Virus Rontokbro

Membuat file pada setiap folder dimana file ini mempunyai nama yang sama dengan folder tersebut dengan ciri-ciri

- Icon yang digunakan berupa Folder

- Ukuran file 42 Kb

- Ekstension .EXE



Rontokbro juga akan melakukan perubahan pada file C:\AUTOEXEC.BAT dengan menambahkan baris perintah “ PAUSE”. Agar Rontokbro dapat aktif begitu komputer dinyalakan, ia akan membuat registry beberapa registry key yaitu:



Bron-Spizaetus

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Tok-Cirrhatus

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Shell dengan value Explorer.exe “C:\Windows\Eksplorasi.exe”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon,



Disable Registry editor

Seperti kebanyakan virus yang ada, virus ini juga akan menonaktifkan program yang dimungkinkan dapat mempersingkat keberadaan “mereka” diantaranya fungsi registry editor dengan menambahkan sebuah registry key:

DisableRegistryTools =1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Jika fungsi registry editor dijalankan maka akan muncul pesan error. Pesan yang muncul jika komputer yang terinfeksi Rontokbro berusaha mengakses Registry Editor.



DisableCMD

Pada registry

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Selain menambahkan string pada registry key, virus in juga akan menambahkan option di menu [startup] pada msconfig.

Sempalong

Smss

Empty



Menyembunyikan Folder Option

Rupanya virus ini belajar dari rekan-rekannya, dimana virus ini akan menghilangkan [folder options] pada menu [tools] pada [Windows explorer], sehingga user tidak akan bisa menampilkan setiap file yang disembunyikan (hidden) oleh virus tersebut, dengan menambahkan string value:



“NoFolderOptions”=dword:00000001

pada registry key

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Folder Option yang dihilangkan oleh ROntokbro supaya user tidak bisa merubah settingan folder option



Task Schedule 5.08 PM

Rontonbrojuga akan membuat task schedule pada windows dimana schedule ini akan dijalankan setiap jam 5.08 PM, dengan menjalankan file yang berada didirektori:

C:\Documents and Settings\%Users%\Templates

Schedule yang dibuat oleh Rontokbro menjalankan file tertentu setiap 5:08 PM. Kemungkinan hal ini digunakan untuk mengupdate dirinya.



Restart Komputer Otomatis

Salah satu kelebihan yang dimiliki oleh Rontokbro adalah dapat menyebabkan komputer restart, jangan harap up-date patch dapat menyelesaikan masalah ini, hal ini disebabkan karena Rontokbro tidak mengeksploitasi celah keamanan seperti yang biasa digunakan oleh virus Sasser atau Blaster.

Rontokbro akan merestart komputer jika anda berusaha menjalankan suatu program tertentu seperti regedit, msconfig bahkan jika anda menjalankan software pengganti Task manager seperti pocket Killbox bahkan HijackThis dan salah satu kelebihan lain yang dimiliki adalah kemampuannya untuk merestart komputer walaupun dalam mode “safe mode” walapun, oleh karena itu dibutuhkan trik untuk menangani masalah tersebut. kemungkinan besar pembuat Rontokbro selalu mengikuti saran dan perkembangan terakhir sehingga ia akan makin sulit dibasmi karena selalu mengupdate dirinya.





Curi Alamat Email

Rontokbro akan mengambil alamat email pada semua file yang mengandung ext. .asp .cfm .csv .doc .eml .html .php .txt .wab



Lewat Disket/USB Flash Disk

Selain menyebar melaui email, Rontokbro juga akan menyebar melalui Disket/USB dengan membuat file pada folder/subfolder yang ada didisket/USB atau pada root USB itu sendiri, file yang diciptakan tersebut mempunyai ciri-ciri: Icon menyerupai Folder, Ukuran 42 Kb, Ext. EXE

Rontokbro juga akan mencoba untuk melakukan koneksi dengan mengirimkan ping request ke salah satu situs dewasa seperti kaskus.com dan 17tahun.com, hal ini lah salah satu faktor yang dapat dapat memperlambat system komputer tetapi karena penyebaran koneksi internet di Indonesia relatif masih lambat, dampak dari hal ini akan kurang terasa pada user dialup rumahan karena tidak selalu terkoneksi dan dampak terbesar akses ke dua situs tersebut akan besar pengaruhnya jika komputer yang terkena Ronrokbro adalah komputer rumahan yang memiliki koneksi ADSL dan selalu terkoneksi ke internet, komputer Warnet atau kantor yang selalu terkoneksi ke internet.

Seperti layaknya antivirus, Rontokbro juga mencoba untuk melakukan up-date ke salah satu situs yang sudah ditentukan, jadi jangan lengah sebaiknya up-date antivirus Anda agar tidak menjadi korban berikutnya dan jangan lupa agar tidak sembarangan dalam bertukar data melalui disket/usb satu tips yang mungkin berguna adalah dengan mengenali jenis file yang akan dijalankan, dan upayakan untuk selalu menampilkan ekstesi dari file tersebut agar dapat mengetahui type dari file tersebut. Satu cara yang efektif untuk mencegah Rontokbro adalah dengan menggunakan antivirus yang memberikan support lokal sehingga definisinya dapat mengimbangi munculnya varian baru Rontokbro yang sampai saat ini masih terus dikeluarkan.

sumber :
wordpress