home
hari ini saya dan teman saya sedang duet nih ceritanya, eh pas lagi enak-enaknya join hacking orang.. ehh ini ada tamu tak diundang, berhubung teman saya teknisi virus,,, langsung ngasih wejangannya kesaya
Karakteristik SiBrontok
Secara singkat, karakteristik Brontok Sebagai berikut:
1. Brontok menggunakan ikon folder standar Windows, anda yang memakai ikon folder nonstandar akan melihat keanehan ikon ini.
2. Brontok membuat banyak perubahan di registry agar sulit dibersihkan (menonaktifkan registry editor, menghilangkan menu folder options, dll). Tepatnya, Brontok melakukan perubahan pada nilai di subkey:
4. Brontok merestart komputer ketika program tertentu aktif. Pengecekan program dilakukan dengan melihat teks Window program terhadap string: REGISTRY,SYSTEM CONFIGURATION,COMMAND PROMPT,.EXE,SHUT DOWN,SCRIPT HOST,LOG OFF WINDOWS,KILLBOX,TASK, dua string terakhir baru ditambahkan untuk mengantisipasi program yang dapat membunuh task Brontok, misalnya program HijakThis.
5. Brontok membuat file sistem.sys di direktori %windir%/system32/sistem.sis yang isinya adalah kode waktu saat brontok aktif kali pertama. Kode ini terdiri atas 2 digit bulan, 2 digit tanggal, 2 digit jam dan 2 digit menit. Misal: 01122245 berarti Brontok aktif kali pertama pada 01 = Januari, 17 = tanggal 17, 22 = jam 1 malamm, 45 = menit ke 45. File ini juga dicopykan ke direktori \Documents and Settings\Username\Application Data\ dengan nama file BronMes*.ini (bagian * bisa bervariasi).
6. Brontok akan berusaha membunuh paksa beberapa proses (proses adalah program yang berjalan) dengan command taskkill /f /im namaproses. Proses yang dibunuh meliputi virus/worm lokal lain, dan sepertinya beberapa antivirus. Tepatnya proses yang dibunuh adalah mcvsescn.exe;poproxy.exe;avgemc.exe;ccapps.exe;tskmgr.exe;syslove.exe; xpshare.exe;riyani_jangkaru.exe;systray.exe;ashmaisv.exe; aswupdsv.exe;nvcoas.exe;cclaw.exe;njeeves.exe;nipsvc.exe;dkernel.exe; iexplorer.exe;lexplorer.exe.
7. Brontok akan mengubah atribut file MSVBVM60.DLL yang ada di direktori sistem Windows. Atribut file akan diubah menjadi hidden, system, dan read only. Tujuan langkah ini adalah agar lebih sulit menghapus file msvbvm60.dll dari mode DOS seperti yang dibahas dalam beberapa website.
8. Brontok berusaha menghapus file dengan substring "kangen", *RORO*.HTT, FOLDER.HTT. Jika ekstensi file adalah .EXE, maka Brontok juga akan menghapus file jika substring file memiliki nama .DOC.EXE;.DOC ;.XLS.EXE;. XLS ;PATAH;HATI; CERITA; LUCU;MOVZX;CINTA;UNTUKMU;DATA-TEMEN;RIYANI;JANGKARU;KANGEN;JROX; DIARY;DKERNEL;IEXPLORER;LEXPLORER;ADULTONLY;ASIAN;VIRTUAL GIRL;X-PHOTOS;BESTMODEL;GAME NUDE;HOT SCREEN;HOTBABE; NAKED ;MODEL VG;SEXY ;V-GIRL7;JAPANESEGIRL;PUISI (perhatikan bahwa Brontok tidak menghapus .DOC, tapi .DOC yang diikuti spasi dan dengan ekstensi .EXE, demikian juga halnya dengan .XLS).
Brontok juga menghapus file: C:\!submit\winword.exe, c:\submit\xpshare.exe,c:\windows\systray.exe, %windir%\systray.exe, %windir%\fonts\tskmgr.exe, c:\windows\rundll32.exe. Masih ada beberapa file lagi yg dihapus Brontok ini (saya tidak melanjutkan analisis penghapusan file sampai di sini).
mmmmmm....nymm..nymmm..nymmm Udah ah ga usah cerita lebar-lebar...saya dah ngantuk ne...langsung ajah bro...
CARA penanganan
langkah-langkah yang akan saya jelasin mungkin akan berbeda ketika anda mempraktikkannya, .secara garis besar cara penanganan virus brontok seperti dibawah....
Karakteristik SiBrontok
Secara singkat, karakteristik Brontok Sebagai berikut:
1. Brontok menggunakan ikon folder standar Windows, anda yang memakai ikon folder nonstandar akan melihat keanehan ikon ini.
2. Brontok membuat banyak perubahan di registry agar sulit dibersihkan (menonaktifkan registry editor, menghilangkan menu folder options, dll). Tepatnya, Brontok melakukan perubahan pada nilai di subkey:
- HKCU\software\microsoft\windows\currentversion\run #Nilai Tok-Cirrhatus menjadi path ke Brontok#Nilai Tok-Cirrhatus-XXX (xxx adalah acak) menjadi path ke Brontok yang namanya juga acak.
- HKLM\software\microsoft\windows\currentversion\run #Nilai Bron-Spizaetus menjadi path ke Brontok. Nilai Bron-Spizaetus-xxx (xxx adalah acak) menjadi path ke Brontok.
- HKCU\software\microsoft\windows\currentversion\Policies\Explorer\ #Nilai NoFolderOptions menjadi 1.
- HKCU\software\microsoft\windows\currentversion\Policies\System\ #Nilai DisableCMD menjadi 0. Nilai DisableRegistryTools menjadi 1.
- HKCU\software\microsoft\windows\currentversion\explorer\advanced #Nilai Hidden menjadi 0. Nilai HideFileExt menjadi 1. Nilai ShowSuperHidden menjadi 0.
- SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon #Nilai Shell menjadi Explorer.exe "c:\windows\sembako-xxx.exe". (xxx adalah acak)
- SYSTEM\CurrentControlSet\Control\SafeBoot\
4. Brontok merestart komputer ketika program tertentu aktif. Pengecekan program dilakukan dengan melihat teks Window program terhadap string: REGISTRY,SYSTEM CONFIGURATION,COMMAND PROMPT,.EXE,SHUT DOWN,SCRIPT HOST,LOG OFF WINDOWS,KILLBOX,TASK, dua string terakhir baru ditambahkan untuk mengantisipasi program yang dapat membunuh task Brontok, misalnya program HijakThis.
5. Brontok membuat file sistem.sys di direktori %windir%/system32/sistem.sis yang isinya adalah kode waktu saat brontok aktif kali pertama. Kode ini terdiri atas 2 digit bulan, 2 digit tanggal, 2 digit jam dan 2 digit menit. Misal: 01122245 berarti Brontok aktif kali pertama pada 01 = Januari, 17 = tanggal 17, 22 = jam 1 malamm, 45 = menit ke 45. File ini juga dicopykan ke direktori \Documents and Settings\Username\Application Data\ dengan nama file BronMes*.ini (bagian * bisa bervariasi).
6. Brontok akan berusaha membunuh paksa beberapa proses (proses adalah program yang berjalan) dengan command taskkill /f /im namaproses. Proses yang dibunuh meliputi virus/worm lokal lain, dan sepertinya beberapa antivirus. Tepatnya proses yang dibunuh adalah mcvsescn.exe;poproxy.exe;avgemc.exe;ccapps.exe;tskmgr.exe;syslove.exe; xpshare.exe;riyani_jangkaru.exe;systray.exe;ashmaisv.exe; aswupdsv.exe;nvcoas.exe;cclaw.exe;njeeves.exe;nipsvc.exe;dkernel.exe; iexplorer.exe;lexplorer.exe.
7. Brontok akan mengubah atribut file MSVBVM60.DLL yang ada di direktori sistem Windows. Atribut file akan diubah menjadi hidden, system, dan read only. Tujuan langkah ini adalah agar lebih sulit menghapus file msvbvm60.dll dari mode DOS seperti yang dibahas dalam beberapa website.
8. Brontok berusaha menghapus file dengan substring "kangen", *RORO*.HTT, FOLDER.HTT. Jika ekstensi file adalah .EXE, maka Brontok juga akan menghapus file jika substring file memiliki nama .DOC.EXE;.DOC ;.XLS.EXE;. XLS ;PATAH;HATI; CERITA; LUCU;MOVZX;CINTA;UNTUKMU;DATA-TEMEN;RIYANI;JANGKARU;KANGEN;JROX; DIARY;DKERNEL;IEXPLORER;LEXPLORER;ADULTONLY;ASIAN;VIRTUAL GIRL;X-PHOTOS;BESTMODEL;GAME NUDE;HOT SCREEN;HOTBABE; NAKED ;MODEL VG;SEXY ;V-GIRL7;JAPANESEGIRL;PUISI (perhatikan bahwa Brontok tidak menghapus .DOC, tapi .DOC yang diikuti spasi dan dengan ekstensi .EXE, demikian juga halnya dengan .XLS).
Brontok juga menghapus file: C:\!submit\winword.exe, c:\submit\xpshare.exe,c:\windows\systray.exe, %windir%\systray.exe, %windir%\fonts\tskmgr.exe, c:\windows\rundll32.exe. Masih ada beberapa file lagi yg dihapus Brontok ini (saya tidak melanjutkan analisis penghapusan file sampai di sini).
mmmmmm....nymm..nymmm..nymmm Udah ah ga usah cerita lebar-lebar...saya dah ngantuk ne...langsung ajah bro...
CARA penanganan
langkah-langkah yang akan saya jelasin mungkin akan berbeda ketika anda mempraktikkannya, .secara garis besar cara penanganan virus brontok seperti dibawah....
- Restart Komputer, saat booting tekan F5 (tiap Kompi berbeda), kemudian pilih menu Safe Mode
- Matikan fitur system restore di Windows.
- Tutup semua program yang berjalan, simpan semua dokumen Anda.
- Pertama, bunuh proses Brontok (proses adalah program yang sedang berjalan).
- Di start menu, pilih programs, lalu pilih startup Klik kanan (jangan salah dengan klik kiri) pada Empty.pif, dan hapus file tersebut. (Kalau perlu, hapus semua file yang tidak Anda perlukan, di masa depan mungkin nama file Empty.pif akan berubah.)
- Perbaiki registry dengan membuat file fixbrontok.inf yang tercantum di bawah, lalu mengklik kanan pada file tersebut dan memilih install (Anda bisa download file tersebut disini). File ini akan memperbaiki perubahan setting oleh Brontok, dan akan mengeset agar Explorer menampilkan file yang hidden dan menampilkan juga ekstensi file yang dikenal oleh Explorer.Kalau ingin lebih keren silahkan anda copy kode dibawah kedalam notepad, save as dengan nama fixbrontok.inf
[Version] Signature="$Chicago$" Provider=Compactbyte [DefaultInstall] AddReg=fix DelReg=del [fix] HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Hidden,%REG_DWORD%,1 HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,%REG_DWORD%,0 HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,%REG_DWORD%,0 HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" [del] HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus HKLM, SYSTEM\CurrentContolSet\Control\SafeBoot,AlternateShell HKLM, SYSTEM\ContolSet001\Control\SafeBoot,AlternateShell HKLM, SYSTEM\ContolSet002\Control\SafeBoot,AlternateShell HKLM, SYSTEM\ContolSet003\Control\SafeBoot,AlternateShell HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions [Strings] REG_DWORD = 0x00010001
- Restart explorer (tanpa merestart Windows), caranya: jalankan task manager dengan menekan ctrl-alt-del, pilih processes, lalu pilih explorer.exe dan pilih End Process. Pilih "Yes", setelah itu pergi ke tab Application, pilih New Task, ketikkan Explorer.exe, lalu tekan enter.
- Hapus semua file .exe di %windir%\shellnew (%windir% adalah direktori Windows Anda, misalnya C:\Windows). Tepatnya Anda harus menghapus yang memiliki ikon folder, tapi seharusnya direktori ini tidak berisi file .exe dan biasanya semua file exe di direktori tersebut aman di hapus.
- Bersihkan sisa registry yang dibentuk dengan string random, gunakan msconfig (pilih start, ketik msconfig lalu Enter), dan lihat di bagian tab startup, hapus startup item dengan nama diawali dengan bbm dan dengan nama brxxxon (xxxx adalah angka acak). Sekali lagi: nama ini mungkin kelak berubah. Cara terbaik adalah dengan melihat bagian command (kolom kedua), misalnya tercantum C:\Windows\X.exe, lihat file C:\Windows\X.exe, jika file tersebut memiliki ikon folder Anda bisa menghapusnya.
- Cari semua file .exe dan .scr di seluruh drive Anda menggunakan fitur find pada Explorer lalu hapus file tersebut jika file tersebut memiliki ikon folder. Untuk mengurangi jumlah file yang ditemukan batasi ukuran file menjadi <>
- Hapus semua file .com yang ukurannya sama dengan ukuran Brontok yang Anda temukan pada langkah-sebelumnya di C:\Documents and Settings\%username%\Templates.
Hapus scheduled task di Control panel yang bukan milik Anda (yang namanya At1, At2, dst). - lihat isi file autoexec.bat yang ada di root folder (C:\autoexec.bat, D:\autoexec.bat, dst), jika isinya hanya satu baris (berupa satu kata "pause"). Hapus autoexec.bat .
- Restart komputer, dan lihat apakah Brontok masih ada
Home
+ komentar + 1 komentar
Cara Mengatasi Virus Brontok - Kana Siaw >>>>> Download Now
>>>>> Download Full
Cara Mengatasi Virus Brontok - Kana Siaw >>>>> Download LINK
>>>>> Download Now
Cara Mengatasi Virus Brontok - Kana Siaw >>>>> Download Full
>>>>> Download LINK jr
Posting Komentar