-->

K.E ^_~ Yang lagi galau ini penawarnya link

Membasmi Brontok

Hai..hai..haiii....rasanya baru kemarin saya upload artikel,,,,ternyata dah 2 bulan lebih ya...he he he lama juga...
sory banget Bro bro semuah..lagi banyak kerjaan neh..jadi terlantar deh klikedukasinya..

Minggu kemarin saya sempet ketemu ma temen lama (@sory bro ta' ceritain..he..he hhe...) ngajak maen kerumah,, katanya ada problem sama kompi dirumah..singkat cerita ternyata kompi temen saya didatangi Mas Brontok..tiap beberapa menit si brontok ini nampilin file html kayak dibawah....


Karakteristik SiBrontok

Kayaknya sudah banyak yang tau mengenai karakteristik sibrontok, makanya saya jelasin singkat ajah ya... Secara singkat, karakteristik Brontok Sebagai berikut:
1. Brontok menggunakan ikon folder standar Windows, anda yang memakai ikon folder nonstandar akan melihat keanehan ikon ini.
2. Brontok membuat banyak perubahan di registry agar sulit dibersihkan (menonaktifkan registry editor, menghilangkan menu folder options, dll). Tepatnya, Brontok melakukan perubahan pada nilai di subkey:

  • HKCU\software\microsoft\windows\currentversion\run #Nilai Tok-Cirrhatus menjadi path ke Brontok#Nilai Tok-Cirrhatus-XXX (xxx adalah acak) menjadi path ke Brontok yang namanya juga acak.
  • HKLM\software\microsoft\windows\currentversion\run #Nilai Bron-Spizaetus menjadi path ke Brontok. Nilai Bron-Spizaetus-xxx (xxx adalah acak) menjadi path ke Brontok.
  • HKCU\software\microsoft\windows\currentversion\Policies\Explorer\ #Nilai NoFolderOptions menjadi 1.
  • HKCU\software\microsoft\windows\currentversion\Policies\System\ #Nilai DisableCMD menjadi 0. Nilai DisableRegistryTools menjadi 1.
  • HKCU\software\microsoft\windows\currentversion\explorer\advanced #Nilai Hidden menjadi 0. Nilai HideFileExt menjadi 1. Nilai ShowSuperHidden menjadi 0.
  • SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon #Nilai Shell menjadi Explorer.exe "c:\windows\sembako-xxx.exe". (xxx adalah acak)
  • SYSTEM\CurrentControlSet\Control\SafeBoot\
3. Brontok menimpa autoexec.bat dengan satu baris "pause", mungkin maksudnya menghentikan antivirus yang berjalan di mode DOS yang dijalankan dengan autoexec.bat.

4. Brontok merestart komputer ketika program tertentu aktif. Pengecekan program dilakukan dengan melihat teks Window program terhadap string: REGISTRY,SYSTEM CONFIGURATION,COMMAND PROMPT,.EXE,SHUT DOWN,SCRIPT HOST,LOG OFF WINDOWS,KILLBOX,TASK, dua string terakhir baru ditambahkan untuk mengantisipasi program yang dapat membunuh task Brontok, misalnya program HijakThis.

5. Brontok membuat file sistem.sys di direktori %windir%/system32/sistem.sis yang isinya adalah kode waktu saat brontok aktif kali pertama. Kode ini terdiri atas 2 digit bulan, 2 digit tanggal, 2 digit jam dan 2 digit menit. Misal: 01122245 berarti Brontok aktif kali pertama pada 01 = Januari, 17 = tanggal 17, 22 = jam 1 malamm, 45 = menit ke 45. File ini juga dicopykan ke direktori \Documents and Settings\Username\Application Data\ dengan nama file BronMes*.ini (bagian * bisa bervariasi).

6. Brontok akan berusaha membunuh paksa beberapa proses (proses adalah program yang berjalan) dengan command taskkill /f /im namaproses. Proses yang dibunuh meliputi virus/worm lokal lain, dan sepertinya beberapa antivirus. Tepatnya proses yang dibunuh adalah mcvsescn.exe;poproxy.exe;avgemc.exe;ccapps.exe;tskmgr.exe;syslove.exe; xpshare.exe;riyani_jangkaru.exe;systray.exe;ashmaisv.exe; aswupdsv.exe;nvcoas.exe;cclaw.exe;njeeves.exe;nipsvc.exe;dkernel.exe; iexplorer.exe;lexplorer.exe.

7. Brontok akan mengubah atribut file MSVBVM60.DLL yang ada di direktori sistem Windows. Atribut file akan diubah menjadi hidden, system, dan read only. Tujuan langkah ini adalah agar lebih sulit menghapus file msvbvm60.dll dari mode DOS seperti yang dibahas dalam beberapa website.

8. Brontok berusaha menghapus file dengan substring "kangen", *RORO*.HTT, FOLDER.HTT. Jika ekstensi file adalah .EXE, maka Brontok juga akan menghapus file jika substring file memiliki nama .DOC.EXE;.DOC ;.XLS.EXE;. XLS ;PATAH;HATI; CERITA; LUCU;MOVZX;CINTA;UNTUKMU;DATA-TEMEN;RIYANI;JANGKARU;KANGEN;JROX; DIARY;DKERNEL;IEXPLORER;LEXPLORER;ADULTONLY;ASIAN;VIRTUAL GIRL;X-PHOTOS;BESTMODEL;GAME NUDE;HOT SCREEN;HOTBABE; NAKED ;MODEL VG;SEXY ;V-GIRL7;JAPANESEGIRL;PUISI (perhatikan bahwa Brontok tidak menghapus .DOC, tapi .DOC yang diikuti spasi dan dengan ekstensi .EXE, demikian juga halnya dengan .XLS).
Brontok juga menghapus file: C:\!submit\winword.exe, c:\submit\xpshare.exe,c:\windows\systray.exe, %windir%\systray.exe, %windir%\fonts\tskmgr.exe, c:\windows\rundll32.exe. Masih ada beberapa file lagi yg dihapus Brontok ini (saya tidak melanjutkan analisis penghapusan file sampai di sini).

mmmmmm....nymm..nymmm..nymmm Udah ah ga usah cerita lebar-lebar...saya dah ngantuk ne...langsung ajah bro...

CARA NaNGaniN
langkah-langkah yang akan saya jelasin mungkin akan berbeda ketika anda mempraktikkannya, ingat bro brontok masih terus di update dan nama file mungkin tiap kompi berbeda karena menggunakan karakter acak..secara garis besar cara penanganan virus brontok seperti dibawah....

  1. Restart Komputer, saat booting tekan F5 (tiap Kompi berbeda), kemudian pilih menu Safe Mode
  2. Matikan fitur system restore di Windows.
  3. Tutup semua program yang berjalan, simpan semua dokumen Anda.
  4. Pertama, bunuh proses Brontok (proses adalah program yang sedang berjalan).
  5. Di start menu, pilih programs, lalu pilih startup Klik kanan (jangan salah dengan klik kiri) pada Empty.pif, dan hapus file tersebut. (Kalau perlu, hapus semua file yang tidak Anda perlukan, di masa depan mungkin nama file Empty.pif akan berubah.)
  6. Perbaiki registry dengan membuat file fixbrontok.inf yang tercantum di bawah, lalu mengklik kanan pada file tersebut dan memilih install (Anda bisa download file tersebut disini). File ini akan memperbaiki perubahan setting oleh Brontok, dan akan mengeset agar Explorer menampilkan file yang hidden dan menampilkan juga ekstensi file yang dikenal oleh Explorer.Kalau Pengen lebih keren silahkan anda copy kode dibawah kedalam notepad, save as dengan nama fixbrontok.inf
    [Version]
    Signature="$Chicago$"
    Provider=Compactbyte
    
    [DefaultInstall]
    AddReg=fix
    DelReg=del
    
    [fix]
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Hidden,%REG_DWORD%,1
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,%REG_DWORD%,0
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,%REG_DWORD%,0
    HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
    HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
    
    [del]
    HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus
    HKLM, SYSTEM\CurrentContolSet\Control\SafeBoot,AlternateShell
    HKLM, SYSTEM\ContolSet001\Control\SafeBoot,AlternateShell
    HKLM, SYSTEM\ContolSet002\Control\SafeBoot,AlternateShell
    HKLM, SYSTEM\ContolSet003\Control\SafeBoot,AlternateShell
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
    
    [Strings]
    REG_DWORD      = 0x00010001
  7. Restart explorer (tanpa merestart Windows), caranya: jalankan task manager dengan menekan ctrl-alt-del, pilih processes, lalu pilih explorer.exe dan pilih End Process. Pilih "Yes", setelah itu pergi ke tab Application, pilih New Task, ketikkan Explorer.exe, lalu tekan enter.
  8. Hapus semua file .exe di %windir%\shellnew (%windir% adalah direktori Windows Anda, misalnya C:\Windows). Tepatnya Anda harus menghapus yang memiliki ikon folder, tapi seharusnya direktori ini tidak berisi file .exe dan biasanya semua file exe di direktori tersebut aman di hapus.
  9. Bersihkan sisa registry yang dibentuk dengan string random, gunakan msconfig (pilih start, ketik msconfig lalu Enter), dan lihat di bagian tab startup, hapus startup item dengan nama diawali dengan bbm dan dengan nama brxxxon (xxxx adalah angka acak). Sekali lagi: nama ini mungkin kelak berubah. Cara terbaik adalah dengan melihat bagian command (kolom kedua), misalnya tercantum C:\Windows\X.exe, lihat file C:\Windows\X.exe, jika file tersebut memiliki ikon folder Anda bisa menghapusnya.
  10. Cari semua file .exe dan .scr di seluruh drive Anda menggunakan fitur find pada Explorer lalu hapus file tersebut jika file tersebut memiliki ikon folder. Untuk mengurangi jumlah file yang ditemukan batasi ukuran file menjadi <>
  11. Hapus semua file .com yang ukurannya sama dengan ukuran Brontok yang Anda temukan pada langkah-sebelumnya di C:\Documents and Settings\%username%\Templates.
    Hapus scheduled task di Control panel yang bukan milik Anda (yang namanya At1, At2, dst).
  12. lihat isi file autoexec.bat yang ada di root folder (C:\autoexec.bat, D:\autoexec.bat, dst), jika isinya hanya satu baris (berupa satu kata "pause"). Hapus autoexec.bat .
  13. Restart komputer, dan lihat apakah Brontok masih ada
Untuk Analisis BrontokLebihLengkap silahkan baca artikelnya disini Otreee Selamat Berjuang ya..ha ha ha ha 

DAFTAR PUSTAKA
  • http://www.compactbyte.com/brontok/
  • Kompi Bang Yos
  • Warnet Bumiayu
  • Tangan dan Keyboard

comment 0 komentar:

Poskan Komentar

Catatan:
Seluruh komentar yang masuk akan dimoderasi terlebih dahulu. Komentar yang berbau spam, kasar, menghina, seluruhnya yang bersifat menghancurkan bukan membangun tidak akan ditampilkan. Silahkan bertanya dan memberi pendapat dengan sopan dan sesuai aturan.

Anda diperbolehkan mempublikasikan ulang artikel ini, dengan syarat:
1. Mintalah izin dengan cara berkomentar di bawah artikel ini
2. Wajib menyertakan link ke artikel ini dan menyertakan nama penulis

 
© Klikedukasi 2008 - 2013 | Design by Panembahan Satyapradana | 170p3x