karena penasaran dengan cara kerja brontok maka riset aja lah kan sekalian belajar huh dasar
brokot ato bronotok ato brontok atu apa lah namanya, pokoe kerjanya selalu bikin pusing orang aja . . .
[ onPesan =”besok-besok jangan diulangi lagi yah tar masuk neraka loh” ]
nieh analisa yang di lakukan dengan metode black box, yaitu melihat perilaku virus di sebuah lingkungan tertentu… bukan dengan Disassembly (dekompilasi ) ato Melihat jalannya virus dengan debugger. Mau tw bagaimana cara mengalisa virus secara professional, tanya aja ke pak Yohanes Nugroho (yohanes[at]gmail.com) ato mas athur ato siapa aja yang tw ok bro yu ya yu brontok yang terbaru sama kaya kemaren butuh pemicu agar dia bisa menginfeksi computer,
maksudnya dijalankan dulu baru bisa aktif.
[mudah2an besok2 ontok gak pake pemicu lg, atu bwt dunk yang bisa jalan sendiri tanpa ada pemicu seperti autorun itu loooh ato apalah hehehehe ]
klo sudah menginfeksi biasanya brontok menyerang registry, mungkin aja untuk memprotect
dirinya trus pengen memperlihatkan efek2 yang ditimbulkan supaya kita berkata bronotok ato
apalah HEBAT YAH kaya tukang sulap ato kaya JetLEE. Walaupun begitu kan kasian registrynya,
dia juga kan makhluk hidupnya windows tar dilaporin lho sama bapak bill
pada versi yang berbeda brontok juga menuliskan printah PAUSE pada autoexec.bat, mungkin aja
sih agar antivirus kita gak jalan pada waktu start-up ato sebelum start-up
satu lagi nieh yang agak penting hehehehe, gak tau ya napa ontok dkk yang dibwt pake vb tidak
akan segan2 menghiden atau memback-up file msvbvm60.dll, klo membahayakan dirinya kok
gak dihapus aja yah sama dia (KENAPA YAAAAA) ? yang ada malah di lindungi ? saya juga
gak tau napa. Dah banyak arrtikel lho yang bahasa kenapa…. JADI TANAYAKENAPA? Ato
Tanya mas aat mesti di jawab.
aplikasi atau file yang diakses akan di hiden terus akan diganti dengan file hasil duplikasinya
dengan nama yang sesuai tentunya file iconnya berbentuk folder [ah ontok kok static banget sih],
sehingga nampak file kita telah dirusak oleh brontok ato 4K4514 ato apalah terserah padahal
tidak, orang dia cuma menduplikasi diri kemudian file yang anda akses tadi dihiden klo gak
percaya coba aja sendiri….
saran buat brontok lg, tar klo bwt dengan teknik menghilangkan file aslinya jangan lupa iconnya
menyesuaikan, kan tinggal make fungsi ExtractIconW [Pada Delphi] yang parameternya dari file
exe ato file dll trus ambil deh iconnya so ontok gak ketahuan dengan icon yang statis berbentuk
folder bgetoooh ^_^
File brontok dan 4k4514(folder bwtan brontok) yang aneh file induknya memiliki atribut
superhidden ato file system sehingga tidak bisa dilihat dengan mata telanjang, maksudnya gak
bisa dilihat klo cuma sebatas ShowHidenFile di bwt TRUE, terus kaya dulu-dulu file induknya
biasanya disimpan di drive C:\ rata2 pada Folder2 spesial windows, trus start-up dan lain2 tentu
dengan atribut superhiden dan hiden
uh ontok kaya tukang sulap aja yah hik’s…………..
[ RUAR BIASA ]
Brontok harus jalan pada waktu pertama kali computer kita idup, ini ma biasa aja yah ! kenapa
harus ada pada start-up sih? Hal ini di lakukan agar prosesnya selalu aktif ketika ato jalan ketika
computer kita hidup pada mode windows normal bukan pada safe mode? Maksudnya apa?
Aplikasi dibawah ini hanya bisa melakukan proses start-up dengan benar jika mode windows kita
mode normal bukan safe mode. Jika sudah melakuakan proses start-up makan brontok aktif lagi
deh dan melakukan aktifitas getohhh…..
Solusi biar dia gak aktif ketika start-up gimana ? kita bwt program sendiri bwt hapus file2 yang
ada dalam kedua key di atas ato pake msconfig.exe? Dengan catatan bahwa prosesnya telah kita
matikan serta ada beberapa nilai registry yang sudah kita kembalikan ke bentuk normalnya. Tar
dibahas yah…
4k4514 bertanggung jawab pada key di bawah ini :
Gunanya apa yaaa ??? cari aja yah artikelnya soalnya kita juga gak tau, tapi yang pasti Windows
akan secara otomatis menyalin isi semua key ke :
HKLM\SYSTEM\ContolSet00X\Control\SafeBoot
jika proses restart dilakukan dengan sukses (atau jika komputer dimatikan lalu komputer
dinyalakan lagi)
Ket :
X (dari 1-2)
ada juga tuh file pusis.txt yang ada di drive c:\ yang isi-nya aneh, buat virus kok pake puisi???
klo yang dulu2 setelah menginfeksi, kita dapat dengan mudah mengetahui apakah itu virsu eh
salah mksdnya virus ato bukan, kan tinggal view detail entar ketahuan type nya aplication ato file
folder huh brontok brontok malu-maluin aja, tapi kata brontok lain dulu lain sekarang broooo…
gile sekarang walau sudah di show detail semua aplikasi akan nampak dengan type FILE
FOLDER bukan APLICATION lagi, woooowwww salut salutttt…. bagussss bagussss
tapi kan itu cuma manipulasi reistry yang dibaca di internet ato buku2 ato tanya teman, kita juga
bisa bwt kok.
Nih key nya :
HKLM\Software\CLASSES\exefile,(Default value) => File Folder
hehehe, so sweat !!!
sulap-sulap berikutnya oleh bronotok adalah aplikasi ato apa aja yang berhubunga dengan key
dibawah ini merupakan pemicu untuk menjalankan dirinya, ihhhhh ngeriiiiii !!! apa tuh
maksudnya. Maksudnya ya ketika membuka aplikasi dan kawan-kawan eh malah sekalian
menjalankan brontok-tok
nih lagi key yang diubah ama si-otok :
HKLM\Software\CLASSES\batfile\shell\open\command,(Default Value) => “C:\WINDOWS\system32\shell.exe”
“%1” %*
HKLM\Software\CLASSES\comfile\shell\open\command,(Default Value) => “C:\WINDOWS\system32\shell.exe”
“%1” %*
HKLM\Software\CLASSES\exefile\shell\open\command,(Default Value) => “C:\WINDOWS\system32\shell.exe”
“%1” %*
HKLM\Software\CLASSES\piffile\shell\open\command,(Default Value) => “C:\WINDOWS\system32\shell.exe”
“%1” %*
HKLM\Software\CLASSES\regfile\shell\open\command,(Default Value) => “C:\WINDOWS\system32\shell.exe”
“%1” %*
HKLM\Software\CLASSES\scrfile\shell\open\command,(Default Value) => “C:\WINDOWS\system32\shell.exe”
“%1″ %*
//klo ada yang salah tulung di benari yahhhh kita kan open source
niai2 di atas digunakan sebagai pemicu untuk menjalankan file shell.exe, klo gak pecaya coba aja
kill prosesnya terus buka aplikasi sembarang [ dengan catatan registry-nya blom kita repair ] trus
lihat lagi proses yang berjalan, maka hasilnya WOW si-otok jalan lagi, huh tok-tok kamu ini
bikin akit ati aja trus padahal proses nya dah di kill….
solusi-solusinya piye ?? yah ganti aja key-nya ….
ni sourcenya klo pake delphi
[gak promosi lho, vb dkk juga bisa (brontok kn dari vb) so don’t worry be happy]
jangan lupa yah lampirin registry pada unit [khusus delphi]
uses …,Registry; //uses tambahan agar aplikasi kita bisa menggunakan resource yang berhubungan (bukan
intim lho) dengan regedit
trus :
//bwt procedure sendiri yah
procedure RepairStringRegAttack(pil:integer;keyReg:string;stringKey:string;stringValue:string);
var
Reg: TRegistry;
begin
Reg := TRegistry.Create;
try
case pil of
1: Reg.RootKey:=HKEY_CURRENT_USER;
2: Reg.RootKey:=HKEY_LOCAL_MACHINE;
end;
reg.OpenKey(keyReg,true);
reg.WriteString(stringKey,stringValue);
reg.CloseKey;
finally
reg.free;
end;
end;
terus kita buat lagi deh di procedure barunya, namanya terserah
procedure ontok_ontok;
begin
RepairStringRegAttack(2,’Software\CLASSES\batfile\shell\open\command’,”,'”%1″%*’);
RepairStringRegAttack(2,’Software\CLASSES\comfile\shell\open\command’,”,'”%1″%*’);
RepairStringRegAttack(2,’Software\CLASSES\exefile’,”,’Application’); //klo view detail ketahuan aplikasi
RepairStringRegAttack(2,’Software\CLASSES\piffile\shell\open\command’,”,'”%1″%*’);
RepairStringRegAttack(2,’Software\CLASSES\regfile\shell\open\command’,”,'”regedit.exe”%1″‘);
RepairStringRegAttack(2,’Software\CLASSES\scrfile\shell\open\command’,”,'”%1″%*’);
RepairStringRegAttack(2,’Software\CLASSES\exefile\shell\open\command’,”,'”%1″%*’);
end;
// nilai ‘’ artinya mengacu pada stringKey “(Default value)” pada registry kita
tar tinggal kita panggil di event apa aja (onClick,onOn ato apalah)
…
begin
ontok_ontok;
end;
…
Berikutnya brontok membentuk file induk dengan atribut superHiden dan Hiden, kok ada dua
sieh dengan atribut file yang berbeda ??? mungkin aja bwt tipu2 orang yang cuba menghapus
virus dengan cara manual sehingga file induk yang dihapus cuma yang hiden saja gak, yang
superhiden ato file system, kok bisa… ??
file superhiden ato file system kan dah dibahas tadi, itu loh… file yang gak bisa muncul/
kelihatan dengan hanya showHidenFiles getohhhhhhhhhhh
itu mungkin sih, tapi kayaknya bener dehhh… gak percaya tanya aja sendiri sama yg bwt onotok
klo mau hapus dengan cara manual nih script lagi dalam delphi untuk munculi hiden, ekstensi dan
superhiden ato file system
//buat procedure sendiri ahhh untuk ngerubah nilai registry di komputer kita
procedure RepairDWordRegAttack(pil:integer;keyReg:string;stringKey:string;dwordValue:integer);
var
Reg: TRegistry;
begin
Reg := TRegistry.Create;
try
case pil of
1: Reg.RootKey:=HKEY_CURRENT_USER;
2: Reg.RootKey:=HKEY_LOCAL_MACHINE;
end;
reg.OpenKey(keyReg,true);
reg.WriteInteger(stringKey,dwordValue);
reg.CloseKey;
finally
reg.free;
end;
end;
terus panggil deh
begin
RepairDWordRegAttack(1,’Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced’,’Hidden’,1);
RepairDWordRegAttack(1,’Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced’,’HideFileExt’,1);
RepairDWordRegAttack(1,’Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced’,’ShowSuperHidden’,1);
end;
klo sudah tar tinggal cari manual terutama di folder start-up dan folder2 spesial windows terus di apus
[ onKomentar ====> kebanyakan procedure yang belat-belit,bwt apa brooo?? itu kan saya getoh, suka yg
belat-belit ]
bronotok up’s yang bikin brontokk jgn marah yah… brontok juga jalan di safe mode lhooo
ahh itu ma dah basi lagi, trus dari tadi kok cuma manipulasi regedit aja kayaknya yahhhh
[ saran untuk tok tok, buat yang nyerang bios dunk biar hancur sekalian, ilmu kok buat yang
tidak2 kan dosa lagi, tobatlah kau ontok !!!! ato rubah resolusi komputer sampe
10000000000×10000000000 (emang bisa??? ya iyalah) dijamin langsung gak ada gambar ato
yang bisa nguras memory kaya bak mandi sampe komputernya hung eh hang ]
kembali ke topik :
nih key-nya biar bisa jalan di safe mode (bagi yang baru tau n mau coba2 nanti jgn buat yang
tidak2 yah)
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon’,’Shell’
nilainya=>Explorer.exe “C:\WINDOWS\system32\IExplorer.exe”
Nanti ketika kita masuk ke safe mode maka aplikasi IExplorer.exe akan di eksekusi !!! berarti
IExplorer juga termasuk duplikasi brontok yah??? Ya iyalah…. Itu sih tergantung bronotok-nya
mau duplikasi diri dengan nama apa.
dont worry brooo, mari kita buat lagi untuk ngembalikan ke bentuk normalnya
begin
RepairStringRegAttack(2,’SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon’,’Shell’,'”Explorer.exe”‘);
//procedure RepairStringRegAttack dah kita bwt tadi kok sekarang tinggal manfaatin aja !!! enak kan klo dah bwt
prosedur
end;
Nah secara garis besal kita telah berhasil mematikan beberapa teknik sulap oleh brontok dkk (klo
kurang tambain yah) …. tapi sebelum melakukan semua itu terlebih dahulu ato langkah awal yang
kita harus lakukan adalah mematikan proses(aplikasi yang jalan) brontok dkk !!!
kok bisa? Karena selama prosenya aktif maka virusnya akan ngelakukan hal yang sama entah itu
ngopy (bukan minum cofee)/ duplikasi diri, ngerubah nilai registry dkk bgetohhhh.
Terserah mau pake apa aja boleh yang penting bisa bwt matii prosesnya, katanya di web ini dah
disediakan kok (yang buat kakak angkatan saya mas athur [akprind gitu loh]), kami juga sih ada n
diperkirakan bisa mengkill semua aplikasi yang aktif tanpa terkecuali. sebenare pengen
ditampilkan sourcenya tapi takut tar malah dipake bwt yang tidak2 misale bwt virus yang bisa
mengkilll semua aplikasi ihhhhh ngeri pokoe.
BeOpenSource, katanya sih kumpulan belajar anak2 IT ISTA orang2 openSource buktiin
dunk !!! Emmmm ok deh bro ini source-nya yg sudah di modifikasi n dipejalari dari interneeet
(I LoVe InTErnEt), tapi jangan di pake buat yang tidak2 yah karena akan mengkill semua proses
kecuali proses bawaan window [ berarti semua proses yang jalan akan berhenti dunk?? Yup dan
yah kira2 hampir semua jenis virus lokal baru n lama serta apa saja akan mati ketika prosesnya
sedang jalan hehehehe
Jangan lupa yah lampirkan TLHelp32 yang nanti kita gunakan resourcenya untuk mengkill all
proses
Uses ……, TLHelp32; //tinggal nambah aja kok
Trus pada deklarasi variable global
…
var
…..
snapHandle : THandle;
Proces32 : TProcessEntry32;
implementation
{$R *.dfm}
…..
Pake komponen timer yuk biar jalan terus…
Nah pada eventOnTimer kita masukan script di bawah ini ! eit’s jangan lupa property enable nya
di true kan yah, intervalnya terserah hehehe. 10000Ms jg gak PapA kok.
procedure TForm1.Timer2Timer(Sender: TObject);
var
bContinue: BOOL;
Ph: THandle;
procID:string;
begin // coba blok CreateToolhelp32Snapshot trus tekan F1 tar kelihatan manualnya OK brOOOO ! kan biar tau
gunanya apa
snapHandle := CreateToolhelp32Snapshot(TH32CS_SNAPALL, 0);
proces32.dwSize := SizeOf(proces32);
bContinue := Process32First(snapHandle, proces32);
while bContinue do
begin //tampung proc id nya
procID:=’$’ + IntToHex(proces32.th32ProcessID, 4);
//bahaya muncul ketika nama proses virus menjadi explorer.exe | ini blom riset loh coba aja sendiri klo
//virusNameProses= explorer.exe ??? menurut saya tetap jalan deh… cari solusinya yah
if (proces32.szExeFile=ExtractFileName(ParamStr(0))or (proces32.szExeFile=’explorer.exe’ ) then
begin
//tutup semua aplikasi kecuali program kita dan explorer.exe [ coba ilangi explorer.exe dan rasakan akibatnya,
sekalian riset bro]
end
else//selain keduanya dan aplikasi bawaan sikat secara brutal kaya itu lohhh sewaktu kita menyikan jelana jeans
dengan paksa
begin
Ph := OpenProcess(1,TRUE, StrToInt(procID));
TerminateProcess(Ph, 0);
end;
bContinue := Process32Next(snapHandle, proces32); //lanjut ke proses berikutnya
end;
CloseHandle(snapHandle);
end;
script di atas dimanfaatin baik baik yah n jangan dipake bwt yang tidak2 lho. okBroooo
yukyakyuk !!!
setelah itu hapus deh secara manual, entah mau pake fasilitas cariFile atu searchFile, atu cari
manual di setiap folder atu pake utility atu anti virus atu bwt sendiri atu donlod atu software apa
aja lah yang penting bisa nyari file duplikatnya…
Jangan lupa juga cuba liat di Scheduled Tasks, katanya sih brontok membuat schedule task disana
untuk meng-eksekusi dirinya, tapi selama ini brontok yang nyerang computer di tempatku gak
ada tuh gak tau napa, apa brontoknya lupa yah?? tapi cuba aja cek sendiri ok
ada tuh anti virus yang dibwt pake vb cara kerjanya amazing booo [ dia gak bisa di kill lho sama
brontok ato virus apa aja yang kerjanya mengkilll aplikasi aktif, kecuali sama script yg di bwt
pake delphi tadi ], katanya sih disuruh sebar luaskan tanpa harus di jual
[ www.thekillermachine.isfun.net ]
ohh ya jangan lupa brontok juga melakukan tingkah aneh yang dengan membaca caption window
kita, jika berhubungan dengan anti virus biasanya langsung di close pokoe menutup aplikasi
dengan membaca caption window aplikasi yang aktif…. [tergantung versi brontoknya] / yang
jelas bronotok dkk melakukan proses duplikasi ketika kita membukan explorer !!! nah
disitulah di menduplikasi diri jadi bukan langsung dupliksi diri.. tapi kita buka dulu
explorer kudian dia akan menduplikasikan diri dengn nama yg mirip caption pada
explorernya
brontok juga membuat folder 4k4514 dan file desktop.inf pada semua drive entah di C:\, D:\ dst :
isi desktop.ini begini
[.ShellClassInfo]
ConfirmFileOp=0
[{5984FFE0-28D4-11CF-AE66-08002B2E1262}]
PersistMoniker=file://4K51K4\Folder.htt
[ExtShellFolderViews]
{5984FFE0-28D4-11CF-AE66-08002B2E1262}={5984FFE0-28D4-11CF-AE66-08002B2E1262}
trus dalam folder 4k4514 di semua drive terdapat file Folder.htt dan new folder.exe //klo gak
salah
gak tau bwt apa, cari aja sendiri jawabannya????
tapi 4k4514 kedetek juga kok sama avg update terbaru [gak promosi lho]
Tergantung versi-nya kadang2 Brontok akan melakukan restart jika kita membuka registry editor,
commandLine, ato aplikasi2 yang dapat membahayakan dirinya. Pada versi2 yang lain brontok
hanya mendisable beberapa aplikasi yang kira-kira dapat membahayakan keberadaan dirinya
yaitu disableCmd, disableFolderOptions, disableRegistryEditor dan disableTaskManager.
kEsimPulan
nah sekarang tinggal di urutkan deh proses noramalisasiKomputer kita:
Kill Proses repairRegistry(termasuk start up-nya) deleteFileDuplikat restart deh
Programnya made in sendiri yah, nanti tinggal kita kembangkan lagi. hiDuP
IndonesiaGoOpenSource
mudah2an yang sedikit ini bisa dan bermanfaat, klo ada yang kurang jangan lupa ditambahkan
yah yah bgetoooh . . . ayo rame-rame hancurin virus lokal yang kerjanya mirip2 kaya brontok ok
bro yu ya yu !!!
Ic2000's Weblog 