Cara restore file Ms. Word dan Excel yg diserang worm kspoold
4 posters
Halaman 1 dari 1
Cara restore file Ms. Word dan Excel yg diserang worm kspoold
by dhacked Tue Nov 25, 2008 5:26 am
Banyak sekali forum-forum dan milis-milis yang saya jumpai menemukan dampak negatif dari worm kspoold. Masalah yang paling sering dipertanyakan adalah cara untuk mengembalikan file-file kerja mereka. Karena worm ini memang menelan file-file seperti dokumen Ms. Word (*.doc) dan Excel (*.xls) yang memang banyak digunakan orang-orang pada saat ini. Dan bukan barang langka lagi kalau produk-produk Microsoft tersebut sudah merajai sebahagian kantor-kantor besar Indonesia.
Tetapi, mungkin itu juga dasar pemikiran pembuat worm ini. Memanfaatkan keartisan suatu aplikasi untuk menjebak para penggunanya unuk menyebarkan worm tsb. Kalau sudah begini, siapa yg disalahkan? Artisnya atau orang yg terjebak alias fans-nya? Jawabannya tetap tidak kedua-duanya. Mungkin beban berat sedang dihadapi pembuat worm ini. Ketika melihat orang-orang menjadi susah dibuatnya dan mempermacet perekonomian negara sendiri.
Oke, kita tutup awal pembicaraan kita. Kita mulai ke topik sesungguhnya. Worm kspoold pada dasarnya tidak menghapus dan mengubah atribut untuk disembunyikan pada suatu file yg diserang. Worm ini menggunakan teknik self-included dalam penyerangannya. Dimana dokumen-dokumen yg diserang ditempatkan bersatu dalam tubuh worm itu sendiri. Teknik ini sebenarnya sudah lama ada pada worm kangen (mei 2005). Keuntungannya adalah
- Memaksa user untuk menjalankan worm tsb agar dokumennya dapat digunakan.
- User takkan pernah kehilangan dokumennya selama worm itu tidak dihapus. Berbeda dng worm-worm lainnya. Kalau worm dipindahkan ke lokasi lain maka file dokumen yg biasanya disembunyikan tidak ikut dipindahkan. Maka, worm itu akan kehilangan informasi file aslinya dan mudah dicurigai sbg virus.
Berikut ini gambaran teknik penyerangan file pada worm ini.
Badan Worm (Worm.exe):
100100110
011101001
100110011
File Dokumen (Dokumenku.doc):
ABCDEFG
HIJKLMN
OPQRSTU
Pembatas Pengenalan File :
XXXXXX
Hasil Akhir (Dokumenku.exe):
100100110
011101001
100110011
XXXXXX
ABCDEFG
HIJKLMN
OPQRSTU
Dapat dilihat dari gambaran tersebut sudah jelas kita sudah dapat mengetahuinya. Bagaimana cara untuk mendapatkan file dokumen asli yg diserang. Kita cukup memisahkan antara badan worm dng isi dokumen aslinya berdasarkan pengenal yg ada. Tetapi muncul masalah. Bagaimana kita dapat mengetahui pengenalnya Tom?
Kita tidak usah sampai membedah dan terlalu pusing memikirkan pengenal apa yg digunakan worm ini untuk memisahkan dan menjalankan file asli yg diserang. Perlu diketahui, masing-masing file memilki karakterisitik yg berbeda-beda. Salah satunya dng membedakannya berdasarkan extension. Tetapi extension tidak menjamin bahwa file itu merupakan milik suatu aplikasi tertentu dan lagipula itu cuma bisa diketahui berdasarkan namanya bukan isi dari file yg ada.
Untuk memisahkannya kita cukup memanfaatkan header file-file MS. Office (MS. Word & Excel), karena cukup bisa menjadi andalan dan terbilang unik (Walaupun masih bisa dikelabui.. he..he..he..). Untuk itu, buat suatu percobaan dng MS. Word, ketik beberapa teks. Namakan filenya "coba.doc", lalu buka file tsb dng Notepad. Ingat dng Notepad!!! bukan MS. Word. Sehingga Tampilannya sbg berikut :
Bagian yg terseleksi merupakan header dokumen MS. Office. Dan itulah pengenalnya!!!.
Nah, akhirnya kita udah selesai mendapatkan pengenalnya untuk memisahkan file asli dari badan worm. Selanjutnya gimana Tom? Kita memasuki dunia yang paling indah dalam ber-komputer. Yaitu programming. Ha..ha..ha..ha..
Knapa? Kok diem... kok cemberut? Wah.. nggak sesuai dng semangat Ninja Ceria dong? yg selalu ceria..ceria.. dan semangat!!.. Kamu tidak perlu kuatir nggak ada yg perlu di install dan tidak ada yg perlu dikuasai, karna saya tau kamu bukan programmer. Kamu cukup copy paste dan edit dikit layaknya mengetik di MS. Word.
Oke bukalah aplikasi MS. Word kamu. Masuk ke jendela Macro, dengan mengikuti menu seperti yg terlihat pada gambar berikut ini:
Akan terlihat jendela macro editor untuk Visual Basic. Klik pada list di sebelah kiri "ThisDocument" untuk menampilkan editor programnya seperti yg terlihat pada gambar berikut:
Ketikkan kode berkut pada editor yg saya tandai dng kotak berwarna biru yang terlihat pada gambar diatas.
Sub Restore()
Dim BuffPemisah As Variant
Dim IsiBadanWorm As String
Dim IsiFileAsli As String
Dim IsiWormGabungan As String
Dim LokasiFileTarget As String
Dim LokasiFileRestore As String
Const TandaDoc As String = "�� ࡱ �"
'[ UBAH ISI VARIABEL INI, SESUAI LOKASI FILE YG TERSERANG ]'
LokasiFileTarget = "C:\Kspoold.exe"
'[ UBAH ISI VARIABEL INI, SESUAI TEMPAT LOKASI FILE ASLI YG PERBAIKI EXTENSION SESUAI ICON WORM ]'
LokasiFileRestore = "C:\fileasli.xls"
If Dir$(LokasiFileTarget) = "" Then MsgBox "File target tidak ditemukan.", vbCritical, "Salah": Exit Sub
'[BUAT RUANG PENAMPUNGAN]'
IsiWormGabungan = Space$(FileLen(LokasiFileTarget))
'[AMBIL ISI WORM]
Open LokasiFileTarget For Binary As #1
Get #1, , IsiWormGabungan
Close #1
'[PEMISAHAN BADAN WORM DNG FILE ASLI BERDASARKAN HEADER DOC]
BuffPemisah = Split(IsiWormGabungan, TandaDoc)
If UBound(BuffPemisah) < 1 Then MsgBox "File target tidak memiliki file asli.", vbInformation, "Info": Exit Sub
'[BEDAKAN]'
'[ISI WORM]'
IsiBadanWorm = BuffPemisah(0)
'[ISI FILE ASLI]'
IsiFileAsli = TandaDoc & BuffPemisah(1)
'[SIMPAN ISI FILE ASLI]
Open LokasiFileRestore For Output As #1
Print #1, IsiFileAsli
Close #1
MsgBox "Sukses meng-restore ke " & LokasiFileRestore
End Sub
Ketikkan semuanya (Mulai dari Sub Restore() sampai End Sub), atau jika tidak mau capek, copy paste ke bidang editor macro tsb. Lalu baca dulu penjelasan dari warna-warna tulisan diatas.
Warna Biru => kode-kode program yg dijalankan harus di masukkan
Warna Hijau => Janya komentar atau penjelasan program tambahan, bebas atau bisa tidak dimasukkan
Warna Merah => Wajib diisi, ubah lokasi teks tersebut, sesuai lokasi worm yg mau direstore file aslinya. Dalam contoh diatas saya menunjuk target worm yg berada di "c:\Kspoold.exe"
Warna Hitam => Lokasi tempat menyimpan hasil pemisahan ntara file worm dng file asli. Silahkan ubah sesuai keinginan anda.
Oke, sudah mengertikan? Selanjutnya tekan tombol "F5" untuk menjalankan kode tersebut pada jendela macro tadi. Jika anda mendapatkan pesan "Sukses meng-restore ke ... bla..bla..bla..", maka kemungkinan file sudah berhasil di restore, silahkan periksa sesuai lokasi tempat penyimpanan yg sudah anda tentukan.
Akhirnya, saya sudahi artikel ini sampai disini. Nanti kalau ada berita baru akan saya muat. Oke...
Tetapi, mungkin itu juga dasar pemikiran pembuat worm ini. Memanfaatkan keartisan suatu aplikasi untuk menjebak para penggunanya unuk menyebarkan worm tsb. Kalau sudah begini, siapa yg disalahkan? Artisnya atau orang yg terjebak alias fans-nya? Jawabannya tetap tidak kedua-duanya. Mungkin beban berat sedang dihadapi pembuat worm ini. Ketika melihat orang-orang menjadi susah dibuatnya dan mempermacet perekonomian negara sendiri.
Oke, kita tutup awal pembicaraan kita. Kita mulai ke topik sesungguhnya. Worm kspoold pada dasarnya tidak menghapus dan mengubah atribut untuk disembunyikan pada suatu file yg diserang. Worm ini menggunakan teknik self-included dalam penyerangannya. Dimana dokumen-dokumen yg diserang ditempatkan bersatu dalam tubuh worm itu sendiri. Teknik ini sebenarnya sudah lama ada pada worm kangen (mei 2005). Keuntungannya adalah
- Memaksa user untuk menjalankan worm tsb agar dokumennya dapat digunakan.
- User takkan pernah kehilangan dokumennya selama worm itu tidak dihapus. Berbeda dng worm-worm lainnya. Kalau worm dipindahkan ke lokasi lain maka file dokumen yg biasanya disembunyikan tidak ikut dipindahkan. Maka, worm itu akan kehilangan informasi file aslinya dan mudah dicurigai sbg virus.
Berikut ini gambaran teknik penyerangan file pada worm ini.
Badan Worm (Worm.exe):
100100110
011101001
100110011
File Dokumen (Dokumenku.doc):
ABCDEFG
HIJKLMN
OPQRSTU
Pembatas Pengenalan File :
XXXXXX
Hasil Akhir (Dokumenku.exe):
100100110
011101001
100110011
XXXXXX
ABCDEFG
HIJKLMN
OPQRSTU
Dapat dilihat dari gambaran tersebut sudah jelas kita sudah dapat mengetahuinya. Bagaimana cara untuk mendapatkan file dokumen asli yg diserang. Kita cukup memisahkan antara badan worm dng isi dokumen aslinya berdasarkan pengenal yg ada. Tetapi muncul masalah. Bagaimana kita dapat mengetahui pengenalnya Tom?
Kita tidak usah sampai membedah dan terlalu pusing memikirkan pengenal apa yg digunakan worm ini untuk memisahkan dan menjalankan file asli yg diserang. Perlu diketahui, masing-masing file memilki karakterisitik yg berbeda-beda. Salah satunya dng membedakannya berdasarkan extension. Tetapi extension tidak menjamin bahwa file itu merupakan milik suatu aplikasi tertentu dan lagipula itu cuma bisa diketahui berdasarkan namanya bukan isi dari file yg ada.
Untuk memisahkannya kita cukup memanfaatkan header file-file MS. Office (MS. Word & Excel), karena cukup bisa menjadi andalan dan terbilang unik (Walaupun masih bisa dikelabui.. he..he..he..). Untuk itu, buat suatu percobaan dng MS. Word, ketik beberapa teks. Namakan filenya "coba.doc", lalu buka file tsb dng Notepad. Ingat dng Notepad!!! bukan MS. Word. Sehingga Tampilannya sbg berikut :
Bagian yg terseleksi merupakan header dokumen MS. Office. Dan itulah pengenalnya!!!.
Nah, akhirnya kita udah selesai mendapatkan pengenalnya untuk memisahkan file asli dari badan worm. Selanjutnya gimana Tom? Kita memasuki dunia yang paling indah dalam ber-komputer. Yaitu programming. Ha..ha..ha..ha..
Knapa? Kok diem... kok cemberut? Wah.. nggak sesuai dng semangat Ninja Ceria dong? yg selalu ceria..ceria.. dan semangat!!.. Kamu tidak perlu kuatir nggak ada yg perlu di install dan tidak ada yg perlu dikuasai, karna saya tau kamu bukan programmer. Kamu cukup copy paste dan edit dikit layaknya mengetik di MS. Word.
Oke bukalah aplikasi MS. Word kamu. Masuk ke jendela Macro, dengan mengikuti menu seperti yg terlihat pada gambar berikut ini:
Akan terlihat jendela macro editor untuk Visual Basic. Klik pada list di sebelah kiri "ThisDocument" untuk menampilkan editor programnya seperti yg terlihat pada gambar berikut:
Ketikkan kode berkut pada editor yg saya tandai dng kotak berwarna biru yang terlihat pada gambar diatas.
Sub Restore()
Dim BuffPemisah As Variant
Dim IsiBadanWorm As String
Dim IsiFileAsli As String
Dim IsiWormGabungan As String
Dim LokasiFileTarget As String
Dim LokasiFileRestore As String
Const TandaDoc As String = "�� ࡱ �"
'[ UBAH ISI VARIABEL INI, SESUAI LOKASI FILE YG TERSERANG ]'
LokasiFileTarget = "C:\Kspoold.exe"
'[ UBAH ISI VARIABEL INI, SESUAI TEMPAT LOKASI FILE ASLI YG PERBAIKI EXTENSION SESUAI ICON WORM ]'
LokasiFileRestore = "C:\fileasli.xls"
If Dir$(LokasiFileTarget) = "" Then MsgBox "File target tidak ditemukan.", vbCritical, "Salah": Exit Sub
'[BUAT RUANG PENAMPUNGAN]'
IsiWormGabungan = Space$(FileLen(LokasiFileTarget))
'[AMBIL ISI WORM]
Open LokasiFileTarget For Binary As #1
Get #1, , IsiWormGabungan
Close #1
'[PEMISAHAN BADAN WORM DNG FILE ASLI BERDASARKAN HEADER DOC]
BuffPemisah = Split(IsiWormGabungan, TandaDoc)
If UBound(BuffPemisah) < 1 Then MsgBox "File target tidak memiliki file asli.", vbInformation, "Info": Exit Sub
'[BEDAKAN]'
'[ISI WORM]'
IsiBadanWorm = BuffPemisah(0)
'[ISI FILE ASLI]'
IsiFileAsli = TandaDoc & BuffPemisah(1)
'[SIMPAN ISI FILE ASLI]
Open LokasiFileRestore For Output As #1
Print #1, IsiFileAsli
Close #1
MsgBox "Sukses meng-restore ke " & LokasiFileRestore
End Sub
Ketikkan semuanya (Mulai dari Sub Restore() sampai End Sub), atau jika tidak mau capek, copy paste ke bidang editor macro tsb. Lalu baca dulu penjelasan dari warna-warna tulisan diatas.
Warna Biru => kode-kode program yg dijalankan harus di masukkan
Warna Hijau => Janya komentar atau penjelasan program tambahan, bebas atau bisa tidak dimasukkan
Warna Merah => Wajib diisi, ubah lokasi teks tersebut, sesuai lokasi worm yg mau direstore file aslinya. Dalam contoh diatas saya menunjuk target worm yg berada di "c:\Kspoold.exe"
Warna Hitam => Lokasi tempat menyimpan hasil pemisahan ntara file worm dng file asli. Silahkan ubah sesuai keinginan anda.
Oke, sudah mengertikan? Selanjutnya tekan tombol "F5" untuk menjalankan kode tersebut pada jendela macro tadi. Jika anda mendapatkan pesan "Sukses meng-restore ke ... bla..bla..bla..", maka kemungkinan file sudah berhasil di restore, silahkan periksa sesuai lokasi tempat penyimpanan yg sudah anda tentukan.
Akhirnya, saya sudahi artikel ini sampai disini. Nanti kalau ada berita baru akan saya muat. Oke...
dhacked- Agak Ngaco
- Jumlah posting : 556
Age : 40
Lokasi : di dunia yang tanpa batas
Registration date : 13.11.08 -
Re: Cara restore file Ms. Word dan Excel yg diserang worm kspoold
by naxrsj17 Sun Nov 30, 2008 4:03 am
,^^ ked... ga da tips perawatan kulit yah
pis peace MAN :D
naxrsj17- Agak Ngaco
- Jumlah posting : 583
Age : 46
Lokasi : sempre de amore
Registration date : 07.11.08 -
Re: Cara restore file Ms. Word dan Excel yg diserang worm kspoold
by d_hell Sun Nov 30, 2008 7:25 pm
:scratch: :scratch: :scratch: :scratch: :scratch: :scratch: :scratch: :scratch: :scratch: ]
belom nyampe neh ke otak.... puyeng....
belom nyampe neh ke otak.... puyeng....
d_hell- Agak BEGO
- Jumlah posting : 120
Age : 38
Lokasi : anywhere
Registration date : 06.11.08
Re: Cara restore file Ms. Word dan Excel yg diserang worm kspoold
by motta Wed Jan 27, 2010 1:49 pm
ajib...ajib... ijin nyedot gan ! senyum
motta- Masih Waras
- Jumlah posting : 27
Registration date : 07.11.08
Re: Cara restore file Ms. Word dan Excel yg diserang worm kspoold
by dhacked Thu Feb 18, 2010 6:03 pm
wkwkwk lo senyum mulo ta 
dhacked- Agak Ngaco
- Jumlah posting : 556
Age : 40
Lokasi : di dunia yang tanpa batas
Registration date : 13.11.08 -
Sponsored content
Halaman 1 dari 1
Permissions in this forum:
Anda tidak dapat menjawab topik