Beranda > Komputer > VIRUS BRONTOK

VIRUS BRONTOK


Catatan dari serum virus brontok yang bisa di download filenya (9kb)yg dibuat oleh Herry Setiadi Wibowo, wartawan kondang dari Surabaya yang sempat terkena, namun akhirnya tidak jadi pindah ke OS lain..
Atau anda juga bisa mengunjungi situs NORMAN ANTIVIRUS

About Brontok.A[10]
Compiler : VB6 (PEID)
Packer : MEW 11 1.12 (PEID); CaesarCipher[-3]
Serangan : – Restart apabila user menjalankan beberapa aplikasi seperti ‘msconfig.exe’
– Kemungkinan menginfeksi mailbox Outlook Express
– Membebani jaringan (Flood ke http://www.17tahun.com dan http://www.kaskus.com)
– Membuka browser IE ke situs
http://www.geocities.com/sblsji1/
http://www.geocities.com/sblsji1/
http://www.geocities.com/sbllro2/
http://www.geocities.com/sbltlu3/
http://www.geocities.com/sblppt4/
http://www.geocities.com/sbllma5/
setiap hari pada pukul 17.08
– Menggandakan diri ke folder “DOCUMENT” dengan nama file sesuai dengan nama
direktorinya
– Menggandakan diri ke beberapa folder system
– Kemungkinan menubah setting Host pada “SYSTEMPATH\Drivers\etc\hosts”

Bentuk Visual : Icon file sama dengan icon dari Folder
Penyebaran : Lewat Removable Disk (Floppy,FlasDisk)
Pembuat : HVM31 — JowoBot #VM Community

Virus ini varian dari virus MyLove terdahulu
Bedanya, virus ini ‘Menyebarkan’ pesan moral berupa halaman html yang isinya :

BRONTOK.A[10]
— Hentikan kebobrokan di negeri ini —

1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA
( Send to “NUSAKAMBANGAN”)

2. Stop Free Sex, Aborsi, & Prostitusi
( Go To HELL )

3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.

4. SAY NO TO DRUGS !!!

— KIAMAT SUDAH DEKAT —

Terinspirasi oleh:
Elang Brontok (Spizaetus Cirrhatus) yang hampir punah
[ By: HVM31 ]
— JowoBot #VM Community —
!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!

Beberapa kemungkinan nama file yang digandakan :
winlogon.exe;services.exe;lsass.exe;inetinfo.exe;csrss.exe;smss.exe
SERVICES;LSASS;INETINFO;WINLOGON;CSRSS;SMSS
smss.exe,services.exe,lsass.exe,inetinfo.exe,csrss.exe
winword.exe,kangen.exe,ccapps.exe,syslove.exe
kangen.exe;untukmu.exe;myheart.exe;my heart.exe;jangan dibuka.exe

Beberapa Caption program yang akan mengakibatkan komputer restart apabila dibuka:
SECURE,SUPPORT,MASTER,MICROSOFT,VIRUS,HACK,CRACK,LINUX,AVG,GRISOFT,CILLIN,SECURITY,SYMANTEC,ASSOCIAT
YOUR,SOME,ASDF,@.,.@,WWW,VAKSIN,DEVELOP,PROGRAM,SOURCE,NETWORK,UPDATE,TEST,..,XXX,SMTP,EXAMPLE,CONTO
.VBS,DOMAIN,HIDDEN,DEMO,DEVELOP,FOO@,KOMPUTER,SENIOR,DARK,BLACK,BLEEP,FEEDBACK,IBM.,INTEL.,MACRO,ADO
CNET,DOWNLOAD,HP.,XEROX,CANON,SERVICE,ARCHIEVE,NETSCAPE,MOZILLA,OPERA,NOVELL,NEWS,UPDATE,RESPONSE,OV
LOTUS,MICRO,TREND,SIEMENS,FUJITSU,NOKIA,W3.,NVIDIA,APACHE,MYSQL,POSTGRE,SUN.,GOOGLE,SPERSKY,ZOMBIE,A
ALADDIN,ALERT,BUILDER,DATABASE,AHNLAB,PROLAND,ESCAN,HAURI,NOD32,SYBARI,ANTIGEN,ROBOT,ALWIL,YAHOO,COM
LAB,IEEE,KDE,TRACK,INFORMA,FUJI,@MAC,SLACK,REDHA,SUSE,BUNTU,XANDROS,@ABC,@123,LOOKSMART,SYNDICAT,ELE
USERNAME,IPTEK,CLICK,SALES,PROMO
REGISTRY,SYSTEM CONFIGURATION,COMMAND PROMPT,.EXE,SHUT DOWN,SCRIPT HOST,LOG OFF WINDOWS,KILLBOX,TASK
PLASA;TELKOM;INDO;.CO.ID;.GO.ID;.MIL.ID;.SCH.ID;.NET.ID;.OR.ID;.AC.ID;.WEB.ID;.WAR.NET.ID;ASTAGA;GAU

