Darkside of Oktavianus

Making virus and all of them as our friends

Analisa Brontok.C_22

Posted by oktavianus pada Mei 12, 2008

Oleh : JAN KRISTANTO

Tentunya anda masih ingat dengan virus brontok yang pada pertengahan 2005 lalu mengemparkan dunia persilatan eh koq persilatan sich, pervirusan maksudnya… hehehe.. dan sekarang Brontok datang kembali tentunya dengan kungfu yang lebih tinggi dong.. hehehe… ( abis berguru ama jacky chan kali… ) sebenernya apa sich yang baru dari virus Brontok versi ini?? Hmm.. berikut analisisnya..

Sebelum membahas analisisnya kita lihat dulu perbedaan Brontok yang baru ini dengan Brontok2 pendahulunya…

· Komputer tidak restart ketika menjalankan applikasi yang masuk dalam daftar hitamnya, tapi brontok hanya menutup applikasi tersebut..
· Brontok yang baru ini tidak membuat file duplikat pada local disk tapi membuat file duplikat pada media Disket/USB
· Brontok tidak lagi dibuat dengan bahasa Visual Basic tapi dengan bahasa C
· Brontok me-rename msvbmv60.dll menjadi msvbmv60.dll.xxx, yang kita tahu bahwa file ini merupakan file runtime Visual Basic.
· Melakukan block terhadap situs2 tertentu.
· Brontok juga menghentikan virus lain seperti NoBron,kangen, pesin,decoil, Pluto, Romdil, Riani_jangkaru.

OK, sekarang kita bahas atu per atu…

Menutup Aplikasi tertentu
Brontok yang baru atau disebut Brontok.C[22] , berusaha menutup aplikasi yang dianggap berbahaya. Baik dengan cara mendeteksi classname suatu program atau caption suatu program.. berikut adalah beberapa text caption yang masuk dalam daftar hitam Brontok..

· cmd.exe
· mmc.exe
· procexp.exe
· registry
· killbox
· hijack
· anti
· washer
· ertanto
· regedit.exe
· msconfig.exe
· killbox.exe
· hijackthis.exe
· brontokwasher.exe
· scheduled task
· computer management
· group policy
· system configuration
· command prompt
· hijack
· sysinter
· aladdin
· kaspersky
· panda
· trend
· cillin
· grisoft
· mcaf
· avast
· bitdef
· norman
· symantec
· norton
· machine
· movzx
· rontox
· rontok
· kill
· washer
· remove
· anti
· virus

weh… weh.. lumayan banyak juga ya… hehehhee

Sebelum memulai mari kita download tools bikinan saya terlebih dahulu:

1. process explorer jan kristanto cukup klik disini:

DOWNLOAD PROCESS EXPLORER JAN KRISTANTO

2. Regedit dan Jalan.exe Jan kristanto :

DOWNLOAD REGEDIT DAN JALAN.EXE JAN KRISTANTO

Visual Basic => C
Ternyata jowobot telah belajar dari pengalaman sebelumnya, bahwa Virusnya tidak akan jalan bila msvbvm60.dll di remane.. tapi untuk Brontok.C[22] ini, cara itu udah tidak berguna lagi.. lho kenapa?? Yup, karena Brontok ini tidak lagi dibuat dalam bahasa Visual Basic tapi menggunakan bahasa C. malahan Brontok me-rename msvbvm60.dll menjadi msvbvm60.dll.xxx .. perkiraan saya “xxx” ini adalah sebuah angka encripsi.. OK balik lagi ke masalah.. Hal ini dimaksudkan agar virus-virus local lainnya tidak berjalan.. tapi celakanya bukan hanya virus-virus aja yang tidak berjalan.. So??? Ya , program-program yang anda buat dengan VB 6 pun tidak bisa dijalankan.. bagaimana bisa tahu Brontok yang baru ini dibuat dengan bahasa C??? OK… ada beberapa alasan..

1. Ketika pertama berjalan virus ini mengeluarkan CommandProm.. coba tebak untuk apa virus ini mengeluarkan CommandProm??? Tentunya tidak untuk apa2, karena bila kita membuat program dalam bahasa C setiap kali kita menge-Run program tersebut maka pertama kali kita akan melihat sebuah CommandProm

2. Klo kita teliti dari namanya aja udah terlihat bahwa virus ini dibuat dengan bahasa C bukan lagi Visual Basic (Brontok.C[22])

3. Bukti ini yang lebih meyakinkan ahwa virus ini dibuat dengan bahasa C bukan Visual Basic.. Apa itu?? Begini, setelah dibuka dengan Ollydbg ternyata ditemukan String “Microsoft Visual C++ Runtime Library” jadi diperkiran virus ini dibuat dengan bahasa C.

Membloc situs-situs
Virus ini juga membloc situs tertentu.. seperti situs porno, situs anti virus, juga situs-situs yang membahas tentang virus2 local.. tapi virologi koq belum masuk dalam daftar ya?? Hehheheehhehehe….. ini adalah beberapa contoh situs yang dibloc oleh Brontok…..

127.0.0.19 fajarweb.com
127.0.0.19 www.fajarweb.com
127.0.0.19 fajarweb.net
127.0.0.19 www.fajarweb.net
127.0.0.19 fajarweb.org
127.0.0.19 www.fajarweb.org
127.0.0.19 jasakom.com
127.0.0.19 www.jasakom.com
127.0.0.19 jasakom.net
127.0.0.19 www.jasakom.net
127.0.0.19 jasakom.org
127.0.0.19 www.jasakom.org
127.0.0.19 backup.grisoft.com
127.0.0.19 www.backup.grisoft.com
127.0.0.19 backup.grisoft.net
127.0.0.19 www.backup.grisoft.net
127.0.0.19 backup.grisoft.org
127.0.0.19 www.backup.grisoft.org
127.0.0.19 infokomputer.com
127.0.0.19 www.infokomputer.com
127.0.0.19 infokomputer.net
127.0.0.19 www.infokomputer.net
127.0.0.19 infokomputer.org
127.0.0.19 www.infokomputer.org
127.0.0.19 playboy.com
127.0.0.19 www.playboy.com
127.0.0.19 playboy.net
127.0.0.19 www.playboy.net
127.0.0.19 playboy.org
127.0.0.19 www.playboy.org
127.0.0.19 sex-mission.com
127.0.0.19 www.sex-mission.com
127.0.0.19 sex-mission.net
127.0.0.19 www.sex-mission.net
127.0.0.19 sex-mission.org
127.0.0.19 www.sex-mission.org
127.0.0.19 pornstargals.com
127.0.0.19 www.pornstargals.com
127.0.0.19 pornstargals.net
127.0.0.19 www.pornstargals.net
127.0.0.19 pornstargals.org
127.0.0.19 www.pornstargals.org
127.0.0.19 kaskus.com
127.0.0.19 www.kaskus.com
127.0.0.19 kaskus.net
127.0.0.19 www.kaskus.net
127.0.0.19 kaskus.org
127.0.0.19 www.kaskus.org
127.0.0.19 17tahun.com
127.0.0.19 www.17tahun.com
127.0.0.19 17tahun.net
127.0.0.19 www.17tahun.net
127.0.0.19 17tahun.org
127.0.0.19 www.17tahun.org

Itu baru sekedar contoh aja, belum semuanya… klo semua bisa ngabis-abisin tempat dong.. hehhe…

Mengirim Email
Brontok juga berusaha mengirim email kepada semua alamat email yang ada pada computer korbannya.. diri email itu adalah sbb :
Subject :
Fotoku yg Paling Cantik
My Best Photo

Message :
Hi,

Aku lg iseng aja pengen kirim foto ke kamu.\n\nJangan lupain aku ya !.

Thanks,

Hi,

I want to share my photo with you.

Wishing you all the best.

Regards,

Attachment
Picture.zip

Perang virus
Ini dimulai oleh virus NoBron yang beberapa bulan lalu berusaha menghentikan virus Brontok.. Ternyata hal ini membuat jowobot marah dan berusaha membalasnya.. coba anda buat file Baca Bro!!!!!.txt maka secara otomatis akan keluar CommandProm (untuk computer yang undah kena brontok yang baru ini)

Ini membuktikan bahwa perang antar virus local sudah dimulai… sekarang kita tunggu aja reaksi dari virus NoBron dan kawan-kawan. Apakah mereka mampu membalas Brontok ?? ataukah sepak terjang mereka harus terhenti oleh Brontok?? (kayak film satria baja hitam aja…. Hehehe…)

Perubahan pada system
Seperli wajarnya virus tentu saja Brontok melakukan perubahan pada system computer korbannya…
1. Registry
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\j6494222.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
C:\WINDOWS\o4494227.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
A7998r

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunA7998r

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
f4368Tro

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
f4368Tro

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools

Aktif pada safe mode
HKLM\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell= C_49422k.com
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell= C_49422k.com

2. Schedule task
Brontok juga membuat Schedule task
Setiap jam 5:08 dan 11:03

Cara menghapus
OK, tiba saatnya kita hajar deh Brontok ini…
Perlu kita tau bahwa ciri-ciri Brontok.C[20]
Ukuran 43 KB
Extension EXE
Type file “application”
1. yang harus kita lakukan tentunya mematikan proses dari virus ini terlebih dahulu. Coba aja dulu pake ShowKillProcess.exe dari virologi.. udah blm??? Pasti langsung di tutup ama Brontok kan?? Coba deh pake procexp.exe… lho koq masih ditutup lagi ya???(rasain aja lu… hehehe… ) untuk mengatasi hal itu. Pertama download Sintax_Mania.zip. didalamnya terdapat 4 file yaitu jalan.exe, msvbmv60.dll, regedit_jan, dan jan_mod.exe.. jan_mod.exe sebenernya adalah procexp yang udah aku utak-utik.. klo udah extrak dulu file .zip tersebut, kemudian jalankan jalan.exe. maka secara otomatis jan_mod.exe akan berjalan…

Tak disangka-sangka tak diduga-duga ternyata procexp yang berubah menjadi jan_mod udah tidak di kill lagi ama Brontok.. ya udah kita tinggal matiin aja proses2 Brontok yang berjalan… (cirinya adalah yang mempunyai icon folder)

2. Scheduled task
Klo semua proses brontok udah tidak berjalan anda langusng masuk pada Control Panel->Scheduled task

Maka akan muncul gambar seperti diatas. Trus hapus aja At1 dan At2..

3. folder option
rubah folder option menjadi seperti berikut

4. Regedit
Hapus aja key-key yang dibuat oleh Brontok tadi… ketikan regedit pada run.. weh.. weh.. weh… ternyata registrynya nggak bisa dibuka ya.. hehehe.. gimana ya caraya?? Gunakan Regedit_jan.exe, ini adalah Registry yang udah dimodifikasi.. tinggal double click aja.. maka anda akan masuk ke Regedit tanpa hambatan… OK, bantai aja coi sekaran.. hapus key-key yang dibuat tadi :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\j6494222.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
C:\WINDOWS\o4494227.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
A7998r

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunA7998r

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
f4368Tro

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
f4368Tro

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools

HKLM\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell= C_49422k.com
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell= C_49422k.com

Catatan : mungkin key registry tidak sama. Menurut perkiraan terdapat algoritma
Enkripsi untuk menuliskan key pada registry.. jadi ada kemungkinan terdapat nama key yang berbeda..

5. Search
Langkah terahkir adalah masuk dalam drive dimana windows anda terinstal.. secara default windows terinstal pada drive C:\ . setelah masuk klik kanan pada drive kemudian pilih search.. masukan keyword .exe, masuk ke “what size is it?” pilih “specify size” pilih “at most” isikan 44. kemudian masuk ke “More advanced option ” pilih “ Search system folder”, “search hidden files and folder” dan “search subfolder” baru klik tombol “search”.

Setelah selesai anda urutkan berdasarkan size-nya(dengan meng-klik tab Size) hapus file dengan ukuran 43 dan bisaanya ber-icon folder.. dan yang paling ahkir ulangi langkah tersebut dengan menganti keyword .exe menjadi .pif dan .com.. mengapa harus demikian?? Karena untuk mengelabuhi korban Brontok juga membuat duplikat file dengan ekstensi .pif dan .exe…

OK, ahkirnya dah selesai deh.. computer anda sekarang udah bebas dari Brontok… sory klo ada kesalahan maklumlah belum ahli(hehehe…) semoga tutorial in berguna bagi kalian yang udah kena Brontok… aku tunggu saran, kritik,cacian dan makiannya(jan_kristanto@yahoo.co.id)

Thanks to :
1. Pemberi nafas hidupku (Bapa disurga…)
2. Kedua orang tua ku
3. Aat, buat kesempatan yang udah diberikan
4. Saber, thanks buat pelajaran crackingnya
5. 10516, thanks buat smuanya…
6. Temen2 disuatu kampus negeri yang indah
(walau bagunannya udah tua.. hohohoho…)
7. Kalian yang udah baca…

Best regard,

Jan Kristanto

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: