Beranda > Komputer > Menghapus virus BRONTOK

Menghapus virus BRONTOK


Dewasa ini penyebaran virus lokal sudah semakin pesat, merekapun
berlomba-lomba dalam membuat suatu virus sehingga varian-varian barupun
bermunculan dengan sedikit modifikasi pada script yang mereka buat jadilah
varian baru yang siap menyerang siapa saja dan kapan saja, walau media
penyebaran yang digunakan masih sederhana tetapi terbukti masih efektif hal
ini ditunjang dengan semakin banyaknya user yang menggunakan media
disket/USB.
 
USB kini makin digemari dikalangan pengguna komputer karena mudah dibawa dan
mempunyai kapasitas yang lebih besar dari pada disket serta mempunyai ukuran
yang kecil, dengan adanya trend seperti ini rupanya dimanfaatkan oleh
sebagian kecil orang sebagai media yang cocok dan mudah untuk menyebarkan
virus yang mereka buat, maka lahirlah virus-virus lokal yang kita kenal
sekarang ini.
 
Perkembangan virus lokal sebenarnya sudah dikenali sejak lama sejak jamannya
virus Pesin, dari sinilah mulai bermunculan virus-virus lokal yang baru
sebut saja Lavist, kangen, riyanni_jangkaru aau Tabaru, kumis, fawn yosa dan
terakhir rontokbro, itulah sebagian nama-nama virus lokal yang pernah
menjadi "momok" dalam beberapa bulan yang lalu, walaupun sebagian besar
antivirus sudah dapat mengenali virus tersebut tetapi karena penyebarannya
terbatas dilingkungan tertentu maka jika ada varian dari virus tersebut akan
sangatlah sulit untuk dideteksi olah karena itu sebaiknya gunakan antivirus
yang mempunyai dukungan support lokal.
 
Dari sekian banyak virus lokal yang ada hanya 3 virus yang berhasil membumi
yaitu rontokbro, kangen dan fawn. Tetapi dari 3 jinis virus tersebut hanya
rontokbro yang mampu memberikan kerugian psikologi yang cukup besar
dibandingkan dengan yang virus lokal yang lain.
 
Dengan up-date terbaru antivirus Norman sudah dapat mengenali virus ini
dengan baik.
  

Mengapa rontokbro ?
Rontokbro adalah jenis virus lokal pertama yang dapat menyebar melalui
email berbeda dengan virus lokal lain yang hanya dapat menyebar melalui
dikset/USB, Komputer yang terinfeksi rontokbro akan melakukan restart hal
ini sama seperti yang dilakukan oleh virus Kumis dan virus sasser/blaster,
bedanya komputer yang terinfeksi rontokbro akan restart jika menjalankan
suatu program aplikasi tertentu seperti regedit, msconfig atau task manager,
up-date pacth yang anda lakukan tidak akan membawa dampak apa-apa karena
virus ini tidak menggunakan celah keamanan seperti yang dilakukan oleh
sasser/blaster proses restartnya pun tidak memunculkan hitungan mundur
seperti yang dilakukan oleh virus Sasser/Blaster, satu hal yang menjadi
kelabihan dari virus ini dimana walaupun komputer dalam  posisi "safe mode"
komputer akan tetap restart jika menjalankan program aplikasi seperti
regedit, msconfig bahkan ketika menjalankan tools seperti pocket killbox
atau HijeckThis, dimana kita tahu jika komputer dijalankan dalam mode "safe
mode" virus yang menginfeksi komputer tersebut tidak aktif, tetapi tidak
halnya dengan rontokbro suatu kemajuan yang luar biasa rupanya team pembuat
rontobro sudah mengetahui titik kelemahan yang ada pada mode "safe mode",
lalu mengapa hal ini tidak digunakan oleh para pembuat virus non lokal
bukankah mereka mempunyai pengalaman dan pengetahuan yang jauh lebih banyak?
 
Berdasarkan pemantauan yang dilakukan oleh vaksincom (www.vaksin.com) banyak
user yang terinfeksi virus rontokbro, ini dibuktikan dengan banyaknya user
yang berkonsultasi dengan vaksincom baik melalui email, telepon maupun forum
vaksin (vorum.vaksin.com) dari sekian pengaduan yang ada sebagian besar
mengeluhkan komputer mereka terinfeksi virus rontokbro varian N dimana virus
ini akan menyebabkan komputer restart walau dalam posisi "safe mode"
sekalipun, oleh karena itu team vaksincom mencoba untuk memberikan sedikit
trik dan tips yang dapat digunakan untuk mengatasi virus rontokbro apalagi
bagi mereka yang menginstal antivirus yang belum dapat mengenali varian ini.
 
Sebelum melangkah ke masalah bagaimana cara pembersihan rontokbro ada
baiknya mengetahui secara umum apa yang dilakukan oleh rontobro.
 
File yang terinfeksi Rontobro.N mempunyai ukuran sebesar 42kb dengan icon
folder tetapi dengan extension EXE, jika dijalankan akan membuat beberapa
file yaitu
.       C:\Windows dengan nama file eksplorasi.exe (hidden)
.       C:\Windows\shellnew dengan nama sempalong.exe (hidden)
.       C:\WINDOWS\system32 dengan nama %username"s Setting.scr (hidden) 
.       C:\Documents and Settings\%user%\Local Settings\Application Data
dengan nana file
        - Bron.tok-x-y, dimana x dan y menunukan angka
        - Loc.Mail.Bron.Tok, berisi alamat email yang diperoleh dari
komputer yang terinfeksi
        - Ok-SendMail-Bron-tok, berisi email yang berhasil dikirim 
        - csrss.exe
        - inetinfo.exe
        - Kosong.Bron.Tok.txt
        - lsass.exe
        - NetMailTmp.bin
        - services.exe
        - smss.exe      
        - Update.3.Bron.Tok.bin
        - winlogon.exe
.       C:\Documents and Settings\bagle\Start Menu\Programs\Startup nama
file 
o       Empty
.       C:\Documents and settings\%Users%\Templates
o       Brengkolang.com
.       Membuat file pada setiap folder dimana file ini mempunyai nama yang
sama dengan folder tersebut dengan ciri-ciri
o       Icon yang digunakan berupa Folder
o       Ukuran file 42 Kb
o       Ekstension .EXE
 
 
Rontokbro juga akan melakukan perubahan pada file C:\AUTOEXEC.BAT dengan
menambahkan baris perintah " PAUSE"
 
Agar Rontokbro dapat aktif  begitu komputer dinyalakan, ia akan membuat
registry beberapa registry key yaitu:
 
.       Bron-Spizaetus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
.       Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
.       Shell dengan value Explorer.exe "C:\Windows\Eksplorasi.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon, 
 
Disable Registry editor
Seperti kebanyakan virus yang ada, virus ini juga akan  menonaktifkan
program yang dimungkinkan dapat mempersingkat keberadaan "mereka"
diantaranya fungsi  registry editor dengan menambahkan sebuah registry key:
 
.       DisableRegistryTools =1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
 
Jika  fungsi registry editor dijalankan maka akan muncul pesan error:
 
 
 
.       DisableCMD
Pada registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
 
Selain menambahkan string pada registry key, virus in juga akan menambahkan
option di menu [startup] pada msconfig.
 
.       Sempalong
.       Smss
.       Empty
 
 
 
 
Menyembunyikan Folder Option
 
Rupanya virus ini belajar dari rekan-rekannya, dimana virus ini akan
menghilangkan [folder options] pada menu [tools] pada [Windows explorer],
sehingga user tidak akan bisa menampilkan setiap file yang disembunyikan
(hidden) oleh virus tersebut, dengan menambahkan string value :
 
.       "NoFolderOptions"=dword:00000001
 
pada registry key
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore
r
 
 
Rontonbrojuga akan membuat task schedule pada windows dimana schedule ini
akan dijalankan  setiap jam 5.08 PM, dengan menjalankan file yang berada
didirektori:
 
.       C:\Documents and Settings\%Users%\Templates
 
 
 
Restart Komputer Otomatis
Salah satu kelebihdan yang dimiliki oleh rontokbro adalah dapat menyebabkan
komputer restart, jangan harap up-date patch dapat menyelesaikan masalah
ini, hal ini disebabkan karena rontokbro tidak menggunakan celah keamanan
seperti yang biasa digunakan oleh virus sasser atau Blaster.
 
Rontokbro akan merestart komputer jika anda berusaha menjalankan suatu
program tertentu seperti regedit, msconfig bahkan jika anda menjalankan
software pengganti Task manager seperti pocket killbox bahkan HijackThis dan
salah satu kelebihan lain yang dimiliki adalah kemampuannya untuk merestart
komputer walaupun dalam mode "safe mode" walapun, oleh karena itu dibutuhkan
trik untuk menangani masalah tersebut.
 
Rontokbro akan mengambil alamat email pada semua file yang mengandung ext.
.       .asp 
.       .cfm 
.       .csv 
.       .doc 
.       .eml 
.       .html 
.       .php 
.       .txt 
.       .wab
 
Jika Anda menerima email dengan karakteristik berikut dan terdapat atachment
Kangen.exe, sebaiknya HAPUS file tersebut
----------------------------------------------------------------------------
-----------------------------------------------
From: [Dipalsukan]
 
Subject: kosong
 
Message:
BRONTOK.A  [ By: HVM31-Jowobot #VM Community ]
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar. 
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[
By: HVM31-Jowobot #VM Community--
 
Attachment:
 
Kangen.exe
 
----------------------------------------------------------------------------
-----------------------------------------------
 
Selain menyebar melaui email, rontokbro juga akan menyebar melalui
Disket/USB dengan membuat file pada folder/subfolder yang ada didisket/USB
atau pada root USB itu sendiri, file yang diciptakan tersebut mempunyai
ciri-ciri:
 
.       Icon menyerupai Folder
.       Ukuran 42 Kb
.       Ext. EXE
 
Rontokbro juga akan mencoba untuk  melakukan koneksi dengan mengirimkan ping
request ke salah satu situs XXX seperti kaskus.com dan 17tahun.com, hal ini
lah salah satu faktor yang dapat dapat memperlambat system komputer 
 
Seperti layaknya antivirus, Rontokbro juga mencoba untuk  melakukan up-date
ke salah satu situs yang sudah ditentukan, jadi jangan lengah sebaiknya
up-date antivirus Anda agar tidak menjadi korban berikutnya dan jangan lupa
agar tidak sembarangan dalam bertukar data melalui disket/usb satu tips yang
mungkin berguna adalah dengan mengenali jenis file yang akan dijalankan, dan
upayakan untuk selalu menampilkan ekstesi dari file tersebut agar dapat
mengetahui type dari file tersebut.
 
Cara membersihkan Rontokbro
 
1.      Lakukan pembersihan melalui "safe mode"
2.      Matikan proses virus
Untuk mematikan proses tersebut sebaiknya jangan menggunakan program pocket
killbox atau HijackThis karena komputer akan langsung restart jika anda
menjalan kan tools ini, kami sarankan untuk menggunakan tools lain yang
seperti PROCEXP.EXE dapat didownload di situs
http://www.sysinternals.com/Utilities/ProcessExplorer.html
 
Hapus proses dengan cara "klik kanan nama proses" dan pilih "kill  prosess
tree", agar 
tidak salah dalam penghapusan cari proses yang mempunyai icon "folder",
seperti 
 
   - smss.exe
   - services.exe
   - winlogon.exe
 
 
Catatan:
Atau Anda juga dapat melakukan langkah berikut:
a.      Restart komputer dan masuk dalam mode "safe mode with command
prompt", dengan cara menekan tombol [F8] ketika komputer restart, hal ini
dimaksudkan agar virus rontokbro tidak aktif pada posisi "safe mode" dan
komputer tidak melakukan restart selama proses pembersihan.
b.      Setelah masuk mode "Command Prompt" tekan tombol [CTRL] + [ALT] +
[Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task
Manager muncul, klik menu [File] pilih [New Task (Run..), kemudian    ketik
[explorer] pada jendela [create new task file] setelah itu klik enter.
c.      Kemudian akan muncul layar desktop (layaknya masuk ke mode "safe
mode")
d.      Aktifkan kembali fungsi registry editor dan hapus string yang dibuat
oleh virus, tulis script seperti yang ada pada angka [3], kemudian simpan
menjadi nama file "repair.inf", setelah itu jalankan file tersebut dengan
cara: klik kanan file [repair.inf] kemudiani pilih [install]
e.      Hapus option [Smss], [Empty] dan [Sempalong] pada msconfig di
tabulasi [startup)
f.      Agar "Folder option" pada windows explorer dapat muncul, restart
kembali komputer  dan lakukan seperti langkah pada point (a dan b)
g.      Setelah komputer masuk ke mode "safe mode" tampilkan semua file yang
disembuyikan (lakukan perubahan ini pada "folder option", lihat gambar yang
ada pada point [5], selanjunya ikuti petunjuk pembersihan rontokbro seperti
yang ada pda point (6-9)
 
3.      Tulis script berikut dan simpan di notepade beri nama file
repair.inf, jalankan file tersebut (klik kanan [repair.inf] pilih
[install]), hal ini dimaksudkan untuk mengqaktifkan kembali fungsi registry
editor, menampilkan kembali [folder option] serta menghapus string yang
telah dibuat oleh virus
 
[Version]
Signature="$Chicago$"
Provider=Vaksincom
 
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
 
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
 
[del]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryToo
ls
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus
 
4.      Restart komputer dan masuk kembali ke mode "safe mode" jangan ke
posiosi "normal" karena file induk dari virus ini masih ada (eksplorasi.exe
dan sempalong.exe)
 
5.      Tampilkan file yang disembunyikan, lakukan perubahan ini pada
[folder Option]
 
 
 
6.      Hapus file yang dibuat oleh rontokbro
- C:\Windows dengan, nama file eksplorasi.exe (hidden)
        - C:\windows\shellnew, dengan nama sempalong.exe(hidden)
- C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden) 
- C:\Windows\pss, dengan nama file [Empty.pifStartup] 
- C:\Documents and Settings\%user%\Local Settings\Application Data dengan
nama 
file
- Bron.tok-[x]-[y], di mana [X] dan [Y] menunjukan angka
- Loc.Mail.Bron.Tok
- Ok-SendMail-Bron-tok
- csrss.exe
- inetinfo.exe
- Kosong.Bron.Tok.txt
- lsass.exe
- NetMailTmp.bin
- services.exe
- smss.exe      
- Update.3.Bron.Tok.bin
- winlogon.exe
- smss.exe
 
7.      Edit kembali file autoexec.bat di direktori C:\ dan hapus baris
perintah [pause]
 
8.      Hapus  scheduled tasks yang dibuat oleh rontokbro (klik [Start],
[Settings], [Control Panel], kemudian klik 2 kali menu [scheduled tasks].
 
9.      Hapus file yang dibuat oleh virus, untuk lebih cepatnya gunakan
fasilitas [serach]
.       Klik [Start]
.       Klik [Search], kemudian klik [For Files or Folders] 
.       Kemudian pilih [All files or Folders]
.       Klik option [What size  is it ?]
.       Kemudian pilih option [Specify Size (in Kb)]
.       Pada kombo Box, pilih [At most] kemdian isi ukuran file dengan angka
[43], setelah itu klik [Search]
.       Setelah proses pencarian selesai, sortir berdasarkan ukuran (size),
kemudian hapus file yang mempunyai ukuran 42 kb, jangan sampai terjadi
kesalahan dalam penghapusan file karena ada beberapa file windows yang
mempunyai ukuran 42 kb, cari file yang icon folder dengan extension. EXE,
seperti gambar dibawah ini:
 
 
 
9.      Untuk pembersihan lebih cepat sebaiknya anda gunakan antivirus yang
sudah dapat mengenali rontokbro.N jangan lupa update antivirus yang
terinstall, sebagai informasi antivirus Norman dengan up-date terakhir sudah
dapat menganali virus ini engan baik.
Tips
Berikut ada beberapa tips dan trik yang dapat digunakan terhindar dari
serangan virus lokal 
 
1.      Jangan sembarangan dalam melakukan pertukaran data melaui disket/usb
2.      Patikan disket/Usb bersih dari virus dengan melakukan scan terhadap
disket/usb sebelum digunakan.
3.      Kenali jensi file yang akan dijalankan
4.      Biasakan untuk menampilkan extensi file, hal ini dimaksudkan untuk
mengetahui jenis file sebelum dijalankan.
5.      Rajin mengikuti perkembangan virus 
6.      Install antivirus yang mempunyai dukungan support lokal dan up-date
otomatis
Kategori:Komputer Tag:
  1. Belum ada komentar.
  1. No trackbacks yet.

Tinggalkan Balasan

Please log in using one of these methods to post your comment:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s