Menjalankan program background dengan perintah:
ping kaskus.com -n 250 -l 747
ping 17tahun.com -n 250 -l 747

Note :
– catatan diatas gw dapet setelah programnya di-unpack trus dianalisa stringnya.
– Kalo ada tambahan serangan dari virus ini, kasih tau gw aja

Brontok.A[10] Cleaner v2.0 (18-10-2005)

NOTE :
– Program ini cuman bisa jalan di Windows kelas NT keatas.
– Win95,Win98,Win98SE,WinME belum pernah dicoba
– Win2003 belum pernah dicoba
– PSAPI.dll dibutuhkan buat ngejalanin prorgam ini

History

V1.0 (17-10-2005)
– Internal release
– masih banyak bug
– Windows belum bersih total!

V2.0 (18-10-2005)
– Public release
– Intelligent search

To-Do
– Nambahin fungsi nyari file-file yang udah tersebar/terduplikasi ke semua lokasi
– Publish Source-Code nya.

Bugs
– Kalo ada bugs, atow apa yang menyangkut program ini,
mail aja ke superkocok[at]gmail[dot]com.

NOTE :
– Program ini cuman bisa jalan di Windows kelas NT keatas.
– Win95,Win98,Win98SE,WinME belum pernah dicoba
– Win2003 belum pernah dicoba
– PSAPI.dll dibutuhkan buat ngejalanin prorgam ini

Instruksi :
1. Jalanin programnya.šŸ™‚ kalo bisa jalanin programnya di “SaveMode”
2. Cek CheckBox “Restart kalo dah selese” kalo pengen program langsung merestart window
setelah proses “Seek & Destroy” selesai; cek ChekcBox “Force Mode” apabila ingin
windows restart tanpa konfirmasi. (Tidak disarankan)
3. Klik tombol “Seek & Destroy” untuk memulai proses Penghilangan virus
4. PERHATIKAN LOG WINDOW nya; kalo ada file/registry path yang gak kehapus, cek manual aja
(maaph.. kemampuan gw terbatas..)
5. Coba jalanin aplikasi Regedit. Kalo ternyata windows masih restart,
artinya virus masih ada. Jalanin lagi proses “Seek & Destroy”
6. Kalo program gak berhasil ngilangin virusnya, install ulang aja windowsnya..
(skali lagi maaph.. kemampuan gw terbatas..)
7. Restart Windows, dan ulangi langkah nomer 5.
8. Cari manual file-file yang digandakan oleh virus, hapus
caranya :
1. Dari “Windows Explorer“, Seting dulu Tools->Folder Options->View, dan pilih
“Show hidden files and folders”
2. Start Menu->Search->For files and folders
3. Pilih “Look in” untuk semua drive (Local Hard Drives) dan cari file
dengan ekstensi .exe (masukin string *.exe ke EditBox “Type the filename here”
4. Cari file.. tunggu sampe selesai..
5. kalo udah, Filer search dengan mengklik header kolom “Size”
agar windows nampilin list berdasarkan ukuran file size
6. Cari file dengan ukuran 42 KB, yang iconnya bergambar folder, hapus.

Kategori:Komputer Tag:
  1. Belum ada komentar.
  1. No trackbacks yet.

Tinggalkan Balasan

Please log in using one of these methods to post your comment:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s