Top Banner
TUGAS AKHIR KEAMANAN JARINGAN KOMPUTER MEMBEDAH VIRUS BRONTOK VARIAN C DAN CARA MENGATASINYA Disusun Oleh: Kanda Januar Miraswan 59061002016 Teknik Informatika Bilingual ‘06
31

Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

Mar 11, 2019

Download

Documents

lamdat
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

TUGAS AKHIR

KEAMANAN JARINGAN KOMPUTER

MEMBEDAH VIRUS BRONTOK VARIAN C DAN CARA MENGATASINYA

Disusun Oleh:Kanda Januar Miraswan

59061002016

Teknik Informatika Bilingual ‘06Fakultas Ilmu Komputer

Universitas SriwijayaTahun Ajaran 2007 / 2008

Page 2: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

I. Pendahuluana. Latar belakang

Di era globalisasi sekarang ini, computer telah menjadi salah satu bagian yang

tidak dapat lepas di dalam kehidupan. Berbagai fungsi yang dapat dilakukan

oleh sebuah computer serta dapat membantu di berbagai bidang, computer

juga telah memberikan kemudahan kepada orang yang menggunakannya.

Berbagai fasilitas yang diberikan computer seperti mengakses multimedia,

mengerjakan berbagai macam worksheet, melakukan penyimpanan data

ataupun melakukan akses ke jaringan public seperti internet dimana koneksi

terhubung dari seluruh belahan dunia.

Didalam menggunakan sebuah computer, pentingnya menjaga keamanan data

yang ada di dalamnya serta menjaga computer dari ancaman-ancaman kode-

kode yang dapat merusak system atau malware seperti virus merupakan suatu

prioritas di dalam menjaga fungsionalitas system yang kita miliki, dimana jika

hal ini terjadi, dapat menyebabkan kerugian yang besar bagi kita, bahkan dapat

membahayakan diri sendiri dan system-sistem yang lain.

Evolusi virus komputer yang dimulai ketika Fred Cohen pada tahun 1984

mempublikasikan teori tentang “self replicating program”, hingga saat ini

telah mencapai perkembangan yang menakjubkan seiring dengan peningkatan

teknik pemrograman dan cakupan lingkungan penyebarannya. Sehingga

pencegahan dan penanggulangan dari dampak negatif virus komputer tersebut

mutlak perlu ditingkatkan.

Secara umum, perlindungan bagi pengguna computer terhadap ancaman virus

dengan menggunakan software antivirus dianggap sudah memadai. Namun

virus computer seperti halnya Trojan, worm, spyware dan sebagainya, juga

dapat dikategorikan program yang berbahaya (malicious software), memiliki

karakteristik yang berbeda-beda dengan teknik pemrograman serta memiliki

tujuan tertentu tergantung dari sang programmer, sehingga diperlukan suatu

yang lebih dari hanya sekedar menggunakan software antivirus untuk

memproteksi system yang kita miliki, untuk itu diperlukan perlindungan yang

lebih dari itu untuk melindungi system dari dampak negatif yang ditimbulkan

oleh virus computer.

Page 3: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

Salah satu virus yang akan dibahas pada jurnal ini adalah virus Brontok varian

C yang merupakan virus local di Indonesia yang dapat merusak system

computer kita serta dapat menyebar ataupun menginfeksi computer lainnya

melalui removable media dan melalui email.

Pada jurnal ini, akan dibahas dimulai dari karakteristik dari virus ini, hal-hal

apa saja yang yang dilakukan oleh virus Brontok ini terhadap komputer yang

diinfeksinya, serta cara penaggulangannya.

b. Tujuan PenelitianTujuan dari pembuatan jurnal ini adalah:

1. Menjelaskan akan bahaya dan dampak yang ditimbulkan oleh virus

Brontok varian C

2. Sebagai referensi dalam meningkatkan keamanan computer dan

jaringan komputer

3. Sebagai referensi dalam penaggulangan dari virus Brontok varian C

c. Metode PenelitianMetode penelitian dalam pembuatan jurnal ini adalah dengan menggunakan

metode literature. Penulis mendapatkan informasi berdasarkan sumber

literature baik dalam bentuk tertulis maupun di internet, serta di analisa dan

kemudian hasil analisa tersebut ditulis dalam jurnal ini.

II. Landasan Teoria. Malware dan virus

Perkembangan teknologi komputer yang pesat, ternyata tidak hanya membawa

manfaat yang besar bagi penggunanya tetapi juga minimbulkan dampak

negative dengan dibuatnya kode program yang berbahaya. Program-program

berbahaya itu sering disebut juga dengan Malicious Code/Malicious Software

(malware). Pada dasarnya malware didefinisikan dengan sebuah perangkat

lunak yang didesain untuk melakukan infiltrasi atau merusak suatu sistem

komputer, tanpa seijin pemiliknya Virus merupakan suatu program komputer

yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan

cara menyisipkan salinan dirinya ke dalam program atau dokumen lain.

Page 4: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

Gambar 1.1

Virus komputer dapat dianalogikan dengan virus biologis yang menyebar

dengan cara menyisipkan dirinya sendiri ke sel makhluk hidup. Virus

komputer dapat merusak (misalnya dengan merusak data pada dokumen),

membuat pengguna komputer merasa terganggu, maupun tidak menimbulkan

efek sama sekali.

Virus komputer umumnya dapat merusak perangkat lunak komputer dan tidak

dapat secara langsung merusak perangkat keras komputer (terutama pada

sistem operasi , seperti sistem operasi berbasis keluarga Windows (Windows

95, Windows 98/98SE, Windows NT, Windows NT Server, Windows 2000,

Windows 2000 Server, Windows 2003, Windows 2003 Server, Windows XP

Home Edition, Windows XP Professional, Windows XP Servicepack 1,

Windows XP Servicepack 2) bahkan GNU/Linux. Efek negatif virus komputer

terutama adalah perbanyakan dirinya sendiri, yang membuat sumber daya

pada komputer (seperti CPU Time, penggunaan memori) menjadi berkurang

secara signifikan. Hampir 95% Virus adalah virus komputer berbasis sistim

operasi Windows. Sisanya, 2% menyerang Linux/GNU (dan Unix, sebagai

source dari Linux, tentunya), 1% menyerang Mac terutama Mac OS 9, Mac

OS X (Tiger, Leopard). 2% lagi menyerang sistim operasi lain seperti

FreeBSD, OS/2 IBM, dan Sun Operating System.

Page 5: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

b. Metode analisa virusMenurut Yohanes Nugroho ada tiga cara untuk menganalisi virus, pertama

dengan cara blackbox, yaitu melihat perilaku virus di sebuah lingkungan

tertentu, kemudian menganalisis virus dengan cara disassembly, dan cara

yang ketiga dengan melihat jalannya virus dengan debugger.

Metode analisa blackbox yaitu dengan menggunakan program yang

tersedia untuk melihat perbedaan state computer sebelum dan sesudah

suatu program dijalankan (termasuk sebelum dan sesudah virus

dijalankan). Program semacam ini dapat menunjukkan file-file apa saja

yang dibuat virus, dan perubahan registry apa yang dilakukan oleh

virus.

Hal ini dapat dengan mudah dilakukan, namun cara ini tidak terlalu

ampuh, karena terdapat kemungkinan suatu virus berperilaku

berdasarkan kondisi tertentu, misalnya virus akan berperilaku aneh

hanya pada tanggal ataupun waktu tertentu. Terdapat kemungkinan

program yang dipakai untuk mencatat state system tidaklah sempurna,

sehingga terdapat perubahan system yang tidak tercatat, dan ada

kemungkinan virus tersisa setelah proses analisis selesai. Kondisi lain

juga dapat terjadi jika virus cukup canggih dan dapat melakukan

deteksi akan adanya program pemonitor, sehingga virus dapat

bertingkah laku berbeda dari keadaan biasanya.

