Minggu lalu sebuah server di kantor saya tidak bisa diakses oleh para staff. Selidik punya selidik, ada sebuah process yang bernama Services.exe (dengan huruf “S” besar) yang menggunakan memory hingga ratusan mega. Setelah di cek di  log antivirus (CA eTrust Antivirus 7.1 Corporate), ternyata anti virus ini menemukan virus Win32/Sality.W yang menginfeksi banyak file dan beberapa diantaranya gagal di bersihkan. Waduh! Gawat nih, saya pikir dalam hati.

Langkah pertama tentu saja “selidiki musuh mu”. Dengan bantuan mbah Google, saya mulai mencari informasi mengenai virus ini. Sality ternyata bukan virus yang terlalu berbahaya, namun dia menginfeksi file berekstensi .exe dan ini yang rada merepotkan: ia termasuk virus polymorphic. Polymorphic? Secara singkat, virus polymorphic adalah virus yang bisa memodifikasi dirinya sendiri. Jadi virus ini bisa memiliki varian/turunan. Jika dilihat dari nama virus di atas Sality.W, maka bisa di asumsikan bahwa sudah ada varian dari huruf abjad A s/d V,  dan perlu teknik yang berbeda-beda untuk membersihkan tiap varian ini. Weleh-weleh…

Oke, sekarang masuk tahap kedua: “bagaimana cara membersihkannya?”. Berhubung saya sudah menggunakan antivirus (walaupun gagal membersihkan virus ini dengan baik & benar), saya berusaha mencari “pembersih” lain yang tidak perlu diinstall (bukanlah ide yang baik untuk menggunakan 2 anti virus pada sistem yang sama, karena hanya akan memberatkan sistem). Saya juga tidak mungkin mengganti dengan yang lain karena antivirus ini asli bawaan pas beli server (dan sumpah deh, saya sudah coba cari solusi freeware antivirus yang mumpuni untuk Windows Server 2003, dan sejauh ini saya bilang tidak ada.) Jadi berhubung sudah dapet gratisan pas beli sever yah di manfaatin aja, walau gak ampuh-ampuh banget… Yah dari pada gak ada? Nah kembali ke permasalahan tadi, sekarang pilihan saya ada dua: cleaner atau rescue disk. Hmm apa beda & kelebihannya?

Cleaner atau sering disebut removal tool biasanya adalah program standalone (tidak perlu diinstall, dan sering kali hanya merupakan 1 file exe). Cleaner ini bisa untuk menghapus satu jenis virus saja, atau beberapa virus. Untuk hasil yang terbaik, jalankan cleaner ini ketika Windows sedang dalam safe mode.Hampir semua produsen antivirus punya sejenis cleaner ini, dan biasanya gratis . Kok bisa gratis? Karena seperti saya telah sebutkan sebelumnya, program ini hanya “membersihkan” & tidak akan memberikan perlindungan 24/7 seperti layaknya program anti virus yang di install. Ini saya beri beberapa contoh:

• AVG Removal Tool
• Avira AntiVir Removal Tool
• McAfee Avert Stinger
• Norton/Symante Virus & Threat Removal Tools
• Norman Virus removal tool
• Kaspersky Virus Removal Tool (per virus)
• AVZ Anti-Viral Toolkit (Kaspersky. Tool ini bisa juga digunakan untuk mengirim log ke Kaspersky Lab.)
• AVP Tool (Kaspersky juga.. Baik ya Kaspersky? Tapi jangan harap bisa lihat 2 tool ini tampil di website utama Kaspersky)

Rescue disk biasanya merupakan bootable CD. Jadi kita cukup download file .iso nya, bakar ke CD kosong, lalu boot sistem yang bermasalah dengan CD ini. Tunggu beberapa saat, dan sistem Anda akan bersih kembali! Praktis kan? Ini link beberapa vendor yang menyediakan rescue CD:

• Avira Antivir Rescue System (57 MB)
• BitDefender Rescue CD (488 MB)
• Kaspersky Rescue Disk (FTP) (85 MB)
• Kaspersky Rescue Disk (85 MB)
• Download F-Secure Rescue CD 3.00 (153 MB)

Sumber link & artikel lengkapnya: Rescue CD gratis dari Avira, BitDefender, Kaspersky dan F-Secure

Perlu diingat, setiap vendor punya solusi yang berbeda-beda ketika ia tidak bisa “menyembuhkan” sebuah file: ada yang langsung main hapus & ada yang juga punya solusi lain seperti me-rename nama file menjadi ektensi yang berbeda (.xxx misalkan). Bahkan ketika bisa disembuhkan tidak selalu file tersebut kembali ke kondisi seperti semula. Jadi selalu backup data Anda terlebih dahulu sebelum menjalankan tool yang mana pun!

