung seperti Office, Mozilla, Opera, dan aplikasi internet lainnya. Pada saat proses instalasi, Kaspersky tidak menunjukkan adanya virus yang masuk pada saat itu.
Sampai akhirnya pada saat proses installasi Billing Explorer untuk Client, tiba-tiba Kaspersky memberi tahu bahwa virus muncul pada saat saya menginstall billing tersebut. Tidak tanggung-tanggung, seketika Kaspersky mendeteksi ada sekitar 20 buah virus yang masuk pada Billing Explorer. Berikut ini adalah virus-virus yang terdeteksi :
- C:\Windows\cdr32lib.sys
- C:\Windows\drvlib.pms
- C:\Windows\mdaprg.rpc
- C:\Windows\msgrpw.exe
- C:\Windows\mscompz.exe
- C:\Windows\mshexdec.sys
- C:\Windows\mswind32.sys
- C:\Windows\pro2mg.sys
- C:\Windows\pwrszr.exe
- C:\Windows\pwsproxy.exe
- C:\Windows\nccprt.exe
- C:\Windows\sqlwpro.exe
- C:\Windows\syswin32.exe
- C:\Windows\winlib32dll.exe
- C:\Windows\winmsdll.exe
- C:\Windows\winsys.arp
- C:\Windows\zndll.exe
Nah, dengan begitu saya tahu penyebab dan darimana virus ini datang. Ternyata virus tersebut masuk dari installer Billing Explorer yang sudah terinfeksi virus, atau memang pada awalnya Billing Explorer dibonusi oleh virus. Kemudian saya mulai menyelidiki file installer pada Billing Explorer. Dalam folder installasi tersebut terdapat file-file yang mirip dengan file yang dideteksi sebagai virus tersebut. Misalnya saja file 'mdaprg.prc' menjadi 'mda.pr_', atau 'mscompz.exe' menjadi 'mscompz.ex_', dan seterusnya.
Berarti kuncinya sudah kita dapatkan. Kita tinggal menghapus file-file virus tersebut yang terdapat pada folder installernya. Eits, namun ternyata tidak semudah yang Saya kira. Pada saat saya sudah menghapus file-file tersebut, ternyata installer billing explorer nya tidak dapat digunakan karena file yang akan diinstall hillang atau missing. Akhirnya seperti makan buah simalakama. Kalau diinstall kena virus, tapi kalau dihapus virusnya, billing tidak bisa diinstall. Bingung bukan? Akhirnya saya memutar otak untuk mencari solusinya, yaitu bagaimana caranya supaya saya bisa menginstall Billing tersebut tanpa harus terkena virus?
Lalu saya menemukan caranya. Yaitu dengan memanipulasi file-file virus tersebut tanpa harus menghapusnya dari folder installer. Manipulasi saya kerjakan dengan menggunakan software Hex Editor apa saja yang penting bisa memanipulasi file secara hexadecimal. Caranya adalah sebagai berikut, buka salah satu file virus tersebut pada Hex Editor, lalu rubah struktur semua struktur filenya menjadi 00 atau FF semua. Jadi meskipun file virus tersebut masih ada, namun tidak akan bisa berjalan karena struktur filenya sudah berubah total. Dengan begitu virus tidak akan dapat beraksi. Hehe... Betul kan?
Nah berikut ini adalah daftar file-file pada installer Billing Explorer yang "kelak" akan menjadi virus nantinya :
- cdr32lib.sy_
- drvlib.pm_
- mdaprg.rp_
- msgrpw.ex_
- mscompz.ex_
- mshexdec.sy_
- mswind32.sy_
- pro2mg.sy_
- pwrszr.ex_
- pwsproxy.ex_
- nccprt.ex_
- sqlwpro.ex_
- syswin32.ex_
- winlib32dll.ex_
- winmsdll.ex_
- winsys.ar_
- zndll.ex_
Dan perlu diketahui bahwa virus tersebut ternyata berasal dari China, karena pada saat virus tersebut aktif, mereka akan mendownload dan mengunjungi situs-situs China dengan sendirinya.
Semoga membantu.
0 komentar:
Posting Komentar