Kutu-Kutu Internet

Dunia maya tidak lepas dari kutu digital / pests program. Bila Virus yang mengacaukan sistem computer sudah bermutasi menjadi alat penyerang sudah menjadi hal biasa. Tetapi pada saat ini yang lebih menjengkelkan adalah para kutu yang disebut dengan Adware, Spyware, Worm dan Trojan.

Disebut sebagai kutu internet karena sifatnya yang menganggu. Dan membuat gatal sebuah computer sampai menjadi parasit yang terus membebani sistem sebuah computer sampai network dan koneksi internet. Bila anda pertama kali merasakan computer begitu cepat, setelah beberapa waktu anda mengunakan internet maka computer perlahan lahan menjadi lambat. Kemungkinan kelambatan computer bisa disebabkan oleh salah satu jenis program Malware tersebut.

Macam-macam kutu internet antara lain:

Adware
Adware ada iklan yang dimasukan secara tersembunyi oleh pembuat program. Umumnya program diberikan secara gratis, tetapi dengan kompensasi pemakai harus menerima iklan pada program.

Browser Helper Object
BHO adalah pembajak yang menampilkan link pada toolbar. Umumnya BHO melakukan kegiatan mata mata untuk mencatat kegiatan netter, disamping tampilan browser anda ditambahkan toolbar khusus

Browser Hijackers
Browser anda dimasukan link tertentu. Dan memaksa anda masuk pada sebuah situs walaupun anda sudah benar mengetik alamat situs yang anda inginkan. Artinya, program Browser anda secara tidak langsung sudah dibajak dan diarahkan ke situs tertentu

Dialer
Memasukan fungsi otomatis untuk koneksi internet, bahkan secara diam diam program dapat aktif sendiri. Untuk kerugian, tagihan telepon anda mendadak membengkak

Drive-by downloads
Program yang di install tetapi tidak diketahui oleh pemilik computer. Cara ini memanfaatkan kelemahan pada IE.

Homepage Hijacking
Ini paling banyak dilakukan oleh pembuat Malware. Dengan menganti alamat homepage pada default browser dan tidak dapat dirubah walaupun anda sudah melakukan set ulang.

Keylogger
Program yang masuk dan mencatat apa yang anda ketik. Dan mengirim data ke server pembuat Malware.

Retrospies
Program Malware yang sengaja mencoba mematikan anti spyware.

Scumware
Diartikan sebagai program yang tidak dinginkan dan masuk ke computer tanpa ijin

Search Hijackers
Adalah kontrol yang dilakukan sebuah search engine pada browser. Bila salah menulis alamat, program biasanya menampilkan begitu banyak pop up iklan yang tidak karuan.

Surveillance Software
Salah satu program yang berbahaya. Karena mencatat kegiatan pada sebuah computer termasuk data penting, password dan lainnya. Program ini sangat pintar , dan baru mengirim data setelah seseorang selesai melakukan aktifitas.

Thiefware
Difungsikan untuk mengarahkan pengunjung situs dan mengarahkan ke situs lain yang mereka kehendaki. Cara ini tidak ilegal tetapi dinilai kasar

Trojan Horse
Adalah program dikategorikan sebagai virus. Fungsinya untuk mengkontrol computer yang terinfeksi

Dari nama nama diatas, perbedaan antara virus dengan kutu computer membuat program malware sulit dibedakan. Keduanya sama sama memiliki sifat yang kita tidak inginkan. Virus , Worm virus termasuk Trojan dapat dihadapi dengan program khusus yaitu AntiVirus. Sedangkan perkembangan kutu Adware dan Spyware internet harus dihadapi dengan anti spyware dan anti adware.

Walaupun agak sulit membedakan untuk dimasukan kedalam kategori apakah sebuah program malware. Dibawah ini adalah beberapa kategori dari penganggu computer yang ada saat ini. Untuk artikel dibawah ini, seluruh kategori pada tabel diatas dimasukan dalam kata program Malware.

Kategori untuk Trojan , Worm dan Hijacker

Trojan adalah replika atau duplikat virus. Trojan dimasukan sebagai virus karena sifat program yang tidak diinginkan dan bekerja dengan sendirinya pada sebuah computer. Sifat trojan adalah mengkontrol computer secara otomatis. Misalnya computer yang dimasuki trojan email. Trojan dimasukan dalam RATS (remote access trojans) dimana sebuah computer dikontrol oleh program tertentu, bahkan beberapa trojan difungsikan membuka computer agar dapat dimasuki oleh computer dan diaccess dari jauh.

Worm virus adalah virus. Kategori Worm dikelompokan sebagai si cacing internet. Fungsi utamanya untuk melakukan serangan dan menyebar serta mengambil data dan mengirim email secara diam diam dan acak. Tetapi saat ini juga dimanfaatkan untuk tujuan tertentu, misalnya mengirim data pada sebuah computer tanpa diketahui oleh pemiliknya. Batasan Worm untuk tujuan komersil atau non komersial menjadi tipis. Karena program dibuat untuk mengambil data dan dikirim ke tempat tertentu

Untuk Hijacker dimana seseorang masuk kesebuah situs, dan secara tidak sengaja mengclick sesuai permintaan pada tampilan situs. Disitulah program Hijacker bekerja, dan memasuki fungsi browser anda agar dikontrol sesuai keinginan mereka.

Spyware

Berbeda dengan Spyware yang berkonotasi dengan fungsi Spy atau memata matai. Spyware adalah program yang diam diam telah masuk kedalam computer dan mengambil data. Tujuan awal dari pembuatan Spyware adalah mencari data dari pemakai internet dan mencatat kebiasaan seseorang dalam menyelusuri dunia maya. Sayangnya, perkembangan Spyware tersebut dirusak dengan munculnya pencuri yang dapat mengambil data pada sebuah computer.

Bagaimana masuknya program spyware ini. Umumnya program jenis spyware masuk secara langsung dengan mengelabuhi pemakai internet. Bisa saja seseorang yang membuka sebuah website dan secara tidak sengaja menerima sebuah peringatan dan melakukan apa yang di kehendaki oleh si pembuat web. Spyware sebenarnya tidak berbahaya, karena hanya difungsikan untuk memata matai computer seseorang setelah berkunjung. Sayangnya semakin hari semakin berkembang, bahkan spyware sudah dijadikan alat untuk mencari data pribadi pada sebuah computer. Dan diam diam mengunakan koneksi internet anda tanpa diketahui dan computer sudah menjadi mata mata tanpa diketahui pemiliknya

Adware

Adware sebenarnya difungsikan sebagai promosi atau iklan berbentuk banner. Terkadang pemakai ingin mengunakan program shareware tetapi didalamnya terdapat program yang difungsikan sebagai Adware. Misalnya Program A yang diberikan secara gratis, ternyata memiliki jendela kecil pada program dan terus berganti ganti gambar iklan. Atau anda mengunakan Yahoo messenger dan pemilik Yahoo menempatkan banner iklan pada sebuah bagian di program Yahoo chat.

Kategori diatas masih dikatakan aman, pembuat program memberikan program gratis, sementara mendapatkan dana uang dari iklan yang ditempatkan pada programnya. Sayangnya program Adware mulai dimanfaatkan terlalu banyak. Terkadang mengambil bandwidth atau beban koneksi internet terlalu besar dan akhirnya membuat koneksi internet menjadi benar benar lambat dan menganggu computer ketika melakukan surfing. Terlebih adware yang sudah masuk kedalam computer dan menjakit didalam program Windows. Ketika seseorang membuka sebuah site maka yang muncul adalah link ke site yang ditentukan oleh program Adware. Hal paling menjengkelkan bila jenis Adware yang tidak dapat ditutup. Begitu satu pop iklan muncul ditutup, tidak lama lagi muncul pop baru yang lebih banyak.

Bahkan Adware dapat melakukan pekerjaan ganda yang dibutuhkan pada tampilan sebuah iklan atau si pembuat program memanfaatkan dengan merekam data netter. Misalnya mencari tahu kemana saja seorang pemakai computer melakukan surfing di internet atau ingin mengetahui apakah netter juga mengunjungi pihak perusahaan pesaing yang sama. Artinya dengan adanya Adware, Privasi seseorang mulai dapat dilihat oleh orang lain. Adware bukan tidak saja menganggu privasi seseorang, tetapi mencuri bandwidth internet anda secara diam diam.

Pengaman yang tidak selalu aman

Dengan antivirus yang terpasang tidak menjanjikan sebuah computer aman dari kutu digital. AntiVirus umumnya hanya ditujukan bagi virus penganggu dan sifatnya non-komersil. Virus umumnya dapat dibedakan dengan Malware memiliki sifat komersil. Tetapi apa artinya bila perbedaan hanyalah sebagai sebuah nama. Tetapi fungsinya tetap sama, yaitu menganggu computer bekerja dan merugikan pemakai computer

Spyware dan Adware akan efektif dihadapi dengan program tersendiri dan bukan oleh program Antivirus. Demikian juga dengan kemampuan dari pembuat Anti Spyware, kombinasi beberapa program Anti Spyware akan lebih efektif. Walaupun cara ini tidak menjamin 100% computer bebas dari program Malware. Karena sampai Oktober 2005, jenis Malware, Spyware dan Adware telah mencapai jumlah 45,000 lebih

Kerugian dengan adanya Malware pada sebuah computer

Paling awal untuk kerugian adalah koneksi bandwidth internet. Karena media internet menjadi salah satu keuntungan pembuat Malware. Koneksi internet akan menjadi lambat atau sangat lambat karena terus dibebani oleh program parasit

komputer juga menjadi lambat. Beberapa Malware masuk kedalam start-up System Windows tanpa diketahui pemilik computer. Bahkan beberapa program juga terus aktif dan memakan utilitas processor. Artinya, walaupun komputer sedang idle ternyata komputer sebenarnya masih terus bekerja dengan beban dari program Malware. Tentu dengan beban tersebut juga akan menarik daya listrik pada komputer serta membuat computer menjadi lambat

Pada Dialer, terkadang bisa melakukan link ke internet dengan sendirinya. Bila koneksi internet dilakukan dengan Dial-up. Diam diam Malware Dialer dapat aktif dengan sendirinya.

