Belajar Menjadi Penembus Keamanan Jaringan (cracker)

Hacker dengan keahliannya dapat melihat & memperbaiki kelemahan perangkat lunak di komputer; biasanya kemudian di publikasikan secara terbuka di Internet agar sistem menjadi lebih baik. Sialnya, segelintir manusia berhati jahat menggunakan informasi tersebut untuk kejahatan - mereka biasanya disebut cracker. Pada dasarnya dunia hacker & cracker tidak berbeda dengan dunia seni, disini kita berbicara seni keamanan jaringan Internet.

Saya berharap ilmu keamanan jaringan di tulisan ini digunakan untuk hal-hal yang baik - jadilah Hacker bukan Cracker. Jangan sampai anda terkena karma karena menggunakan ilmu untuk merusak milik orang lain. Apalagi, pada saat ini kebutuhan akan hacker semakin bertambah di Indonesia dengan semakin banyak dotcommers yang ingin IPO di berbagai bursa saham. Nama baik & nilai sebuah dotcom bisa jatuh bahkan menjadi tidak berharga jika dotcom di bobol. Dalam kondisi ini, para hacker di harapkan bisa menjadi konsultan keamanan bagi para dotcommers tersebut - karena SDM pihak kepolisian & aparat keamanan Indonesia amat sangat lemah & menyedihkan di bidang Teknologi Informasi & Internet. Apa boleh buat cybersquad, cyberpatrol swasta barangkali perlu di budayakan untuk survival dotcommers Indonesia di Internet.

Berbagai teknik keamanan jaringan Internet dapat di peroleh secara mudah di Internet antara lain di http://www.sans.org, http://www.rootshell.com, http://www.linuxfirewall.org/, http://www.linuxdoc.org, http://www.cerias.purdue.edu/coast/firewalls/, http://www.redhat.com/mirrors/LDP/HOWTO/. Sebagian dari teknik ini berupa buku-buku yang jumlah-nya beberapa ratus halaman yang dapat di ambil secara cuma-cuma (gratis). Beberapa Frequently Asked Questions (FAQ) tentang keamanan jaringan bisa diperoleh di http://www.iss.net/vd/mail.html, http://www.v-one.com/documents/fw-faq.htm. Dan bagi para experimenter beberapa script / program yang sudah jadi dapat diperoleh antara lain di http://bastille-linux.sourceforge.net/, http://www.redhat.com/support/docs/tips/firewall/firewallservice.html.

Bagi pembaca yang ingin memperoleh ilmu tentang jaringan dapat di download secara cuma-cuma dari http://pandu.dhs.org, http://www.bogor.net/idkf/, http://louis.idaman.com/idkf. Beberapa buku berbentuk softcopy yang dapat di ambil gratis dapat di ambil dari http://pandu.dhs.org/Buku-Online/. Kita harus berterima kasih terutama kepada team Pandu yang dimotori oleh I Made Wiryana untuk ini. Pada saat ini, saya tidak terlalu tahu adanya tempat diskusi Indonesia yang aktif membahas teknik-teknik hacking ini - tetapi mungkin bisa sebagian di diskusikan di mailing list lanjut seperti kursus-linux@yahoogroups.com & linux-admin@linux.or.id yang di operasikan oleh Kelompok Pengguna Linux Indonesia (KPLI) http://www.kpli.or.id.

Cara paling sederhana untuk melihat kelemahan sistem adalah dengan cara mencari informasi dari berbagai vendor misalnya di http://www.sans.org/newlook/publications/roadmap.htm#3b tentang kelemahan dari sistem yang mereka buat sendiri. Di samping, memonitoring berbagai mailing list di Internet yang berkaitan dengan keamanan jaringan seperti dalam daftar http://www.sans.org/newlook/publications/roadmap.htm#3e.

Dijelaskan oleh Front-line Information Security Team, “Techniques Adopted By ‘System Crackers’ When Attempting To Break Into Corporate or Sensitive Private Networks,” fist@ns2.co.uk http://www.ns2.co.uk. Seorang Cracker umumnya pria usia 16-25 tahun. Berdasarkan statistik pengguna Internet di Indonesia maka sebetulnya mayoritas pengguna Internet di Indonesia adalah anak-anak muda pada usia ini juga. Memang usia ini adalah usia yang sangat ideal dalam menimba ilmu baru termasuk ilmu Internet, sangat disayangkan jika kita tidak berhasil menginternetkan ke 25000 sekolah Indonesia s/d tahun 2002 - karena tumpuan hari depan bangsa Indonesia berada di tangan anak-anak muda kita ini.

Nah, para cracker muda ini umumnya melakukan cracking untuk meningkatkan kemampuan / menggunakan sumber daya di jaringan untuk kepentingan sendiri. Umumnya para cracker adalah opportunis. Melihat kelemahan sistem dengan mejalankan program scanner. Setelah memperoleh akses root, cracker akan menginstall pintu belakang (backdoor) dan menutup semua kelemahan umum yang ada.

Seperti kita tahu, umumnya berbagai perusahaan / dotcommers akan menggunakan Internet untuk (1) hosting web server mereka, (2) komunikasi e-mail dan (3) memberikan akses web / internet kepada karyawan-nya. Pemisahan jaringan Internet dan IntraNet umumnya dilakukan dengan menggunakan teknik / software Firewall dan Proxy server. Melihat kondisi penggunaan di atas, kelemahan sistem umumnya dapat di tembus misalnya dengan menembus mailserver external / luar yang digunakan untuk memudahkan akses ke mail keluar dari perusahaan. Selain itu, dengan menggunakan agressive-SNMP scanner & program yang memaksa SNMP community string dapat mengubah sebuah router menjadi bridge (jembatan) yang kemudian dapat digunakan untuk batu loncatan untuk masuk ke dalam jaringan internal perusahaan (IntraNet).

Agar cracker terlindungi pada saat melakukan serangan, teknik cloacking (penyamaran) dilakukan dengan cara melompat dari mesin yang sebelumnya telah di compromised (ditaklukan) melalui program telnet atau rsh. Pada mesin perantara yang menggunakan Windows serangan dapat dilakukan dengan melompat dari program Wingate. Selain itu, melompat dapat dilakukan melalui perangkat proxy yang konfigurasinya kurang baik.

Setelah berhasil melompat dan memasuki sistem lain, cracker biasanya melakukan probing terhadap jaringan dan mengumpulkan informasi yang dibutuhkan. Hal ini dilakukan dengan beberapa cara, misalnya (1) menggunakan nslookup untuk menjalankan perintah ‘ls ‘ , (2) melihat file HTML di webserver anda untuk mengidentifikasi mesin lainnya, (3) melihat berbagai dokumen di FTP server, (4) menghubungkan diri ke mail server dan menggunakan perintah ‘expn ‘, dan (5) mem-finger user di mesin-mesin eksternal lainnya.

Langkah selanjutnya, cracker akan mengidentifikasi komponen jaringan yang dipercaya oleh system apa saja. Komponen jaringan tersebut biasanya mesin administrator dan server yang biasanya di anggap paling aman di jaringan. Start dengan check akses & eksport NFS ke berbagai direktori yang kritis seperti /usr/bin, /etc dan /home. Eksploitasi mesin melalui kelemahan Common Gateway Interface (CGI), dengan akses ke file /etc/hosts.allow.

Selanjutnya cracker harus mengidentifikasi komponen jaringan yang lemah dan bisa di taklukan. Cracker bisa mengunakan program di Linux seperti ADMhack, mscan, nmap dan banyak scanner kecil lainnya. Program seperti ‘ps’ & ‘netstat’ di buat trojan (ingat cerita kuda troya? dalam cerita klasik yunani kuno) untuk menyembunyikan proses scanning. Bagi cracker yang cukup advanced dapat mengunakan aggressive-SNMP scanning untuk men-scan peralatan dengan SNMP.

Setelah cracker berhasil mengidentifikasi komponen jaringan yang lemah dan bisa di taklukan, maka cracker akan menjalan program untuk menaklukan program daemon yang lemah di server. Program daemon adalah program di server yang biasanya berjalan di belakang layar (sebagai daemon / setan). Keberhasilan menaklukan program daemon ini akan memungkinkan seorang Cracker untuk memperoleh akses sebagai ‘root’ (administrator tertinggi di server).

Untuk menghilangkan jejak, seorang cracker biasanya melakukan operasi pembersihan ‘clean-up’ operation dengan cara membersihkan berbagai log file. Dan menambahkan program untuk masuk dari pintu belakang ‘backdooring’. Mengganti file .rhosts di /usr/bin untuk memudahkan akses ke mesin yang di taklukan melalui rsh & csh.

Selanjutnya seorang cracker dapat menggunakan mesin yang sudah ditaklukan untuk kepentingannya sendiri, misalnya mengambil informasi sensitif yang seharusnya tidak dibacanya; mengcracking mesin lain dengan melompat dari mesin yang di taklukan; memasang sniffer untuk melihat / mencatat berbagai trafik / komunikasi yang lewat; bahkan bisa mematikan sistem / jaringan dengan cara menjalankan perintah ‘rm -rf / &’. Yang terakhir akan sangat fatal akibatnya karena sistem akan hancur sama sekali, terutama jika semua software di letakan di harddisk. Proses re-install seluruh sistem harus di lakukan, akan memusingkan jika hal ini dilakukan di mesin-mesin yang menjalankan misi kritis.

Oleh karena itu semua mesin & router yang menjalankan misi kritis sebaiknya selalu di periksa keamanannya & di patch oleh software yang lebih baru. Backup menjadi penting sekali terutama pada mesin-mesin yang menjalankan misi kritis supaya terselamatkan dari ulah cracker yang men-disable sistem dengan ‘rm -rf / &’.

Bagi kita yang sehari-hari bergelut di Internet biasanya justru akan sangat menghargai keberadaan para hacker (bukan Cracker). Karena berkat para hacker-lah Internet ada dan dapat kita nikmati seperti sekarang ini, bahkan terus di perbaiki untuk menjadi sistem yang lebih baik lagi. Berbagai kelemahan sistem di perbaiki karena kepandaian rekan-rekan hacker yang sering kali mengerjakan perbaikan tsb. secara sukarela karena hobby-nya. Apalagi seringkali hasil hacking-nya di sebarkan secara cuma-cuma di Internet untuk keperluan masyarakat Internet. Sebuah nilai & budaya gotong royong yang mulia justru tumbuh di dunia maya Internet yang biasanya terkesan futuristik dan jauh dari rasa sosial.

Pengembangan para hobbiest hacker ini menjadi penting sekali untuk keberlangsungan / survival dotcommers di wahana Internet Indonesia. Sebagai salah satu bentuk nyatanya, dalam waktu dekat Insya Allah sekitar pertengahan April 2001 akan di adakan hacking competition di Internet untuk membobol sebuah server yang telah di tentukan terlebih dahulu. Hacking competition tersebut di motori oleh anak-anak muda di Kelompok Pengguna Linux Indonesia (KPLI) Semarang yang digerakan oleh anak muda seperti Kresno Aji (masaji@telkom.net), Agus Hartanto (hartx@writeme.com) & Lekso Budi Handoko (handoko@riset.dinus.ac.id). Seperti umumnya anak-anak muda lainnya, mereka umumnya bermodal cekak - bantuan & sponsor tentunya akan sangat bermanfaat dan dinantikan oleh rekan-rekan muda ini.

Mudah-mudahan semua ini akan menambah semangat pembaca, khususnya pembaca muda, untuk bergerak di dunia hacker yang mengasyikan dan menantang

Alasan untuk menulis artikel ini hanya untuk melurus kan apa itu hacker dan apa itu cracker yang slama ini kita dari sebagian orang awam selalu mengangggap kedua kata itu jahat oleh para pengguna komputer internet. Lanjuuuut.....

AWAL PERSOALAN
Hacker dalam tulisan Eric Steven Raymond adalah “ there is a community, a shared culture, of expert programmers and networking wizards that its history back trough decades to the firs time-sharing minicomputers and the earliesr ARPAnet experiment” Dengan kata lain, Raymon mengatakan, “the members of this culture originated the term ‘hacker’”.

Para hackerlah yang kemudian memperkenalkan internet, membuat program sistem operasi UNIX hingga bias digunakan saat ini. Dan para hacker pula lah yang telah berjasa dalam menjalankan World Wide Web sehingga dapat dinikmati oleh semua orang diseluruh dunia dibelahan manapun dia berada asal terkoneksi pada internet. Lebih lanjut Raymon mengatakan “ jika anda berada pada komunitas ini dan jika anda memiliki konstribusi didalamnya, dan kemudian orang mengenal anda sebagai hacker, maka anda adalah seorang hacker”.

Sekilas dari pandangan Raymon kita dapat satu definisi bahwa seorang hacker bukanlah orang yang jahat seperti yang kita pikirkan selama ini. Ya, jika mereka memang bisa masuk kedalam komputer kita (malalui jaringan internet) karena mereka bisa menguasai ilmunya. Namun jika ada orang yang kemudian masuk secara ilegal kedalam komputer kita dan kemudian “mencuri dan mengacak-ngacak” data kita, mereka adalah CRACKER.

Dan bisa jadi mereka adalah seorang hacker dalam dunia yang berbeda. Dengan kata lin, mereka semua adalah para ahli dalam hal teknologi informasi ini dan berkecimpung serius didalamnya.
Namun untuk menghindari kerancuan, maka sebuah kata kunci dalam masalah ini, menurut Raymon adalah perbedaan antara keduanya; seorang Hacker adalah dia yang membangun sistem, sementara seorang Cracker malah “menghancurkannya”. (How to become a hacker, Eric S. Raymond, 2001).

Kapan istilah hacker menjadi trend sebagai sebuah kejahatan yang menakutkan? Tidak lain karena “dosa” pakar film di hollywood yang membiaskan istilah hacker dan cracker ini. Banyak film yang mengangkat tema hacker dalam sebuah bentuk “penghancuran sistem informasi ” yang seharusnya makna itu diterapkan pada seorang cracker.

Sebut misalnya film the Net (1995), Take Down(1999). Film tersebut mengangkat tema hacker untuk menyebut cracker. Dan dari kesalah penafsiran tadi, hingga kini pun istilah hacker masih dibiaskan dengan istilah cracker. Kerancuan itu tidak hanya terjadi di Indonesia saja, bahkan diluar negeripun pandangan terhadap keduanya sama seperti itu.

Terminologi hacker muncul pada awal tahun 1960-an diantara anggota organisasi mahasiswa Tech Model Railroad club di Lab Kecerdasan Artifisial Masschusetts Institute Of Teknology (MIT). Istilah hacker awalnya bermakna positif untukmenyebut seorang anggota yang memiliki keahlian dalam bidang komputer dan mampu membuat progranm komputer dengan lebih baik ketimbang yang ada sebelumnya (Memahmi karakteristik Komunitas Hacker: Studi Kasus pada Komunitas Hacker Indonesia, Donny B.U, M.Si)

MENJADI HACKER
Mungkin sekilas tentang definisi diatas cukup untuk membatasi sejauhmana peranan seorang hacker dan cracker itu. Tulisan ini tidak akan mengangkat sejarah hacker dan awal mula kerancuannya. Namun lebih menitik beratkan pada bagaimana seandainya kita belajar menjadi hacker. Atau lebih spesifik, bisakah kita menjadi seorang hacker? Dalam tulisan How to Become a Hacker, Eric Steven Raymon mengatakan bahwa menjadi hacker tidaklah segampang yang dikira.

Langkah awal untuk menjadi seorang hacker haruslah menguasai minimal 5 bahasa pemrograman yang ada. Ia menyebut bahasa pemrograman C/C++, Java, Perl, Phyton & LISP. Selain itu mampu berinteraksi dengan program HTML untuk dapat membangun komunikasi dengan jaringan internet. Semua dasar diatas adalah ilmu yang “wajib” dimiliki jika kita memang berminat untuk menjadi seorang hacker sejati. Karena pada dasarnya menjadi Hacker adalah penguasaan terhadap membaca dan menulis kode.


Kenapa kode? Karena memang komputer yang kita jalankan setiap hari pada intinya adalah terdiri dari berbagai kode instruksi yang cukup rumit.
Selain penguasaan terhadap bahasa pemrograman diatas, kita pun harus punya bekal yang cukup dalam berbahasa inggris untuk dapat saling bertukar pikiran dengan komunitas hacker dari seluruh dunia. Ini tidak dilarang karena pada umumnya, mereka (anggota komunitas tersebut) memiliki kode etik tersendiri tentang open-source atau kode-kode program yang boleh dibuka dan diutak atik oleh orang lain.

Contoh, kode-kode Linux yang marak di perkenalkan baru-baru ini memiliki konsep open source dan karenanya bisa dimiliki oleh khalayak ramai dengan sebutan free software.

Kembali pada persoalan diatas, menjadi seorang hacker untuk tujuan saling berbagi ilmu dalam teknologi informasi ini, atau dalam arti yang lebih luas untuk memudahkan pemakai komputer pada masa yang akan datang, bukanlah hal harus ditakuti. Sebaliknya, ilmu tersebut harus diterjemahkan dan sama-sama digali sehingga menjadi bagian terintegral dalam memahami lika-liku dunia cyber. Asal saja kita tidak terjebak pada prilaku yang negatif sehingga menjadi seorang cracker yang membobol sitem rahasia orang lain.

AWAL SEBUAH LANGKAH
Ketika kita meniatkan diri untuk lebih akrab dengan dunia hacker, maka selain beberapa bekal yang disebutkan diatas, penguasaan bahasa pemrograman, html dan bahasa inggris, nampaknya niat tersebut harus juga dilengkapi dengan satu sikap mendasar tentang orientasi dan tujuan awal kita menjadi seorang hacker.

Alih-alih menjadi seorang pakar pemrograman yang baik, jika tidak benar malah bisa terjebak pada prilaku negativ yang tidak hanya merugikan orang lain tapi merugikan diri sendiri. Konon, jika seandainya saja anda menjadi seorang cracker dan anda dikenal suka membuka rahasia orang lain, maka, jangan harap anda dapat dengan mudah berjalan-jalan kemanca negara. Karena, kata beberapa sumber, nama anda sudah di “black list” sebagai penjahat cyber?
Disisi ini menarik untuk di simak, satu sisi, kita butuh teknologi canggih yang kerap bermunculan dalam hitungan detik, sisi lain ada kehawatiran takut terjebak pada pola “nyeleneh” yang berakibat patal.

Namun demikian, sebagai satu sikap, kita berpijak pada satu kesepakatan, bahwa mempelajari bahasa-bahasa yang ditawarkan oleh Eric Steven Raymon diatas, adalah hal yang baik. Karena dengan mempelajarinya, kita minimal dapat mendapat solusi untuk membuat program yang berguna bagi orang lain. Dan jika ini dilakukan,
percayalah, anda adalah seorang HACKER.

Mengakses Internet tanpa proteksi bagaikan menjalankan mobil dengan jendela terbuka. Anda mungkin tidak kehilangan mobil atau isinya saat itu juga, namun Anda sedang bermain api dan cepat atau lambat, Anda AKAN terbakar. Setiap sistem yang mengakses Internet tanpa proteksi dapat dihantam oleh semacam malware - program atau kode yang dapat merusak sistem komputer Anda. Keamanan Komputer - ada ribuan dokumen diluar sanaberisi topik yang amat luas ini dan semua member YMMSS mengedukasi diri mereka sendiri soal ini. Ini adalah basicnya bagi Anda untuk memulai. Tidak ada solusi tunggal all-in-one untuk soal keamanan komputer ini. Nasihat terbaik yang dapat diberikan adalah dapatkan sebanyak mungkin pengetahuan agar Anda dapat membuat kombinasi pencegahan dan pendeteksian. Microsoft Update Utility. Jika Microsoft menemukan kesalahan pada softwaremereka, dapatkan updatenya di http://windowsupdate.microsoft.com

Ada 4 hal yang harus dipertimbangkan dalam soal keamanan ini:

1. Anti-Virus

2. Firewalls

3. Spyware

4. Online Self-checks

Apakah Anda memakai koneksi dial-up, kabel, DSL atau satelit, proteksi minimum yang harus ada adalah anti-virus dan firewall.

Viruses, Worms, and Trojan Horses

http://www.microsoft.com/athome/security/viruses/virus101.mspx

Berikut ini beberapa daftar program anti-virus utama, yang memungkinkan monitoring secara online (mengecek transfer file & email/attachment). Updatelah anti-virus Anda secara reguler.

AVG – (salah satu yg terbaik)

http://www.grisoft.com/us/us_avg_index.php

Versi gratis:

http://free.grisoft.com/freeweb.php/doc/2/

Versi PRO harus bayar $30. Direkomendasikan oleh Viper!

AntiVir – (ranking tinggi, menggunakan sumberdaya sistem sangat sedikit!)

http://www.free-av.com/

Ini gratis, demikian pula updatenya! Tapi agak lebih ribet pemakaiannya

ketimbang AVG.

Panda – (cukup baru, tapi impresif, dengan metode deteksi baru)

http://www.pandasoftware.com/home/default.asp

6 bulan bayar: $35 ; 1 tahun: $70

Kaspersky-(rangking tinggi, tapi mahal)

http://www.kaspersky.com

Basic: $50 Pro: $80

Trend Micro –

http://www.trendmicro.com/en/products/desktop/pccillin/

evaluate/overview.htm

Sekitar $50

NOTE: Setelah menginstall salah satu program di atas, scan SEMUA isi komputer Anda!

Encrypted Tunneler

Proteksi tingkat tinggi untuk SEMUA jenis trafik Internet, ditambah dengan akses anonimus ke seluruh Internet (tidak ada yang bisa mengetahui kebiasan berinternet Anda).

Biasanya $99, tapi member YMMSS cukup bayar $79 per tahun:

[www.metropipe.net]

Firewall

Info kilat : http://computer.howstuffworks.com/firewall1.htm

Sederhananya, firewall dipakai untuk memblokade penjahat agar tidak bias mengakses komputer Anda dari Internet. Bayangkan itu seperti pintu depan rumah Anda. Anda hanya membukanya untuk orang2 yang boleh masuk saja. Jika tiada pintu depan, yah bayangkan sendiri...Firewall bisa menangkal segala metode untuk membobol komputer tanpa ijin, mencegah hacker, worm, trojan dan biasanya memblokir spyware (yang mungkin sudah ada di PC Anda) agar tidak menghubungi si mata-mata. Dan ditambah dengan NAT (Network Address Translation) dan dengan bantuan dariproxy, ia bisa membuat Anda tak terlihat (seperti "siluman").

Ada beberapa jenis firewall baik software maupun hardware.

Sofware firewall:

Zone Alarm – (Gratis dan semakin baik!)

http://www.zonelabs.com/

Kerio (Juga gratis dan cukup bagus) http://www.kerio.com/us/kpf_home.html

Sygate (Gratis, dengan fungsi adv) http://www.sygate.com/

Visnetic (Gratis) http://www.deerfield.com/download/visnetic-firewall/

Hardware firewalls (untuk pengguna Broadband):

NetGear FR114P 4-Port Cable/DSL : $80

Linksys BEFSX41 4-Port Cable/DSL : $65

Saafnet International AlphaShield Cable/DSL : $120

Sebenarnya ada banyak hardware, namun inilah yang cukup familier dan harganya masih terjangkau utk kebanyakan orang! http://grc.com/oo/cbc.htm

Program antivirus dan firewall adalah prioritas utama dan akan mengamankan PC Anda dari kejahatan, namun spyware masih dapat menyusup ke system (meskipun sudah banyak berkurang).Ada yang melalui cookie dan diembed (disusupkan) dalam banner iklan, yang dapat dihindari dengan mengganti

setting untuk boleh/tidaknya cookie (di Internet Explorer : klik Tools > Internet Options > Privacy > Settings > tombol Advance). Tapi masih saja surfing, download, install dll bisa menyebabkan adanya

spyware, yang hanya bisa dideteksi oleh program pencari spyware. Spyware sangat berbahaya karena bisa mengambil password Anda dengan keyloggers yang mencatat tombol keyboard mana yang ditekan.

SpyBot Search & Destroy – Tidak sehandal yang lain, tapi merupakan program GRATIS terbaik!:

http://www.safer-networking.org/en/download/index.html

Rekomendasi Viper!

AdAware – Cepat dan gratis:

http://www.lavasoftusa.com/software/adaware/

Rekomendasi Viper!

Spysweeper

http://www.webroot.com/wb/products/spysweeper/sweepera.php

Terbaik – blokade realtime, severity level, & blok cookie. Rangking tinggi

Harga: $30

The Cleaner Professional

http://www.moosoft.com/

Bagus – Live Updates, Registry Monitors, Active Scanning – Rangking tinggi

Harga: $50

Spyware Eliminator

http://www.aluriasoftware.com/homeproducts/spyware/

Bagus – blokade realtime, severity level. Rangking tinggi

Harga: $30

Anti-Spy

http://www.omniquad.com/downloads.htm

Bagus – blokade realtime, severity level.

Harga: $30

Bagaimana cara mengetesnya? Bagaimana bisa mengecek secara aman? Ada beberapa fasilitas gratis untuk hal ini:

Port Scanners :

Shields Up – cek seberapa baik firewall anda memblokir port, sangat bagus!

https://www.grc.com/x/ne.dll?bh0bkyd2

HackerWhacker – lebih mendalam ketimbang Shields Up, tapi bisa makan

waktu 1 jam lebih :

http://www.hackerwhacker.com

Sygate Online – layanan scan:

http://www.vulnerabilities.org/nessusfreehtml.html

dan

http://www.sygatetech.com/prestealthscan.html

Panda Active Scan

http://www.pandasoftware.com/activescan/com/activescan_principal.htm

Trend-Micro HouseCall

http://housecall.trendmicro.com/

GFI Trojan Scanner

http://www.windowsecurity.com/trojanscan/

McAfee

http://vil.nai.com/vil/stinger/

Ini adalah utilitas standalone yg dipakai untuk membasmi virus spesifik (biasanya yang terakhir ada di daftar mereka)

Petunjuk Umum Pencegahan Virus

Penyebaran virus atau worm umumnya adalah melalui e-mail dan floppy disk. Petunjuk berikut ini adalah beberapa hal yang seyogyanya kita lakukan untuk mencegah berjangkitnya virus di komputer kita.

