Bila kita amati atau analisa [kali adja bener :)] sesuai nama dari virus tersebut, sepertinya si peracik virus tersebut lebih dari satu orang, setidaknya ada 2 pelaku. Secara naluriah dari Pelaku, ada keinginan untuk mengabadikan dirinya tapi masih malu-2, sehingga mereka hanya mencantumkan nickname saja yaitu Bron dan ToK [kali adja bener :)].
Keduanya mempunyai Tugas Pokok dan Fungsi (tupoksi) yang berbeda namun sangat bersinergi. Tupoksi si Bron, yang bernama lengkap (fake-name dech) Bron-Spizaetus bertugas menyusup ke folder/direktori Windows. Sedangkan si ToK, yang bernama lengkap (fake name juga) ToK-Cirrhatus mendapat disposisi untuk menetap di folder/direktori Aplication Data
Dari hasil investigasi awal yang lakukan di Lab. kangtatantakwa dengan menggunakan webroot spy sweeper (pake versi terAnyar kalo bisa), informasi dari virus Bron-ToK sebagai berikut:
Tabel 1
Startup Item : Bron-Spizaetus
Product name is not provided
Company name is not provided
Copyright information is not provided
Location:C\WINDOWS\ShellNew\sempalong.exe
Registry or starup Forlder: HKCU: Run
Startup Item : ToK-Cirrhatus
Product name is not provided
Company name is not provided
Copyright information is not provided
Location:C\Documents and settings\Kangtatantakwa Lab\Local Setting\Aplication Data\smss.exe
Registry or starup Forlder: HKCU: Run
Secara kasat mata eksistensi virus ini tidak terlihat (Hidden Files). Sehingga hal ini akan menyulitkan kita untuk mencari secara fisik (keberadaan) virus tersebut apalagi untuk menghapusnya.
Parahnya lagi, ketika kita mencoba untuk me-show hidden files and folders-kan melalui Folder Option (Alt-Key T-O (ToolsOption) untuk winNT dan XP atau Alt-Key V-O (ViewOption) untuk Win9x dan winME), fasilitas itu telah dirusaknya (diinfeksi untuk tidak berfungsi). Kondisi ini dikarenakan si virus berhasil mengInfeksi Registry di HKEY_CURRENT_USER (HKCU) dengan me-Disable-kan perintah Folder Option dari Menu Explorer.
Di bawah ini contoh salah satu perintah yang diCreate oleh si Bron-ToK pada sistem registry korban. Tujuannya agar si Korban tidak bisa melihat file-file virus yang telah diinfeksikan. Gambar 1 adalah contoh menu explorer yang belum terinfeksi Bron-ToK. Di situ dapat kita lihat menu Forder Option, sebaliknya bila terinfeksi menu tersebut tidak tampil (hilang).
I. LANTAZ apa yang kita lakukan ?.
Pengetahuan kangtatantakwa tentang si NeR0 yang bisa melihat file-2 atau folder-2 yang di-hidden sebenarnya sudah lama. Baik yang di-hidden/diproteksi oleh sistem registry administrator maupun oleh program-2 peng-Hidden seperti LockForder.
Breakz : Nah Lho..., kepada yang suka nyimpen file-file GITUan (top secret maksudnya) di HardDisk dengan aplikasi di-hidden atau diproteksi sekarang dijamin jadi ngga PeDe.
Back:
Teringat pada si NeR0 yang selain gemar ngeBakar juga tukang Ngintip ini, kangtatantakwa mencoba mengaplikasikan untuk kasus Bro-ToK ini. Dan hasilnya... Aha..! terjadi Penampakan. Lihat Gambar 2 dan 3. Pada kedua gambar di bawah tersebut kita bisa lihat file-file yang di-hidden itu adalah sempalong.exe dan eksplorasi.exe.
INGAT! anda jangan terJebak.
Pada Gambar terlihat seperti FOLDER, padahal itu file aplikasi (*.exe) dengan KAMUFLASE berupa Icon ber-Folder (seperti halnya Serigala Berbulu Domba atau Bandit Berkedok Jagon). ARTInya bila kita mengklik folder tersebut sesusungguhnya kita tidak masuk ke dalam isi folder tersebut, melainkan secara tidak disadari kita telah mengKLIK langsung atau mengEksekusi file tersebut. Yang konsekuensinya virus tersebut menjadi aktif dan menyebar ke folder dan ke sub-sub foldernya terutama folder yang berada di My Documents.
Gambar 2
Di bawah ini nama-nama file dari virus yang menetap di dalam direktori Windows (lihat Gambar 2 dan 3):
.o1- C:\Windows dengan, nama file eksplorasi.exe (hidden)
.o2- C:\windows\shellnew, dengan nama sempalong.exe (hidden)
.o3- C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden)
.o4- C:\Windows\pss, dengan nama file [Empty.pifStartup]
Gambar 3
Oyahh.., walaupun kita telah berhasil melihat secara fisik virus tersebut (Show hidden files and folders) via kang NeR0, pada tahap ini kita tetap belum dapat menghapus file-file tersebut secara permanen. Walapun bisa kita tetap akan kesulitan dan kerepotan untuk menghapusnya. Karena file-fle tersebut akan berREINKARNASI membentuk file yang sama dalam waktu 2 (dua) detik.
Di bawah ini contoh perintah reinkarnasi yang diCreate oleh si Bron-ToK pada sistem registry korban (lihat Tabel 1). Perintah ini memungkin file-2 yang telah dihapus akan tetap Alert dan tetap muncul lagi (be Jill The Yie).
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus
Dan tidak hanya berkemampuan berREINKARNASI saja. Virus inipun mempunyai daya reproduksi dan regenerasi dengan tingkat penyebaran yang tinggi dan memiliki daerah epidemik sendiri-sendiri. Misalnya dalam modus operandinya, virus ini membuat nama virus sesuai dengan nama folder-folder yang ada di My Documents (lihat Gambar 5). Namun begitu, zona penyebaran aksinya hanya terbatas di folder-2 yang ada di My Documents saja, tidak menjangkiti file atau folder di localdrive (drive C) kecuali direktori Windows (itupun tidak semua), drive D, atau partisi drive lainnya.
PENTING :
Pada saat melakukan pembersihan virus Bron-ToK (Rontokbro), pastikan Operation System (OS) dalam kondisi “Save Modeâ€. Yaitu dengan cara meRestart komputer dan menekan tombol [F8]. Hal ini dimaksudkan untuk mencegah virus Rontokbro tidak melakukan restart selama proses pembersihan.
Modus operandi virus ini hampir sama dengan virus Tojan Blaster yaitu menjadikan sistem komputer ngeRestart terus saat komputer memasuki desktop. Modus operandi untuk virus Tojan Blaster sebelum restart (meledak) ada hitungan mundur dulu (count down), sedangkan virus Rontokbro.N langsung ngeRontokin (restarting) sistem pada saat komputer memasuki desktop.
Virus Bron-ToK hanya berkerja pada kondisi Under Windows (tidak under DOS). Sehingga virus tersebut tidak mampu menDelete atau meReplace file-file system yang sedang aktif [Run]. Oleh karenanya virus ini membuat nama imitasi yang sesuai dengan nama file-2 sistem yang aktif tersebut (lihat Gambar 4). Di sini trik social engineering dipakai oleh si pembuat virus. Tujuannya adalah agar si pengguna komputer tidak mencurigai bahwa file yang sedang aktif adalah bukan virus.
II. LANTAZ apa yang kita lakukan ?.
Banyak pakar yang merekomendasikan. Agar kita dapat menghapus file-2 yang dimaksud maka kita harus masuk dulu ke dalam menu Windows taks manager (WTM) yaitu dengan cara tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu Processes. Menu ini menginformasikan atau me-list-kan file-2 apa saja yang sedang alert (aktif) pada sistem operasional (OS) saat itu. Untuk menonaktifkannya cukup highlight file yang akan di hapus kemudian klik kanan dan highlight [End-process-tree]
CARA ini Betul tapi menurut kangtatantakwa kurang Bagus dan kurang Efektif (kangtatantakwa ucapkan maaf kepada para PAKAR virus). Kenapa?. Karena pada menu yang di-list-kan oleh WTM tidak dibedakan mana file original dan mana file kamuflase (virus). Dan jika kita salah mendelete-tree (menonaktifkan) dari file yang kita pilih, sistem malah jadi Hang (stagnan). Walaupun cukup dengan rebooting bisa normal lagi. Tapi jika salah menonaktifkan lagi, yaa ngeHang lagi.
Padahal file-2 yang harus dihapus adalah file-2 aspal (asli-tapi-palsu) yang berkedok file-file inti yang sangat diperlukan oleh OS. Antara lain, smss.exe, csrss.exe, services.exe, Isass.exe dan winlogon.exe. File-2 yang asli berdomisili (path) di C:\Windows\system32\ sedangkan yang palsu (virus) menetap di C:\Documents and Settings\%user%\Local Settings\Application Data.
