KUMPULAN TIPS DAN TRIK MERONTOKAN VIRUS RONTOKBRO
Rontokbro menyerang Kangen dan Virus lokal?
Musik Indonesia menjadi tuan di rumah sendiri ? Kalau anda utarakan hal tesebut pada era 1980 - 1990 rasanya tidak banyak musisi lokal yang mampu bersaing dengan musisi luar. Tetapi hari ini ceritanya lain, musik dangdut secara de facto sudah memiliki pasar terbesar dan menjadi salah satu andalan utama stasiun TV lokal untuk menarik pemirsa. Begitupun dengan musik pop dan lainnya, fakta bahwa tidak sulit anda menemukan anak-anak kecil pengamen yang dengan fasih menyanyi "Ada Apa .. Denganmu" :) menunjukkan hal tersebut. Mirip seperti musik lokal, jika kita membicarakan hal ini di tahun 2004 dan sebelumnya maka statistik Vaksincom menunjukkan bahwa virus yang "menguasai" Indonesia > 95 % adalah virus luar negeri dan hanya sedikit sekali virus lokal yang mampu berbicara atau menampilkan dirinya. Katakan JohnMMX, W32/updater yang dikenal juga dengan nama Iworm Perkasa / Imelda, W32/Ganda.A@mm merupakan beberapa virus yang menampakkan dirinya pada era awal 2000. Namun satu hal yang menjadi catatan penting adalah virus lokal ini sangat jarang masuk ke dalam Top 10 dan hanya mampu "Curi Curi Pandang" karena tingkat penyebarannya sangat rendah.
Adalah Pesin yang pertama mampu "Towel Towel" Top 10 virus Indonesia dan diikuti oleh Kangen yang secara konsisten "Towel Towel" Top 10 virus yang paling banyak terdeteksi di Indonesia. Satu hal penyebab menurut pengamatan Vaksincom adalah karena konsistensi pembuat virus Kangen yang terus menerus menelurkan varian baru sampai hari ini dengan rekayasa sosial yang makin hari makin canggih dan praktis menjadikan Kangen sampai kuartal ke tiga 2005 tidak memiliki saingan yang berarti.
Memasuki kuartal ke empat 2005, muncul saingan Kangen yang tidak kalah canggih (untuk tidak mengatakan lebih canggih) dan "juga" secara konsisten diupdate oleh pembuatnya W32/Rontokbro@mm yang pada saat pembuatan artikel ini sudah mencapai varian ke 17 W32/Rontokbro.R. Virus yang dapat dipastikan merupakan kreasi salah satu mahasiswa dari Kota Kembang ini memang hebat, terbukti dengan kemampuannya masuk dalam jajaran elit Top 10 virus Indonesia untuk bulan September - Oktober 2005 dan hanya dikalahkan oleh veteran Funlove, Netsky dan Zafi yang semuanya merupakan virus luar. Satu hal yang menarik perhatian adalah dalam menjalankan aksinya, pada pembuat virus lokal ini seperti "Air dan Api" mulai menyerang virus lokal lain dimana selain menjalankan rutinnya menginfeksi komputer Rontokbro ternyata membasmi virus lokal lain seperti Kangen, Tabaru etc.
Meskipun tujuan pembuat virus ini diklaim bertujuan baik karena membasmi virus lain, tetapi apakah dibenarkan membasmi virus lain dengan menyebarkan virus baru ? Dikhawatirkan aksi ini hanya memicu perseteruan baru yang mirip pertempuran Netsky VS Bagle yang saling menyerang dan yang dapat dipastikan sebagai korban dan menderita paling hebat adalah pengguna komputer Indonesia, khususnya komunitas Warnet, sekolah dan kalangan bisnis di Indonesia yang notabene adalah pengguna komputer awam.
Virus VS Spyware, berimbang
Statistik bulan September dan Oktober 2005 menunjukkan penyebaran Spyware dan Virus dalam komposisi yang berimbang, dimana Virus menang tipis 4 % dan mengambil 52 % dari penyebaran Malware di Indonesia. Dibandingkan bulan Agustus 2005, Spyware mengalami peningkatan 5 % menjadi 48 % dari total insiden malware di Indonesia.
Salah satu penyebab meningkatnya insiden virus di bulan September - Oktober 2005 adalah karena kontribusi virus lokal yang dimotori oleh Rontokbro yang secara mengejutkan bercokol di posisi ke 4 dengan jumlah insiden 642 (4.5 %) mengalahkan Mytob, Redlof, dan WYX. Sedangkan Kangen memberikan kontribusi sebanyak 297 insiden (2.09 %).
Selain Rontokbro dan Kangen, sebenarnya ada tiga virus lokal yang muncul pada statistik Antivirus Vaksincom bulan September - Oktober 2005 yaitu peringkat (17) Pesin, (26) Fawn dan (30) Tabaru. Posisi Jawara insiden virus sendiri di ambil alih oleh W32/Funlove yang menrupakan virus lama yang berumur belasan tahun namun mampu bertahan sampai hari ini dengan jumlah insiden 3.667 (25.81 %) diikuti oleh Zafi 3.311 (23.30 %) pada peringkat ke dua.
Sedangkan jawara pada bulan Agustus Netsky harus puas di tempat ke tiga dengan jumlah insiden 2.754 (19.38 %) disusul oleh Rontokbro 642 (4.53 %), Mytob 472 (3.32), virus boot sector WYX 425 (2.99 %), Redlof 316 (2.22 %) berturut-turut pada posisi 4 sampai 7. Peringkat ke 8 ditempati oleh virus lokal legendaris Kangen 297 (2.09 %) diikuti oleh Mywife yang menampilkan gambar porno pada email bervirus 278 (1.96) dan ditutup oleh pendatang baru W32/Tenga.3666 yang mengeksploitasi delah keamanan RPC Dcom dan menyebarkan dirinya melalui jaringan dan memiliki kemampuan mengupdate dirinya seperti program antivirus.
Gator, buaya imut-imut yang berbahaya
Jika dibandingkan dengan bulan Agustus 2005, Spyware tidak mengalami banyak perubahan dan hanya terjadi pergeseran / tukar tempat saja. Adalah Gator, spyware dengan icon buaya yang memimpin peringkat pertama dengan total 2.505 insiden (19.18 %) menggantikan Istbar yang tergeser ke peringkat 3 dengan insiden 1.423 (10.90 %). Peringkat dua ditempati oleh spyware Agent yang melompat dari posisi 15 dengan total insiden 1.499 (11.48 %) yang melengserkan Dyfuca ke peringkat 5, 999 insiden (7.65 %). Winad yang pada bulan sebelumnya menempati posisi 5 dengan insiden 1.027 (7.86) bergerak naik sedikit melemparkan Lop keluar dari daftar Spyware paling ganas se Indonesia. Untuk informasi detail penyebaran Spyware di Indoensia.
Issue terakhir selain penyebaran Rontokbro yang meluas khususnya di kota Kembang dimana Vaksincom mengalami ribuan permintaan download Norman Virus Control adalah juga tentang aksi Sony Corporation yang menggunakan rootkit menginstalkan dirinya dari beberapa CD yang dikeluarkan oleh Sony yang dijalankan oleh PC dimana setelah menginstalkan dirinya, software ini akan berusaha menyembunyikan dirinya ke harddisk dan menempatkan atributnya sebagai hidden (tersembunyi).
Teknik ini sebenarnya biasa terjadi di dunia spyware tetapi yang memalukan adalah karena hal ini dilakukan oleh perusahaan besar sekelas Sony. Teknologi Sandbox dari Norman Virus Control mampu mendeteksi teknik ini sehingga para pengguna Norman tidak perlu khawatir atas serangan ini. Dikhawatirkan, pembuat virus atau spyware meniru cara ini untuk menyembunyikan diri dan aktivitasnya dimasa depan.
Rontokbro menyerbu Indonesia 13 November 2005
Virus Lokal Kelas Dunia yang memiliki SMTP sendiri
Siapa bilang putra Indonesia tidak mampu bersaing dan berkiprah di dunia ? Lihat Teh Botol Sosro, Gudang Garam, Indomie dan Pacekap yang dimiliki oleh putra Indonesia yang menguasai pasar Indonesia dan mulai merambah pasar dunia. Kalau selama ini virus lokal seperti Kangen, Tabaru (Riyani Jangkaru), Lavist atau Kumis yang asli buatan Indonesia dapat digolongkan sebagai virus "kelas 2" karena penyebarannya mengandalkan UFD (USB Flash Disk) meminjam istilah yang digunakan Tabloid PC Plus :) dan mayoritas menyebar di Indonesia atau Asia Tenggara.
Maka kini para pengguna internet Indonesia dan di belahan dunia lain seperti Amerika, Polandia, Spanyol, Jepang, Vietnam, Belanda, Hungaria, Swedia, Peru, Rusia dan Israel juga kebagian aksi virus baru yang diberi nama W32/Rontokbro@mm, sesuai dengan namanya maka anda tahu bahwa virus ini mampu menyebarkan dirinya dengan mass mailing (email massal) dan memupuskan "tradisi" virus lokal yang mengandalkan UFD sebagai sarana penyebaran utamanya.
Banyak hal yang mengejutkan dari Rontokbro ini seperti kemampuan rekayasa sosial yang tinggi dan dapat dikatakan berciri asli Indonesia dan pertama kali digunakan oleh virus lokal seperti memalsukan "icon" dirinya sebagai file tidak berdosa baik sebagai file MS Office ataupun sebagai folder, melakukan bloking akses Registry Editor, melakukan restart komputer jika menemukan kata tertentu pada header browser, selektif dalam mengirim email bervirus (guna menghindari deteksi cepat oleh vendor sekuriti) sampai "mengerjai" Host file komputer lokal sehingga akses ke situs sekutiri tertentu menjadi terblokir.
Mengapa Rontokbro
Tentunya anda bertanya, kok namanya susah amat Rontokbro? Apa maksudnya mengakibatkan komputernya si Bro Rontok ? :). Atau apa alasan lain ? Menurut pengamatan teknisi laboratorium virus Vaksincom, ternyata pembuat virus ini mendapatkan ilham membuat virus ini dari satwa langka Indonesia, Elang Brontok yang memiliki nama latin Spizaetus cirrhatus, selain itu rupanya pembuat virus Rontokbro (yang disinyalir berasal dari salah satu universitas pemerintah di Jawa Barat) juga menyebarkan pesan anti korupsi, anti freesex dan anti pencemaran lingkungan dalam email yang dikirimkannya dengan lampiran kangen.exe. Apakah pembuat virus ini sama dengan pembuat Kangen, atau ia hanya membonceng kepopuleran virus Kangen agar dirinya dapat menyebar dengan baik, yang jelas menurut statistik Vaksincom penyebaran Rontokbro saat ini sudah mengalahkan Kangen. Elang Brontok merupakan satwa burung khas Indonesia yang patut dibanggakan karena memiliki keunikan morphologi yang tidak dimiliki burung lainnya di dunia.
Detail Email yang mengandung virus Rontokbro
Adapun email yang mengandung virus Rontokbro ini memiliki ciri-ciri sebagai berikut :
From: [Dipalsukan]
Subject: kosong
Message:
BRONTOK.A [ By: HVM**-Jowo*** #** Community ]
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA ( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah
[By: HVM**-Jowo*** #** Community--]
Attachment:
Kangen.exe
Uniknya, rontokbro akan menghindari pengiriman email kealamat-alamat dengan domain sebagai berikut: PLASA, TELKOM, INDO, .CO.ID, .GO.ID, .MIL.ID, .SCH.ID, .NET.ID, .OR.ID, .AC.ID, .WEB.ID, .WAR.NET.ID, ASTAGA, GAUL, BOLEH, EMAILKU, SATU. Apa alasan di balik aksinya ini? Apakah untuk mengurangi lalulintas email lokal atau pembuatnya merasa cukup "pede" dimana penyebaran lokal diserahkan pada UFD sehingga tidak perlu mengandalkan penyebaran via email karena toh penyebaran via warnet jauh lebih efektif dibandingkan melalui email. Yang jelas Rontokbro yang disebarkan ke domain di luar Indonesia mencatat "prestasi" yang cukup baik (untuk ukuran Indonesia) dan berhasil menyebar kenegara lain.
Hebatnya lagi, antivirus top tidak mengenali virus ini dan menurut catatan Vaksincom, versi Rontokbro yang dikenali oleh antivirus hanya versi awal W32/Rontokbro.A@mm dan W32/RontokbroB.@mm saja. Padahal varian Rontokbro yang diterima oleh Vaksincom dan dapat dikenali oleh Norman Virus Control sudah sampai varian ke 7 W32/Rontrokbro.G@mm. Satu kehebatan lain dari Rontokbro adalah kemampuannya untuk mencari SMTP server guna mengirimkan kopi dirinya dan ia juga menggunakan SMTP engine sendiri untuk mengirimkan dirinya pada semua alamat email yang berhasil dikumpulkannya dari komputer yang terinfeksi.
Komputer restart terus menerus
Bagaimana kita bisa mengetahui bahwa komputer sudah terinfeksi Rontokbro? Selain melakukan beberapa perubahan pada registri yang mengakibatkan pemblokiran pada akses Registry Editor sehingga anda tidak bisa membuka regedit.exe, Rontokbro juga menyebabkan komputer restart terus menerus. Biang keladinya bukan eksploitasi celah keamanan seperti Sasser, melainkan karena Rontokbro melakukan restart pada komputer setiap kali menemukan aplikasi dengan nama:
.. .@, @., .ASP, .EXE, .HTM, .JS, .PHP, ADMIN, ADOBE, AHNLAB, ALADDIN, ALERT, ALWIL, ANTIGEN, APACHE, APPLICATION, ARCHIEVE, ASDF, ASSOCIATE, AVAST, AVG, AVIRA, BILLING@, BLACK, BLAH, BLEEP, BUILDER, CANON, CENTER, CILLIN, CISCO, CMD., CNET, COMMAND, COMMAND, PROMPT, CONTOH, CONTROL, CRACK, DARK, DATA, DATABASE, DEMO, DETIK, DEVELOP, DOMAIN, DOWNLOAD, ESAFE, ESAVE, ESCAN, EXAMPLE, FEEDBACK, FIREWALL, FOO@, FUCK, FUJITSU,GATEWAY, GOOGLE, GRISOFT, GROUP, HACK, HAURI, HIDDEN, HP., IBM., INFO@, INTEL., KOMPUTER, LINUX, LOG OFF WINDOWS, LOTUS, MACRO, MALWARE, MASTER, MCAFEE, MICRO, MICROSOFT, MOZILLA, MYSQL, NETSCAPE, NETWORK, NEWS, NOD32, NOKIA, NORMAN, NORTON, NOVELL, NVIDIA, OPERA, OVERTURE, PANDA, PATCH, POSTGRE, PROGRAM, PROLAND, PROMPT, PROTECT, PROXY, RECIPIENT, REGISTRY, RELAY, RESPONSE, ROBOT, SCAN, SCRIPT, HOST, SEARCH R, SECURE, SECURITY, SEKUR, SENIOR, SERVER, SERVICE, SHUT DOWN, SIEMENS, SMTP, SOFT, SOME, SOPHOS, SOURCE, SPAM, SPERSKY, SUN., SUPPORT, SYBARI, SYMANTEC, SYSTEM CONFIGURATION, TEST, TREND, TRUST, UPDATE, UTILITY, VAKSIN, VIRUS, W3., WINDOWS SECURITY.VBS, WWW, XEROX, XXX, YOUR, ZDNET, ZEND, ZOMBIE
Tujuan dari aksi ini adalah jelas untuk memproteksi dirinya supaya tidak mudah dibasmi. Selain itu Rontokbro juga berusaha menyerang website: israel.gov.il dan playboy.com Dengan cara membanjiri dengan ping. Namun dampak dari aktivitas ini hanya akan terasa kalau komputer yang terinfeksi mencapai jumlah yang sangat banyak (e.g. 10.0000 komputer) yang pada kasus tertentu dapat mengakibatkan website yang diserang menjadi lumpuh/down.
Bagaimana kalau saya sudah terinfeksi Rontokbro
Pembersihan Rontokbro sebaiknya dilakukan melalui "safe mode" karena jika mencoba pembersihan melalui mode "normal" komputer akan langsung restart begitu komputer dijalankan.
1. Lakukan pembersihan melalui "safe mode".
2. Scan komputer dengan Norman Virus Control update terakhir. Bagi anda yang belum neggunakan Norman Virus Control, silahkan download ke http://www.norman.com/Download/Trial_versions/en-us (jangan lupa masukkan email anda yang valid untuk menerima License Trial) dan bersihkan semua file yang terdeteksi sebagai W32/Rontokbro@mm dan variannya.
3. Untuk mengaktifkan kembali fungsi registry editor hapus value:
DisableRegistryTools =1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Untuk lebih mudahnya gunakan tools dari HijackThis, tools tersebut dapat didownload dialamat:
http://www.spywareinfo.com/~merijn/downloads.html
Setelah dijalankan, cari option
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies,
DisableRegedit=1, kemudian klik [Fix checked]
Gunakan HijackThis untuk membuka blokir regedit.exe yang dilakukan oleh Rontokbro
Hapus registry:
Bron-Spizaetus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Disable CMD=0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Untuk mengembalikan option [Folder option] pada windows explore, hapus string registry:
NoFolderOptions=dword:00000001
pada registry key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
4. Hapus opsi pada menu [Startup] pada msconfig
- NorBtok
- Smss
- Empty
5. Hapus Schedule Task yang dibuat oleh W32/RontokBro.B
a. Buka [Windows Explorer]
b. Klik [Control Panles]
c. Klik 2 kali [Schedule Tasks]
How to remove Rontokbro.N
Virus lokal yang aktif di mode “safe mode”
Dewasa ini penyebaran virus lokal sudah semakin pesat, merekapun berlomba-lomba dalam membuat suatu virus sehingga varian-varian barupun bermunculan dengan sedikit modifikasi pada script yang mereka buat jadilah varian baru yang siap menyerang siapa saja dan kapan saja, walau media penyebaran yang digunakan masih sederhana tetapi terbukti masih efektif hal ini ditunjang dengan semakin banyaknya user yang menggunakan media disket/USB Flash Disk.
USB FlashDisk kini makin digemari dikalangan pengguna komputer karena mudah dibawa dan mempunyai kapasitas yang lebih besar dari pada disket serta mempunyai ukuran yang kecil, dengan adanya trend seperti ini rupanya dimanfaatkan oleh sebagian kecil orang sebagai media yang cocok dan mudah untuk menyebarkan virus yang mereka buat, maka lahirlah virus-virus lokal yang kita kenal sekarang ini.
Perkembangan virus lokal sebenarnya sudah dikenali sejak lama sejak jamannya virus Pesin, dari sinilah mulai bermunculan virus-virus lokal yang baru sebut saja Lavist, kangen, riyanni_jangkaru aau Tabaru, kumis, fawn yosa dan terakhir Rontokbro, itulah sebagian nama-nama virus lokal yang pernah menjadi “momok” dalam beberapa bulan yang lalu, walaupun sebagian besar antivirus sudah dapat mengenali virus tersebut tetapi karena penyebarannya terbatas dilingkungan tertentu maka jika ada varian dari virus tersebut akan sangatlah sulit untuk dideteksi olah karena itu sebaiknya gunakan antivirus yang mempunyai dukungan support lokal.
Dari sekian banyak virus lokal yang ada hanya 3 virus yang berhasil membumi yaitu Rontokbro, kangen dan fawn. Tetapi dari 3 jenis virus tersebut hanya Rontokbro yang mampu memberikan kerugian yang cukup besar dibandingkan dengan yang virus lokal yang lain. Dengan up-date terbaru antivirus Norman sudah dapat mengenali virus ini dengan baik.
Kelemah Safemode berhasil diketahui Rontokbro.
Rontokbro adalah jenis virus lokal pertama yang dapat menyebar melalui email berbeda dengan virus lokal lain yang hanya dapat menyebar melalui dikset/USB, Komputer yang terinfeksi Rontokbro akan melakukan restart hal ini sama seperti yang dilakukan oleh virus Kumis dan virus Sasser/Blaster, bedanya komputer yang terinfeksi Rontokbro akan restart jika menjalankan suatu program aplikasi tertentu seperti regedit, msconfig atau task manager, up-date pacth yang anda lakukan tidak akan membawa dampak apa-apa karena virus ini tidak mengeksploitasi celah keamanan seperti yang dilakukan oleh Sasser/Blaster proses restartnya pun tidak memunculkan hitungan mundur seperti yang dilakukan oleh virus Sasser/Blaster, satu hal yang menjadi kelebihan dari virus ini dimana walaupun komputer dalam posisi “safe mode” komputer akan tetap restart jika menjalankan program aplikasi seperti regedit, msconfig bahkan ketika menjalankan tools seperti pocket Killbox atau HijackThis, dimana kita tahu jika komputer dijalankan dalam mode “safe mode” virus yang menginfeksi komputer tersebut tidak aktif, tetapi tidak halnya dengan Rontokbro suatu kemajuan yang luar biasa rupanya team pembuat Rontokbro sudah mengetahui titik kelemahan yang ada pada mode “safe mode”, lalu mengapa hal ini tidak digunakan oleh para pembuat virus non lokal bukankah mereka mempunyai pengalaman dan pengetahuan yang jauh lebih banyak ? Satu lagi jempol untuk pembuat Rontokbro.
Berdasarkan pemantauan yang dilakukan oleh Vaksincom (www.vaksin.com) banyak user yang terinfeksi virus Rontokbro, ini dibuktikan dengan banyaknya user yang berkonsultasi dengan Vaksincom baik melalui email, telepon maupun forum Vaksincomhttp://forum.vaksin.com dari sekian pengaduan yang ada sebagian besar mengeluhkan komputer mereka terinfeksi virus Rontokbro varian N dimana virus ini akan menyebabkan komputer restart walau dalam posisi “safe mode” sekalipun, oleh karena itu team Vaksincom mencoba untuk memberikan sedikit trik dan tips yang dapat digunakan untuk mengatasi virus Rontokbro apalagi bagi mereka yang belum menggunakan Norman Virus Control sehingga belum dapat mengenali varian ini dengan baik :).
Sebelum melangkah ke masalah bagaimana cara pembersihan Rontokbro ada baiknya mengetahui secara umum apa yang dilakukan oleh Rontokbro. File yang terinfeksi Rontokbro.N mempunyai ukuran sebesar 42kb dengan icon folder tetapi dengan extension EXE, jika dijalankan akan membuat beberapa file yaitu:
C:\Windows dengan nama file eksplorasi.exe (hidden)
C:\Windows\shellnew dengan nama sempalong.exe (hidden)
C:\WINDOWS\system32 dengan nama %username"s Setting.scr (hidden)
C:\Documents and Settings\%user%\Local Settings\Application Data dengan nana file
- Bron.tok-x-y, dimana x dan y menunukan angka
- Loc.Mail.Bron.Tok, berisi alamat email yang diperoleh dari komputer yang terinfeksi
- Ok-SendMail-Bron-tok, berisi email yang berhasil dikirim
- csrss.exe
- inetinfo.exe
- Kosong.Bron.Tok.txt
- lsass.exe
- NetMailTmp.bin
- services.exe
- smss.exe
- Update.3.Bron.Tok.bin
- winlogon.exe
C:\Documents and Settings\bagle\Start Menu\Programs\Startup nama file Empty
C:\Documents and settings\%Users%\Templates Brengkolang.com
Ciri-ciri Virus Rontokbro
Membuat file pada setiap folder dimana file ini mempunyai nama yang sama dengan folder tersebut dengan ciri-ciri
- Icon yang digunakan berupa Folder
- Ukuran file 42 Kb
- Ekstension .EXE
Rontokbro juga akan melakukan perubahan pada file C:\AUTOEXEC.BAT dengan menambahkan baris perintah “ PAUSE”. Agar Rontokbro dapat aktif begitu komputer dinyalakan, ia akan membuat registry beberapa registry key yaitu:
Bron-Spizaetus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Shell dengan value Explorer.exe “C:\Windows\Eksplorasi.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon,
Disable Registry editor
Seperti kebanyakan virus yang ada, virus ini juga akan menonaktifkan program yang dimungkinkan dapat mempersingkat keberadaan “mereka” diantaranya fungsi registry editor dengan menambahkan sebuah registry key:
DisableRegistryTools =1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Jika fungsi registry editor dijalankan maka akan muncul pesan error. Pesan yang muncul jika komputer yang terinfeksi Rontokbro berusaha mengakses Registry Editor.
DisableCMD
Pada registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Selain menambahkan string pada registry key, virus in juga akan menambahkan option di menu [startup] pada msconfig.
Sempalong
Smss
Empty
Menyembunyikan Folder Option
Rupanya virus ini belajar dari rekan-rekannya, dimana virus ini akan menghilangkan [folder options] pada menu [tools] pada [Windows explorer], sehingga user tidak akan bisa menampilkan setiap file yang disembunyikan (hidden) oleh virus tersebut, dengan menambahkan string value:
“NoFolderOptions"=dword:00000001
pada registry key
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Folder Option yang dihilangkan oleh ROntokbro supaya user tidak bisa merubah settingan folder option
Task Schedule 5.08 PM
Rontonbrojuga akan membuat task schedule pada windows dimana schedule ini akan dijalankan setiap jam 5.08 PM, dengan menjalankan file yang berada didirektori:
C:\Documents and Settings\%Users%\Templates
Schedule yang dibuat oleh Rontokbro menjalankan file tertentu setiap 5:08 PM. Kemungkinan hal ini digunakan untuk mengupdate dirinya.
Restart Komputer Otomatis
Salah satu kelebihan yang dimiliki oleh Rontokbro adalah dapat menyebabkan komputer restart, jangan harap up-date patch dapat menyelesaikan masalah ini, hal ini disebabkan karena Rontokbro tidak mengeksploitasi celah keamanan seperti yang biasa digunakan oleh virus Sasser atau Blaster.
Rontokbro akan merestart komputer jika anda berusaha menjalankan suatu program tertentu seperti regedit, msconfig bahkan jika anda menjalankan software pengganti Task manager seperti pocket Killbox bahkan HijackThis dan salah satu kelebihan lain yang dimiliki adalah kemampuannya untuk merestart komputer walaupun dalam mode “safe mode” walapun, oleh karena itu dibutuhkan trik untuk menangani masalah tersebut. kemungkinan besar pembuat Rontokbro selalu mengikuti saran dan perkembangan terakhir sehingga ia akan makin sulit dibasmi karena selalu mengupdate dirinya.
Curi Alamat Email
Rontokbro akan mengambil alamat email pada semua file yang mengandung ext. .asp .cfm .csv .doc .eml .html .php .txt .wab
Lewat Disket/USB Flash Disk
Selain menyebar melaui email, Rontokbro juga akan menyebar melalui Disket/USB dengan membuat file pada folder/subfolder yang ada didisket/USB atau pada root USB itu sendiri, file yang diciptakan tersebut mempunyai ciri-ciri: Icon menyerupai Folder, Ukuran 42 Kb, Ext. EXE
Rontokbro juga akan mencoba untuk melakukan koneksi dengan mengirimkan ping request ke salah satu situs dewasa seperti kaskus.com dan 17tahun.com, hal ini lah salah satu faktor yang dapat dapat memperlambat system komputer tetapi karena penyebaran koneksi internet di Indonesia relatif masih lambat, dampak dari hal ini akan kurang terasa pada user dialup rumahan karena tidak selalu terkoneksi dan dampak terbesar akses ke dua situs tersebut akan besar pengaruhnya jika komputer yang terkena Ronrokbro adalah komputer rumahan yang memiliki koneksi ADSL dan selalu terkoneksi ke internet, komputer Warnet atau kantor yang selalu terkoneksi ke internet.
Seperti layaknya antivirus, Rontokbro juga mencoba untuk melakukan up-date ke salah satu situs yang sudah ditentukan, jadi jangan lengah sebaiknya up-date antivirus Anda agar tidak menjadi korban berikutnya dan jangan lupa agar tidak sembarangan dalam bertukar data melalui disket/usb satu tips yang mungkin berguna adalah dengan mengenali jenis file yang akan dijalankan, dan upayakan untuk selalu menampilkan ekstesi dari file tersebut agar dapat mengetahui type dari file tersebut. Satu cara yang efektif untuk mencegah Rontokbro adalah dengan menggunakan antivirus yang memberikan support lokal sehingga definisinya dapat mengimbangi munculnya varian baru Rontokbro yang sampai saat ini masih terus dikeluarkan.
Cara membersihkan Rontokbro
1. Lakukan pembersihan melalui “safe mode”
2. Matikan proses virus
Untuk mematikan proses tersebut sebaiknya jangan menggunakan program pocket killbox atau HijackThis karena komputer akan langsung restart jika anda menjalan kan tools ini, kami sarankan untuk menggunakan tools lain yang seperti PROCEXP.EXE dapat didownload di situs http://www.sysinternals.com/Utilities/ProcessExplorer.html
Hapus proses dengan cara "klik kanan nama proses" dan pilih "kill prosess tree", agar tidak salah dalam penghapusan cari proses yang mempunyai icon "folder", seperti:
- smss.exe
- services.exe
- winlogon.exe
Anda juga dapat melakukan langkah berikut:
a. Restart komputer dan masuk dalam mode "safe mode with command prompt”, dengan cara menekan tombol [F8] ketika komputer restart, hal ini dimaksudkan agar virus Rontokbro tidak aktif pada posisi ”safe mode” dan komputer tidak melakukan restart selama proses pembersihan.
b. Setelah masuk mode ”Command Prompt” tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu [File] pilih [New Task (Run..), kemudian ketik [explorer] pada jendela [create new task file] setelah itu klik enter.
c. Kemudian akan muncul layar desktop (layaknya masuk ke mode "safe mode")
d. Aktifkan kembali fungsi registry editor dan hapus string yang dibuat oleh virus, tulis script seperti yang ada pada angka [3], kemudian simpan menjadi nama file "repair.inf", setelah itu jalankan file tersebut dengan cara: klik kanan file [repair.inf] kemudiani pilih [install]
e. Hapus option [Smss], [Empty] dan [Sempalong] pada msconfig di tabulasi [startup)
f. Agar ”Folder option” pada windows explorer dapat muncul, restart kembali komputer dan lakukan seperti langkah pada point (a dan b)
g. Setelah komputer masuk ke mode "safe mode" tampilkan semua file yang disembuyikan (lakukan perubahan ini pada "folder option", lihat gambar yang ada pada point [5], selanjunya ikuti petunjuk pembersihan Rontokbro seperti yang ada pda point (6-9)
3. Tulis script berikut dan simpan di notepade beri nama file repair.inf, jalankan file tersebut (klik kanan [repair.inf] pilih [install]), hal ini dimaksudkan untuk mengqaktifkan kembali fungsi registry editor, menampilkan kembali [folder option] serta menghapus string yang telah dibuat oleh virus
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus
4. Restart komputer dan masuk kembali ke mode "safe mode" jangan ke posiosi "normal" karena file induk dari virus ini masih ada (eksplorasi.exe dan sempalong.exe)
5. Tampilkan file yang disembunyikan, lakukan perubahan ini pada [folder Option] untuk memunculkan kembali file hidden dengan Folder Option.
6. Hapus file yang dibuat oleh Rontokbro
- C:\Windows dengan, nama file eksplorasi.exe (hidden)
- C:\windows\shellnew, dengan nama sempalong.exe(hidden)
- C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden)
- C:\Windows\pss, dengan nama file [Empty.pifStartup]
- C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file
- Bron.tok-[x]-[y], di mana [X] dan [Y] menunjukan angka
- Loc.Mail.Bron.Tok
- Ok-SendMail-Bron-tok
- csrss.exe
- inetinfo.exe
- Kosong.Bron.Tok.txt
- lsass.exe
- NetMailTmp.bin
- services.exe
- smss.exe
- Update.3.Bron.Tok.bin
- winlogon.exe
- smss.exe
7. Edit kembali file autoexec.bat di direktori C:\ dan hapus baris perintah [pause]
8. Hapus scheduled tasks yang dibuat oleh Rontokbro (klik [Start], [Settings], [Control Panel], kemudian klik 2 kali menu [scheduled tasks].
9. Hapus file yang dibuat oleh virus, untuk lebih cepatnya gunakan fasilitas [serach]
· Klik [Start]
· Klik [Search], kemudian klik [For Files or Folders]
· Kemudian pilih [All files or Folders]
· Klik option [What size is it ?]
· Kemudian pilih option [Specify Size (in Kb)]
· Pada kombo Box, pilih [At most] kemdian isi ukuran file dengan angka [43], setelah itu klik [Search]
· Setelah proses pencarian selesai, sortir berdasarkan ukuran (size), kemudian hapus file yang mempunyai ukuran 42 kb, jangan sampai terjadi kesalahan dalam penghapusan file karena ada beberapa file windows yang mempunyai ukuran 42 kb, cari file yang icon folder dengan extension. EXE
Untuk pembersihan lebih cepat sebaiknya anda gunakan antivirus yang sudah dapat mengenali Rontokbro.N jangan lupa update antivirus yang terinstall, sebagai informasi antivirus Norman dengan up-date terakhir sudah dapat menganali virus ini dengan baik.
Tips Untuk Menghindari Virus RontokBro
Berikut ada beberapa tips dan trik yang dapat digunakan terhindar dari serangan virus lokal
1. Jangan sembarangan dalam melakukan pertukaran data melaui disket/usb
2. Patikan disket/Usb bersih dari virus dengan melakukan scan terhadap disket/usb sebelum digunakan.
3. Kenali jensi file yang akan dijalankan
4. Biasakan untuk menampilkan extensi file, hal ini dimaksudkan untuk mengetahui jenis file sebelum dijalankan.
5. Rajin mengikuti perkembangan virus
6. Install antivirus yang mempunyai dukungan support lokal dan up-date otomatis
NgeRontokin virus Brontok
Virus ini bertipe worm (dapat menduplikasi diri), dan menyebar melalui attachment email (email virus). Nama lain virus: brontok, Rontokbro. Virus ini kira2 pertama kali menyebar di bulan September 2005, dibuat oleh orang Indonesia karena signature email nya berbahasa Indonesia dan juga isi virus dalam binari dan dan menemukan nama-nama fungsi dalam kode ascii merupakan kata-kata bahasa Indonesia seperti keluarDOng(), dsb.
