Ini artikel yang saya ambil dari situs www.vaksin.com, mudah2an bisa membantu :

Rontokbro menyerbu Indonesia       13 November 2005

Virus Lokal Kelas Dunia yang memiliki SMTP sendiri

 

     Siapa bilang putra Indonesia tidak mampu bersaing dan berkiprah di dunia ? 
Lihat Teh Botol Sosro, Gudang Garam, Indomie dan Pacekap yang dimiliki oleh 
putra Indonesia yang menguasai pasar Indonesia dan mulai merambah pasar dunia. 
Kalau selama ini virus lokal seperti Kangen, Tabaru (Riyani Jangkaru), Lavist 
atau Kumis yang asli buatan Indonesia dapat digolongkan sebagai virus "kelas 2" 
karena penyebarannya mengandalkan UFD (USB Flash Disk) meminjam istilah yang 
digunakan Tabloid PC Plus :) dan mayoritas menyebar di Indonesia atau Asia 
Tenggara. Maka kini para pengguna internet Indonesia dan di belahan dunia lain 
seperti Amerika, Polandia, Spanyol, Jepang, Vietnam, Belanda, Hungaria, Swedia, 
Peru, Rusia dan Israel juga kebagian aksi virus baru yang diberi nama 
W32/[EMAIL PROTECTED], sesuai dengan namanya maka anda tahu bahwa virus ini 
mampu menyebarkan dirinya dengan mass mailing (email massal) dan memupuskan 
"tradisi" virus lokal yang mengandalkan UFD sebagai sarana penyebaran utamanya. 
Banyak hal yang mengejutkan dari Rontokbro ini seperti kemampuan rekayasa 
sosial yang tinggi dan dapat dikatakan berciri asli Indonesia dan pertama kali 
digunakan oleh virus lokal seperti memalsukan "icon" dirinya sebagai file tidak 
berdosa baik sebagai file MS Office ataupun sebagai folder, melakukan bloking 
akses Registry Editor, melakukan restart komputer jika menemukan kata tertentu 
pada header browser, selektif dalam mengirim email bervirus (guna menghindari 
deteksi cepat oleh vendor sekuriti) sampai "mengerjai" Host file komputer lokal 
sehingga akses ke situs sekutiri tertentu menjadi terblokir.

 

Mengapa Rontokbro

Tentunya anda bertanya, kok namanya susah amat Rontokbro ? Apa maksudnya 
mengakibatkan komputernya si Bro Rontok ? :). Atau apa alasan lain ? Menurut 
pengamatan teknisi laboratorium virus Vaksincom, ternyata pembuat virus ini 
mendapatkan ilham membuat virus ini dari satwa langka Indonesia, Elang Brontok 
yang memiliki nama latin Spizaetus cirrhatus, selain itu rupanya pembuat virus 
Rontokbro (yang disinyalir berasal dari salah satu universitas pemerintah di 
Jawa Barat) juga menyebarkan pesan anti korupsi, anti freesex dan anti 
pencemaran lingkungan dalam email yang dikirimkannya dengan lampiran 
kangen.exe. Apakah pembuat virus ini sama dengan pembuat Kangen, atau ia hanya 
membonceng kepopuleran virus Kangen agar dirinya dapat menyebar dengan baik, 
yang jelas menurut statistik Vaksincom penyebaran Rontokbro saat ini sudah 
mengalahkan Kangen. Gara-gara Rontokbro ini juga Vaksincom jadi mau tidak mau 
mencari sedikit informasi tentang Elang Brontok yang ternyata merupakan satwa 
burung khas Indonesia yang patut dibanggakan karena memiliki keunikan 
morphologi yang tidak dimiliki burung lainnya di dunia. Terimakasih kepada bung 
Thomas Feri atas sharing informasinya dan kesediaannya mengizinkan Vaksincom 
menampilkan gambar Elang Brontok Spizaetus cirrhatus limnaetus dibawah ini.

 



Gambar 1, Elang Brontok "Lightmorph", copyright http://thomasferi.multiply.com

 

Detail Email yang mengandung virus Rontokbro

Adapun email yang mengandung virus Rontokbro ini memiliki ciri-ciri sebagai 
berikut :

From: [Dipalsukan]

Subject: kosong

Message:
BRONTOK.A  [ By: HVM**-Jowo*** #** Community ]
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar. 
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: 
HVM**-Jowo*** #** Community--

Attachment:
Kangen.exe

Uniknya, rontokbro akan menghindari pengiriman email ke alamat-alamat dengan 
domain sebagai berikut :

PLASA 
TELKOM 
INDO 
.CO.ID 
.GO.ID 
.MIL.ID 
.SCH.ID 
.NET.ID 
.OR.ID 
.AC.ID 
.WEB.ID 
.WAR.NET.ID 
ASTAGA 
GAUL 
BOLEH 
EMAILKU 
SATU

Apa alasan di balik aksinya ini ? Apakah untuk mengurangi lalulintas email 
lokal atau pembuatnya merasa cukup "pede" dimana penyebaran lokal diserahkan 
pada UFD sehingga tidak perlu mengandalkan penyebaran via email karena toh 
penyebaran via warnet jauh lebih efektif dibandingkan melalui email. Yang jelas 
Rontokbro yang disebarkan ke domain di luar Indonesia mencatat "prestasi" yang 
cukup baik (untuk ukuran Indonesia) dan berhasil menyebar kenegara lain. 
Hebatnya lagi, antivirus top tidak mengenali virus ini dan menurut catatan 
Vaksincom, versi Rontokbro yang dikenali oleh antivirus hanya versi awal 
W32/[EMAIL PROTECTED] dan W32/[EMAIL PROTECTED] saja. Padahal varian Rontokbro 
yang diterima oleh Vaksincom dan dapat dikenali oleh Norman Virus Control sudah 
sampai varian ke 7 W32/[EMAIL PROTECTED] 

Satu kehebatan lain dari Rontokbro adalah kemampuannya untuk mencari SMTP 
server guna mengirimkan kopi dirinya dan ia juga menggunakan SMTP engine 
sendiri untuk mengirimkan dirinya pada semua alamat email yang berhasil 
dikumpulkannya dari komputer yang terinfeksi.

 

Komputer restart terus menerus

Bagaimana kita bisa mengetahui bahwa komputer sudah terinfeksi Rontokbro ? 
Selain melakukan beberapa perubahan pada registri yang mengakibatkan 
pemblokiran pada akses Registry Editor sehingga anda tidak bisa membuka 
regedit.exe, Rontokbro juga menyebabkan komputer restart terus menerus. Biang 
keladinya bukan eksploitasi celah keamanan seperti Sasser, melainkan karena 
Rontokbro melakukan restart pada komputer setiap kali menemukan aplikasi dengan 
nama :

.. 
.@ 
@. 
.ASP 
.EXE 
.HTM 
.JS 
.PHP 
ADMIN 
ADOBE 
AHNLAB 
ALADDIN 
ALERT 
ALWIL 
ANTIGEN 
APACHE 
APPLICATION 
ARCHIEVE 
ASDF 
ASSOCIATE 
AVAST 
AVG 
AVIRA 
BILLING@ 
BLACK 
BLAH 
BLEEP 
BUILDER 
CANON 
CENTER 
CILLIN 
CISCO 
CMD. 
CNET 
COMMAND 
COMMAND PROMPT 
CONTOH 
CONTROL 
CRACK 
DARK 
DATA 
DATABASE 
DEMO 
DETIK 
DEVELOP 
DOMAIN 
DOWNLOAD 
ESAFE 
ESAVE 
ESCAN 
EXAMPLE 
FEEDBACK 
FIREWALL 
FOO@ 
FUCK 
FUJITSU 
GATEWAY 
GOOGLE 
GRISOFT 
GROUP 
HACK 
HAURI 
HIDDEN 
HP. 
IBM. 
INFO@ 
INTEL. 
KOMPUTER 
LINUX 
LOG OFF WINDOWS 
LOTUS 
MACRO 
MALWARE 
MASTER 
MCAFEE 
MICRO 
MICROSOFT 
MOZILLA 
MYSQL 
NETSCAPE 
NETWORK 
NEWS 
NOD32 
NOKIA 
NORMAN 
NORTON 
NOVELL 
NVIDIA 
OPERA 
OVERTURE 
PANDA 
PATCH 
POSTGRE 
PROGRAM 
PROLAND 
PROMPT 
PROTECT 
PROXY 
RECIPIENT 
REGISTRY 
RELAY 
RESPONSE 
ROBOT 
SCAN 
SCRIPT HOST 
SEARCH R 
SECURE 
SECURITY 
SEKUR 
SENIOR 
SERVER 
SERVICE 
SHUT DOWN 
SIEMENS 
SMTP 
SOFT 
SOME 
SOPHOS 
SOURCE 
SPAM 
SPERSKY 
SUN. 
SUPPORT 
SYBARI 
SYMANTEC 
SYSTEM CONFIGURATION 
TEST 
TREND 
TRUST 
UPDATE 
UTILITY 
VAKSIN 
VIRUS 
W3. 
WINDOWS SECURITY.VBS 
WWW 
XEROX 
XXX 
YOUR 
ZDNET 
ZEND 
ZOMBIE

dimana tujuan dari aksi ini adalah jelas untuk memproteksi dirinya supaya tidak 
mudah dibasmi.

Selain itu Rontokbro juga berusaha menyerang website

israel.gov.il 
playboy.com

dengan cara membanjiri dengan ping. Namun dampak dari aktivitas ini hanya akan 
terasa kalau komputer yang terinfeksi mencapai jumlah yang sangat banyak (e.g. 
10.0000 komputer) yang pada kasus tertentu dapat mengakibatkan website yang 
diserang menjadi lumpuh /down.

 

Bagaimana kalau saya sudah terinfeksi Rontokbro

Pembersihan Rontokbro sebaiknya dilakukan melalui “safe mode” karena  jika  
mencoba pembersihan melalui mode “normal” komputer akan langsung restart begitu 
komputer dijalankan.

 

1.      Lakukan pembersihan melalui “safe mode”

2.      Scan komputer dengan Norman Virus Control update terakhir. Bagi anda 
yang belum neggunakan Norman Virus Control, silahkan download ke 
http://www.norman.com/Download/Trial_versions/en-us (jangan lupa masukkan email 
anda yang valid untuk menerima License Trial) dan bersihkan semua file yang 
terdeteksi sebagai W32/[EMAIL PROTECTED] dan variannya (lihat gambar 2)


Gambar 2, Norman Virus Control dapat mengenali W32/[EMAIL PROTECTED] dan 
variannya

 

3.      Untuk mengaktifkan kembali fungsi registry editor hapus value: 

o        DisableRegistryTools =1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 

 

            Untuk lebih mudahnya gunakan tools dari HijackThis,  tools tersebut 
dapat 

didownload dialamat :

http://www.spywareinfo.com/~merijn/downloads.html

 

Setelah dijalankan, cari option   
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies, DisableRegedit=1, 
kemudian klik [Fix checked] (Lihat Gambar 3)


Gambar 3, Gunakan HijackThis untuk membuka blokir regedit.exe yang dilakukan 
oleh Rontokbro

 

Hapus registri :

·         Bron-Spizaetus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

·         Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

·         Disable CMD=0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Untuk mengembalikan option [Folder option] pada windows explore, hapus string 
registry:

·         NoFolderOptions=dword:00000001
pada registry key

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
 

4.      Hapus opsi pada menu [Startup] pada msconfig

o        NorBtok

o        Smss

o        Empty

Hapus Schedule Task yang dibuat oleh W32/RontokBro.B

o        Buka [Windows Explorer]

o        Klik [Control Panel]

o        Klik 2 kali [Schedule Tasks]


-----Original Message-----
From: [email protected] [mailto:[EMAIL PROTECTED] On Behalf Of S.Hikmat
Sent: Monday, October 31, 2005 9:21 AM
To: [email protected]
Subject: [ITCENTER] Virus Rontokbro

Hello ITCENTER,

  Ada yg dapat bantu cara mengatasi virus baru "RontokBro" ?

-- 
Best regards,
 S.Hikmat




-- 
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia 
Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] 
:: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: 
## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ##
$$ Iklan/promosi : www.itcenter.or.id/sponsorship $$

[@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id 

 
Yahoo! Groups Links



 






-- 
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia 
Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] 
:: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: 
## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ##
$$ Iklan/promosi : www.itcenter.or.id/sponsorship $$

[@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id 

 
Yahoo! Groups Links

<*> To visit your group on the web, go to:
    http://groups.yahoo.com/group/ITCENTER/

<*> To unsubscribe from this group, send an email to:
    [EMAIL PROTECTED]

<*> Your use of Yahoo! Groups is subject to:
    http://docs.yahoo.com/info/terms/
 



Kirim email ke