Pada tahap uji forensik ini kangtatantakwa menggunakan tool ProcMon yang terdapat pada program (software) Essential Net Tools. Pada Gambar 4 terlihat icon yang berbeda antara file asli dan file paslu. Keindahan dari tool Procmon ini adalah mampu menampilkan icon sesuai yang diciptakan oleh yang bikin.
Gambar 4
Di bawah ini nama-nama file dari virus yang menetap di dalam direktori Application Data (lihat Gambar 4 dan Gambar 5):
C:\Documents and Settings\%user%\Local Settings\Application Data
o1 csrss.exe
o2 inetinfo.exe
o3 lsass.exe
o4 services.exe
o5 smss.exe
o6 winlogon.exe
o7 Bron.tok-[1n]-[2n]
o8 Loc.Mail.Bron.Tok
o9 Ok-SendMail-Bron-tok
o10 NetMailTmp.bin
o11 Kosong.Bron.Tok.txt
o12 Update.3.Bron.Tok.bin
Poin 1 s/d 6, merupakan file aktif [Run] dalam sistem, sehingga terdeteksi oleh ProcMon. Sedangkan file 7 s/d 12, merupakan file komplementer yang sangat tergantung pada file *.exe-nya. Artinya jika kita berhasil menghapus secara permanen semua file-file *.exe-nya maka secara otomatis file-2 komplementer akan hilang jua.
Nah.. setelah kita berhasil menghapus fife-file di poin 1 s/d 6, selanjutnya kita menghapus (pake NeR0) file dari yang menetap di dalam direktori Windows terutama file sempalong.exe dan explorasi.exe (poin 1 dan 2), lihat Gambar 2 dan 3. sama dengan yang di atas, file lainnya hanya komplementer dan sangat tergantung pada file *.exe-nya.
Gambar 5
SELESAI-kah ?, belum atuh...
III. LANTAZ apa yang kita lakukan ?.
Seperti telah kangtatantakwa ulas di atas bahwa Virus ini selain mampu berREINKARNASI juga mempunyai daya reproduksi dan regenerasi dengan tingkat penyebaran yang tinggi dan memiliki daerah epidemik sendiri-sendiri. Dimana daerah kekuatan politiknya adalah folder-folder yang ada di My Documents (lihat Gambar 6).
Bisa kita bayangkan, jika dalam My Documents terdapat ribuan folder termasuk sub-2 foldernya, maka ruang gerak dan ruang aksi dari virus ini akan semakin kuat dan mengakar. Dengan kata lain akan sia-2 tentunya jika kita menghapusnya one-by-one.
Cara mesiasatinya adalah menggunakan fasilitas tool Search yang terdapat di Windows Explorer atau Klik [Start] - [Search] - [For Files or Folders] - [All files or Folders] - [All or part of the file name: -ketik- *.exe] – [Look in: -pilih- My Documents] – terakhir pencet Search.
Tunggu beberapa saat, dan hasil report untuk kasus di Lab. kangtatantakwa seperti terlihat pada Gambar 6. Mari kita perhatikan. Walaupun nama file “folderâ€-nya berbeda-beda tetapi secara fisik bobotnya sama. Hal ini bisa kita lihat dari isi ukuran filenya yaitu 42 KB. Ukuran filenya sama persis dengan ukuran file sempalong.exe dan explorasi.exe.
Penting ! :
PASTIkan anda hanya menghapus fille-file yang Berukuran 42 Kb dan yang hanya Bericon [folder].exe saja. Untuk lebih memudahkannya kondisikan (setting) dengan langkah sebagai berikut: pada kondisi Gambar 6, [Klik kanan]-sorot [Arrange Icons by]- pilih [Size].
Gambar 6
SELESAI-kah ?, 25 % lagi dech...
IV. LANTAZ apa yang kita lakukan ?.
Masih ingat Gambar 1 ?. Bila anda sangat interest dengan Forder Option-nya maka anda harus coba mengembalikannya. Tentunya harus masuk ke dalam registry editor yang kini sudah tidak terproteksi lagi oleh si Bron-ToK.
Caranya >>> KLIK [Start] - [Run] - ketik [Regedit] ok - pilih [HKCU] - [Software] - [Microsoft] - [Windows] - [CurrentVersion] - [Policies] - [Explorer] - klikkanan-&-delete [NoFolderOptions] - [Restart dan masuk dalam settingan normal (tidak perlu “save mode†lagi)]
Tambahan-1:
Bila anda telah sukses memasuki tahap LANTAZ-IV, sesungguhya file-file yang ada di Gambat 5 sudah bisa dinyatakan diSFungsi. Sehingga anda boleh (tidak perlu lagi takut reboot/restart) menghapus file-2 tersebut dalam settingan normal, tidak perlu save mode, atau pake Ner0 lagi.
Tambahan-2:
Virus Bron-Tok (Rontokbro.N) ini sebetulnya memiliki sifat mengInstall. Sehingga setiap program yang terinstall akan secara otomatis didaftarkan oleh system operation. Karena sifat virus ini hidden file, maka anda tidak akan menemukannya bila anda check ke menu remove/uninstall di Windows (Settings-Control Panel-Add or Remove Programs).
Kangtatantakwa saranin, sebaiknya anda menggunakan program remover atau uninstaller lain. Cari pake paman google. Karena banyak pilihannya, kangtatantakwa biasa pake program “Your Uninstaller! PRO†(gunakan versi terbaru). Dengan program ini semua icon yang hidden diNongolin. Nama iconnya disesuaikan dengan username (%username% Documents) yang terinfeksi. Misalnya kangtatantakwa Documents dengan wujud icon “Folder berwarna Kuningâ€.
SELESAI-kah ?, 5 % lagi dunk...
V. LANTAZ apa yang kita lakukan ?.
Layaknya orang yang baru saja kena serangan STROKE, pasti harus adaptasi dulu. Dan masih memerlukan Rawat Jalan. Begitu pula “kompi†yang baru bersih dari serangan Bron-ToK. Rawat jalan (pc maintain) yang diperlukan oleh si Kompi adalah melakukan Fix registry problem, Get rid of system junk, Defragment, dan yang dianggap perlu lainnya. Tool-2 ini tersedia dalam sistem mekanik pro 5 (lihat Gambar 7).
Gambar 7
Masih ingat dengan artikel kangtatantakwa tentang System Mechanic Pro-5 yang dimuat di Jasakom 24/09/2005 (http://www.jasakom.com/article.aspx?ID=710), sekedar mengingatkan dan/atau bagi anda yang belum membaca artikel tersebut dapat juga mengunjungi http://www.geocities.com/kangtatantakwa lihat Kolom Artikel : Cracking.SysMech5.Pro. Di sana ada program trialnya yang dapat anda download.
SELESAI-kah ?, 1 % lagi...
V. LANTAZ apa yang kita lakukan ?.
Sekedar nyaranin, Untuk pembersihan lebih cepat sebaiknya menggunakan program antivirus yang sudah memiliki definition log atau yang sudah dapat mengenali Rontokbro.N. Untuk sementara, antivirus Norman dengan up-date terakhir sudah dapat mengenali virus ini. Program versi terbaru (versi 5.81) ini bisa didonlod pada situs di bawah ini. http://download.norman.no/nvc5/NVC581_R4ENG.EXE
>> KEPADA yang Membuat Virus Bron-ToK ato Rontokbro.N
.o1. Kalau sasaran dari virus yang anda buat ini adalah masyarakat awam pengguna komputer maka Grade anda adalah ilmuan Tengik dari komunitas Bawah Tanah.
.o2. Kalau sasaran dari virus yang anda buat ini adalah kangtatantakwa maka anda harus banyak-banyak belajar lagi (IQro, IqRo, en 1qr0 euy..!).
.o3. Kalau sasaran dari virus yang anda buat ini adalah NASA, Pentagon, Wallstreet, Dinas Intelejen Adidaya, Yahoo, Symantech, Microsoft, etc maka yang anda lakukan belum berpengaruh nyata, atau anda memang belum ada kemampuan untuk berbuat ke arah itu.
.o4. Kalau sasaran dari virus yang anda buat ini adalah Koruptor dan Politisi Busuk negeri ini maka ..... yang anda harus adalah berkolaborasi dengan ahli kimia, ahli biologi, ahli sosial, ahli ekonomi, ahli politik, ahli kebathinan, ahli dan sebagainya. Terus apa hubungannya dengan Koruptor dan Politisi Busuk ? Tanyakan saja pada rumput yang bergoyang.
Okeh everybody sekalian..!, siapapun anda, apapun profesi anda, dimanapun asal anda, kangtatantakwa ucapkan SELAMAT menekuni job-job anda jika memang itulah pekerjaan yang menurut anda paling menyenangkan.
Tuhan ciptakan sesuatu dengan berbeda-beda. Misalnya ada Hitam ada Putih. Tinggal dari mana Qta memandangnya. Bagi kangtatantakwa HITAM tidak selamanya simbol jahat ato kemisteriusan. Tapi Hitam pun adalah lambang kekuatan dan keperkasaan. PUTIH tidak selamanya simbol kebaikan ato kebenaran. Tapi Putih pun adalah lambang ketidakjelasan (GolPut) dan ketidakberanian (kibarkan berdera putih saat perang a.k.a. menyerah).
Keduanya mempunyai Tugas Pokok dan Fungsi (tupoksi) yang berbeda namun sangat bersinergi. Tupoksi si Bron, yang bernama lengkap (fake-name dech) Bron-Spizaetus bertugas menyusup ke folder/direktori Windows. Sedangkan si ToK, yang bernama lengkap (fake name juga) ToK-Cirrhatus mendapat disposisi untuk menetap di folder/direktori Aplication Data
Dari hasil investigasi awal yang lakukan di Lab. kangtatantakwa dengan menggunakan webroot spy sweeper (pake versi terAnyar kalo bisa), informasi dari virus Bron-ToK sebagai berikut:
Tabel 1
Startup Item : Bron-Spizaetus
Product name is not provided
Company name is not provided
Copyright information is not provided
Location:C\WINDOWS\ShellNew\sempalong.exe
Registry or starup Forlder: HKCU: Run
Startup Item : ToK-Cirrhatus
Product name is not provided
Company name is not provided
Copyright information is not provided
Location:C\Documents and settings\Kangtatantakwa Lab\Local Setting\Aplication Data\smss.exe
Registry or starup Forlder: HKCU: Run
Secara kasat mata eksistensi virus ini tidak terlihat (Hidden Files). Sehingga hal ini akan menyulitkan kita untuk mencari secara fisik (keberadaan) virus tersebut apalagi untuk menghapusnya.
Parahnya lagi, ketika kita mencoba untuk me-show hidden files and folders-kan melalui Folder Option (Alt-Key T-O (ToolsOption) untuk winNT dan XP atau Alt-Key V-O (ViewOption) untuk Win9x dan winME), fasilitas itu telah dirusaknya (diinfeksi untuk tidak berfungsi). Kondisi ini dikarenakan si virus berhasil mengInfeksi Registry di HKEY_CURRENT_USER (HKCU) dengan me-Disable-kan perintah Folder Option dari Menu Explorer.
Di bawah ini contoh salah satu perintah yang diCreate oleh si Bron-ToK pada sistem registry korban. Tujuannya agar si Korban tidak bisa melihat file-file virus yang telah diinfeksikan. Gambar 1 adalah contoh menu explorer yang belum terinfeksi Bron-ToK. Di situ dapat kita lihat menu Forder Option, sebaliknya bila terinfeksi menu tersebut tidak tampil (hilang).
I. LANTAZ apa yang kita lakukan ?.
Pengetahuan kangtatantakwa tentang si NeR0 yang bisa melihat file-2 atau folder-2 yang di-hidden sebenarnya sudah lama. Baik yang di-hidden/diproteksi oleh sistem registry administrator maupun oleh program-2 peng-Hidden seperti LockForder.
Breakz : Nah Lho..., kepada yang suka nyimpen file-file GITUan (top secret maksudnya) di HardDisk dengan aplikasi di-hidden atau diproteksi sekarang dijamin jadi ngga PeDe.
Back:
Teringat pada si NeR0 yang selain gemar ngeBakar juga tukang Ngintip ini, kangtatantakwa mencoba mengaplikasikan untuk kasus Bro-ToK ini. Dan hasilnya... Aha..! terjadi Penampakan. Lihat Gambar 2 dan 3. Pada kedua gambar di bawah tersebut kita bisa lihat file-file yang di-hidden itu adalah sempalong.exe dan eksplorasi.exe.
INGAT! anda jangan terJebak.
Pada Gambar terlihat seperti FOLDER, padahal itu file aplikasi (*.exe) dengan KAMUFLASE berupa Icon ber-Folder (seperti halnya Serigala Berbulu Domba atau Bandit Berkedok Jagon). ARTInya bila kita mengklik folder tersebut sesusungguhnya kita tidak masuk ke dalam isi folder tersebut, melainkan secara tidak disadari kita telah mengKLIK langsung atau mengEksekusi file tersebut. Yang konsekuensinya virus tersebut menjadi aktif dan menyebar ke folder dan ke sub-sub foldernya terutama folder yang berada di My Documents.
Gambar 2
Di bawah ini nama-nama file dari virus yang menetap di dalam direktori Windows (lihat Gambar 2 dan 3):
.o1- C:\Windows dengan, nama file eksplorasi.exe (hidden)
.o2- C:\windows\shellnew, dengan nama sempalong.exe (hidden)
.o3- C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden)
.o4- C:\Windows\pss, dengan nama file [Empty.pifStartup]
Gambar 3
Oyahh.., walaupun kita telah berhasil melihat secara fisik virus tersebut (Show hidden files and folders) via kang NeR0, pada tahap ini kita tetap belum dapat menghapus file-file tersebut secara permanen. Walapun bisa kita tetap akan kesulitan dan kerepotan untuk menghapusnya. Karena file-fle tersebut akan berREINKARNASI membentuk file yang sama dalam waktu 2 (dua) detik.
Di bawah ini contoh perintah reinkarnasi yang diCreate oleh si Bron-ToK pada sistem registry korban (lihat Tabel 1). Perintah ini memungkin file-2 yang telah dihapus akan tetap Alert dan tetap muncul lagi (be Jill The Yie).
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus
Dan tidak hanya berkemampuan berREINKARNASI saja. Virus inipun mempunyai daya reproduksi dan regenerasi dengan tingkat penyebaran yang tinggi dan memiliki daerah epidemik sendiri-sendiri. Misalnya dalam modus operandinya, virus ini membuat nama virus sesuai dengan nama folder-folder yang ada di My Documents (lihat Gambar 5). Namun begitu, zona penyebaran aksinya hanya terbatas di folder-2 yang ada di My Documents saja, tidak menjangkiti file atau folder di localdrive (drive C) kecuali direktori Windows (itupun tidak semua), drive D, atau partisi drive lainnya.
PENTING :
Pada saat melakukan pembersihan virus Bron-ToK (Rontokbro), pastikan Operation System (OS) dalam kondisi “Save Modeâ€. Yaitu dengan cara meRestart komputer dan menekan tombol [F8]. Hal ini dimaksudkan untuk mencegah virus Rontokbro tidak melakukan restart selama proses pembersihan.
Modus operandi virus ini hampir sama dengan virus Tojan Blaster yaitu menjadikan sistem komputer ngeRestart terus saat komputer memasuki desktop. Modus operandi untuk virus Tojan Blaster sebelum restart (meledak) ada hitungan mundur dulu (count down), sedangkan virus Rontokbro.N langsung ngeRontokin (restarting) sistem pada saat komputer memasuki desktop.
Virus Bron-ToK hanya berkerja pada kondisi Under Windows (tidak under DOS). Sehingga virus tersebut tidak mampu menDelete atau meReplace file-file system yang sedang aktif [Run]. Oleh karenanya virus ini membuat nama imitasi yang sesuai dengan nama file-2 sistem yang aktif tersebut (lihat Gambar 4). Di sini trik social engineering dipakai oleh si pembuat virus. Tujuannya adalah agar si pengguna komputer tidak mencurigai bahwa file yang sedang aktif adalah bukan virus.
II. LANTAZ apa yang kita lakukan ?.
Banyak pakar yang merekomendasikan. Agar kita dapat menghapus file-2 yang dimaksud maka kita harus masuk dulu ke dalam menu Windows taks manager (WTM) yaitu dengan cara tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu Processes. Menu ini menginformasikan atau me-list-kan file-2 apa saja yang sedang alert (aktif) pada sistem operasional (OS) saat itu. Untuk menonaktifkannya cukup highlight file yang akan di hapus kemudian klik kanan dan highlight [End-process-tree]
CARA ini Betul tapi menurut kangtatantakwa kurang Bagus dan kurang Efektif (kangtatantakwa ucapkan maaf kepada para PAKAR virus). Kenapa?. Karena pada menu yang di-list-kan oleh WTM tidak dibedakan mana file original dan mana file kamuflase (virus). Dan jika kita salah mendelete-tree (menonaktifkan) dari file yang kita pilih, sistem malah jadi Hang (stagnan). Walaupun cukup dengan rebooting bisa normal lagi. Tapi jika salah menonaktifkan lagi, yaa ngeHang lagi.
Padahal file-2 yang harus dihapus adalah file-2 aspal (asli-tapi-palsu) yang berkedok file-file inti yang sangat diperlukan oleh OS. Antara lain, smss.exe, csrss.exe, services.exe, Isass.exe dan winlogon.exe. File-2 yang asli berdomisili (path) di C:\Windows\system32\ sedangkan yang palsu (virus) menetap di C:\Documents and Settings\%user%\Local Settings\Application Data.
Pada tahap uji forensik ini kangtatantakwa menggunakan tool ProcMon yang terdapat pada program (software) Essential Net Tools. Pada Gambar 4 terlihat icon yang berbeda antara file asli dan file paslu. Keindahan dari tool Procmon ini adalah mampu menampilkan icon sesuai yang diciptakan oleh yang bikin.
Gambar 4
Di bawah ini nama-nama file dari virus yang menetap di dalam direktori Application Data (lihat Gambar 4 dan Gambar 5):
C:\Documents and Settings\%user%\Local Settings\Application Data
o1 csrss.exe
o2 inetinfo.exe
o3 lsass.exe
o4 services.exe
o5 smss.exe
o6 winlogon.exe
o7 Bron.tok-[1n]-[2n]
o8 Loc.Mail.Bron.Tok
o9 Ok-SendMail-Bron-tok
o10 NetMailTmp.bin
o11 Kosong.Bron.Tok.txt
o12 Update.3.Bron.Tok.bin
Poin 1 s/d 6, merupakan file aktif [Run] dalam sistem, sehingga terdeteksi oleh ProcMon. Sedangkan file 7 s/d 12, merupakan file komplementer yang sangat tergantung pada file *.exe-nya. Artinya jika kita berhasil menghapus secara permanen semua file-file *.exe-nya maka secara otomatis file-2 komplementer akan hilang jua.
Nah.. setelah kita berhasil menghapus fife-file di poin 1 s/d 6, selanjutnya kita menghapus (pake NeR0) file dari yang menetap di dalam direktori Windows terutama file sempalong.exe dan explorasi.exe (poin 1 dan 2), lihat Gambar 2 dan 3. sama dengan yang di atas, file lainnya hanya komplementer dan sangat tergantung pada file *.exe-nya.
Gambar 5
SELESAI-kah ?, belum atuh...
III. LANTAZ apa yang kita lakukan ?.
Seperti telah kangtatantakwa ulas di atas bahwa Virus ini selain mampu berREINKARNASI juga mempunyai daya reproduksi dan regenerasi dengan tingkat penyebaran yang tinggi dan memiliki daerah epidemik sendiri-sendiri. Dimana daerah kekuatan politiknya adalah folder-folder yang ada di My Documents (lihat Gambar 6).
Bisa kita bayangkan, jika dalam My Documents terdapat ribuan folder termasuk sub-2 foldernya, maka ruang gerak dan ruang aksi dari virus ini akan semakin kuat dan mengakar. Dengan kata lain akan sia-2 tentunya jika kita menghapusnya one-by-one.
Cara mesiasatinya adalah menggunakan fasilitas tool Search yang terdapat di Windows Explorer atau Klik [Start] - [Search] - [For Files or Folders] - [All files or Folders] - [All or part of the file name: -ketik- *.exe] – [Look in: -pilih- My Documents] – terakhir pencet Search.
Tunggu beberapa saat, dan hasil report untuk kasus di Lab. kangtatantakwa seperti terlihat pada Gambar 6. Mari kita perhatikan. Walaupun nama file “folderâ€-nya berbeda-beda tetapi secara fisik bobotnya sama. Hal ini bisa kita lihat dari isi ukuran filenya yaitu 42 KB. Ukuran filenya sama persis dengan ukuran file sempalong.exe dan explorasi.exe.
Penting ! :
PASTIkan anda hanya menghapus fille-file yang Berukuran 42 Kb dan yang hanya Bericon [folder].exe saja. Untuk lebih memudahkannya kondisikan (setting) dengan langkah sebagai berikut: pada kondisi Gambar 6, [Klik kanan]-sorot [Arrange Icons by]- pilih [Size].
Gambar 6
SELESAI-kah ?, 25 % lagi dech...
IV. LANTAZ apa yang kita lakukan ?.
Masih ingat Gambar 1 ?. Bila anda sangat interest dengan Forder Option-nya maka anda harus coba mengembalikannya. Tentunya harus masuk ke dalam registry editor yang kini sudah tidak terproteksi lagi oleh si Bron-ToK.
Caranya >>> KLIK [Start] - [Run] - ketik [Regedit] ok - pilih [HKCU] - [Software] - [Microsoft] - [Windows] - [CurrentVersion] - [Policies] - [Explorer] - klikkanan-&-delete [NoFolderOptions] - [Restart dan masuk dalam settingan normal (tidak perlu “save mode†lagi)]
Tambahan-1:
Bila anda telah sukses memasuki tahap LANTAZ-IV, sesungguhya file-file yang ada di Gambat 5 sudah bisa dinyatakan diSFungsi. Sehingga anda boleh (tidak perlu lagi takut reboot/restart) menghapus file-2 tersebut dalam settingan normal, tidak perlu save mode, atau pake Ner0 lagi.
Tambahan-2:
Virus Bron-Tok (Rontokbro.N) ini sebetulnya memiliki sifat mengInstall. Sehingga setiap program yang terinstall akan secara otomatis didaftarkan oleh system operation. Karena sifat virus ini hidden file, maka anda tidak akan menemukannya bila anda check ke menu remove/uninstall di Windows (Settings-Control Panel-Add or Remove Programs).
Kangtatantakwa saranin, sebaiknya anda menggunakan program remover atau uninstaller lain. Cari pake paman google. Karena banyak pilihannya, kangtatantakwa biasa pake program “Your Uninstaller! PRO†(gunakan versi terbaru). Dengan program ini semua icon yang hidden diNongolin. Nama iconnya disesuaikan dengan username (%username% Documents) yang terinfeksi. Misalnya kangtatantakwa Documents dengan wujud icon “Folder berwarna Kuningâ€.
SELESAI-kah ?, 5 % lagi dunk...
V. LANTAZ apa yang kita lakukan ?.
Layaknya orang yang baru saja kena serangan STROKE, pasti harus adaptasi dulu. Dan masih memerlukan Rawat Jalan. Begitu pula “kompi†yang baru bersih dari serangan Bron-ToK. Rawat jalan (pc maintain) yang diperlukan oleh si Kompi adalah melakukan Fix registry problem, Get rid of system junk, Defragment, dan yang dianggap perlu lainnya. Tool-2 ini tersedia dalam sistem mekanik pro 5 (lihat Gambar 7).
Gambar 7
Masih ingat dengan artikel kangtatantakwa tentang System Mechanic Pro-5 yang dimuat di Jasakom 24/09/2005 (http://www.jasakom.com/article.aspx?ID=710), sekedar mengingatkan dan/atau bagi anda yang belum membaca artikel tersebut dapat juga mengunjungi http://www.geocities.com/kangtatantakwa lihat Kolom Artikel : Cracking.SysMech5.Pro. Di sana ada program trialnya yang dapat anda download.
SELESAI-kah ?, 1 % lagi...
V. LANTAZ apa yang kita lakukan ?.
Sekedar nyaranin, Untuk pembersihan lebih cepat sebaiknya menggunakan program antivirus yang sudah memiliki definition log atau yang sudah dapat mengenali Rontokbro.N. Untuk sementara, antivirus Norman dengan up-date terakhir sudah dapat mengenali virus ini. Program versi terbaru (versi 5.81) ini bisa didonlod pada situs di bawah ini. http://download.norman.no/nvc5/NVC581_R4ENG.EXE
>> KEPADA yang Membuat Virus Bron-ToK ato Rontokbro.N
.o1. Kalau sasaran dari virus yang anda buat ini adalah masyarakat awam pengguna komputer maka Grade anda adalah ilmuan Tengik dari komunitas Bawah Tanah.
.o2. Kalau sasaran dari virus yang anda buat ini adalah kangtatantakwa maka anda harus banyak-banyak belajar lagi (IQro, IqRo, en 1qr0 euy..!).
.o3. Kalau sasaran dari virus yang anda buat ini adalah NASA, Pentagon, Wallstreet, Dinas Intelejen Adidaya, Yahoo, Symantech, Microsoft, etc maka yang anda lakukan belum berpengaruh nyata, atau anda memang belum ada kemampuan untuk berbuat ke arah itu.
.o4. Kalau sasaran dari virus yang anda buat ini adalah Koruptor dan Politisi Busuk negeri ini maka ..... yang anda harus adalah berkolaborasi dengan ahli kimia, ahli biologi, ahli sosial, ahli ekonomi, ahli politik, ahli kebathinan, ahli dan sebagainya. Terus apa hubungannya dengan Koruptor dan Politisi Busuk ? Tanyakan saja pada rumput yang bergoyang.
Okeh everybody sekalian..!, siapapun anda, apapun profesi anda, dimanapun asal anda, kangtatantakwa ucapkan SELAMAT menekuni job-job anda jika memang itulah pekerjaan yang menurut anda paling menyenangkan.
Tuhan ciptakan sesuatu dengan berbeda-beda. Misalnya ada Hitam ada Putih. Tinggal dari mana Qta memandangnya. Bagi kangtatantakwa HITAM tidak selamanya simbol jahat ato kemisteriusan. Tapi Hitam pun adalah lambang kekuatan dan keperkasaan. PUTIH tidak selamanya simbol kebaikan ato kebenaran. Tapi Putih pun adalah lambang ketidakjelasan (GolPut) dan ketidakberanian (kibarkan berdera putih saat perang a.k.a. menyerah).
