Friends

Wednesday, December 15, 2010

Harddisk Tiba-tiba Penuh? Worm Mungkin Biang Keladinya

Bahkan saya mengalami sendiri ketika memperbaiki komputer seorang klien. Harddisk secara janggal menjadi penuh! Sore itu seorang klien langganan saya meminta saya segera datang ke tempatnya, karena komputernya berulah. Dia tidak bisa menyimpan file di harddisk.
Maka saya segera datang dan langsung memeriksa komputernya. Seperti biasa satu demi satu utiliti saya aktifkan guna mendukung pemeriksaan awal ini.
Dan memang harddisk tinggal tersisa kurang lebih 20 Mb dari 160 GB!
Saya tanyakan kepada si pengguna, apakah ada file besar yang baru-baru ini disimpan di harddisk? Dia jawab tidak ada, dan harddisk itu baru saja dibelinya beberapa bulan lalu dan sebelumnya masih tersisa banyak ruang kosong.
Oke, karena ini permasalahan harddisk space, langkah awal tentu saja memeriksa populasi penduduk di harddisk menggunakan Windirstat.
Dengan Windirstat file-file yang bercokol di harddisk ditampilkan dalam bentuk grafis, sehingga terlihat siapa yang paling “gemuk” diantara file-file ini.

Gambar ilustrasi software Windirstat
Selidik punya selidik ternyata ada satu file janggal yang bernama winsta.exe. File ini berada di direktori c:\windows\system32\ dan berukuran > 5GB!
Tentu saja di Windirstat file berukuran besar ini terlihat dengan grafis kotak besar dominan
Karena sedikit banyak saya sudah hapal dengan karakteristik Windows XP, maka sudah jelas bagi saya file winsta.exe ini tidak diinginkan disini. Lagi pula dari sejarahnya tidak ada file Windows tunggal yang berukuran besar seperti ini, kecuali swap file (pagefile.sys) dan file hibernasi (hiberfil.sys). tapi itu pun disesuaikan dengan kebutuhan pengguna.
Maka jelas sudah permasalahan klien saya yang tidak bisa menyimpan file ini karena harddisk memang sudah bengkak bin penuh sehingga tidak bisa menyimpan lagi.
Winsta.exe ini menurut blog Technet Microsoft dikategorikan sebagai worm Stuxnet. Jadi semestinya anti virus yang terupdate bisa mendeteksi worm ini.
Baik, bagaimana cara mengatasi worm stuxnet ini?
1. Update anti virus anda, dan scan di safe mode. Syukur-syukur anti virus anda bisa mengenali dan membersihkan sistem.
2. Kembali ke booting normal dan lihat di direktori c:\windows\system32\ dan lihat apakah masih ada file winsta.exe yang bercokol. Bila masih ada, hapus secara manual (SHIFT+DELETE)
3. Cek entri startup dan proses yang berjalan di sistem dari kejanggalan-kejanggalan. Lihat entri terdahulu di blog ini yang berkaitan dengan cek entri startup, dan gunakan Procexp sebagai pengganti Task Manager bawaan Windows, karena Procexp lebih lengkap melihat proses yang berjalan di sistem
3. Bila sistem masih terjangkit worm Stuxnet, besar kemungkinan file winsta.exe ini datang lagi. Cara mencegah file winsta.exe datang lagi saya ada satu trik manjur:
- Buat file baru di c:\windows\system32\ bernama winsta.exe, dan ubah property nya menjadi READ ONLY
Namun trik diatas adalah trik terakhir bila worm masih membandel tidak dapat dihapus. Semestinya anti virus anda bisa mengatasi worm Stuxnet ini.
Dengan cara ini maka worm Stuxnet tidak akan bisa membuat file winsta.exe, karena; 1. Sudah ada file bernama winsta.exe (file kosong buatan kita), 2. File winsta.exe dummy kita ini punya atribut READ ONLY yang tidak dapat di-timpah (overwrite).
Demikian, semoga komputer anda sehat selalu :)

0 comments:

Post a Comment

#
### ###