Rontokbro.EQ (Ambon Manise)
Ambon Manise dgn gambar Dian Sastro
Laki-laki mana yang tidak "luluh" hatinya jika mendadak di depan komputernya Dian Sastro tersenyum manis. Jangankan cuma mengklik, kalau perlu komputernya diserahkan kepada pemilik senyum :P. Rekayasa sosial inilah yang dimanfaatkan oleh W32/Rontokbro.EQ atau dikenal dengan nama Ambon Manise. Sentimen kedaerahan terkadang secara tidak langsung memotivasi programmer pembuat virus untuk saling menciptakan virusnya “mengadu” kesaktian dengan virus daerah lain. Setelah Manado menyerang dengan virus patah hati "Hatipat" yang mencuplik lirik lagi Ari Lasso, kini muncul pemain baru yang “di duga” berasal dari Ambon dan mulai meramaikan kancah pertempuran virus lokal di dunia maya.
Selain itu Rontokbro.EQ akan membuat sebuah folder baru yang mempunyai nama yang sama sesuai dengan nama file yang dijalankan tersebut, tetapi folder tersebut akan disembunyikan [hidden] serta berisi satu file berupa RTF atau JPG,
Jika Anda menjalankan file induk virus tersebut maka akan menampilkan satu file [dapat berupa file RTF maupun JPG],
Adapun pengembangan dari delapan naga (nagasari, nagabonar, dll). Melainkan bukan hewan seperti vermes atau cacing ataupun pisang AMBON."
Jika Anda menjumpai kedua hal tersebut diatas kemungkinan besar komputer anda sudah terinfeksi virus Rontokbro.EQ.
Seperti biasanya setiap virus membutuhkan file induk yang akan dijalankan setiap kali komputer dinyalakan, dan
-
C:\Windows\SVCHOST.exe
-
C:\Windows\system32\ebrr.exe
-
C:\Windows\system32\mmstask.exe
- C:\Windows\system\SVCHOST.EXE
Selain itu Rontokbro.EQ juga akan membuat string pada registry editor, sebagai upaya untuk menjalankan file induk yang telah dibuat agar virus ini dapat secara otomatis aktif tanpa memerlukan bantuan manuasia.
-
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
- By: 05062705056127019455
- Made In Ambon Manise - Sebagai PeSaN Anti korupsi
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Explorer.exe "C:\WINDOWS\SVCHOST.EXE"
-
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = Explorer.exe "C:\WINDOWS\system\SVCHOST.EXE"
Unblocking Fungsi Windows
Virus ini tidak akan melakukan blok terhadap fungsi windows yang selama ini sering menjadi “hobi” virus lokal lainnya seperti Task Manager, Msconfig, registry editor maupun tools-tools lainnya seperti [Hijack This/Proceexp atau Pocket Killbox], sehinga relatif lebih mudah dibersihkan apalagi virus ini menggunakan VB dalam pembuatannya, selain itu virus ini juga cukup pede untuk tidak membuat file duplikat seperti yang banyak dilakukan oleh virus lokal lainnya.
Walaupun demikian Rontokbro.EQ akan tetap bermain-main dengan setting Folder Options dengan membuat beberapa string pada registry editor berikut, dengan tujuan agar file yang disembunyikan [hidden] tidak dapat di tampilkan walaupun menu Folder Options tidak sampai disembunyikan oleh Rontokbro.EQ:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
-
UncheckedValue = 1
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
-
UncheckedValue = 1
-
Mengubah Type File .”Application” menjadi “File Folder”
Satu hal yang menarik adalah Rontokbro EQ mempelopori aksi merubah type file dari setiap file yang mempunyai ekstensi. EXE manjadi File Folder. Dari sudut pandang “rekayasa sosial” hal ini cukup brilian karena user yang sangat berhati-hatipun akan tertipu dengan rekayasa yang satu ini, karena selama ini user yang berhati-hati dan selalu memperhatikan “Type” dari file yang dijalankannya akan selamat dan tidak akan mengklik “Type” file “Application” meskipun iconnya berupa folder, tetapi dengan rekayasa ini file bervirus dengan icon folder akan terlihat pada “Type” filenya sebagai “File Folder” dan kemungkinan besar akan banyak user yang tertipu dengan hal ini. Kepeloporan Rontokbro kembali terlihat dan hal ini diikuti oleh pembuat virus W32/VBWorm.NE (Dago). Adapun registry yang di “permak” adalah sebagai berikut :
-
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
- Default = File Folder [secara default adalah Default = Application]
Media Penyebaran
Media penyebaran yang digunakan oleh Rontokbro.EQ masih menggunakan Disket / UFD (USB Flash Drive) / File sharing dengan membuat satu atau beberapa file dibawah ini dengan ukuran file sebesar 42 KB dan menggunakan icon Folder. Tentunya semua file virus dibawah ini tidak akan terlihat sebagai executable karena iconnya sudah dipalsukan dengan icon “folder” dan file typenya menjadi “File Folder”
-
Agnes Monica.exe
-
Foto Pacar.exe
-
Bekas Pacar.exe
-
Dian Sastro.exe
-
Jangan Dihapus.exe
-
Oh Cantiknya…exe
-
Dokumen Kerja.exe
Cara membersihkan Rontokbro.EQ
1. Putuskan hubungan komputer yang akan di bersihkan dari jaringan
2. Matikan [System restore] untuk sementara selama proses pembersihan
3. Matikan proses virus yang sedang aktif di memori, untuk mematikan proses ini Anda dapat menggunakan tools pengganti Task Manager seperti ProceeXp kemudian matikan proses yang mempunyai icon Folder, seperti:
-
SVCHOST.exe
-
EBRR.exe
-
Mmtasks.exe
4. Hapus string yang telah dibuat oleh Rontokbro.EQ pada registry, untuk mempercepat proses penghapusan registry tersebut tulis script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf setelah itu jalankan file tersebut dengan cara :
-
Klik kanan repair.inf
-
Klik [Install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Classes\exefile,,,application
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce,By: 05062705056127019455
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce,Made In Ambon Manise - Sebagai PeSaN Anti korupsi
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
5. Hapus file induk yang telah dibuat oleh Rontokbro.EQ, tetapi sebelumnya pastikan anda sudah menampilkan semua file yang disembunyikan oleh Rontokbro.EQ dengan memilih option [Show hiden files and folder] dan menghilangkan tanda check list pada option [Hide Protected Operating system files (recommended)] pada Folder Option,
Kemudian hapus file berikut:
-
C:\Windows\SVCHOST.exe
-
C:\Windows\system32\ebrr.exe
-
C:\Windows\system32\mmstask.exe
-
C:\Windows\system\SVCHOST.EXE
6. Jika anda mempunyai USB, hapus file induk yang dibuat di media USB seperti:
· Agnes Monica.exe
· Foto Pacar.exe
· Bekas Pacar.exe
· Dian Sastro.exe
· Jangan Dihapus.exe
· Oh Cantiknya…exe
· Dokumen Kerja.exe
File tersebut di atas mempunyai ciri-ciri:
a. Mempunyai ukuran sebesar 42 KB
b. Menggunakan icon Folder
c. Type file Application
0 komentar:
Post a Comment