Virus Brontok merupakan virus
lokal populer di tanah air
Indonesia. Bukan hanya di
Indonesia, tapi sampai ke manca
negara, virus ini berkembang
dengan sangat cepat dengan
varian yang setiap kali selalu
berubah.
Virus ini diperkirakan
dibuat oleh seseorang yang
mengerti pemograman Visual Basic
tingkat tinggi dan si pembuat
tergabung pula dalam Team
Pembuat Virus International,
yakni VRC (Virus Revolution
Center), sebuah organisasi
non-profit para pembuat virus
international seperti bagle,
sasser, blaster, dsb. Penyebaran
virus ini beraneka ragam, dari
penyebaran lewat file sharing,
e-mail, cd program PC – SHOP,
USB, sampai teknik-teknik social
enginnering juga dipakai dalam
penyebarannya.
Varian Brontok kali ini, hampir
sama dengan brontok-brontok
sebelumnya, bahkan canggihnya
usb flash disk dapat terinfeksi
tanpa kita mengklik dan
memberikan pesan-pesan sosial
seperti layaknya brontok-brontok
versi sebelumnya. Dibuat masih
dengan bahasa pemograman Visual
Basic – API dengan sedikit
bahasa assembly untuk proteksi
diri, enkripsi, dan anti
debugging. Pusat penyebarannya
terpusat pada website pribadinya
di :
http://h1.ripway.com/syur
dengan mengebui user untuk
mendownload file-file sensual :
Ternyata
file-file tersebut
mengandung Brontok versi
terbaru, dan tidak ada
satupun antivirus yang
mengenalinya. Padahal
dilihat dari tanggal
pembuatannya, file-file ini
sudah menyebar sekitar 3
bulan yang lalu. Demikian
sekilas informasi yang dapat
saya berikan seputar virus
Brontok ini. Dan saya tidak
bermaksud untuk membuat
Pembasmi Virus Brontok ini,
tetapi karena Anti Virusnya
belum ada, saya mencoba
untuk membagikan cara
analisa untuk pembuatan anti
virus baru dengan mengunakan
bahasa C#. Tulisan ini dan
source code didalamnya boleh
dengan leluasa anda merubah,
menganti, serta memakainya
tanpa mencantumkan copyright
penulis asal tidak keluar
dari tujuan-tujuan mulia
didalamnya. Penulis tidak
bertanggung jawab atas
apapun yang terjadi lewat
tulisan ini serta source
code yang penulis sertakan,
jika disimpangkan oleh
pihak-pihak terkait, penulis
mempersembahkan semata-mata
untuk ilmu pengetahuan.
Hari ini sungguh menyedihkan...
Pekerjaan terganggu akibat
seranagn virus Brontok. Semua
antivirus yang dimiliki (Norman
Virus Control, McAfe Anti Virus)
termasuk
CompactbyteAV
tidak dapat mengenali varian
Brontok terbaru ini. Apa boleh
buat, daripada menunggu update
antivirus dari vendor terlalu
lama yang mungkin bisa memakan
waktu 1 minggu, saya mencoba
untuk membuat pembasmi brontok
menggunakan C#.
Pertama adalah analisis
karakteristik virus Brontok.
Virus Brontok yang saya dapat
menggunakan ekstensi *.exe dan
*.pif yang tersebar di banyak
folder dalam harddisk. File
virus tersebut mengandung
metadata sebagai berikut:
|
Item name |
Value |
|
Comments |
Bokeph
MemendeZ |
|
Company |
File
Folder |
|
File
Version |
1.00 |
|
Internal
Name |
BRoNToK |
|
Language |
English
(United States) |
|
Legal
Trademark |
Virus
Revolution Project |
|
Original
File name |
BRoNToK.exe |
|
Product
Name |
BRoNToK |
|
Product
Version |
1.00 |
Berdasarkan informasi tersebut
dapat dibuat pembasmi brontok
dengan metadata sebagai kunci
pencarian virus. Sebelum
melakukan pembersihan file virus
brontok, yang harus dilakukan
adalah membunuh semua proses
virus yang berjalan. Dengan
memanfaatkan Windows Management
Instrumentation dapat diambil
semua proses yang berjalan dan
informasi file proses tersebut
berada. Jika file proses
tersebut mengandung metadata
seperti di atas, proses tersebut
langsung dibunuh menggunakan
namespace System.Diagnostics
Karena keterbatasan waktu,
pembasmi brontok yang dibuat
hanya berfungsi menghapus semua
file virus yang ada tanpa
memperbaiki atribut file dan
nilai registry yang dirusak oleh
virus. Untuk menyembuhkan
kerusakan ini dapat digunakan
tool HijackThis dan file .reg
yang saya lampirkan dalam
artikel ini. Tool HijackThis
digunakan untuk membuka blocking
RegistryTool oleh virus dan
menghapus semua startup program
virus. Setelah RegistryTool
dapat diakses kembali, lakukan
penyembuhan pada registry dengan
menjalankan file *.reg yang
disertakan di sini.
Kode sumber project dan file *.reg
saya sertakan dalam lampiran
tulisan ini.
http://kresna-ps.50webs.com/Brondong.zip
Penulis membuka segala macam
bentuk saran dan kritik yang
membangun untuk tujuan ilmu
pengetahuan dan teknologi, dapat
di hantar ke e-mail :
kresna_ps@yahoo.com
Semoga Bermanfaat,
Kresna PS
Universitas Mercu Buana
http://www.mercubuana.ac.id |
