Skip to main content

Membasmi Virus Bandel

Minggu lalu sebuah server di kantor saya tidak bisa diakses oleh para staff. Selidik punya selidik, ada sebuah process yang bernama Services.exe (dengan huruf “S” besar) yang menggunakan memory hingga ratusan mega. Setelah di cek di  log antivirus (CA eTrust Antivirus 7.1 Corporate), ternyata anti virus ini menemukan virus Win32/Sality.W yang menginfeksi banyak file dan beberapa diantaranya gagal di bersihkan. Waduh! Gawat nih, saya pikir dalam hati.

Langkah pertama tentu saja “selidiki musuh mu”. Dengan bantuan mbah Google, saya mulai mencari informasi mengenai virus ini. Sality ternyata bukan virus yang terlalu berbahaya, namun dia menginfeksi file berekstensi .exe dan ini yang rada merepotkan: ia termasuk virus polymorphic. Polymorphic? Secara singkat, virus polymorphic adalah virus yang bisa memodifikasi dirinya sendiri. Jadi virus ini bisa memiliki varian/turunan. Jika dilihat dari nama virus di atas Sality.W, maka bisa di asumsikan bahwa sudah ada varian dari huruf abjad A s/d V,  dan perlu teknik yang berbeda-beda untuk membersihkan tiap varian ini. Weleh-weleh…

Oke, sekarang masuk tahap kedua: “bagaimana cara membersihkannya?”. Berhubung saya sudah menggunakan antivirus (walaupun gagal membersihkan virus ini dengan baik & benar), saya berusaha mencari “pembersih” lain yang tidak perlu diinstall (bukanlah ide yang baik untuk menggunakan 2 anti virus pada sistem yang sama, karena hanya akan memberatkan sistem). Saya juga tidak mungkin mengganti dengan yang lain karena antivirus ini asli bawaan pas beli server (dan sumpah deh, saya sudah coba cari solusi freeware antivirus yang mumpuni untuk Windows Server 2003, dan sejauh ini saya bilang tidak ada.) Jadi berhubung sudah dapet gratisan pas beli sever yah di manfaatin aja, walau gak ampuh-ampuh banget… Yah dari pada gak ada? Nah kembali ke permasalahan tadi, sekarang pilihan saya ada dua: cleaner atau rescue disk. Hmm apa beda & kelebihannya?

tmpEB8ECleaner atau sering disebut removal tool biasanya adalah program standalone (tidak perlu diinstall, dan sering kali hanya merupakan 1 file exe). Cleaner ini bisa untuk menghapus satu jenis virus saja, atau beberapa virus. Untuk hasil yang terbaik, jalankan cleaner ini ketika Windows sedang dalam safe mode.Hampir semua produsen antivirus punya sejenis cleaner ini, dan biasanya gratis 🙂 . Kok bisa gratis? Karena seperti saya telah sebutkan sebelumnya, program ini hanya “membersihkan” & tidak akan memberikan perlindungan 24/7 seperti layaknya program anti virus yang di install. Ini saya beri beberapa contoh:

Rescue disk biasanya merupakan bootable CD. Jadi kita cukup download file .iso nya, bakar ke CD kosong, lalu boot sistem yang bermasalah dengan CD ini. Tunggu beberapa saat, dan sistem Anda akan bersih kembali! Praktis kan? Ini link beberapa vendor yang menyediakan rescue CD:

Sumber link & artikel lengkapnya: Rescue CD gratis dari Avira, BitDefender, Kaspersky dan F-Secure

Perlu diingat, setiap vendor punya solusi yang berbeda-beda ketika ia tidak bisa “menyembuhkan” sebuah file: ada yang langsung main hapus & ada yang juga punya solusi lain seperti me-rename nama file menjadi ektensi yang berbeda (.xxx misalkan). Bahkan ketika bisa disembuhkan tidak selalu file tersebut kembali ke kondisi seperti semula. Jadi selalu backup data Anda terlebih dahulu sebelum menjalankan tool yang mana pun!

Nah kembali ke permasalahan saya, server yang terinfeksi sialnya juga merupakan Active Directory. Jadi saya hanya punya waktu yang terbatas jika ingin mematikan server ini (atau usernya bakal ngamuk-ngamuk). Setahu saya, server yang jadi Active Directory tidak bisa masuk safe mode (benar tidak ya ini? Perasaan pernah coba tapi tidak bisa). Jadi sudah pasti teknik menggunakan cleaner tidak bakal efektif. Jadi saya pilih teknik rescue CD. Karena keterbatasan waktu, saya hanya bisa mendownload Avira Antivir Rescue System (karena paling kecil), langsung saya bakar dan begitu jam pulang, server saya matikan dan boot dari CD ini. Data sudah aman semua, karena tiap malam sudah di back-up otomatis.

tmpCFB6Proses kerja Avira cukup lama, karena harus men-scan 2 hard disk (80 GB & 250 GB). Avira berhasil menyembuhkan beberapa file, namaun yang tidak berhasil di rename menjadi nama_file.exe.XXX. Hmm artinya belum tuntas nih. Setelah boot lagi, saya lihat bahwa process yang mencurigakan sudah hilang (Services.exe, dangan huruf “S” besar) dan server sudah berjalan normal kembali, kecuali eTrust yang setiap beberapa kali muncul melaporkan menemukan virus Sality.W tapi gagal menyembuhkan. Wah nampaknya perlu langkah selanjutnya.

Dari blog bakazero di bagian komentar artikel, ada yang menyarankan pakai Norman untuk membasmi Sality. Saya langsung ke website Norman dan mendownload (mengunduh? sorry, sampai sekarang kata mengunduh masih janggal sekali di telinga saya) Norman Malware Cleaner. Perlu saya beritahu kalau program ini tidak memberi pilihan apa-apa ketika tidak bisa membersihkan… langsung di hapus! Gilee bener… Namun dalam posisi saya (karena Sality hanya menginfeksi file berakhiran .exe), hal ini tidak jadi masalah. Dokumen jauh lebih penting dari pada file program. Sekedar info, terdapat pilihan tidak membersihkan dengan menambahkan “/noclean” sebagai command line switch. Untuk lengkapnya bisa di lihat di web Norman dengan menggunakan link di atas.

Setelah Norman di jalankan, baru ketahuan ternyata yang menginfeksi adalah Win32/Sality.AA (bukan versi W & sudah dua digit). Pantas saja eTrust tidak bisa nyembuhin, mungkin mereka belum punya signature untuk bersihin varian yang ini. Cukup oke juga nih Norman, walau proses bersihinnya lumayan lama. Segala perubahan di catet dalam file log dan otomatis di simpan di desktop. Setelah selesai, saya cukup mengecek file apa saja yang di hapus sama Norman dan coba restore kembali dari backup (yang sudah dipastikan bersih dari virus tentunya). Sekarang tinggal mencari PC mana dalam jaringan yang jadi sumber kekisruhan ini… Angry

Sepandai-pandai tupai melompat, akhirnya jatuh juga. Secanggih-canggihnya anti-virus masih bisa bobol juga. Apalagi kalau kita stuck dengan anti virus cupu! (tahun depan begitu lisensinya habis kemungkinan besar saya akan cari vendor lain…). Tapi jangan menyerah, sistem masih bisa diselamatkan dengan tool gratisan dari vendor anti-virus lain.

Leave a Reply

Your email address will not be published. Required fields are marked *