W32/Kang.

C: Return of Kangen dan Cara Pembasmiannya

Adang Juhar Taufik*

*Technical support pada Vaksincom, penyedia layanan security system dan antivirus

Setelah direpotkan oleh virus Kangen (W32/Kang.A) pada bulan April lalu, yang diikuti
dengan munculnya varian kedua W32/Kang.B pada pertengahan Mei, dalam waktu kurang dari satu
bulan varian berikutnya sudah muncul dengan nama W32/Kang.C. Saat ini penyebarannya termasuk
dalam kategori tinggi. (Simak juga rubrik Trend edisi ini!, Red).
Karena secara default Windows tidak menampilkan ekstensi file maka file dengan nama
”skripsi.doc” akan terlihat persis sama dengan file ”skripsi.exe” karena icon file yang executable
tersebut direkayasa oleh Kangen sehingga sama dengan icon MS-Word. Hal inilah yang
menyebabkan Kangen menyebar sangat efektif dan cepat karena setiap kali pengguna komputer yang
terinfeksi Kangen mengopikan file MSWordnya ke media lain sebenarnya yang dikopikan adalah file
virus dan si pengguna komputer yang menerima file MSWord ”palsu” tersebut akan dikelabui untuk
menjalankan virus Kangen ini setiap kali mencoba membuka file MSWord yang dikopikan tadi.
W32/Kang.C sebesar 72KB juga menyebar melalui jaringan (file sharing) jika user menjalankan file
yang telah terinfeksi virus Kang.C.
Ada ada sedikit perbedaan yang menonjol dari virus kangen varian C ini, yaitu pada saat
menginfeksi OS 98 maupun 2000, virus ini tidak dapat memblok akses registri edit, Msconfig, dan
Task Manager. Kelihatannya varian ini lebih ditujukan untuk menginfeksi Windows XP dan
Windows Server 2003 karena notabene populasi komputer yang menggunakan Windows XP dapat
dikatakan paling banyak pada saat ini.
Jika file ini dijalankan maka akan muncul dokumen MS-Word dengan teks lagu Kangen dan
jika berhasil menginfeksi komputer, Kangen akan membuat 3 buah file pada direktori %system%
dengan nama file:
• Winword.exe (hidden file dengan icon MSWord, ukuran file 72KB)
• Winlog.dat (hidden file)
• Kangen.exe (icon MSWord dengan ukuran file 2KB)
Selain itu virus ini akan membuat file dengan nama winword.exe pada direktori C:\!submit.
Kangen juga akan menambahkan 4 buah value pada registri dengan nama: ccApps; LoadService;
OSA dengan data value C:\%system%\winword.exe dan SymRun pada lokasi registri:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run

Disable Taks Manager, Msconfig dan Registry Editor

Seperti pada varian sebelumnya (Kang.A), Kang.C juga akan menonaktifkan Task Manager,
dengan tujuan agar user tidak dapat mematikan proses dari virus tersebut. Di samping itu Kangen
juga akan memblok akses program Msconfig. Berbeda dengan virus Pesin, Kangen akan langsung
mematikan proses Task Manager dan Msconfig jika user berusaha untuk menjalankan dengan tidak
menampilkan layar program Task Manager dan Msconfig. Pada virus Pesin program Task Manager
dan msconfig dapat dibuka tetapi tidak dapat diakses. Dari hasil pengetesan yang dilakukan ternyata
virus Kang.C hanya berhasil melakukan disable MSconfig dan Task Manager pada Windows dengan
OS XP/Server 2003, sedangkan pada windows 9x/2000, virus ini tidak dapat melakukan disable
Registry, Msconfig maupun Task Manager.
Virus Kangen juga akan memblok akses ke Registry Editor (regedit.exe) dan Task Manager
dengan menambahkan 2 string yakni DisableRegistryTools dan DisableTaskMgr pada registry key
di bawah ini:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Salah satu kehebatan dari virus Kangen adalah, kemampuannya dalam membuat file duplikat
bervirus yang dibuat “sangat mirip” dengan file dokumen MS-Word, baik dari nama maupun icon
yang mewakilinya. File asli tersebut akan disembunyikan (hidden) sehingga user yang hendak
mengakses file MS-Word tidak akan menyadari bahwa bahwa dokumen Wordnya yang asli telah
disembunyikan oleh virus Kangen dan sebagai gantinya file yang mirip dengan dokumen yang
sedang dia klik adalah file virus Kangen.
 “Masih untung” pembuat virus Kangen ini tidak bermaksud jahat menghancurkan file
dokumen MS Word yang dipalsukannya. File tersebut tetap ada pada lokasi direktori yang sama,
tetapi statusnya diubah sehingga menjadi hidden file.
File palsu bervirus Kangen ”selalu” mempunyai ukuran 72KB dengan icon dokumen MS-
Word dan ekstensi .exe dengan jenis file Application, sehingga jika user menjalankan file tersebut
(file yang dibuat oleh virus), maka secara tidak langsung ia akan mengaktifkan virus Kangen. Ini
adalah trik yang cukup canggih di mana setingan default Windows tidak memunculkan ekstensi file
sehingga nama file “dokumen.doc” dengan “dokumen.exe” akan terlihat seakan-akan sama
“dokumen” dengan icon dokumen MS-Word
Anda dapat menampilkan file yang di sembunyikan (pada Windows XP/2000/Server 2003)
dengan cara:
• Buka Windows Explorer
• Klik menu [Tools], kemudian klik [Folder Option]
• Setelah muncul layar [Folder Option], klik tab [View]
• Pada kolom [Advanced and settings], pilih [show hidden files and folder] pada menu
[Hidden files and folder]
• Untuk melihat ekstensi dari file, matikan opsi [Hide extension for know file types]
• Klik [Apply]
• Klik [OK]

Pada Windows 9x, berikut cara menampilkan file yang di-hidden

• Buka Windows Explorer
• Klik menu [View], kemudian klik [Folder Option]
• Setelah layar [Folder option] terbuka klik tab [View]
• Pada kolom Advanced settings, pilih [Show all files] pada menu [Hidden files]
• Untuk menampilkan extension dari semua file yang ditampilkan, matikan option [Hide
file extension for know files types]
• Klik [Apply] lalu klik [Ok]

Cara mengatasi virus W32/Kang.C

1. Matikan proses Winword.exe pada Task Manager
Anda juga dapat mematikan proses Winword.exe melalui Windows Normal (tanpa melalui
”safe mode”), cara ini hanya bisa dilakukan pada Windows XP/Server 2003. Caranya:
• Klik [Start] [Run]
• Ketik [cmd]
• Pada jendela command prompt, pastikan Anda telah berada pada direktori system
Windows dengan mengetik ”CD [spasi] C:\windows\system”
• Matikan proses ”Winword.exe” dengan menggunakan perintah Taskkill dengan
mengetikkan [taskkill /f /im Winword.exe], dan tekan [Enter]
2. Cari dan hapus file di bawah ini pada folder SYSTEM.
• Winword.exe
• Winlog.dat
• Kangen.exe
3. Hapus direktori C:\!Submit
Hapus registry key berikut pada registri key
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run item berikut:
• ccApps
• LoadService
• OSA dengan data value C:\%system%\winword.exe
• SymRun
4. Untuk mengembalikan dokumen MS-Word yang disembunyikan lakukan cara berikut:
• Klik [Start] [Run]
• Ketik [cmd] untuk masuk ke command prompt.
• Pada layar command promprt, ketikan perintah “Attrib –s –h c:\*.doc /s” (tanpa
tanda kutip)
Untuk mencegah infeksi ulang dari virus W32/Kang.C atau Anda ingin membasmi W32/Kang.C
secara otomatis, gunakan Norman Virus Control dengan update minimal tanggal 20 Juni 2005.