Moontox Bro

Worm.VBWorm.NUJ 19 November 2007

Moontox Bro, Rontokbro yang “montok” dan “cinta” Indonesia

By: Hacker/Cracker Indonesia ]
---- Paraysutki #VM Community ----
[ SEND TO MALAYSIA/AUSTRALIA

Hentikanlah kebobrokan kalian --
Apa kalian tau rasanya menjadi manusia yang sia-sia?
Apa kalian tau rasanya setiap saat dihina dan tidak mampu merasakan kesenangan kalian?
Apa kalian tau betapa sakitnya kami (TKI) yang disiksa dan di perlakukan seperti binatang oleh majikan kalian? ditendang,dipukuli,dicaci maki,dihina,tidak digajih,dan pulang dengan anggota tubuh yg cacat? itulah yang kami dapatkan sehari-hari selama bekerja di sana
Aku yakin selama hidup kalian tidak pernah sedikitpun merasakan rasa sakit itu?

Wahai kalian yang ada di bumi ini
Kalian yang telah memojokanku dan Kalian yang telah merusak semua kesenanganku
Kalian hanya melihatku sebagai anak yang menyedihkan yang harus kalian singkirkan
kalian hanya memberiku satu-satunya jalan untuk membalas keputusan yang telah kalian buat

...Terima kasih...
kini kalian akan melihat darah di kedua tanganmu yang tak akan pernah bisa di bersihkan
dan kini aku akan hadir membangkitkan generasi yang lemah dan tak berdaya untuk melawan
!!! Bangkitlah Indonesia Raya, Bangsa dan Tanah Airku !!!

JIka di layar pc anda muncul sebuah jendela Internet Explorer dengan judul berwarna merah MONTOX BRO [B-2] (lihat gambar 1), sebaiknya anda berhati-hati, virus ini dapat menyebabkan komputer menjadi lambat dan banyak melakukan perubahan di system registry Windows. Selain itu virus ini akan berupaya untuk menyebarkan dirinya melalui email. Bagi Anda yang sudah terinfeksi virus ini jangan mencoba untuk menjalankan file “Baca_Gue_Goblok.bat” karena berisi perintah untuk format drive selain drive C.

Gambar 1, Pesan yang ditampilkan oleh VBWorm.NUJ saat pc dinyalakan

Dilihat dari Script yang ada kemungkinan besar virus ini berasal dari kota Palangkaraya dan sudah menelurkan 3 varian. Isi dari virus ini lebih ditunjukan kepada komunitas pembuat virus Brontok serta berisi kecaman terhadap beberapa negara, salah satunya adalah negara yang sering mengklaim produk budaya Indonesia sebagai miliknya.

Virus ini dapat menyebar dengan suskes di kota Palangkaraya dan mulai merambah ke kota-kota lainnya. Virus ini mempunyai ukuran file sekitar 49 KB dan dibuat dengan menggunakan program bahasa “Visual Basic” dan menggunakan icon Folder. Norman Virus Control mendeteksi virus ini sebagai VBWorm.NUJ (lihat gambar 2 dibawah ini).

Gambar 2, Norman mendeteksi MoontoxBro sebagai Worm.VBWorm.NUJ

File induk VBWorm.NUJ

Sebagai upaya untuk menjaga eksistensinya, VBWorm.NUJ akan mencoba untuk membuat beberapa file induk, file ini akan mempunyai ciri-ciri:

Menggunakan icon “Folder”
Ukuran file 49 KB
Ekstensi EXE
Type File “Application”, tetapi jika file tersebut sudah menginfeksi komputer maka virus ini akan merubah type file dari “Application “menjadi “File Folder”

Berikut beberapa file induk yang akan dibuat oleh VBWorm.NUJ

C:\Windows\services.exe è file ini akan aktif di memori
C:\Dokument penting

program-software.exe è aktif di memori
My Download.exe èaktif di memori
Music Indo.exe è aktif di memori

C:\Dokument penting

- Data Word.exe

- kumpulan Film porno.exe

- My Photo.exe

- Photo-photo Porno.exe

C:\mesage from indonesia.htm èakan di tampilkan setiap kali komputer dinyalakan
C:\Indonesia-Raya.mid è berisi lagu kebangsaan Indonesia Raya
C:\send to hell.vbs èscript untuk mengirimkan dirinya melalui Outlook
C:\Baca_GUe_Goblok.cmd è berisi script untuk Format hard Disk (selain driveC:\)
C:\Autorun.exe dan autorun.inf è untuk menyebarkan dirinya secara otomatis setiap kali akses ke Folder atau ke Flash Disk (file ini akan dibuat disemua drive)

Catatan:
Untuk folder “Dokument Penting” beserta isinya akan dibuat disetiap Drive termasuk dimedia “Flash Disk” hal ini digunakan sebagai upaya untuk menyebarkan dirinya.

Pada saat VBWorm.NUJ tersebut aktif maka secara otomatis akan mencoba untuk mengirimkan dirinya dengan memanfaatkan auto send program Microsoft Outlook, perhatikan gambar dibawah ini : (lihat gambar 3)

Gambar 3, Pesan yang ditampilkan VBWorm.NUJ pada saat akan mengirimkan email virus

Metode virus lokal ini menyebarkan dirinya menggunakan autosend dari Outlook membatasi penyebarannya, khususnya jika korbannya tidak menggunakan Outlook atau menggunakan webmail seperti di warnet atau komputer lab. Beda dengan virus mancanegara yang mampu menggunakan SMTP server sendiri dalam mengirimkan dirinya sehingga tidak tergantung pada mail client. Dalam hal ini terlihat perbedaan pandangan / kemampuan programmer Indonesia dalam hubungan dengan infrastruktur internet yang kelihatannya masih kalah dibadingkan dengan programmer luar yang cukup fasih dalam mengeksploitasi infrastruktur internet untuk penyebaran dirinya.

Aktif pada “Safe Mode” dan “Safe Mode with Command Prompt”

Agar VBWorm.NUJ dapat aktif setiap kali komputer dinyalakan, ia akan membuat string pada registry berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

GoToHell = C:\Send To Hell.vbs
indoHack = C:\Dokument Penting\My Download.exe
indosoft = C:\Dokument Penting\Program-Software.exe
message = C:\Message From Indonesia.htm
paraycity = C:\Dokument Penting\Music Indo.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug

debugger = C:\WINDOWS\service.exe

Selain aktif pada mode “Normal” VBWorm.NUJ juga akan mencoba untuk aktif pada mode “safe mode”, untuk memastikan dirinya dapat aktif pada mode”safe mode” ini, ia akan membuat string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

System = C:\WINDOWS\service.exe
Userinit =

C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\service.exe

Agar VBWorm.NUJ terkesan susah dibersihkan, VBWorm.NUJ juga akan mencoba untuk atif pada mode “safe mode with command prompt” dengan membuat string pada registry berikut:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

AlternateShell = cmd.exe C:\Dokument Penting\My Download.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

AlternateShell = cmd.exe C:\Dokument Penting\My Download.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot

AlternateShell = cmd.exe C:\Dokument Penting\My Download.exe

VBWorm.NUJ juga akan mencoba untuk menumpang pada setiap file executable (exe/com/bat/pif/scr/lnk) dengan membuat string pada regsitry berikut dengan tujuan agar setiap kali user mencoba untuk menjalankan executable tersebut maka secara otomatis akan mengaktifkan dirinya dengan menjalankan file “C:\Windows\service.exe”.

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command

Default = "C:\WINDOWS\service.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command

Default = "C:\WINDOWS\service.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command

Default = "C:\WINDOWS\service.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command

Default = "C:\WINDOWS\service.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command

Default = "C:\WINDOWS\service.exe" "%1" %*

Mengganti Task Manager, Regedit dan Solitaire dengan game FreeCel

Untuk menjaga eksistensinya, VBWorm.NUJ akan mencoba untuk blok beberapa fungsi Windows seperti Folder Option/regedit/maupun Task Manager dengan menggantinya dengan program game seperti yang pernah dilakukan oleh varian FaceCool, untuk melakukan hal tersebut VBWorm.NUJ akan mencoba untuk membuat string pada registry berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

- debugger = C:\WINDOWS\system32\freecell.exe (lihat gambar 4)

Gambar 4, Game “FreeCell” sebagai pengganti Regedit”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

- debugger = C:\WINDOWS\system32\sol.exe (lihat gambar 5)

Gambar 5, Game “Solitaire” sebagai pengganti System Restore”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

- debuger = C:\WINDOWS\system32\spider.exe (lihat gambar 6)

Gambar 6, Game “Spider” sebagai pengganti task manager”

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

- DisableMSI =1

- LimitSystemRestoreCheckpointing = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

- DisableConfig

- DisableSR

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

- DisableCOnfig = 1

- DisableSR = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

- NoFolderOptions

- NORun

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

- DisableRegistryTools

- DisableTaskMgr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoFolderOption

- NoRun

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableRegistryTools

- DisabletaskMgr

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- Hidden = 0

- HideFileExt = 1

- ShowSuperHidden = 0

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

- text = @shell32.dll,-30501

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

- text = @shell32.dll,-30500

Blok Website security

VBWorm.NUJ akan mencoba untuk melakukan blok terhadap website security dengan merubah file Host Windows yang berada dilokasi “C:\WINDOWS\system32\drivers\etc\Host” (lihat gambar 7). Metode ini cukup mengkhawatirkan karena jika digabungkan dengan teknik Phishing akan mampu menjadi rekayasa sosial yang mampu mengelabui pengguna internet banking. Sekalipun yang dilengkapi dengan pengamanan Token / kalkulator PIN.

Gambar 7, URL yang akan diblok oleh VBWorm.NUJ

Pesan dari pembuat virus

Salah satu aksi yang aka dilakukan oleh VBWorm.NUJ adalah akan menampilkan sebuah kendela Internet Explorer setiap kali komputer dinyalakan dengan menjalankan file C:\Message From Indonesia.ht