1 operator Online  
  Home Berita
Tips
•    Pelihara Arsip Anda
•    SEMANGAT dan SUKSES
•    Tips Menjadi Karyawan yang Bisa Diandalkan di Kantor
•    Rumus Sukses
•    TIPS BANTU TEMAN DALAM KESULITAN
•    RAHASIA HUBUNGAN YANG SEHAT
•    TIP MUDIK BAGI YANG MEMBAWA KENDARAAN SENDIRI
•    Hidup Ini Sederhana Kok !!!!
•    KUMPULAN TIPS DAN TRIK MERONTOKAN VIRUS RONTOKBRO
•    Sabar Kunci Sukses!
KUMPULAN TIPS DAN TRIK MERONTOKAN VIRUS RONTOKBRO
28 February 2006, 11:16 am

Rontokbro menyerang Kangen dan Virus lokal?

Musik Indonesia menjadi tuan di rumah sendiri ? Kalau anda utarakan hal tesebut pada era 1980 - 1990 rasanya tidak banyak musisi lokal yang mampu bersaing dengan musisi luar. Tetapi hari ini ceritanya lain, musik dangdut secara de facto sudah memiliki pasar terbesar dan menjadi salah satu andalan utama stasiun TV lokal untuk menarik pemirsa. Begitupun dengan musik pop dan lainnya, fakta bahwa tidak sulit anda menemukan anak-anak kecil pengamen yang dengan fasih menyanyi \"Ada Apa .. Denganmu\" :) menunjukkan hal tersebut. Mirip seperti musik lokal, jika kita membicarakan hal ini di tahun 2004 dan sebelumnya maka statistik Vaksincom menunjukkan bahwa virus yang \"menguasai\" Indonesia > 95 % adalah virus luar negeri dan hanya sedikit sekali virus lokal yang mampu berbicara atau menampilkan dirinya. Katakan JohnMMX, W32/updater yang dikenal juga dengan nama Iworm Perkasa / Imelda, W32/Ganda.A@mm merupakan beberapa virus yang menampakkan dirinya pada era awal 2000. Namun satu hal yang menjadi catatan penting adalah virus lokal ini sangat jarang masuk ke dalam Top 10 dan hanya mampu \"Curi Curi Pandang\" karena tingkat penyebarannya sangat rendah.

Adalah Pesin yang pertama mampu \"Towel Towel\" Top 10 virus Indonesia dan diikuti oleh Kangen yang secara konsisten \"Towel Towel\" Top 10 virus yang paling banyak terdeteksi di Indonesia. Satu hal penyebab menurut pengamatan Vaksincom adalah karena konsistensi pembuat virus Kangen yang terus menerus menelurkan varian baru sampai hari ini dengan rekayasa sosial yang makin hari makin canggih dan praktis menjadikan Kangen sampai kuartal ke tiga 2005 tidak memiliki saingan yang berarti.

Memasuki kuartal ke empat 2005, muncul saingan Kangen yang tidak kalah canggih (untuk tidak mengatakan lebih canggih) dan \"juga\" secara konsisten diupdate oleh pembuatnya W32/Rontokbro@mm yang pada saat pembuatan artikel ini sudah mencapai varian ke 17 W32/Rontokbro.R. Virus yang dapat dipastikan merupakan kreasi salah satu mahasiswa dari Kota Kembang ini memang hebat, terbukti dengan kemampuannya masuk dalam jajaran elit Top 10 virus Indonesia untuk bulan September - Oktober 2005 dan hanya dikalahkan oleh veteran Funlove, Netsky dan Zafi yang semuanya merupakan virus luar. Satu hal yang menarik perhatian adalah dalam menjalankan aksinya, pada pembuat virus lokal ini seperti \"Air dan Api\" mulai menyerang virus lokal lain dimana selain menjalankan rutinnya menginfeksi komputer Rontokbro ternyata membasmi virus lokal lain seperti Kangen, Tabaru etc.

Meskipun tujuan pembuat virus ini diklaim bertujuan baik karena membasmi virus lain, tetapi apakah dibenarkan membasmi virus lain dengan menyebarkan virus baru ? Dikhawatirkan aksi ini hanya memicu perseteruan baru yang mirip pertempuran Netsky VS Bagle yang saling menyerang dan yang dapat dipastikan sebagai korban dan menderita paling hebat adalah pengguna komputer Indonesia, khususnya komunitas Warnet, sekolah dan kalangan bisnis di Indonesia yang notabene adalah pengguna komputer awam.

 

Virus VS Spyware, berimbang

Statistik bulan September dan Oktober 2005 menunjukkan penyebaran Spyware dan Virus dalam komposisi yang berimbang, dimana Virus menang tipis 4 % dan mengambil 52 % dari penyebaran Malware di Indonesia. Dibandingkan bulan Agustus 2005, Spyware mengalami peningkatan 5 % menjadi 48 % dari total insiden malware di Indonesia.

Salah satu penyebab meningkatnya insiden virus di bulan September - Oktober 2005 adalah karena kontribusi virus lokal yang dimotori oleh Rontokbro yang secara mengejutkan bercokol di posisi ke 4 dengan jumlah insiden 642 (4.5 %) mengalahkan Mytob, Redlof, dan WYX. Sedangkan Kangen memberikan kontribusi sebanyak 297 insiden (2.09 %).

Selain Rontokbro dan Kangen, sebenarnya ada tiga virus lokal yang muncul pada statistik Antivirus Vaksincom bulan September - Oktober 2005 yaitu peringkat (17) Pesin, (26) Fawn dan (30) Tabaru. Posisi Jawara insiden virus sendiri di ambil alih oleh W32/Funlove yang menrupakan virus lama yang berumur belasan tahun namun mampu bertahan sampai hari ini dengan jumlah insiden 3.667 (25.81 %) diikuti oleh Zafi 3.311 (23.30 %) pada peringkat ke dua.

Sedangkan jawara pada bulan Agustus Netsky harus puas di tempat ke tiga dengan jumlah insiden 2.754 (19.38 %) disusul oleh Rontokbro 642 (4.53 %), Mytob 472 (3.32), virus boot sector WYX 425 (2.99 %), Redlof 316 (2.22 %) berturut-turut pada posisi 4 sampai 7. Peringkat ke 8 ditempati oleh virus lokal legendaris Kangen 297 (2.09 %) diikuti oleh Mywife yang menampilkan gambar porno pada email bervirus 278 (1.96) dan ditutup oleh pendatang baru W32/Tenga.3666 yang mengeksploitasi delah keamanan RPC Dcom dan menyebarkan dirinya melalui jaringan dan memiliki kemampuan mengupdate dirinya seperti program antivirus.

 

Gator, buaya imut-imut yang berbahaya

Jika dibandingkan dengan bulan Agustus 2005, Spyware tidak mengalami banyak perubahan dan hanya terjadi pergeseran / tukar tempat saja. Adalah Gator, spyware dengan icon buaya yang memimpin peringkat pertama dengan total 2.505 insiden (19.18 %) menggantikan Istbar yang tergeser ke peringkat 3 dengan insiden 1.423 (10.90 %). Peringkat dua ditempati oleh spyware Agent yang melompat dari posisi 15 dengan total insiden 1.499 (11.48 %) yang melengserkan Dyfuca ke peringkat 5, 999 insiden (7.65 %). Winad yang pada bulan sebelumnya menempati posisi 5 dengan insiden 1.027 (7.86) bergerak naik sedikit melemparkan Lop keluar dari daftar Spyware paling ganas se Indonesia. Untuk informasi detail penyebaran Spyware di Indoensia.

Issue terakhir selain penyebaran Rontokbro yang meluas khususnya di kota Kembang dimana Vaksincom mengalami ribuan permintaan download Norman Virus Control adalah juga tentang aksi Sony Corporation yang menggunakan rootkit menginstalkan dirinya dari beberapa CD yang dikeluarkan oleh Sony yang dijalankan oleh PC dimana setelah menginstalkan dirinya, software ini akan berusaha menyembunyikan dirinya ke harddisk dan menempatkan atributnya sebagai hidden (tersembunyi).

Teknik ini sebenarnya biasa terjadi di dunia spyware tetapi yang memalukan adalah karena hal ini dilakukan oleh perusahaan besar sekelas Sony. Teknologi Sandbox dari Norman Virus Control mampu mendeteksi teknik ini sehingga para pengguna Norman tidak perlu khawatir atas serangan ini. Dikhawatirkan, pembuat virus atau spyware meniru cara ini untuk menyembunyikan diri dan aktivitasnya dimasa depan.

