Ini artikel yang saya ambil dari situs www.vaksin.com, mudah2an bisa membantu :
Rontokbro menyerbu Indonesia 13 November 2005
Virus Lokal Kelas Dunia yang memiliki SMTP sendiri
Siapa bilang putra Indonesia tidak mampu bersaing dan berkiprah di dunia ?
Lihat Teh Botol Sosro, Gudang Garam, Indomie dan Pacekap yang dimiliki oleh
putra Indonesia yang menguasai pasar Indonesia dan mulai merambah pasar dunia.
Kalau selama ini virus lokal seperti Kangen, Tabaru (Riyani Jangkaru), Lavist
atau Kumis yang asli buatan Indonesia dapat digolongkan sebagai virus "kelas 2"
karena penyebarannya mengandalkan UFD (USB Flash Disk) meminjam istilah yang
digunakan Tabloid PC Plus :) dan mayoritas menyebar di Indonesia atau Asia
Tenggara. Maka kini para pengguna internet Indonesia dan di belahan dunia lain
seperti Amerika, Polandia, Spanyol, Jepang, Vietnam, Belanda, Hungaria, Swedia,
Peru, Rusia dan Israel juga kebagian aksi virus baru yang diberi nama
W32/[EMAIL PROTECTED], sesuai dengan namanya maka anda tahu bahwa virus ini
mampu menyebarkan dirinya dengan mass mailing (email massal) dan memupuskan
"tradisi" virus lokal yang mengandalkan UFD sebagai sarana penyebaran utamanya.
Banyak hal yang mengejutkan dari Rontokbro ini seperti kemampuan rekayasa
sosial yang tinggi dan dapat dikatakan berciri asli Indonesia dan pertama kali
digunakan oleh virus lokal seperti memalsukan "icon" dirinya sebagai file tidak
berdosa baik sebagai file MS Office ataupun sebagai folder, melakukan bloking
akses Registry Editor, melakukan restart komputer jika menemukan kata tertentu
pada header browser, selektif dalam mengirim email bervirus (guna menghindari
deteksi cepat oleh vendor sekuriti) sampai "mengerjai" Host file komputer lokal
sehingga akses ke situs sekutiri tertentu menjadi terblokir.
Mengapa Rontokbro
Tentunya anda bertanya, kok namanya susah amat Rontokbro ? Apa maksudnya
mengakibatkan komputernya si Bro Rontok ? :). Atau apa alasan lain ? Menurut
pengamatan teknisi laboratorium virus Vaksincom, ternyata pembuat virus ini
mendapatkan ilham membuat virus ini dari satwa langka Indonesia, Elang Brontok
yang memiliki nama latin Spizaetus cirrhatus, selain itu rupanya pembuat virus
Rontokbro (yang disinyalir berasal dari salah satu universitas pemerintah di
Jawa Barat) juga menyebarkan pesan anti korupsi, anti freesex dan anti
pencemaran lingkungan dalam email yang dikirimkannya dengan lampiran
kangen.exe. Apakah pembuat virus ini sama dengan pembuat Kangen, atau ia hanya
membonceng kepopuleran virus Kangen agar dirinya dapat menyebar dengan baik,
yang jelas menurut statistik Vaksincom penyebaran Rontokbro saat ini sudah
mengalahkan Kangen. Gara-gara Rontokbro ini juga Vaksincom jadi mau tidak mau
mencari sedikit informasi tentang Elang Brontok yang ternyata merupakan satwa
burung khas Indonesia yang patut dibanggakan karena memiliki keunikan
morphologi yang tidak dimiliki burung lainnya di dunia. Terimakasih kepada bung
Thomas Feri atas sharing informasinya dan kesediaannya mengizinkan Vaksincom
menampilkan gambar Elang Brontok Spizaetus cirrhatus limnaetus dibawah ini.
Gambar 1, Elang Brontok "Lightmorph", copyright http://thomasferi.multiply.com
Detail Email yang mengandung virus Rontokbro
Adapun email yang mengandung virus Rontokbro ini memiliki ciri-ciri sebagai
berikut :
From: [Dipalsukan]
Subject: kosong
Message:
BRONTOK.A [ By: HVM**-Jowo*** #** Community ]
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By:
HVM**-Jowo*** #** Community--
Attachment:
Kangen.exe
Uniknya, rontokbro akan menghindari pengiriman email ke alamat-alamat dengan
domain sebagai berikut :
PLASA
TELKOM
INDO
.CO.ID
.GO.ID
.MIL.ID
.SCH.ID
.NET.ID
.OR.ID
.AC.ID
.WEB.ID
.WAR.NET.ID
ASTAGA
GAUL
BOLEH
EMAILKU
SATU
Apa alasan di balik aksinya ini ? Apakah untuk mengurangi lalulintas email
lokal atau pembuatnya merasa cukup "pede" dimana penyebaran lokal diserahkan
pada UFD sehingga tidak perlu mengandalkan penyebaran via email karena toh
penyebaran via warnet jauh lebih efektif dibandingkan melalui email. Yang jelas
Rontokbro yang disebarkan ke domain di luar Indonesia mencatat "prestasi" yang
cukup baik (untuk ukuran Indonesia) dan berhasil menyebar kenegara lain.
Hebatnya lagi, antivirus top tidak mengenali virus ini dan menurut catatan
Vaksincom, versi Rontokbro yang dikenali oleh antivirus hanya versi awal
W32/[EMAIL PROTECTED] dan W32/[EMAIL PROTECTED] saja. Padahal varian Rontokbro
yang diterima oleh Vaksincom dan dapat dikenali oleh Norman Virus Control sudah
sampai varian ke 7 W32/[EMAIL PROTECTED]
Satu kehebatan lain dari Rontokbro adalah kemampuannya untuk mencari SMTP
server guna mengirimkan kopi dirinya dan ia juga menggunakan SMTP engine
sendiri untuk mengirimkan dirinya pada semua alamat email yang berhasil
dikumpulkannya dari komputer yang terinfeksi.
Komputer restart terus menerus
Bagaimana kita bisa mengetahui bahwa komputer sudah terinfeksi Rontokbro ?
Selain melakukan beberapa perubahan pada registri yang mengakibatkan
pemblokiran pada akses Registry Editor sehingga anda tidak bisa membuka
regedit.exe, Rontokbro juga menyebabkan komputer restart terus menerus. Biang
keladinya bukan eksploitasi celah keamanan seperti Sasser, melainkan karena
Rontokbro melakukan restart pada komputer setiap kali menemukan aplikasi dengan
nama :
..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE
dimana tujuan dari aksi ini adalah jelas untuk memproteksi dirinya supaya tidak
mudah dibasmi.
Selain itu Rontokbro juga berusaha menyerang website
israel.gov.il
playboy.com
dengan cara membanjiri dengan ping. Namun dampak dari aktivitas ini hanya akan
terasa kalau komputer yang terinfeksi mencapai jumlah yang sangat banyak (e.g.
10.0000 komputer) yang pada kasus tertentu dapat mengakibatkan website yang
diserang menjadi lumpuh /down.
Bagaimana kalau saya sudah terinfeksi Rontokbro
Pembersihan Rontokbro sebaiknya dilakukan melalui safe mode karena jika
mencoba pembersihan melalui mode normal komputer akan langsung restart begitu
komputer dijalankan.
1. Lakukan pembersihan melalui safe mode
2. Scan komputer dengan Norman Virus Control update terakhir. Bagi anda
yang belum neggunakan Norman Virus Control, silahkan download ke
http://www.norman.com/Download/Trial_versions/en-us (jangan lupa masukkan email
anda yang valid untuk menerima License Trial) dan bersihkan semua file yang
terdeteksi sebagai W32/[EMAIL PROTECTED] dan variannya (lihat gambar 2)
Gambar 2, Norman Virus Control dapat mengenali W32/[EMAIL PROTECTED] dan
variannya
3. Untuk mengaktifkan kembali fungsi registry editor hapus value:
o DisableRegistryTools =1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Untuk lebih mudahnya gunakan tools dari HijackThis, tools tersebut
dapat
didownload dialamat :
http://www.spywareinfo.com/~merijn/downloads.html
Setelah dijalankan, cari option
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies, DisableRegedit=1,
kemudian klik [Fix checked] (Lihat Gambar 3)
Gambar 3, Gunakan HijackThis untuk membuka blokir regedit.exe yang dilakukan
oleh Rontokbro
Hapus registri :
· Bron-Spizaetus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
· Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
· Disable CMD=0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Untuk mengembalikan option [Folder option] pada windows explore, hapus string
registry:
· NoFolderOptions=dword:00000001
pada registry key
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
4. Hapus opsi pada menu [Startup] pada msconfig
o NorBtok
o Smss
o Empty
Hapus Schedule Task yang dibuat oleh W32/RontokBro.B
o Buka [Windows Explorer]
o Klik [Control Panel]
o Klik 2 kali [Schedule Tasks]
-----Original Message-----
From: [email protected] [mailto:[EMAIL PROTECTED] On Behalf Of S.Hikmat
Sent: Monday, October 31, 2005 9:21 AM
To: [email protected]
Subject: [ITCENTER] Virus Rontokbro
Hello ITCENTER,
Ada yg dapat bantu cara mengatasi virus baru "RontokBro" ?
--
Best regards,
S.Hikmat
--
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia
Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED]
:: Hapus bagian yang tidak perlu (footer, dst) saat reply! ::
## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ##
$$ Iklan/promosi : www.itcenter.or.id/sponsorship $$
[@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id
Yahoo! Groups Links
--
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia
Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED]
:: Hapus bagian yang tidak perlu (footer, dst) saat reply! ::
## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ##
$$ Iklan/promosi : www.itcenter.or.id/sponsorship $$
[@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/ITCENTER/
<*> To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/