Langkah-langkah membersihkan komputer dari virus Barontok:
(Untuk win 95, 98, ME)
- Masuk ke safe mode: Reboot lalu setelahh muncul tampilan bios tekan Ctrl, pilih Safe mode dan tekan enter
- Lanjut langsung mulai dari langkah 5
(Untuk windows ME dan XP)
Matikan System Restore Windows
Start->Settings->Control panel->System atau
Start->Control PAnel->System
pada System restore tab... pilih opsi "Turn off System Restore"
(Untuk Win 2000, XP Home/Pro, Server 2003)
1. Reboot dan masuk ke safe mode.
** Restart windows, setelah muncul tampilan BIOS tekan F8, akan ada pilihan: Safe mode, Normal,.... pilih safe mode lalu tekan enter
2. Setelah itu masuk windows dengan login administrator atau user lain yang mempunyai auth sebagai administrator,
3. Buat User account baru DENGAN account type: Computer Administrator lalu logoff dan login dengan account yang baru dibuat.
Menghilangkan autostart virus di registry
4. Buka regedit: Start menu->Run->Regedit.exe lalu tekan enter
Di panel kiri pilih key:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
lalu di panel kanan, hapus key:
Bron-Spizaetus = "........"
Di panel kiri pilih key:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
lalu di panel kanan, hapus key:
Tok-Cirrhatus = "......"
** Catatan:
Jika regedit tidak dapat dibuka (muncul pesan error)., ini merupakan salah satu akibat virus barontok.
Untuk itu telah dibuat file untuk mengatasi masalah tsb:
Download file PatchRegKey.inf (600 Bytes / gak nyampe 1 KB) di:
http://students.if.itb.ac.id/~if12031/kios/PatchRegKey.inf
http://www.geocities.com/aquata1ne/PatchRegKey.inf
http://www.8rf.com/download/PatchRegKey.inf
Setelah di download, klik kanan file tsb lalu pilih "Install" lalu lanjutkan langkah 4.
Menghilangkan autostart virus di scheduled task
5. Buka Secheduled Task di Control Panel: Start->Settings->Control Panel->Scheduled Task lalu tekan enter
Hapus task dengan nama "At1" atau apapun yang berhubungan dengan virus.
Tips: Klik kanan task->properties, lalu lihat isi properties dan jika ad isi command yang mencurigakan contoh: BArontok.com , dsb.. hapus task tersebut.
Cari dan Hapus file-file virus di seluruh drive komputer
6. Aktifkan opsi Show hidden Files dan Ekstensi:
Start->Settings->Control panel atau
Start->Control Panel
Klik Folder Options dan pada Tab view aktifkan opsi:
a. Show hidden files&Folders dan matikan opsi
b. Hide Extensions for known file types
c. Hide Protected Operating System
7. Gunakan Search File Windows: Start->Search lalu tekan enter
Cari di seluruh drive windows yang ad: C,D, .... pada input Search for files or folders names masukkan: *.exe lalu pada search options pilih opsi Range Size-> At most: 81 Kb dan pada Advanced Options pilih opsi Search system folders, search hidden files&folders, search subfolders pilihan lain biarkan kosong Lalu klik search now..
Pada hasil pencarian di panel kanan hapus semua file yang:
a. berukuran TEPAT 80 kb DAN
b. file nya berekstensi *.exe / *.pif / *.com / *.bat DAN
c. File nya memiliki icon folder/direktori windows
** Perhatian: hapus hanya file yang memenuhi SEMUA kondisi di atas dan BUKAN yang memenuhi salah satu saja.
(File yang sering ditemukan: Barontok.com, ElnorB.exe, cari file ini)
* Tips: Sort hasil pencarian berdasarkan size untuk memudahkan penghapusan
* Catatan: Cara ini merupakan cara heuristic berdasarkan pengalaman dan eksperimen (e.g: ditemukan bahwa virus tsb berukuran 80 Kb), dipilih untuk pencarian lebih cepat dibandingkan melihat pattern file satu2 secara manual.
7. Ulangi langkah ke-7 atas dengan input search file: *.pif, *.com, *.bat
Proses Akhir
8. Jika ada, Hapus semua shortcut virus Startup Menu di setiap account profile: C:/Document Settings/
** Saran: jika memungkinkan misal pada komputer pribadi dan bukan multi user, hapus user account selain user account yang dibuat pada langkah 3 di atas (misal: Administrator).
9. Reboot dan masuk windows seperti biasa.
Catatan: Cara ini sudah BERHASIL diterapkan di banyak komputer (pastikan Anda sudah mengikuti semua langkah di atas)
Jika ingin cara yang palih mudah tentunya Anda harus mendownload Software Anti-Brontok.
DOWNLOAD ANTI-VIRUS KHUSUS RONTOKBRO plus Tips dan Trik Mengapus RontokBro secara Tuntas berbentuk file .doc:
http://www.8rf.com/download
Sumber: Vaksin.com, Iwan.or.id, Jerbee.com, dll.
Diedit oleh: 8RF.com
