Home
Hacking
Tutorial
.NET
IT News
Lain-lain
About Us
FAQ
Penerbitan Buku

Klik untuk join milist Jasakom




 

Jasakom Community - Article
Basmi Virus Bron-ToK Dengan Nero
Date: Sunday, March 19, 2006    Hits: 7925    By:  Kangtatantakwa   
Siapa sangka si NeRo tukang bakar (NeroBurning) bisa ngeRontokin virus Bron-ToK. Di telinga kita Virus Bron-ToK ini lebih dikenal dengan nama virus Rontokbro.N.
Basmi Virus BronToK Dengan Nero

 

Bila kita amati atau analisa [kali adja bener :)]  sesuai nama dari virus tersebut, sepertinya si peracik virus tersebut lebih dari satu orang, setidaknya ada 2 pelaku. Secara naluriah dari Pelaku, ada keinginan untuk mengabadikan dirinya tapi masih malu-2, sehingga mereka hanya mencantumkan nickname saja yaitu Bron dan ToK [kali adja bener :)].

 

Keduanya mempunyai Tugas Pokok dan Fungsi (tupoksi) yang berbeda namun sangat bersinergi. Tupoksi si Bron, yang bernama lengkap (fake-name dech) Bron-Spizaetus bertugas menyusup ke folder/direktori Windows. Sedangkan si ToK, yang bernama lengkap (fake name juga) ToK-Cirrhatus mendapat disposisi untuk menetap di folder/direktori Aplication Data

 

Dari hasil investigasi awal yang lakukan di Lab. kangtatantakwa dengan menggunakan webroot spy sweeper (pake versi terAnyar kalo bisa), informasi dari virus Bron-ToK sebagai berikut:

 

Tabel 1

Startup Item : Bron-Spizaetus

Product name is not provided

Company name is not provided

Copyright information is not provided

 

Location:C\WINDOWS\ShellNew\sempalong.exe

Registry or starup Forlder: HKCU: Run

 

Startup Item : ToK-Cirrhatus

Product name is not provided

Company name is not provided

Copyright information is not provided

 

Location:C\Documents and settings\Kangtatantakwa Lab\Local Setting\Aplication Data\smss.exe

Registry or starup Forlder: HKCU: Run

 

 

 

Secara kasat mata eksistensi virus ini tidak terlihat (Hidden Files). Sehingga hal ini akan menyulitkan kita untuk mencari secara fisik (keberadaan) virus tersebut apalagi untuk menghapusnya.

 

Parahnya lagi, ketika kita mencoba untuk me-show hidden files and folders-kan melalui Folder Option (Alt-Key T-O (ToolsOption) untuk winNT dan XP atau Alt-Key V-O (ViewOption) untuk Win9x dan winME), fasilitas itu telah dirusaknya (diinfeksi untuk tidak berfungsi). Kondisi ini dikarenakan si virus berhasil mengInfeksi Registry di HKEY_CURRENT_USER (HKCU) dengan me-Disable-kan perintah Folder Option dari Menu Explorer.

 

Di bawah ini contoh salah satu perintah yang diCreate oleh si Bron-ToK pada sistem registry korban. Tujuannya agar si Korban tidak bisa melihat file-file virus yang telah diinfeksikan. Gambar 1 adalah contoh menu explorer yang belum terinfeksi Bron-ToK. Di situ dapat kita lihat menu Forder Option, sebaliknya bila terinfeksi menu tersebut tidak tampil (hilang).

 

[HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions]

 

Gambar 1

 

 

I. LANTAZ apa yang kita lakukan ?.

 

Pengetahuan kangtatantakwa tentang si NeR0 yang bisa melihat file-2 atau folder-2 yang di-hidden sebenarnya sudah lama. Baik yang di-hidden/diproteksi oleh sistem registry administrator maupun oleh program-2 peng-Hidden seperti LockForder.

 

Breakz : Nah Lho..., kepada yang suka nyimpen file-file GITUan (top secret maksudnya) di HardDisk dengan aplikasi di-hidden atau diproteksi sekarang dijamin jadi ngga PeDe.

 

Back:

Teringat pada si NeR0 yang selain gemar ngeBakar juga tukang Ngintip ini, kangtatantakwa mencoba mengaplikasikan untuk kasus Bro-ToK ini. Dan hasilnya...  Aha..! terjadi Penampakan. Lihat Gambar 2 dan 3. Pada kedua gambar di bawah tersebut kita bisa lihat file-file yang di-hidden itu adalah sempalong.exe dan eksplorasi.exe.

 

INGAT! anda jangan terJebak.

Pada Gambar terlihat seperti FOLDER, padahal itu file aplikasi (*.exe) dengan KAMUFLASE berupa Icon ber-Folder (seperti halnya Serigala Berbulu Domba atau Bandit Berkedok Jagon). ARTInya bila kita mengklik folder tersebut sesusungguhnya kita tidak masuk ke dalam isi folder tersebut, melainkan secara tidak disadari kita telah mengKLIK langsung atau mengEksekusi file tersebut. Yang konsekuensinya virus tersebut menjadi aktif dan menyebar ke folder dan ke sub-sub foldernya terutama folder yang berada di My Documents.

 

 

Gambar 2

 

Di bawah ini nama-nama file dari virus yang menetap di dalam direktori Windows (lihat Gambar 2 dan 3):

.o1- C:\Windows dengan, nama file eksplorasi.exe (hidden)
.o2- C:\windows\shellnew, dengan nama sempalong.exe (hidden)
.o3- C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden)
.o4- C:\Windows\pss, dengan nama file [Empty.pifStartup]

 

Gambar 3

 

Oyahh.., walaupun kita telah berhasil melihat secara fisik virus tersebut (Show hidden files and folders) via kang NeR0, pada tahap ini kita tetap belum dapat menghapus file-file tersebut secara permanen. Walapun bisa kita tetap akan kesulitan dan kerepotan untuk menghapusnya. Karena file-fle tersebut akan berREINKARNASI membentuk file yang sama dalam waktu 2 (dua) detik. 

 

Di bawah ini contoh perintah reinkarnasi yang diCreate oleh si Bron-ToK pada sistem registry korban (lihat Tabel 1). Perintah ini memungkin file-2 yang telah dihapus akan tetap Alert dan tetap muncul lagi (be Jill The Yie).

 

HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus

Dan tidak hanya berkemampuan berREINKARNASI saja. Virus inipun mempunyai daya reproduksi dan regenerasi dengan tingkat penyebaran yang tinggi dan memiliki daerah epidemik sendiri-sendiri. Misalnya dalam modus operandinya, virus ini membuat nama virus sesuai dengan nama folder-folder yang ada di My Documents (lihat Gambar 5). Namun begitu, zona penyebaran aksinya hanya terbatas di folder-2 yang ada di My Documents saja, tidak menjangkiti file atau folder di localdrive (drive C) kecuali direktori Windows (itupun tidak semua), drive D, atau partisi drive lainnya.

 

PENTING :

Pada saat melakukan pembersihan virus Bron-ToK (Rontokbro), pastikan Operation System (OS) dalam kondisi “Save Mode”. Yaitu dengan cara meRestart komputer dan menekan tombol [F8]. Hal ini dimaksudkan untuk mencegah virus Rontokbro tidak melakukan restart selama proses pembersihan.

 

Modus operandi virus ini hampir sama dengan virus Tojan Blaster yaitu menjadikan sistem komputer ngeRestart terus saat komputer memasuki desktop. Modus operandi untuk virus Tojan Blaster sebelum restart (meledak) ada hitungan mundur dulu (count down), sedangkan virus Rontokbro.N langsung ngeRontokin (restarting) sistem pada saat komputer memasuki desktop.

 

Virus Bron-ToK hanya berkerja pada kondisi Under Windows (tidak under DOS). Sehingga virus tersebut tidak mampu menDelete atau meReplace file-file system yang sedang aktif [Run]. Oleh karenanya virus ini membuat nama imitasi yang sesuai dengan nama file-2 sistem yang aktif tersebut (lihat Gambar 4). Di sini trik social engineering dipakai oleh si pembuat virus. Tujuannya adalah agar si pengguna komputer tidak mencurigai bahwa file yang sedang aktif adalah bukan virus.

 


II. LANTAZ apa yang kita lakukan ?.

 

Banyak pakar yang merekomendasikan. Agar kita dapat menghapus file-2 yang dimaksud maka kita harus masuk dulu ke dalam menu Windows taks manager (WTM) yaitu dengan cara tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu Processes. Menu ini menginformasikan atau me-list-kan file-2 apa saja yang sedang alert (aktif) pada sistem operasional (OS) saat itu. Untuk menonaktifkannya cukup highlight file yang akan di hapus kemudian klik kanan dan highlight [End-process-tree]

 

CARA ini Betul tapi menurut kangtatantakwa kurang Bagus dan kurang Efektif (kangtatantakwa ucapkan maaf kepada para PAKAR virus). Kenapa?. Karena pada menu yang di-list-kan oleh WTM tidak dibedakan mana file original dan mana file kamuflase (virus). Dan jika kita salah mendelete-tree (menonaktifkan) dari file yang kita pilih, sistem malah jadi Hang (stagnan). Walaupun cukup dengan rebooting bisa normal lagi. Tapi jika salah menonaktifkan lagi, yaa ngeHang lagi.

 

Padahal file-2 yang harus dihapus adalah file-2 aspal (asli-tapi-palsu) yang berkedok file-file inti yang sangat diperlukan oleh OS. Antara lain, smss.exe, csrss.exe, services.exe, Isass.exe dan winlogon.exe. File-2 yang asli berdomisili (path) di C:\Windows\system32\ sedangkan yang palsu (virus) menetap di C:\Documents and Settings\%user%\Local Settings\Application Data.

 

Pada tahap uji forensik ini kangtatantakwa menggunakan tool ProcMon yang terdapat pada program (software) Essential Net Tools. Pada Gambar 4 terlihat icon yang berbeda antara file asli dan file paslu. Keindahan dari tool Procmon ini adalah mampu menampilkan icon sesuai yang diciptakan oleh yang bikin.

 

Gambar 4

 

Di bawah ini nama-nama file dari virus yang menetap di dalam direktori Application Data (lihat Gambar 4 dan Gambar 5):

C:\Documents and Settings\%user%\Local Settings\Application Data

o1 csrss.exe
o2 inetinfo.exe
o3 lsass.exe
o4 services.exe
o5 smss.exe
o6 winlogon.exe
o7 Bron.tok-[1n]-[2n]
o8 Loc.Mail.Bron.Tok
o9 Ok-SendMail-Bron-tok
o10 NetMailTmp.bin
o11 Kosong.Bron.Tok.txt
o12 Update.3.Bron.Tok.bin

Poin 1 s/d 6,  merupakan file aktif [Run] dalam sistem, sehingga terdeteksi oleh ProcMon. Sedangkan file 7 s/d 12, merupakan file komplementer yang sangat tergantung pada file *.exe-nya. Artinya jika kita berhasil menghapus secara permanen semua file-file *.exe-nya maka secara otomatis file-2 komplementer akan hilang jua.

 

Nah.. setelah kita berhasil menghapus fife-file di poin 1 s/d 6, selanjutnya kita menghapus (pake NeR0) file dari yang menetap di dalam direktori Windows terutama file sempalong.exe dan explorasi.exe (poin 1 dan 2), lihat Gambar 2 dan 3. sama dengan yang di atas, file lainnya hanya komplementer dan sangat tergantung pada file *.exe-nya.

 

 

Gambar 5

 

 

 

SELESAI-kah ?, belum atuh...

III. LANTAZ apa yang kita lakukan ?.

 

Seperti telah kangtatantakwa ulas di atas bahwa Virus ini selain mampu berREINKARNASI juga mempunyai daya reproduksi dan regenerasi dengan tingkat penyebaran yang tinggi dan memiliki daerah epidemik sendiri-sendiri. Dimana daerah kekuatan politiknya adalah folder-folder yang ada di My Documents (lihat Gambar 6).

 

Bisa kita bayangkan, jika dalam My Documents terdapat ribuan folder termasuk sub-2 foldernya, maka ruang gerak dan ruang aksi dari virus ini akan semakin kuat dan mengakar. Dengan kata lain akan sia-2 tentunya jika kita menghapusnya one-by-one.

 

Cara mesiasatinya adalah menggunakan fasilitas tool Search yang terdapat di Windows Explorer atau Klik [Start] - [Search] - [For Files or Folders] - [All files or Folders] - [All or part of the file name: -ketik- *.exe] – [Look in: -pilih- My Documents] – terakhir pencet Search.

 

Tunggu beberapa saat, dan hasil report untuk kasus di Lab. kangtatantakwa seperti terlihat pada Gambar 6. Mari kita perhatikan. Walaupun nama file “folder”-nya berbeda-beda tetapi secara fisik bobotnya sama. Hal ini bisa kita lihat dari isi ukuran filenya yaitu 42 KB. Ukuran filenya sama persis dengan ukuran file sempalong.exe dan explorasi.exe.

 

 

Penting ! :

PASTIkan anda hanya menghapus fille-file yang Berukuran 42 Kb dan yang hanya Bericon [folder].exe saja. Untuk lebih memudahkannya kondisikan (setting) dengan langkah sebagai berikut: pada kondisi Gambar 6, [Klik kanan]-sorot [Arrange Icons by]- pilih [Size].

Gambar 6

 

 

 

SELESAI-kah ?, 25 % lagi dech...

IV. LANTAZ apa yang kita lakukan ?.

 

Masih ingat Gambar 1 ?. Bila anda sangat interest dengan Forder Option-nya maka anda harus coba mengembalikannya. Tentunya harus masuk ke dalam registry editor yang kini sudah tidak terproteksi lagi oleh si Bron-ToK.

Caranya >>> KLIK [Start]  - [Run]  - ketik [Regedit] ok - pilih [HKCU] - [Software] - [Microsoft] - [Windows] - [CurrentVersion] - [Policies] - [Explorer] - klikkanan-&-delete [NoFolderOptions] - [Restart dan masuk dalam settingan normal (tidak perlu “save mode” lagi)]

 

 

Tambahan-1:

Bila anda telah sukses memasuki tahap LANTAZ-IV, sesungguhya file-file yang ada di Gambat 5 sudah bisa dinyatakan diSFungsi. Sehingga anda boleh (tidak perlu lagi takut reboot/restart) menghapus file-2 tersebut dalam settingan normal, tidak perlu save mode, atau pake Ner0 lagi.

 

Tambahan-2:

Virus Bron-Tok (Rontokbro.N) ini sebetulnya memiliki sifat mengInstall. Sehingga setiap program yang terinstall akan secara otomatis didaftarkan oleh system operation. Karena sifat virus ini hidden file, maka anda tidak akan menemukannya bila anda check ke menu remove/uninstall di Windows (Settings-Control Panel-Add or Remove Programs).

 

Kangtatantakwa saranin, sebaiknya anda menggunakan program remover atau uninstaller lain. Cari pake paman google. Karena banyak pilihannya, kangtatantakwa biasa pake program “Your Uninstaller! PRO” (gunakan versi terbaru). Dengan program ini semua icon yang hidden diNongolin. Nama iconnya disesuaikan dengan username (%username% Documents) yang terinfeksi. Misalnya kangtatantakwa Documents dengan wujud icon “Folder berwarna Kuning”.  

 

 

 

 

SELESAI-kah ?, 5 % lagi dunk...

V. LANTAZ apa yang kita lakukan ?.

 

Layaknya orang yang baru saja kena serangan STROKE, pasti harus adaptasi dulu. Dan masih memerlukan Rawat Jalan. Begitu pula “kompi” yang baru bersih dari serangan Bron-ToK. Rawat jalan (pc maintain) yang diperlukan oleh si Kompi adalah melakukan Fix registry problem, Get rid of system junk, Defragment, dan yang dianggap perlu lainnya. Tool-2 ini tersedia dalam sistem mekanik pro 5 (lihat Gambar 7).

 

Gambar 7

 

Masih ingat dengan artikel kangtatantakwa tentang System Mechanic Pro-5 yang dimuat di Jasakom 24/09/2005 (http://www.jasakom.com/article.aspx?ID=710), sekedar mengingatkan dan/atau bagi anda yang belum membaca artikel tersebut dapat juga mengunjungi http://www.geocities.com/kangtatantakwa  lihat Kolom Artikel : Cracking.SysMech5.Pro. Di sana ada program trialnya yang dapat anda download.

 

 

SELESAI-kah ?, 1 % lagi...

V. LANTAZ apa yang kita lakukan ?.

 

Sekedar nyaranin, Untuk pembersihan lebih cepat sebaiknya menggunakan program antivirus yang sudah memiliki definition log atau yang sudah dapat mengenali Rontokbro.N. Untuk sementara, antivirus Norman dengan up-date terakhir sudah dapat mengenali virus ini. Program versi terbaru (versi 5.81) ini bisa didonlod pada situs di bawah ini. http://download.norman.no/nvc5/NVC581_R4ENG.EXE

 

 

>> KEPADA yang Membuat Virus Bron-ToK ato Rontokbro.N

.o1. Kalau sasaran dari virus yang anda buat ini adalah masyarakat awam pengguna komputer maka Grade anda adalah ilmuan Tengik dari komunitas Bawah Tanah.

.o2. Kalau sasaran dari virus yang anda buat ini adalah kangtatantakwa maka anda harus banyak-banyak belajar lagi (IQro, IqRo, en 1qr0 euy..!).

.o3. Kalau sasaran dari virus yang anda buat ini adalah NASA, Pentagon, Wallstreet, Dinas Intelejen Adidaya, Yahoo, Symantech, Microsoft, etc maka yang anda lakukan belum berpengaruh nyata, atau anda memang belum ada kemampuan untuk berbuat ke arah itu.

.o4. Kalau sasaran dari virus yang anda buat ini adalah Koruptor dan Politisi Busuk negeri ini maka ..... yang anda harus adalah berkolaborasi dengan ahli kimia, ahli biologi, ahli sosial, ahli ekonomi, ahli politik, ahli kebathinan, ahli dan sebagainya. Terus apa hubungannya dengan Koruptor dan Politisi Busuk ? Tanyakan saja pada rumput yang bergoyang.

 

Okeh everybody sekalian..!, siapapun anda, apapun profesi anda, dimanapun asal anda, kangtatantakwa ucapkan SELAMAT menekuni job-job anda jika memang itulah pekerjaan yang menurut anda paling menyenangkan.

 

Tuhan ciptakan sesuatu dengan berbeda-beda. Misalnya ada Hitam ada Putih. Tinggal dari mana Qta memandangnya. Bagi kangtatantakwa HITAM tidak selamanya simbol jahat ato kemisteriusan. Tapi Hitam pun adalah lambang kekuatan dan keperkasaan. PUTIH tidak selamanya simbol kebaikan ato kebenaran. Tapi Putih pun adalah lambang ketidakjelasan (GolPut) dan ketidakberanian (kibarkan berdera putih saat perang a.k.a. menyerah).

 

 

Terakhir kangtatantakwa berUcap, berHarap dan berMinta:

BAGI anda virus makerz, selamat asik di dunia anda. Dan selamat berkarya dan berdikari untuk kebaikan.

 

 

 

AgR3e:::MeNt

Penulis tidak bertanggung jawab atas segala kesalahan error / kerusakan pada komputer, jaringan lain, dan atau yang berkaitannya. Penulis berharap tulisan ini hanya dipakai sebagai bahan untuk learnig process saja. SEKALI LAGI...! Semua yang anda pelajari dan yang anda lakukan secara otomatis sudah menjadi TANGGUNG JAWAB anda Sepenuhnya, Seluruhnya, dan Seutuhnya (S3).

 

 

 

 

The Pattarosanz kin-toon to kangtatantakwa@yahoo.co.id

 

    ..SEMOGA BERMANFAAT..