1. E-mail attachment jangan dibuka secara otomatis. Jika anda menggunakan Outlook Express, Outlook, Eudora, Netscape, dsb set program e-mail tersebut agar attachment tidak membukasecara otomatis.

2. Hanya buka e-mail attachment dari pengirim yang anda kenal. Sebelum membuka attachment, scan terlebih dahulu. Hal ini juga berlaku bagi pengguna web-mail seperti yahoo, hotmail, dsb.

3. Jangan membuka attachment e-mail yang anda curigai mengandung virus walaupun e-mail tersebut berasal dari orang yang anda kenal. Cek terlebih dahulu dengan si pengirim sebelum anda membukanya.

4. Jangan membuka attachment dengan ekstensi VBS, SHS, atau PIF. Ekstensi tersebut umumnyadigunakan oleh virus dan worms.

5. Jangan membuka attachment dengan ekstensi ganda, seperti nama_file.BMP.EXE atau nama_file.TXT.VBS.

6. Apabila menerima e-mail berupa iklan, jangan membuka attachmentnya ataupun membuka/mengikuti web link yang mereka sertakan.

7. Jangan membuka attachment dengan nama file yang sensual. E-mail bervirus sering mengunakan nama file yang menggoda.

8. Jangan mempercayai ikon yang disertakan dalam attachment. Worm sering mengirimkan file bervirus dengan ikon yang mirip dengan ikon gambar, teks, ataupun file.

9. Hindari membuka attachment dari orang tak dikenal pada saat chatting dengan menggunakan IRC, ICQ atau Instant Messenger.

10. Hindari men-download file dari newsgroup publik yang tidak dikenal karena media tersebut sering digunakan oleh pencipta virus untuk mendistribusikan virusnya. Termasuk didalamnya adalah freeware (program gratis), screensavers, game, dan berbagai program yang bisa dieksekusi (biasanya menggunakan ekstensi .EXE atau .COM).

11. Apabila harus mendownload file dari Internet, pastikan bahwa anda melakukan scanning terlebih dahulu sebelum membuka program tersebut. Download semua file dalam satu folder, kemudian lakukan scanning atas folder tersebut.

12. Jangan share folder komputer anda. Apabila harus melakukan sharing, jangan share keseluruhan drive (misal seluruh drive C) atau directory Windows – dan lindungi sharing folder tersebut dengan password.

13. Install software anti-virus dan selalu update data anti-virus anda.

14. Konfigurasikan agar program anti-virus anda bekerja setiap kali komputer melakukan booting dan bekerja setiap saat (perhatikan ikon V-shield harus muncul di tray desktop komputer anda).

15. Selalu scan floppy disk sebelum menggunakannya.

16. Jangan melakukan booting dari floppy disk, karena floppy disk merupakan salah satu media penularan virus. Untuk menghindari booting dari floppy disk secara tidak sengaja, selalu keluarkan floppy disk dari disk drive setiap kali anda selesai bekerja dengan floppy disk.

KUMPULAN TIPS DAN TRIK MERONTOKAN VIRUS RONTOKBRO

Rontokbro menyerang Kangen dan Virus lokal?

Musik Indonesia menjadi tuan di rumah sendiri ? Kalau anda utarakan hal tesebut pada era 1980 - 1990 rasanya tidak banyak musisi lokal yang mampu bersaing dengan musisi luar. Tetapi hari ini ceritanya lain, music dangdut secara de facto sudah memiliki pasar terbesar dan menjadi salah satuandalan utama stasiun TV lokal untuk menarik pemirsa. Begitupun dengan musik pop dan lainnya, fakta bahwa tidak sulit anda menemukan anak-anak kecil pengamen yang dengan fasih menyanyi "Ada Apa .. Denganmu" :) menunjukkan hal tersebut. Mirip seperti musik lokal, jika kita membicarakan hal ini di tahun 2004 dan sebelumnya maka statistik Vaksincom menunjukkan bahwa virus yang "menguasai" Indonesia > 95 % adalah virus luar negeri dan hanya sedikit sekali virus lokal yang mampu berbicara atau menampilkan

dirinya. Katakan JohnMMX, W32/updater yang dikenal juga dengan nama Iworm Perkasa / Imelda, W32/Ganda.A@mm merupakan beberapa virus yang menampakkan dirinya pada era awal 2000. Namun satu hal yang menjadi catatan penting adalah virus lokal ini sangat jarang masuk ke dalam Top 10 dan

hanya mampu "Curi Curi Pandang" karena tingkat penyebarannya sangat rendah. Adalah Pesin yang pertama mampu "Towel Towel" Top 10 virus Indonesia dan diikuti oleh Kangen yang secara konsisten "Towel Towel" Top 10 virus yang paling banyak terdeteksi di Indonesia. Satu hal penyebab menurut pengamatan Vaksincom adalah karena konsistensi pembuat virus Kangen yang terus menerus menelurkan varian baru sampai hari ini dengan rekayasa social yang makin hari makin canggih dan praktis menjadikan Kangen sampai kuartal ke tiga 2005 tidak memiliki saingan yang berarti. Memasuki kuartal ke empat 2005, muncul saingan Kangen yang tidak kalah canggih (untuk tidak mengatakan lebih canggih) dan "juga" secara konsisten diupdate oleh pembuatnya W32/Rontokbro@mm yang pada saat

pembuatan artikel ini sudah mencapai varian ke 17 W32/Rontokbro.R. Virus yang dapat dipastikanmerupakan kreasi salah satu mahasiswa dari Kota Kembang ini memang hebat, terbukti dengankemampuannya masuk dalam jajaran elit Top 10 virus Indonesia untuk bulan September - Oktober 2005 dan hanya dikalahkan oleh veteran Funlove, Netsky dan Zafi yang semuanya merupakan virus luar. Satu hal yang menarik perhatian adalah dalam menjalankan aksinya, pada pembuat virus lokal ini seperti "Air dan Api" mulai menyerang virus lokal lain dimana selain menjalankan rutinnya menginfeksi komputer Rontokbro ternyata membasmi virus lokal lain seperti Kangen, Tabaru etc.Meskipun tujuan pembuat virus ini diklaim bertujuan baik karena membasmi virus lain, tetapi apakah dibenarkan membasmi virus lain dengan menyebarkan virus baru ? Dikhawatirkan aksi ini hanya memicu perseteruan baru yang mirip pertempuran Netsky VS Bagle yang saling menyerang danyang dapat dipastikan sebagai korban dan menderita paling hebat adalah pengguna komputer Indonesia, khususnya komunitas Warnet, sekolah dan kalangan bisnis di Indonesia yang notabene adalah pengguna komputer awam.

Virus VS Spyware, berimbang

Statistik bulan September dan Oktober 2005 menunjukkan penyebaran Spyware dan Virus dalam komposisi yang berimbang, dimana Virus menang tipis 4 % dan mengambil 52 % dari penyebaran Malware di Indonesia. Dibandingkan bulan Agustus 2005, Spyware mengalami peningkatan 5 %menjadi 48 % dari total insiden malware di Indonesia. Salah satu penyebab meningkatnya insiden virus di bulan September - Oktober 2005 adalah karena kontribusi virus lokal yang dimotori oleh Rontokbro yang secara mengejutkan bercokol di posisi ke 4 dengan jumlah insiden 642 (4.5 %) mengalahkan Mytob, Redlof, dan WYX. Sedangkan Kangen memberikan kontribusi sebanyak 297 insiden (2.09 %). Selain Rontokbro dan Kangen, sebenarnya ada tiga virus lokal yang muncul pada statistik Antivirus Vaksincom bulan September - Oktober 2005 yaitu peringkat (17) Pesin, (26) Fawn dan (30) Tabaru. Posisi Jawara insiden virus sendiri di ambil alih oleh W32/Funlove yang menrupakan virus lama yang berumur belasan tahun namun mampu bertahan sampai hari ini dengan jumlah insiden 3.667 (25.81 %) diikuti oleh Zafi 3.311 (23.30 %) pada peringkat ke dua.Sedangkan jawara pada bulan Agustus Netsky harus puas di tempat ke tiga dengan jumlah insiden 2.754 (19.38 %) disusul oleh Rontokbro 642 (4.53 %), Mytob 472 (3.32), virus boot sector WYX 425 (2.99 %), Redlof 316 (2.22 %) berturut-turut pada posisi 4 sampai 7. Peringkat ke 8 ditempati oleh virus local legendaris Kangen 297 (2.09 %) diikuti oleh Mywife yang menampilkan gambar porno pada email bervirus 278 (1.96) dan ditutup oleh pendatang baru W32/Tenga.3666 yang mengeksploitasi delah keamanan RPC Dcom dan menyebarkan dirinya melalui jaringan dan memiliki kemampuan mengupdate dirinya seperti program antivirus.

Gator, buaya imut-imut yang berbahaya

Jika dibandingkan dengan bulan Agustus 2005, Spyware tidak mengalami banyak perubahan dan hanya terjadi pergeseran / tukar tempat saja. Adalah Gator, spyware dengan icon buaya yang memimpin peringkat pertama dengan total 2.505 insiden (19.18 %) menggantikan Istbar yangtergeser ke peringkat 3 dengan insiden 1.423 (10.90 %). Peringkat dua ditempati oleh spyware Agent yang melompat dari posisi 15 dengan total insiden 1.499 (11.48 %) yang melengserkan Dyfuca ke peringkat 5, 999 insiden

(7.65 %). Winad yang pada bulan sebelumnya menempati posisi 5 dengan insiden 1.027 (7.86) bergerak naik sedikit melemparkan Lop keluar dari daftar Spyware paling ganas se Indonesia. Untuk informasi detail penyebaran Spyware di Indoensia. Issue terakhir selain penyebaran Rontokbro yang meluas khususnya di kota Kembang dimana Vaksincom mengalami ribuan permintaan downloadNorman Virus Control adalah juga tentang aksi Sony Corporation yang menggunakan rootkit menginstalkan dirinya dari beberapa CD yang dikeluarkan oleh Sony yang dijalankan oleh PC dimana setelah menginstalkan dirinya, software ini akan berusaha menyembunyikan dirinya ke harddisk danmenempatkan atributnya sebagai hidden (tersembunyi). Teknik ini sebenarnya biasa terjadi di dunia spyware tetapi yang memalukan adalah karena hal ini dilakukan oleh perusahaan besar sekelasSony. Teknologi Sandbox dari Norman Virus Control mampu mendeteksi teknik ini sehingga para pengguna Norman tidak perlu khawatir atas serangan ini. Dikhawatirkan, pembuat virus atau spyware meniru cara ini untuk menyembunyikan diri dan aktivitasnya dimasa depan.

Rontokbro menyerbu Indonesia 13 November 2005

Virus Lokal Kelas Dunia yang memiliki SMTP sendiri

Siapa bilang putra Indonesia tidak mampu bersaing dan berkiprah di dunia ? Lihat Teh Botol Sosro, Gudang Garam, Indomie dan Pacekap yang dimiliki oleh putra Indonesia yang menguasai pasar Indonesia dan mulai merambah pasar dunia. Kalau selama ini virus lokal seperti Kangen, Tabaru(Riyani Jangkaru), Lavist atau Kumis yang asli buatan Indonesia dapat digolongkan sebagai virus "kelas 2" karena penyebarannya mengandalkan UFD (USB Flash Disk) meminjam istilah yang digunakan Tabloid PC Plus :) dan mayoritas menyebar di Indonesia atau Asia Tenggara. Maka kini para pengguna internet Indonesia dan di belahan dunia lain seperti Amerika, Polandia, Spanyol, Jepang, Vietnam, Belanda, Hungaria, Swedia, Peru, Rusia dan Israel juga kebagian aksi virus baru yang diberi nama W32/Rontokbro@mm, sesuai dengan namanya maka anda tahu bahwa virus ini mampu menyebarkan dirinya dengan mass mailing (email massal) dan memupuskan "tradisi" virus lokal yang mengandalkan UFD sebagai sarana penyebaran utamanya. Banyak hal yang mengejutkan dari Rontokbro ini seperti kemampuan rekayasa sosial yang tinggi dan dapat dikatakan berciri asli Indonesia dan pertama kali digunakan oleh virus lokal seperti memalsukan "icon" dirinya sebagai file tidak berdosa baik sebagai file MS Office ataupun sebagai folder, melakukan bloking akses Registry Editor, melakukan restart komputer jika menemukan kata tertentu pada header browser, selektif dalam mengirim email bervirus (guna menghindari deteksi cepat oleh vendor sekuriti) sampai"mengerjai" Host file komputer lokal sehingga akses ke situs sekutiri tertentu menjadi terblokir.

Mengapa Rontokbro

Tentunya anda bertanya, kok namanya susah amat Rontokbro? Apa maksudnya mengakibatkan komputernya si Bro Rontok ? :). Atau apa alas an lain ? Menurut pengamatan teknisi laboratorium virus Vaksincom, ternyata pembuat virus ini mendapatkan ilham membuat virus ini dari satwa langkaIndonesia, Elang Brontok yang memiliki nama latin Spizaetus cirrhatus, selain itu rupanya pembuat virus Rontokbro (yang disinyalir berasal dari salah satu universitas pemerintah di Jawa Barat) juga menyebarkan pesan anti korupsi, anti freesex dan anti pencemaran lingkungan dalam email yang dikirimkannya dengan lampiran kangen.exe. Apakah pembuat virus ini sama dengan pembuatKangen, atau ia hanya membonceng kepopuleran virus Kangen agar dirinya dapat menyebar dengan baik, yang jelas menurut statistik Vaksincom penyebaran Rontokbro saat ini sudah mengalahkan Kangen. Elang Brontok merupakan satwa burung khas Indonesia yang patut dibanggakan karenamemiliki keunikan morphologi yang tidak dimiliki burung lainnya di dunia.

Detail Email yang mengandung virus Rontokbro

Adapun email yang mengandung virus Rontokbro ini memiliki ciri-ciri sebagai berikut :

From: [Dipalsukan]

Subject: kosong

Message:

BRONTOK.A [ By: HVM**-Jowo*** #** Community ]

-- Hentikan kebobrokan di negeri ini --

1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA ( Send to "NUSAKAMBANGAN")

2. Stop Free Sex, Absorsi, & Prostitusi

3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.

4. SAY NO TO DRUGS !!!

-- KIAMAT SUDAH DEKAT --

Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah

[By: HVM**-Jowo*** #** Community--]

Attachment:

Kangen.exe

Uniknya, rontokbro akan menghindari pengiriman email kealamat-alamat dengan domain sebagai berikut: PLASA, TELKOM, INDO, .CO.ID, .GO.ID, .MIL.ID, .SCH.ID, .NET.ID, .OR.ID, .AC.ID, .WEB.ID, .WAR.NET.ID, ASTAGA, GAUL, BOLEH, EMAILKU, SATU. Apa alasan di balik aksinya ini? Apakah untuk mengurangi lalulintas email lokal atau pembuatnya merasa cukup "pede" dimana penyebaran lokal diserahkan pada UFD sehingga tidak perlu mengandalkan penyebaran via email karena toh penyebaran via warnet jauh lebih efektif dibandingkan melalui email. Yang jelas Rontokbro yang disebarkan ke domain di luar Indonesia mencatat "prestasi" yang cukup baik (untuk ukuranIndonesia) dan berhasil menyebar kenegara lain. Hebatnya lagi, antivirus top tidak mengenali virus ini dan menurut catatan Vaksincom, versi Rontokbro yang dikenali oleh antivirus hanya versi awal W32/Rontokbro.A@mm dan W32/RontokbroB.@mm saja. Padahal varian Rontokbro yang diterima oleh Vaksincom dan dapat dikenali oleh Norman Virus Control sudah sampai varian ke 7 W32/Rontrokbro.G@mm. Satu kehebatan

lain dari Rontokbro adalah kemampuannya untuk mencari SMTP server guna mengirimkan kopi dirinya dan ia juga menggunakan SMTP engine sendiri untuk mengirimkan dirinya pada semua alamat email yang berhasil dikumpulkannya dari komputer yang terinfeksi.

Komputer restart terus menerus

Bagaimana kita bisa mengetahui bahwa komputer sudah terinfeksi Rontokbro? Selain melakukan beberapa perubahan pada registri yang mengakibatkan pemblokiran pada akses Registry Editor sehingga anda tidak bisa membuka regedit.exe, Rontokbro juga menyebabkan komputer restartterus menerus. Biang keladinya bukan eksploitasi celah keamanan seperti Sasser, melainkan karena Rontokbro melakukan restart pada komputer setiap kali menemukan aplikasi dengan nama:

.. .@, @., .ASP, .EXE, .HTM, .JS, .PHP, ADMIN, ADOBE, AHNLAB, ALADDIN, ALERT, ALWIL, ANTIGEN, APACHE, APPLICATION, ARCHIEVE, ASDF, ASSOCIATE, AVAST, AVG, AVIRA, BILLING@, BLACK, BLAH, BLEEP, BUILDER, CANON, CENTER, CILLIN, CISCO, CMD., CNET, COMMAND, COMMAND, PROMPT, CONTOH, CONTROL, CRACK, DARK, DATA, DATABASE, DEMO, DETIK, DEVELOP, DOMAIN, DOWNLOAD, ESAFE, ESAVE, ESCAN, EXAMPLE, FEEDBACK, FIREWALL, FOO@, FUCK, FUJITSU,GATEWAY, GOOGLE, GRISOFT, GROUP, HACK, HAURI, HIDDEN, HP., IBM., INFO@, INTEL., KOMPUTER, LINUX, LOG OFF WINDOWS,LOTUS, MACRO, MALWARE, MASTER, MCAFEE, MICRO, MICROSOFT, MOZILLA, MYSQL, NETSCAPE, NETWORK, NEWS, NOD32, NOKIA, NORMAN, NORTON, NOVELL, NVIDIA, OPERA, OVERTURE, PANDA, PATCH, POSTGRE, PROGRAM, PROLAND, PROMPT, PROTECT, PROXY, RECIPIENT, REGISTRY, RELAY, RESPONSE, ROBOT, SCAN, SCRIPT,HOST, SEARCH R, SECURE, SECURITY, SEKUR, SENIOR, SERVER, SERVICE, SHUT DOWN, SIEMENS, SMTP, SOFT, SOME, SOPHOS, SOURCE, SPAM, SPERSKY, SUN., SUPPORT, SYBARI, SYMANTEC, SYSTEM CONFIGURATION, TEST, TREND, TRUST, UPDATE, UTILITY,VAKSIN, VIRUS, W3., WINDOWS SECURITY.VBS, WWW, XEROX, XXX, YOUR, ZDNET, ZEND, ZOMBIE

Tujuan dari aksi ini adalah jelas untuk memproteksi dirinya supaya tidak mudah dibasmi. Selain itu Rontokbro juga berusaha menyerang website: israel.gov.il dan playboy.com Dengan cara membanjiri dengan ping. Namun dampak dari aktivitas ini hanya akan terasa kalau komputer yang terinfeksi mencapai jumlah yang sangat banyak (e.g. 10.0000 komputer) yang pada kasus tertentu dapat mengakibatkan website yang diserang menjadi lumpuh/down.

Bagaimana kalau sudah terinfeksi Rontokbro

Pembersihan Rontokbro sebaiknya dilakukan melalui "safe mode" karena jika mencoba pembersihan melalui mode "normal" komputer akan langsung restart begitu komputer dijalankan.

1. Lakukan pembersihan melalui "safe mode".

2. Scan komputer dengan Norman Virus Control update terakhir. Bagi anda yang belum neggunakan Norman Virus Control, silahkan download kehttp://www.norman.com/Download/Trial_versions/en-us (jangan lupa masukkan email anda yang valid untuk menerima License Trial) dan bersihkan semua file yang terdeteksi sebagai W32/Rontokbro@mm dan variannya.

3. Untuk mengaktifkan kembali fungsi registry editor hapus value: DisableRegistryTools =1HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polic ies\System Untuk lebih mudahnya gunakan tools dari HijackThis, tools tersebut dapat didownload dialamat:http://www.spywareinfo.com/~merijn/downloads.html Setelah dijalankan, cari optionHKCU\Software\Microsoft\Windows\CurrentVersion\Policies, DisableRegedit=1, kemudian klik [Fix checked] Gunakan HijackThis untuk membuka blokir regedit.exe yang dilakukan oleh Rontokbro

Hapus registry:

Bron-Spizaetus

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run

Tok-Cirrhatus

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Disable CMD=0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polic

ies\System

Untuk mengembalikan option [Folder option] pada windows explore, hapus

string registry:

NoFolderOptions=dword:00000001

pada registry key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polic

ies\Explorer

4. Hapus opsi pada menu [Startup] pada msconfig

- NorBtok

- Smss

- Empty

5. Hapus Schedule Task yang dibuat oleh W32/RontokBro.B

a. Buka [Windows Explorer]

b. Klik [Control Panles]

c. Klik 2 kali [Schedule Tasks]

How to remove Rontokbro.N

Virus lokal yang aktif di mode “safe mode”

Dewasa ini penyebaran virus lokal sudah semakin pesat, merekapun berlomba-lomba dalam membuat suatu virus sehingga varian-varian barupun bermunculan dengan sedikit modifikasi pada script yang mereka buat jadilah varian baru yang siap menyerang siapa saja dan kapan saja, walau media penyebaran yang digunakan masih sederhana tetapi terbukti masih efektif hal ini ditunjang dengan semakin banyaknya user yang menggunakan media disket/USB Flash Disk. USB FlashDisk kini makin digemari dikalangan pengguna computer karena mudah dibawa dan mempunyai kapasitas yang lebih besar dari pada disket serta mempunyai ukuran yang kecil, dengan adanya trend seperti ini rupanya dimanfaatkan oleh sebagian kecil orang sebagai media yang cocok dan mudah untuk menyebarkan virus yang mereka buat, maka lahirlah virusvirus lokal yang kita kenal sekarang ini. Perkembangan virus lokal sebenarnya sudah dikenali sejak lama sejak jamannya virus Pesin, dari sinilah mulai bermunculan virus-virus lokal yang baru sebut saja Lavist, kangen, riyanni_jangkaru aau Tabaru, kumis, fawn yosa dan terakhir Rontokbro, itulah sebagian nama-nama virus lokal yang pernah menjadi “momok” dalam beberapa bulan yang lalu, walaupun sebagian besarantivirus sudah dapat mengenali virus tersebut tetapi karena penyebarannya terbatas dilingkungan tertentu maka jika ada varian dari virus tersebut akan

sangatlah sulit untuk dideteksi olah karena itu sebaiknya gunakan antivirus yang mempunyai dukungan support lokal. Dari sekian banyak virus lokal yang ada hanya 3 virus yang berhasilmembumi yaitu Rontokbro, kangen dan fawn. Tetapi dari 3 jenis virus tersebut hanya Rontokbro yang mampu memberikan kerugian yang cukup besar dibandingkan dengan yang virus lokal yang lain. Dengan up-date terbaru antivirus Norman sudah dapat mengenali virus ini dengan baik.

Kelemah Safemode berhasil diketahui Rontokbro.

Rontokbro adalah jenis virus lokal pertama yang dapat menyebar melalui email berbeda dengan virus lokal lain yang hanya dapat menyebar melalui dikset/USB, Komputer yang terinfeksi Rontokbro akan melakukan restart hal ini sama seperti yang dilakukan oleh virus Kumis dan virus Sasser/Blaster, bedanya komputer yang terinfeksi Rontokbro akan restart jika menjalankan suatu program aplikasi tertentu seperti regedit, msconfig atau task manager, up-date pacth yang anda lakukan tidak akan membawa dampak apa-apa karena virus ini tidak mengeksploitasi celah keamanan seperti yang dilakukan oleh Sasser/Blaster proses restartnya pun tidak memunculkan hitungan mundur seperti yang dilakukan oleh virus Sasser/Blaster, satu hal yang menjadi kelebihan dari virus ini dimana walaupun komputer dalam posisi “safe mode” komputer akan tetap restart jika menjalankan program aplikasi seperti regedit, msconfig bahkan ketika menjalankan tools seperti pocket Killbox atau HijackThis, dimana kita tahu jika komputer dijalankan dalam mode “safe mode”virus yang menginfeksi komputer tersebut tidak aktif, tetapi tidak halnya dengan Rontokbro suatu kemajuan yang luar biasa rupanya team pembuat Rontokbro sudah mengetahui titik kelemahan yang ada pada mode “safe mode”, lalu mengapa hal ini tidak digunakan oleh para pembuat virus non lokal bukankah mereka mempunyai pengalaman dan pengetahuan yang jauh lebih banyak ? Satu lagi jempol untuk pembuat Rontokbro.Berdasarkan pemantauan yang dilakukan oleh Vaksincom(www.vaksin.com) banyak user yang terinfeksi virus Rontokbro, ini dibuktikan dengan banyaknya user yang berkonsultasi dengan Vaksincom baik melalui email, telepon maupun forum Vaksincomhttp://forum.vaksin.com dari sekian pengaduan yang ada sebagian besar mengeluhkan komputer mereka terinfeksi virus Rontokbro varian N dimana virus ini akan menyebabkan komputer restart walau dalam posisi “safe mode” sekalipun, oleh karena itu team Vaksincom mencoba untuk memberikan sedikit trik dan tips yang dapat digunakan untuk mengatasi virus Rontokbro apalagi bagi mereka yang belum menggunakan Norman Virus Control sehingga belum dapat mengenali varian ini dengan baik :).

Sebelum melangkah ke masalah bagaimana cara pembersihan Rontokbro ada baiknya mengetahui secara umum apa yang dilakukan oleh

Rontokbro. File yang terinfeksi Rontokbro.N mempunyai ukuran sebesar 42kb dengan icon folder tetapi dengan extension EXE, jika dijalankan akan membuatbeberapa file yaitu:

C:\Windows dengan nama file eksplorasi.exe (hidden)

C:\Windows\shellnew dengan nama sempalong.exe (hidden)

C:\WINDOWS\system32 dengan nama %username"s Setting.scr (hidden)

C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file

- Bron.tok-x-y, dimana x dan y menunukan angka

- Loc.Mail.Bron.Tok, berisi alamat email yang diperoleh dari computer yang terinfeksi

- Ok-SendMail-Bron-tok, berisi email yang berhasil dikirim

- csrss.exe

- inetinfo.exe

- Kosong.Bron.Tok.txt

- lsass.exe

- NetMailTmp.bin

- services.exe

- smss.exe

- Update.3.Bron.Tok.bin

- winlogon.exe

C:\Documents and Settings\bagle\Start Menu\Programs\Startup nama file Empty

C:\Documents and settings\%Users%\Templates Brengkolang.com

Ciri-ciri Virus Rontokbro

Membuat file pada setiap folder dimana file ini mempunyai nama yang sama dengan folder tersebut dengan ciri-ciri

- Icon yang digunakan berupa Folder

- Ukuran file 42 Kb

- Ekstension .EXE

Rontokbro juga akan melakukan perubahan pada file C:\AUTOEXEC.BAT dengan menambahkan baris perintah “ PAUSE”. Agar Rontokbro dapat aktif begitu komputer dinyalakan, ia akan membuat registry beberapa registry key yaitu:

Bron-Spizaetus

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Tok-Cirrhatus

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Shell dengan value Explorer.exe “C:\Windows\Eksplorasi.exe”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\

Winlogon,

Disable Registry editor

Seperti kebanyakan virus yang ada, virus ini juga akan menonaktifkan program yang dimungkinkan dapat mempersingkat keberadaan “mereka” diantaranya fungsi registry editor dengan menambahkan sebuah registry key:

DisableRegistryTools =1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

\System

Jika fungsi registry editor dijalankan maka akan muncul pesan error. Pesan yang muncul jika komputer yang terinfeksi Rontokbro berusaha mengakses Registry Editor.

DisableCMD

Pada registry

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

\System

Selain menambahkan string pada registry key, virus in juga akan menambahkan option di menu [startup] pada msconfig. Sempalong Smss Empty

Menyembunyikan Folder Option

Rupanya virus ini belajar dari rekan-rekannya, dimana virus ini akan menghilangkan [folder options] pada menu [tools] pada [Windows explorer], sehingga user tidak akan bisa menampilkan setiap file yang disembunyikan (hidden) oleh virus tersebut, dengan menambahkan string value:

“NoFolderOptions"=dword:00000001

pada registry key

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Folder Option yang dihilangkan oleh ROntokbro supaya user tidak bisa

merubah settingan folder option

Task Schedule 5.08 PM

Rontonbrojuga akan membuat task schedule pada windows dimana schedule ini akan dijalankan setiap jam 5.08 PM, dengan menjalankan file yang berada didirektori:

C:\Documents and Settings\%Users%\Templates

Schedule yang dibuat oleh Rontokbro menjalankan file tertentu setiap 5:08 PM.

Kemungkinan hal ini digunakan untuk mengupdate dirinya.

Restart Komputer Otomatis

Salah satu kelebihan yang dimiliki oleh Rontokbro adalah dapat menyebabkan komputer restart, jangan harap up-date patch dapat menyelesaikan masalah ini, hal ini disebabkan karena Rontokbro tidak mengeksploitasi celah keamanan seperti yang biasa digunakan oleh virus Sasser atau Blaster.Rontokbro akan merestart komputer jika anda berusaha menjalankan suatu program tertentu seperti regedit, msconfig bahkan jika anda menjalankan software pengganti Task manager seperti pocket Killbox bahkan HijackThis dan salah satu kelebihan lain yang dimiliki adalah kemampuannya untuk merestart komputer walaupun dalam mode “safe mode” walapun, oleh karena itu dibutuhkan trik untuk menangani masalah tersebut. kemungkinan besar pembuat Rontokbro selalu mengikuti saran dan perkembangan terakhir sehingga ia akan makin sulit dibasmi karena selalu mengupdate dirinya.

Curi Alamat Email

Rontokbro akan mengambil alamat email pada semua file yang mengandung ext. .asp .cfm .csv .doc .eml .html .php .txt .wab

Lewat Disket/USB Flash Disk

Selain menyebar melaui email, Rontokbro juga akan menyebar melalui Disket/USB dengan membuat file pada folder/subfolder yang ada didisket/USB atau pada root USB itu sendiri, file yang diciptakan tersebut mempunyai ciri-ciri:

Icon menyerupai Folder, Ukuran 42 Kb, Ext. EXE

Rontokbro juga akan mencoba untuk melakukan koneksi dengan mengirimkan ping request ke salah satu situs dewasa seperti kaskus.com dan 17tahun.com, hal ini lah salah satu faktor yang dapat dapat memperlambat system komputer tetapi karena penyebaran koneksi internet di Indonesia relative masih lambat, dampak dari hal ini akan kurang terasa pada user dialup rumahan karena tidak selalu terkoneksi dan dampak terbesar akses ke duasitus tersebut akan besar pengaruhnya jika komputer yang terkena Ronrokbro adalah komputer rumahan yang memiliki koneksi ADSL dan selalu terkoneksi ke internet, komputer Warnet atau kantor yang selalu terkoneksi ke internet. Seperti layaknya antivirus, Rontokbro juga mencoba untuk melakukan up-date ke salah satu situs yang sudah ditentukan, jadi jangan lengah

sebaiknya up-date antivirus Anda agar tidak menjadi korban berikutnya dan jangan lupa agar tidak sembarangan dalam bertukar data melalui disket/usb satu tips yang mungkin berguna adalah dengan mengenali jenis file yang akan dijalankan, dan upayakan untuk selalu menampilkan ekstesi dari file tersebut agar dapat mengetahui type dari file tersebut. Satu cara yang efektif untukmencegah Rontokbro adalah dengan menggunakan antivirus yang memberikan support lokal sehingga definisinya dapat mengimbangi munculnya varian baru Rontokbro yang sampai saat ini masih terus dikeluarkan.

Cara membersihkan Rontokbro

1. Lakukan pembersihan melalui “safe mode”

2. Matikan proses virus

Untuk mematikan proses tersebut sebaiknya jangan menggunakan program pocket killbox atau HijackThis karena komputer akan langsung restart jika anda menjalan kan tools ini, kami sarankan untuk menggunakan tools lain yang seperti PROCEXP.EXE dapat didownload di situs

http://www.sysinternals.com/Utilities/ProcessExplorer.html

Hapus proses dengan cara "klik kanan nama proses" dan pilih "kill prosess tree", agar tidak salah dalam penghapusan cari proses yang mempunyai icon "folder", seperti:

- smss.exe

- services.exe

- winlogon.exe

Anda juga dapat melakukan langkah berikut:

a. Restart komputer dan masuk dalam mode "safe mode with command prompt”, dengan cara menekan tombol [F8] ketika komputer restart, hal ini dimaksudkan agar virus Rontokbro tidak aktif pada posisi ”safe mode” dan komputer tidak melakukan restart selama proses pembersihan.

b. Setelah masuk mode ”Command Prompt” tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu [File] pilih [New Task (Run..), kemudian ketik [explorer] pada jendela [create new task file] setelah itu klik enter.

c. Kemudian akan muncul layar desktop (layaknya masuk ke mode "safe mode")

d. Aktifkan kembali fungsi registry editor dan hapus string yang dibuat oleh virus, tulis script seperti yang ada pada angka [3], kemudian simpan menjadi nama file "repair.inf", setelah itu jalankan file tersebut dengan cara: klik kanan file [repair.inf] kemudiani pilih [install]

e. Hapus option [Smss], [Empty] dan [Sempalong] pada msconfig di tabulasi [startup)

f. Agar ”Folder option” pada windows explorer dapat muncul, restart kembali komputer dan lakukan seperti langkah pada point (a dan b)

g. Setelah komputer masuk ke mode "safe mode" tampilkan semua file yang disembuyikan (lakukan perubahan ini pada "folder option", lihat gambar yang ada pada point [5], selanjunya ikuti petunjuk pembersihan Rontokbro seperti yang ada pda point (6-9)

3. Tulis script berikut dan simpan di notepade beri nama file repair.inf, jalankan file tersebut (klik kanan [repair.inf] pilih [install]), hal ini dimaksudkan untuk mengqaktifkan kembali fungsi registry editor, menampilkan kembali [folder option] serta menghapus string yang telah dibuat oleh virus

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1""

%*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1""

%*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1""

%*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM,

Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1""

%*"

HKLM, SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]

HKCU,

Software\Microsoft\Windows\CurrentVersion\Policies\System,Disabl

eRegistryTools

HKCU,

Software\Microsoft\Windows\CurrentVersion\Policies\System,Disabl

eCMD

HKCU,

Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFol

derOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-

Cirrhatus

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-

Spizaetus

4. Restart komputer dan masuk kembali ke mode "safe mode" jangan ke posiosi "normal" karena file induk dari virus ini masih ada (eksplorasi.exe dan sempalong.exe)

5. Tampilkan file yang disembunyikan, lakukan perubahan ini pada [folder Option] untuk memunculkan kembali file hidden dengan Folder Option.

6. Hapus file yang dibuat oleh Rontokbro

- C:\Windows dengan, nama file eksplorasi.exe (hidden)

- C:\windows\shellnew, dengan nama sempalong.exe(hidden)

- C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden)

- C:\Windows\pss, dengan nama file [Empty.pifStartup]

- C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file

- Bron.tok-[x]-[y], di mana [X] dan [Y] menunjukan angka

- Loc.Mail.Bron.Tok

- Ok-SendMail-Bron-tok

- csrss.exe

- inetinfo.exe

- Kosong.Bron.Tok.txt

- lsass.exe

- NetMailTmp.bin

- services.exe

- smss.exe

- Update.3.Bron.Tok.bin

- winlogon.exe

- smss.exe

7. Edit kembali file autoexec.bat di direktori C:\ dan hapus baris perintah [pause]

8. Hapus scheduled tasks yang dibuat oleh Rontokbro (klik [Start], [Settings], [Control Panel], kemudian klik 2 kali menu [scheduled tasks].

9. Hapus file yang dibuat oleh virus, untuk lebih cepatnya gunakan fasilitas [serach]

· Klik [Start]

· Klik [Search], kemudian klik [For Files or Folders]

· Kemudian pilih [All files or Folders]

· Klik option [What size is it ?]

· Kemudian pilih option [Specify Size (in Kb)]

· Pada kombo Box, pilih [At most] kemdian isi ukuran file dengan angka [43], setelah itu klik [Search]

· Setelah proses pencarian selesai, sortir berdasarkan ukuran (size), kemudian hapus file yang mempunyai ukuran 42 kb, jangan sampai terjadi kesalahan dalam penghapusan file karena ada beberapa file windows yang mempunyai ukuran 42 kb, cari file yang icon folder dengan extension. EXE Untuk pembersihan lebih cepat sebaiknya anda gunakan antivirus yang sudah dapat mengenali Rontokbro.N jangan lupa update antivirus yang terinstall, sebagai informasi antivirus Norman dengan up date terakhir sudah dapat menganali virus ini dengan baik.

Tips Untuk Menghindari Virus RontokBro

Berikut ada beberapa tips dan trik yang dapat digunakan terhindar dari serangan virus lokal

1. Jangan sembarangan dalam melakukan pertukaran data melaui disket/usb

2. Patikan disket/Usb bersih dari virus dengan melakukan scan terhadap disket/usb sebelum digunakan.

3. Kenali jensi file yang akan dijalankan

4. Biasakan untuk menampilkan extensi file, hal ini dimaksudkan untuk mengetahui jenis file sebelum dijalankan.

5. Rajin mengikuti perkembangan virus

6. Install antivirus yang mempunyai dukungan support lokal dan up-date otomatis

NgeRontokin virus Brontok

Virus ini bertipe worm (dapat menduplikasi diri), dan menyebar melalui attachment email (email virus). Nama lain virus: brontok, Rontokbro. Virus ini kira2 pertama kali menyebar di bulan September 2005, dibuat oleh orang Indonesia karena signature email nya berbahasa Indonesia dan juga isi virus dalam binari dan dan menemukan nama-nama fungsi dalam kode ascii merupakan kata-kata bahasa Indonesia seperti keluarDOng(), dsb.

Langkah-langkah membersihkan komputer dari virus Barontok:

(Untuk win 95, 98, ME)

- Masuk ke safe mode: Reboot lalu setelahh muncul tampilan bios tekan Ctrl, pilih Safe mode dan tekan enter

- Lanjut langsung mulai dari langkah 5

(Untuk windows ME dan XP)

Matikan System Restore Windows Start->Settings->Control panel->System atau Start->Control PAnel->System

pada System restore tab... pilih opsi "Turn off System Restore"

(Untuk Win 2000, XP Home/Pro, Server 2003)

1. Reboot dan masuk ke safe mode.

** Restart windows, setelah muncul tampilan BIOS tekan F8, akan ada pilihan:

Safe mode, Normal,.... pilih safe mode lalu tekan enter

2. Setelah itu masuk windows dengan login administrator atau user lain yang mempunyai auth sebagai administrator,

3. Buat User account baru DENGAN account type: Computer Administrator lalu logoff dan login dengan account yang baru dibuat.

Menghilangkan autostart virus di registry

4. Buka regedit: Start menu->Run->Regedit.exe lalu tekan enter Di panel kiri pilih key:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersi

on>Run

lalu di panel kanan, hapus key:

Bron-Spizaetus = "........"

Di panel kiri pilih key:

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>

Run

lalu di panel kanan, hapus key:

Tok-Cirrhatus = "......"

** Catatan:

Jika regedit tidak dapat dibuka (muncul pesan error)., ini merupakan salah satu akibat virus barontok.

Untuk itu telah dibuat file untuk mengatasi masalah tsb:

Download file PatchRegKey.inf (600 Bytes / gak nyampe 1 KB) di:

http://students.if.itb.ac.id/~if12031/kios/PatchRegKey.inf

http://www.geocities.com/aquata1ne/PatchRegKey.inf

http://www.8rf.com/download/PatchRegKey.inf

Setelah di download, klik kanan file tsb lalu pilih "Install" lalu lanjutkan langkah

4. Menghilangkan autostart virus di scheduled task

5. Buka Secheduled Task di Control Panel: Start->Settings->Control Panel-

>Scheduled Task lalu tekan enter

Hapus task dengan nama "At1" atau apapun yang berhubungan dengan virus.

Tips: Klik kanan task->properties, lalu lihat isi properties dan jika ad isi command yang mencurigakan contoh: BArontok.com , dsb.. hapus task tersebut.

Cari dan Hapus file-file virus di seluruh drive komputer

6. Aktifkan opsi Show hidden Files dan Ekstensi:

Start->Settings->Control panel atau

Start->Control Panel

Klik Folder Options dan pada Tab view aktifkan opsi:

a. Show hidden files&Folders dan matikan opsi

b. Hide Extensions for known file types

c. Hide Protected Operating System

7. Gunakan Search File Windows: Start->Search lalu tekan enter

Cari di seluruh drive windows yang ad: C,D, .... pada input Search for files or folders names masukkan: *.exe lalu pada search options pilih opsi Range Size-> At most: 81 Kb dan pada Advanced Options pilih opsi Search system folders, search hidden files&folders, search subfolders pilihan lain biarkan kosong Lalu klik search now.. Pada hasil pencarian di panel kanan hapus semua file yang:

a. berukuran TEPAT 80 kb DAN

b. file nya berekstensi *.exe / *.pif / *.com / *.bat DAN

c. File nya memiliki icon folder/direktori windows

** Perhatian: hapus hanya file yang memenuhi SEMUA kondisi di atas dan BUKAN yang memenuhi salah satu saja. (File yang sering ditemukan: Barontok.com, ElnorB.exe, cari file ini)

* Tips: Sort hasil pencarian berdasarkan size untuk memudahkan penghapusan

* Catatan: Cara ini merupakan cara heuristic berdasarkan pengalaman dan eksperimen (e.g: ditemukan bahwa virus tsb berukuran 80 Kb), dipilih untuk pencarian lebih cepat dibandingkan melihat pattern file satu2 secara manual.

7. Ulangi langkah ke-7 atas dengan input search file: *.pif, *.com, *.bat

Proses Akhir

8. Jika ada, Hapus semua shortcut virus Startup Menu di setiap account profile:

C:/Document Settings/

** Saran: jika memungkinkan misal pada komputer pribadi dan bukan multi user, hapus user account

selain user account yang dibuat pada langkah 3 di atas (misal: Administrator).

9. Reboot dan masuk windows seperti biasa.

Catatan: Cara ini sudah BERHASIL diterapkan di banyak komputer (pastikan Anda sudahmengikuti semua langkah di atas) Jika ingin cara yang palih mudah tentunya Anda harusmendownload Software Anti-Brontok.

DOWNLOAD ANTI-VIRUS KHUSUS RONTOKBRO plus Tips dan Trik

Mengapus RontokBro secara Tuntas berbentuk file .doc:

http://www.8rf.com/download

by: nobikichi