Metode analisa disassembly adalah metode melakuakan dekompilasi

artinya bahasa mesin yang ada pada file exe bisa dikembalikan menjadi

source code, namun hanya beberapa bahasa seperti Java atau C# yang

dapat di dekompilasi dengan mudah, sedangkan bahasa lain tidak dapat

dikembalikan menjadi source code, tetapi hanya bisa menjadi bahasa

assembly.

Debugger dapat digunakan untuk menjalankan virus dalam lingkungan

yang dapat dimonitor. Alur eksekusi, termasuk enkripsi virus dapat

dipelajari dengan mudah. Namun dengan menggunakan metode ini,

para analis harus berhati-hati, karena virus dapat saja menggunakan

antidebug, atau berjalan tak terkendali. Biasanya metode analisis ini

digabung dengan disassembly.

Page 6: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

c. Denial of Service (DoS)Denial of Service (DoS) adalah aktifitas menghambat kerja sebuah layanan (servis) atau mematikan-nya, sehingga user yang berhak/berkepentingan tidak dapat menggunakan layanan tersebut, serangan DoS bahkan dilakukan secara terdistribusi atau lebih dikenal dengan istilah 'Distribute Denial of Service' atau DDoS. Dampak akhir dari aktifitas ini menjurus kepada terhambatnya aktifitas korban yang dapat berakibat sangat fatal (dalam kasus tertentu). Pada dasarnya Denial of Service merupakan serangan yang sulit diatasi, hal ini disebabkan oleh resiko layanan publik dimana admin akan berada pada kondisi yang membingungkan antara layanan dan kenyamanan terhadap keamanan. Seperti yang kita tahu, keyamanan berbanding terbalik dengan keamanan. Maka resiko yang mungkin timbul selalu mengikuti hukum ini.Beberapa aktifitas DoS adalah:1. Aktifitas 'flooding' terhadap suatu server.2. Memutuskan koneksi antara 2 mesin.3. Mencegah korban untuk dapat menggunakan layanan.4. Merusak sistem agar korban tidak dapat menggunakan

layanan.Pada dasarnya, untuk melumpuhkan sebuah layanan dibutuhkan pemakaian resource yang besar, sehingga computer / mesin yang diserang kehabisan resource dan menjadi hang. Beberapa jenis resource yang dihabiskan diantaranya:1. Swap SpaceHampir semua sistem menggunakan ratusan MBs spasi swap

untuk melayanipermintaan client. Spasi swap juga digunakan untuk mem-'forked' child process. Bagaimanapun spasi swap selalu berubah dan digunakan dengan sangat berat. Beberapa

Page 7: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

serangan Denial of Service mencoba untuk memenuhi (mengisi) spasi swap ini.2. BandwidthBeberapa serangan Denial of Service menghabiskan

bandwidth.3. Kernel TablesSerangan pada kernel tables, bisa berakibat sangat buruk pada sistem. Alokasi memori kepada kernel juga merupakan target serangan yang sensitif. Kernel memiliki kernelmap limit, jika sistem mencapai posisi ini, maka sistem tidak bisa lagi mengalokasikan memory untuk kernel dan sistem harus di re-boot.4. RAMSerangan Denial of Service banyak menghabiskan RAM sehingga sistem mau-tidak mau harus di re-boot.5. DiskSerangan klasik banyak dilakukan dengan memenuhi Disk.6. Caches7. INETDSekali saja INETD crash, semua service (layanan) yang melalui INETD tidak akan bekerja.

III. Analisis Virus Brontok Varian Ca. Perbandingan dengan varian sebelumnya

Adapun perbandingan varian ini dibandingkan dengan varian sebelumnya:

Komputer tidak akan melakukan restart pada komputer ketika user

menjalankan aplikasi yang telah masuk di dalam daftar black list

Brontok varian ini tidak membuat file duplikat pada localdisk

seperti varian sebelumnya tapi membuat file duplikat pada

removable media seperti Disket dan USB Flash Drive

Brontok varian sebelumnya dibuat dengan bahasa Visual Basic

sedangkan varian ini dibuat dengan bahasa C

Page 8: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

Brontok melakukan rename msvbmv60.dll menjadi

msvbmv60.dll.xxx, yaitu file runtime Visual Basic.