 HaPPy Try!nG and Cleani!ng

  (c) 2006 Kangtatantakwa

 

Source: JASAKOM Information Center
 
1 2 3
Jasakom Community - Visitor Comment
Nama: marvolo   Tgl: 4/22/2006 8:16:28 AM
Komentar:
aku lagi butuh sintax2 VB tentang memperbanyak Diri (.exe) yang tau ajarin plzz. Thx ya......... marvolo@plasa.com
Nama: kangtatantakwa   Tgl: 4/15/2006 1:32:51 AM
Komentar:
gaul << hiii... kangtatantakwa atut ama MyBro32
Nama: RhezTiw   Tgl: 4/8/2006 12:25:35 PM
Komentar:
seperti juga hacker. sebenernya para VX juga punya kode etis. sepertinya pembuat brontok tidak melanggar kode etis tsb.
Nama: tomero   Tgl: 4/6/2006 8:36:22 AM
Komentar:
Ingat selalu Situsku yAch...
Nama: gaul   Tgl: 4/5/2006 2:41:39 AM
Komentar:
kantata, tunggu pembalasan gw di virus MyBro32 selamat berlembur ria gw akan kembali ha ha ha hi hi hi
Nama: gaul   Tgl: 4/5/2006 2:40:59 AM
Komentar:
kantata, tunggu pembalasan gw di virus MyBro32 selamat berlembur ria gw akan kembali ha ha ha hi hi hi
Nama: agen_togel   Tgl: 3/27/2006 6:24:31 PM
Komentar:
thankz kang..!, artikel ini gua kasih skor angka "94" sesuai dengan angka TOGEL yang keluar minggu lalu. rajinz-2 menuliz... kangz
Nama: Xcell   Tgl: 3/27/2006 6:11:17 PM
Komentar:
wahh.. gooodd jooob, gw pake punya s'to tp ga ngerti karna die ga pake contoh gambar.
Nama: aosy_77   Tgl: 3/27/2006 6:06:24 PM
Komentar:
bagi gw nih artikel lebih mudah utk dipelajari dibanding artikel laen yg sama, gw dah copy-paste buat pedoman. siip
Nama: parto   Tgl: 3/27/2006 6:27:06 AM
Komentar:
thaaaaaaaaaaaaaaaaaaaaaaaaaankkkkkkkkkkkkkkkkkzzzzzzzzzzzz
Nama: baday_anakrimba   Tgl: 3/27/2006 2:20:28 AM
Komentar:
Wah nih tekhnik udah basi kalee. om s`to pernah ngebahas ini juga loh. buat penulis bukannya nggak ngehargain nih, tapi bikin yang kreatif dong.....!!!
Nama: Boyj4k4   Tgl: 3/26/2006 9:58:20 AM
Komentar:
teg .... tetingstin
Nama: V1r1L M4k3rs   Tgl: 3/26/2006 12:44:03 AM
Komentar:
Gue belum lagi bikin Virus, gue udah nemuin teknik ngerubah isi taskmanager, it's cool
Nama: kangtatantakwa   Tgl: 3/24/2006 8:24:26 PM
Komentar:
Baby_Ngepet << perlu you tau sy send artikel ini ke s'to bln nov2005, utk mybro 2006 gada yg hebat tuh msh ngandelin main string (teknik murahan), ngomong2 ente bisa ga bikin artikel!
Nama: Baby_Ngepet   Tgl: 3/24/2006 12:00:08 PM
Komentar:
Teknik basi, gimana dgn Brontok baru ( MyBro ) ??
Nama: arief200789   Tgl: 3/23/2006 1:07:49 PM
Komentar:
wew....... good job! I'll try!
Nama: allye   Tgl: 3/22/2006 8:08:33 PM
Komentar:
LANTAZZZ............... kita berlomba membasmi
Nama: pureday   Tgl: 3/22/2006 7:27:38 PM
Komentar:

Nama: cyrus07   Tgl: 3/22/2006 3:32:44 AM
Komentar:
lantaz...muncul varian baru lagi skr.....
Nama: waone13   Tgl: 3/22/2006 2:04:42 AM
Komentar:
LANTAZ
1 2 3

 

© Copyright by Jasakom 2005 All Right Reserved

User Id: *

Password:
* Required Field
User Baru ? Klik di sini
Lupa Password ?
Keyword :
 

Click here to join jasakomdotnet
Klik di sini untuk Join jasakomdotnet




Informasi disini digunakan untuk tujuan pendidikan, Jasakom tidak bertanggung jawab untuk penyalahgunaan informasi yang ada pada web ini. Gunakan segala bentuk informasi disini secara bijak untuk melindungi diri anda sendiri agar  tidak  menjadi korban internet.