Komputer yang terinfeksi parasit tidak saja menjadi lambat ketika dinyalakan. Bila sudah terlalu banyak dapat membuat komputer menjadi sangat lambat bahkan crash.

Paling menganggu pada Hijacker, karena program browser anda yang diserang. Maka browser anda menjadi kacau. Mengetik alamat kesebuah situs yang benar bisa menjadi salah bila Browser sudah dimasuki program jenis Hijacker. Dan kontrol dari program Malware akan menganggu kenyamanan netter. Belum lagi muncul pop-up windows yang terus saja muncul. Kerugian pada Hijacker adalah waktu yang terbuang karena Browser dikacaukan untuk mengarahkan ke alamat site atau situs yang salah.

Dan masih banyak lagi dampak dari program Malware yang bisa dilakukan oleh si pembuat program.

Menghadapi kutu Digital dan worm virus

Pertama biasakan mendidik diri sendiri untuk tidak memasuki area terlarang atau wilayah berbahaya. Ungkapan ada gula pasti ada semut memang sulit dirubah. Beberapa netter ingin mencari informasi atau yah kita tahu lah didaerah apa yang terlihat menghibur dengan kesenangan sesaat. Ada baiknya menghindari area berbahaya tersebut, atau mempersiapkan computer untuk menghadapi site site berbahaya.

Biasakan tidak mengklik kata next pada situs tertentu. Umumnya situs yang memiliki program kutu internet mencoba mengakali pemakai internet. Cara menjebak pemakai banyak dilakukan oleh site site porno gratis atau software gratis misalnya dengan memberikan warning anda harus berumur 17 tahun dan anda harus menyetujui dengan mengclick icon mereka. Terserah apa yang anda click, sebenarnya tidak akan berbeda. Selanjutnya program di kirim ke computer anda dan selesai tugas mereka menjebak anda.

Jangan meng-klik sebuah link bila anda tidak yakin mendapatkan sebuah email yang tidak jelas. Bila anda mengatakan bahwa ini hanyalah sebuah link ke sebuah situs dan tidak berbahaya, kemungkinan pernyataan tersebut salah besar. Link yang ada bisa saja berhubungan dengan sebuah situs yang selalu telah siap menyerang computer anda. Beberapa kelemahan umumnya terjadi pada program Internet Explorer. Dan saat saat demikian memang sengaja ditunggu oleh pemiliki program menjebak netter yang tidak mengupdate program Internet Explorer.

Berhati hati dengan para pembuat program untuk digunakan secara gratis / freeware. Percayalah dari semua pembuat program kemungkinan ada yang tidak jujur. Dan anda dapat saja dimanfaatkan dengan kata kata gratis tetapi diam diam program mereka melakukan hal hal yang tidak anda inginkan. Hasilnya, biaya koneksi internet menjadi lebih mahal dibandingkan dengan membeli software sebenarnya.

Tolak semua yang meminta menginstall program. Dengan janji apapun yang terlihat legal sebenarnya use dipaksa untuk menerima program dari sebuah website agar dapat dimasukan Adware ataupun Spyware.

Matikan program tanpa dengan mematikan tanda X pada windows sebelah kanan atas. Dan jangan pernah mempercayai pilihan Yes, No dan lainnya yang disediakan. Karena kemungkinan pilihan tersebut semuanya berfungsi sama.

Matikan fungsi download ActiveX dari browse dan hanya menjalankan bila diperlukan.

Khususnya Internet Explorer dari Microsoft selalu menjadi target dari pembuat kutu dan memanfaatkan kelemahan program. Dan biasakan mengaktifkan auto update agar keamanan sistem operasi terus update.

Untuk keamanan lebih baik, gunakan program browser lain yang bukan menjadi target para kutu internet. Misalnya FireFox, AdvantBrowser, NetCaptor dan lainnya yang memiliki tambahan sistem pengaman untuk melakukan blocking pop windows. Pemakaian program tambahan dengan fasilitas Anti Pop membantu netter terhindari dari jebakan pop yang sering muncul dan menawarkan sesuatu. Tetapi tidak menjamin bahwa apa yang anda lakukan telah aman.

Matikan program Java dan Flash bila anda tidak mengunakan atau uninstall program dari harddisk. Beberapa kelemahan pada browser biasanya juga memanfaatkan lubang browser dengan Java.

Coba periksa dengan fungsi command dari Windows dengan NetStat. Dengan program ini, maka anda dapat mengetahui kemana computer anda sedang terhubung. Bila pertama computer dijalankan dan lampu network pada sebelah kiri bawah Windows anda terus berkedip. Curigai bahwa computer anda kemungkinan telah dimasuki program Malware. Caranya dengan membiarkan computer terhubung ke internet, dan diamkan beberapa saat. Jalankan kembali program NetStat dan lihat kemana saja computer mencoba melakukan koneksi ke jalur internet. Dalam kondisi diam atau anda tidak membuka aplikasi apapun, daftar IP pada Netstat akan kosong. Bila muncul daftar IP tertentu, waspadai computer anda sudah terjangkit Malware.

Matikan program pada start-up Windows. Untuk mudahnya, anda dapat mengunakan software Tune-up, atau msconfig (pilih start lalu run terus ketik msconfig) dan melihat file apa saja yang di loading ketika awal computer bekerja.

Perhatikan apakah pada daftar program terdapat program yang tidak dikenal. Tapi hal yang perlu diingat, program malware belum tentu dapat terlihat pada Star-Up dan tersembunyi didalam sistem Registry Windows. Membuang pada Start-Up Windows hanya efektif untuk mematikan Malware sederhana. Sedangkan yang lebih komplek lagi tidak dapat dimatikan dengan cara demikian.

Gunakan program Anti Spyware untuk menghadapi serangan Malware atau Spyware. Program Anti Spyware dapat mencegah masuknya program yang akan menganggu dan menyerang computer.

Jangan selalu mempercayakan 100% pada sebuah program. Cara terbaik terhindar dari program Malware adalah tidak menghubungkan computer pada jaringan internet.

Kombinasi pemakaian beberapa anti Spyware mungkin menjadi solusi terbaik. Karena tidak semua anti Spyware mampu membersihkan computer yang telah terjangkit Malware atau Spyware program.

Cara Virus Brontok Menyebar dan Cara Mengatasinya

Perkembangan virus lokal sebenarnya sudah dikenali sejak lama sejak jamannya virus Pesin, dari sinilah mulai bermunculan virus-virus lokal yang baru sebut saja Lavist, kangen, riyanni_jangkaru aau Tabaru, kumis, fawn yosa dan terakhir Rontokbro, itulah sebagian nama-nama virus lokal yang pernah menjadi “momok” dalam beberapa bulan yang lalu.

Walaupun sebagian besar antivirus sudah dapat mengenali virus tersebut tetapi karena penyebarannya terbatas dilingkungan tertentu maka jika ada varian dari virus tersebut akan sangatlah sulit untuk dideteksi olah karena itu sebaiknya gunakan antivirus yang mempunyai dukungan support lokal. Dari sekian banyak virus lokal yang ada hanya 3 virus yang berhasil membumi yaitu Rontokbro, kangen dan fawn. Tetapi dari 3 jenis virus tersebut hanya Rontokbro yang mampu memberikan kerugian yang cukup besar dibandingkan dengan yang virus lokal yang lain.

Kelemahan Safemode berhasil diketahui Rontokbro.

Rontokbro adalah jenis virus lokal pertama yang dapat menyebar melalui email berbeda dengan virus lokal lain yang hanya dapat menyebar melalui dikset/USB, Komputer yang terinfeksi Rontokbro akan melakukan restart hal ini sama seperti yang dilakukan oleh virus Kumis dan virus Sasser/Blaster, bedanya komputer yang terinfeksi Rontokbro akan restart jika menjalankan suatu program aplikasi tertentu seperti regedit, msconfig atau task manager, up-date pacth yang anda lakukan tidak akan membawa dampak apa-apa karena virus ini tidak mengeksploitasi celah keamanan seperti yang dilakukan oleh Sasser/Blaster proses restartnya pun tidak memunculkan hitungan mundur seperti yang dilakukan oleh virus Sasser/Blaster, satu hal yang menjadi kelebihan dari virus ini dimana walaupun komputer dalam posisi “safe mode” komputer akan tetap restart jika menjalankan program aplikasi seperti regedit, msconfig bahkan ketika menjalankan tools seperti pocket Killbox atau HijackThis, dimana kita tahu jika komputer dijalankan dalam mode “safe mode” virus yang menginfeksi komputer tersebut tidak aktif, tetapi tidak halnya dengan Rontokbro suatu kemajuan yang luar biasa rupanya team pembuat Rontokbro sudah mengetahui titik kelemahan yang ada pada mode “safe mode”, lalu mengapa hal ini tidak digunakan oleh para pembuat virus non lokal bukankah mereka mempunyai pengalaman dan pengetahuan yang jauh lebih banyak ? Satu lagi jempol untuk pembuat Rontokbro.

File yang terinfeksi Rontokbro.N mempunyai ukuran sebesar 42kb dengan icon folder tetapi dengan extension EXE, jika dijalankan akan membuat beberapa file yaitu :

C:\Windows dengan nama file eksplorasi.exe (hidden)

C:\Windows\shellnew dengan nama sempalong.exe (hidden)

C:\WINDOWS\system32 dengan nama %username”s Setting.scr (hidden)

C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file

- Bron.tok-x-y, dimana x dan y menunjukkan angka
- Loc.Mail.Bron.Tok, berisi alamat email yang diperoleh dari
komputer yang terinfeksi.
- Ok-SendMail-Bron-tok, berisi email yang berhasil dikirim
- csrss.exe
- inetinfo.exe
- Kosong.Bron.Tok.txt
- lsass.exe
- NetMailTmp.bin
- services.exe
- smss.exe
- Update.3.Bron.Tok.bin
- winlogon.exe

C:\Documents and Settings\bagle\Start Menu\Programs\Startup nama file

- Empty

C:\Documents and settings\%Users%\Templates

- Brengkolang.com

Membuat file pada setiap folder dimana file ini mempunyai nama yang sama dengan folder tersebut dengan ciri-ciri :

- Icon yang digunakan berupa Folder
- Ukuran file 42 Kb
- Ekstension .EXE

Rontokbro juga akan melakukan perubahan pada file C:\AUTOEXEC.BAT dengan menambahkan baris perintah “ PAUSE”

Agar Rontokbro dapat aktif begitu komputer dinyalakan, ia akan membuat registry beberapa registry key yaitu:
- Bron-Spizaetus

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Tok-Cirrhatus

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Shell dengan value Explorer.exe “C:\Windows\Eksplorasi.exe”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon,

Disable Registry editor
Seperti kebanyakan virus yang ada, virus ini juga akan menonaktifkan program yang dimungkinkan dapat mempersingkat keberadaan “mereka” diantaranya fungsi registry editor dengan menambahkan sebuah registry key:

DisableRegistryTools =1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Jika fungsi registry editor dijalankan maka akan muncul pesan error:

Registry editing has been disabled by your administrator

DisableCMD pada registry:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Selain menambahkan string pada registry key, virus in juga akan menambahkan option di menu [startup] pada msconfig.
- Sempalong
- Smss
- Empty
Restart Komputer Otomatis

Salah satu kelebihan yang dimiliki oleh Rontokbro adalah dapat menyebabkan komputer restart, jangan harap up-date patch dapat menyelesaikan masalah ini, hal ini disebabkan karena Rontokbro tidak mengeksploitasi celah keamanan seperti yang biasa digunakan oleh virus Sasser atau Blaster.

Rontokbro akan merestart komputer jika anda berusaha menjalankan suatu program tertentu seperti regedit, msconfig bahkan jika anda menjalankan software pengganti Task manager seperti pocket Killbox bahkan HijackThis dan salah satu kelebihan lain yang dimiliki adalah kemampuannya untuk merestart komputer walaupun dalam mode “safe mode” walapun, oleh karena itu dibutuhkan trik untuk menangani masalah tersebut. kemungkinan besar pembuat Rontokbro selalu mengikuti saran dan perkembangan terakhir sehingga ia akan makin sulit dibasmi karena selalu mengupdate dirinya.

Rontokbro akan mengambil alamat email pada semua file yang mengandung ext :

.asp
.cfm
.csv
.doc
.eml
.html
.php
.txt
.wab

Selain menyebar melaui email, Rontokbro juga akan menyebar melalui Disket/USB dengan membuat file pada folder/subfolder yang ada didisket/USB atau pada root USB itu sendiri, file yang diciptakan tersebut mempunyai ciri-ciri:
- Icon menyerupai Folder
- Ukuran 42 Kb
- Ext. EXE

Rontokbro juga akan mencoba untuk melakukan koneksi dengan mengirimkan ping request ke salah satu situs dewasa seperti kaskus.com dan 17tahun.com, hal ini lah salah satu faktor yang dapat dapat memperlambat system komputer tetapi karena penyebaran koneksi internet di Indonesia relatif masih lambat, dampak dari hal ini akan kurang terasa pada user dialup rumahan karena tidak selalu terkoneksi dan dampak terbesar akses ke dua situs tersebut akan besar pengaruhnya jika komputer yang terkena Ronrokbro adalah komputer rumahan yang memiliki koneksi ADSL dan selalu terkoneksi ke internet, komputer Warnet atau kantor yang selalu terkoneksi ke internet.

