Key Features
Get more out of your workday with a range of business features: conference calling, voice recording, notepad, integrated handsfree speaker, talking ringtones, and Nokia Team Suite, In-Device Search and message reader
Send messages using an extensive range of options: SMS, MMS and email to defined groups of people
Access business functions quickly and easily: One Touch keys for conference calls, mute/unmute, and contacts
Talk around the world with 3G and quad-band GSM coverage on up to five continents
Show your sense of style with the slim, stylish slide design
Work hard, play hard – listen to your favorite tunes or watch video clips with the music and media players
Take snapshots with the 2 megapixel camera
Full Specifications
Operating Frequency
WCDMA 2100 MHz
Quad-band: EGSM 850/900/1800/1900 MHz
Voice over IP (VoIP) calls via integrated WLAN
WLAN: 802.11b, 802.11g*
WLAN Security: WPA2-Enterprise, WPA2-Personal, WPA-Enterprise, WPA-Personal
WLAN Quality of Service: WMM, U-APSD
* WiFi Alliance Certifications pending
Dimensions
Volume: 74 cc
Weight: 115 g
Length: 105 mm
Width: 49 mm
Thickness (max): 15.5 mm
Display
Active-matrix QVGA color display (240 x 320 pixels) with color support for up to 16 million colors
Display contrast and brightness control
Back to top
User Interface
S60 3rd Edition, built on the Symbian operating system
One Touch keys for mute/unmute, contacts, and conference calling
Five-way Nokia Navi™ key with two customizable soft keys, power key that can be used as profile key, and My Own key
S60 edit key located on the side of the device
Volume keys on the side of the device
Imaging
Take snapshots with the 2 megapixel camera
Multimedia
Video and audio streaming (3GPP & Real Media)
RealPlayer (MP4)
Music player (MP3/AAC) and media player
Open Mobile Alliance (OMA) digital rights management (DRM) 1.0 with forward lock
Back to top
Memory Functions
Up to 50 MB user memory
MicroSD memory card support
Messaging
Read email with attachments: Supports POP/IMAP, SMTP, IMAP4 with idle protocols, Nokia Intellisync Wireless Email 8.0 and a variety of third-party email clients: Mail for Exchange 1.5 (delivered via Nokia Downloads! Application), Visto Mobile v5.5, RIM BlackBerry Connect v2.1, and Good Mobile Messaging (email clients are dependent on operator variant)
Instant messaging client (OMA IMPS 1.2)
Multimedia Messaging Service (MMS, ver. 1.2) for text, voice clips, video clips, and still images
SMS and MMS with distribution lists
Predictive text input T9
Back to top
Applications
Symbian and Java™ MIDP 2.0-based games and applications
Attachment viewers for documents, spreadsheets, and presentations
Connectivity
Dual Transfer Mode (MSC 9)
Bluetooth 1.2 wireless technology
Pop-Port™ connector
IrDA with transfer rate up to 115 kbps
Back to top
Browsing
HTML Nokia browser
xHTML browser (HTTP stack)
Data Transfer
EGPRS multi-slot class 32 for 5 + 3 (receive + transmit) timeslots (up to 6 timeslots total for maximum download speeds of up to 296 kbps)
Multi-slot class 32 is also supported with GPRS for a maximum downlink rate of 67 kbps
Remote and local (peer-to-peer) synchronization of calendar, contacts, notes and to-do list via Bluetooth technology, IR, or USB connectivity cable
Digital Services
Over the air (OTA) downloads for ringtones, contacts, email, WAP, MMS, operator logos, and user group icons
Image upload/download
Smart content upload/download
Downloadable instrumental MIDI ringing tones
Back to top
Voice Features
Conference calling
One Touch keys for direct access to contacts, mute/unmute, and conference calling
Voice dialing
Voice commands for menu short cuts, keypad lock, and profiles
Voice recording to record your own notes or conversations
Talking ringtones mix the name of the caller with the ringtone so you know who’s calling without looking at the screen
Integrated handsfree speaker
Supported speech codecs: EFR, FR, AMR NB, HR
Personal Information Management (PIM)
Calendar with monthly, weekly, daily views, contacts, to-do list, and notepad for short notes – all viewable while managing a phone call
Back to top
Other Features
Add-on solutions enable integration into enterprise private branch exchange (PBX) infrastructure
Sales Package Contents
Nokia E65 phone
Nokia Battery BL-5F
Nokia Travel Charger AC-4
Nokia Headset HS-5 (black)
Nokia Connectivity Cable CA-53
Nokia Carrying Pouch CP-18
Nokia microSD card 256MB (APAC only)
Power Management
Battery Talk time* Standby time*
Battery BL-5F GSM: Up to 3 - 6 hrs
WCDMA: Up to 1.8 - 2.5 hrs GSM: Up to 7 - 11 days
WCDMA: Up to 8 - 14 days
GSM/WCDMA and WLAN:
Up to 4 - 5 days
* Operation times vary depending on the network and usage
Back to top
Certification Information (SAR) >>
The availability of the product and its features depends on your area and service providers, so please contact them and your Nokia dealer for further information. These specifications are subject to change without notice.
Product Legal Notice
Copyright © 2007 Nokia. All rights reserved.
Nokia, Nokia Connecting People and Pop-Port and E65 are trademarks or registered trademarks of Nokia Corporation. Java is a trademark of Sun Microsystems, Inc. Bluetooth is a registered trademark of Bluetooth SIG, Inc. Other product and company names mentioned herein may be trademarks or trade names of their respective owners.
Nokia operates a policy of continuous development. Nokia reserves the right to make changes and improvements to any of the products described in this document without prior notice.
Specifications are subject to change without notice.
The availability of particular products, services and features may vary by region. Please check with the Nokia dealer nearest you.
Services and some features may be dependent on the network and/or SIM card as well as on the compatibility of the devices used and the content formats supported.
Some services, like the email, may require a separate subscription. Contact your service providers for availability and further details.
Operation times vary depending on network and usage.
The XHTML browser is designed for browsing content in XHTML format and can be used to view pages that support this format. Appearance may vary due to the limited screen size and some details of the page may not be visible.
Please check roaming agreement availability with your network operator.
The availability of some features and technologies, like the Bluetooth wireless technology and voice over internet protocol technology may vary by country and the related services and/or products are not approved for importation or use everywhere. Please check with the local authorities.
The Nokia E65 business device's display supports a resolution of 240 x 320 pixels. The image resolution in the product material may appear different.
Back to top
Read More..
Minggu, 05 Agustus 2007
Nokia 6110 Navigator
Key Features
One touch navigation button provides easy access to GPS function and maps
With HSDPA for fast web browsing and downloading of maps
2 megapixel camera and QVGA TFT 2.2" screen
Keeping your images crystal clear with lens slide protection screen
Listen to your messages read aloud with Message reader
Full Specifications
Operating Frequency
GSM/EDGE Quadband 850/900/1800/1900 MHz
WCDMA HSDPA 2100 MHz
Back to top
Dimensions
Volume: 89 cc
Weight: 125 g
Length: 101 mm
Width: 49 mm
Thickness (max): 20 mm
Back to top
Display
16 million colors Active TFT, QVGA 320 x 240 pixels, 2.2 inch display
Analog light sensor
Back to top
User Interface
S60 user interface
Active standby screen
Keys Front: Send/End keys (Power key integrated to end key), Symbian application launcher key, Navigator key, Navi scroll key and Clear key. Inside: ITU Numeric keys. Side: Dedicated Camera key, Volume keys and My own key, predefined either message reader/enhanced voice commands or Push to talk (PoC)
Themes Flashlite 2.0
Back to top
Imaging
2 megapixel camera; with up to 4x digital zoom
Secondary CIF+ camera for video call
Flash modes: on, off, automatic
Panorama, horizontal camera mode
Dedicated camera key
Video call, video sharing and video streaming
Video: Video recording and playback
Media player -MPEG-4, H. 263 and H.264 support, Photo and video editors
Integrated flash LED
Camera protection slide movement activates camera
3GPP H.263 video playback and streamlining
Back to top
Multimedia
Visual Radio: Listen to music and interact with your favorite radio stations
Find out what song is playing, who sings it, and other artist information
Enter contests and answer surveys, vote for your favorite songs
Download the songs you buy direct to your phone
Integrated FM radio
MP3 player supporting MP3, MP4, AAC, eAAC+ and WMA, progressive download from music player
Stereo speakers with 3D Sound, Stereo IHF
Macromedia Flash Player
Back to top
Navigation *
Fully integrated GPS Navigation solution: Nokia Navigator application in device and navigable digital maps with points of interests in MicroSD card, Navigator key for easy access
Integrated GPS, A-GPS OMA SUPL and 3GPP assistance
DVD including purchasable extra maps and mini-USB cable for map transfer in inbox
Stereo speakers and Stereo headset with send/end, volume control, PoC and microphone mute function for good navigation guidance audio
Map PC management part included into PC-Suite
Dedicated mobile holder available as outbox item
*Digital cartography can be inaccurate and incomplete to some extent. The availability and accuracy of GPS and related services are dependent, among other things, on wireless networks and satellite systems. They may not function in all areas or at all times. Therefore never rely solely on the aforementioned material and services e.g. for essential communications like emergencies. This product and its contents are made for non-commercial private use only.
This product should not be used by the driver of a motor vehicle while driving. Always keep your hands free to operate a vehicle while driving. Obey all local laws. Your first consideration while driving should be road safety.
To the maximum extent permitted by applicable law, Nokia Corporation, its subsidiaries and licensors hereby disclaim all liability arising out of any use of this product and its contents.
Back to top
Memory Functions
40 MB built-in memory
Options to expand up to 2 GB with microSD card
Back to top
Messaging
Push e-mail (IMAP4 idle and OMA EMN) with attachment viewers (Excel, PPT, Word)
Message reader (SMS and e-mails with high quality text-to-speech)
MMS 1.2 for image message creation, receiving, editing and sending (300k)
Instant Messaging
Back to top
Java™ Applications
Java™ MIDP 2.0
Back to top
Ringing Tones
Supported file formats: MP3, AAC, 64-chord polyphonic ringing tones
Video ringtones
3D stereo ringing tones
Stereo widening
Back to top
Connectivity
Bluetooth 2.0 (A2DP/AVRCP) and enhanced data rate (EDR)
Local/Remote over-the-air (OTA) synchronization with SyncML
Local synchronization with PC using PC Suite
USB (version no 2.0 full speed) with mini-USB interface
Back to top
Browsing
xHTML browsing over TCP/IP
Nokia web browser with Mini Map
Full OMA provisioning and OTA SW update (FOTA)
OMA DRM 2.0, OMA DRM 2.0 video
Back to top
Data Transfer
GPRS/EGPRS: Class B, multislot class 32
WCDMA HSDPA 2100 with simultaneous voice and packet data (PS max speed UL/DL = [384/384] kbps, CS max speed 64 kbps)
Dual transfer mode (DTM) support for simultaneous voice and packet data connection in GSM/EDGE networks
Switch - device to device data transfer
Back to top
Call Management
SIM-less operation
Presence enhanced contacts
Back to top
Push to talk over Cellular (PoC)*
Push to talk over cellular network via user customizable key
*Please note that this service is operator dependent
Back to top
Digital Services
Video streaming services
Back to top
Voice Features
Voice dialing
Voice commands
Speech codec support for NB-AMR, AMR, FR, EFR
Back to top
Personal Information Management (PIM)
Advanced Series 60 PIM features including calendar, contacts and active notes
PDF reader
Back to top
Other Features
Internal antenna (WCDMA/GSM, BT, GPS)
Internal vibra
39 Input languages: Arabic, Bulgarian, Chinese (Trad and Simp), Croatian, Czech, Danish, Dutch, English, Estonian, Farsi, Finnish, French, German, Greek, Hebrew, Hindi, Hungarian, Icelandic, Indonesian, Italian, Latvian, Lithuanian, Malay, Norwegian, Pilipino, Polish, Portuguese, Roma-nian, Russian, Serbian, Slovak, Slovene, Spanish, Swedish, Thai, Turkish, Ukrainian, Urdu, Vietnamese.
