Siapa yang tak kenal Brontok? Mungkin Anda semua sebagai pengguna komputer sudah sering mendengar informasi mengenai virus Brontok ini, atau bahkan komputer Anda sudah terinfeksi Brontok?
Belakangan ini, tampaknya varian baru Brontok ini semakin merajalela. Virus ini menggunakan USB Flash Disk sebagai media penyebarannya dan murni merupakan virus lokal Indonesia.Gejala komputer yang terkena virus ini otomatis akan sering restart sendiri , regedit tidak berfungsi, dan membuat banyak duplikat folder sesuai nama yg di tebenginya.
Setiap kali start Windows virus akan aktif di memory. Process name yang digunakan menyerupai nama-nama service di Windows, contohnya csrss.exe, lsass.exe, dan smss. exe, juga beberapa process dengan nama random. Apabila kita ingin meng-kill process tersebut dari Task Manager, sepertinya tidak bisa dilakukan, karena Brontok juga akan memblok akses ke Task Manager.
Belakangan juga terdeteksi telah beredar varian baru brontok yg di dinamai w32/RONTOKBRO.LA dimana penyebarannya langsung terjadi jika flashdisk ditancapkan ke PC/ Laptop tanpa perlu di klik,baca infonya di sini dan varian W32/BRONTOK.22 , baca detailnya di sini dimana virus ini masih bisa bereaksi walaupun komputer kita booting dalam kondisi safe-mode , ini disebabkan virus ini melakukan penambahan value pada beberapa section di registry yang dijadikan sebagai autorun. Salah satunya pada HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Dan juga menginfeksi value untuk run in safe-mode, yaitu pada HKLM\SYSTEM\CurrentControl-Set\Control\SafeBoot\AlternateShell, dengan mengalihkan nilai dari value tersebut ke program utama virus. inilah yang membuat virus ini masih aktif walau sudah di booting dalam modus safe-mode.
Selain pada registry,Virus ini juga megedit file hosts milik Windows. File hosts ini dipergunakan oleh Windows untuk me-resolve atau menerjemahkan hostname menjadi alamat IP. Yang dilakukan Brontok ini adalah dengan cara mengalihkan setiap IP dari hostname atau alamat situs Internet ke IP 127.0.0.22. Angka 22 pada IP tersebut menunjukan versi dari Brontok.
Schedule Task juga tak luput dari serangan Brontok, ia akan menambahkan dua item baru dengan nama AT1 dan AT2 yang akan menjalankan file \Documents and Settings\%username%\Local Settings\Application Data\jalak-%random%-bali.com setiap hari pada pukul 11:03 dan 17:08. Tak hanya itu, ia juga akan me-rename file Run-Time Library milik Visual Basic, yaitu MSVBVM60. DLL menjadi MSVBVM60.DLL.XXX, dimana XXX adalah nomor acak. Tujuannya adalah untuk mematikan virus-virus lain dan virus-virus Brontok versi lama yang masih menggunakan Visual Basic program. Namun, tindakan ini juga membuat aplikasi–aplikasi yang diprogram menggunakan Visual Basic tidak akan dapat berjalan.
Cara Membasmi Brontok
Yang saya lakukan untuk membasmi Varian Brontok ini adalah sebagai berikut:
Feb 5, 2007
Virus Brontok dan cara penangulangannya
Subscribe to:
Post Comments (Atom)
0 Comment:
Post a Comment