Rontokbro
Ciri-ciri:
Memalsukan file virus dengan icon MS-Office atau
sebagai folder.
Blocking akses Registry Editor.
Melakukan restart komputer jika menemukan kata
tertentu pada header browser.
Selektif dalam mengirim email bervirus.
Menginfeksi host file komputer lokal.
Memblocking akses ke situs sekurity tertentu.
Mencari SMTP server untuk mengirimkan copy virus dan
juga menggunakan SMTP engine sendiri untuk mengirimkan
virus pada semua alamat email yang berhasil
dikumpulkannya dari komputer yang terinfeksi.
Detail Email yang mengandung virus Rontokbro
From: [Dipalsukan]
Subject: kosong
Message: BRONTOK.A [ By: HVM**-Jowo*** #** Community
]-- Hentikan kebobrokan di negeri ini --1. Adili
Koruptor, Penyelundup, Tukang Suap, Penjudi, Bandar
NARKOBA( Send to NUSAKAMBANGAN)2. Stop Free Sex,
Absorsi, Prostitusi3. Stop (pencemaran laut
sungai), pembakaran hutan perburuan liar. 4. SAY NO
TO DRUGS !!!-- KIAMAT SUDAH DEKAT --Terinspirasi oleh:
Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[
By: HVM**-Jowo*** #** Community--
Attachment: Kangen.exe
Rontokbro akan menghindari pengiriman email ke
alamat-alamat dengan domain sebagai berikut :
PLASA, TELKOM, INDO, .CO.ID, .GO.ID, .MIL.ID, .SCH.ID,
.NET.ID, .OR.ID, .AC.ID, .WEB.ID, .WAR.NET.ID, ASTAGA,
GAUL, BOLEH, EMAILKU, SATU
Komputer akan melakukan restart setiap menemukan
aplikasi bernama:
.., .@, @., .ASP, .EXE, .HTM, .JS, .PHP, ADMIN, ADOBE,
AHNLAB, ALADDIN, ALERT, ALWIL, ANTIGEN, APACHE,
APPLICATION, ARCHIEVE, ASDF, ASSOCIATE, AVAST, AVG,
AVIRA, BILLING@, BLACK, BLAH, BLEEP, BUILDER, CANON,
CENTER, CILLIN, CISCO, CMD., CNET, COMMAND, COMMAND
PROMPT, CONTOH, CONTROL, CRACK, DARK, DATA, DATABASE,
DEMO, DETIK, DEVELOP, DOMAIN, DOWNLOAD, ESAFE, ESAVE,
ESCAN, EXAMPLE, FEEDBACK, FIREWALL, FOO@, FUCK,
FUJITSU, GATEWAY, GOOGLE, GRISOFT, GROUP, HACK, HAURI,
HIDDEN, HP., IBM., INFO@, INTEL., KOMPUTER, LINUX, LOG
OFF, WINDOWS, LOTUS, MACRO, MALWARE, MASTER, MCAFEE,
MICRO, MICROSOFT, MOZILLA, MYSQL, NETSCAPE, NETWORK,
NEWS, NOD32, NOKIA, NORMAN, NORTON, NOVELL, NVIDIA,
OPERA, OVERTURE, PANDA, PATCH, POSTGRE, PROGRAM,
PROLAND, PROMPT, PROTECT, PROXY, RECIPIENT, REGISTRY,
RELAY, RESPONSE, ROBOT, SCAN, SCRIPT, HOST, SEARCH, R
SECURE, SECURITY, SEKUR, SENIOR, SERVER, SERVICE, SHUT
DOWN, SIEMENS, SMTP, SOFT, SOME, SOPHOS, SOURCE, SPAM,
SPERSKY, SUN., SUPPORT, SYBARI, SYMANTEC, SYSTEM,
CONFIGURATION, TEST, TREND, TRUST, UPDATE, UTILITY,
VAKSIN, VIRUS, W3., WINDOWS, SECURITY, .VBS, WWW,
XEROX, XXX, YOUR, ZDNET, ZEND, ZOMBIE.
Rontokbro berusaha menyerang website israel.gov.il
playboy.com dengan cara membanjiri dengan ping. Namun
dampak dari aktivitas ini hanya akan terasa kalau
komputer yang terinfeksi mencapai jumlah yang sangat
banyak (e.g. 10. komputer) yang pada kasus
tertentu dapat mengakibatkan website yang diserang
menjadi lumpuh /down.
Cara menghapus Rontokbro:
Pembersihan Rontokbro sebaiknya dilakukan melalui
“safe mode” karena jika mencoba pembersihan
melalui mode “normal” komputer akan langsung
restart begitu komputer dijalankan.
Lakukan pembersihan melalui “safe mode”
Scan komputer dengan Norman Virus Control update
terakhir. Bagi anda yang belum neggunakan Norman Virus
Control, silahkan download ke
http://www.norman.com/Download/Trial_versions/en-us
dan bersihkan semua file yang terdeteksi sebagai
W32/[EMAIL PROTECTED] dan variannya.
Untuk mengaktifkan kembali fungsi registry editor
hapus value:
DisableRegistryTools =1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Untuk lebih mudahnya gunakan tools dari HijackThis,
tools tersebut dapat
didownload dialamat :
http://www.spywareinfo.com/~merijn/downloads.html
Setelah dijalankan, cari option
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies,
DisableRegedit=1, kemudian klik [Fix checked]. Gunakan
HijackThis untuk membuka blokir regedit.exe yang
dilakukan oleh Rontokbro
Hapus registri :
Bron-SpizaetusHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tok-CirrhatusHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Disable
CMD=0HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Untuk mengembalikan option [Folder option] pada
windows explore, hapus string registry:
NoFolderOptions=dword:0001pada registry
keyHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
4. Hapus opsi pada menu [Startup] pada msconfig
NorBtok
Smss
Empty
Hapus Schedule Task yang dibuat oleh W32/RontokBro.B
Buka [Windows Explorer]
Klik [Control Panel]
Klik 2 kali [Schedule Tasks]
Ok...selamat ber virus-buster ria
semoga bisa membantu...
salam...
--- S.Hikmat [EMAIL PROTECTED] menulis:
Hello ITCENTER,
Ada yg dapat bantu cara mengatasi virus baru
RontokBro ?
--
Best regards,
S.Hikmat
--
www.itcenter.or.id - Komunitas Teknologi Informasi
Indonesia
Info, Gabung, Keluar, Mode Kirim :
[EMAIL PROTECTED]
:: Hapus bagian yang tidak perlu (footer, dst) saat
reply! ::
## Jobs: