Virus Brontok kembali beraksi, mungkin setelah membaca tulisan saya versi sebelumnya, pembuat virus ini kemudian memperbaiki virusnya.
Versi Dokumen
Dokumen ini merupakan versi 1.0 (April 2006)
Catatan Penting
Saya tidak akan memberitahukan detail proses reverse engineering Brontok, karena sepertinya pembuat brontok sangat memperhatikan semua hal yang tertulis di Internet untuk memperbaiki virusnya. Misalnya ketika dia mengetahui bahwa kompresor Mew dapat dibongkar dengan UnMew, maka pembuatnya segera mengganti dengan kompresor lain. Setelah mengetahui bahwa programnya dapat dengan mudah dibunuh dengan KillVB, atau dengan merename MSVBVM60.DLL (dari mode DOS), maka dia mengganti bahasa yang dipakainya menjadi Visual C++.
Pembuat virus yang sangat rajin
Saya telah mengkritik banyak hal mengenai brontok dalam tulisan saya sebelumnya. Sekarang pembuat virus sudah memperbaikinya. Perbaikan yang dilakukannya adalah sebagai berikut:
- Virus sekarang ditulis menggunakan Visual C++, sehingga tidak bisa lagi dibunuh menggunakan KILLVB ( Sesuai namanya, KillVB hanya membunuh proses Visual Basic). Ini juga berarti bahwa mengubah atau menghapus file MSVBVM60.DLL tidak lagi bisa menghentikan Brontok.
- Virus mengganti nama
%systemroot%\system32\MSVBVM60.DLL
menjadi nama lain (msvbvm60.dll.<nnn>) agar beberapa aplikasi VB, dan virus yang bergantung pada VB tidak lagi berjalan. Perhatikan bahwa jika Anda memiliki file MSVBVM60.DLL di tempat lain dalam path Anda, maka file Visual Basic (termasuk juga brontok versi lama) masih akan bisa dijalankan. - Pesan email yang dikirim virus sekarang ditulis dalam bahasa Inggris dan Indonesia, namun pesan yang dibuat dalam file teks tetap berbahasa Indonesia.
- Virus tidak lagi merestart komputer, tapi menutup aplikasi dengan judul window tertentu.
- Virus tidak lagi memiliki MD5 yang tetap meskipun memiliki ukuran yang tetap, sehingga program penghapus yang berbasis MD5 tidak akan bekerja dengan benar. Brontok mengubah dirinya sendiri ketika diaktifkan. Perubahan dilakukan terhadap nama section pada portable executable header.
- Dulu isi mail dan attachment didownload dari Internet, sekarang isi attachment ada pada brontok. Brontok
akan mengirimkan sebuah file ZIP bernama
Photos.zip
di dalamnya terdapat filePhoto.bmp
(ini sebenarnya file executable), dan fileView Photo.bat
. Jika Anda mengklik filePhoto.bmp
maka tidak akan terjadi apa-apa, tapi jika Anda mengklik fileView Photo.bat
, filePhoto.bmp
akan dijalankan. Untuk menutupi aksinya, programPhoto.bmp
akan berpura-pura menjalankan programmspaint.exe
. - Program
Photo.bmp
adalah downloader yang akan mendownload file executable dari Internet dan menjalankan file yang didownload tersebut (isi filenya bisa apa saja). - Brontok menambahkan beberapa key registry, dan makin banyak menggunakan nama file dan nama key registry yang acak.
- Brontok tidak lagi melakukan DDOS terhadap situs-situs tertentu. Hal ini merupakan hal yang baik karena Brontok memakan bandwidth sangat banyak. Sebagai gantinya, brontok sekarang memblok akses ke berbagai situs dengan memodifikasi file HOSTS. (Situs compactbyte.com merupakan salah satu situs yang diblok)
Perkembangan kemampuan pembuat virus brontok
Kemampuan pembuat virus ini cukup berkembang. Program dalam bahasa C yang dibuatnya sudah lumayan baik untuk seorang pemula, namun tidak menunjukkan adanya penggunaan teknik tingkat lanjut (misalnya pembuat virus ini kurang memanfaatkan fungsi sprintf
dalam manipulasi stringnya). Pembuatan program dalam bahasa C ini masih suatu terjemahan langsung dari source code dalam VB dan belum dioptimasi dengan baik.
Pembersihan
Gunakan CompactbyteAV atau antivirus lain. Saya tidak lagi memberikan langkah pembersihan mendetail karena banyak orang awam yang masih bingung dengan langkah yang saya berikan dan banyak yang menanyakan langkah yang lebih detail lagi. Ukuran file CompactbyteAV kurang dari 50kb (versi saat ini sekitar 35kb), sehingga dapat dengan mudah Anda simpan di USB Disk, atau bahkan di disket atau dikirimkan kepada teman. Untuk informasi lebih lanjut silahkan baca Homepage CompactbyteAv
FAQ
Sejak saya menuliskan artikel mengenai Brontok, banyak pihak yang menghubungi saya, dan menanyakan Aneka macam hal mengenai brontok. Supaya saya tidak menjawab ulang setiap pertanyaan yang ada, saya membuat FAQ ini.
Q: Bolehkah saya minta sampel virus brontok kepada Anda?A: Tidak boleh.
Q: Mengapa?
A: Coba baca http://www.eicar.org/anti_virus_test_file.htm, secara singkat: memberikan virus kepada sembarang orang merupakan tindakan yang tidak bertanggung jawab. Jika saya tidak mengenal Anda, maka pemberian virus saya bisa merugikan banyak orang. (Contoh: mungkin Anda tidak bisa menangani virus dengan baik sehingga menyebar di kantor atau sekolah).
Q: Bolehkah saya meminta rekonstruksi virus yang Anda buat?
A: Tidak boleh, karena bila source code tersebut dapat jatuh ke tangan yang salah. Mungkin saja ada orang yang akan memodifikasinya untuk menciptakan virus baru yang lebih ganas.
Q: Mengapa analisis ini tidak selengkap yang dulu?
A: Sifat brontok banyak yang tidak berubah sehingga akan redundan untuk menuliskannya lagi. Ditambah lagi saat ini saya tidak memiliki banyak waktu.
Made with Bluefish HTML editor and TextWrangler.
Copyright © 2006 Yohanes Nugroho.