Dapat melakukan blocking situs-situs tertentu.

Brontok ini dapat menghentikan virus lain seperti NoBron, kangen,

pesin, decoil, Pluto, Romdil, Riani_jangkaru.

b. Menutup Aplikasi TertentuVirus ini dapat menutup aplikasi yang telah blacklist di dalam Brontok,

berikut ini adalah list aplikasi yang dianggap black list oleh Brontok:

cmd.exe

mmc.exe

procexp.exe

registry

killbox

hijack

anti

washer

ertanto

regedit.exe

msconfig.exe

killbox.exe

hijackthis.exe

brontokwasher.exe

scheduled task

computer

management

group policy

system

configuration

command

prompt

hijack

sysinter

aladdin

kaspersky

panda

trend

cillin

grisoft

mcaf

avast

bitdef

norman

symantec

norton

machine

movzx

rontox

rontok

kill

washer

remove

virus

hal ini dilakukan oleh Brontok unutk menghalangi aplikasi yang dapat

membahayakan jalannya virus tersebut. Dimana aplikasi tersebut dianggap

dapat mendeteksi, menghapus, mengubah proses dari Brontok tesebut.

Seperti registry edit dimana banyak registry-registry yang sudah diubah

brontok, process viewer dimana dapat terlihat proses-proses mana saja

yang dilakukan oleh brontok.

c. Penggunaan bahasa Visual Basic menjadi bahasa C

Page 9: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

Virus ini dibuat menggunakan bahasa C, bukan Visual basic, dan virus ini

melakukan rename msvbmv60.dll yang bermaksud membuat virus virus

lain yang berbasis Visual Basic tidak dapat berjalan termasuk program-

program VB lainnya yang ada di dalam komputer yang telah terinfeksi.

Bukti dari virus ini menggunakan bahasa C menurut Jan Kristanto dalam

tutorial virusnya bernama Analisa Brontok C[22] adalah:

Pertama kali virus ini dijalankan akan mengeluarkan command promt,

hal ini dikarenakan setiap kali sebuah program dalam bahasa C

dijalankan, maka akan mengeluarkan sebuah command prompt

Berdasarkan nama dari virus ini ( Brontok C[22] )

Ditemukan string “Microsoft Visual C++ Runtime Library” ketika

dibuka dengan menggunakan Ollydbg, sehingga diperkirakan virus ini

menggunakan bahasa C dalam pembuatannya.

d. Tampilan computer yang terkena infeksi virus

Gambar 3.1

Gambar 3.2

Page 10: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

Pada gambar diatas terlihat tulisan tulisan yang berasal dari command

prompt, pada varian sebelumnya, brontok menggunakan html dengan web

browser untuk menampilkan pesan pesan seperti pada gambar 2 diatas.

Pada gambar 3.1 diatas, berisikan pesan yang menghujat virus Nobron

yang mana virus ini dapat menghentikan virus brontok versi sebelumya

pada komputer yang telah terinfeksi brontok.

Pada gambar 3.2 diatas, berisikan pesan pesan moral untuk bangsa ini,

namun pada hakikatnya, virus merupakan suatu bentuk program yang

dapat menginfeksi dan menular pada computer lain serta menimbulkan

kerugian pada orang yang terkena infeksi virus tersebut.

e. Memblock situs-situs tertentuVirus ini memblock situs situs tertentu seperti situs-situs dewasa, situs-

situs antivirus, dan situs-situs yang membahas tentang virus-virus local,

seperti:

www.fajarweb.com

www.jasakom.com

www.backup.grisoft.com

www.ilmukomputer.com

www.playboy.com

www.sex-mission.com

www.kaskus.com

dan situs situs lainnya yang tidak dapat disebutkan satu persatu.

f. Penyebaran media emailBrontok dapat melakukan penyebaran dirinya melalui media email dengan

melakukan pengiriman email berdasarkan alamat email yang ada di

computer yang telah terinfeksi dan akan menyimpannya dalam file dengan

nama alamat email tersebut yang akan disimpan dalam folder

Spread.mail.bro yang diletakkan di system32 dan disimpan dengan nama

yang random sehingga letak file dari setiap computer yang terinfeksi akan

berbeda. Brontok tidak akan mengirimkan email pada saat pencarian

alamat email di computer yang sudah terinfeksi apabila ditemukan string-

Page 11: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

string seperti “SECURE”, “ANTIVIRUS”, “AVAST”, dll. Dengan

maksud agar tidak mengirimkan virus tersebut ke Microsoft ataupun ke

perusahaan-perusahaan antivirus. Format dari email tersebut sebagai

contoh berikut:

Subject :

Fotoku yg Paling Cantik

My Best Photo

Message :

Hi,

Aku lg iseng aja pengen kirim foto ke kamu.\n\nJangan lupain aku ya !.

Thanks,

Hi,

I want to share my photo with you.

Wishing you all the best.

Regards,

Attachment:

Picture.zip

Virus tersebut berada pada attachment dari email tersebut, apabila

seseorang menerima email ini dan mendownload attachment tersebut serta

mengeksekusinya, maka computer orang itu akan ikut terinfeksi pula.

g. Serangan DoSVirus ini dapat melakukan serangan DoS (Denial of Service) yaitu

serangan yang dapat melumpuhkan sistem agar pengguna yang sah tidak

dapat mengakses sistem tersebut yaitu dengan cara membanjiri system

tersebut dengan request dalam jumlah yang sangat besar dan banyak. Pada

awalnya virus ini hanya menyerang situs www.17tahun.com dan

www.israel.gov.il dengan metode ping, dan selanjutnya menyerang situs

Page 12: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

lain seperti www.kaskus.com bahkan situs pribadi (blog) yaitu

www.fajarweb.com dengan metode yang berbeda, yaitu metode HTTP get.

h. Perubahan pada system1. Registry

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Userinit

C:\WINDOWS\j6494222.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Shell

C:\WINDOWS\o4494227.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunA7998r

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\

Explorer\Run A7998r

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Run f4368Tro

HKCU\Software\Microsoft\Windows\CurrentVersion\Run f4368Tro

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableRegistryTools

Aktif pada safe mode

HKLM\SYSTEM\ControlSet001\Control\SafeBoot

AlternateShell= C_49422k.com

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

AlternateShell= C_49422k.com

2. Scheduled task

Page 13: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

Brontok membuat schedule task setiap pukul 05.08 dan 11.03 bernama

AT1 dan AT2

Gambar 3.3

Scheduled task ini dimaksudkan untuk menjalankan kembali virus tersebut

pada waktu yang ditentukannya setiap hari, hali ini dilakukan untuk

mengantisipasi agar apabila virus tersebut dapat dibersihkan baik melalui

anti virus ataupun melalui penghapusan proses yang dilakukan oleh user,

dan jika scheduled task ini tidak dihapus, maka scheduled task ini akan

menjalankan kembali virus ini dan kembali menginfeksi computer yang

telah bersih tersebut.

i. Enkripsi pada brontokAgar isi string pada Brontok tidak terlihat dengan mudah, String pada

Brontok dienkripsi. Versi pertama memanfaatkan enkripsi yang sangat

lemah, yaitu pergeseran huruf sebanyak 3 (A menjadi D, B menjadi E, dst)

cara ini sangat mudah dijebol karena merupakan enkripsi kuno yang sudah

ada sejak jaman Julius Caesar (enkripsi ini disebut juga dengan Caesar

Chiper), namun versi terbaru menggunakan monoalphabetic substitution

chiper, bahkan substitusi dilakukan dua kali.

Brontok menggunakan cara yang agak berbelit-belit dalam mengenkripsi

dan mendekripsi stringnya, prosedur dekripsi pada Brontok yang telah

saya sederhanakan dalam C dapat dilihat pada listing di bawah ini.

(Prosedur aslinya lebih berbelit-belit karena tabel dibuat on-the-fly alias

pada runtime dengan suatu prosedur khusus dengan banyak loop).

