Subscribe For Free Updates!

We'll not spam mate! We promise.

Jan 16, 2007

W32/Rontokbro.LA Menginfeksi Komputer Dari Flashdisk Tanpa Perlu Diklik

Laptop kesayanganku kena Brontok akibat ditumpangin Flashdisk temen, hanya copy paste file ke dan dari flasdisk langsung restart terus dan muncul yg aneh aneh :(

Gue mulai Keluarin semua senjata perang mulai dari Antibrontok sampai bersihin registry dari unknow string , deteck *.exe/bat/com/pif/lnk/scr dan *.* from last modify akhirnya beres juga dan kembali normal laptopku tanpa perlu di format or install ulang .

Setelah itu coba akses ke detikinet.com , dapat satu artikel yang menambah pengetahuan , ternyata Varian Brontok sudah semakin canggih sehingga tanpa klik pun user bisa terjangkit virus tersebut.

Berikut kutipan artikel nya :

Varian Rontokbro Menginfeksi Tanpa Perlu Klik
Ni Ketut Susrini - detikInet

Jakarta, Biasanya virus akan aktif setelah file pembawanya dijalankan. Akan tetapi, varian terbaru Rontokbro bisa langsung aktif begitu flash disk ditancapkan ke komputer.

"Lagi-lagi Rontokbro menjadi pionir dalam mencari cara baru menginfeksi komputer," ujar Alfons Tanujaya, spesialis anti virus dari PT Vaksincom, melalui keterangan tertulis yang dikutip detikINET, Senin (15/1/2007).

Dinamai W32/Rontokbro.LA , varian ini mampu mengaktifkan dirinya secara otomatis setiap kali USB Flash Disk dicolokkan pada komputer. Padahal biasanya virus lokal baru akan aktif jika user melakukan klik ganda pada file yang sudah terinfeksi virus.

Menurut Alfons, kemampuan mengaktifkan diri sebelum klik ini ternyata sudah banyak dimiliki virus lokal yang ada, sebut saja virus W32/Askis, W32/VBWorm.ZL, VBWorm.MOS atau W32/Aksika. Alfons menilai teknik penyebaran ini merupakan suatu perkembangan yang luar biasa.

Rontokbro.LA, menurutnya, dibuat dengan menggunakan bahasa Visual Basic serta mengusung sebuah puisi cinta berjudul "4K51K4".

Aktif Tanpa Klik

Dijelaskan Alfons, agar file yang sudah dibuat di disket atau flash disk tersebut aktif secara otomatis tanpa harus dijalankan secara manual oleh user, virus ini akan membuat script pada disket atau flash disk tersebut dengan nama Desktop.ini. Script ini berisi perintah untuk menjalankan file Folder.htt. File Folder.htt ini berisi perintah lain untuk menjalankan file New Folder.exe.

"Jadi, setiap kali user mengakses disket atau flash disk yang sudah terinfeksi maka secara otomatis akan mengaktifkan virus tersebut," ujar Alfons.

Rontokbro.LA juga akan membuat file Desktop.ini di setiap drive (contoh: Drive C:\ atau D:\), sehingga jika user mengakses kedua drive tersebut maka secara otomatis akan mengaktifkan virus tersebut, tanpa harus menjalankan file yang sudah terinfeksi terlebih dahulu.

Source Sumber


Cara Membasmi Brontok W32/Rontokbro.LA

1. Putuskan connection komputer yang akan dibersihkan dari jaringan Server.

2. Matikan proses virus yang aktif dimemori. Sebagai informasi Rontokbro.LA akan aktif di mode "normal", "safe mode" maupun "safe mode with command prompt", file induk yang aktif di memori juga sangat sulit untuk dimatikan hal ini diperparah dengan kondisi dimana virus ini akan aktif setiap kali user menjalankan file Executable(EXE) dari suatu program , tools security seperti security task manager/proceeXP atau killbox pun dibuat tak berdaya.

Berita bagus untuk anda , Rontokbro.LA dibuat dengan menggunakan bahasa Visual Basic sehingga anda hanya perlu merubah file msvbvm60.dll yang ada didirektori C:\Windows dan C:\Windows\system32.
Untuk merubah file msvbvm60.dll tersebut, terlebih dahulu anda harus membuat Disket Startup karena file tersebut akan diubah pada mode DOS.

Setelah anda berhasil membuat disket Startup boting komputer melalui Disket, ketik di dos prompt di folder c:\Windows dengan perintah DIR/AH kemudian tekan tombol "Enter" pada keyboard [untuk melihat file yang disembunyikan], jika di direktori ini ditemukan file msvbvm60.DLL, ubah nama file tersebut dengan perintah REN MSVBVM60.DLL MSVBVM60
kemudian tekan tombol "Enter" pada keyboard.

Ubah juga file msvbvm60.dll yang ada di direktoriC:\Windows\system32, dengan mengunakan perintah yang sama seperti di atas.

Setelah file tersebut berhasil di ubah, restart komputer dan booting ke mode "Normal". Setelah komputer booting maka akan muncul beberapa pesan error, ini menandakan bahwa virus tersebut gagal untuk dijalankan [aktif] kerena tidak menemukan file msvbvm60.DLL

3. Hapus string registry yang dibuat oleh virus. Salin script dibawah ini pada program Notepad dan simpan dengan nama repair.inf kemudian jalankan dengan cara

  • klik kanan repair.inf
  • klik install

<- mulai copy dari sini ... ->

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKCU, Control Panel\Desktop,SCRNSAVE.EXE ,0,

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, 4k51k4
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, MSMSGS
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableCMD
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR

<- Batas Copy disini ...->


4. Hapus file induk yang dibuat oleh virus , sebelum menghapus file tersebut pastikan anda sudah menampilkan file/folder yang disembunyikan dengan memilih option "Show hidden files and folders" dan menghilangkan pilihan "Hide extension for known file types" dan "Hide protected operating system files (recommended)" pada Folder Option.

Setelah itu hapus file induk berikut ini :
  • C:\Data%user%.exe [contoh: Data Admin.exe]
  • C:\4k51k4.exe
  • C:\Puisi.txt
  • C:\Desktop.ini
  • C:\4K51K4 , Folder ini berisi 2 buah file berikut:
  • Folder.htt
  • New Folder.exe
  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\startup.exe
  • C:\Documents and Settings\%user%\Local Settings\Application Data
  • 4k51k4.exe
  • csrss.exe
  • Empty.Pif
  • IExplorer.exe
  • lsass.exe
  • services.exe
  • shell.exe
  • winlogon.exe
  • C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
  • csrss.exe
  • lsass.exe
  • services.exe
  • smss.exe
  • winlogon.exe
  • C:\Documents and Settings\All Users\Start Menu\Programs\Startup
  • Empty.pif
  • Empty.exe
  • Startup.exe
  • C:\WINDOWS\4k51k4.exe

  • C:\WINDOWS\system32
  • Shell.exe
  • MrHelloween.scr
  • IExplorer.exe

Hapus juga file yang ada di Disket/Flash Disk:
  • 4K51K4 , di folder ini berisi 2 buah file dengan nama
  • Folder.htt
  • New Folder.exe
  • Data %user%.exe, contoh: Data Admin.exe
  • Desktop.ini
  • 5. Hapus file duplikat yang sudah dibuat oleh virus baik di Hard Disk maupun di Disket/Flash Disk dengan ciri-ciri :
  • Menggunakan icon folder
  • Ukuran 45 KB
  • Ext. exe
  • Type file "application"
  • 6. Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan Norman Virus Control yang sudah dapat mengenali virus ini dengan baik.

    7. Jika komputer sudah bersih dari virus, tampilkan kembali file .EXE yang sudah disembunyikan. Gunakan perintah ATTRIB -s -h *.exe /s /dpada Dos Prompt. Sebagai informasi Rontokbro.LA juga akan mencoba untuk menyembunyikan file dengan ekst.Bat/Com/lnk/Pif jika file tersebut dijalankan oleh karena itu untuk menampilkan kembali file dengan ext tersebut gunakan perintah seperti diatas dengan mengganti ekstensi yang akan ditampilkan,
    contoh : "ATTRIB -s -h *.com /s /d"

    8. Ubah kembali file msvbvm60 yang ada di direktori C:\Windows\system32 menjadi msvbvm60.dll

    9. Restart ulang komputer dan anda sudah terbebas dari W32/Rontokbro.LA

    Thanks to mr. Aj Tau
    info@vaksin.com - PT. Vaksincom

    Socializer Widget
    SOCIALIZE IT →
    FOLLOW US →
    SHARE IT →

    1 Comment:

    tjahaju said...

    jadi males cetak foto di FDI, pulang2 pasti flash disk kena virus :(
    tapi kompie di rumah pake AVG tuh :D