User customizable key, predefined for voice and message reader/PoC
Back to top
Sales Package Contents
Nokia 6110 Navigator phone
Nokia Battery BP-5M
Nokia Travel Charger AC-4
Nokia Stereo Headset HS-42
USB data cable, Nokia DKE-2
CD-ROM with Nokia PC-Suite including Map management part and add on applications
User Guide and Benefit Guide
Nokia microSD Card 512MB (MU-28)
DVD-ROM with extra maps provided by Navigation vendors
Back to top
Power Management
Battery Talk time* Standby time*
BP-5M GSM: Up to 3.5 hrs;
WCDMA: Up to 2.5 hrs GSM/WCDMA:
Up to 11days
* Op Read More..
One touch navigation button provides easy access to GPS function and maps
With HSDPA for fast web browsing and downloading of maps
2 megapixel camera and QVGA TFT 2.2" screen
Keeping your images crystal clear with lens slide protection screen
Listen to your messages read aloud with Message reader
Full Specifications
Operating Frequency
GSM/EDGE Quadband 850/900/1800/1900 MHz
WCDMA HSDPA 2100 MHz
Back to top
Dimensions
Volume: 89 cc
Weight: 125 g
Length: 101 mm
Width: 49 mm
Thickness (max): 20 mm
Back to top
Display
16 million colors Active TFT, QVGA 320 x 240 pixels, 2.2 inch display
Analog light sensor
Back to top
User Interface
S60 user interface
Active standby screen
Keys Front: Send/End keys (Power key integrated to end key), Symbian application launcher key, Navigator key, Navi scroll key and Clear key. Inside: ITU Numeric keys. Side: Dedicated Camera key, Volume keys and My own key, predefined either message reader/enhanced voice commands or Push to talk (PoC)
Themes Flashlite 2.0
Back to top
Imaging
2 megapixel camera; with up to 4x digital zoom
Secondary CIF+ camera for video call
Flash modes: on, off, automatic
Panorama, horizontal camera mode
Dedicated camera key
Video call, video sharing and video streaming
Video: Video recording and playback
Media player -MPEG-4, H. 263 and H.264 support, Photo and video editors
Integrated flash LED
Camera protection slide movement activates camera
3GPP H.263 video playback and streamlining
Back to top
Multimedia
Visual Radio: Listen to music and interact with your favorite radio stations
Find out what song is playing, who sings it, and other artist information
Enter contests and answer surveys, vote for your favorite songs
Download the songs you buy direct to your phone
Integrated FM radio
MP3 player supporting MP3, MP4, AAC, eAAC+ and WMA, progressive download from music player
Stereo speakers with 3D Sound, Stereo IHF
Macromedia Flash Player
Back to top
Navigation *
Fully integrated GPS Navigation solution: Nokia Navigator application in device and navigable digital maps with points of interests in MicroSD card, Navigator key for easy access
Integrated GPS, A-GPS OMA SUPL and 3GPP assistance
DVD including purchasable extra maps and mini-USB cable for map transfer in inbox
Stereo speakers and Stereo headset with send/end, volume control, PoC and microphone mute function for good navigation guidance audio
Map PC management part included into PC-Suite
Dedicated mobile holder available as outbox item
*Digital cartography can be inaccurate and incomplete to some extent. The availability and accuracy of GPS and related services are dependent, among other things, on wireless networks and satellite systems. They may not function in all areas or at all times. Therefore never rely solely on the aforementioned material and services e.g. for essential communications like emergencies. This product and its contents are made for non-commercial private use only.
This product should not be used by the driver of a motor vehicle while driving. Always keep your hands free to operate a vehicle while driving. Obey all local laws. Your first consideration while driving should be road safety.
To the maximum extent permitted by applicable law, Nokia Corporation, its subsidiaries and licensors hereby disclaim all liability arising out of any use of this product and its contents.
Back to top
Memory Functions
40 MB built-in memory
Options to expand up to 2 GB with microSD card
Back to top
Messaging
Push e-mail (IMAP4 idle and OMA EMN) with attachment viewers (Excel, PPT, Word)
Message reader (SMS and e-mails with high quality text-to-speech)
MMS 1.2 for image message creation, receiving, editing and sending (300k)
Instant Messaging
Back to top
Java™ Applications
Java™ MIDP 2.0
Back to top
Ringing Tones
Supported file formats: MP3, AAC, 64-chord polyphonic ringing tones
Video ringtones
3D stereo ringing tones
Stereo widening
Back to top
Connectivity
Bluetooth 2.0 (A2DP/AVRCP) and enhanced data rate (EDR)
Local/Remote over-the-air (OTA) synchronization with SyncML
Local synchronization with PC using PC Suite
USB (version no 2.0 full speed) with mini-USB interface
Back to top
Browsing
xHTML browsing over TCP/IP
Nokia web browser with Mini Map
Full OMA provisioning and OTA SW update (FOTA)
OMA DRM 2.0, OMA DRM 2.0 video
Back to top
Data Transfer
GPRS/EGPRS: Class B, multislot class 32
WCDMA HSDPA 2100 with simultaneous voice and packet data (PS max speed UL/DL = [384/384] kbps, CS max speed 64 kbps)
Dual transfer mode (DTM) support for simultaneous voice and packet data connection in GSM/EDGE networks
Switch - device to device data transfer
Back to top
Call Management
SIM-less operation
Presence enhanced contacts
Back to top
Push to talk over Cellular (PoC)*
Push to talk over cellular network via user customizable key
*Please note that this service is operator dependent
Back to top
Digital Services
Video streaming services
Back to top
Voice Features
Voice dialing
Voice commands
Speech codec support for NB-AMR, AMR, FR, EFR
Back to top
Personal Information Management (PIM)
Advanced Series 60 PIM features including calendar, contacts and active notes
PDF reader
Back to top
Other Features
Internal antenna (WCDMA/GSM, BT, GPS)
Internal vibra
39 Input languages: Arabic, Bulgarian, Chinese (Trad and Simp), Croatian, Czech, Danish, Dutch, English, Estonian, Farsi, Finnish, French, German, Greek, Hebrew, Hindi, Hungarian, Icelandic, Indonesian, Italian, Latvian, Lithuanian, Malay, Norwegian, Pilipino, Polish, Portuguese, Roma-nian, Russian, Serbian, Slovak, Slovene, Spanish, Swedish, Thai, Turkish, Ukrainian, Urdu, Vietnamese.
User customizable key, predefined for voice and message reader/PoC
Back to top
Sales Package Contents
Nokia 6110 Navigator phone
Nokia Battery BP-5M
Nokia Travel Charger AC-4
Nokia Stereo Headset HS-42
USB data cable, Nokia DKE-2
CD-ROM with Nokia PC-Suite including Map management part and add on applications
User Guide and Benefit Guide
Nokia microSD Card 512MB (MU-28)
DVD-ROM with extra maps provided by Navigation vendors
Back to top
Power Management
Battery Talk time* Standby time*
BP-5M GSM: Up to 3.5 hrs;
WCDMA: Up to 2.5 hrs GSM/WCDMA:
Up to 11days
* Op Read More..
Nokia N90
Key Features
Browse the Internet and transfer media-rich files via HSDPA (up to 3.6 Mbit/s enabled) and 3G high-speed mobile broadband
Increase mobile productivity with applications for viewing and editing documents
Talk on every continent with quad-band GSM and automatic switching between bands
Access voice and data functions quickly and easily with convenient shortcut keys
Locate meeting venues, restaurants, and places of interest with the integrated GPS
Send images captured with the integrated 3.2 megapixel camera with flash and autofocus
Full Specifications
Operating Frequency
GSM quad-band (850/900/1800/1900) MHz
WCDMA 2100 MHz
Dimensions
Volume: 140 cc
Weight: 210 g
Length: 132 mm
Width: 57 mm
Thickness (max): 20 mm
Display
Inner: Active matrix color display (800 x 352 pixels), 16 million true colors
Outer: Active matrix color display (240 x 320 pixels), 16 million true colors
Back to top
User Interface
S60 Platform 3.1 Edition
Symbian OS Version 9.2
Java™ MIDP 2.0
Imaging
3.2 megapixel camera with flash and autofocus
QCIF camera for video calling
Multimedia
Video calling
FM radio
Music player (MP3, AAC)
Realplayer (streaming audio, video and MP4 video files)
Back to top
Memory Functions
Up to 128 MB free memory for user data and applications
Expandable up to 2GB with microSD memory card
Messaging
Supports POP3, IMAP4, and SMTP Support for mobile email, including Nokia Intellisync Wireless Email 8. and a variety of third-party email clients: Mail for Exchange 1.5 (delivered via Nokia Downloads! Application), Visto Mobile v5.5, and RIM BlackBerry Connect v2.1
View, open, and edit email attachments with Quickoffice (documents, spreadsheets, and presentations), Zip Manager, and Adobe Acrobat Reader
Text-to-speech message reader
MMS and SMS
Back to top
Applications
Quickoffice tools with editors
Maps application for location-based services
Nokia Office Tools 1.1 (including Active notes)
VoIP 2.1
Download! Application to get more applications
Support for Nokia Intellisync Mobile Suite
WorldMate, Wireless Presenter, and Global Race – Raging Thunder - available for download via Downloads! application
Connectivity
Integrated WLAN
WLAN: 802.11b, 802.11g*
WLAN Security: WPA2-Enterprise, WPA2-Personal, WPA-Enterprise, WPA-Personal
WLAN Quality of Service: WMM, U-APSD
Mini USB, USB 2.0 full-speed
Bluetooth wireless technology 2.0
2.5mm Nokia A/V connector with ECI
Infrared (up to 115 kbps)
* WiFi Alliance Certifications pending
Back to top
Browsing
Web browser (x)HTML
JavaScript 1.3 and 1.5 supported
Flash Lite 2.0 supported
Data Transfer
WLAN 802.11b, 802.11g*
HSDPA up to 3.6Mbit/s enabled
WCDMA 2100 MHz with simultaneous voice and packet data
GPRS/EGPRS (Class A, MSC 32)
3GPP rel 5
Dual transfer mode MSC11, SAIC rel v1
* WiFi Alliance Certifications pending
Back to top
Voice Features
Voice dialing
Voice commands for menu short cuts, keypad lock, and profiles
Voice recording for making notes or recording conversations
Internet Call release 2.1 for making VoIP (voice over IP) calls
Text-to-speech message reader
Enhanced voice commands with speaker-independent name dialing (SIND), and voice aid for eyes-free control of core functions
Integrated handsfree speaker
Push to talk (PoC)
Personal Information Management (PIM)
Nokia Team Suite
Calendar attachment support
Meeting requests to calendar
Contacts with images
Nokia Active Notes application
Back to top
Other Features
Integrated GPS
Support for Nokia Intellisync file sync and device management
Stereo FM radio
Vibrating alert feature
Sales Package Contents
Nokia E90 Communicator
Nokia Battery BP-4L (1500 mAh)
Nokia Wired Stereo Headset (HS-47)
Nokia Travel Charger (AC-4)
Nokia Connectivity Cable (DKE-2)
Memory card (microSD 512MB) - content may vary at country level
Quick Start Guide
User Manual
DVD ROM including the Nokia PC suite application
Leather Pouch
Power Management
Battery Talk time* Standby time*
BP-4L GSM: Up to 5 hrs GSM: Up to 14 days
* Operation times vary depending on the network and usage
Back to top
The availability of the product and its features depends on your area and service providers, so please contact them and your Nokia dealer for further information. These specifications are subject to change without notice.
Product Legal Notice
Copyright © 2007 Nokia. All rights reserved.
Nokia, Nokia Connecting People and Pop-Port and E90 are trademarks or registered trademarks of Nokia Corporation. Java is a trademark of Sun Microsystems, Inc. Bluetooth is a registered trademark of Bluetooth SIG, Inc. Other product and company names mentioned herein may be trademarks or trade names of their respective owners.
Nokia operates a policy of continuous development. Nokia reserves the right to make changes and improvements to any of the products described in this document without prior notice.
Specifications are subject to change without notice.
The availability of particular products, services and features may vary by region. Please check with the Nokia dealer nearest you.
Services and some features may be dependent on the network and/or SIM card as well as on the compatibility of the devices used and the content formats supported.
Some services, like the email, may require a separate subscription. Contact your service providers for availability and further details.
Operation times vary depending on network and usage.
The XHTML browser is designed for browsing content in XHTML format and can be used to view pages that support this format. Appearance may vary due to the limited screen size and some details of the page may not be visible.
Please check roaming agreement availability with your network operator.
The availability of some features and technologies, like the Bluetooth wireless technology and voice over internet protocol technology may vary by country and the related services and/or products are not approved for importation or use everywhere. Please check with the local authorities.
The Nokia E90 Communicator business device's display supports a resolution of 800 X 352 pixels (inner display) and 240 x 320 pixels (outer display). The image resolution in the product material may appear different.
The availability of the product and its features depends on your area and service providers, so please contact them and your Nokia dealer for further information. These specifications are subject to change without notice. Read More..
Browse the Internet and transfer media-rich files via HSDPA (up to 3.6 Mbit/s enabled) and 3G high-speed mobile broadband
Increase mobile productivity with applications for viewing and editing documents
Talk on every continent with quad-band GSM and automatic switching between bands
Access voice and data functions quickly and easily with convenient shortcut keys
Locate meeting venues, restaurants, and places of interest with the integrated GPS
Send images captured with the integrated 3.2 megapixel camera with flash and autofocus
Full Specifications
Operating Frequency
GSM quad-band (850/900/1800/1900) MHz
WCDMA 2100 MHz
Dimensions
Volume: 140 cc
Weight: 210 g
Length: 132 mm
Width: 57 mm
Thickness (max): 20 mm
Display
Inner: Active matrix color display (800 x 352 pixels), 16 million true colors
Outer: Active matrix color display (240 x 320 pixels), 16 million true colors
Back to top
User Interface
S60 Platform 3.1 Edition
Symbian OS Version 9.2
Java™ MIDP 2.0
Imaging
3.2 megapixel camera with flash and autofocus
QCIF camera for video calling
Multimedia
Video calling
FM radio
Music player (MP3, AAC)
Realplayer (streaming audio, video and MP4 video files)
Back to top
Memory Functions
Up to 128 MB free memory for user data and applications
Expandable up to 2GB with microSD memory card
Messaging
Supports POP3, IMAP4, and SMTP Support for mobile email, including Nokia Intellisync Wireless Email 8. and a variety of third-party email clients: Mail for Exchange 1.5 (delivered via Nokia Downloads! Application), Visto Mobile v5.5, and RIM BlackBerry Connect v2.1
View, open, and edit email attachments with Quickoffice (documents, spreadsheets, and presentations), Zip Manager, and Adobe Acrobat Reader
Text-to-speech message reader
MMS and SMS
Back to top
Applications
Quickoffice tools with editors
Maps application for location-based services
Nokia Office Tools 1.1 (including Active notes)
VoIP 2.1
Download! Application to get more applications
Support for Nokia Intellisync Mobile Suite
WorldMate, Wireless Presenter, and Global Race – Raging Thunder - available for download via Downloads! application
Connectivity
Integrated WLAN
WLAN: 802.11b, 802.11g*
WLAN Security: WPA2-Enterprise, WPA2-Personal, WPA-Enterprise, WPA-Personal
WLAN Quality of Service: WMM, U-APSD
Mini USB, USB 2.0 full-speed
Bluetooth wireless technology 2.0
2.5mm Nokia A/V connector with ECI
Infrared (up to 115 kbps)
* WiFi Alliance Certifications pending
Back to top
Browsing
Web browser (x)HTML
JavaScript 1.3 and 1.5 supported
Flash Lite 2.0 supported
Data Transfer
WLAN 802.11b, 802.11g*
HSDPA up to 3.6Mbit/s enabled
WCDMA 2100 MHz with simultaneous voice and packet data
GPRS/EGPRS (Class A, MSC 32)
3GPP rel 5
Dual transfer mode MSC11, SAIC rel v1
* WiFi Alliance Certifications pending
Back to top
Voice Features
Voice dialing
Voice commands for menu short cuts, keypad lock, and profiles
Voice recording for making notes or recording conversations
Internet Call release 2.1 for making VoIP (voice over IP) calls
Text-to-speech message reader
Enhanced voice commands with speaker-independent name dialing (SIND), and voice aid for eyes-free control of core functions
Integrated handsfree speaker
Push to talk (PoC)
Personal Information Management (PIM)
Nokia Team Suite
Calendar attachment support
Meeting requests to calendar
Contacts with images
Nokia Active Notes application
Back to top
Other Features
Integrated GPS
Support for Nokia Intellisync file sync and device management
Stereo FM radio
Vibrating alert feature
Sales Package Contents
Nokia E90 Communicator
Nokia Battery BP-4L (1500 mAh)
Nokia Wired Stereo Headset (HS-47)
Nokia Travel Charger (AC-4)
Nokia Connectivity Cable (DKE-2)
Memory card (microSD 512MB) - content may vary at country level
Quick Start Guide
User Manual
DVD ROM including the Nokia PC suite application
Leather Pouch
Power Management
Battery Talk time* Standby time*
BP-4L GSM: Up to 5 hrs GSM: Up to 14 days
* Operation times vary depending on the network and usage
Back to top
The availability of the product and its features depends on your area and service providers, so please contact them and your Nokia dealer for further information. These specifications are subject to change without notice.
Product Legal Notice
Copyright © 2007 Nokia. All rights reserved.
Nokia, Nokia Connecting People and Pop-Port and E90 are trademarks or registered trademarks of Nokia Corporation. Java is a trademark of Sun Microsystems, Inc. Bluetooth is a registered trademark of Bluetooth SIG, Inc. Other product and company names mentioned herein may be trademarks or trade names of their respective owners.
Nokia operates a policy of continuous development. Nokia reserves the right to make changes and improvements to any of the products described in this document without prior notice.
Specifications are subject to change without notice.
The availability of particular products, services and features may vary by region. Please check with the Nokia dealer nearest you.
Services and some features may be dependent on the network and/or SIM card as well as on the compatibility of the devices used and the content formats supported.
Some services, like the email, may require a separate subscription. Contact your service providers for availability and further details.
Operation times vary depending on network and usage.
The XHTML browser is designed for browsing content in XHTML format and can be used to view pages that support this format. Appearance may vary due to the limited screen size and some details of the page may not be visible.
Please check roaming agreement availability with your network operator.
The availability of some features and technologies, like the Bluetooth wireless technology and voice over internet protocol technology may vary by country and the related services and/or products are not approved for importation or use everywhere. Please check with the local authorities.
The Nokia E90 Communicator business device's display supports a resolution of 800 X 352 pixels (inner display) and 240 x 320 pixels (outer display). The image resolution in the product material may appear different.
The availability of the product and its features depends on your area and service providers, so please contact them and your Nokia dealer for further information. These specifications are subject to change without notice. Read More..
Minggu, 22 Juli 2007
spam
Fighting against the spam invasion
You've got mail... sort of.
Unsolicited Commercial Email (UCE) or spam, as it is commonly called is becoming an expensive waste of our lives. My 7 year old does not need an inexpensive source for Viagra or a way to consolidate all his debt! But the ads keep coming, wasting countless thousands of hours for corporations, government workers, educators, and individual email users regardless of age, nationality, or gender.
Imagine… you are taking a group of children on an outing to a nearby park. Along the way, some older kids are goofing around and begin throwing rocks at you and your kids. How do you go after them?
If you could whip out your magic cell phone and identify each of the troublemakers, with name, address, and phone number for parents, school administrator, and supervisor at work, you’d be able to bring quite a bit of pressure on each of them to knock it off.
Rewind to the pile of spam you received in your mailbox last week. If you could figure out where it came from, and who is trying to profit by sending you all the unwanted ads, you might be able to bring enough pressure on them to remove your name from their database of chumps.
Let me stop here for a moment and say that there is “anti-spam” software that many Internet Service Providers (ISPs) install on their mail servers to block unsolicited commercial email before it gets to your box. The problem is that sometimes it removes good mail, and you never find out… until your Aunt calls you to ask why you never came to the reunion.
There are ways to combat spam without using spam filtering software. Here are a few strategies. You can get really carried away, as you’ll see after item 3:
1 - Install spam filtering anti-virus software on your PC
I run Trend Micro's PC Cillin product which comes with a spam filter for my inbox. This doesn't work for my mailbox if I use something like MSN or Comcast webmail. But it works great if I use a POP3 mail client like Outlook Express or Outlook.
The way it works is that every piece of mail passes through the antivirus software's spam filter before getting dropped in my local Inbox. If it matches the spam filter's criteria, then the word "SPAM:" is affixed to the front to let me know this is probably spam.
Next, I created a mail rule (use help in your mail client if you don't know how to create rules) that looks for "SPAM:" in the subject line. If it's there, the rule directs the message to a Junk Mail folder I created (use help in your mail client if you don't know how to make a new folder).
Once a day, I scan through the Junk Mail folder to make sure something I really care about didn't get filtered by the antivirus software. If it did, I go into the email section of the AV software and add that name, or the whole domain to the "Safe Senders" list. If it's all junk, then I hit CTRL-A to select all, and then Delete.
It's a lot easier than picking the junk mail one by one out of my Inbox.
2 - Protect your primary email address
Open a mailbox for public identification (registrations on websites). Consider it your spam mail box and go in to clean out the garbage every week or so. If you get mail there you care about, forward it to your private (real) mailbox. Hotmail and Yahoo both offer free email accounts. (When you register there, you will need to give them your real email address, as they will want to be able to contact you.
Never use your private (real) mailbox to register for services on the web, or on warranty registration cards. Unless you know the organization and trust that they will not sell, rent, or divulge your email address, only give out your public (spam) mail address.
If you have a website, and want people to be able to send to your email address, you are opening yourself up. The spammers have software that scours web pages looking for valid email addresses. It used to be that you could use a "mail-to" link, such as – Email to: Jon Richardson – and embed a link to your address behind the name, to made it more difficult to harvest valid addresses. But spamming tools have evolved. It will make things a little more difficult for this software to collect your mail address. To safeguard you and your co-workers, you should look into address hiding software, such as that listed on the spam.abuse.net website. If an employer posts an open web page with the email addresses for all staff in plain text (addresses all spelled out), it will be very easy for spammers to populate their databases and begin spamming everyone on staff.
If you've "really had it" and want to get serious about combating spam, read on.
3 - It’s too late baby… they’ve got me on their lists in China, Turkey, and Orlando!