Nah kembali ke permasalahan saya, server yang terinfeksi sialnya juga merupakan Active Directory. Jadi saya hanya punya waktu yang terbatas jika ingin mematikan server ini (atau usernya bakal ngamuk-ngamuk). Setahu saya, server yang jadi Active Directory tidak bisa masuk safe mode (benar tidak ya ini? Perasaan pernah coba tapi tidak bisa). Jadi sudah pasti teknik menggunakan cleaner tidak bakal efektif. Jadi saya pilih teknik rescue CD. Karena keterbatasan waktu, saya hanya bisa mendownload Avira Antivir Rescue System (karena paling kecil), langsung saya bakar dan begitu jam pulang, server saya matikan dan boot dari CD ini. Data sudah aman semua, karena tiap malam sudah di back-up otomatis.

Proses kerja Avira cukup lama, karena harus men-scan 2 hard disk (80 GB & 250 GB). Avira berhasil menyembuhkan beberapa file, namaun yang tidak berhasil di rename menjadi nama_file.exe.XXX. Hmm artinya belum tuntas nih. Setelah boot lagi, saya lihat bahwa process yang mencurigakan sudah hilang (Services.exe, dangan huruf “S” besar) dan server sudah berjalan normal kembali, kecuali eTrust yang setiap beberapa kali muncul melaporkan menemukan virus Sality.W tapi gagal menyembuhkan. Wah nampaknya perlu langkah selanjutnya.

Dari blog bakazero di bagian komentar artikel, ada yang menyarankan pakai Norman untuk membasmi Sality. Saya langsung ke website Norman dan mendownload (mengunduh? sorry, sampai sekarang kata mengunduh masih janggal sekali di telinga saya) Norman Malware Cleaner. Perlu saya beritahu kalau program ini tidak memberi pilihan apa-apa ketika tidak bisa membersihkan… langsung di hapus! Gilee bener… Namun dalam posisi saya (karena Sality hanya menginfeksi file berakhiran .exe), hal ini tidak jadi masalah. Dokumen jauh lebih penting dari pada file program. Sekedar info, terdapat pilihan tidak membersihkan dengan menambahkan “/noclean” sebagai command line switch. Untuk lengkapnya bisa di lihat di web Norman dengan menggunakan link di atas.

Setelah Norman di jalankan, baru ketahuan ternyata yang menginfeksi adalah Win32/Sality.AA (bukan versi W & sudah dua digit). Pantas saja eTrust tidak bisa nyembuhin, mungkin mereka belum punya signature untuk bersihin varian yang ini. Cukup oke juga nih Norman, walau proses bersihinnya lumayan lama. Segala perubahan di catet dalam file log dan otomatis di simpan di desktop. Setelah selesai, saya cukup mengecek file apa saja yang di hapus sama Norman dan coba restore kembali dari backup (yang sudah dipastikan bersih dari virus tentunya). Sekarang tinggal mencari PC mana dalam jaringan yang jadi sumber kekisruhan ini…

Sepandai-pandai tupai melompat, akhirnya jatuh juga. Secanggih-canggihnya anti-virus masih bisa bobol juga. Apalagi kalau kita stuck dengan anti virus cupu! (tahun depan begitu lisensinya habis kemungkinan besar saya akan cari vendor lain…). Tapi jangan menyerah, sistem masih bisa diselamatkan dengan tool gratisan dari vendor anti-virus lain.

Nah, ternyata kerumitan gw belom berakhir (padahal jadwal gw ampe april udah lumayan padat). Ternyata proyek yg gw luarrr biasa males malah kejadian: gw di suruh bikin mail server internal. Yah bukan apa2 sih, gw males aja dapet komplain dari manager2 laen pas mail servernya down and mereka gak bisa buka email

Dengan semangat Freeware & Open Source (so udah pasti Microsoft Exchange server bukan salah satu pilihan), mulailah gw hunting (baca: Googling) untuk server gratisan. Temuan pertama gw adalah Axigen yang nampaknya cukup menjanjikan (udah versi 5 so udah pasti stabil dong). Sayang versi gratisan (Office Edition) hanya menyediak 5 mailbox. Wah ini mah udah jelas gak mungkin gw pake…

Mulailah gw chat ama sohib + mantan sistem admin kantor gw (Pul, loe emang manteb!), dan dia nyaranin make Zimbra. Wah gw langsung inget.. dulu gw udah ngelirik ini produk, pas masih blom di akusisi Yahoo ($350 juta bo!), tp untuk fungsi kolaborasi-nya.

Nah ini sekilas tentang Zimbra: software messaging (email) + kolaborasi multi platform (linux/apple, microsoft hanya client) yang menyertakan segudang proyek open source lain (openldap, postfix, clamav, amavisd, apache, tomcat, mysql, sampe VoIP kalau loe make Asterisk PABX… ck ck ck). Lengkapnya, seperti biasa bisa dibaca di om Wikipedia.

Hmm nampkanya ini emang solusi yang tepat, walau gw sempet mikir jangan2 malah “over kill”, wong gw kan sebenernya cuman perlu fitur mail nya aja? Trus gw pikir2, yah sudahlah, fitur2 lain sebagai bonus, bisa di implementasi belakangan kalau di perlukan.

So Zimbra, here we come….