*dekriptor string Brontok*//*Copyright (c) 2006 Yohanes Nugroho*/#include <stdio.h>

Page 14: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

#include <stdlib.h>#include <string.h>/*input dari stdin akan didekrip ke stdout*/int main(){ char buff[1000]; int i; char *tab1="/[4ysmga|&!VPJD.?93xrlf{+^~UOIC,>82wqke\\_%ZTNHB'<71vpjd=)$YSMGA;]:}650zutonihcb-`(*#@XWRQLKFE\"";

char *tab2="ABCDEFGHIJKLMNOPQRSTUVWXYZ~!@#$%^&*()_+|`-=\\{abcdefghijklmnopqrstuvwxyz0123456789 }:<>?[];',./";

while (fgets(buff, sizeof(buff), stdin)) { for (i = 0; i<strlen(buff)-1; i++){ int c = (int) (strchr(tab1, buff[i])-tab1); if (c<0) continue; printf("%c", tab2[c]); } printf("\n"); }

return 0;}

IV. Penanggulangan pada brontokUntuk menghilangkan virus yang menginfeksi suatu computer, dapat dilakukan

dengan menghentikan proses dari virus ini dan mengembalikan setting atau

konfigurasi dari system yang diinfeksinya. Berikut ini adalah cara penaggulangan

virus Brontok varian C pada system operasi Microsoft Windows XP

1. Matikan [System Restore] untuk sementara selama proses pembersihan

2. Sebaiknya lakukan pembersihan melalui “safe mode”

3. Matikan proses dari virus W32/mybro, Anda dapat menggunakan tools

pengganti Task manager seperti [Security task manager], tools tersebut dapat

didownload di website http://www.neuber.com/taskmanager/ matikan proses

berikut [ingat !! cari file yang mempunyai bentuk folder].

Winlogon

Services

Lsass

Smss

Page 15: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

Csrss

4. Hapus registry yang pernah dibuat oleh W32/Mybro, copy script berikut di

notepad kemudian simpan menjadi repair.inf, jalankan file tersebut, Klik

kanan repair.inf, Klik [install]

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,

Shell,0,"Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0,

"cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,

"cmd.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\

System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\

System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\

Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\

System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run

Page 16: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus-

3444Admc

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-

Spizaetus-2733VIRM

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\

Explorer,ShowSuperHidden

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\

run

5. Hapus file Empty.pif pada direktori

C:\Documents and Settings\suport\Start Menu\Programs\Startup

6. Hapus file yang pernah dibuat oleh virus, sebelumnya pastikan anda telah

menampilkan semua file yang disembunyikan, jika folder option belum

muncul juga coba restart komputer terlebih dahulu kemudian booting ke mode

“safe mode”, setelah itu hapus file berikut:

Pada C:\Windows

o _default17832

o Cinderawasih-4178327

o Komodo-6178322

o C:\Windows\Ad22098

o Smss.exe

Pada C:\Windows\System32\S8787

o Csrss.exe

o Lsass.exe

o Services.exe

o Winlogon.exe

o Smss.exe

o Zh592115084y.exe

o C.bron.tok.txt, berisi text

Brontok.C

By: Jowobot

o Spread.mail.bro, berisi alamat email yang telah diperoleh dari

komputer yang terinfeksi

o Spread.sent.Bro, berisi alamat email yang berhasil dikirimkan

Page 17: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

C:\Documents and Settings\%user%\Local Settings\Application Data

o Jalak-932115015-bali.com

o Winlogon.exe [berbentuk notepad]

o Dv6211500x, berisi file:

o Yesbron.com

o C:\Windows\system32

o C_17832k.com

o C:\Documents and Settings\suport\Start Menu\Programs\

Startup

o Empty.pif

o C:\Baca Bro !!!.txt

7. Harus perhatikan juga ukuran file yang terinfeksi tersebut, karena jika file

yang terinfeksi [file induk] mempunyai ukuran 51 KB W32/Mybro selain

membuat file induk diatas juga akan membuat beberapa file induk tambahan

diantaranya:

C:\Windows\System32\n8127

o Csrss.exe

o Lsass.exe

o Services.exe

o Winlogon.exe

o C.Bron.Tok.txt

o Spread.mail.bro

o Spread.sent.bro

o Sv711917030r.exe

o Smss.exe

C:\Windows\SY20118

o Smss.exe

8. Hapus file [task scheduled] yang dibuat oleh W32/

9. Klik [start]

10. Klik [Settings]

11. Klik [control panel]

Page 18: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

12. Klik 2 kali menu [Scheduled task]

13. Hapus file AT1 dan AT2

14. Hapus string [daftar website yang diblok] yang dibuat oleh W32/Mybro pada

file HOST yang berada dilokasi

C:\Windows\System32\Drivers\ETC

15. Ubah kembali file MSVBVM60.dll.xxx [dimana xxx menunjukan angka]

menjadi nama file MSVBVM60.dll pada direktori C:\Windows\system32

16. Coba cari dan hapus file duplikat yang dibuat oleh virus, dengan ciri-ciri

Ukuran 48 KB atau 51 KB

Icon yang digunakan berbentuk FOLDER

Ekstensi file EXE

Type file “Application”

17. Catatan:

Dari hasil pengujian virus ini tidak membuat file duplikat pada local Untuk

pembersihan optimal dan mencegah infeksi ulang, gunakan yang sudah

dapat mengenali virus ini dengan baik.

V. Pencegahan dan penaggulangan ancaman virusa. Antivirus

Banyak pengguna computer menginstall software antivirus yang dapat

mendetaksi dan menghapus virus yang udah diketahuinya setelah computer

mendownload atau menjalankan executablenya. Ada dua metuda yang umum

digunakan oleh software antivirus untuk mendeteksi virus-virus, yaitu:

Metoda yang paling umum dan paling banyak digunakan untuk mendeteksi

virus adalah dengan menggunakan definisi virus signature. Ini bekerja

dengan memeriksa konten dari memori computer (RAM dan boot sector)

dan file-file yang tersimpan di local disk atau removable media dan

membandingkannya dengan database virus signature yang telah tersedia.

Kerugian dari metoda ini adalah pengguna hanya terlindungi dari virus yang

signature virusnya telah dikenal saja. Apabila terdapat varian baru, dan

belum ada virus signature nya di antivirus, maka antivirus tidak

menganggapnya sebagai virus, dan pengguna memiliki kemungkinan untuk

terkena infeksi dari virus tersebut.

Page 19: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

Medode selanjutnya adalah dengan menggunakan algoritma heuristic untuk

mendeteksi suatu virus berdasarkan perilaku umum dari virus tersebut.

Metoda ini memiliki kemampuan untuk mendeteksi virus yang suatu

perusahaan antivirus belum menciptakan signature buat virus tersebut.

Namun, suatu antivirus tidaklah efektif untuk melindungi pengguna dari

ancaman virus jika software antivirus tersebut tidak diupdate, sehingga user

harus melakukan update antivirusnya secara berkala. User juga harus

mengupdate software ataupun sistem operasi yang digunakannya secara berkala

untuk melakukan patch terhadap lubang-lubang keamanannya / vulnerability.

b. Backup dataSalah satu upaya untuk meminimalisir kerusakan yang diakibatkan oleh virus

adalah dengan membuat backup data (dan sistem operasi ) secara berkala pada

media yang berbeda, yang tetap tidak berhubungan dengan system, read-only

atau tidak dapat diakses karena beberapa alasan, seperti menggunakan system

file yang berbeda. Dengan cara ini, jika data hilang atau telah berubah karena

virus, kita dapat mengembalikannya kembali dengan menggunakan backup

tersebut. Jika melakukan backup menggunakan media optic seperti CD atau

DVD, file nya menjadi read only dan tidak dapat berdampak karena virus.

Sebaliknya, sebuah system operasi yang bootable dapat digunakan untuk

menjalankan computer jika system operasi menjadi tidak dapat digunakan.

Metoda yang lain adalah dengan menggunakan system operasi pada file system

yang berbeda. Sebuah virus tidak akan berdampak pada keduanya. Backup data

dapat pula disimpan pada file system yang berbeda. Sebagai contoh, Linux

membutuhkan software tertentu untuk menulis pada partitisi NTFS, jika tidak

menginstall software semacam itu, dan menggunakan instalasi yang berbeda

pada Microsoft Windows untuk membuat backup pada partitisi NTFS, backup

seharusnya tetap aman dari dari serangan virus Linux apapun. Sebaliknya,

Microsoft Windows tidak dapt membaca system file seperti ext3, jadi jika

biasanya seseorang menggunakan Microsoft Windows, backup data dapat dibuat

pada partitisi ext3 menggunakan instalasi Linux.

Page 20: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

c. System restoreSalah satu cara untuk menanggulanginya adala dengan menggunakan system

restore, tool ini ada pada Windows Me, Windows XP dan Windows Vista,

dimana tool ini dapat melakukan restore registry dan critical system file ke

checkpoint sebelumnya. Seringkali virus akan menyebabkan system menjadi

hang, dan hard reboot secara beruntun dapat menyebabkan sebuah system

restore point pada hari yang sama menjadi rusak. Restore point pada hari

sebelumnya dapat bekerja pada virus yang tidak di desain untuk merusak restore

file. Akan tetapi, beberapa virus dapat membuat membuat system restore

manjadi tidak berfungsi atau disable dan tool-tool penting alinnya seperti Task

Manager dan Command Prompt.

d. Instalasi ulang system operasiInstalasi ulang system operasi adalah salah satu pendekatan untuk menghapus

virus. Ini melibatkan format ulang sederhana dari partisi sistem operasi dan

menginstall system operasi dari media originalnya atau melakukan imaging

partisi dengan sebuah backup image(misalnya menggunakan ghost).

Metode ini memiliki keuntungan disamping mudah untuk dilakukan, dapt

berjalan lebih cepat daripada menggunakan antivirus yang lebih dari satu.

Kerugiannya, semua software yang lain yang baru diinstall sesudah imaging

akan ikut terhapus sebagai mana system operasinya yang ada pada image.

VI. Kesimpulan Brontok varian C merupakan virus yang dapat menginfeksi computer seperti

layaknya virus-virus computer lainnya.

Bahasa yang digunakan adalah bahasa C

Memiliki kemampuan untuk menutup aplikasi yang dapat membahayakan

jalannya virus ini, seperti registry edit, command prompt, msconfig, dan dapat

menutup windows explirer yang memiliki tag-tag yang ada pada list Brontok

Menyebarkan diri melalui removable media seperti USB FLASH DRIVE dan

disket, serta dapat menyebarkan diri dengan mengirimkan email berdasarkan

alamat email yang ada di computer yang terinfeksi

Page 21: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry

Dapat melakukan serangan Denial of Service (DoS) bahkan terdistribusi

menjadi serangan Distributed Denial of Service (DDoS) ke situs-situs tertentu

DAFTAR PUSTAKA

Jan Kristanto(2006), Analisis Borntok.C_22, http://virologi.info/virologist/modules/news/index.php?storytopic=2, 27 mei 2008

Yohanes Nugroho (2005), Analisis Lengkap Virus Brontok,http://www.compactbyte.com /brontok/Analisis Lengkap Virus Brontok.html,27 mei 2008

_________, http://www.vb-bego.net/getcode.php?page=security&section=0&getcat=&code=084b6fbb10729ed4da8c3d3f5a3ae7c,27 mei 2008

________, http://www.sophos.com/security/analyses/viruses-and-spyware/w32brontokc.html27 mei 2008

_______, http://blog.irvan.or.id/2005/12/14/brontok27 mei2008

_______, http://virologi.info/virologist/modules/news/article.php?storyid=9227 mei 2008

_______, http://en.wikipedia.org/wiki/Malware4 juni 2008

_______, http://id.wikipedia.org/wiki/brontok4 juni 2008

_______, http://id.wikipedia.org/wiki/Virus_komputer4 juni 2008

______, http://en.wikipedia.org/wiki/Computer_virus4 juni 2008

Page 22: Analisis virus Brontok varian C - .:: Halaman Utama ... virus Brontok... · Web viewProgram semacam ini dapat menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry