File word (doc) dan Excel (xls) jadi virus ?

Posted on

Beberapa hari lalu setelah pulang KKN seperti biasa malemnya saya istirahat buat merilekskan badan yang capek karena seharian beraktifitas. Setelah terlelap tidur beberapa saat, saya terkejut oleh bunyi telepon dari salah seorang staff pengajar sekolah di mana saya berkerja part time sebagai teknisi Lab. Komputer. Di telepon ternyata dapet kabar klo file-file pengumuman ujuan dan penerimaan siswa baru untuk sekolah kami terinfeksi virus semua, dan semua file dokumen (doc) dan excel (xls) berubah extensinya manjadi executable (exe). Karena saya menggunakan sistem operasi Linux jadi pengetahuan saya tentang kabar virus-virus terbaru tidak se-uptodate seperti pengguna windows lainnya ๐Ÿ˜€ Saya coba cari-cari informasi tentang virus yang dampakntya seperti itu, dan Alhamdulillah dapet info-info bermamfat seputar pengalaman orang-orang dengan virus tersebut ๐Ÿ˜›

Saya hanya coba sedikit share dengan keterbatasan apa yang saya ketahui, tentang virus yang meninfeksi file-file dokumen dan file-file excel dan kemudian mengubah mereka menjadi file executable (exe). Jika kita paksa buka file tersebut maka tampilannya akan menjadi kacau balau. Dan biasanya orang-orang akan langusng menghapus file tersebut. Karena ukuran dan ciri virus (signature) yang tidak tetap, maka berbagai anti virus yang sudah dicoba tidak dapat mendeteksi, walaupun dengan update-an terbaru ๐Ÿ™

Jika dilihat secara seksama sebenarnya si pembuat virus tidak merusak data asli dan dapat di kembalikan 100% seperti semula. Virus hanya menambahkan dirinya sendiri ke dalam file dokumen sehingga ukurannya berbeda-beda sesuai dengan ukuran file dokumen asli.

Ini ada beberapa trik untuk menyelamatkan dokumen kita :

  1. Bukalah file virus yang ada dengan Hex Editor, contohnya Hexpad.
  2. Buka juga file dokumen (doc) atau file excel (xls) yang tidak terinfeksi virus.
  3. Ada tiga bagian di tampilan hexapad. Mulai dari kiri adalah offset ( alamat kode ), Kode ( dalam bilangan Hexadesimal ) dan paling kanan adalah kode dalam text.
  4. Coba perhatikan awal kode antara file yang terinfeksi virus dan yang asli. File yang terinfeksi diawali dengan kode hex = 4D 5A โ€ฆ ( text : MZ โ€ฆ) dan file asli Hex = D0 CF 11 E0 A1 โ€ฆ (๏ฟฝ?๏ฟฝ?.ร ยกยฑ.รก โ€ฆ ). Masing-masing merupakan bagian dari header file yang selalu sama. kode MZ untuk file seperti *.exe dan *.dll.
  5. Karena header file asli sudah tahu, maka selanjutnya tinggal mencari kode D0 CF 11 E0 A1 ( sepertinya 3 kode awal sudah cukup ) di file yang terinfeksi virus. caranya buka pencarian ( Ctrl+F) dan isikan di bagian Kode nilai D0 CF 11 E0 A1 ( beri spasi antar kode ). dan klik search.
  6. Setelah ditemukan maka itulah awal file doc atau xls-nya. Tinggal memilih kode mulai dari kode sebelum D0 CF โ€ฆ sampai awal kode dan hapus. Kemudian save as dengan ekstensi yang sesuai doc / xls.

Langkah-langkah diatas dapat dilakukan jika file yang terinfeksi tidak banyak, tetapi jika filenya banyak tentu sangat menyita waktu. Misalnya ketika disini file yang terinfeksi 200 lebih, maka diperlukan tool/ program khusus untuk merecovery file tersebut. ๐Ÿ˜€ seperti ini (silahkan dicoba)

9 comments

  1. wah hebat nih om adit, bisa nih ajarin saya gimana cara bongkar virus. ohya boleh ngak minta aplikasinya. he he sama nih karena kebanyakan main di linux n semua windows selalu update antivirusnya makanya kurang tau sama perkembangannya. ๐Ÿ˜€

  2. sudah ane search pake hexapad: D0 CF 11 E0 A1 tapi gak hasil… gimana yah……. pa ni varian baru.?

  3. lam kenal mas adit… ane punya problem file rtf ane ko ga bisa dibuka malah dia minta dibuka pake recovery dan ukurannya jadi 524.287 Kb
    Terima Kasih.

Leave a Reply

Your email address will not be published.