-->

Senin, 16 Maret 2009

Brontok Versi Baru


Catatan Penting
Saya tidak akan memberitahukan detail proses reverse engineering Brontok, karena sepertinya pembuat brontok sangat memperhatikan semua hal yang tertulis di Internet untuk memperbaiki virusnya. Misalnya ketika dia mengetahui bahwa kompresor Mew dapat dibongkar dengan UnMew, maka pembuatnya segera mengganti dengan kompresor lain. Setelah mengetahui bahwa programnya dapat dengan mudah dibunuh dengan KillVB, atau dengan merename MSVBVM60.DLL (dari mode DOS), maka dia mengganti bahasa yang dipakainya menjadi Visual C++.


Pembuat virus yang sangat rajin
Saya telah mengkritik banyak hal mengenai brontok dalam tulisan saya sebelumnya. Sekarang pembuat virus sudah memperbaikinya. Perbaikan yang dilakukannya adalah sebagai berikut:
1. Virus sekarang ditulis menggunakan Visual C++, sehingga tidak bisa lagi dibunuh menggunakan KILLVB ( Sesuai namanya, KillVB hanya membunuh proses Visual Basic). Ini juga berarti bahwa mengubah atau menghapus file MSVBVM60.DLL tidak lagi bisa menghentikan Brontok.
2. Virus mengganti nama %systemroot%\system32\MSVBVM60.DLL menjadi nama lain (msvbvm60.dll.) agar beberapa aplikasi VB, dan virus yang bergantung pada VB tidak lagi berjalan. Perhatikan bahwa jika Anda memiliki file MSVBVM60.DLL di tempat lain dalam path Anda, maka file Visual Basic (termasuk juga brontok versi lama) masih akan bisa dijalankan.
3. Pesan email yang dikirim virus sekarang ditulis dalam bahasa Inggris dan Indonesia, namun pesan yang dibuat dalam file teks tetap berbahasa Indonesia.
4. Virus tidak lagi merestart komputer, tapi menutup aplikasi dengan judul window tertentu.
5. Virus tidak lagi memiliki MD5 yang tetap meskipun memiliki ukuran yang tetap, sehingga program penghapus yang berbasis MD5 tidak akan bekerja dengan benar. Brontok mengubah dirinya sendiri ketika diaktifkan. Perubahan dilakukan terhadap nama section pada portable executable header.
6. Dulu isi mail dan attachment didownload dari Internet, sekarang isi attachment ada pada brontok. Brontok akan mengirimkan sebuah file ZIP bernama Photos.zip di dalamnya terdapat file Photo.bmp (ini sebenarnya file executable), dan file View Photo.bat. Jika Anda mengklik file Photo.bmp maka tidak akan terjadi apa-apa, tapi jika Anda mengklik file View Photo.bat, file Photo.bmp akan dijalankan. Untuk menutupi aksinya, program Photo.bmp akan berpura-pura menjalankan program mspaint.exe.
7. Program Photo.bmp adalah downloader yang akan mendownload file executable dari Internet dan menjalankan file yang didownload tersebut (isi filenya bisa apa saja).
8. Brontok menambahkan beberapa key registry, dan makin banyak menggunakan nama file dan nama key registry yang acak.
9. Brontok tidak lagi melakukan DDOS terhadap situs-situs tertentu. Hal ini merupakan hal yang baik karena Brontok memakan bandwidth sangat banyak. Sebagai gantinya, brontok sekarang memblok akses ke berbagai situs dengan memodifikasi file HOSTS. (Situs compactbyte.com merupakan salah satu situs yang diblok)
Perkembangan kemampuan pembuat virus brontok
Kemampuan pembuat virus ini cukup berkembang. Program dalam bahasa C yang dibuatnya sudah lumayan baik untuk seorang pemula, namun tidak menunjukkan adanya penggunaan teknik tingkat lanjut (misalnya pembuat virus ini kurang memanfaatkan fungsi sprintf dalam manipulasi stringnya). Pembuatan program dalam bahasa C ini masih suatu terjemahan langsung dari source code dalam VB dan belum dioptimasi dengan baik.
Pembersihan
Gunakan CompactbyteAV atau antivirus lain. Saya tidak lagi memberikan langkah pembersihan mendetail karena banyak orang awam yang masih bingung dengan langkah yang saya berikan dan banyak yang menanyakan langkah yang lebih detail lagi. Ukuran file CompactbyteAV kurang dari 50kb (versi saat ini sekitar 35kb), sehingga dapat dengan mudah Anda simpan di USB Disk.

1 komentar:

the beauty of riau mengatakan...

ada lagi ya varian baru brontok, wah pastinya makin ganas nih..takut..ah...