Bila
kita amati atau analisa [kali
adja bener :)] sesuai nama dari virus
tersebut, sepertinya si peracik virus tersebut lebih
dari satu orang, setidaknya ada 2 pelaku. Secara
naluriah dari Pelaku, ada keinginan untuk mengabadikan
dirinya tapi masih malu-2, sehingga mereka hanya
mencantumkan nickname saja yaitu Bron dan ToK
[kali adja bener
:)].
Keduanya
mempunyai Tugas Pokok dan Fungsi (tupoksi) yang berbeda
namun sangat bersinergi. Tupoksi si Bron, yang
bernama lengkap (fake-name dech) Bron-Spizaetus
bertugas menyusup ke folder/direktori Windows.
Sedangkan si ToK, yang bernama lengkap (fake
name juga) ToK-Cirrhatus mendapat disposisi untuk
menetap di folder/direktori Aplication Data
Dari
hasil investigasi awal yang lakukan di Lab.
kangtatantakwa dengan menggunakan webroot spy sweeper
(pake versi terAnyar kalo bisa), informasi dari virus
Bron-ToK sebagai berikut:
Tabel
1
|
Startup
Item : Bron-Spizaetus
Product
name is not provided
Company
name is not provided
Copyright
information is not provided
|
|
Location:C\WINDOWS\ShellNew\sempalong.exe
Registry
or starup Forlder: HKCU: Run |
|
|
|
Startup
Item : ToK-Cirrhatus
Product
name is not provided
Company
name is not provided
Copyright
information is not provided
|
|
Location:C\Documents
and settings\Kangtatantakwa Lab\Local
Setting\Aplication Data\smss.exe
Registry
or starup Forlder: HKCU: Run
|
Secara
kasat mata eksistensi virus ini tidak terlihat
(Hidden Files). Sehingga hal ini akan menyulitkan
kita untuk mencari secara fisik (keberadaan) virus
tersebut apalagi untuk menghapusnya.
Parahnya
lagi, ketika kita mencoba untuk me-show hidden files
and folders-kan melalui Folder Option
(Alt-Key T-O (ToolsOption) untuk winNT dan XP
atau Alt-Key V-O (ViewOption) untuk Win9x dan
winME), fasilitas itu telah dirusaknya (diinfeksi untuk
tidak berfungsi). Kondisi ini dikarenakan si virus
berhasil mengInfeksi Registry di HKEY_CURRENT_USER
(HKCU) dengan me-Disable-kan perintah Folder
Option dari Menu Explorer.
Di
bawah ini contoh salah satu perintah yang diCreate oleh
si Bron-ToK pada sistem registry korban. Tujuannya agar
si Korban tidak bisa melihat file-file virus yang telah
diinfeksikan. Gambar 1 adalah contoh menu
explorer yang belum terinfeksi Bron-ToK. Di situ dapat
kita lihat menu Forder Option, sebaliknya bila
terinfeksi menu tersebut tidak tampil
(hilang).
[HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions]

Gambar
1
I.
LANTAZ apa yang kita lakukan ?.
Pengetahuan
kangtatantakwa tentang si NeR0 yang bisa melihat file-2
atau folder-2 yang di-hidden sebenarnya sudah lama. Baik
yang di-hidden/diproteksi oleh sistem registry
administrator maupun oleh program-2 peng-Hidden seperti
LockForder.
Breakz
:
Nah Lho..., kepada yang suka nyimpen file-file GITUan
(top secret maksudnya) di HardDisk dengan
aplikasi di-hidden atau diproteksi sekarang
dijamin jadi ngga PeDe.
Back:
Teringat
pada si NeR0 yang selain gemar ngeBakar juga tukang
Ngintip ini, kangtatantakwa mencoba mengaplikasikan
untuk kasus Bro-ToK ini. Dan hasilnya... Aha..!
terjadi Penampakan. Lihat Gambar 2 dan 3. Pada
kedua gambar di bawah tersebut kita bisa lihat file-file
yang di-hidden itu adalah sempalong.exe
dan eksplorasi.exe.
INGAT!
anda jangan terJebak.
Pada
Gambar terlihat seperti FOLDER, padahal itu file
aplikasi (*.exe) dengan KAMUFLASE berupa Icon ber-Folder
(seperti halnya Serigala
Berbulu Domba atau Bandit Berkedok Jagon).
ARTInya bila kita mengklik folder tersebut
sesusungguhnya kita tidak masuk ke dalam isi folder
tersebut, melainkan secara tidak disadari kita telah
mengKLIK langsung atau mengEksekusi file tersebut. Yang
konsekuensinya virus tersebut menjadi aktif dan menyebar
ke folder dan ke sub-sub foldernya terutama folder yang
berada di My Documents.

Gambar
2
Di
bawah ini nama-nama file dari virus yang menetap di
dalam direktori Windows (lihat Gambar 2 dan
3):
.o1-
C:\Windows dengan, nama file eksplorasi.exe
(hidden)
.o2- C:\windows\shellnew, dengan nama
sempalong.exe (hidden)
.o3- C:\WINDOWS\system32,
dengan nama %username"s Setting.scr (hidden)
.o4-
C:\Windows\pss, dengan nama file
[Empty.pifStartup]

Gambar
3
Oyahh..,
walaupun kita telah berhasil melihat secara fisik virus
tersebut (Show hidden files and folders) via kang
NeR0, pada tahap ini kita tetap belum dapat menghapus
file-file tersebut secara permanen. Walapun bisa kita
tetap akan kesulitan dan kerepotan untuk menghapusnya.
Karena file-fle tersebut akan berREINKARNASI membentuk
file yang sama dalam waktu 2 (dua) detik.
Di
bawah ini contoh perintah reinkarnasi yang diCreate oleh
si Bron-ToK pada sistem registry korban (lihat Tabel
1). Perintah ini memungkin file-2 yang telah dihapus
akan tetap Alert dan tetap muncul lagi (be Jill The
Yie).
HKCU,
Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus
Dan
tidak hanya berkemampuan berREINKARNASI saja. Virus
inipun mempunyai daya reproduksi dan regenerasi dengan
tingkat penyebaran yang tinggi dan memiliki daerah
epidemik sendiri-sendiri. Misalnya dalam modus
operandinya, virus ini membuat nama virus sesuai dengan
nama folder-folder yang ada di My Documents (lihat
Gambar 5). Namun begitu, zona penyebaran aksinya
hanya terbatas di folder-2 yang ada di My Documents
saja, tidak menjangkiti file atau folder di localdrive
(drive C) kecuali direktori Windows (itupun tidak
semua), drive D, atau partisi drive lainnya.
PENTING
:
Pada
saat melakukan pembersihan virus Bron-ToK (Rontokbro),
pastikan Operation System (OS) dalam kondisi “Save
Mode”. Yaitu dengan cara meRestart komputer dan
menekan tombol [F8]. Hal ini dimaksudkan untuk mencegah
virus Rontokbro tidak melakukan restart selama
proses pembersihan.
Modus
operandi virus ini hampir sama dengan virus Tojan
Blaster yaitu menjadikan sistem komputer
ngeRestart terus saat komputer memasuki desktop.
Modus operandi untuk virus Tojan Blaster sebelum
restart (meledak) ada hitungan mundur dulu
(count down), sedangkan virus Rontokbro.N
langsung ngeRontokin (restarting) sistem pada
saat komputer memasuki desktop.
Virus
Bron-ToK hanya berkerja pada kondisi Under
Windows (tidak under DOS). Sehingga virus
tersebut tidak mampu menDelete atau meReplace file-file
system yang sedang aktif [Run]. Oleh karenanya virus ini
membuat nama imitasi yang sesuai dengan nama file-2
sistem yang aktif tersebut (lihat Gambar 4). Di
sini trik social
engineering
dipakai oleh si pembuat virus. Tujuannya adalah agar si
pengguna komputer tidak mencurigai bahwa file yang
sedang aktif adalah bukan virus.
II. LANTAZ apa yang kita lakukan
?.
Banyak
pakar yang merekomendasikan.
Agar kita dapat menghapus file-2 yang dimaksud maka kita
harus masuk dulu ke dalam menu Windows taks
manager (WTM) yaitu dengan cara tekan tombol [CTRL]
+ [ALT] + [Del] secara bersamaan, kemudian pilih [Task
Manager], setelah layar Task Manager muncul, klik
menu Processes. Menu ini menginformasikan atau
me-list-kan file-2 apa saja yang sedang
alert (aktif) pada sistem operasional (OS) saat
itu. Untuk menonaktifkannya cukup highlight file yang
akan di hapus kemudian klik kanan dan highlight
[End-process-tree]
CARA
ini Betul tapi menurut kangtatantakwa kurang Bagus dan
kurang Efektif (kangtatantakwa
ucapkan maaf kepada para PAKAR virus). Kenapa?.
Karena pada menu yang di-list-kan oleh WTM tidak
dibedakan mana file original dan mana file kamuflase
(virus). Dan jika kita salah mendelete-tree
(menonaktifkan) dari file yang kita pilih, sistem malah
jadi Hang (stagnan). Walaupun cukup dengan
rebooting bisa normal lagi. Tapi jika salah
menonaktifkan lagi, yaa ngeHang lagi.
Padahal
file-2 yang harus dihapus adalah file-2 aspal
(asli-tapi-palsu) yang berkedok file-file inti yang
sangat diperlukan oleh OS. Antara lain, smss.exe,
csrss.exe,
services.exe, Isass.exe
dan winlogon.exe. File-2 yang asli berdomisili
(path) di C:\Windows\system32\
sedangkan yang palsu (virus) menetap di C:\Documents
and Settings\%user%\Local Settings\Application
Data.
Pada
tahap uji forensik ini kangtatantakwa menggunakan tool
ProcMon yang terdapat pada program (software)
Essential Net Tools. Pada Gambar 4
terlihat icon yang berbeda antara file asli dan file
paslu. Keindahan dari tool Procmon ini adalah mampu
menampilkan icon sesuai yang diciptakan oleh yang bikin.

Gambar
4
Di
bawah ini nama-nama file dari virus yang menetap di
dalam direktori Application Data (lihat Gambar 4
dan Gambar 5):
C:\Documents
and Settings\%user%\Local Settings\Application Data
o1
csrss.exe
o2 inetinfo.exe
o3 lsass.exe
o4
services.exe
o5 smss.exe
o6 winlogon.exe
o7
Bron.tok-[1n]-[2n]
o8 Loc.Mail.Bron.Tok
o9
Ok-SendMail-Bron-tok
o10 NetMailTmp.bin
o11
Kosong.Bron.Tok.txt
o12
Update.3.Bron.Tok.bin
Poin
1 s/d 6, merupakan file aktif [Run] dalam sistem,
sehingga terdeteksi oleh ProcMon. Sedangkan file 7 s/d
12, merupakan file komplementer yang sangat tergantung
pada file *.exe-nya. Artinya jika kita berhasil
menghapus secara permanen semua file-file *.exe-nya maka
secara otomatis file-2 komplementer akan hilang
jua.
Nah..
setelah kita berhasil menghapus fife-file di poin 1 s/d
6, selanjutnya kita menghapus (pake NeR0) file dari yang
menetap di dalam direktori Windows terutama file
sempalong.exe dan explorasi.exe (poin 1
dan 2), lihat Gambar 2 dan 3. sama dengan yang di
atas, file lainnya hanya komplementer dan sangat
tergantung pada file *.exe-nya.

Gambar
5
SELESAI-kah
?, belum atuh...
III.
LANTAZ apa yang kita lakukan ?.
Seperti
telah kangtatantakwa ulas di atas bahwa Virus ini selain
mampu berREINKARNASI juga mempunyai daya reproduksi dan
regenerasi dengan tingkat penyebaran yang tinggi dan
memiliki daerah epidemik sendiri-sendiri. Dimana daerah
kekuatan politiknya adalah folder-folder yang ada di My
Documents (lihat Gambar 6).
Bisa
kita bayangkan, jika dalam My Documents terdapat ribuan
folder termasuk sub-2 foldernya, maka ruang gerak dan
ruang aksi dari virus ini akan semakin kuat dan
mengakar. Dengan kata lain akan sia-2 tentunya jika kita
menghapusnya one-by-one.
Cara
mesiasatinya adalah menggunakan fasilitas tool Search
yang terdapat di Windows Explorer atau Klik [Start] -
[Search] - [For Files or Folders] - [All files or
Folders] - [All or part of the file name: -ketik- *.exe]
– [Look in: -pilih- My Documents] – terakhir pencet
Search.
Tunggu
beberapa saat, dan hasil report untuk kasus di Lab.
kangtatantakwa seperti terlihat pada Gambar 6.
Mari kita perhatikan. Walaupun nama file “folder”-nya
berbeda-beda tetapi secara fisik bobotnya sama. Hal ini
bisa kita lihat dari isi ukuran filenya yaitu 42 KB.
Ukuran filenya sama persis dengan ukuran file
sempalong.exe dan explorasi.exe.
Penting
! :
PASTIkan
anda hanya menghapus fille-file yang Berukuran 42 Kb dan yang hanya Bericon [folder].exe
saja. Untuk lebih memudahkannya kondisikan
(setting) dengan langkah sebagai berikut: pada
kondisi Gambar 6, [Klik kanan]-sorot [Arrange
Icons by]- pilih [Size].

Gambar
6
SELESAI-kah
?, 25 % lagi dech...
IV.
LANTAZ apa yang kita lakukan ?.
Masih
ingat Gambar 1 ?. Bila anda sangat
interest dengan Forder Option-nya maka anda harus
coba mengembalikannya. Tentunya harus masuk ke dalam
registry editor yang kini sudah tidak terproteksi lagi
oleh si Bron-ToK.
Caranya
>>> KLIK [Start] - [Run] - ketik
[Regedit] ok - pilih [HKCU] - [Software] - [Microsoft] -
[Windows] - [CurrentVersion] - [Policies] - [Explorer] -
klikkanan-&-delete [NoFolderOptions] - [Restart dan
masuk dalam settingan normal (tidak perlu “save mode”
lagi)]
Tambahan-1:
Bila
anda telah sukses memasuki tahap LANTAZ-IV, sesungguhya
file-file yang ada di Gambat 5 sudah bisa
dinyatakan diSFungsi.
Sehingga anda boleh (tidak perlu lagi takut
reboot/restart) menghapus file-2 tersebut dalam
settingan normal, tidak perlu save mode, atau
pake Ner0 lagi.
Tambahan-2:
Virus
Bron-Tok (Rontokbro.N)
ini sebetulnya memiliki sifat mengInstall. Sehingga
setiap program yang terinstall akan secara otomatis
didaftarkan oleh system operation. Karena sifat
virus ini hidden file, maka anda tidak akan
menemukannya bila anda check ke menu
remove/uninstall di Windows (Settings-Control
Panel-Add or Remove Programs).
Kangtatantakwa
saranin, sebaiknya anda menggunakan program remover atau
uninstaller lain. Cari pake paman google. Karena banyak
pilihannya, kangtatantakwa biasa pake program “Your Uninstaller! PRO”
(gunakan versi terbaru). Dengan program ini semua icon
yang hidden diNongolin. Nama iconnya disesuaikan
dengan username (%username% Documents) yang terinfeksi.
Misalnya kangtatantakwa
Documents dengan wujud icon “Folder berwarna
Kuning”.
SELESAI-kah
?, 5 % lagi dunk...
V.
LANTAZ apa yang kita lakukan ?.
Layaknya
orang yang baru saja kena serangan STROKE, pasti harus
adaptasi dulu. Dan masih memerlukan Rawat Jalan. Begitu
pula “kompi” yang baru bersih dari serangan Bron-ToK.
Rawat jalan (pc maintain) yang diperlukan oleh si Kompi
adalah melakukan Fix registry problem, Get rid of system
junk, Defragment, dan yang dianggap perlu lainnya.
Tool-2 ini tersedia dalam sistem mekanik pro 5 (lihat
Gambar 7).

Gambar
7
Masih
ingat dengan artikel kangtatantakwa tentang System
Mechanic Pro-5 yang dimuat di Jasakom 24/09/2005 (http://www.jasakom.com/article.aspx?ID=710),
sekedar mengingatkan dan/atau bagi anda yang belum
membaca artikel tersebut dapat juga mengunjungi http://www.geocities.com/kangtatantakwa/
lihat Kolom Artikel : Cracking.SysMech5.Pro. Di sana ada
program trialnya yang dapat anda download.
SELESAI-kah
?, 1 % lagi...
V.
LANTAZ apa yang kita lakukan ?.
Sekedar
nyaranin, Untuk pembersihan lebih cepat sebaiknya
menggunakan program antivirus yang sudah memiliki
definition log atau yang sudah dapat mengenali
Rontokbro.N. Untuk sementara, antivirus Norman dengan
up-date terakhir sudah dapat mengenali virus ini.
Program versi terbaru (versi 5.81) ini bisa didonlod
pada situs di bawah ini. http://download.norman.no/nvc5/NVC581_R4ENG.EXE
>>
KEPADA yang Membuat Virus Bron-ToK ato Rontokbro.N
.o1. Kalau sasaran dari virus yang
anda buat ini adalah masyarakat awam pengguna komputer
maka Grade anda adalah ilmuan Tengik dari
komunitas Bawah Tanah.
.o2.
Kalau sasaran dari virus yang anda buat ini adalah
kangtatantakwa maka anda harus banyak-banyak belajar
lagi (IQro, IqRo, en 1qr0 euy..!).
.o3.
Kalau sasaran dari virus yang anda buat ini adalah NASA,
Pentagon, Wallstreet, Dinas Intelejen Adidaya, Yahoo,
Symantech, Microsoft, etc maka yang anda lakukan belum
berpengaruh nyata, atau anda memang belum ada kemampuan
untuk berbuat ke arah itu.
.o4.
Kalau sasaran dari virus yang anda buat ini adalah
Koruptor dan Politisi Busuk negeri ini maka ..... yang
anda harus adalah berkolaborasi dengan ahli kimia, ahli
biologi, ahli sosial, ahli ekonomi, ahli politik, ahli
kebathinan, ahli dan sebagainya. Terus apa hubungannya
dengan Koruptor dan Politisi Busuk ? Tanyakan saja pada
rumput yang bergoyang.
Okeh
everybody sekalian..!, siapapun anda, apapun
profesi anda, dimanapun asal anda, kangtatantakwa
ucapkan SELAMAT menekuni job-job anda jika memang itulah
pekerjaan yang menurut anda paling
menyenangkan.
Tuhan
ciptakan sesuatu dengan berbeda-beda. Misalnya ada Hitam
ada Putih. Tinggal dari mana Qta memandangnya. Bagi
kangtatantakwa HITAM tidak selamanya simbol jahat ato
kemisteriusan. Tapi Hitam pun adalah lambang kekuatan
dan keperkasaan. PUTIH tidak selamanya simbol kebaikan
ato kebenaran. Tapi Putih pun adalah lambang
ketidakjelasan (GolPut) dan ketidakberanian (kibarkan
berdera putih saat perang a.k.a. menyerah).
Terakhir
kangtatantakwa berUcap, berHarap dan berMinta:
BAGI
anda virus makerz, selamat asik di dunia anda.
Dan selamat berkarya dan berdikari untuk
kebaikan.
AgR3e:::MeNt
Penulis
tidak bertanggung jawab atas segala kesalahan error / kerusakan
pada komputer, jaringan lain, dan atau yang
berkaitannya. Penulis berharap tulisan ini hanya
dipakai sebagai bahan untuk learnig process saja.
SEKALI LAGI...! Semua yang
anda pelajari dan yang anda lakukan secara otomatis
sudah menjadi TANGGUNG JAWAB anda Sepenuhnya,
Seluruhnya, dan Seutuhnya (S3).
The
Pattarosanz kin-toon to kangtatantakwa@yahoo.co.id
..SEMOGA BERMANFAAT..
HaPPy
Try!nG and Cleani!ng
(c) 2006 Kangtatantakwa