Rontokbro Ciri-ciri: Memalsukan file virus dengan icon MS-Office atau sebagai folder. Blocking akses Registry Editor. Melakukan restart komputer jika menemukan kata tertentu pada header browser. Selektif dalam mengirim email bervirus. Menginfeksi host file komputer lokal. Memblocking akses ke situs sekurity tertentu. Mencari SMTP server untuk mengirimkan copy virus dan juga menggunakan SMTP engine sendiri untuk mengirimkan virus pada semua alamat email yang berhasil dikumpulkannya dari komputer yang terinfeksi.
Detail Email yang mengandung virus Rontokbro From: [Dipalsukan] Subject: kosong Message: BRONTOK.A [ By: HVM**-Jowo*** #** Community ]-- Hentikan kebobrokan di negeri ini --1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA( Send to "NUSAKAMBANGAN")2. Stop Free Sex, Absorsi, & Prostitusi3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar. 4. SAY NO TO DRUGS !!!-- KIAMAT SUDAH DEKAT --Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM**-Jowo*** #** Community-- Attachment: Kangen.exe Rontokbro akan menghindari pengiriman email ke alamat-alamat dengan domain sebagai berikut : PLASA, TELKOM, INDO, .CO.ID, .GO.ID, .MIL.ID, .SCH.ID, .NET.ID, .OR.ID, .AC.ID, .WEB.ID, .WAR.NET.ID, ASTAGA, GAUL, BOLEH, EMAILKU, SATU Komputer akan melakukan restart setiap menemukan aplikasi bernama: .., .@, @., .ASP, .EXE, .HTM, .JS, .PHP, ADMIN, ADOBE, AHNLAB, ALADDIN, ALERT, ALWIL, ANTIGEN, APACHE, APPLICATION, ARCHIEVE, ASDF, ASSOCIATE, AVAST, AVG, AVIRA, BILLING@, BLACK, BLAH, BLEEP, BUILDER, CANON, CENTER, CILLIN, CISCO, CMD., CNET, COMMAND, COMMAND PROMPT, CONTOH, CONTROL, CRACK, DARK, DATA, DATABASE, DEMO, DETIK, DEVELOP, DOMAIN, DOWNLOAD, ESAFE, ESAVE, ESCAN, EXAMPLE, FEEDBACK, FIREWALL, FOO@, FUCK, FUJITSU, GATEWAY, GOOGLE, GRISOFT, GROUP, HACK, HAURI, HIDDEN, HP., IBM., INFO@, INTEL., KOMPUTER, LINUX, LOG OFF, WINDOWS, LOTUS, MACRO, MALWARE, MASTER, MCAFEE, MICRO, MICROSOFT, MOZILLA, MYSQL, NETSCAPE, NETWORK, NEWS, NOD32, NOKIA, NORMAN, NORTON, NOVELL, NVIDIA, OPERA, OVERTURE, PANDA, PATCH, POSTGRE, PROGRAM, PROLAND, PROMPT, PROTECT, PROXY, RECIPIENT, REGISTRY, RELAY, RESPONSE, ROBOT, SCAN, SCRIPT, HOST, SEARCH, R SECURE, SECURITY, SEKUR, SENIOR, SERVER, SERVICE, SHUT DOWN, SIEMENS, SMTP, SOFT, SOME, SOPHOS, SOURCE, SPAM, SPERSKY, SUN., SUPPORT, SYBARI, SYMANTEC, SYSTEM, CONFIGURATION, TEST, TREND, TRUST, UPDATE, UTILITY, VAKSIN, VIRUS, W3., WINDOWS, SECURITY, .VBS, WWW, XEROX, XXX, YOUR, ZDNET, ZEND, ZOMBIE. Rontokbro berusaha menyerang website israel.gov.il & playboy.com dengan cara membanjiri dengan ping. Namun dampak dari aktivitas ini hanya akan terasa kalau komputer yang terinfeksi mencapai jumlah yang sangat banyak (e.g. 10.0000 komputer) yang pada kasus tertentu dapat mengakibatkan website yang diserang menjadi lumpuh /down. Cara menghapus Rontokbro: Pembersihan Rontokbro sebaiknya dilakukan melalui “safe mode” karena jika mencoba pembersihan melalui mode “normal” komputer akan langsung restart begitu komputer dijalankan. Lakukan pembersihan melalui “safe mode” Scan komputer dengan Norman Virus Control update terakhir. Bagi anda yang belum neggunakan Norman Virus Control, silahkan download ke http://www.norman.com/Download/Trial_versions/en-us dan bersihkan semua file yang terdeteksi sebagai W32/[EMAIL PROTECTED] dan variannya. Untuk mengaktifkan kembali fungsi registry editor hapus value: DisableRegistryTools =1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Untuk lebih mudahnya gunakan tools dari HijackThis, tools tersebut dapat didownload dialamat : http://www.spywareinfo.com/~merijn/downloads.html Setelah dijalankan, cari option HKCU\Software\Microsoft\Windows\CurrentVersion\Policies, DisableRegedit=1, kemudian klik [Fix checked]. Gunakan HijackThis untuk membuka blokir regedit.exe yang dilakukan oleh Rontokbro Hapus registri : Bron-SpizaetusHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Tok-CirrhatusHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Disable CMD=0HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Untuk mengembalikan option [Folder option] pada windows explore, hapus string registry: NoFolderOptions=dword:00000001pada registry keyHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 4. Hapus opsi pada menu [Startup] pada msconfig NorBtok Smss Empty Hapus Schedule Task yang dibuat oleh W32/RontokBro.B Buka [Windows Explorer] Klik [Control Panel] Klik 2 kali [Schedule Tasks] Ok...selamat ber virus-buster ria.... semoga bisa membantu... salam... --- "S.Hikmat" <[EMAIL PROTECTED]> menulis: > Hello ITCENTER, > > Ada yg dapat bantu cara mengatasi virus baru > "RontokBro" ? > > -- > Best regards, > S.Hikmat > > > > > -- > www.itcenter.or.id - Komunitas Teknologi Informasi > Indonesia > Info, Gabung, Keluar, Mode Kirim : > [EMAIL PROTECTED] > :: Hapus bagian yang tidak perlu (footer, dst) saat > reply! :: > ## Jobs: itcenter.or.id/jobs ## Bursa: > itcenter.or.id/bursa ## > $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$ > > [@@] Jaket ITCENTER tersedia di > http://shop.itcenter.or.id > > > Yahoo! Groups Links > > > [EMAIL PROTECTED] > > > > > __________________________________________________ Apakah Anda Yahoo!? Lelah menerima spam? Surat Yahoo! memiliki perlindungan terbaik terhadap spam http://id.mail.yahoo.com __________________________________________________ Apakah Anda Yahoo!? Lelah menerima spam? Surat Yahoo! memiliki perlindungan terbaik terhadap spam http://id.mail.yahoo.com -- www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] :: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ## $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$ [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/ITCENTER/ <*> To unsubscribe from this group, send an email to: [EMAIL PROTECTED] <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/
