linux.or.id

Jangan salah sangka dulu dengan judul di atas. Jelasnya, Mr Cool Face adalah salah satu jenis virus yang menyebar baru-baru ini dengan menginfeksi OS Windows. Tapi untungnya virus ini tidaklah sedemikian ganas seperti kata orang umumnya, hanya saja yang saya alami adalah cukup merepotkan saat akan menghapusnya. O-ya, ini adalah tulisan saya yang kesekian kalinya di linux.or.id ini, setelah beberapa lama berkutat dengan penyelesaian studi. Tapi, ngomong-ngomong... apa kaitannya Mr Cool Face dengan GNU/Linux? Baca sendiri aja deh...

Ceritanya, saya diserahin sebuah laptop Sony Vaio yang udah Vista compatible. Laptop tersebut kena virus. Enaknya tuh virus, kalau kursor diarahkan ke tombol Start, tombol Start nya goyang-goyang (dangdut kali ye...). Jengkelnya lagi, kalau mau masuk ke direktori C: lebih dalam, misalnya C:\Windows, eh kagak pernah dikasih akses. Paling-paling windows explorernya langsung ditutup. Gitu juga, kalau mau klik Tool > Folder Options, windows explorernya langsung menutup otomatis. Paling menjengkelkan adalah ketika tuh laptop tidak mau di shutdown. Kalau di shutdown malah muncul windows explorer, mana captionnya diganti dgn tulisan Mr Cool Face lagi... Tekan tombol power malah hibernate. Ya udah, gua tekan paksa tuh tombol power, hasilnya yah... windowsnya mati, tapi 'mati penasaran'.

Ide yang muncul di otak aku adalah..., gimana supaya virusnya dibersihkan secara offline? Mau bongkar harddisk utk dipasang di kompi lain, kagak bisa... masalahnya ini kan laptop. Emang sih bisa, tapi laptopnya masih ada garansi, masih ada label dari toko ama perusahaannya. Satu jalan yang tersisa di otak adalah menggunakan GNU/Linux yang punya akses tulis ke NTFS. Wah..., untungnya aku punya Kuliax 6.0. Memang sih, Knoppix versi terbaru juga punya akses tulis ke NTFS, tapi aku belon punya tuh...

Segera booting Kuliaxnya. Gua mount tu harddisk laptop (kebetulan terbaca sebagai /dev/sda2 –berarti hd SATA dong...). Tapi ada pesan error. Katanya gak bisa... alasannya karena tidak terumount dengan bagus. Yah pastilah, kan namanya Windows 'mati penasaran'. Terpaksa aku harus chkdsk dong... Udah, aku pake aja CD Setup Windows XP Pirated Edition yang gua punya. Setelah chkdsk selama kurang lebih 2 jam (karena pake opsi fix bad sector), aku booting lagi dgn kuliax. Udah deh, berhasil mountnya dengan akses write!

Segera aku mencari file-file executable dgn ekstensi *.exe, *.scr yang punya nama-nama aneh, mulai dari direktori Documents and Settings, sampe Windows/* gua cari semuanya. Ukurannya 84 kb. Karena saya punya sampel ukurannya 84 kb. Cara saya ngambil sampel, saya colokin UFD ke laptop. Dan setelah saya lihat lagi, ternyata yang ada di UFD tersebut adalah file dengan ekstensi *.scr dan *.exe sebesar 84kb.

Sudah deh, setelah yakin semuanya bersih, saya langsung restart komputer masuk ke Windows. Yang bikin aku 'gembira' adalah... virusnya aktif lagi!!! Gak tau deh, file apa lagi yang ketinggalan di hapus. Karena aku sudah sedemikian telitinya (menurut aku sih...) dalam hal melihat file berdasarkan ukuran dan segera menghapusnya.

Boot lagi yang kedua kali dgn Kuliax. Kali ini aku cari file berdasarkan ukuran, juga berdasarkan tanggal modifikasi. Tau gak... koq virusnya ukurannya udah seratusan kb? Koq beda dgn yang pertama? Apa aku yang salah ambil sampel yah? Ternyata, usut punya usut, virus ini memang punya kemampuan mengkompres... katanya sih... jadi ukurannya bisa jadi membengkak. Ya udah, aku hapus semua virus –yang tadinya pada langkah pertama sudah dihapus, karena muncul lagi, yah terpaksa dihapus lagi.... Dan lagi-lagi, aku booting ulang ke Windows. Wah..., virusnya kali ini... KEMBALI AKTIF!!! Di pikiranku, berarti otak si virus belum kehapus kali yah...? Parahnya lagi, aku lihat jendela command prompt tampil buka-tutup berkali-kali. Pertanda si biang virus lagi memperbanyak diri lagi, untuk mengembalikan virus yang sudah ku hapus tadi... Reboot lagi deh...

Ke tiga kalinya, kulakukan langkah yang sama. Dan kali ini ukuran virus sudah bukan 84kb atau seratusan, tapi 200an kb. Ampun..., koq bisa yah...? Wajar aja nih aku tak tahu, aku kan bukan programmer bahasa C (soalnya katanya nih virus pake bahasa C utk compilernya). Untuk yang ketiga kalinya ini saya kembali merestart komputer ke windows dan kembali gejala yang sama: virus masih ada!

Yang ke empat kalinya, kulakukan langkah yang sama. Kali ini aku tidak melihat lagi berapa ukurannya! Yang saya lihat adalah tanggal modifikasi file, tanggal akses file dan tanggal file dibuat! Sudah ku hapus seluruh file yang mencurigakan. Aku restart komputer, tapi tidak masuk ke windows, masuk ke kuliax lagi. Masih trauma dengan virus yang kembali aktif. Mount lagi device /dev/sda2 dan ternyata ada satu file yang belum berhasil saya hapus! Lokasinya C:\explorer.exe, padahal saya yakin sudah kuhapus duluan deh yang ada di root direktori.

Booting ke Windows, alhamdulillah, virusnya gak kembali lagi. Tapi ada pesan error bahwa tidak ditemukan program C:\explorer.exe. Benar deh..., ternyata si dia itu biang keroknya, yang selalu diaktifkan saat login. Virus semua sudah di rm, masalahnya tinggal registry. Bicara windows, aku paling malas pake registry. Tidak kayak GNU/Linux yang pake file konfigurasi doang, tinggal diedit, udah deh...

Masalah yang timbul sepeninggal si empunya virus sama anak-cucunya adalah: gak bisa buka msconfig, regedit, notepad, wordpad, Windows Media Player, PCMAV, de-el-el. Akhirnya dengan melakukan rename file regedit.exe di %system32%, kemudian berbekal find key and delete, semua registry bisa dikembalikan ke keadaan semula.

Sebuah pekerjaan yang cukup melelahkan. Sebuah keuntungan menggunakan GNU/Linux Live CD untuk keperluan resque. O-ya, virus ini namanya Mr Cool Face. Ikon yang digunakannya adalah ikon untuk file JPEG. Ukurannya 84 kb (gak tahu benar apa salah, yang pasti yang ada di UFD yah segitu ukurannya). Menyebar di hampir seluruh penjuru Windows (untungnya saya pake mc yang super ringan karena berbasis teks, soalnya malas pake konqueror dan gak tahu pake find). Salut buat si pembuat Mr Cool Face, terima kasih kepada virusmu yang masih baik, gak ngehapus data-data orang.

O-ya, Kuliax mendukung Sony Vaio lho.... Resolusi yang saya gunakan 1280x800, suara yang muncul bagus lagi (soalnya speakernya sih lebar...). Sayangnya saya tidak berhasil mengetes game 3D, soalnya Kuliax gak nyertain game sih... :-(
Buat para pengembang Kuliax, saya tunggu versi berikutnya...!!!

Oke, sampai situ dulu info yang saya berikan... sori udah panjang lebar nih... anggap saja cerita teman yang udah lama gak ketemu. :-)
Wah, ada yang kelupaan, saya coba menjalankan sampel virus yang saya dapat dari UFD di Windows yang dijalankan dari Qemu, tapi hasilnya ketika saya running file exe maupun scr, qemu langsung stop. Gak bereaksi. Ada yang tahu kenapa? Saya pake Simply Mepis 6.0 lho untuk mengetesnya, qemunya sendiri dari paket Debian Sarge 3.1 (kurang tahu persis sih..., atau paket ekstras nya Ubuntu 6.10 kali...), tau ah gelap...!!! @(

Kabar dari KPLI Gorontalo..., baik-baik aja. Sayangnya sang ketua KPLI udah gak tau rimbanya di mana. Kalau kebetulan ketua KPLI Gorontalo baca blog ini, mohon kontak kami-kami dong... Soalnya mau minta bantuan lagi nih... kalau Debian Eft nya udah keluar, download dong... :-)
Saya sendiri maunya posting tulisan ini juga di website KPLI Gorontalo, cuman karena sang ketua merangkap divisi web gak tahu di mana sekarang berada, yah... posting di linux.or.id aja lah...

VIVA GNU/Linux...! Salam buat para pencinta dan pengguna Simply Mepis, Ubuntu, Debian GNU/Linux dan Kuliax tentunya!!!