Remember the teenagers, the rocks, and the magic cell phone? You can track these spammers down and make their efforts to spam you more expensive. They have to have an ISP of their own, and they have to agree to abide by that ISP's terms and conditions, which usually includes not using the ISP's network to send out spam.
Tracking and Complaining: When I get spam in my real mailbox, I hold two things in mind: “the ISPs are not at fault” and “all I want is my name removed from all mass mailing lists.”
Message header: depending on your mail client, you may or may not see the actual message header by default. It shows you the path the message took to get to your mailbox. This leads you to who sent out the spam in the first place. Check out the UXN site to learn more about interpreting the message header.
Websites advertised: these are the people who hope to profit by sending out the spam. This is the magic cell phone part where you put on your Sherlock Holmes hat and go after the teenagers with the rocks. The UXN site can help you here too!
Use “Traceroute”: Once you know what mail server the spam came from and what web server they are advertising, you can figure out who the ISPs are that provide service to the spammers. A simple tool to use on a Windows platform computer is a DOS command called “tracert” To run this command, you open a DOS window, and type
tracert computername (there is a space after tracert)
computername could be the IP address of the mail server or the webserver’s URL name
Traceroute shows you the path to get from your computer to the spammer’s mail server or webserver, whichever you entered. Usually, the last entry just before the end is the address that belongs to the spammer’s ISP. (You have an entry in the magic cell phone). Do this over for the other addresses you have.
Back on the UXN spam tracking page, when you entered the IP address for the mail server that sent the spam to your ISP, you got an “IP WHOIS” report. Copy this information in your spam complaint letter. Send email to the address identified as the administrator for that server. Repeat this step for the other contacts you dug up.
Compose your SPAM COMPLAINT and send it on its merry way. Following is an example of a spam complaint notice that I reuse every time I get spammed:
“You are receiving this spam complaint because the original UCE message either originated from, passed through, or is associated with an email/web account on your network. Remove me from all mass mailing lists. Enforce whatever acceptable use policies you have in place and stop this spammer from sending messages to my mailbox.
Thanks for your help.”
You may not have asked for the assignment, but you're now "Fighting against the spam invaders."
Limiting Spam (Tips) from the NY Attorney General's Office
Keep in mind: The ISP’s are not the problem.
Author's note: A lot has changed since I wrote the original version of this article in 2002. There are other methods used now (such as): enslaving home PCs and turning them into de facto spam servers (zombies) without the legitimate owner's knowledge. And you thought your computer was just getting old! You can still use method 3 if you feel so inclined, or enlisted. Read More..
You've got mail... sort of.
Unsolicited Commercial Email (UCE) or spam, as it is commonly called is becoming an expensive waste of our lives. My 7 year old does not need an inexpensive source for Viagra or a way to consolidate all his debt! But the ads keep coming, wasting countless thousands of hours for corporations, government workers, educators, and individual email users regardless of age, nationality, or gender.
Imagine… you are taking a group of children on an outing to a nearby park. Along the way, some older kids are goofing around and begin throwing rocks at you and your kids. How do you go after them?
If you could whip out your magic cell phone and identify each of the troublemakers, with name, address, and phone number for parents, school administrator, and supervisor at work, you’d be able to bring quite a bit of pressure on each of them to knock it off.
Rewind to the pile of spam you received in your mailbox last week. If you could figure out where it came from, and who is trying to profit by sending you all the unwanted ads, you might be able to bring enough pressure on them to remove your name from their database of chumps.
Let me stop here for a moment and say that there is “anti-spam” software that many Internet Service Providers (ISPs) install on their mail servers to block unsolicited commercial email before it gets to your box. The problem is that sometimes it removes good mail, and you never find out… until your Aunt calls you to ask why you never came to the reunion.
There are ways to combat spam without using spam filtering software. Here are a few strategies. You can get really carried away, as you’ll see after item 3:
1 - Install spam filtering anti-virus software on your PC
I run Trend Micro's PC Cillin product which comes with a spam filter for my inbox. This doesn't work for my mailbox if I use something like MSN or Comcast webmail. But it works great if I use a POP3 mail client like Outlook Express or Outlook.
The way it works is that every piece of mail passes through the antivirus software's spam filter before getting dropped in my local Inbox. If it matches the spam filter's criteria, then the word "SPAM:" is affixed to the front to let me know this is probably spam.
Next, I created a mail rule (use help in your mail client if you don't know how to create rules) that looks for "SPAM:" in the subject line. If it's there, the rule directs the message to a Junk Mail folder I created (use help in your mail client if you don't know how to make a new folder).
Once a day, I scan through the Junk Mail folder to make sure something I really care about didn't get filtered by the antivirus software. If it did, I go into the email section of the AV software and add that name, or the whole domain to the "Safe Senders" list. If it's all junk, then I hit CTRL-A to select all, and then Delete.
It's a lot easier than picking the junk mail one by one out of my Inbox.
2 - Protect your primary email address
Open a mailbox for public identification (registrations on websites). Consider it your spam mail box and go in to clean out the garbage every week or so. If you get mail there you care about, forward it to your private (real) mailbox. Hotmail and Yahoo both offer free email accounts. (When you register there, you will need to give them your real email address, as they will want to be able to contact you.
Never use your private (real) mailbox to register for services on the web, or on warranty registration cards. Unless you know the organization and trust that they will not sell, rent, or divulge your email address, only give out your public (spam) mail address.
If you have a website, and want people to be able to send to your email address, you are opening yourself up. The spammers have software that scours web pages looking for valid email addresses. It used to be that you could use a "mail-to" link, such as – Email to: Jon Richardson – and embed a link to your address behind the name, to made it more difficult to harvest valid addresses. But spamming tools have evolved. It will make things a little more difficult for this software to collect your mail address. To safeguard you and your co-workers, you should look into address hiding software, such as that listed on the spam.abuse.net website. If an employer posts an open web page with the email addresses for all staff in plain text (addresses all spelled out), it will be very easy for spammers to populate their databases and begin spamming everyone on staff.