 

Rontokbro menyerbu Indonesia 13 November 2005

Virus Lokal Kelas Dunia yang memiliki SMTP sendiri

Siapa bilang putra Indonesia tidak mampu bersaing dan berkiprah di dunia ? Lihat Teh Botol Sosro, Gudang Garam, Indomie dan Pacekap yang dimiliki oleh putra Indonesia yang menguasai pasar Indonesia dan mulai merambah pasar dunia. Kalau selama ini virus lokal seperti Kangen, Tabaru (Riyani Jangkaru), Lavist atau Kumis yang asli buatan Indonesia dapat digolongkan sebagai virus \"kelas 2\" karena penyebarannya mengandalkan UFD (USB Flash Disk) meminjam istilah yang digunakan Tabloid PC Plus :) dan mayoritas menyebar di Indonesia atau Asia Tenggara.

Maka kini para pengguna internet Indonesia dan di belahan dunia lain seperti Amerika, Polandia, Spanyol, Jepang, Vietnam, Belanda, Hungaria, Swedia, Peru, Rusia dan Israel juga kebagian aksi virus baru yang diberi nama W32/Rontokbro@mm, sesuai dengan namanya maka anda tahu bahwa virus ini mampu menyebarkan dirinya dengan mass mailing (email massal) dan memupuskan \"tradisi\" virus lokal yang mengandalkan UFD sebagai sarana penyebaran utamanya.

Banyak hal yang mengejutkan dari Rontokbro ini seperti kemampuan rekayasa sosial yang tinggi dan dapat dikatakan berciri asli Indonesia dan pertama kali digunakan oleh virus lokal seperti memalsukan \"icon\" dirinya sebagai file tidak berdosa baik sebagai file MS Office ataupun sebagai folder, melakukan bloking akses Registry Editor, melakukan restart komputer jika menemukan kata tertentu pada header browser, selektif dalam mengirim email bervirus (guna menghindari deteksi cepat oleh vendor sekuriti) sampai \"mengerjai\" Host file komputer lokal sehingga akses ke situs sekutiri tertentu menjadi terblokir.

 

Mengapa Rontokbro

Tentunya anda bertanya, kok namanya susah amat Rontokbro? Apa maksudnya mengakibatkan komputernya si Bro Rontok ? :). Atau apa alasan lain ? Menurut pengamatan teknisi laboratorium virus Vaksincom, ternyata pembuat virus ini mendapatkan ilham membuat virus ini dari satwa langka Indonesia, Elang Brontok yang memiliki nama latin Spizaetus cirrhatus, selain itu rupanya pembuat virus Rontokbro (yang disinyalir berasal dari salah satu universitas pemerintah di Jawa Barat) juga menyebarkan pesan anti korupsi, anti freesex dan anti pencemaran lingkungan dalam email yang dikirimkannya dengan lampiran kangen.exe. Apakah pembuat virus ini sama dengan pembuat Kangen, atau ia hanya membonceng kepopuleran virus Kangen agar dirinya dapat menyebar dengan baik, yang jelas menurut statistik Vaksincom penyebaran Rontokbro saat ini sudah mengalahkan Kangen. Elang Brontok merupakan satwa burung khas Indonesia yang patut dibanggakan karena memiliki keunikan morphologi yang tidak dimiliki burung lainnya di dunia.

 

Detail Email yang mengandung virus Rontokbro

Adapun email yang mengandung virus Rontokbro ini memiliki ciri-ciri sebagai berikut :

 

From: [Dipalsukan]

Subject: kosong

Message:

 

BRONTOK.A [ By: HVM**-Jowo*** #** Community ]

-- Hentikan kebobrokan di negeri ini --

1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA ( Send to \"NUSAKAMBANGAN\")

2. Stop Free Sex, Absorsi, & Prostitusi

3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.

4. SAY NO TO DRUGS !!!

-- KIAMAT SUDAH DEKAT --

Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah

[By: HVM**-Jowo*** #** Community--]

 

Attachment:

Kangen.exe

 

Uniknya, rontokbro akan menghindari pengiriman email kealamat-alamat dengan domain sebagai berikut: PLASA, TELKOM, INDO, .CO.ID, .GO.ID, .MIL.ID, .SCH.ID, .NET.ID, .OR.ID, .AC.ID, .WEB.ID, .WAR.NET.ID, ASTAGA, GAUL, BOLEH, EMAILKU, SATU. Apa alasan di balik aksinya ini? Apakah untuk mengurangi lalulintas email lokal atau pembuatnya merasa cukup \"pede\" dimana penyebaran lokal diserahkan pada UFD sehingga tidak perlu mengandalkan penyebaran via email karena toh penyebaran via warnet jauh lebih efektif dibandingkan melalui email. Yang jelas Rontokbro yang disebarkan ke domain di luar Indonesia mencatat \"prestasi\" yang cukup baik (untuk ukuran Indonesia) dan berhasil menyebar kenegara lain.

Hebatnya lagi, antivirus top tidak mengenali virus ini dan menurut catatan Vaksincom, versi Rontokbro yang dikenali oleh antivirus hanya versi awal W32/Rontokbro.A@mm dan W32/RontokbroB.@mm saja. Padahal varian Rontokbro yang diterima oleh Vaksincom dan dapat dikenali oleh Norman Virus Control sudah sampai varian ke 7 W32/Rontrokbro.G@mm. Satu kehebatan lain dari Rontokbro adalah kemampuannya untuk mencari SMTP server guna mengirimkan kopi dirinya dan ia juga menggunakan SMTP engine sendiri untuk mengirimkan dirinya pada semua alamat email yang berhasil dikumpulkannya dari komputer yang terinfeksi.

 

Komputer restart terus menerus

Bagaimana kita bisa mengetahui bahwa komputer sudah terinfeksi Rontokbro? Selain melakukan beberapa perubahan pada registri yang mengakibatkan pemblokiran pada akses Registry Editor sehingga anda tidak bisa membuka regedit.exe, Rontokbro juga menyebabkan komputer restart terus menerus. Biang keladinya bukan eksploitasi celah keamanan seperti Sasser, melainkan karena Rontokbro melakukan restart pada komputer setiap kali menemukan aplikasi dengan nama:

.. .@, @., .ASP, .EXE, .HTM, .JS, .PHP, ADMIN, ADOBE, AHNLAB, ALADDIN, ALERT, ALWIL, ANTIGEN, APACHE, APPLICATION, ARCHIEVE, ASDF, ASSOCIATE, AVAST, AVG, AVIRA, BILLING@, BLACK, BLAH, BLEEP, BUILDER, CANON, CENTER, CILLIN, CISCO, CMD., CNET, COMMAND, COMMAND, PROMPT, CONTOH, CONTROL, CRACK, DARK, DATA, DATABASE, DEMO, DETIK, DEVELOP, DOMAIN, DOWNLOAD, ESAFE, ESAVE, ESCAN, EXAMPLE, FEEDBACK, FIREWALL, FOO@, FUCK, FUJITSU,GATEWAY, GOOGLE, GRISOFT, GROUP, HACK, HAURI, HIDDEN, HP., IBM., INFO@, INTEL., KOMPUTER, LINUX, LOG OFF WINDOWS, LOTUS, MACRO, MALWARE, MASTER, MCAFEE, MICRO, MICROSOFT, MOZILLA, MYSQL, NETSCAPE, NETWORK, NEWS, NOD32, NOKIA, NORMAN, NORTON, NOVELL, NVIDIA, OPERA, OVERTURE, PANDA, PATCH, POSTGRE, PROGRAM, PROLAND, PROMPT, PROTECT, PROXY, RECIPIENT, REGISTRY, RELAY, RESPONSE, ROBOT, SCAN, SCRIPT, HOST, SEARCH R, SECURE, SECURITY, SEKUR, SENIOR, SERVER, SERVICE, SHUT DOWN, SIEMENS, SMTP, SOFT, SOME, SOPHOS, SOURCE, SPAM, SPERSKY, SUN., SUPPORT, SYBARI, SYMANTEC, SYSTEM CONFIGURATION, TEST, TREND, TRUST, UPDATE, UTILITY, VAKSIN, VIRUS, W3., WINDOWS SECURITY.VBS, WWW, XEROX, XXX, YOUR, ZDNET, ZEND, ZOMBIE

Tujuan dari aksi ini adalah jelas untuk memproteksi dirinya supaya tidak mudah dibasmi. Selain itu Rontokbro juga berusaha menyerang website: israel.gov.il dan playboy.com Dengan cara membanjiri dengan ping. Namun dampak dari aktivitas ini hanya akan terasa kalau komputer yang terinfeksi mencapai jumlah yang sangat banyak (e.g. 10.0000 komputer) yang pada kasus tertentu dapat mengakibatkan website yang diserang menjadi lumpuh/down.

 

Bagaimana kalau saya sudah terinfeksi Rontokbro

Pembersihan Rontokbro sebaiknya dilakukan melalui \"safe mode\" karena jika mencoba pembersihan melalui mode \"normal\" komputer akan langsung restart begitu komputer dijalankan.

1.     Lakukan pembersihan melalui \"safe mode\".

2.     Scan komputer dengan Norman Virus Control update terakhir. Bagi anda yang belum neggunakan Norman Virus Control, silahkan download ke http://www.norman.com/Download/Trial_versions/en-us (jangan lupa masukkan email anda yang valid untuk menerima License Trial) dan bersihkan semua file yang terdeteksi sebagai W32/Rontokbro@mm dan variannya.

3.     Untuk mengaktifkan kembali fungsi registry editor hapus value:

DisableRegistryTools =1

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

Untuk lebih mudahnya gunakan tools dari HijackThis, tools tersebut dapat didownload dialamat:

http://www.spywareinfo.com/~merijn/downloads.html

 

Setelah dijalankan, cari option

HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies,

DisableRegedit=1, kemudian klik [Fix checked]

 

Gunakan HijackThis untuk membuka blokir regedit.exe yang dilakukan oleh Rontokbro

Hapus registry:

Bron-Spizaetus

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Tok-Cirrhatus

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Disable CMD=0

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

 

Untuk mengembalikan option [Folder option] pada windows explore, hapus string registry:

NoFolderOptions=dword:00000001

pada registry key:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

 

4. Hapus opsi pada menu [Startup] pada msconfig

- NorBtok

- Smss

- Empty

 

5. Hapus Schedule Task yang dibuat oleh W32/RontokBro.B

a. Buka [Windows Explorer]

b. Klik [Control Panles]

c. Klik 2 kali [Schedule Tasks]

 

 

How to remove Rontokbro.N

Virus lokal yang aktif di mode “safe mode”

Dewasa ini penyebaran virus lokal sudah semakin pesat, merekapun berlomba-lomba dalam membuat suatu virus sehingga varian-varian barupun bermunculan dengan sedikit modifikasi pada script yang mereka buat jadilah varian baru yang siap menyerang siapa saja dan kapan saja, walau media penyebaran yang digunakan masih sederhana tetapi terbukti masih efektif hal ini ditunjang dengan semakin banyaknya user yang menggunakan media disket/USB Flash Disk.

USB FlashDisk kini makin digemari dikalangan pengguna komputer karena mudah dibawa dan mempunyai kapasitas yang lebih besar dari pada disket serta mempunyai ukuran yang kecil, dengan adanya trend seperti ini rupanya dimanfaatkan oleh sebagian kecil orang sebagai media yang cocok dan mudah untuk menyebarkan virus yang mereka buat, maka lahirlah virus-virus lokal yang kita kenal sekarang ini.

Perkembangan virus lokal sebenarnya sudah dikenali sejak lama sejak jamannya virus Pesin, dari sinilah mulai bermunculan virus-virus lokal yang baru sebut saja Lavist, kangen, riyanni_jangkaru aau Tabaru, kumis, fawn yosa dan terakhir Rontokbro, itulah sebagian nama-nama virus lokal yang pernah menjadi “momok” dalam beberapa bulan yang lalu, walaupun sebagian besar antivirus sudah dapat mengenali virus tersebut tetapi karena penyebarannya terbatas dilingkungan tertentu maka jika ada varian dari virus tersebut akan sangatlah sulit untuk dideteksi olah karena itu sebaiknya gunakan antivirus yang mempunyai dukungan support lokal.

Dari sekian banyak virus lokal yang ada hanya 3 virus yang berhasil membumi yaitu Rontokbro, kangen dan fawn. Tetapi dari 3 jenis virus tersebut hanya Rontokbro yang mampu memberikan kerugian yang cukup besar dibandingkan dengan yang virus lokal yang lain. Dengan up-date terbaru antivirus Norman sudah dapat mengenali virus ini dengan baik.

 

Kelemah Safemode berhasil diketahui Rontokbro.

Rontokbro adalah jenis virus lokal pertama yang dapat menyebar melalui email berbeda dengan virus lokal lain yang hanya dapat menyebar melalui dikset/USB, Komputer yang terinfeksi Rontokbro akan melakukan restart hal ini sama seperti yang dilakukan oleh virus Kumis dan virus Sasser/Blaster, bedanya komputer yang terinfeksi Rontokbro akan restart jika menjalankan suatu program aplikasi tertentu seperti regedit, msconfig atau task manager, up-date pacth yang anda lakukan tidak akan membawa dampak apa-apa karena virus ini tidak mengeksploitasi celah keamanan seperti yang dilakukan oleh Sasser/Blaster proses restartnya pun tidak memunculkan hitungan mundur seperti yang dilakukan oleh virus Sasser/Blaster, satu hal yang menjadi kelebihan dari virus ini dimana walaupun komputer dalam  posisi “safe mode” komputer akan tetap restart jika menjalankan program aplikasi seperti regedit, msconfig bahkan ketika menjalankan tools seperti pocket Killbox atau HijackThis, dimana kita tahu jika komputer dijalankan dalam mode “safe mode” virus yang menginfeksi komputer tersebut tidak aktif, tetapi tidak halnya dengan Rontokbro suatu kemajuan yang luar biasa rupanya team pembuat Rontokbro sudah mengetahui titik kelemahan yang ada pada mode “safe mode”, lalu mengapa hal ini tidak digunakan oleh para pembuat virus non lokal bukankah mereka mempunyai pengalaman dan pengetahuan yang jauh lebih banyak ? Satu lagi jempol untuk pembuat Rontokbro.

Berdasarkan pemantauan yang dilakukan oleh Vaksincom (www.vaksin.com) banyak user yang terinfeksi virus Rontokbro, ini dibuktikan dengan banyaknya user yang berkonsultasi dengan Vaksincom baik melalui email, telepon maupun forum Vaksincomhttp://forum.vaksin.com dari sekian pengaduan yang ada sebagian besar mengeluhkan komputer mereka terinfeksi virus Rontokbro varian N dimana virus ini akan menyebabkan komputer restart walau dalam posisi “safe mode” sekalipun, oleh karena itu team Vaksincom mencoba untuk memberikan sedikit trik dan tips yang dapat digunakan untuk mengatasi virus Rontokbro apalagi bagi mereka yang belum menggunakan Norman Virus Control sehingga belum dapat mengenali varian ini dengan baik :).

Sebelum melangkah ke masalah bagaimana cara pembersihan Rontokbro ada baiknya mengetahui secara umum apa yang dilakukan oleh Rontokbro. File yang terinfeksi Rontokbro.N mempunyai ukuran sebesar 42kb dengan icon folder tetapi dengan extension EXE, jika dijalankan akan membuat beberapa file yaitu:

 

C:Windows dengan nama file eksplorasi.exe (hidden)

C:Windowsshellnew dengan nama sempalong.exe (hidden)

C:WINDOWSsystem32 dengan nama %username\"s Setting.scr (hidden)

C:Documents and Settings\\%user%Local SettingsApplication Data dengan nana file

            - Bron.tok-x-y, dimana x dan y menunukan angka

            - Loc.Mail.Bron.Tok, berisi alamat email yang diperoleh dari komputer yang terinfeksi

            - Ok-SendMail-Bron-tok, berisi email yang berhasil dikirim

            - csrss.exe

            - inetinfo.exe

            - Kosong.Bron.Tok.txt

            - lsass.exe

            - NetMailTmp.bin

            - services.exe

            - smss.exe

            - Update.3.Bron.Tok.bin

            - winlogon.exe

C:Documents and SettingsagleStart MenuProgramsStartup nama file Empty

C:Documents and settings\\%Users%Templates Brengkolang.com

 

Ciri-ciri Virus Rontokbro

Membuat file pada setiap folder dimana file ini mempunyai nama yang sama dengan folder tersebut dengan ciri-ciri

-      Icon yang digunakan berupa Folder

-      Ukuran file 42 Kb

-      Ekstension .EXE

 

Rontokbro juga akan melakukan perubahan pada file C:AUTOEXEC.BAT dengan menambahkan baris perintah “ PAUSE”. Agar Rontokbro dapat aktif  begitu komputer dinyalakan, ia akan membuat registry beberapa registry key yaitu:

 

Bron-Spizaetus

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Tok-Cirrhatus

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Shell dengan value Explorer.exe “C:WindowsEksplorasi.exe”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon,

 

Disable Registry editor

Seperti kebanyakan virus yang ada, virus ini juga akan  menonaktifkan program yang dimungkinkan dapat mempersingkat keberadaan “mereka” diantaranya fungsi  registry editor dengan menambahkan sebuah registry key:

DisableRegistryTools =1

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

Jika  fungsi registry editor dijalankan maka akan muncul pesan error. Pesan yang muncul jika komputer yang terinfeksi Rontokbro berusaha mengakses Registry Editor.

