1. Anti-Virus
2. Firewalls
3. Spyware
4. Online Self-checks
Apakah Anda memakai koneksi dial-up, kabel, DSL atau satelit, proteksi minimum yang harus ada adalah anti-virus dan firewall.
Viruses,
http://www.microsoft.com/athome/security/viruses/virus101.mspx
Berikut ini beberapa daftar program anti-virus utama, yang memungkinkan monitoring secara online (mengecek transfer file & email/attachment). Updatelah anti-virus Anda secara reguler.
AVG – (salah satu yg terbaik)
http://www.grisoft.com/us/us_avg_index.php
Versi gratis:
http://free.grisoft.com/freeweb.php/doc/2/
Versi PRO harus bayar $30. Direkomendasikan oleh Viper!
AntiVir – (ranking tinggi, menggunakan sumberdaya sistem sangat sedikit!)
http://www.free-av.com/
Ini gratis, demikian pula updatenya! Tapi agak lebih ribet pemakaiannya
ketimbang AVG.
Panda – (cukup baru, tapi impresif, dengan metode deteksi baru)
http://www.pandasoftware.com/home/default.asp
6 bulan bayar: $35 ; 1 tahun: $70
Kaspersky-(rangking tinggi, tapi mahal)
http://www.kaspersky.com
Basic: $50 Pro: $80
Trend Micro –
http://www.trendmicro.com/en/products/desktop/pccillin/
evaluate/overview.htm
Sekitar $50
NOTE: Setelah menginstall salah satu program di atas, scan SEMUA isi komputer Anda!
Encrypted Tunneler
Proteksi tingkat tinggi untuk SEMUA jenis trafik Internet, ditambah dengan akses anonimus ke seluruh Internet (tidak ada yang bisa mengetahui kebiasan berinternet Anda).
Biasanya $99, tapi member YMMSS cukup bayar $79 per tahun:
[www.metropipe.net]
Firewall
Info kilat : http://computer.howstuffworks.com/firewall1.htm
Sederhananya, firewall dipakai untuk memblokade penjahat agar tidak bias mengakses komputer Anda dari Internet. Bayangkan itu seperti pintu depan rumah Anda. Anda hanya membukanya untuk orang2 yang boleh masuk saja. Jika tiada pintu depan, yah bayangkan sendiri...Firewall bisa menangkal segala metode untuk membobol komputer tanpa ijin, mencegah hacker, worm, trojan dan biasanya memblokir spyware (yang mungkin sudah ada di PC Anda) agar tidak menghubungi si mata-mata. Dan ditambah dengan NAT (Network Address Translation) dan dengan bantuan dari proxy, ia bisa membuat Anda tak terlihat (seperti "siluman").
Sofware firewall:
Zone Alarm – (Gratis dan semakin baik!)
Kerio (Juga gratis dan cukup bagus) http://www.kerio.com/us/kpf_home.html
Sygate (Gratis, dengan fungsi adv) http://www.sygate.com/
Visnetic (Gratis) http://www.deerfield.com/download/visnetic-firewall/
Hardware firewalls (untuk pengguna Broadband):
NetGear FR114P 4-Port Cable/DSL : $80
Linksys BEFSX41 4-Port Cable/DSL : $65
Saafnet International AlphaShield Cable/DSL : $120
Sebenarnya ada banyak hardware, namun inilah yang cukup familier dan harganya masih terjangkau utk kebanyakan orang! http://grc.com/oo/cbc.htm
Program antivirus dan firewall adalah prioritas utama dan akan mengamankan PC Anda dari kejahatan, namun spyware masih dapat menyusup ke system (meskipun sudah banyak berkurang).
setting untuk boleh/tidaknya cookie (di Internet Explorer : klik Tools > Internet Options > Privacy > Settings > tombol Advance). Tapi masih saja surfing, download, install dll bisa menyebabkan adanya
spyware, yang hanya bisa dideteksi oleh program pencari spyware. Spyware sangat berbahaya karena bisa mengambil password Anda dengan keyloggers yang mencatat tombol keyboard mana yang ditekan.
SpyBot Search & Destroy – Tidak sehandal yang lain, tapi merupakan program GRATIS terbaik!:
http://www.safer-networking.org/en/download/index.html
Rekomendasi Viper!
AdAware – Cepat dan gratis:
http://www.lavasoftusa.com/software/adaware/
Rekomendasi Viper!
Spysweeper
http://www.webroot.com/wb/products/spysweeper/sweepera.php
Terbaik – blokade realtime, severity level, & blok cookie. Rangking tinggi
Harga: $30
The Cleaner Professional
http://www.moosoft.com/
Bagus – Live Updates, Registry Monitors, Active Scanning – Rangking tinggi
Harga: $50
Spyware Eliminator
http://www.aluriasoftware.com/homeproducts/spyware/
Bagus – blokade realtime, severity level. Rangking tinggi
Harga: $30
Anti-Spy
http://www.omniquad.com/downloads.htm
Bagus – blokade realtime, severity level.
Harga: $30
Bagaimana cara mengetesnya? Bagaimana bisa mengecek secara aman?
Port Scanners :
Shields Up – cek seberapa baik firewall anda memblokir port, sangat bagus!
https://www.grc.com/x/ne.dll?bh0bkyd2
HackerWhacker – lebih mendalam ketimbang Shields Up, tapi bisa makan
waktu 1 jam lebih :
http://www.hackerwhacker.com
Sygate Online – layanan scan:
http://www.vulnerabilities.org/nessusfreehtml.html
dan
http://www.sygatetech.com/prestealthscan.html
Panda Active Scan
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
Trend-Micro HouseCall
http://housecall.trendmicro.com/
GFI Trojan Scanner
http://www.windowsecurity.com/trojanscan/
McAfee
http://vil.nai.com/vil/stinger/
Ini adalah utilitas standalone yg dipakai untuk membasmi virus spesifik (biasanya yang terakhir ada di daftar mereka)
Petunjuk Umum Pencegahan Virus
Penyebaran virus atau worm umumnya adalah melalui e-mail dan floppy disk. Petunjuk berikut ini adalah beberapa hal yang seyogyanya kita lakukan untuk mencegah berjangkitnya virus di komputer kita.
1. E-mail attachment jangan dibuka secara otomatis. Jika anda menggunakan Outlook Express, Outlook, Eudora, Netscape, dsb set program e-mail tersebut agar attachment tidak membuka secara otomatis.
2. Hanya buka e-mail attachment dari pengirim yang anda kenal. Sebelum membuka attachment, scan terlebih dahulu. Hal ini juga berlaku bagi pengguna web-mail seperti yahoo, hotmail, dsb.
3. Jangan membuka attachment e-mail yang anda curigai mengandung virus walaupun e-mail tersebut berasal dari orang yang anda kenal. Cek terlebih dahulu dengan si pengirim sebelum anda membukanya.
4. Jangan membuka attachment dengan ekstensi VBS, SHS, atau PIF. Ekstensi tersebut umumnya digunakan oleh virus dan worms.
5. Jangan membuka attachment dengan ekstensi ganda, seperti nama_file.BMP.EXE atau nama_file.TXT.VBS.
6. Apabila menerima e-mail berupa iklan, jangan membuka attachmentnya ataupun membuka/mengikuti web link yang mereka sertakan.
7. Jangan membuka attachment dengan nama file yang sensual. E-mail bervirus sering mengunakan nama file yang menggoda.
8. Jangan mempercayai ikon yang disertakan dalam attachment. Worm sering mengirimkan file bervirus dengan ikon yang mirip dengan ikon gambar, teks, ataupun file.
9. Hindari membuka attachment dari orang tak dikenal pada saat chatting dengan menggunakan IRC, ICQ atau Instant Messenger.
10. Hindari men-download file dari newsgroup publik yang tidak dikenal karena media tersebut sering digunakan oleh pencipta virus untuk mendistribusikan virusnya. Termasuk didalamnya adalah freeware (program gratis), screensavers, game, dan berbagai program yang bisa dieksekusi (biasanya menggunakan ekstensi .EXE atau .COM).
11. Apabila harus mendownload file dari Internet, pastikan bahwa anda melakukan scanning terlebih dahulu sebelum membuka program tersebut. Download semua file dalam satu folder, kemudian lakukan scanning atas folder tersebut.
12. Jangan share folder komputer anda. Apabila harus melakukan sharing, jangan share keseluruhan drive (misal seluruh drive C) atau directory Windows – dan lindungi sharing folder tersebut dengan password.
13. Install software anti-virus dan selalu update data anti-virus anda.
14. Konfigurasikan agar program anti-virus anda bekerja setiap kali komputer melakukan booting dan bekerja setiap saat (perhatikan ikon V-shield harus muncul di tray desktop komputer anda).
15. Selalu scan floppy disk sebelum menggunakannya.
16. Jangan melakukan booting dari floppy disk, karena floppy disk merupakan salah satu media penularan virus. Untuk menghindari booting dari floppy disk secara tidak sengaja, selalu keluarkan floppy disk dari disk drive setiap kali anda selesai bekerja dengan floppy disk.
KUMPULAN TIPS DAN TRIK MERONTOKAN VIRUS RONTOKBRO
Rontokbro menyerang Kangen dan Virus lokal?
Musik
dirinya. Katakan JohnMMX, W32/updater yang dikenal juga dengan nama Iworm Perkasa / Imelda, W32/Ganda.A@mm merupakan beberapa virus yang menampakkan dirinya pada era awal 2000. Namun satu hal yang menjadi catatan penting adalah virus lokal ini sangat jarang masuk ke dalam Top 10 dan
hanya mampu "Curi Curi Pandang" karena tingkat penyebarannya sangat rendah. Adalah Pesin yang pertama mampu "Towel Towel" Top 10 virus Indonesia dan diikuti oleh Kangen yang secara konsisten "Towel Towel" Top 10 virus yang paling banyak terdeteksi di Indonesia. Satu hal penyebab menurut pengamatan Vaksincom adalah karena konsistensi pembuat virus Kangen yang terus menerus menelurkan varian baru sampai hari ini dengan rekayasa social yang makin hari makin canggih dan praktis menjadikan Kangen sampai kuartal ke tiga 2005 tidak memiliki saingan yang berarti. Memasuki kuartal ke empat 2005, muncul saingan Kangen yang tidak kalah canggih (untuk tidak mengatakan lebih canggih) dan "juga" secara konsisten diupdate oleh pembuatnya W32/Rontokbro@mm yang pada saat
pembuatan artikel ini sudah mencapai varian ke 17 W32/Rontokbro.R. Virus yang dapat dipastikan merupakan kreasi salah satu mahasiswa dari Kota Kembang ini memang hebat, terbukti dengan kemampuannya masuk dalam jajaran elit Top 10 virus Indonesia untuk bulan September - Oktober 2005 dan hanya dikalahkan oleh veteran Funlove, Netsky dan Zafi yang semuanya merupakan virus luar. Satu hal yang menarik perhatian adalah dalam menjalankan aksinya, pada pembuat virus lokal ini seperti "Air dan Api" mulai menyerang virus lokal lain dimana selain menjalankan rutinnya menginfeksi komputer Rontokbro ternyata membasmi virus lokal lain seperti Kangen, Tabaru etc. Meskipun tujuan pembuat virus ini diklaim bertujuan baik karena membasmi virus lain, tetapi apakah dibenarkan membasmi virus lain dengan menyebarkan virus baru ? Dikhawatirkan aksi ini hanya memicu perseteruan baru yang mirip pertempuran Netsky VS Bagle yang saling menyerang dan yang dapat dipastikan sebagai korban dan menderita paling hebat adalah pengguna komputer Indonesia, khususnya komunitas Warnet, sekolah dan kalangan bisnis di Indonesia yang notabene adalah pengguna komputer awam.
Virus VS Spyware, berimbang
Statistik bulan September dan Oktober 2005 menunjukkan penyebaran Spyware dan Virus dalam komposisi yang berimbang, dimana Virus menang tipis 4 % dan mengambil 52 % dari penyebaran Malware di Indonesia. Dibandingkan bulan Agustus 2005, Spyware mengalami peningkatan 5 % menjadi 48 % dari total insiden malware di Indonesia. Salah satu penyebab meningkatnya insiden virus di bulan September - Oktober 2005 adalah karena kontribusi virus lokal yang dimotori oleh Rontokbro yang secara mengejutkan bercokol di posisi ke 4 dengan jumlah insiden 642 (4.5 %) mengalahkan Mytob, Redlof, dan WYX. Sedangkan Kangen memberikan kontribusi sebanyak 297 insiden (2.09 %). Selain Rontokbro dan Kangen, sebenarnya ada tiga virus lokal yang muncul pada statistik Antivirus Vaksincom bulan September - Oktober 2005 yaitu peringkat (17) Pesin, (26) Fawn dan (30) Tabaru. Posisi Jawara insiden virus sendiri di ambil alih oleh W32/Funlove yang menrupakan virus lama yang berumur belasan tahun namun mampu bertahan sampai hari ini dengan jumlah insiden 3.667 (25.81 %) diikuti oleh Zafi 3.311 (23.30 %) pada peringkat ke dua. Sedangkan jawara pada bulan Agustus Netsky harus puas di tempat ke tiga dengan jumlah insiden 2.754 (19.38 %) disusul oleh Rontokbro 642 (4.53 %), Mytob 472 (3.32), virus boot sector WYX 425 (2.99 %), Redlof 316 (2.22 %) berturut-turut pada posisi 4 sampai 7. Peringkat ke 8 ditempati oleh virus local legendaris Kangen 297 (2.09 %) diikuti oleh Mywife yang menampilkan gambar porno pada email bervirus 278 (1.96) dan ditutup oleh pendatang baru W32/Tenga.3666 yang mengeksploitasi delah keamanan RPC Dcom dan menyebarkan dirinya melalui jaringan dan memiliki kemampuan mengupdate dirinya seperti program antivirus.
Gator, buaya imut-imut yang berbahaya
Jika dibandingkan dengan bulan Agustus 2005, Spyware tidak mengalami banyak perubahan dan hanya terjadi pergeseran / tukar tempat saja. Adalah Gator, spyware dengan icon buaya yang memimpin peringkat pertama dengan total 2.505 insiden (19.18 %) menggantikan Istbar yang tergeser ke peringkat 3 dengan insiden 1.423 (10.90 %). Peringkat dua ditempati oleh spyware Agent yang melompat dari posisi 15 dengan total insiden 1.499 (11.48 %) yang melengserkan Dyfuca ke peringkat 5, 999 insiden
(7.65 %). Winad yang pada bulan sebelumnya menempati posisi 5 dengan insiden 1.027 (7.86) bergerak naik sedikit melemparkan Lop keluar dari daftar Spyware paling ganas se
Rontokbro menyerbu
Virus Lokal Kelas Dunia yang memiliki SMTP sendiri
Siapa bilang putra
Mengapa Rontokbro
Tentunya anda bertanya, kok namanya susah amat Rontokbro? Apa maksudnya mengakibatkan komputernya si Bro Rontok ? :). Atau apa alas an lain ? Menurut pengamatan teknisi laboratorium virus Vaksincom, ternyata pembuat virus ini mendapatkan ilham membuat virus ini dari satwa langka Indonesia, Elang Brontok yang memiliki nama latin Spizaetus cirrhatus, selain itu rupanya pembuat virus Rontokbro (yang disinyalir berasal dari salah satu universitas pemerintah di Jawa Barat) juga menyebarkan pesan anti korupsi, anti freesex dan anti pencemaran lingkungan dalam email yang dikirimkannya dengan lampiran kangen.exe. Apakah pembuat virus ini sama dengan pembuat Kangen, atau ia hanya membonceng kepopuleran virus Kangen agar dirinya dapat menyebar dengan baik, yang jelas menurut statistik Vaksincom penyebaran Rontokbro saat ini sudah mengalahkan Kangen. Elang Brontok merupakan satwa burung khas
Detail Email yang mengandung virus Rontokbro
Adapun email yang mengandung virus Rontokbro ini memiliki ciri-ciri sebagai berikut :
From: [Dipalsukan]
Subject: kosong
Message:
BRONTOK.A [ By: HVM**-Jowo*** #** Community ]
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA ( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah
[By: HVM**-Jowo*** #** Community--]
Attachment:
Kangen.exe
Uniknya, rontokbro akan menghindari pengiriman email kealamat-alamat dengan domain sebagai berikut: PLASA, TELKOM, INDO, .CO.ID, .GO.ID, .MIL.ID, .SCH.ID, .NET.ID, .OR.ID, .AC.ID, .WEB.ID, .WAR.NET.ID, ASTAGA, GAUL, BOLEH, EMAILKU, SATU. Apa alasan di balik aksinya ini? Apakah untuk mengurangi lalulintas email lokal atau pembuatnya merasa cukup "pede" dimana penyebaran lokal diserahkan pada UFD sehingga tidak perlu mengandalkan penyebaran via email karena toh penyebaran via warnet jauh lebih efektif dibandingkan melalui email. Yang jelas Rontokbro yang disebarkan ke domain di luar
lain dari Rontokbro adalah kemampuannya untuk mencari SMTP server guna mengirimkan kopi dirinya dan ia juga menggunakan SMTP engine sendiri untuk mengirimkan dirinya pada semua alamat email yang berhasil dikumpulkannya dari komputer yang terinfeksi.
Komputer restart terus menerus
Bagaimana kita bisa mengetahui bahwa komputer sudah terinfeksi Rontokbro? Selain melakukan beberapa perubahan pada registri yang mengakibatkan pemblokiran pada akses Registry Editor sehingga anda tidak bisa membuka regedit.exe, Rontokbro juga menyebabkan komputer restart terus menerus. Biang keladinya bukan eksploitasi celah keamanan seperti Sasser, melainkan karena Rontokbro melakukan restart pada komputer setiap kali menemukan aplikasi dengan nama:
.. .@, @., .ASP, .EXE, .HTM, .JS, .PHP, ADMIN, ADOBE, AHNLAB, ALADDIN, ALERT, ALWIL, ANTIGEN, APACHE, APPLICATION, ARCHIEVE, ASDF, ASSOCIATE, AVAST, AVG, AVIRA, BILLING@, BLACK, BLAH, BLEEP, BUILDER, CANON, CENTER, CILLIN, CISCO, CMD., CNET, COMMAND, COMMAND, PROMPT, CONTOH, CONTROL, CRACK, DARK, DATA, DATABASE, DEMO, DETIK, DEVELOP, DOMAIN, DOWNLOAD, ESAFE, ESAVE, ESCAN, EXAMPLE, FEEDBACK, FIREWALL, FOO@, FUCK, FUJITSU,GATEWAY, GOOGLE, GRISOFT, GROUP, HACK, HAURI, HIDDEN, HP., IBM., INFO@, INTEL., KOMPUTER, LINUX, LOG OFF WINDOWS, LOTUS, MACRO, MALWARE, MASTER, MCAFEE, MICRO, MICROSOFT, MOZILLA, MYSQL, NETSCAPE, NETWORK, NEWS, NOD32, NOKIA, NORMAN, NORTON, NOVELL, NVIDIA, OPERA, OVERTURE, PANDA, PATCH, POSTGRE, PROGRAM, PROLAND, PROMPT, PROTECT, PROXY, RECIPIENT, REGISTRY, RELAY, RESPONSE, ROBOT, SCAN, SCRIPT, HOST, SEARCH R, SECURE, SECURITY, SEKUR, SENIOR, SERVER, SERVICE, SHUT DOWN, SIEMENS, SMTP, SOFT, SOME, SOPHOS, SOURCE, SPAM, SPERSKY, SUN., SUPPORT, SYBARI, SYMANTEC, SYSTEM CONFIGURATION, TEST, TREND, TRUST, UPDATE, UTILITY, VAKSIN, VIRUS, W3., WINDOWS SECURITY.VBS, WWW, XEROX, XXX, YOUR, ZDNET, ZEND, ZOMBIE
Tujuan dari aksi ini adalah jelas untuk memproteksi dirinya supaya tidak mudah dibasmi. Selain itu Rontokbro juga berusaha menyerang website: israel.gov.il dan playboy.com Dengan cara membanjiri dengan ping. Namun dampak dari aktivitas ini hanya akan terasa kalau komputer yang terinfeksi mencapai jumlah yang sangat banyak (e.g. 10.0000 komputer) yang pada kasus tertentu dapat mengakibatkan website yang diserang menjadi lumpuh/down.
Bagaimana kalau sudah terinfeksi Rontokbro
Pembersihan Rontokbro sebaiknya dilakukan melalui "safe mode" karena jika mencoba pembersihan melalui mode "normal" komputer akan langsung restart begitu komputer dijalankan.
1. Lakukan pembersihan melalui "safe mode".
2. Scan komputer dengan Norman Virus Control update terakhir. Bagi anda yang belum neggunakan Norman Virus Control, silahkan download ke http://www.norman.com/Download/Trial_versions/en-us (jangan lupa masukkan email anda yang valid untuk menerima License Trial) dan bersihkan semua file yang terdeteksi sebagai W32/Rontokbro@mm dan variannya.
3. Untuk mengaktifkan kembali fungsi registry editor hapus value: DisableRegistryTools =1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polic ies\System Untuk lebih mudahnya gunakan tools dari HijackThis, tools tersebut dapat didownload dialamat: http://www.spywareinfo.com/~merijn/downloads.html Setelah dijalankan, cari option HKCU\Software\Microsoft\Windows\CurrentVersion\Policies, DisableRegedit=1, kemudian klik [Fix checked] Gunakan HijackThis untuk membuka blokir regedit.exe yang dilakukan oleh Rontokbro
Hapus registry:
Bron-Spizaetus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run
Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Disable CMD=0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polic
ies\System
Untuk mengembalikan option [Folder option] pada windows explore, hapus
string registry:
NoFolderOptions=dword:00000001
pada registry key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polic
ies\Explorer
4. Hapus opsi pada menu [Startup] pada msconfig
- NorBtok
- Smss
- Empty
5. Hapus Schedule Task yang dibuat oleh W32/RontokBro.B
a. Buka [Windows Explorer]
b. Klik [Control Panles]
c. Klik 2 kali [Schedule Tasks]
How to remove Rontokbro.N
Virus lokal yang aktif di mode “safe mode”
Dewasa ini penyebaran virus lokal sudah semakin pesat, merekapun berlomba-lomba dalam membuat suatu virus sehingga varian-varian barupun bermunculan dengan sedikit modifikasi pada script yang mereka buat jadilah varian baru yang siap menyerang siapa saja dan kapan saja, walau media penyebaran yang digunakan masih sederhana tetapi terbukti masih efektif hal ini ditunjang dengan semakin banyaknya user yang menggunakan media disket/USB Flash Disk. USB FlashDisk kini makin digemari dikalangan pengguna computer karena mudah dibawa dan mempunyai kapasitas yang lebih besar dari pada disket serta mempunyai ukuran yang kecil, dengan adanya trend seperti ini rupanya dimanfaatkan oleh sebagian kecil orang sebagai media yang cocok dan mudah untuk menyebarkan virus yang mereka buat, maka lahirlah virusvirus lokal yang kita kenal sekarang ini. Perkembangan virus lokal sebenarnya sudah dikenali sejak lama sejak jamannya virus Pesin, dari sinilah mulai bermunculan virus-virus lokal yang baru sebut saja Lavist, kangen, riyanni_jangkaru aau Tabaru, kumis, fawn yosa dan terakhir Rontokbro, itulah sebagian nama-nama virus lokal yang pernah menjadi “momok” dalam beberapa bulan yang lalu, walaupun sebagian besar antivirus sudah dapat mengenali virus tersebut tetapi karena penyebarannya terbatas dilingkungan tertentu maka jika ada varian dari virus tersebut akan
sangatlah sulit untuk dideteksi olah karena itu sebaiknya gunakan antivirus yang mempunyai dukungan support lokal. Dari sekian banyak virus lokal yang ada hanya 3 virus yang berhasil membumi yaitu Rontokbro, kangen dan fawn. Tetapi dari 3 jenis virus tersebut hanya Rontokbro yang mampu memberikan kerugian yang cukup besar dibandingkan dengan yang virus lokal yang lain. Dengan up-date terbaru antivirus Norman sudah dapat mengenali virus ini dengan baik.
Kelemah Safemode berhasil diketahui Rontokbro.
Rontokbro adalah jenis virus lokal pertama yang dapat menyebar melalui email berbeda dengan virus lokal lain yang hanya dapat menyebar melalui dikset/USB, Komputer yang terinfeksi Rontokbro akan melakukan restart hal ini sama seperti yang dilakukan oleh virus Kumis dan virus Sasser/Blaster, bedanya komputer yang terinfeksi Rontokbro akan restart jika menjalankan suatu program aplikasi tertentu seperti regedit, msconfig atau task manager, up-date pacth yang anda lakukan tidak akan membawa dampak apa-apa karena virus ini tidak mengeksploitasi celah keamanan seperti yang dilakukan oleh Sasser/Blaster proses restartnya pun tidak memunculkan hitungan mundur seperti yang dilakukan oleh virus Sasser/Blaster, satu hal yang menjadi kelebihan dari virus ini dimana walaupun komputer dalam posisi “safe mode” komputer akan tetap restart jika menjalankan program aplikasi seperti regedit, msconfig bahkan ketika menjalankan tools seperti pocket Killbox atau HijackThis, dimana kita tahu jika komputer dijalankan dalam mode “safe mode” virus yang menginfeksi komputer tersebut tidak aktif, tetapi tidak halnya dengan Rontokbro suatu kemajuan yang luar biasa rupanya team pembuat Rontokbro sudah mengetahui titik kelemahan yang ada pada mode “safe mode”, lalu mengapa hal ini tidak digunakan oleh para pembuat virus non lokal bukankah mereka mempunyai pengalaman dan pengetahuan yang jauh lebih banyak ? Satu lagi jempol untuk pembuat Rontokbro.Berdasarkan pemantauan yang dilakukan oleh Vaksincom (www.vaksin.com) banyak user yang terinfeksi virus Rontokbro, ini dibuktikan dengan banyaknya user yang berkonsultasi dengan Vaksincom baik melalui email, telepon maupun forum Vaksincomhttp://forum.vaksin.com dari sekian pengaduan yang ada sebagian besar mengeluhkan komputer mereka terinfeksi virus Rontokbro varian N dimana virus ini akan menyebabkan komputer restart walau dalam posisi “safe mode” sekalipun, oleh karena itu team Vaksincom mencoba untuk memberikan sedikit trik dan tips yang dapat digunakan untuk mengatasi virus Rontokbro apalagi bagi mereka yang belum menggunakan Norman Virus Control sehingga belum dapat mengenali varian ini dengan baik :).
Sebelum melangkah ke masalah bagaimana cara pembersihan Rontokbro ada baiknya mengetahui secara umum apa yang dilakukan oleh
Rontokbro. File yang terinfeksi Rontokbro.N mempunyai ukuran sebesar 42kb dengan icon folder tetapi dengan extension EXE, jika dijalankan akan membuatbeberapa file yaitu:
C:\Windows dengan nama file eksplorasi.exe (hidden)
C:\Windows\shellnew dengan nama sempalong.exe (hidden)
C:\WINDOWS\system32 dengan nama %username"s Setting.scr (hidden)
C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file
- Bron.tok-x-y, dimana x dan y menunukan angka
- Loc.Mail.Bron.Tok, berisi alamat email yang diperoleh dari computer yang terinfeksi
- Ok-SendMail-Bron-tok, berisi email yang berhasil dikirim
- csrss.exe
- inetinfo.exe
- Kosong.Bron.Tok.txt
- lsass.exe
- NetMailTmp.bin
- services.exe
- smss.exe
- Update.3.Bron.Tok.bin
- winlogon.exe
C:\Documents and Settings\bagle\Start Menu\Programs\Startup nama file Empty
C:\Documents and settings\%Users%\Templates Brengkolang.com
Ciri-ciri Virus Rontokbro
Membuat file pada setiap folder dimana file ini mempunyai nama yang sama dengan folder tersebut dengan ciri-ciri
- Icon yang digunakan berupa Folder
- Ukuran file 42 Kb
- Ekstension .EXE
Rontokbro juga akan melakukan perubahan pada file C:\AUTOEXEC.BAT dengan menambahkan baris perintah “ PAUSE”. Agar Rontokbro dapat aktif begitu komputer dinyalakan, ia akan membuat registry beberapa registry key yaitu:
Bron-Spizaetus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Shell dengan value Explorer.exe “C:\Windows\Eksplorasi.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
Winlogon,
Disable Registry editor
Seperti kebanyakan virus yang ada, virus ini juga akan menonaktifkan program yang dimungkinkan dapat mempersingkat keberadaan “mereka” diantaranya fungsi registry editor dengan menambahkan sebuah registry key:
DisableRegistryTools =1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\System
Jika fungsi registry editor dijalankan maka akan muncul pesan error. Pesan yang muncul jika komputer yang terinfeksi Rontokbro berusaha mengakses Registry Editor.
DisableCMD
Pada registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\System
Selain menambahkan string pada registry key, virus in juga akan menambahkan option di menu [startup] pada msconfig. Sempalong Smss Empty
Menyembunyikan Folder Option
Rupanya virus ini belajar dari rekan-rekannya, dimana virus ini akan menghilangkan [folder options] pada menu [tools] pada [Windows explorer], sehingga user tidak akan bisa menampilkan setiap file yang disembunyikan (hidden) oleh virus tersebut, dengan menambahkan string value:
“NoFolderOptions"=dword:00000001
pada registry key
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Folder Option yang dihilangkan oleh ROntokbro supaya user tidak bisa
merubah settingan folder option
Task Schedule 5.08 PM
Rontonbrojuga akan membuat task schedule pada windows dimana schedule ini akan dijalankan setiap jam 5.08 PM, dengan menjalankan file yang berada didirektori:
C:\Documents and Settings\%Users%\Templates
Schedule yang dibuat oleh Rontokbro menjalankan file tertentu setiap 5:08 PM.
Kemungkinan hal ini digunakan untuk mengupdate dirinya.
Restart Komputer Otomatis
Salah satu kelebihan yang dimiliki oleh Rontokbro adalah dapat menyebabkan komputer restart, jangan harap up-date patch dapat menyelesaikan masalah ini, hal ini disebabkan karena Rontokbro tidak mengeksploitasi celah keamanan seperti yang biasa digunakan oleh virus Sasser atau Blaster. Rontokbro akan merestart komputer jika anda berusaha menjalankan suatu program tertentu seperti regedit, msconfig bahkan jika anda menjalankan software pengganti Task manager seperti pocket Killbox bahkan HijackThis dan salah satu kelebihan lain yang dimiliki adalah kemampuannya untuk merestart komputer walaupun dalam mode “safe mode” walapun, oleh karena itu dibutuhkan trik untuk menangani masalah tersebut. kemungkinan besar pembuat Rontokbro selalu mengikuti saran dan perkembangan terakhir sehingga ia akan makin sulit dibasmi karena selalu mengupdate dirinya.
Curi Alamat Email
Rontokbro akan mengambil alamat email pada semua file yang mengandung ext. .asp .cfm .csv .doc .eml .html .php .txt .wab
Lewat Disket/USB Flash Disk
Selain menyebar melaui email, Rontokbro juga akan menyebar melalui Disket/USB dengan membuat file pada folder/subfolder yang ada didisket/USB atau pada root USB itu sendiri, file yang diciptakan tersebut mempunyai ciri-ciri:
Icon menyerupai Folder, Ukuran 42 Kb, Ext. EXE
Rontokbro juga akan mencoba untuk melakukan koneksi dengan mengirimkan ping request ke salah satu situs dewasa seperti kaskus.com dan 17tahun.com, hal ini lah salah satu faktor yang dapat dapat memperlambat system komputer tetapi karena penyebaran koneksi internet di Indonesia relative masih lambat, dampak dari hal ini akan kurang terasa pada user dialup rumahan karena tidak selalu terkoneksi dan dampak terbesar akses ke duasitus tersebut akan besar pengaruhnya jika komputer yang terkena Ronrokbro adalah komputer rumahan yang memiliki koneksi ADSL dan selalu terkoneksi ke internet, komputer Warnet atau kantor yang selalu terkoneksi ke internet. Seperti layaknya antivirus, Rontokbro juga mencoba untuk melakukan up-date ke salah satu situs yang sudah ditentukan, jadi jangan lengah
sebaiknya up-date antivirus Anda agar tidak menjadi korban berikutnya dan jangan lupa agar tidak sembarangan dalam bertukar data melalui disket/usb satu tips yang mungkin berguna adalah dengan mengenali jenis file yang akan dijalankan, dan upayakan untuk selalu menampilkan ekstesi dari file tersebut agar dapat mengetahui type dari file tersebut. Satu cara yang efektif untuk mencegah Rontokbro adalah dengan menggunakan antivirus yang memberikan support lokal sehingga definisinya dapat mengimbangi munculnya varian baru Rontokbro yang sampai saat ini masih terus dikeluarkan.
Cara membersihkan Rontokbro
1. Lakukan pembersihan melalui “safe mode”
2. Matikan proses virus
Untuk mematikan proses tersebut sebaiknya jangan menggunakan program pocket killbox atau HijackThis karena komputer akan langsung restart jika anda menjalan kan tools ini, kami sarankan untuk menggunakan tools lain yang seperti PROCEXP.EXE dapat didownload di situs
http://www.sysinternals.com/Utilities/ProcessExplorer.html
Hapus proses dengan cara "klik kanan nama proses" dan pilih "kill prosess tree", agar tidak salah dalam penghapusan cari proses yang mempunyai icon "folder", seperti:
- smss.exe
- services.exe
- winlogon.exe
Anda juga dapat melakukan langkah berikut:
a. Restart komputer dan masuk dalam mode "safe mode with command prompt”, dengan cara menekan tombol [F8] ketika komputer restart, hal ini dimaksudkan agar virus Rontokbro tidak aktif pada posisi ”safe mode” dan komputer tidak melakukan restart selama proses pembersihan.
b. Setelah masuk mode ”Command Prompt” tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu [File] pilih [New Task (Run..), kemudian ketik [explorer] pada jendela [create new task file] setelah itu klik enter.
c. Kemudian akan muncul layar desktop (layaknya masuk ke mode "safe mode")
d. Aktifkan kembali fungsi registry editor dan hapus string yang dibuat oleh virus, tulis script seperti yang ada pada angka [3], kemudian simpan menjadi nama file "repair.inf", setelah itu jalankan file tersebut dengan cara: klik kanan file [repair.inf] kemudiani pilih [install]
e. Hapus option [Smss], [Empty] dan [Sempalong] pada msconfig di tabulasi [startup)
f. Agar ”Folder option” pada windows explorer dapat muncul, restart kembali komputer dan lakukan seperti langkah pada point (a dan b)
g. Setelah komputer masuk ke mode "safe mode" tampilkan semua file yang disembuyikan (lakukan perubahan ini pada "folder option", lihat gambar yang ada pada point [5], selanjunya ikuti petunjuk pembersihan Rontokbro seperti yang ada pda point (6-9)
3. Tulis script berikut dan simpan di notepade beri nama file repair.inf, jalankan file tersebut (klik kanan [repair.inf] pilih [install]), hal ini dimaksudkan untuk mengqaktifkan kembali fungsi registry editor, menampilkan kembali [folder option] serta menghapus string yang telah dibuat oleh virus
[Version]
Signature="$
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM,
Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1""
%*"
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,Disabl
eRegistryTools
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,Disabl
eCMD
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFol
derOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-
Cirrhatus
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-
Spizaetus
4. Restart komputer dan masuk kembali ke mode "safe mode" jangan ke posiosi "normal" karena file induk dari virus ini masih ada (eksplorasi.exe dan sempalong.exe)
5. Tampilkan file yang disembunyikan, lakukan perubahan ini pada [folder Option] untuk memunculkan kembali file hidden dengan Folder Option.
6. Hapus file yang dibuat oleh Rontokbro
- C:\Windows dengan, nama file eksplorasi.exe (hidden)
- C:\windows\shellnew, dengan nama sempalong.exe(hidden)
- C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden)
- C:\Windows\pss, dengan nama file [Empty.pifStartup]
- C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file
- Bron.tok-[x]-[y], di mana [X] dan [Y] menunjukan angka
- Loc.Mail.Bron.Tok
- Ok-SendMail-Bron-tok
- csrss.exe
- inetinfo.exe
- Kosong.Bron.Tok.txt
- lsass.exe
- NetMailTmp.bin
- services.exe
- smss.exe
- Update.3.Bron.Tok.bin
- winlogon.exe
- smss.exe
7. Edit kembali file autoexec.bat di direktori C:\ dan hapus baris perintah [pause]
8. Hapus scheduled tasks yang dibuat oleh Rontokbro (klik [Start], [Settings], [Control Panel], kemudian klik 2 kali menu [scheduled tasks].
9. Hapus file yang dibuat oleh virus, untuk lebih cepatnya gunakan fasilitas [serach]
· Klik [Start]
· Klik [Search], kemudian klik [For Files or Folders]
· Kemudian pilih [All files or Folders]
· Klik option [What size is it ?]
· Kemudian pilih option [Specify Size (in Kb)]
· Pada kombo Box, pilih [At most] kemdian isi ukuran file dengan angka [43], setelah itu klik [Search]
· Setelah proses pencarian selesai, sortir berdasarkan ukuran (size), kemudian hapus file yang mempunyai ukuran 42 kb, jangan sampai terjadi kesalahan dalam penghapusan file karena ada beberapa file windows yang mempunyai ukuran 42 kb, cari file yang icon folder dengan extension. EXE Untuk pembersihan lebih cepat sebaiknya anda gunakan antivirus yang sudah dapat mengenali Rontokbro.N jangan lupa update antivirus yang terinstall, sebagai informasi antivirus
Tips Untuk Menghindari Virus RontokBro
Berikut ada beberapa tips dan trik yang dapat digunakan terhindar dari serangan virus lokal
1. Jangan sembarangan dalam melakukan pertukaran data melaui disket/usb
2. Patikan disket/Usb bersih dari virus dengan melakukan scan terhadap disket/usb sebelum digunakan.
3. Kenali jensi file yang akan dijalankan
4. Biasakan untuk menampilkan extensi file, hal ini dimaksudkan untuk mengetahui jenis file sebelum dijalankan.
5. Rajin mengikuti perkembangan virus
6. Install antivirus yang mempunyai dukungan support lokal dan up-date otomatis
NgeRontokin virus Brontok
Virus ini bertipe worm (dapat menduplikasi diri), dan menyebar melalui attachment email (email virus). Nama lain virus: brontok, Rontokbro. Virus ini kira2 pertama kali menyebar di bulan September 2005, dibuat oleh orang Indonesia karena signature email nya berbahasa Indonesia dan juga isi virus dalam binari dan dan menemukan nama-nama fungsi dalam kode ascii merupakan kata-kata bahasa Indonesia seperti keluarDOng(), dsb.
Langkah-langkah membersihkan komputer dari virus Barontok:
(Untuk win 95, 98, ME)
- Masuk ke safe mode: Reboot lalu setelahh muncul tampilan bios tekan Ctrl, pilih Safe mode dan tekan enter
- Lanjut langsung mulai dari langkah 5
(Untuk windows ME dan XP)
Matikan System Restore Windows Start->Settings->Control panel->System atau Start->Control PAnel->System
pada System restore tab... pilih opsi "Turn off System Restore"
(Untuk Win 2000, XP Home/Pro, Server 2003)
1. Reboot dan masuk ke safe mode.
** Restart windows, setelah muncul tampilan BIOS tekan F8, akan ada pilihan:
Safe mode,
2. Setelah itu masuk windows dengan login administrator atau user lain yang mempunyai auth sebagai administrator,
3. Buat User account baru DENGAN account type: Computer Administrator lalu logoff dan login dengan account yang baru dibuat.
Menghilangkan autostart virus di registry
4. Buka regedit: Start menu->Run->Regedit.exe lalu tekan enter Di panel kiri pilih key:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersi
on>Run
lalu di panel kanan, hapus key:
Bron-Spizaetus = "........"
Di panel kiri pilih key:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>
Run
lalu di panel kanan, hapus key:
Tok-Cirrhatus = "......"
** Catatan:
Jika regedit tidak dapat dibuka (muncul pesan error)., ini merupakan salah satu akibat virus barontok.
Untuk itu telah dibuat file untuk mengatasi masalah tsb:
Download file PatchRegKey.inf (600 Bytes / gak nyampe 1 KB) di:
http://students.if.itb.ac.id/~if12031/kios/PatchRegKey.inf
http://www.geocities.com/aquata1ne/PatchRegKey.inf
http://www.8rf.com/download/PatchRegKey.inf
Setelah di download, klik kanan file tsb lalu pilih "Install" lalu lanjutkan langkah
4. Menghilangkan autostart virus di scheduled task
5. Buka Secheduled Task di Control Panel: Start->Settings->Control Panel-
>Scheduled Task lalu tekan enter
Hapus task dengan nama "At1" atau apapun yang berhubungan dengan virus.
Tips: Klik kanan task->properties, lalu lihat isi properties dan jika ad isi command yang mencurigakan contoh: BArontok.com , dsb.. hapus task tersebut.
Cari dan Hapus file-file virus di seluruh drive komputer
6. Aktifkan opsi Show hidden Files dan Ekstensi:
Start->Settings->Control panel atau
Start->Control Panel
Klik Folder Options dan pada Tab view aktifkan opsi:
a. Show hidden files&Folders dan matikan opsi
b. Hide Extensions for known file types
c. Hide Protected Operating System
7. Gunakan Search File Windows: Start->Search lalu tekan enter
Cari di seluruh drive windows yang ad: C,D, .... pada input Search for files or folders names masukkan: *.exe lalu pada search options pilih opsi Range Size-> At most: 81 Kb dan pada Advanced Options pilih opsi Search system folders, search hidden files&folders, search subfolders pilihan lain biarkan kosong Lalu klik search now.. Pada hasil pencarian di panel kanan hapus semua file yang:
a. berukuran TEPAT 80 kb DAN
b. file nya berekstensi *.exe / *.pif / *.com / *.bat DAN
c. File nya memiliki icon folder/direktori windows
** Perhatian: hapus hanya file yang memenuhi SEMUA kondisi di atas dan BUKAN yang memenuhi salah satu saja. (File yang sering ditemukan: Barontok.com, ElnorB.exe, cari file ini)
* Tips: Sort hasil pencarian berdasarkan size untuk memudahkan penghapusan
* Catatan: Cara ini merupakan cara heuristic berdasarkan pengalaman dan eksperimen (e.g: ditemukan bahwa virus tsb berukuran 80 Kb), dipilih untuk pencarian lebih cepat dibandingkan melihat pattern file satu2 secara manual.
7. Ulangi langkah ke-7 atas dengan input search file: *.pif, *.com, *.bat
Proses Akhir
8. Jika ada, Hapus semua shortcut virus Startup Menu di setiap account profile:
C:/Document Settings/
** Saran: jika memungkinkan misal pada komputer pribadi dan bukan multi user, hapus user account
selain user account yang dibuat pada langkah 3 di atas (misal: Administrator).
9. Reboot dan masuk windows seperti biasa.
Catatan: Cara ini sudah BERHASIL diterapkan di banyak komputer (pastikan Anda sudah mengikuti semua langkah di atas) Jika ingin cara yang palih mudah tentunya Anda harus mendownload Software Anti-Brontok.
DOWNLOAD ANTI-VIRUS KHUSUS RONTOKBRO plus Tips dan Trik
Mengapus RontokBro secara Tuntas berbentuk file .doc:
http://www.8rf.com/download
Sumber: Vaksin.com, Iwan.or.id, Jerbee.com, dll.
0 komentar:
Posting Komentar