TUGAS AKHIR KEAMANAN JARINGAN KOMPUTER MEMBEDAH VIRUS BRONTOK VARIAN C DAN CARA MENGATASINYA Disusun Oleh: Kanda Januar Miraswan 59061002016 Teknik Informatika Bilingual ‘06
TUGAS AKHIR
KEAMANAN JARINGAN KOMPUTER
MEMBEDAH VIRUS BRONTOK VARIAN C DAN CARA MENGATASINYA
Disusun Oleh:Kanda Januar Miraswan
59061002016
Teknik Informatika Bilingual ‘06Fakultas Ilmu Komputer
Universitas SriwijayaTahun Ajaran 2007 / 2008
I. Pendahuluana. Latar belakang
Di era globalisasi sekarang ini, computer telah menjadi salah satu bagian yang
tidak dapat lepas di dalam kehidupan. Berbagai fungsi yang dapat dilakukan
oleh sebuah computer serta dapat membantu di berbagai bidang, computer
juga telah memberikan kemudahan kepada orang yang menggunakannya.
Berbagai fasilitas yang diberikan computer seperti mengakses multimedia,
mengerjakan berbagai macam worksheet, melakukan penyimpanan data
ataupun melakukan akses ke jaringan public seperti internet dimana koneksi
terhubung dari seluruh belahan dunia.
Didalam menggunakan sebuah computer, pentingnya menjaga keamanan data
yang ada di dalamnya serta menjaga computer dari ancaman-ancaman kode-
kode yang dapat merusak system atau malware seperti virus merupakan suatu
prioritas di dalam menjaga fungsionalitas system yang kita miliki, dimana jika
hal ini terjadi, dapat menyebabkan kerugian yang besar bagi kita, bahkan dapat
membahayakan diri sendiri dan system-sistem yang lain.
Evolusi virus komputer yang dimulai ketika Fred Cohen pada tahun 1984
mempublikasikan teori tentang “self replicating program”, hingga saat ini
telah mencapai perkembangan yang menakjubkan seiring dengan peningkatan
teknik pemrograman dan cakupan lingkungan penyebarannya. Sehingga
pencegahan dan penanggulangan dari dampak negatif virus komputer tersebut
mutlak perlu ditingkatkan.
Secara umum, perlindungan bagi pengguna computer terhadap ancaman virus
dengan menggunakan software antivirus dianggap sudah memadai. Namun
virus computer seperti halnya Trojan, worm, spyware dan sebagainya, juga
dapat dikategorikan program yang berbahaya (malicious software), memiliki
karakteristik yang berbeda-beda dengan teknik pemrograman serta memiliki
tujuan tertentu tergantung dari sang programmer, sehingga diperlukan suatu
yang lebih dari hanya sekedar menggunakan software antivirus untuk
memproteksi system yang kita miliki, untuk itu diperlukan perlindungan yang
lebih dari itu untuk melindungi system dari dampak negatif yang ditimbulkan
oleh virus computer.
Salah satu virus yang akan dibahas pada jurnal ini adalah virus Brontok varian
C yang merupakan virus local di Indonesia yang dapat merusak system
computer kita serta dapat menyebar ataupun menginfeksi computer lainnya
melalui removable media dan melalui email.
Pada jurnal ini, akan dibahas dimulai dari karakteristik dari virus ini, hal-hal
apa saja yang yang dilakukan oleh virus Brontok ini terhadap komputer yang
diinfeksinya, serta cara penaggulangannya.
b. Tujuan PenelitianTujuan dari pembuatan jurnal ini adalah:
1. Menjelaskan akan bahaya dan dampak yang ditimbulkan oleh virus
Brontok varian C
2. Sebagai referensi dalam meningkatkan keamanan computer dan
jaringan komputer
3. Sebagai referensi dalam penaggulangan dari virus Brontok varian C
c. Metode PenelitianMetode penelitian dalam pembuatan jurnal ini adalah dengan menggunakan
metode literature. Penulis mendapatkan informasi berdasarkan sumber
literature baik dalam bentuk tertulis maupun di internet, serta di analisa dan
kemudian hasil analisa tersebut ditulis dalam jurnal ini.
II. Landasan Teoria. Malware dan virus
Perkembangan teknologi komputer yang pesat, ternyata tidak hanya membawa
manfaat yang besar bagi penggunanya tetapi juga minimbulkan dampak
negative dengan dibuatnya kode program yang berbahaya. Program-program
berbahaya itu sering disebut juga dengan Malicious Code/Malicious Software
(malware). Pada dasarnya malware didefinisikan dengan sebuah perangkat
lunak yang didesain untuk melakukan infiltrasi atau merusak suatu sistem
komputer, tanpa seijin pemiliknya Virus merupakan suatu program komputer
yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan
cara menyisipkan salinan dirinya ke dalam program atau dokumen lain.
Gambar 1.1
Virus komputer dapat dianalogikan dengan virus biologis yang menyebar
dengan cara menyisipkan dirinya sendiri ke sel makhluk hidup. Virus
komputer dapat merusak (misalnya dengan merusak data pada dokumen),
membuat pengguna komputer merasa terganggu, maupun tidak menimbulkan
efek sama sekali.
Virus komputer umumnya dapat merusak perangkat lunak komputer dan tidak
dapat secara langsung merusak perangkat keras komputer (terutama pada
sistem operasi , seperti sistem operasi berbasis keluarga Windows (Windows
95, Windows 98/98SE, Windows NT, Windows NT Server, Windows 2000,
Windows 2000 Server, Windows 2003, Windows 2003 Server, Windows XP
Home Edition, Windows XP Professional, Windows XP Servicepack 1,
Windows XP Servicepack 2) bahkan GNU/Linux. Efek negatif virus komputer
terutama adalah perbanyakan dirinya sendiri, yang membuat sumber daya
pada komputer (seperti CPU Time, penggunaan memori) menjadi berkurang
secara signifikan. Hampir 95% Virus adalah virus komputer berbasis sistim
operasi Windows. Sisanya, 2% menyerang Linux/GNU (dan Unix, sebagai
source dari Linux, tentunya), 1% menyerang Mac terutama Mac OS 9, Mac
OS X (Tiger, Leopard). 2% lagi menyerang sistim operasi lain seperti
FreeBSD, OS/2 IBM, dan Sun Operating System.
b. Metode analisa virusMenurut Yohanes Nugroho ada tiga cara untuk menganalisi virus, pertama
dengan cara blackbox, yaitu melihat perilaku virus di sebuah lingkungan
tertentu, kemudian menganalisis virus dengan cara disassembly, dan cara
yang ketiga dengan melihat jalannya virus dengan debugger.
Metode analisa blackbox yaitu dengan menggunakan program yang
tersedia untuk melihat perbedaan state computer sebelum dan sesudah
suatu program dijalankan (termasuk sebelum dan sesudah virus
dijalankan). Program semacam ini dapat menunjukkan file-file apa saja
yang dibuat virus, dan perubahan registry apa yang dilakukan oleh
virus.
Hal ini dapat dengan mudah dilakukan, namun cara ini tidak terlalu
ampuh, karena terdapat kemungkinan suatu virus berperilaku
berdasarkan kondisi tertentu, misalnya virus akan berperilaku aneh
hanya pada tanggal ataupun waktu tertentu. Terdapat kemungkinan
program yang dipakai untuk mencatat state system tidaklah sempurna,
sehingga terdapat perubahan system yang tidak tercatat, dan ada
kemungkinan virus tersisa setelah proses analisis selesai. Kondisi lain
juga dapat terjadi jika virus cukup canggih dan dapat melakukan
deteksi akan adanya program pemonitor, sehingga virus dapat
bertingkah laku berbeda dari keadaan biasanya.
Metode analisa disassembly adalah metode melakuakan dekompilasi
artinya bahasa mesin yang ada pada file exe bisa dikembalikan menjadi
source code, namun hanya beberapa bahasa seperti Java atau C# yang
dapat di dekompilasi dengan mudah, sedangkan bahasa lain tidak dapat
dikembalikan menjadi source code, tetapi hanya bisa menjadi bahasa
assembly.
Debugger dapat digunakan untuk menjalankan virus dalam lingkungan
yang dapat dimonitor. Alur eksekusi, termasuk enkripsi virus dapat
dipelajari dengan mudah. Namun dengan menggunakan metode ini,
para analis harus berhati-hati, karena virus dapat saja menggunakan
antidebug, atau berjalan tak terkendali. Biasanya metode analisis ini
digabung dengan disassembly.
c. Denial of Service (DoS)Denial of Service (DoS) adalah aktifitas menghambat kerja sebuah layanan (servis) atau mematikan-nya, sehingga user yang berhak/berkepentingan tidak dapat menggunakan layanan tersebut, serangan DoS bahkan dilakukan secara terdistribusi atau lebih dikenal dengan istilah 'Distribute Denial of Service' atau DDoS. Dampak akhir dari aktifitas ini menjurus kepada terhambatnya aktifitas korban yang dapat berakibat sangat fatal (dalam kasus tertentu). Pada dasarnya Denial of Service merupakan serangan yang sulit diatasi, hal ini disebabkan oleh resiko layanan publik dimana admin akan berada pada kondisi yang membingungkan antara layanan dan kenyamanan terhadap keamanan. Seperti yang kita tahu, keyamanan berbanding terbalik dengan keamanan. Maka resiko yang mungkin timbul selalu mengikuti hukum ini.Beberapa aktifitas DoS adalah:1. Aktifitas 'flooding' terhadap suatu server.2. Memutuskan koneksi antara 2 mesin.3. Mencegah korban untuk dapat menggunakan layanan.4. Merusak sistem agar korban tidak dapat menggunakan
layanan.Pada dasarnya, untuk melumpuhkan sebuah layanan dibutuhkan pemakaian resource yang besar, sehingga computer / mesin yang diserang kehabisan resource dan menjadi hang. Beberapa jenis resource yang dihabiskan diantaranya:1. Swap SpaceHampir semua sistem menggunakan ratusan MBs spasi swap
untuk melayanipermintaan client. Spasi swap juga digunakan untuk mem-'forked' child process. Bagaimanapun spasi swap selalu berubah dan digunakan dengan sangat berat. Beberapa
serangan Denial of Service mencoba untuk memenuhi (mengisi) spasi swap ini.2. BandwidthBeberapa serangan Denial of Service menghabiskan
bandwidth.3. Kernel TablesSerangan pada kernel tables, bisa berakibat sangat buruk pada sistem. Alokasi memori kepada kernel juga merupakan target serangan yang sensitif. Kernel memiliki kernelmap limit, jika sistem mencapai posisi ini, maka sistem tidak bisa lagi mengalokasikan memory untuk kernel dan sistem harus di re-boot.4. RAMSerangan Denial of Service banyak menghabiskan RAM sehingga sistem mau-tidak mau harus di re-boot.5. DiskSerangan klasik banyak dilakukan dengan memenuhi Disk.6. Caches7. INETDSekali saja INETD crash, semua service (layanan) yang melalui INETD tidak akan bekerja.
III. Analisis Virus Brontok Varian Ca. Perbandingan dengan varian sebelumnya
Adapun perbandingan varian ini dibandingkan dengan varian sebelumnya:
Komputer tidak akan melakukan restart pada komputer ketika user
menjalankan aplikasi yang telah masuk di dalam daftar black list
Brontok varian ini tidak membuat file duplikat pada localdisk
seperti varian sebelumnya tapi membuat file duplikat pada
removable media seperti Disket dan USB Flash Drive
Brontok varian sebelumnya dibuat dengan bahasa Visual Basic
sedangkan varian ini dibuat dengan bahasa C
Brontok melakukan rename msvbmv60.dll menjadi
msvbmv60.dll.xxx, yaitu file runtime Visual Basic.
Dapat melakukan blocking situs-situs tertentu.
Brontok ini dapat menghentikan virus lain seperti NoBron, kangen,
pesin, decoil, Pluto, Romdil, Riani_jangkaru.
b. Menutup Aplikasi TertentuVirus ini dapat menutup aplikasi yang telah blacklist di dalam Brontok,
berikut ini adalah list aplikasi yang dianggap black list oleh Brontok:
cmd.exe
mmc.exe
procexp.exe
registry
killbox
hijack
anti
washer
ertanto
regedit.exe
msconfig.exe
killbox.exe
hijackthis.exe
brontokwasher.exe
scheduled task
computer
management
group policy
system
configuration
command
prompt
hijack
sysinter
aladdin
kaspersky
panda
trend
cillin
grisoft
mcaf
avast
bitdef
norman
symantec
norton
machine
movzx
rontox
rontok
kill
washer
remove
virus
hal ini dilakukan oleh Brontok unutk menghalangi aplikasi yang dapat
membahayakan jalannya virus tersebut. Dimana aplikasi tersebut dianggap
dapat mendeteksi, menghapus, mengubah proses dari Brontok tesebut.
Seperti registry edit dimana banyak registry-registry yang sudah diubah
brontok, process viewer dimana dapat terlihat proses-proses mana saja
yang dilakukan oleh brontok.
c. Penggunaan bahasa Visual Basic menjadi bahasa C
Virus ini dibuat menggunakan bahasa C, bukan Visual basic, dan virus ini
melakukan rename msvbmv60.dll yang bermaksud membuat virus virus
lain yang berbasis Visual Basic tidak dapat berjalan termasuk program-
program VB lainnya yang ada di dalam komputer yang telah terinfeksi.
Bukti dari virus ini menggunakan bahasa C menurut Jan Kristanto dalam
tutorial virusnya bernama Analisa Brontok C[22] adalah:
Pertama kali virus ini dijalankan akan mengeluarkan command promt,
hal ini dikarenakan setiap kali sebuah program dalam bahasa C
dijalankan, maka akan mengeluarkan sebuah command prompt
Berdasarkan nama dari virus ini ( Brontok C[22] )
Ditemukan string “Microsoft Visual C++ Runtime Library” ketika
dibuka dengan menggunakan Ollydbg, sehingga diperkirakan virus ini
menggunakan bahasa C dalam pembuatannya.
d. Tampilan computer yang terkena infeksi virus
Gambar 3.1
Gambar 3.2
Pada gambar diatas terlihat tulisan tulisan yang berasal dari command
prompt, pada varian sebelumnya, brontok menggunakan html dengan web
browser untuk menampilkan pesan pesan seperti pada gambar 2 diatas.
Pada gambar 3.1 diatas, berisikan pesan yang menghujat virus Nobron
yang mana virus ini dapat menghentikan virus brontok versi sebelumya
pada komputer yang telah terinfeksi brontok.
Pada gambar 3.2 diatas, berisikan pesan pesan moral untuk bangsa ini,
namun pada hakikatnya, virus merupakan suatu bentuk program yang
dapat menginfeksi dan menular pada computer lain serta menimbulkan
kerugian pada orang yang terkena infeksi virus tersebut.
e. Memblock situs-situs tertentuVirus ini memblock situs situs tertentu seperti situs-situs dewasa, situs-
situs antivirus, dan situs-situs yang membahas tentang virus-virus local,
seperti:
www.fajarweb.com
www.jasakom.com
www.backup.grisoft.com
www.ilmukomputer.com
www.playboy.com
www.sex-mission.com
www.kaskus.com
dan situs situs lainnya yang tidak dapat disebutkan satu persatu.
f. Penyebaran media emailBrontok dapat melakukan penyebaran dirinya melalui media email dengan
melakukan pengiriman email berdasarkan alamat email yang ada di
computer yang telah terinfeksi dan akan menyimpannya dalam file dengan
nama alamat email tersebut yang akan disimpan dalam folder
Spread.mail.bro yang diletakkan di system32 dan disimpan dengan nama
yang random sehingga letak file dari setiap computer yang terinfeksi akan
berbeda. Brontok tidak akan mengirimkan email pada saat pencarian
alamat email di computer yang sudah terinfeksi apabila ditemukan string-
string seperti “SECURE”, “ANTIVIRUS”, “AVAST”, dll. Dengan
maksud agar tidak mengirimkan virus tersebut ke Microsoft ataupun ke
perusahaan-perusahaan antivirus. Format dari email tersebut sebagai
contoh berikut:
Subject :
Fotoku yg Paling Cantik
My Best Photo
Message :
Hi,
Aku lg iseng aja pengen kirim foto ke kamu.\n\nJangan lupain aku ya !.
Thanks,
Hi,
I want to share my photo with you.
Wishing you all the best.
Regards,
Attachment:
Picture.zip
Virus tersebut berada pada attachment dari email tersebut, apabila
seseorang menerima email ini dan mendownload attachment tersebut serta
mengeksekusinya, maka computer orang itu akan ikut terinfeksi pula.
g. Serangan DoSVirus ini dapat melakukan serangan DoS (Denial of Service) yaitu
serangan yang dapat melumpuhkan sistem agar pengguna yang sah tidak
dapat mengakses sistem tersebut yaitu dengan cara membanjiri system
tersebut dengan request dalam jumlah yang sangat besar dan banyak. Pada
awalnya virus ini hanya menyerang situs www.17tahun.com dan
www.israel.gov.il dengan metode ping, dan selanjutnya menyerang situs
lain seperti www.kaskus.com bahkan situs pribadi (blog) yaitu
www.fajarweb.com dengan metode yang berbeda, yaitu metode HTTP get.
h. Perubahan pada system1. Registry
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Userinit
C:\WINDOWS\j6494222.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell
C:\WINDOWS\o4494227.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunA7998r
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer\Run A7998r
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Run f4368Tro
HKCU\Software\Microsoft\Windows\CurrentVersion\Run f4368Tro
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
Aktif pada safe mode
HKLM\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell= C_49422k.com
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell= C_49422k.com
2. Scheduled task
Brontok membuat schedule task setiap pukul 05.08 dan 11.03 bernama
AT1 dan AT2
Gambar 3.3
Scheduled task ini dimaksudkan untuk menjalankan kembali virus tersebut
pada waktu yang ditentukannya setiap hari, hali ini dilakukan untuk
mengantisipasi agar apabila virus tersebut dapat dibersihkan baik melalui
anti virus ataupun melalui penghapusan proses yang dilakukan oleh user,
dan jika scheduled task ini tidak dihapus, maka scheduled task ini akan
menjalankan kembali virus ini dan kembali menginfeksi computer yang
telah bersih tersebut.
i. Enkripsi pada brontokAgar isi string pada Brontok tidak terlihat dengan mudah, String pada
Brontok dienkripsi. Versi pertama memanfaatkan enkripsi yang sangat
lemah, yaitu pergeseran huruf sebanyak 3 (A menjadi D, B menjadi E, dst)
cara ini sangat mudah dijebol karena merupakan enkripsi kuno yang sudah
ada sejak jaman Julius Caesar (enkripsi ini disebut juga dengan Caesar
Chiper), namun versi terbaru menggunakan monoalphabetic substitution
chiper, bahkan substitusi dilakukan dua kali.
Brontok menggunakan cara yang agak berbelit-belit dalam mengenkripsi
dan mendekripsi stringnya, prosedur dekripsi pada Brontok yang telah
saya sederhanakan dalam C dapat dilihat pada listing di bawah ini.
(Prosedur aslinya lebih berbelit-belit karena tabel dibuat on-the-fly alias
pada runtime dengan suatu prosedur khusus dengan banyak loop).
*dekriptor string Brontok*//*Copyright (c) 2006 Yohanes Nugroho*/#include <stdio.h>
#include <stdlib.h>#include <string.h>/*input dari stdin akan didekrip ke stdout*/int main(){ char buff[1000]; int i; char *tab1="/[4ysmga|&!VPJD.?93xrlf{+^~UOIC,>82wqke\\_%ZTNHB'<71vpjd=)$YSMGA;]:}650zutonihcb-`(*#@XWRQLKFE\"";
char *tab2="ABCDEFGHIJKLMNOPQRSTUVWXYZ~!@#$%^&*()_+|`-=\\{abcdefghijklmnopqrstuvwxyz0123456789 }:<>?[];',./";
while (fgets(buff, sizeof(buff), stdin)) { for (i = 0; i<strlen(buff)-1; i++){ int c = (int) (strchr(tab1, buff[i])-tab1); if (c<0) continue; printf("%c", tab2[c]); } printf("\n"); }
return 0;}
IV. Penanggulangan pada brontokUntuk menghilangkan virus yang menginfeksi suatu computer, dapat dilakukan
dengan menghentikan proses dari virus ini dan mengembalikan setting atau
konfigurasi dari system yang diinfeksinya. Berikut ini adalah cara penaggulangan
virus Brontok varian C pada system operasi Microsoft Windows XP
1. Matikan [System Restore] untuk sementara selama proses pembersihan
2. Sebaiknya lakukan pembersihan melalui “safe mode”
3. Matikan proses dari virus W32/mybro, Anda dapat menggunakan tools
pengganti Task manager seperti [Security task manager], tools tersebut dapat
didownload di website http://www.neuber.com/taskmanager/ matikan proses
berikut [ingat !! cari file yang mempunyai bentuk folder].
Winlogon
Services
Lsass
Smss
Csrss
4. Hapus registry yang pernah dibuat oleh W32/Mybro, copy script berikut di
notepad kemudian simpan menjadi repair.inf, jalankan file tersebut, Klik
kanan repair.inf, Klik [install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Shell,0,"Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\
System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\
System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\
System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus-
3444Admc
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-
Spizaetus-2733VIRM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer,ShowSuperHidden
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
run
5. Hapus file Empty.pif pada direktori
C:\Documents and Settings\suport\Start Menu\Programs\Startup
6. Hapus file yang pernah dibuat oleh virus, sebelumnya pastikan anda telah
menampilkan semua file yang disembunyikan, jika folder option belum
muncul juga coba restart komputer terlebih dahulu kemudian booting ke mode
“safe mode”, setelah itu hapus file berikut:
Pada C:\Windows
o _default17832
o Cinderawasih-4178327
o Komodo-6178322
o C:\Windows\Ad22098
o Smss.exe
Pada C:\Windows\System32\S8787
o Csrss.exe
o Lsass.exe
o Services.exe
o Winlogon.exe
o Smss.exe
o Zh592115084y.exe
o C.bron.tok.txt, berisi text
Brontok.C
By: Jowobot
o Spread.mail.bro, berisi alamat email yang telah diperoleh dari
komputer yang terinfeksi
o Spread.sent.Bro, berisi alamat email yang berhasil dikirimkan
C:\Documents and Settings\%user%\Local Settings\Application Data
o Jalak-932115015-bali.com
o Winlogon.exe [berbentuk notepad]
o Dv6211500x, berisi file:
o Yesbron.com
o C:\Windows\system32
o C_17832k.com
o C:\Documents and Settings\suport\Start Menu\Programs\
Startup
o Empty.pif
o C:\Baca Bro !!!.txt
7. Harus perhatikan juga ukuran file yang terinfeksi tersebut, karena jika file
yang terinfeksi [file induk] mempunyai ukuran 51 KB W32/Mybro selain
membuat file induk diatas juga akan membuat beberapa file induk tambahan
diantaranya:
C:\Windows\System32\n8127
o Csrss.exe
o Lsass.exe
o Services.exe
o Winlogon.exe
o C.Bron.Tok.txt
o Spread.mail.bro
o Spread.sent.bro
o Sv711917030r.exe
o Smss.exe
C:\Windows\SY20118
o Smss.exe
8. Hapus file [task scheduled] yang dibuat oleh W32/
9. Klik [start]
10. Klik [Settings]
11. Klik [control panel]
12. Klik 2 kali menu [Scheduled task]
13. Hapus file AT1 dan AT2
14. Hapus string [daftar website yang diblok] yang dibuat oleh W32/Mybro pada
file HOST yang berada dilokasi
C:\Windows\System32\Drivers\ETC
15. Ubah kembali file MSVBVM60.dll.xxx [dimana xxx menunjukan angka]
menjadi nama file MSVBVM60.dll pada direktori C:\Windows\system32
16. Coba cari dan hapus file duplikat yang dibuat oleh virus, dengan ciri-ciri
Ukuran 48 KB atau 51 KB
Icon yang digunakan berbentuk FOLDER
Ekstensi file EXE
Type file “Application”
17. Catatan:
Dari hasil pengujian virus ini tidak membuat file duplikat pada local Untuk
pembersihan optimal dan mencegah infeksi ulang, gunakan yang sudah
dapat mengenali virus ini dengan baik.
V. Pencegahan dan penaggulangan ancaman virusa. Antivirus
Banyak pengguna computer menginstall software antivirus yang dapat
mendetaksi dan menghapus virus yang udah diketahuinya setelah computer
mendownload atau menjalankan executablenya. Ada dua metuda yang umum
digunakan oleh software antivirus untuk mendeteksi virus-virus, yaitu:
Metoda yang paling umum dan paling banyak digunakan untuk mendeteksi
virus adalah dengan menggunakan definisi virus signature. Ini bekerja
dengan memeriksa konten dari memori computer (RAM dan boot sector)
dan file-file yang tersimpan di local disk atau removable media dan
membandingkannya dengan database virus signature yang telah tersedia.
Kerugian dari metoda ini adalah pengguna hanya terlindungi dari virus yang
signature virusnya telah dikenal saja. Apabila terdapat varian baru, dan
belum ada virus signature nya di antivirus, maka antivirus tidak
menganggapnya sebagai virus, dan pengguna memiliki kemungkinan untuk
terkena infeksi dari virus tersebut.
Medode selanjutnya adalah dengan menggunakan algoritma heuristic untuk
mendeteksi suatu virus berdasarkan perilaku umum dari virus tersebut.
Metoda ini memiliki kemampuan untuk mendeteksi virus yang suatu
perusahaan antivirus belum menciptakan signature buat virus tersebut.
Namun, suatu antivirus tidaklah efektif untuk melindungi pengguna dari
ancaman virus jika software antivirus tersebut tidak diupdate, sehingga user
harus melakukan update antivirusnya secara berkala. User juga harus
mengupdate software ataupun sistem operasi yang digunakannya secara berkala
untuk melakukan patch terhadap lubang-lubang keamanannya / vulnerability.
b. Backup dataSalah satu upaya untuk meminimalisir kerusakan yang diakibatkan oleh virus
adalah dengan membuat backup data (dan sistem operasi ) secara berkala pada
media yang berbeda, yang tetap tidak berhubungan dengan system, read-only
atau tidak dapat diakses karena beberapa alasan, seperti menggunakan system
file yang berbeda. Dengan cara ini, jika data hilang atau telah berubah karena
virus, kita dapat mengembalikannya kembali dengan menggunakan backup
tersebut. Jika melakukan backup menggunakan media optic seperti CD atau
DVD, file nya menjadi read only dan tidak dapat berdampak karena virus.
Sebaliknya, sebuah system operasi yang bootable dapat digunakan untuk
menjalankan computer jika system operasi menjadi tidak dapat digunakan.
Metoda yang lain adalah dengan menggunakan system operasi pada file system
yang berbeda. Sebuah virus tidak akan berdampak pada keduanya. Backup data
dapat pula disimpan pada file system yang berbeda. Sebagai contoh, Linux
membutuhkan software tertentu untuk menulis pada partitisi NTFS, jika tidak
menginstall software semacam itu, dan menggunakan instalasi yang berbeda
pada Microsoft Windows untuk membuat backup pada partitisi NTFS, backup
seharusnya tetap aman dari dari serangan virus Linux apapun. Sebaliknya,
Microsoft Windows tidak dapt membaca system file seperti ext3, jadi jika
biasanya seseorang menggunakan Microsoft Windows, backup data dapat dibuat
pada partitisi ext3 menggunakan instalasi Linux.
c. System restoreSalah satu cara untuk menanggulanginya adala dengan menggunakan system
restore, tool ini ada pada Windows Me, Windows XP dan Windows Vista,
dimana tool ini dapat melakukan restore registry dan critical system file ke
checkpoint sebelumnya. Seringkali virus akan menyebabkan system menjadi
hang, dan hard reboot secara beruntun dapat menyebabkan sebuah system
restore point pada hari yang sama menjadi rusak. Restore point pada hari
sebelumnya dapat bekerja pada virus yang tidak di desain untuk merusak restore
file. Akan tetapi, beberapa virus dapat membuat membuat system restore
manjadi tidak berfungsi atau disable dan tool-tool penting alinnya seperti Task
Manager dan Command Prompt.
d. Instalasi ulang system operasiInstalasi ulang system operasi adalah salah satu pendekatan untuk menghapus
virus. Ini melibatkan format ulang sederhana dari partisi sistem operasi dan
menginstall system operasi dari media originalnya atau melakukan imaging
partisi dengan sebuah backup image(misalnya menggunakan ghost).
Metode ini memiliki keuntungan disamping mudah untuk dilakukan, dapt
berjalan lebih cepat daripada menggunakan antivirus yang lebih dari satu.
Kerugiannya, semua software yang lain yang baru diinstall sesudah imaging
akan ikut terhapus sebagai mana system operasinya yang ada pada image.
VI. Kesimpulan Brontok varian C merupakan virus yang dapat menginfeksi computer seperti
layaknya virus-virus computer lainnya.
Bahasa yang digunakan adalah bahasa C
Memiliki kemampuan untuk menutup aplikasi yang dapat membahayakan
jalannya virus ini, seperti registry edit, command prompt, msconfig, dan dapat
menutup windows explirer yang memiliki tag-tag yang ada pada list Brontok
Menyebarkan diri melalui removable media seperti USB FLASH DRIVE dan
disket, serta dapat menyebarkan diri dengan mengirimkan email berdasarkan
alamat email yang ada di computer yang terinfeksi
Dapat melakukan serangan Denial of Service (DoS) bahkan terdistribusi
menjadi serangan Distributed Denial of Service (DDoS) ke situs-situs tertentu
DAFTAR PUSTAKA
Jan Kristanto(2006), Analisis Borntok.C_22, http://virologi.info/virologist/modules/news/index.php?storytopic=2, 27 mei 2008
Yohanes Nugroho (2005), Analisis Lengkap Virus Brontok,http://www.compactbyte.com /brontok/Analisis Lengkap Virus Brontok.html,27 mei 2008
_________, http://www.vb-bego.net/getcode.php?page=security§ion=0&getcat=&code=084b6fbb10729ed4da8c3d3f5a3ae7c,27 mei 2008
________, http://www.sophos.com/security/analyses/viruses-and-spyware/w32brontokc.html27 mei 2008
_______, http://blog.irvan.or.id/2005/12/14/brontok27 mei2008
_______, http://virologi.info/virologist/modules/news/article.php?storyid=9227 mei 2008
_______, http://en.wikipedia.org/wiki/Malware4 juni 2008
_______, http://id.wikipedia.org/wiki/brontok4 juni 2008
_______, http://id.wikipedia.org/wiki/Virus_komputer4 juni 2008
______, http://en.wikipedia.org/wiki/Computer_virus4 juni 2008