Virus Brontok merupakan virus lokal populer di tanah air Indonesia. Bukan hanya di Indonesia, tapi sampai ke manca negara, virus ini berkembang dengan sangat cepat dengan varian yang setiap kali selalu berubah.
Virus ini diperkirakan dibuat oleh seseorang yang mengerti pemograman Visual Basic tingkat tinggi dan si pembuat tergabung pula dalam Team Pembuat Virus International, yakni VRC (Virus Revolution Center), sebuah organisasi non-profit para pembuat virus international seperti bagle, sasser, blaster, dsb. Penyebaran virus ini beraneka ragam, dari penyebaran lewat file sharing, e-mail, cd program PC – SHOP, USB, sampai teknik-teknik social enginnering juga dipakai dalam penyebarannya.
Varian Brontok kali ini, hampir sama dengan brontok-brontok sebelumnya, bahkan canggihnya usb flash disk dapat terinfeksi tanpa kita mengklik dan memberikan pesan-pesan sosial seperti layaknya brontok-brontok versi sebelumnya. Dibuat masih dengan bahasa pemograman Visual Basic – API dengan sedikit bahasa assembly untuk proteksi diri, enkripsi, dan anti debugging. Pusat penyebarannya terpusat pada website pribadinya di : http://h1.ripway.com/syur dengan mengebui user untuk mendownload file-file sensual :
| 110980 | 10/2/2006 7:46:07 PM | |
| 110996 | 10/2/2006 7:46:07 PM | |
| 110986 | 10/2/2006 7:46:07 PM | |
| 110990 | 10/2/2006 7:46:07 PM | |
| 150369 | 10/2/2006 7:46:07 PM |
Ternyata file-file tersebut mengandung Brontok versi terbaru, dan tidak ada satupun antivirus yang mengenalinya. Padahal dilihat dari tanggal pembuatannya, file-file ini sudah menyebar sekitar 3 bulan yang lalu. Demikian sekilas informasi yang dapat saya berikan seputar virus Brontok ini. Dan saya tidak bermaksud untuk membuat Pembasmi Virus Brontok ini, tetapi karena Anti Virusnya belum ada, saya mencoba untuk membagikan cara analisa untuk pembuatan anti virus baru dengan mengunakan bahasa C#. Tulisan ini dan source code didalamnya boleh dengan leluasa anda merubah, menganti, serta memakainya tanpa mencantumkan copyright penulis asal tidak keluar dari tujuan-tujuan mulia didalamnya. Penulis tidak bertanggung jawab atas apapun yang terjadi lewat tulisan ini serta source code yang penulis sertakan, jika disimpangkan oleh pihak-pihak terkait, penulis mempersembahkan semata-mata untuk ilmu pengetahuan.
Hari ini sungguh menyedihkan... Pekerjaan terganggu akibat seranagn virus Brontok. Semua antivirus yang dimiliki (Norman Virus Control, McAfe Anti Virus) termasuk CompactbyteAV tidak dapat mengenali varian Brontok terbaru ini. Apa boleh buat, daripada menunggu update antivirus dari vendor terlalu lama yang mungkin bisa memakan waktu 1 minggu, saya mencoba untuk membuat pembasmi brontok menggunakan C#.
Pertama adalah analisis karakteristik virus Brontok. Virus Brontok yang saya dapat menggunakan ekstensi *.exe dan *.pif yang tersebar di banyak folder dalam harddisk. File virus tersebut mengandung metadata sebagai berikut:
Item name | Value |
Comments | Bokeph MemendeZ |
Company | File Folder |
File Version | 1.00 |
Internal Name | BRoNToK |
Language | English (United States) |
Legal Trademark | Virus Revolution Project |
Original File name | BRoNToK.exe |
Product Name | BRoNToK |
Product Version | 1.00 |
Berdasarkan informasi tersebut dapat dibuat pembasmi brontok dengan metadata sebagai kunci pencarian virus. Sebelum melakukan pembersihan file virus brontok, yang harus dilakukan adalah membunuh semua proses virus yang berjalan. Dengan memanfaatkan Windows Management Instrumentation dapat diambil semua proses yang berjalan dan informasi file proses tersebut berada. Jika file proses tersebut mengandung metadata seperti di atas, proses tersebut langsung dibunuh menggunakan namespace System.Diagnostics
Karena keterbatasan waktu, pembasmi brontok yang dibuat hanya berfungsi menghapus semua file virus yang ada tanpa memperbaiki atribut file dan nilai registry yang dirusak oleh virus. Untuk menyembuhkan kerusakan ini dapat digunakan tool HijackThis dan file .reg yang saya lampirkan dalam artikel ini. Tool HijackThis digunakan untuk membuka blocking RegistryTool oleh virus dan menghapus semua startup program virus. Setelah RegistryTool dapat diakses kembali, lakukan penyembuhan pada registry dengan menjalankan file *.reg yang disertakan di sini.
Kode sumber project dan file *.reg saya sertakan dalam lampiran tulisan ini.
http://kresna-ps.50webs.com/Brondong.zip
Penulis membuka segala macam bentuk saran dan kritik yang membangun untuk tujuan ilmu pengetahuan dan teknologi, dapat di hantar ke e-mail : kresna_ps@yahoo.com
Semoga Bermanfaat,
Kresna PS
Universitas Mercu Buana
Source: JASAKOM Information Center