Membersihkan File yang terinfeksi Runouce

Runouce memang belum menggila di Indonesia, namun sepertinya namanya cukup popular sebagai salah satu virus yang menyebar di Indonesia. Virus yang dating dari China ini memang cukuyp mungil, selain memanfaatkan email sebagai bahan penyebaranya virus ini juga menginfeksi file executable. Namun jika anda yang sudah terlanjur terkena infeksi virus ini, anda dapat membersihkan file exe yang terinfeksinya dengan mudah. Kali ini saya coba membahas sekilas cara mudah membersihkan file exe yang terinfeksi virus ini secara manual dan non manual.

Untuk dapat membersihkan infeksi sebuah virus yang kebetulan sifat dari runouce ini adalah EP semi statis, sama sekali tidak melakukan enkrispi Original Entry Point dan Data Dari OEP lagkah yang kita tempuh pertama kali adalah mencari dimana Ia menyimpan OEP pada file yang terinfeksinya.

Disini saya menguji file bernama AutoDetect.exe, yang mana sebelum terinfeksi RVA EP address dari file exe ini benilai : 0x001B3830

Serta data pendukung lain dari file ini yang wajib diubah virus antara lain

Image Base                              : 0x00400000

Raw Size Section Terakhir         : 8704

Virtual Size Section Terkahir      : 12288

Dan masih banyak tapi kurang penting

Sekarang kita lihat VEP alias Entry Point setelah file ini diinfeksi Runouce., berikut adalh screen shotnya :

Coba kita perhatikan intruksi baris ke 6 yaitu

Push    0x4BBB60

0x4BBB60 ternyata adalah nilai VA dari address OEP file korban, sehingga untuk mendapatkan RVA dari OEP maka kita dapat mengurangkan nilai tersebut dengan ImageBase dari file korban. Maka didapat nilai.

0x4BBB60 – 0x400000 = 0xBBB60

Setelah melakukan analisa pada file lain yang terinfeksi Runouce, ternyata virus ini masih berbaik hati karena address OEP sama sekali tidak di manipulasi, dan tersimpan pada intruksi yang ke 6 dari VEP. Sehingga kita dapat mudah mencari nilai RVA dari OEP file yang ternfeksi Runouce ini dengan melihat data pada VEP.

Lalu Selanjutnya?

Setelah kita tahu OEP dari file exe yang terinfeksi, tentunya kita harus segera merekontruksi file exe tersebut. Saya memakai Lord PE, berikut caranya:

Bukalah program yang terinfeksi tadi dengan Lord PE (PE Editor), lalu akan muncul informasi Basic PE Header dan rubahlah EntryPoint dengan OEP yang kita dapat:

Berikut adalah gambar setelah EntryPoint dari file yang terinfeksi dirubah dengan OEP :

Tekan lah tombol “Save”, untuk menyimpan perubahanya.

Sebenarnya langkah sampai disni sudah dapat dikatakan bahwa control program sudah kembali seperti semula, dan virus Runouce sudah tak akan dieksekusi lagi. Namun bebrapa Antivirus asing akan masih mendeteksi sebagai virus, jika Body virus belum dibuang dari file terinfeksi. Nah mungkin kesempatan lain saya kan membahasnya, cara membuang body virus secara manual dan mengembalikan informasi pada section yang dirubah agar PE dapat dijalankan dengan normal setelah pembuangan body virus.

Pemulihan Automatis

Jika anda orang yang suka instan, maka anda dapat memakai CMC PH#3 build.4 untuk membersihkan virus ini baik di memory maupun di file yang terinfeksi Runouce. Atau memakai Antivirus lain yang dapat membersihkan infeksi Runouce.🙂

http://cmc.codenesia.com/cmc-ph-3-build-4-disinfector-runouce.aspx

About revil

i'm just a stupid who wanted to be better..

Posted on March 22, 2010, in Virus & Anti Virus and tagged . Bookmark the permalink. 7 Comments.

  1. tak coba dulu gan~ smoga berhasil deh ..cari dulu ptog nya soalnya udah di berhinpake AV gejalanya nya asih ada

  2. wah, sekarang lagi perang dengan virus ini😦
    semoga selesai

  3. waaaah… advance bgd=)
    sip2…

  4. thank bro…………punya g berhasil

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: