Rontokbro Makin Ganas

Apa yang diajarkan Son Goku kepada kita ? Jika anda penggemar Dragon Ball, menghayati dan mengamalkannya tentunya anda tidak akan sombong karena pesannya jelas sekali, di atas langit masih ada langit. Rupanya hal ini terjadi di kancah pervirusan Indonesia.

Jika SOP (Standard Operation Procedur) virus lokal selama ini adalah menyebarkan dirinya melalui Flash Disk atau Disket dan dengan rekayasa sosial yang canggih (memalsukan Icon virus sebagai folder atau aplikasi lain seperti MS Word, JPG). Dengan teknik sederhana ini biasanya pengguna komputer banyak yang secara tidak sadar menjalankan virus tersebut dan terinfeksi.

Tentunya pengguna komputer yang tidak pernah sembarangan mengklik file akan lebih aman dari penularan virus lokal. 100 % aman ?.... Tunggu Dulu !!! Sebelum memberikan Piala Citra pada pengguna yang tidak pernah sembarangan mengklik file sebaiknya anda lihat ancaman yang datang dari varian Ekskul...eh. . Rontokbro yang terakhir ini. W32/Rontokbro. LA, yang satu ini bisa mengaktifkan dirinya setiap kali anda mengakses Flash Disk yang dicolokkan pada komputer. Dan kabar buruknya, sudah ada beberapa varian virus lokal yang memiliki kemampuan menjalankan dirinya secara otomatis setiap kali Flash Disk di colokkan ke komputer.

Seperti yang sudah kita ketahui bahwa virus lokal biasanya akan menyebar menggunakan Disket / Flash Disk dan kita juga tahu bahwa virus tersebut baru akan aktif jika user menjalankan file yang sudah terinfeksi virus. Contohnya jika Flash Disk anda sudah terinfeksi virus dan Flash Disk tersebut di colokkan ke PC yang bersih maka anda perlu menjalankan file yang sudah terinfeksi terlebih dahulu dengan klik ganda pada file untuk mengaktifkan virus tersebut. Kini metode tersebut sudah kuno (anak kecil juga bisa). Lagi-lagi Rontokbro menjadi pionir dalam mencari cara baru menginfeksi komputer dimana variannya dengan nama W32/Rontokbro. LA mampu mengaktifkan dirinya secara otomatis setiap kali UFD (USB Flash Disk) di colokkan pada komputer. Dan ternyata sudah banyak virus lokal yang memiliki kemampuan yang sama. Rahasianya adalah script untuk menjalankan file yang sudah terinfeksi didalam Disket / Flash Disk tersebut sehingga jika user mengakses Disket / Flash Disk maka secara otomatis akan menjalankan script yang sudah dibuat tadi.

Jadi, setiap kali user mengakses Disket/Flash Disk yang sudah terinfeksi maka secara otomatis akan mengaktifkan virus tersebut. Rontokbro.LA juga akan membuat file Desktop.ini di setiap Drive [contoh: Drive C:\ atau D:\] sehingga jika user mengakses kedua Drive tersebut maka secara otomatis akan mengaktifkan virus tersebut tanpa harus menjalankan file yang sudah terinfeksi terlebih dahulu, suatu perkembangan yang luar biasa dan saat ini sudah banyak virus lokal yang akan menggunakan metode ini sebut saja virus W32/Askis, W32/VBWorm.ZL, VBWorm.MOS atau W32/Aksika.

Cara membersihkan Rontokbro.LA

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2. Matikan proses virus yang aktif dimemori. Sebagai informasi Rontokbro.AL akan aktif di mode “normal”, “safe mode” maupun “safe mode with command prompt”, file induk yang aktif di memori juga sangat sulit untuk dimatikan hal ini diperparah dengan kondisi dimana virus ini akan aktif setiap kali user menjalankan file Executable [EXE] dari suatu program, tools security seperti security task manager/proceeXP atau killbox pun dibuat tak berdaya. Kabar baiknya Rontokbro.AL dibuat dengan menggunakan bahasa Visual Basic sehingga anda hanya perlu merubah file MSVBVM60.dll yang ada didirektori C:\Windows dan C:\Windowws\ system32

Untuk merubah file MSVBVM60.dll tersebut, terlebih dahulu anda harus membuat Disket Startup karena file tersebut akan diubah pada mode DOS. Untuk membuat disket startup tersebut anda dapat menggunakan software NTFS For DOS, tools ini dapat di download di alamat http://www.wsdownlo ad.de/download/ ntfs4dos/ ntfsinst. exe.

Setelah anda berhasil membuat disket Startup boting komputer melalui Disket. Sebagai informasi jika anda menggunakan tools NTFS for Dos ini maka Drive System [C:\] akan menjadi Drive terakhir, jadi jika anda mempunyai 2 partisi maka partisi C:\ akan menjadi D:\ begitupun sebaliknya [partisi D:\ menjadi C:\] oleh karena itu setelah berhasil masuk ke mode DOS kemudian masuk ke Drive System dengan mengetik perintah %drive system%: kemudian tekan tombol “enter” pada keyboard [contoh: D: kemudian tekan tombol “enter”] setelah itu masuk ke direktori ..\Windows dengan mengetik CD WINDOWS kemudian tekan tombol “enter”, setelah itu ketik perintah dibawah ini:

· DIR/AH kemudian tekan tombol “enter” pada keyboard [untuk melihat file yang disembunyikan] , jika di direktori ini ditemukan file MSVBVM60.DLL, ubah nama file tersebut dengan mengetik perintah dibawah ini

· REN MSVBVM60.DLL MSVBVM60 kemudian tekan tombol “enter“ pada keyboard

Ubah juga file MSVBVM60.DLL yang ada di direktori ..\Windows\system32, dengan mengunakan perintah yang sama seperti di atas. (lihat gambar 8)

Setelah file tersebut berhasil di ubah, restart komputer dan booting ke mode "Normal". Setelah komputer booting maka akan muncul beberapa pesan error, ini menandakan bahwa virus tersebut gagal untuk dijalankan [aktif] kerena tidak menemukan file MSVBVM60.DLL, jika muncul pesan tersebut klik tombol [OK].

3. Hapus string registry yang dibuat oleh virus. Salin script dibawah ini pada program Notepad dan simpan dengan nama repair.inf kemudian jalankan dengan cara

• klik kanan repair.inf

• klik install

[Version]

Signature="$ Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ batfile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ comfile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ piffile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ regfile\shell\ open\command, ,,"regedit. exe "%1""

HKLM, Software\CLASSES\ scrfile\shell\ open\command, ,,"""%1"" %*"

HKLM, SYSTEM\ControlSet00 1\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"

HKLM, SYSTEM\ControlSet00 2\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"

HKLM, SYSTEM\CurrentContr olSet\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Shell,0, "Explorer.exe"

HKCU, Control Panel\International , s1159,0, "AM"

HKCU, Control Panel\International , s2359,0, "PM"

HKLM, SOFTWARE\Classes\ exefile,, ,"Application"

HKCU, Control Panel\Desktop, SCRNSAVE. EXE ,0,

[del]

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Run, 4k51k4

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Run, MSMSGS

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderOptions

HKLM, Software\Microsoft\ Windows\CurrentV ersion\Run, System Monitoring

HKLM, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderOptions

HKLM, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableRegistryTool s

HKLM, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableTaskMgr

HKLM, SOFTWARE\Policies\ Microsoft\ Windows NT\SystemRestore, DisableSR

HKLM, SOFTWARE\Policies\ Microsoft\ Windows NT\SystemRestore, DisableConfig

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, System Monitoring

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\policies\ system, DisableCMD

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, LegalNoticeText

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, LegalNoticeCaption

HKLM, SOFTWARE\Policies\ Microsoft\ Windows\Installe r, LimitSystemRestoreC heckpointing

HKLM, SOFTWARE\Policies\ Microsoft\ Windows\Installe r, DisableMSI

HKLM, SOFTWARE\Policies\ Microsoft\ Windows NT\SystemRestore, DisableConfig

HKLM, SOFTWARE\Policies\ Microsoft\ Windows NT\SystemRestore, DisableSR

4. Hapus file induk yang dibuat oleh virus, sebelum menghapus file tersebut pastikan anda sudah menampilkan file/folder yang disembunyikan dengan memilih option "Show hidden files and folders" dan menghilangkan pilihan "Hide extension for known file types" dan "Hide protected operating system files (recommended) " pada Folder Option,

Setelah itu hapus file induk berikut:

• C:\Data%user% .exe [contoh: Data Admin.exe]

• C:\4k51k4.exe

• C:\Puisi.txt

• C:\Desktop.ini

• C:\4K51K4, folder ini berisi 2 buah file berikut:

- Folder.htt

- New Folder.exe

• C:\Documents and Settings\%user% \Start Menu\Programs\ Startup\startup. exe

• C:\Documents and Settings\%user% \Local Settings\Applicatio n Data

- 4k51k4.exe

- csrss.exe

- Empty.Pif

- IExplorer.exe

- lsass.exe

- services.exe

- shell.exe

- winlogon.exe

• C:\Documents and Settings\%user% \Local Settings\Applicatio n Data\WINDOWS

- csrss.exe

- lsass.exe

- services.exe

- smss.exe

- winlogon.exe

• C:\Documents and Settings\All Users\Start Menu\Programs\ Startup

- Empty.pif

- Empty.exe

- Startup.exe

• C:\WINDOWS\4k51k4. exe

• C:\WINDOWS\system32

- Shell.exe

- MrHelloween. scr

- IExplorer.exe

Hapus juga file yang ada di Disket/Flash Disk:

• 4K51K4, folder ini berisi 2 buah file dengan nama Folder.htt dan New Folder.exe

• Data %user%.exe, contoh: Data Admin.exe

• Desktop.ini

5. Hapus file duplikat yang sudah dibuat oleh virus baik di Hard Disk maupun di Disket/Flash Disk dengan ciri-ciri :

• Menggunakan icon folder

• Ukuran 45 KB

• Ext. exe

• Type file "application"

6. Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan Norman Virus Control yang sudah dapat mengenali virus ini dengan baik.

7. Jika komputer sudah bersih dari virus, tampilkan kembali file .EXE yang sudah disembunyikan. Gunakan perintah ATTRIB -s -h *.exe /s /d pada Dos Prompt. Sebagai informasi Rontokbro.LA juga akan mencoba untuk menyembunyikan file dengan ekst. Bat/Com/lnk dan Pif jika file tersebut dijalankan oleh karena itu untuk menampilkan kembali file dengan ext tersebut gunakan perintah seperti diatas dengan mengganti ekstensi yang akan ditampilkan, contoh ATTRIB -s -h *.com /s /d

8. Ubah kembali file msvbvm60 yang ada di direktori C:\Windows\system32 menjadi msvbvm60.dll

referensi:
vaksin · Mailing List Vaksin.com
http://tech.groups.yahoo.com/group/vaksin/