Seperti layaknya antivirus, Rontokbro juga mencoba untuk melakukan up-date ke salah satu situs yang sudah ditentukan, jadi jangan lengah sebaiknya up-date antivirus Anda agar tidak menjadi korban berikutnya dan jangan lupa agar tidak sembarangan dalam bertukar data melalui disket/usb satu tips yang mungkin berguna adalah dengan mengenali jenis file yang akan dijalankan, dan upayakan untuk selalu menampilkan ekstesi dari file tersebut agar dapat mengetahui type dari file tersebut. Satu cara yang efektif untuk mencegah Rontokbro adalah dengan menggunakan antivirus yang memberikan support lokal sehingga definisinya dapat mengimbangi munculnya varian baru Rontokbro yang sampai saat ini masih terus dikeluarkan.

Cara membersihkan Rontokbro

1.Lakukan pembersihan melalui “safe mode”
2.Matikan proses virus

Untuk mematikan proses tersebut sebaiknya jangan menggunakan program pocket killbox atau HijackThis karena komputer akan langsung restart jika anda menjalan kan tools ini, kami sarankan untuk menggunakan tools lain yang seperti PROCEXP.EXE dapat didownload di situs http://www.sysinternals.com/Utilities/ProcessExplorer.html

Hapus proses dengan cara “klik kanan nama proses” dan pilih “kill prosess tree”, agar tidak salah dalam penghapusan cari proses yang mempunyai icon “folder”, seperti :
- smss.exe
- services.exe
- winlogon.exe

Catatan:

Atau Anda juga dapat melakukan langkah berikut:

a. Restart komputer dan masuk dalam mode “safe mode with command prompt”, dengan cara menekan tombol [F8] ketika komputer restart, hal ini dimaksudkan agar virus Rontokbro tidak aktif pada posisi ”safe mode” dan komputer tidak melakukan restart selama proses pembersihan.

b. Setelah masuk mode ”Command Prompt” tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu [File] pilih [New Task (Run..), kemudian ketik [explorer] pada jendela [create new task file] setelah itu klik enter.

c. Kemudian akan muncul layar desktop (layaknya masuk ke mode “safe mode”)

d. Aktifkan kembali fungsi registry editor dan hapus string yang dibuat oleh virus, tulis script seperti yang ada pada angka [3], kemudian simpan menjadi nama file “repair.inf”, setelah itu jalankan file tersebut dengan cara: klik kanan file [repair.inf] kemudiani pilih [install]

e. Hapus option [Smss], [Empty] dan [Sempalong] pada msconfig di tabulasi [startup)

f. Agar ”Folder option” pada windows explorer dapat muncul, restart kembali komputer dan lakukan seperti langkah pada point (a dan b)

g. Setelah komputer masuk ke mode "safe mode" tampilkan semua file yang disembuyikan (lakukan perubahan ini pada "folder option", lihat gambar yang ada pada point [5], selanjunya ikuti petunjuk pembersihan Rontokbro seperti yang ada pda point (6-9)

Tulis script berikut dan simpan di notepade beri nama file repair.inf, jalankan file tersebut (klik kanan [repair.inf] pilih [install]), hal ini dimaksudkan untuk mengqaktifkan kembali fungsi registry editor, menampilkan kembali [folder option] serta menghapus string yang telah dibuat oleh virus.

[Version]
Signature=”$Chicago$”
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus

Restart komputer dan masuk kembali ke mode “safe mode” jangan ke posiosi “normal” karena file induk dari virus ini masih ada (eksplorasi.exe dan sempalong.exe)

Tampilkan file yang disembunyikan, lakukan perubahan ini pada [folder Option]

Hapus file yang dibuat oleh Rontokbro :

- C:\Windows dengan, nama file eksplorasi.exe (hidden)

- C:\windows\shellnew, dengan nama sempalong.exe(hidden)

- C:\WINDOWS\system32, dengan nama %username”s Setting.scr (hidden)

- C:\Windows\pss, dengan nama file [Empty.pifStartup]

- C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file

- Bron.tok-[x]-[y], di mana [X] dan [Y] menunjukan angka
- Loc.Mail.Bron.Tok
- Ok-SendMail-Bron-tok
- csrss.exe
- inetinfo.exe
- Kosong.Bron.Tok.txt
- lsass.exe
- NetMailTmp.bin
- services.exe
- smss.exe
- Update.3.Bron.Tok.bin
- winlogon.exe
- smss.exe

Edit kembali file autoexec.bat di direktori C:\ dan hapus baris perintah [pause]

Hapus scheduled tasks yang dibuat oleh Rontokbro (klik [Start], [Settings], [Control Panel], kemudian klik 2 kali menu [scheduled tasks].

Hapus file yang dibuat oleh virus, untuk lebih cepatnya gunakan fasilitas [serach]

• Klik [Start]

• Klik [Search], kemudian klik [For Files or Folders]

• Kemudian pilih [All files or Folders]

• Klik option [What size is it ?]

• Kemudian pilih option [Specify Size (in Kb)]

• Pada kombo Box, pilih [At most] kemdian isi ukuran file dengan angka [43], setelah itu klik [Search]

• Setelah proses pencarian selesai, sortir berdasarkan ukuran (size), kemudian hapus file yang mempunyai ukuran 42 kb, jangan sampai terjadi kesalahan dalam penghapusan file karena ada beberapa file windows yang mempunyai ukuran 42 kb, cari file yang icon folder dengan extension. EXE, seperti gambar dibawah ini:

9. Untuk pembersihan lebih cepat sebaiknya anda gunakan antivirus yang sudah dapat mengenali Rontokbro.N jangan lupa update antivirus yang terinstall, sebagai informasi antivirus Norman dengan up-date terakhir sudah dapat menganali virus ini engan baik.

Link yang relevan · Lebih jauh tentang BeritaTI
· Berita oleh herga

——————————————————————————–

Cerita yang paling banyak dibaca di BeritaTI:
PCMAV RC9 Antivirus Lokal dengan Formula dan Teknologi Khusus

Cara Membuat Virus

Masih ingat dengan virus Aksika? Virus “open source” yang satu itu memang memiliki banyak sekali varian. Tidak heran karena source code-nya memang disedia kan bebas di Internet, jadi siapapun dapat dengan mudah mengubah dan meng-compile source code-nya dan jadilah varian baru.

Berawal dari kemudahan itulah, banyak virus maker ataupun programer pemula mencoba–coba untuk membuat virus tanpa perlu repot. Paling yang dibutuhkan hanyalah pengetahuan seputar operating system dan programming.

Namun kemudahan itu belum seberapa, bila dibandingkan dengan menggunakan program Virus Generator. Dari namanya saja, kita sudah dapat mengira kegunaan dari program tersebut. Ya, Virus Generator merupakan program untuk dapat membuat virus secara mudah dan instan.

Bermula dari sampel sebuah virus yang lumayan banyak dikirimkan oleh pembaca kepada kami. PC Media Antivirus mengenalnya dengan nama Gen.FFE-Fajar, namun antivirus lain ada juga yang menyebutnya dengan nama Brontok.D. Dengan penyelidikan sederhana akhirnya diketahui bahwa virus tersebut dibuat menggunakan Virus Generator.

Fast Firus Engine (FFE)
Pembuat Generator tersebut menamakan program buatannya itu dengan nama Fast Firus Engine. Seperti yang terlihat pada program ataupun situs pembuatnya, ia memberitahukan bahwa program ini hanya untuk tujuan pembelajaran dan tidak untuk tindakan merusak. Namun tetap saja, bila program ini sudah jatuh ke tangan yang salah, pasti akan digunakan untuk pengrusakan.

Virus Generator ini dibuat menggunakan bahasa Visual Basic dan di-compress menggunakan packer tELock. Dalam paketnya terdapat dua buah file, yakni Fast Firus Engine.exe dan data.ex_. Fast Firus Engine. exe merupakan program utama dalam pembuatan virusnya dan sementara file data.ex_ sebenarnya merupakan badan virus asli yang belum dimodifi kasi.

Saat file Fast Firus Engine.exe dijalankan, maka pengguna akan dihadapkan pada sebuah interface. Anda hanya disuruh mengisikan nama virus, nama pembuat, dan pesan-pesannya. Lalu dengan menekan tombol Generate, maka jadilah virus Anda.

Cara kerja dari Generator tersebut sebenarnya sangat sederhana. Ia hanya menambahkan data yang Anda masukkan tadi ke bagian akhir file virus asli (data.ex_). Nantinya informasi tersebut digunakan oleh virus dalam proses infeksi.

Bagaimana Virus Menginfeksi?
Virus hasil ciptaan FFE memang terlihat sederhana. Sama seperti Generatornya, ia juga dibuat menggunakan bahasa Visual Basic yang di-compile dengan metode Native- Code. Lalu di compress menggunakan tELock agar ukurannya semakin kecil. Virus ini memiliki ukuran tubuh asli sebesar 55.296 bytes.

Saat virus kali pertama dieksekusi, ia akan membuat beberapa file induk di beberapa lokasi. Seperti di direktori \%WINDOWS%\, akan terdapat file dengan nama.exe, Win32 exe, activex.exe, dan %virusname% (nama virus sesuai yang diisikan oleh sang pembuatnya pada Generator). Di \%WINDOWS%\ %system32%\ akan terdapat file copy.pif, _default.pif, dan surif.bin. Selain itu, ia juga mengubah atau membuat file Oeminfo.ini yang merupakan bagian dari System Properties. Jadi apabila komputer Anda terinfeksi oleh virus hasil generate dari FFE, maka pada System Properties akan terdapat tulisan “Generated by Fast Firus Engine”.

Di direktori \%WINDOWS%\%System%\ akan terdapat beberapa file induk lagi yang menggunakan nama yang sama seperti file system milik Windows, seperti csrss.exe, winlogon.exe, lsass.exe, smss.exe, svchost. exe, dan winlogon.exe.

Dan tak lupa, pada root drive pun akan terdapat file dengan nama “baca euy.txt” yang berisikan pesan–pesan dari si pembuat virus. Jadi pada saat membuat virus dengan menggunakan Generator tersebut, maka pembuatnya akan disuguhkan beberapa kotak input, seperti Author of the virus, Name of the virus, dan Messages. Nah, isi dari kotak messages ini yang nantinya ditampilkan pada file “baca euy.txt” tersebut.

Setelah virus berhasil meng-copy-kan file induknya ke dalam sistem tersebut, ia akan menjalankan file induk tadi, sehingga pada memory akan terdapat beberapa process virus, seperti csrss.exe, winlogon.exe, lsass. exe, smss.exe, svchost.exe, dan winlogon.exe. Nama process yang mirip dengan process/services milik Windows tersebut mungkin sengaja untuk mengecoh user. Untuk membedakannya, Anda dapat melihat path atau lokasi process tersebut dijalankan. Process virus ini biasanya berjalan di direktori System sementara process/services milik Windows yang running biasanya berasal dari direktori System32.

Mengubah Registry
Virus ini menambahkan beberapa item startup pada registry agar pada saat memulai Windows ia dapat running secara otomatis atau untuk mengubah setting-an Windows agar sesuai keinginannya. Informasi mengenai registry yang diubahnya tidak akan dapat dengan mudah kita lihat karena dalam kondisi terenkripsi.

Yang ia ubah adalah seperti nilai dari item Userinit, yakni dengan menambahkan parameter ke file induk. Pada key HKEY_CURRENT_ USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load juga akan diubah itemnya agar mengarah ke file induknya dengan nama Activex.exe. Pada HKEY_CURRENT_USER \Software\Microsoft\ Windows\CurrentVersion\Run\ akan terdapat item baru dengan nama present. Key HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\ akan terdapat item baru juga dengan nama Default dan %username%, username di sini merupakan nama user yang sedang aktif saat itu.

Virus hasil generate dari FFE juga mengubah shell extension untuk file .exe, yakni dengan mengubah type information dari Application menjadi File Folder. Setting-an folder Options juga diubah agar tidak menampilkan extension dan setiap fi le dengan attribut hidden. Dan agar dapat aktif pada safe-mode, ia pun mengubah nilai dari item SafeBoot.

Dengan menggunakan bantuan registry Image File Execution Options, virus ini juga menambahkan item baru pada section tersebut dengan nama cmd.exe, msconfi g.exe, regedit.exe, dan taskmgr.exe. Maksudnya adalah agar setiap user yang mengakses program dengan nama file seperti itu, maka akan di-bypass oleh Windows dan dialihkan ke file induk si virus.

Bagaimana Virus Menyebar?
Virus ini dapat menyebar melalui media penyimpan data seperti flash disk. Saat Anda mencolokkan flash disk pada komputer yang terinfeksi, maka pada flash disk tersebut akan terdapat beberapa file baru, seperti explorer.exe, %virusname%.exe, dan msvbvm60.dll. Juga beberapa file pendukung seperti desktop.ini, autorun.inf agar ia dapat running otomatis pada saat mengakses flash disk tersebut.

File virus lainnya pun disimpan pada direktori baru di flash disk tersebut dengan nama Recycled yang berisikan file Firus.pif dan Folder.htt. Kesemua file virus tersebut dalam kondisi hidden sehingga tidak terlihat.

Virus Beraksi
Untuk dapat bertahan hidup, virus ini pun akan mencoba untuk memblok setiap program yang tidak ia inginkan seperti tools atau program antivirus termasuk PCMAV. Sama seperti halnya data registry yang diubah, data mengenai program apa saja yang diblok olehnya juga terdapat dalam tubuhnya dalam kondisi terenkripsi.

Jadi, saat virus sudah stay di memory, ia akan memonitor setiap program yang diakses oleh user, yakni dengan membaca nama file dan juga caption Window. Beberapa nama file antivirus yang dicoba untuk dibloknya adalah nav.exe, avgcc.exe, njeeves.exe, ccapps.exe, ccapp.exe, kav.exe, nvcoas.exe, avp32.exe, dan masih banyak lagi yang lainnya. Termasuk beberapa program setup atau installer juga tidak dapat dijalankan pada komputer terinfeksi.

Pencegahan dan Penanggulangan
PC Media Antivirus RC19 ini dapat membersihkan komputer terinfeksi secara tuntas dan akurat 100% setiap virus yang dibuat dengan menggunakan Fast Firus Generator. Untuk menghindari aksi blok oleh virus terhadap PCMAV, silakan Anda rename terlebih dahulu file PCMAV misalnya PCMAV-CLN.EXE menjadi MERDEKA.EXE. Sumber : 1til