Beranda > Virus > RontokBro is Back to the jungle

RontokBro is Back to the jungle

27 September 2010

Tentu saja nama Rontokbro sudah tidak asing ditelinga para pengguna komputer, programmer khususnya. Virus lokal yang ditulis menggunakan Visual Basic ini sempat mengegerkan (lebay kali yee..) masyarakat Indonesia karena untuk virus lokal teknik yang digunakan cukup “cadas”, bisa mengupdate diri sendiri, daftar file terenkripsi, bisa menular lewat LAN, dan masih banyak kelebihan Virus ini sehingga para programmer pun membuat berbagai macam tools untuk menghancurkan virus ini.

Lama tak terdengar rupanya si pembuat virus ini seperti mengumpulkan tenaga sejenak untuk memulai aksinya kembali, virus ini menjadi primadona dikalangan virus maker dan teknik yang digunakan pun banyak terinspirasi dari Rontokbro.

Kini Sang Pembuat Rontokbro turun gunung dengan trik yang sedikit berbeda dengan varian sebelumnya, walaupun tidak seganas varian sebelumnya, rupanya Rontokbro menginginkan agar tidak mudah dicurigai oleh si empunya komp.

Made in VB

Tidak banyak berubah varian kali ini dibuat dengan bahasa Visual Basic dengan ukuran file 118 KB tapi kali ini tidak menggunakan icon “Folder” mengingat banyak user yang menggunakan themes atau icon pack yang berbeda dengan default windows. Untuk menggantikan icon “Folder” tersebut sekarang Rontokbro menggunakan icon aplikasi agar tidak terlalu mencurigakan. Seperti yang sudah kita ketahui Rontokbro varian lama bisa dideteksi ketika kita melihat properties file virus Rontokbro yang type nya tertulis Application padahal icon nya Folder

Pada saat user menjalankan file yang sudah terinfeksi (file virus) maka akan menampilkan jendela Windows Explorer kemudian akan membuat beberapa file induk yang akan di aktifkan secara otomatis pada saat komputer dinyalakan. Agar tidak dicurigai oleh user untuk setiap file induk yang dbuat akan mempunyai nama yang sama dengan nama file system Windows seperti [smss.exe, winlogon.exe, services.msc atau lsass.exe] tetapi jika anda jeli maka dengan mudah akan diketahui bahwa sebenarnya file tersebut merupakan file virus hanya dengan melihat lokasi penyimpanan file tersebut.

Berikut adalah file yang akan dibuat oleh virus ini :

  • C:\Documents and settings\%user%\Local Settings\Application Data
  • – Winlogon.exe
    – services.exe
    – lsass.exe
    – smss.exe
    – inetinfo.exe
    – Diah84.Yitn.oss.txt
    – csrss.exe

    * C:\Windows\Inf\Yitnoss.exe
    * C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
    * C:\Documents and Settings\%user%\Templates\B.Yitnoss.com

    Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registry berikut

    * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    – X84-YitnoDiah = “C:\Documents and Settings\%user%\Local Settings\Application Data\smss.exe”

    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    – Diah-YitnosX84 = “C:\WINDOWS\INF\Yitnoss.exe”

    Melumpuhkan fungsi skeuriti Windows

    Untuk mempertahankan dirinya, ia akan melumpuhkan beberapa fungsi Windows seperti Task Manager, Regedit atau Folder Options dengan tujuan untuk mempersulit user melumpuhkan dirinya, selain itu komputer akan restart secara otomatis setiap kali user menjalankan tools, file atau folder yang mempunyai nama tertentu (biasanya berhubungan dengan security). Berikut beberapa string yang akan dibuat oleh virus untuk melumpuhkan beberapa fungsi Windows tersebut:

    * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    – NoFolderOptions

    * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    – DisableCMD
    – DisableRegistryTools

    Aksi lain yang digunakan oleh virus ini adalah merubah isi dari file Autoexec.bat dengan menambahkan string PAUSE

    Manipulasi Folder

    Salah satu aksi yang dilakukan oleh W32/Rontokbro.GOL adalah membuat file duplikat disetiap folder dan subfolder, file duplikat ini akan mempunyai nama yang sama dengan folder atau subfolder target, anda tidak perlu khawatir karena virus ini hanya akan membuat file duplikat di Removable Disk termasuk Flash Disk saja.

    – Menggunakan icon Aplikasi
    – Type file “Application”
    – Ukuran file 118 KB

    Koleksi alamat email

    Sama seperti yang dilakukan oleh versi sebelumnya, ia akan mengambil semua alamat email yang didapatkan di komputer target, alamat ini akan disimpan di sebuah folder berikut dalam bentuk file dengan ekstensi INI

    C:\Documents and settings\%user%\Local Settings\Application Data\Loc.Mail.Bron.Tok

    Virus ini juga akan membuat direktori lain pada direktori

    C:\Documents and settings\%user%\Local Settings\Application Data
    – 84-DiahLove-Yitn-oss
    – Yitn.oss-3-27
    – Yitn.oss-3-31

    Media penyebaran

    Sebagai upaya untuk menyebarkan dirinya, ia akan memanfaatkan removable disk termasuk Flash Disk dengan membuat sebuah file dengan nama DATA %user%.exe (%user% ini merupakan nama account user saat login Windows) serta membuat file duplikat di setiap folder dan subfolder dengan nama yang sama dengan folder/subfolder tersebut.

    Cara mengatasi W32/Rontokbro.GOL

    1. Disable “System Restore” (Windows XP/Vista/Windows 7) selama proses pembersihan dilakukan

    2. Matikan proses yang aktif di memory, Norman Security Suite Pro yang dilengkapi dengan fitur Advanced System Reporter yang dirancang khusus untuk mengetahui dan monitoring proses yang aktif di memori serta mempunyai kemampuan untuk mematikan proses virus sekaligus menghapus registry startup dari virus tersebut menjadi salah satu tools alternatif yang dapat digunakan untuk mengganti tools Task Manager yang diblok oleh W32/Rontokbro.GOL.

    Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter (lihat gambar 7)

    – Pada aplikasi Advanced System Reporter, klik tabulasi “Other”
    – Klik kanan pada file virus [lsass.exe, services.exe dan winlogon.exe atau file lain] yang berada di direktori “C:\Documents and settings\%user%\Local Settings\Application Data”
    – Klik “Terminate Process”
    – Klik “Yes”

    Untuk menghapus registry autostart yang dibuat oleh virus, lakukan langkah berikut
    – Klik tabulasi “Autostart”
    – Klik kanan file virus [smss.exe dan Yitnoss.exe] atau file lain yang berada didirektori “C:\Documents and settings\%user%\Local Settings\Application Data”
    – Klik “Terminate Process” jika proses tersebut masih aktif
    – Kemudian klik “Remove Autorun” untuk menghapus registry autostart yang telah dibuat oleh virus

    3. Pulihkan registri yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara [Klik kanan REPAIR.INF | Install]

    [Version]

    Signature=”$Chicago$”
    Provider=Vaksincom Oyee

    [DefaultInstall]

    AddReg=UnhookRegKey
    DelReg=del

    [UnhookRegKey]
    HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
    HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

    [del]
    HKCU, Software\Microsoft\Windows\CurrentVersion\Run, X84-YitnoDiah
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Diah-YitnosX84
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

    4. Hapus file induk dan file duplikat yang dibuat oleh virus dengan menggunakan fungsi Search Windows di semua Drive termasuk Removable Disk [Flash Disk]. Masukkan *.exe,*.pif,*.com pada File Name dan Pilih “What size is it?” kemudian Pilih “at most” masukkan 119 dan cari file berukuran 118 KB dengan type Application.

    Kemudian hapus file berikut:

    * C:\Documents and settings\%user%\Local Settings\Application Data
    – Winlogon.exe
    – services.exe
    – lsass.exe
    – smss.exe
    – inetinfo.exe
    – Diah84.Yitn.oss.txt
    – csrss.exe

    * C:\Windows\Inf\Yitnoss.exe
    * C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
    * C:\Documents and Settings\%user%\Templates\B.Yitnoss.com

    Hapus juga file/folder berikut:

    C:\Documents and settings\%user%\Local Settings\Application Data
    – 84-DiahLove-Yitn-oss
    – Yitn.oss-3-27
    – Yitn.oss-3-31
    – Diah84.Yitn.oss.txt

    Sumber : Vaksin.com

    %d blogger menyukai ini: