Bila kita amati atau analisa [kali adja bener :)] sesuai nama dari virus
tersebut, sepertinya si peracik virus tersebut lebih dari satu orang,
setidaknya ada 2 pelaku. Secara naluriah dari Pelaku, ada keinginan untuk
mengabadikan dirinya tapi masih malu-2, sehingga mereka hanya mencantumkan nickname
saja yaitu Bron dan ToK [kali adja bener :)].
Keduanya mempunyai Tugas Pokok
dan Fungsi (tupoksi) yang berbeda namun sangat bersinergi. Tupoksi si Bron,
yang bernama lengkap (fake-name dech) Bron-Spizaetus bertugas menyusup
ke folder/direktori Windows. Sedangkan si ToK, yang bernama
lengkap (fake name juga) ToK-Cirrhatus mendapat disposisi untuk menetap
di folder/direktori Aplication Data
Dari hasil investigasi awal yang lakukan di Lab.
kangtatantakwa dengan menggunakan webroot spy sweeper (pake versi terAnyar kalo
bisa), informasi dari virus Bron-ToK sebagai berikut:
Tabel 1
|
Startup Item : Bron-Spizaetus
Product name is not provided
Company name is not provided
Copyright information is not provided
|
|
Location:C\WINDOWS\ShellNew\sempalong.exe
Registry or starup Forlder: HKCU: Run
|
|
|
|
Startup Item : ToK-Cirrhatus
Product name is not provided
Company name is not provided
Copyright information is not provided
|
|
Location:C\Documents and settings\Kangtatantakwa
Lab\Local Setting\Aplication Data\smss.exe
Registry or starup Forlder: HKCU: Run
|
Secara kasat mata eksistensi
virus ini tidak terlihat (Hidden Files). Sehingga hal ini akan
menyulitkan kita untuk mencari secara fisik (keberadaan) virus tersebut apalagi
untuk menghapusnya.
Parahnya lagi, ketika kita
mencoba untuk me-show hidden files and folders-kan melalui Folder
Option (Alt-Key T-O (ToolsOption) untuk winNT dan XP atau Alt-Key
V-O (ViewOption) untuk Win9x dan winME), fasilitas itu telah dirusaknya
(diinfeksi untuk tidak berfungsi). Kondisi ini dikarenakan si virus berhasil
mengInfeksi Registry di HKEY_CURRENT_USER (HKCU) dengan me-Disable-kan perintah
Folder Option dari Menu Explorer.
Di bawah ini contoh salah satu
perintah yang diCreate oleh si Bron-ToK pada sistem registry korban. Tujuannya
agar si Korban tidak bisa melihat file-file virus yang telah diinfeksikan. Gambar
1 adalah contoh menu explorer yang belum terinfeksi Bron-ToK. Di situ dapat
kita lihat menu Forder Option, sebaliknya bila terinfeksi menu tersebut
tidak tampil (hilang).
[HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions]
_files/image001.jpg)
Gambar 1
I. LANTAZ apa yang kita lakukan ?.
Pengetahuan kangtatantakwa
tentang si NeR0 yang bisa melihat file-2 atau folder-2 yang di-hidden
sebenarnya sudah lama. Baik yang di-hidden/diproteksi oleh sistem
registry administrator maupun oleh program-2 peng-Hidden seperti LockForder.
Breakz : Nah
Lho..., kepada yang suka nyimpen file-file GITUan (top secret maksudnya)
di HardDisk dengan aplikasi di-hidden atau diproteksi sekarang dijamin
jadi ngga PeDe.
Back:
Teringat pada si NeR0 yang
selain gemar ngeBakar juga tukang Ngintip ini, kangtatantakwa mencoba
mengaplikasikan untuk kasus Bro-ToK ini. Dan hasilnya... Aha..! terjadi
Penampakan. Lihat Gambar 2 dan 3. Pada kedua gambar di bawah tersebut
kita bisa lihat file-file yang di-hidden itu adalah sempalong.exe
dan eksplorasi.exe.
INGAT! anda jangan
terJebak.
Pada Gambar terlihat seperti
FOLDER, padahal itu file aplikasi (*.exe) dengan KAMUFLASE berupa Icon
ber-Folder (seperti halnya Serigala Berbulu Domba atau
Bandit Berkedok Jagon). ARTInya bila kita mengklik folder tersebut
sesusungguhnya kita tidak masuk ke dalam isi folder tersebut, melainkan secara
tidak disadari kita telah mengKLIK langsung atau mengEksekusi file tersebut.
Yang konsekuensinya virus tersebut menjadi aktif dan menyebar ke folder dan ke
sub-sub foldernya terutama folder yang berada di My Documents.
_files/image002.jpg)
Gambar 2
Di bawah ini nama-nama file dari virus yang menetap di
dalam direktori Windows (lihat Gambar 2 dan 3):
.o1- C:\Windows dengan, nama
file eksplorasi.exe (hidden)
.o2- C:\windows\shellnew, dengan nama sempalong.exe (hidden)
.o3- C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden)
.o4- C:\Windows\pss, dengan nama file [Empty.pifStartup]
_files/image003.jpg)
Gambar 3
Oyahh.., walaupun kita telah berhasil
melihat secara fisik virus tersebut (Show hidden files and folders) via
kang NeR0, pada tahap ini kita tetap belum dapat menghapus file-file tersebut
secara permanen. Walapun bisa kita tetap akan kesulitan dan kerepotan untuk
menghapusnya. Karena file-fle tersebut akan berREINKARNASI membentuk file yang
sama dalam waktu 2 (dua) detik.
Di bawah ini contoh perintah
reinkarnasi yang diCreate oleh si Bron-ToK pada sistem registry korban (lihat Tabel
1). Perintah ini memungkin file-2 yang telah dihapus akan tetap Alert
dan tetap muncul lagi (be Jill The Yie).
HKCU,
Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus
Dan tidak hanya berkemampuan
berREINKARNASI saja. Virus inipun mempunyai daya reproduksi dan regenerasi
dengan tingkat penyebaran yang tinggi dan memiliki daerah epidemik
sendiri-sendiri. Misalnya dalam modus operandinya, virus ini membuat nama virus
sesuai dengan nama folder-folder yang ada di My Documents (lihat Gambar 5).
Namun begitu, zona penyebaran aksinya hanya terbatas di folder-2 yang ada di My
Documents saja, tidak menjangkiti file atau folder di localdrive (drive C)
kecuali direktori Windows (itupun tidak semua), drive D, atau partisi drive
lainnya.
PENTING :
Pada saat melakukan pembersihan
virus Bron-ToK (Rontokbro), pastikan Operation System (OS) dalam kondisi “Save
Mode”. Yaitu dengan cara meRestart komputer dan menekan tombol [F8]. Hal
ini dimaksudkan untuk mencegah virus Rontokbro tidak melakukan restart
selama proses pembersihan.
Modus operandi virus ini hampir
sama dengan virus Tojan Blaster yaitu menjadikan sistem komputer ngeRestart
terus saat komputer memasuki desktop. Modus operandi untuk virus Tojan Blaster
sebelum restart (meledak) ada hitungan mundur dulu (count down),
sedangkan virus Rontokbro.N langsung ngeRontokin (restarting) sistem
pada saat komputer memasuki desktop.
Virus Bron-ToK hanya berkerja
pada kondisi Under Windows (tidak under DOS). Sehingga virus
tersebut tidak mampu menDelete atau meReplace file-file system yang sedang
aktif [Run]. Oleh karenanya virus ini membuat nama imitasi yang sesuai dengan
nama file-2 sistem yang aktif tersebut (lihat Gambar 4). Di sini trik social engineering
dipakai oleh si pembuat virus. Tujuannya adalah agar si pengguna komputer tidak
mencurigai bahwa file yang sedang aktif adalah bukan virus.
II. LANTAZ apa yang kita lakukan ?.
Banyak pakar yang
merekomendasikan. Agar kita dapat menghapus file-2 yang dimaksud maka
kita harus masuk dulu ke dalam menu Windows taks manager (WTM) yaitu
dengan cara tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian
pilih [Task Manager], setelah layar Task Manager muncul, klik menu
Processes. Menu ini menginformasikan atau me-list-kan file-2 apa saja
yang sedang alert (aktif) pada sistem operasional (OS) saat itu. Untuk
menonaktifkannya cukup highlight file yang akan di hapus kemudian klik kanan
dan highlight [End-process-tree]
CARA ini Betul tapi menurut
kangtatantakwa kurang Bagus dan kurang Efektif (kangtatantakwa
ucapkan maaf kepada para PAKAR virus). Kenapa?. Karena pada menu yang
di-list-kan oleh WTM tidak dibedakan mana file original dan mana file
kamuflase (virus). Dan jika kita salah mendelete-tree (menonaktifkan)
dari file yang kita pilih, sistem malah jadi Hang (stagnan). Walaupun
cukup dengan rebooting bisa normal lagi. Tapi jika salah menonaktifkan
lagi, yaa ngeHang lagi.
Padahal file-2 yang harus
dihapus adalah file-2 aspal (asli-tapi-palsu) yang berkedok file-file inti yang
sangat diperlukan oleh OS. Antara lain, smss.exe, csrss.exe,
services.exe, Isass.exe dan winlogon.exe. File-2 yang
asli berdomisili (path) di C:\Windows\system32\
sedangkan yang palsu (virus) menetap di C:\Documents and
Settings\%user%\Local Settings\Application Data.
Pada tahap uji forensik ini
kangtatantakwa menggunakan tool ProcMon yang terdapat pada program (software)
Essential Net Tools. Pada Gambar 4 terlihat icon yang berbeda
antara file asli dan file paslu. Keindahan dari tool Procmon ini adalah mampu
menampilkan icon sesuai yang diciptakan oleh yang bikin.
_files/image004.jpg)
Gambar 4
Di bawah ini nama-nama file dari virus yang menetap di
dalam direktori Application Data (lihat Gambar 4 dan Gambar 5):
C:\Documents and Settings\%user%\Local
Settings\Application Data
o1 csrss.exe
o2 inetinfo.exe
o3 lsass.exe
o4 services.exe
o5 smss.exe
o6 winlogon.exe
o7 Bron.tok-[1n]-[2n]
o8 Loc.Mail.Bron.Tok
o9 Ok-SendMail-Bron-tok
o10 NetMailTmp.bin
o11 Kosong.Bron.Tok.txt
o12 Update.3.Bron.Tok.bin
Poin 1 s/d 6, merupakan
file aktif [Run] dalam sistem, sehingga terdeteksi oleh ProcMon. Sedangkan file
7 s/d 12, merupakan file komplementer yang sangat tergantung pada file
*.exe-nya. Artinya jika kita berhasil menghapus secara permanen semua file-file
*.exe-nya maka secara otomatis file-2 komplementer akan hilang jua.
Nah.. setelah kita berhasil
menghapus fife-file di poin 1 s/d 6, selanjutnya kita menghapus (pake NeR0)
file dari yang menetap di dalam direktori Windows terutama file sempalong.exe
dan explorasi.exe (poin 1 dan 2), lihat Gambar 2 dan 3. sama
dengan yang di atas, file lainnya hanya komplementer dan sangat tergantung pada
file *.exe-nya.
_files/image005.jpg)
Gambar 5
SELESAI-kah ?, belum atuh...
III. LANTAZ apa yang kita lakukan ?.
Seperti telah kangtatantakwa ulas di atas bahwa Virus ini
selain mampu berREINKARNASI juga mempunyai daya reproduksi dan regenerasi
dengan tingkat penyebaran yang tinggi dan memiliki daerah epidemik
sendiri-sendiri. Dimana daerah kekuatan politiknya adalah folder-folder yang
ada di My Documents (lihat Gambar 6).
Bisa kita bayangkan, jika dalam My Documents terdapat
ribuan folder termasuk sub-2 foldernya, maka ruang gerak dan ruang aksi dari
virus ini akan semakin kuat dan mengakar. Dengan kata lain akan sia-2 tentunya
jika kita menghapusnya one-by-one.
Cara mesiasatinya adalah menggunakan fasilitas tool
Search yang terdapat di Windows Explorer atau Klik [Start] - [Search] - [For
Files or Folders] - [All files or Folders] - [All or part of the file name:
-ketik- *.exe] – [Look in: -pilih- My Documents] – terakhir pencet Search.
Tunggu beberapa saat, dan hasil report untuk kasus di
Lab. kangtatantakwa seperti terlihat pada Gambar 6. Mari kita
perhatikan. Walaupun nama file “folder”-nya berbeda-beda tetapi secara fisik
bobotnya sama. Hal ini bisa kita lihat dari isi ukuran filenya yaitu 42 KB.
Ukuran filenya sama persis dengan ukuran file sempalong.exe dan explorasi.exe.
Penting ! :
PASTIkan anda hanya menghapus fille-file yang Berukuran 42 Kb dan yang
hanya Bericon [folder].exe saja. Untuk lebih memudahkannya
kondisikan (setting) dengan langkah sebagai berikut: pada kondisi Gambar
6, [Klik kanan]-sorot [Arrange Icons by]- pilih [Size].
_files/image006.jpg)
Gambar 6
SELESAI-kah ?, 25 % lagi dech...
IV. LANTAZ apa yang kita lakukan ?.
Masih ingat Gambar 1 ?.
Bila anda sangat interest dengan Forder Option-nya maka anda harus coba
mengembalikannya. Tentunya harus masuk ke dalam registry editor yang kini sudah
tidak terproteksi lagi oleh si Bron-ToK.
Caranya >>> KLIK
[Start] - [Run] - ketik [Regedit] ok - pilih [HKCU] - [Software] -
[Microsoft] - [Windows] - [CurrentVersion] - [Policies] - [Explorer] -
klikkanan-&-delete [NoFolderOptions] - [Restart dan masuk dalam settingan
normal (tidak perlu “save mode” lagi)]
Tambahan-1:
Bila anda telah sukses memasuki tahap LANTAZ-IV, sesungguhya
file-file yang ada di Gambat 5 sudah bisa dinyatakan diSFungsi. Sehingga anda boleh (tidak perlu lagi
takut reboot/restart) menghapus file-2 tersebut dalam settingan normal,
tidak perlu save mode, atau pake Ner0 lagi.
Tambahan-2:
Virus Bron-Tok (Rontokbro.N)
ini sebetulnya memiliki sifat mengInstall. Sehingga setiap program yang
terinstall akan secara otomatis didaftarkan oleh system operation.
Karena sifat virus ini hidden file, maka anda tidak akan menemukannya
bila anda check ke menu remove/uninstall di Windows
(Settings-Control Panel-Add or Remove Programs).
Kangtatantakwa saranin, sebaiknya anda menggunakan
program remover atau uninstaller lain. Cari pake paman google. Karena banyak
pilihannya, kangtatantakwa biasa pake program “Your
Uninstaller! PRO” (gunakan versi terbaru). Dengan program ini semua icon
yang hidden diNongolin. Nama iconnya disesuaikan dengan username
(%username% Documents) yang terinfeksi. Misalnya kangtatantakwa
Documents dengan wujud icon “Folder berwarna Kuning”.
SELESAI-kah ?, 5 % lagi dunk...
V. LANTAZ apa yang kita lakukan ?.
Layaknya orang yang baru saja kena serangan STROKE, pasti
harus adaptasi dulu. Dan masih memerlukan Rawat Jalan. Begitu pula “kompi” yang
baru bersih dari serangan Bron-ToK. Rawat jalan (pc maintain) yang diperlukan
oleh si Kompi adalah melakukan Fix registry problem, Get rid of system junk,
Defragment, dan yang dianggap perlu lainnya. Tool-2 ini tersedia dalam sistem
mekanik pro 5 (lihat Gambar 7).
_files/image007.jpg)
Gambar 7
Masih ingat dengan artikel
kangtatantakwa tentang System Mechanic Pro-5 yang dimuat di Jasakom
24/09/2005 (http://www.jasakom.com/article.aspx?ID=710),
sekedar mengingatkan dan/atau bagi anda yang belum membaca artikel tersebut
dapat juga mengunjungi http://www.geocities.com/kangtatantakwa
lihat Kolom Artikel : Cracking.SysMech5.Pro. Di sana ada program trialnya yang
dapat anda download.
SELESAI-kah ?, 1 % lagi...
V. LANTAZ apa yang kita lakukan ?.
Sekedar nyaranin, Untuk
pembersihan lebih cepat sebaiknya menggunakan program antivirus yang sudah
memiliki definition log atau yang sudah dapat mengenali Rontokbro.N.
Untuk sementara, antivirus Norman dengan up-date terakhir sudah dapat
mengenali virus ini. Program versi terbaru (versi 5.81) ini bisa didonlod pada
situs di bawah ini. http://download.norman.no/nvc5/NVC581_R4ENG.EXE
>>
KEPADA yang Membuat Virus Bron-ToK ato Rontokbro.N
.o1. Kalau sasaran dari virus yang anda buat ini
adalah masyarakat awam pengguna komputer maka Grade anda adalah ilmuan
Tengik dari komunitas Bawah Tanah.
.o2. Kalau sasaran dari virus yang anda buat ini adalah
kangtatantakwa maka anda harus banyak-banyak belajar lagi (IQro, IqRo, en 1qr0
euy..!).
.o3. Kalau sasaran dari virus yang anda buat ini adalah
NASA, Pentagon, Wallstreet, Dinas Intelejen Adidaya, Yahoo, Symantech,
Microsoft, etc maka yang anda lakukan belum berpengaruh nyata, atau anda memang
belum ada kemampuan untuk berbuat ke arah itu.
.o4. Kalau sasaran dari virus yang anda buat ini adalah
Koruptor dan Politisi Busuk negeri ini maka ..... yang anda harus adalah
berkolaborasi dengan ahli kimia, ahli biologi, ahli sosial, ahli ekonomi, ahli
politik, ahli kebathinan, ahli dan sebagainya. Terus apa hubungannya dengan
Koruptor dan Politisi Busuk ? Tanyakan saja pada rumput yang bergoyang.
Okeh everybody
sekalian..!, siapapun anda, apapun profesi anda, dimanapun asal anda, kangtatantakwa
ucapkan SELAMAT menekuni job-job anda jika memang itulah pekerjaan yang menurut
anda paling menyenangkan.
Tuhan ciptakan sesuatu dengan
berbeda-beda. Misalnya ada Hitam ada Putih. Tinggal dari mana Qta memandangnya.
Bagi kangtatantakwa HITAM tidak selamanya simbol jahat ato kemisteriusan. Tapi
Hitam pun adalah lambang kekuatan dan keperkasaan. PUTIH tidak selamanya simbol
kebaikan ato kebenaran. Tapi Putih pun adalah lambang ketidakjelasan (GolPut)
dan ketidakberanian (kibarkan berdera putih saat perang a.k.a. menyerah).
Terakhir kangtatantakwa berUcap,
berHarap dan berMinta:
BAGI anda virus makerz,
selamat asik di dunia anda. Dan selamat berkarya dan berdikari untuk kebaikan.
AgR3e:::MeNt
Penulis tidak bertanggung jawab
atas segala kesalahan error / kerusakan pada
komputer, jaringan lain, dan atau yang berkaitannya. Penulis berharap
tulisan ini hanya dipakai sebagai bahan untuk learnig process saja.
SEKALI LAGI...! Semua yang anda pelajari dan yang
anda lakukan secara otomatis sudah menjadi TANGGUNG JAWAB anda Sepenuhnya,
Seluruhnya, dan Seutuhnya (S3).
The Pattarosanz kin-toon to kangtatantakwa@yahoo.co.id
..SEMOGA BERMANFAAT..
HaPPy Try!nG and Cleani!ng
(c) 2006 Kangtatantakwa