Rontokbro.EQ (Ambon Manise)      12 Agustus 2006

Ambon Manise dgn gambar Dian Sastro

Artikel PC Plus Edisi 264, terbit Agustus 2006

Laki-laki mana yang tidak "luluh" hatinya jika mendadak di depan komputernya Dian Sastro tersenyum manis. Jangankan cuma mengklik, kalau perlu komputernya diserahkan kepada pemilik senyum :P. Rekayasa sosial inilah yang dimanfaatkan oleh W32/Rontokbro.EQ atau dikenal dengan nama Ambon Manise. Sentimen kedaerahan terkadang secara tidak langsung memotivasi programmer pembuat virus untuk saling menciptakan virusnya “mengadu” kesaktian dengan virus daerah lain. Setelah Manado menyerang dengan virus patah hati "Hatipat" yang mencuplik lirik lagi Ari Lasso, kini muncul pemain baru yang “di duga” berasal dari Ambon dan mulai meramaikan kancah pertempuran virus lokal di dunia maya.

Norman Virus Control mendeteksi virus ini sebagai W32/Rontokbro.EQ. (lihat gambar 1)

Gambar 1, Norman Virus Control mendeteksi Ambon Manise sebagai W32/Rontokbro.EQ

Dalam upaya penyebarannya, Rontokbro.EQ akan memanfaatkan icon Folder, dibuat dengan menggunakan VB serta mempunyai ukuran sebesar 42 KB dan uniknya jika file induk virus tersebut dijalankan maka akan menampilkan layar Windows Explorer baru dengan menampilkan sebuah file berupa .rtf maupun .jpg sehinga user beranggapan bahwa file yang mereka jalankan bukanlah sebuah virus.

Selain itu Rontokbro.EQ akan membuat sebuah folder baru yang mempunyai nama yang sama sesuai dengan nama file yang dijalankan tersebut, tetapi folder tersebut akan disembunyikan [hidden] serta berisi satu file berupa RTF atau JPG, perhatikan gambar 2 di bawah ini:

Gambar 2, File Induk Rontokbro.EQ

Jika Anda menjalankan file induk virus tersebut maka akan menampilkan satu file [dapat berupa file RTF maupun JPG], seperti terlihat pada gambar 3, 4 dan 5 dibawah ini:

Gambar 3, File virus Rontokbro.EQ dalam bentuk JPG merekayasa gambar Dian Sastro untuk mengelabui pengguna komputer

Gambar 4, Salah satu isi file dari virus Rontokbro.EQ dalam bentuk RTF

Gambar 5, Isi file Naskah.RTF

"           BAB I

            PENDAHULUAN

A. Latar Belakang

      Adapun pengembangan dari delapan naga (nagasari, nagabonar, dll). Melainkan bukan hewan seperti vermes atau cacing ataupun pisang AMBON."

Jika Anda menjumpai kedua hal tersebut diatas kemungkinan besar komputer anda sudah terinfeksi virus Rontokbro.EQ.

Seperti biasanya setiap virus membutuhkan file induk yang akan dijalankan setiap kali komputer dinyalakan, dan Rontokbro.EQ akan membuat file induk tersebut pada direktori sbb:

• C:\Windows\SVCHOST.exe

• C:\Windows\system32\ebrr.exe

• C:\Windows\system32\mmstask.exe

• C:\Windows\system\SVCHOST.EXE

Selain itu Rontokbro.EQ juga akan membuat string pada registry editor, sebagai upaya untuk menjalankan file induk yang telah dibuat agar virus ini dapat secara otomatis aktif tanpa memerlukan bantuan manuasia.

• \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

-          By: 05062705056127019455

-          Made In Ambon Manise - Sebagai PeSaN Anti korupsi

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

-          Explorer.exe "C:\WINDOWS\SVCHOST.EXE"

• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

-          Shell = Explorer.exe "C:\WINDOWS\system\SVCHOST.EXE"

Unblocking Fungsi Windows

Virus ini tidak akan melakukan blok terhadap fungsi windows yang selama ini sering menjadi “hobi” virus lokal lainnya seperti Task Manager, Msconfig, registry editor maupun tools-tools lainnya seperti [Hijack This/Proceexp atau Pocket Killbox], sehinga relatif lebih mudah dibersihkan apalagi virus ini menggunakan VB dalam pembuatannya, selain itu virus ini juga cukup pede untuk tidak membuat file duplikat seperti yang banyak dilakukan oleh virus lokal lainnya.

Walaupun demikian Rontokbro.EQ akan tetap bermain-main dengan setting Folder Options dengan membuat beberapa string pada registry editor berikut, dengan tujuan agar file yang disembunyikan [hidden] tidak dapat di tampilkan walaupun menu Folder Options tidak sampai disembunyikan oleh Rontokbro.EQ:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

  • UncheckedValue = 1

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

  • UncheckedValue = 1 (gambar 6)

Gambar 6, Rontokbro EQ memanfaatkan fitur “SuperHidden” dari registry untuk menyembunyikan dirinya

Mengubah Type File .”Application” menjadi “File Folder”

Satu hal yang menarik adalah Rontokbro EQ mempelopori aksi merubah type file dari setiap file yang mempunyai ekstensi. EXE manjadi File Folder. Dari sudut pandang “rekayasa sosial” hal ini cukup brilian karena user yang sangat berhati-hatipun akan tertipu dengan rekayasa yang satu ini, karena selama ini user yang berhati-hati dan selalu memperhatikan “Type” dari file yang dijalankannya akan selamat dan tidak akan mengklik “Type” file “Application” meskipun iconnya berupa folder, tetapi dengan rekayasa ini file bervirus dengan icon folder akan terlihat pada “Type” filenya sebagai “File Folder” dan kemungkinan besar akan banyak user yang tertipu dengan hal ini. Kepeloporan Rontokbro kembali terlihat dan hal ini diikuti oleh pembuat virus W32/VBWorm.NE (Dago). Adapun registry yang di “permak” adalah sebagai berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

-          Default = File Folder [secara default adalah Default = Application] (Gambar 7)

Gambar 7, Rontokbro.EQ akan menrubah Type File dari EXE menjadi File Folder

Media Penyebaran

Media penyebaran yang digunakan oleh Rontokbro.EQ masih menggunakan Disket / UFD (USB Flash Drive) / File sharing dengan membuat satu atau beberapa file dibawah ini dengan ukuran file sebesar 42 KB dan menggunakan icon Folder. Tentunya semua file virus dibawah ini tidak akan terlihat sebagai executable karena iconnya sudah dipalsukan dengan icon “folder” dan file typenya menjadi “File Folder”

• Agnes Monica.exe

• Foto Pacar.exe

• Bekas Pacar.exe

• Dian Sastro.exe

• Jangan Dihapus.exe

• Oh Cantiknya…exe

• Dokumen Kerja.exe

Cara membersihkan Rontokbro.EQ

1.       Putuskan hubungan komputer yang akan di bersihkan dari jaringan

2.       Matikan [System restore] untuk sementara selama proses pembersihan

3.       Matikan proses virus yang sedang aktif di  memori, untuk mematikan proses ini Anda dapat menggunakan tools pengganti Task Manager seperti ProceeXp kemudian matikan proses yang mempunyai icon Folder, seperti:

• SVCHOST.exe

• EBRR.exe

• Mmtasks.exe (lihat gambar 8)

Gambar 8, Matikan proses Rontokbro.EQ dengan menggunakan ProceeXP

4.       Hapus string yang telah dibuat oleh Rontokbro.EQ pada registry, untuk mempercepat proses penghapusan registry tersebut tulis script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf setelah itu jalankan file tersebut dengan cara :

• Klik kanan repair.inf

• Klik [Install]

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Classes\exefile,,,application

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce,By: 05062705056127019455

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce,Made In Ambon Manise - Sebagai PeSaN Anti korupsi

HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell

5.       Hapus file induk yang telah dibuat oleh Rontokbro.EQ, tetapi sebelumnya pastikan anda sudah menampilkan semua file yang disembunyikan oleh Rontokbro.EQ dengan memilih option [Show hiden files and folder] dan menghilangkan tanda check list pada option [Hide Protected Operating system files (recommended)] pada Folder Option,

Kemudian hapus file berikut:

• C:\Windows\SVCHOST.exe

• C:\Windows\system32\ebrr.exe

• C:\Windows\system32\mmstask.exe

• C:\Windows\system\SVCHOST.EXE

6.       Jika anda mempunyai USB, hapus file induk yang dibuat di media USB seperti:

·         Agnes Monica.exe

·         Foto Pacar.exe

·         Bekas Pacar.exe

·         Dian Sastro.exe

·         Jangan Dihapus.exe

·         Oh Cantiknya…exe

·         Dokumen Kerja.exe

File tersebut di atas mempunyai  ciri-ciri:

a.       Mempunyai ukuran sebesar 42 KB

b.       Menggunakan icon Folder

c.       Type file Application

Untuk mempermudah melakukan langkah 5 dan 6 anda dapat menggunakan Norman Virus Control dengan update terakhir. Scan komputer anda dengan update Norman terbaru dan bersihkan semua virus yang terdeteksi sebagai W32/Rontokbro.EQ. Bila anda tertarik untuk menginstal Norman Trial, silahkan download ke http://www.norman.com/Download/Trial_versions/en untuk mendapatkan Norman “Full Version” dengan kemampuan update 30 hari. Bila anda puas dan tertarik untuk menggunakan Norman, silahkan hubungi Vaksin.com yang menjadi distributor Norman untuk Indonesia ke sales@vaksin.com atau hubungi reseller Vaksincom di kota anda, lihat www.vaksin.com/reseller.htm.

salam,

Adang Juhar Taufik

PT. Vaksincom

Jl. Tanah Abang III /19 E

Ruko Tanaga Mas

Jakarta 10160

Telp : 62-21-3456 850

http://www.vaksin.com

Email : info@vaksin.com