Senin, November 09, 2009

Bagi yang ingin langsung basmi virus, download file antivirusnya di sini , bagi yang ingin baca panduan cara pakai antivirusnya di sini.

Bagi yang ingin semi-manual bersihinnya dan pingin tau apa itu Brontok, baca dulu artikel di bawah ini:

Pengenalan Virus Brontok
1. Virus ini menyamar sebagai sub folder master contoh : Folder Lucu maka virus ini akan menyamar sebagai sub folder Lucu.
2. Bedakan folder dengan virus, Jika itu bener folder maka folder tersebut tidak memiliki size, jika itu virus maka folder tersebut memiliki size, terus ada extention misal : Lucu.exe dan mempunyai size yang sama 42 KB pada setiap folder (virus). Jangan sekali2x meng-compile (Doble klik folder tersebut), jika itu di lakukan maka akan masuk ke register dan membuat sistem kerja windows mengalami gangguan.
3. Ciri komputer yang sudah terkena virus
- Di windows explorer menu Tools -> Folder Options tidak muncul.
- Jika menjalankan file/perintah tertentu seperti "cmd" maka komputer akan Restart sendiri
- Tidak bisa masuk ke regedit atau msconfig

Pencegahan awal jangan sharing Folder dan jangan asal double klik folder.!! (sumber: v3 boleh.com)

Rontokbro menyerbu Indonesia
Virus Lokal Kelas Dunia yang memiliki SMTP sendiri

Siapa bilang putra Indonesia tidak mampu bersaing dan berkiprah di dunia ? Lihat Teh Botol Sosro, Gudang Garam, Indomie dan Pacekap yang dimiliki oleh putra Indonesia yang menguasai pasar Indonesia dan mulai merambah pasar dunia. Kalau selama ini virus lokal seperti Kangen, Tabaru (Riyani Jangkaru), Lavist atau Kumis yang asli buatan Indonesia dapat digolongkan sebagai virus "kelas 2" karena penyebarannya mengandalkan UFD (USB Flash Disk) meminjam istilah yang digunakan Tabloid PC Plus dan mayoritas menyebar di Indonesia atau Asia Tenggara. Maka kini para pengguna internet Indonesia dan di belahan dunia lain seperti Amerika, Polandia, Spanyol, Jepang, Vietnam, Belanda, Hungaria, Swedia, Peru, Rusia dan Israel juga kebagian aksi virus baru yang diberi nama W32/Rontokbro@mm, sesuai dengan namanya maka anda tahu bahwa virus ini mampu menyebarkan dirinya dengan mass mailing (email massal) dan memupuskan "tradisi" virus lokal yang mengandalkan UFD sebagai sarana penyebaran utamanya. Banyak hal yang mengejutkan dari Rontokbro ini seperti kemampuan rekayasa sosial yang tinggi dan dapat dikatakan berciri asli Indonesia dan pertama kali digunakan oleh virus lokal seperti memalsukan "icon" dirinya sebagai file tidak berdosa baik sebagai file MS Office ataupun sebagai folder, melakukan bloking akses Registry Editor, melakukan restart komputer jika menemukan kata tertentu pada header browser, selektif dalam mengirim email bervirus (guna menghindari deteksi cepat oleh vendor sekuriti) sampai "mengerjai" Host file komputer lokal sehingga akses ke situs sekutiri tertentu menjadi terblokir.

Mengapa Rontokbro

Tentunya anda bertanya, kok namanya susah amat Rontokbro ? Apa maksudnya mengakibatkan komputernya si Bro Rontok ? . Atau apa alasan lain ? Menurut pengamatan teknisi laboratorium virus Vaksincom, ternyata pembuat virus ini mendapatkan ilham membuat virus ini dari satwa langka Indonesia, Elang Brontok yang memiliki nama latin Spizaetus cirrhatus, selain itu rupanya pembuat virus Rontokbro (yang disinyalir berasal dari salah satu universitas pemerintah di Jawa Barat) juga menyebarkan pesan anti korupsi, anti freesex dan anti pencemaran lingkungan dalam email yang dikirimkannya dengan lampiran kangen.exe. Apakah pembuat virus ini sama dengan pembuat Kangen, atau ia hanya membonceng kepopuleran virus Kangen agar dirinya dapat menyebar dengan baik, yang jelas menurut statistik Vaksincom penyebaran Rontokbro saat ini sudah mengalahkan Kangen.

Detail Email yang mengandung virus Rontokbro

Adapun email yang mengandung virus Rontokbro ini memiliki ciri-ciri sebagai berikut :

From: [Dipalsukan]
Subject: kosong
Message:
BRONTOK.A [ By: HVM**-Jowo*** #** Community ]
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM**-Jowo*** #** Community--

Attachment:
Kangen.exe

Uniknya, rontokbro akan menghindari pengiriman email ke alamat-alamat dengan domain sebagai berikut :

PLASA
TELKOM
INDO
.CO.ID
.GO.ID
.MIL.ID
.SCH.ID
.NET.ID
.OR.ID
.AC.ID
.WEB.ID
.WAR.NET.ID
ASTAGA
GAUL
BOLEH
EMAILKU
SATU

Apa alasan di balik aksinya ini ? Apakah untuk mengurangi lalulintas email lokal atau pembuatnya merasa cukup "pede" dimana penyebaran lokal diserahkan pada UFD sehingga tidak perlu mengandalkan penyebaran via email karena toh penyebaran via warnet jauh lebih efektif dibandingkan melalui email. Yang jelas Rontokbro yang disebarkan ke domain di luar Indonesia mencatat "prestasi" yang cukup baik (untuk ukuran Indonesia) dan berhasil menyebar kenegara lain. Hebatnya lagi, antivirus top tidak mengenali virus ini dan menurut catatan Vaksincom, versi Rontokbro yang dikenali oleh antivirus hanya versi awal W32/Rontokbro.A@mm dan W32/RontokbroB.@mm saja. Padahal varian Rontokbro yang diterima oleh Vaksincom dan dapat dikenali oleh Norman Virus Control sudah sampai varian ke 7 W32/Rontrokbro.G@mm.

Satu kehebatan lain dari Rontokbro adalah kemampuannya untuk mencari SMTP server guna mengirimkan kopi dirinya dan ia juga menggunakan SMTP engine sendiri untuk mengirimkan dirinya pada semua alamat email yang berhasil dikumpulkannya dari komputer yang terinfeksi.

Komputer restart terus menerus

Bagaimana kita bisa mengetahui bahwa komputer sudah terinfeksi Rontokbro ? Selain melakukan beberapa perubahan pada registri yang mengakibatkan pemblokiran pada akses Registry Editor sehingga anda tidak bisa membuka regedit.exe, Rontokbro juga menyebabkan komputer restart terus menerus. Biang keladinya bukan eksploitasi celah keamanan seperti Sasser, melainkan karena Rontokbro melakukan restart pada komputer setiap kali menemukan aplikasi dengan nama :

..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE

dimana tujuan dari aksi ini adalah jelas untuk memproteksi dirinya supaya tidak mudah dibasmi.

Selain itu Rontokbro juga berusaha menyerang website

israel.gov.il
playboy.com

dengan cara membanjiri dengan ping. Namun dampak dari aktivitas ini hanya akan terasa kalau komputer yang terinfeksi mencapai jumlah yang sangat banyak (e.g. 10.0000 komputer) yang pada kasus tertentu dapat mengakibatkan website yang diserang menjadi lumpuh /down.

Bagaimana kalau saya sudah terinfeksi Rontokbro

Pembersihan Rontokbro sebaiknya dilakukan melalui “safe mode” karena jika mencoba pembersihan melalui mode “normal” komputer akan langsung restart begitu komputer dijalankan.

1. Lakukan pembersihan melalui “safe mode”
2. Scan komputer dengan Norman Virus Control update terakhir. Bagi anda yang belum neggunakan Norman Virus Control, silahkan download ke http://www.norman.com/Download/Trial_versions/en-us (jangan lupa masukkan email anda yang valid untuk menerima License Trial) dan bersihkan semua file yang terdeteksi sebagai W32/Rontokbro@mm dan variannya


3. Untuk mengaktifkan kembali fungsi registry editor hapus value:
* DisableRegistryTools =1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Untuk lebih mudahnya gunakan tools dari HijackThis, tools tersebut dapat

didownload dialamat :

http://www.spywareinfo.com/~merijn/downloads.html

Setelah dijalankan, cari option HKCU\Software\Microsoft\Windows\CurrentVersion\Policies, DisableRegedit=1, kemudian klik [Fix checked]


Hapus registri :

* Bron-Spizaetus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
* Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* Disable CMD=0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Untuk mengembalikan option [Folder option] pada windows explore, hapus string registry:

* NoFolderOptions=dword:00000001
pada registry key
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

4. Hapus opsi pada menu [Startup] pada msconfig
o NorBtok
o Smss
o Empty

Hapus Schedule Task yang dibuat oleh W32/RontokBro.B

o Buka [Windows Explorer]
o Klik [Control Panel]
o Klik 2 kali [Schedule Tasks]







Di atas adalah tampilan kalau anda terkena Brontok (Rontokbro)

Satu cara yang efektif untuk mencegah Rontokbro adalah dengan menggunakan antivirus yang memberikan support lokal sehingga definisinya dapat mengimbangi munculnya varian baru Rontokbro yang sampai saat ini masih terus dikeluarkan. tapi kalau anda ingin manual, berikut adalah cara membersihkan Rontokbro:

1. Lakukan pembersihan melalui "safe mode"
2. Matikan proses virus

Untuk mematikan proses tersebut sebaiknya jangan menggunakan program pocket killbox atau HijackThis karena komputer akan langsung restart jika Anda menjalankan tools ini, kami sarankan untuk menggunakan tools lain seperti PROCEXP.EXE dapat didownload di situs http://www.sysinternals.com/Utilities/ProcessExplorer.html.

Hapus proses dengan cara "klik kanan nama proses" dan pilih "kill process tree", agar tidak salah dalam penghapusan cari proses yang mempunyai icon "folder", seperti
- smss.exe
- services.exe
- winlogon.exe

Atau Anda juga dapat melakukan langkah berikut:

a. Restart komputer dan masuk dalam mode "safe mode with command prompt", dengan cara menekan tombol [F8] ketika komputer restart, hal ini dimaksudkan agar virus Rontokbro tidak aktif pada posisi "safe mode" dan komputer tidak melakukan restart selama proses pembersihan.

b. Setelah masuk mode "Command Prompt" tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu [File] pilih [New Task (Run..), kemudian ketik [explorer] pada jendela [create new task file] setelah itu klik enter.

c. Kemudian akan muncul layar desktop (layaknya masuk ke mode "safe mode")

d. Aktifkan kembali fungsi registry editor dan hapus string yang dibuat oleh virus, tulis script seperti yang ada pada angka [3], kemudian simpan menjadi nama file "repair.inf", setelah itu jalankan file tersebut dengan cara: klik kanan file [repair.inf] kemudiani pilih [install]

e. Hapus option [Smss], [Empty] dan [Sempalong] pada msconfig ditabulasi [startup)

f. Agar "Folder option" pada windows explorer dapat muncul, restart kembali komputer dan lakukan seperti langkah pada point (a dan b)

g. Setelah komputer masuk ke mode "safe mode" tampilkan semua file yang disembunyikan (lakukan perubahan ini pada "folder option", lihat point [5], selanjutnya ikuti petunjuk pembersihan Rontokbro seperti yang ada pada point (6-9)


3. Tulis script berikut dan simpan di notepade beri nama file repair.inf, jalankan file tersebut (klik kanan [repair.inf] pilih [install]), hal ini dimaksudkan untuk mengaktifkan kembali fungsi registry editor, menampilkan kembali [folder option] serta menghapus string yang telah dibuat oleh virus:

[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,"Explorer.exe"

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus

4. Restart komputer dan masuk kembali ke mode "safe mode" jangan ke posisi "normal" karena file induk dari virus ini masih ada (eksplorasi.exe dan sempalong.exe)

5. Tampilkan file yang disembunyikan, lakukan perubahan pada [folder Option]

6. Hapus file yang dibuat oleh Rontokbro
- C:\Windows dengan, nama file eksplorasi.exe (hidden)
- C:\windows\shellnew, dengan nama sempalong.exe(hidden)
- C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden)
- C:\Windows\pss, dengan nama file [Empty.pifStartup]
- C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file:
- Bron.tok-[x]-[y], di mana [X] dan [Y] menunjukan angka
-- Loc.Mail.Bron.Tok
-- Ok-SendMail-Bron-tok
-- csrss.exe
-- inetinfo.exe
-- Kosong.Bron.Tok.txt
-- lsass.exe
-- NetMailTmp.bin
-- services.exe
-- smss.exe
-- Update.3.Bron.Tok.bin
-- winlogon.exe
-- smss.exe

7. Edit kembali file autoexec.bat di direktori C:\ dan hapus baris perintah [pause]

8. Hapus scheduled tasks yang dibuat oleh Rontokbro (klik [Start], [Settings], [Control Panel], kemudian klik 2 kali menu [scheduled tasks].

9. Hapus file yang dibuat oleh virus, untuk lebih cepatnya gunakan fasilitas [search]

- Klik [Start]
- Klik [Search], kemudian klik [For Files or Folders]
- Kemudian pilih [All files or Folders]
- Klik option [What size is it ?]
- Kemudian pilih option [Specify Size (in Kb)]
- Pada kombo Box, pilih [At most] kemdian isi ukuran file dengan angka [43], setelah itu klik [Search]
- Setelah proses pencarian selesai, sortir berdasarkan ukuran (size), kemudian hapus file yang mempunyai ukuran 42 kb, jangan sampai terjadi kesalahan dalam penghapusan file karena ada beberapa file windows yang mempunyai ukuran 42 kb, cari file yang icon folder dengan extension. EXE.

10. Untuk pembersihan lebih cepat sebaiknya Anda gunakan antivirus yang sudah dapat mengenali Rontokbro.N jangan lupa update antivirus yang terinstall, sebagai informasi antivirus Norman dengan up-date terakhir sudah dapat menganali virus ini dengan baik.

Kalau cara di atas kurang jelas atau detil, anda bisa lihat manual yang lebih komplit di sini

Tips terhindar dari serangan virus lokal:

1. Jangan sembarangan dalam melakukan pertukaran data melalui disket/usb
2. Pastikan disket/USB Flash Drive bersih dari virus dengan melakukan scan terhadap disket/usb sebelum digunakan.
3. Kenali jenis file yang akan dijalankan
4. Biasakan untuk menampilkan extensi file, hal ini dimaksudkan untuk mengetahui jenis file sebelum dijalankan.
5. Rajin mengikuti perkembangan virus
6. Install antivirus yang mempunyai dukungan lokal dan update otomatis

Tidak ada komentar:

Posting Komentar

Related Posts Plugin for WordPress, Blogger...