 

DisableCMD

Pada registry

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

Selain menambahkan string pada registry key, virus in juga akan menambahkan option di menu [startup] pada msconfig.

Sempalong

Smss

Empty

 

Menyembunyikan Folder Option

Rupanya virus ini belajar dari rekan-rekannya, dimana virus ini akan menghilangkan [folder options] pada menu [tools] pada [Windows explorer], sehingga user tidak akan bisa menampilkan setiap file yang disembunyikan (hidden) oleh virus tersebut, dengan menambahkan string value:

 

“NoFolderOptions\"=dword:00000001

pada registry key

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Folder Option yang dihilangkan oleh ROntokbro supaya user tidak bisa merubah settingan folder option

 

Task Schedule 5.08 PM

Rontonbrojuga akan membuat task schedule pada windows dimana schedule ini akan dijalankan  setiap jam 5.08 PM, dengan menjalankan file yang berada didirektori:

C:Documents and Settings\\%Users%Templates

Schedule yang dibuat oleh Rontokbro menjalankan file tertentu setiap 5:08 PM. Kemungkinan hal ini digunakan untuk mengupdate dirinya.

 

Restart Komputer Otomatis

Salah satu kelebihan yang dimiliki oleh Rontokbro adalah dapat menyebabkan komputer restart, jangan harap up-date patch dapat menyelesaikan masalah ini, hal ini disebabkan karena Rontokbro tidak mengeksploitasi celah keamanan seperti yang biasa digunakan oleh virus Sasser atau Blaster.

Rontokbro akan merestart komputer jika anda berusaha menjalankan suatu program tertentu seperti regedit, msconfig bahkan jika anda menjalankan software pengganti Task manager seperti pocket Killbox bahkan HijackThis dan salah satu kelebihan lain yang dimiliki adalah kemampuannya untuk merestart komputer walaupun dalam mode “safe mode” walapun, oleh karena itu dibutuhkan trik untuk menangani masalah tersebut. kemungkinan besar pembuat Rontokbro selalu mengikuti saran dan perkembangan terakhir sehingga ia akan makin sulit dibasmi karena selalu mengupdate dirinya.

 

 

Curi Alamat Email

Rontokbro akan mengambil alamat email pada semua file yang mengandung ext. .asp .cfm .csv .doc .eml .html .php .txt .wab

 

Lewat Disket/USB Flash Disk

Selain menyebar melaui email, Rontokbro juga akan menyebar melalui Disket/USB dengan membuat file pada folder/subfolder yang ada didisket/USB atau pada root USB itu sendiri, file yang diciptakan tersebut mempunyai ciri-ciri: Icon menyerupai Folder, Ukuran 42 Kb, Ext. EXE

Rontokbro juga akan mencoba untuk  melakukan koneksi dengan mengirimkan ping request ke salah satu situs dewasa seperti kaskus.com dan 17tahun.com, hal ini lah salah satu faktor yang dapat dapat memperlambat system komputer tetapi karena penyebaran koneksi internet di Indonesia relatif masih lambat, dampak dari hal ini akan kurang terasa pada user dialup rumahan karena tidak selalu terkoneksi dan dampak terbesar akses ke dua situs tersebut akan besar pengaruhnya jika komputer yang terkena Ronrokbro adalah komputer rumahan yang memiliki koneksi ADSL dan selalu terkoneksi ke internet, komputer Warnet atau kantor yang selalu terkoneksi ke internet.

Seperti layaknya antivirus, Rontokbro juga mencoba untuk  melakukan up-date ke salah satu situs yang sudah ditentukan, jadi jangan lengah sebaiknya up-date antivirus Anda agar tidak menjadi korban berikutnya dan jangan lupa agar tidak sembarangan dalam bertukar data melalui disket/usb satu tips yang mungkin berguna adalah dengan mengenali jenis file yang akan dijalankan, dan upayakan untuk selalu menampilkan ekstesi dari file tersebut agar dapat mengetahui type dari file tersebut. Satu cara yang efektif untuk mencegah Rontokbro adalah dengan menggunakan antivirus yang memberikan support lokal sehingga definisinya dapat mengimbangi munculnya varian baru Rontokbro yang sampai saat ini masih terus dikeluarkan.

 

Cara membersihkan Rontokbro

1.  Lakukan pembersihan melalui “safe mode”

2.  Matikan proses virus

Untuk mematikan proses tersebut sebaiknya jangan menggunakan program pocket killbox atau HijackThis karena komputer akan langsung restart jika anda menjalan kan tools ini, kami sarankan untuk menggunakan tools lain yang seperti PROCEXP.EXE dapat didownload di situs http://www.sysinternals.com/Utilities/ProcessExplorer.html

Hapus proses dengan cara \"klik kanan nama proses\" dan pilih \"kill  prosess tree\", agar tidak salah dalam penghapusan cari proses yang mempunyai icon \"folder\", seperti:

   - smss.exe

   - services.exe

   - winlogon.exe

 

Anda juga dapat melakukan langkah berikut:

a. Restart komputer dan masuk dalam mode \"safe mode with command prompt”, dengan cara menekan tombol [F8] ketika komputer restart, hal ini dimaksudkan agar virus Rontokbro tidak aktif pada posisi ”safe mode” dan komputer tidak melakukan restart selama proses pembersihan.

b. Setelah masuk mode ”Command Prompt” tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu [File] pilih [New Task (Run..), kemudian    ketik [explorer] pada jendela [create new task file] setelah itu klik enter.

c. Kemudian akan muncul layar desktop (layaknya masuk ke mode \"safe mode\")

d. Aktifkan kembali fungsi registry editor dan hapus string yang dibuat oleh virus, tulis script seperti yang ada pada angka [3], kemudian simpan menjadi nama file \"repair.inf\", setelah itu jalankan file tersebut dengan cara: klik kanan file [repair.inf] kemudiani pilih [install]

e. Hapus option [Smss], [Empty] dan [Sempalong] pada msconfig di tabulasi [startup)

f.  Agar ”Folder option” pada windows explorer dapat muncul, restart kembali komputer  dan lakukan seperti langkah pada point (a dan b)

g. Setelah komputer masuk ke mode \"safe mode\" tampilkan semua file yang disembuyikan (lakukan perubahan ini pada \"folder option\", lihat gambar yang ada pada point [5], selanjunya ikuti petunjuk pembersihan Rontokbro seperti yang ada pda point (6-9)

 

3.  Tulis script berikut dan simpan di notepade beri nama file repair.inf, jalankan file tersebut (klik kanan [repair.inf] pilih [install]), hal ini dimaksudkan untuk mengqaktifkan kembali fungsi registry editor, menampilkan kembali [folder option] serta menghapus string yang telah dibuat oleh virus

 

[Version]

Signature=\"$Chicago$\"

Provider=Vaksincom

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, SoftwareCLASSESatfileshellopencommand,,,\"\"\"%1\"\" %*\"

HKLM, SoftwareCLASSEScomfileshellopencommand,,,\"\"\"%1\"\" %*\"

HKLM, SoftwareCLASSESexefileshellopencommand,,,\"\"\"%1\"\" %*\"

HKLM, SoftwareCLASSESpiffileshellopencommand,,,\"\"\"%1\"\" %*\"

HKLM, SoftwareCLASSES egfileshellopencommand,,,\"regedit.exe \"%1\"\"

HKLM, SoftwareCLASSESscrfileshellopencommand,,,\"\"\"%1\"\" %*\"

HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, \"Explorer.exe\"

 

[del]

HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableRegistryTools

HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableCMD

HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer,NoFolderOptions

HKCU, SoftwareMicrosoftWindowsCurrentVersionRun,Tok-Cirrhatus

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun,Bron-Spizaetus

 

4.  Restart komputer dan masuk kembali ke mode \"safe mode\" jangan ke posiosi \"normal\" karena file induk dari virus ini masih ada (eksplorasi.exe dan sempalong.exe)

5.  Tampilkan file yang disembunyikan, lakukan perubahan ini pada [folder Option] untuk memunculkan kembali file hidden dengan Folder Option.

6.  Hapus file yang dibuat oleh Rontokbro


Sumber http://www.rontokbro.8rf.com/
[arsip berita/artikel]

 
Page created in: 0.028 seconds.