Sunday, June 24, 2012

Mow: Virus yang Menginfeksi File Dokumen Word

Mow... Itu nama yang penulis dapatkan dari nama project virus ini Mow.vbp. Dibuat dengan Visual Basic 6, mempunyai ikon mirip dengan ikon dokumen Word 2007 ke atas.


Ketika virus tereksekusi, akan menanamkan induk virus di lokasi berikut:
  • C:\WINDOWS\system32\WINWORD.EXE
  • C:\WINDOWS\Temp\_$Cf\osk.exe
  • C:\WINDOWS\system32\Com\ctfmoon.exe <- file ini akan otomatis dijalankan saat Windows startup
Virus yang juga dikenal dengan nama Trojan.Win32.Cosmu.anhf (kaspersky) atau Win32/VB.NAX (eset) ini menelan semua doc file (*.doc, *.docx) dan menenkripsi dalam tubuhnya, tidak seperti virus Kespo/Kspoold (atau apa ya..?) dulu yang menelan doc file tanpa menenkripsi file doc tersebut. Ketika kita menjalankan file doc yang terinfeksi tersebut virus akan aktif dan membuat salinan file asli di lokasi berikut:
  • C:\WINDOWS\Temp\_$Cf\[nama_file_doc_asli][spasi].doc
 


Penulis sudah membuat tool untuk mendisinfeksi file dokumen yang terlanjur terinfeksi virus ini. Tool ini akan mendisinfeksi file yang terinfeksi, dan juga memperbaiki registry system yang dikerjai virus. Tool ini sudah melalui riset penulis, dijamin aman tapi jika anda ragu lebih baik tidak usah mencobanya sama sekali. USE THIS APP AT YOUR OWN RISK!!!


Mow Removal

Silahkan didownload disini : http://www.4shared.com/zip/pcT4y2ta/MowRemovalv22.html

Update 26 November 2012: Mow Removal v2.3
- Support Unicode
- Menu yang simple dengan popup menu
- Scan multi path
- etc...
Kemampuan pembersihan masih sama seperti v2.2, cuma penambahan fitur dan perubahan GUI (penting gak yaaa..?). Iseng aja, Anda boleh pake yang v2.2 atau v2.3. Kelebihannya Anda yang menilai :))

Screenshot:


Download Mow Removal v2.3 : http://www.4shared.com/zip/d01Goo52/MowRemovalv23.html
at
Labels:

31 comments:

  1. Herman Salim (Ki@mhu Blog)Friday, November 16, 2012 8:55:00 PM

    Terima kasih atas Removal yang Anda buat.. Saya telah melampirkan Removal Anda dan halaman ini di dalam pembahasan artikel tentang Review Virus Mow di Blog Saya.

    Mohon kritik dan Sarannya.

    Maaf, Saya tidak bisa melampirkan linknya di kolom komentar agar tidak diduga sebagai spam. :)

    ReplyDelete
  2. Deni's NotesMonday, November 19, 2012 8:32:00 AM

    sama-sama senang bisa membantu, terimakasih sudah mengunjungi blog saya.. :)

    ReplyDelete
  3. zeroTuesday, November 20, 2012 6:42:00 PM

    maaf saya ingin sedikit bertanya...
    maksudnya menenkripsi file itu apakah dia menyembunyikan file tempat yang sama seperti virus komputer sebelumnya atau bagaimana...
    karena kejadian ini baru saja menimpa saya sekitar 5-10 menitan yang lalu dan saya termasuk orang awam dalam hal seperti ini...
    terima kasih

    ReplyDelete
  4. Deni's NotesTuesday, November 20, 2012 9:43:00 PM

    virus ini menenkripsi file Word yg diinfeksinya kemudian menaruhnya (menelan) dalam tubuhnya dilokasi yg sama, dia juga membuat backup file yang ia infeksi di forder C:/Windows/system32 misal anda punya file Laporan.doc di D:/MyDoc , file tsb akan menjadi Laporan.exe (file ini gabungan virus + file Laporan.doc yg terenkripsi) kalo dijalankan sama saja menjalankan virus, virus membuat backup di folder ../system32 dengan nama Laporan.enc

    ReplyDelete
  5. kangtokWednesday, November 21, 2012 8:25:00 AM

    senang bisa ikutan belajar malware diblog hebat kang Deni, ... salam kenal dan sukses selalu :)

    ReplyDelete
  6. Deni's NotesWednesday, November 21, 2012 10:20:00 AM

    @kangtok: terima kasih salam kenal juga. wah masih jauh dari kata hebat blog saya, saya hanya sharing pengalaman aja saya juga masih belajar..

    ReplyDelete
  7. TedyMonday, November 26, 2012 6:05:00 PM

    Terima kasih buat software nya , sangat membantu. sedikit usul kalau bisa file infect langgsung di delete sesudah di didisinfect.

    ReplyDelete
  8. Deni's NotesMonday, November 26, 2012 10:07:00 PM

    @Tedy: sebenarnya jika Anda meng-uncheck menu Rename infected file ..., itu akan menghapus virus maupun file infect (setelah berhasil didisinfect) kecuali yg statusnya SUSPECTED.. tapi usulan yg sangat bagus, terima kasih senang bisa membantu

    ReplyDelete
  9. AnonymousFriday, February 08, 2013 4:15:00 PM

    makasih gan...tapi ada beberapa file yg tidak bisa di clean ya...overall removal nya oke :)

    ReplyDelete
  10. Deni's NotesFriday, February 08, 2013 5:13:00 PM

    @Anonim: sama-sama gan, senang bisa membantu.. :) file yang belum bisa di-clean sample nya bisa dikirim ke email saya denie.doank@gmail.com.. atau di-upload ke situs file sharing.. terima kasih.. :)

    ReplyDelete
  11. AnonymousThursday, February 14, 2013 6:53:00 AM

    mau dicoba dlu sob,,thanks ya>>>>>>.

    ReplyDelete
  12. UnknownThursday, April 04, 2013 8:22:00 PM

    saya download aja dulu kang. insya allah nanti setelah mencoba saya akan share pengalamannya disini. matur suwun.

    ReplyDelete
  13. Ahmad FajarTuesday, May 07, 2013 1:59:00 PM

    apakah sama dengan fitur cure PCMAV? karena fitur cure bawaan PCMAV tidak mendeteksi file MS.Word yang ukurannya lebih besar dari 9MB

    ReplyDelete
    Replies
    1. Deni's NotesSunday, May 12, 2013 10:27:00 AM

      iya fiturnya memang sama, tentu saja MowRemoval ini bisa memperbaiki file Ms. Word dengan ukuran 9 MB atau lebih.. karena teknik scanning-nya tidak melakukan filtering file size.. terimakasih.. :)

      Delete
  14. AnonymousWednesday, June 05, 2013 7:01:00 PM

    mohon bantuannya gan, komputer saya kena virus, semua file yang berekstension txt doc xls jpg berubah jadi .txt.crypt misal. file saya belajar.txt jadi belajar.txt.crypt kalo dibuka berupa code code kotak kotak, mohon bantuannya gan, gimana cara mengembalikan file itu? data didalamnya penting buat saya.

    ReplyDelete
    Replies
    1. AnonymousTuesday, June 11, 2013 10:26:00 AM

      sama gan... baru" ni juga kejadian itu ane alamin... macam" anti virus udah ane coba ttap gagal... udah juga coba instal ulang trus format tp sebelumnya ane backup dlu datanya.. ttp aja gak ada prubahan...

      Delete
    2. Deni's NotesMonday, June 17, 2013 9:31:00 AM

      coba saya minta sample filenya yang ekstensi *.crypt tersebut biar bisa saya analisa, kalau bisa sekalian induk virusnya.. kirim sample-nya ke email saya denie.doank@gmail.com atau upload ke situs file sharing.. taruh linknya disini.. terima kasih :)

      Delete
    3. AnonymousThursday, June 20, 2013 8:27:00 AM

      coba pake kaspersky xorist decrypter, tapi ga ada jaminan filenya bisa normal lagi karena enkripsi yang digunakan virus adalas aes 256 bit. Tapi kalo beruntung, filenya bs normal lagi.

      Delete
    4. Deni's NotesFriday, October 25, 2013 10:08:00 AM

      ^ thanks.. sepertinya memang ransomware

      Delete
  15. alikhlaslpypdMonday, August 19, 2013 4:41:00 PM

    Mohon maaf bung Deny karena baru ikutan ngasih komentar karena saya baru saja menggunakan hasil karya saudara tapi kenapa ya koq masih nggak bisa dibuka juga file dokumen saya yang saya duga terkena virus karena semua ukuran file dok saya berukuran 8 kb. Apakah ada solusi yang lain bung? Terima kasih sebelumnya atas bantuan saudara.

    ReplyDelete
    Replies
    1. Deni's NotesFriday, October 25, 2013 10:06:00 AM

      telat saya euy.. xiixxiix... mungkin masalah agan saat ini sudah teratasi tapi seandainya belum mungkin boleh saya minta sample file tersebut , kirim ke email saya denie.doank@gmail.com

      Delete
  16. AnonymousThursday, September 19, 2013 8:40:00 PM

    terima kasih banyak Gan, Sangat2 membantu

    ReplyDelete
  17. AnonymousWednesday, September 25, 2013 2:45:00 PM

    Bang deni makasih banyak bang, infonya bermanfaat banget. semoga ilmunya bang deni berkah selalu, aamiin. @aliafiefk

    ReplyDelete
  18. AnonymousTuesday, October 22, 2013 2:17:00 PM

    maaf bang, saya baru" ini pake MowRemoval, data yang terinfeksi terbaca, tetapi saat saya buka dengan word isi enscript

    ReplyDelete
    Replies
    1. Deni's NotesFriday, October 25, 2013 10:01:00 AM

      maksud isi enscript bagaimana? bisa minta saya sample file nya? kirim ke email saya ya, denie.doank@gmail.com

      Delete
  19. AnonymousSaturday, December 21, 2013 12:25:00 AM

    Sumpah gan, terima kasih sangat mowremovalnya. Saya terjangkit virus ini di warnet gan, dan begitu buka bener2 langsung panik karena tugas kuliah saya gak bisa dibuka. Dan alhamdulillah setelah mampir ke blog agan dan donlot software yang bersangkutan, file .docx tugas saya kembali.

    Sekali lagi, terima kasih banyak gan. Sukses terus!

    ReplyDelete

Subscribe to: Post Comments (Atom)

denidoank

setahun lebih saya tidak nge- post di blog ini.. saya mau break dulu ngoding dan semacamnya.. terima kasih untuk yang (mungkin) telah meng...

  • [Delphi] Auto-detecting USB Drives
    Gunakan unit pascal (Delphi) berikut ke project-mu unit Unit1; { Snippet for detecting USB drive when connected and removed } interface ...
  • Mow: Virus yang Menginfeksi File Dokumen Word
    Mow... Itu nama yang penulis dapatkan dari nama project virus ini Mow.vbp. Dibuat dengan Visual Basic 6, mempunyai ikon mirip dengan ikon d...
  • denidoank
    setahun lebih saya tidak nge- post di blog ini.. saya mau break dulu ngoding dan semacamnya.. terima kasih untuk yang (mungkin) telah meng...