If you've "really had it" and want to get serious about combating spam, read on.
3 - It’s too late baby… they’ve got me on their lists in China, Turkey, and Orlando!
Remember the teenagers, the rocks, and the magic cell phone? You can track these spammers down and make their efforts to spam you more expensive. They have to have an ISP of their own, and they have to agree to abide by that ISP's terms and conditions, which usually includes not using the ISP's network to send out spam.
Tracking and Complaining: When I get spam in my real mailbox, I hold two things in mind: “the ISPs are not at fault” and “all I want is my name removed from all mass mailing lists.”
Message header: depending on your mail client, you may or may not see the actual message header by default. It shows you the path the message took to get to your mailbox. This leads you to who sent out the spam in the first place. Check out the UXN site to learn more about interpreting the message header.
Websites advertised: these are the people who hope to profit by sending out the spam. This is the magic cell phone part where you put on your Sherlock Holmes hat and go after the teenagers with the rocks. The UXN site can help you here too!
Use “Traceroute”: Once you know what mail server the spam came from and what web server they are advertising, you can figure out who the ISPs are that provide service to the spammers. A simple tool to use on a Windows platform computer is a DOS command called “tracert” To run this command, you open a DOS window, and type
tracert computername (there is a space after tracert)
computername could be the IP address of the mail server or the webserver’s URL name
Traceroute shows you the path to get from your computer to the spammer’s mail server or webserver, whichever you entered. Usually, the last entry just before the end is the address that belongs to the spammer’s ISP. (You have an entry in the magic cell phone). Do this over for the other addresses you have.
Back on the UXN spam tracking page, when you entered the IP address for the mail server that sent the spam to your ISP, you got an “IP WHOIS” report. Copy this information in your spam complaint letter. Send email to the address identified as the administrator for that server. Repeat this step for the other contacts you dug up.
Compose your SPAM COMPLAINT and send it on its merry way. Following is an example of a spam complaint notice that I reuse every time I get spammed:
“You are receiving this spam complaint because the original UCE message either originated from, passed through, or is associated with an email/web account on your network. Remove me from all mass mailing lists. Enforce whatever acceptable use policies you have in place and stop this spammer from sending messages to my mailbox.
Thanks for your help.”
You may not have asked for the assignment, but you're now "Fighting against the spam invaders."
Limiting Spam (Tips) from the NY Attorney General's Office
Keep in mind: The ISP’s are not the problem.
Author's note: A lot has changed since I wrote the original version of this article in 2002. There are other methods used now (such as): enslaving home PCs and turning them into de facto spam servers (zombies) without the legitimate owner's knowledge. And you thought your computer was just getting old! You can still use method 3 if you feel so inclined, or enlisted. Read More..
Spyware Removal
Spyware Removal
Spyware is a common term these days in discussions about privacy and Internet use. When it gets a foothold in your computer, it's hard to get anything done. I think the term Foist-ware comes closer to describing what that software genre is that keeps unwanted content (ads) in front of us, directs our Internet Browser software to Porno, Casino, or other unwanted websites when we decide it’s time to go out cruising in Cyberspace.
You can live with the pestilence, hire someone to come out and clean things up, or educate yourself enough to know how to keep your system running the way it should. But beyond running right, some of this stuff can watch you while you are entering your password to do your online banking, as well as set up shop to use your computer remotely whether you are trying to work or not.
If you want to spend some time researching what all the different forms of malware are, here are some sites that usually have good information about the state of this "arms race": Read More..
Spyware is a common term these days in discussions about privacy and Internet use. When it gets a foothold in your computer, it's hard to get anything done. I think the term Foist-ware comes closer to describing what that software genre is that keeps unwanted content (ads) in front of us, directs our Internet Browser software to Porno, Casino, or other unwanted websites when we decide it’s time to go out cruising in Cyberspace.
You can live with the pestilence, hire someone to come out and clean things up, or educate yourself enough to know how to keep your system running the way it should. But beyond running right, some of this stuff can watch you while you are entering your password to do your online banking, as well as set up shop to use your computer remotely whether you are trying to work or not.
If you want to spend some time researching what all the different forms of malware are, here are some sites that usually have good information about the state of this "arms race": Read More..
Why bother keeping your workstation clean?
em just want to install a little program on your computer to log every keystroke you type in and find out more about you, your family, friends, enemies, etc. It’s their life to peep on others.
Trojans: Trojans are also refered to as backdoors programs. They allow the operator (whoever wrote or manages the software Trojan) to access your computer remotely and use it however they want. They might set up shop to spam people in France, Maine, and Hong Kong… or launch a web attack on a bank they are angry at. They typically don’t want you to find out about their software, so they try to keep a low profile and not pop up windows on your computer. But often, malware programs are not very stable, cause conflicts on your computer, and cause it too crash or behave strangely.
Viruses: Now-a-days, if a piece of malware is destructive to the data on your hard drive, it is referred to as a virus. If you don’t have up to date, high quality anti-virus software on your computer, you are most likely infected and have problems. I use and recommend Trend Micro products to all my clients because it works.
Worms: Worms really refer to how a piece of malware spreads itself… typically if a piece of mailware automatically delivers itself from one computer to another via email or file shares, it is refered to as a worm.
There are several things you can do to ensure you are not an easy target for malware.
1. Keep your operating system up to date by regularly running updates (Microsoft Windows Update is available as a drop down option under Tools in Internet Explorer).
2. If you must download free stuff from the Internet, you should download it to your home computer and read all 17 pages of fine print in the End User License Agreement (EULA) or realize that it is probably not as free (or fun, or cute, or happy) as it looks and avoid it altogether.
3. Scan your computer regularly using your antivirus software. Trend Micro has a free online scan tool which will clean up Viruses, Trojans, Adware, and Spyware. You can find it at http://housecall.trendmicro.com
4. Install good anti-malware software like Trend Micro’s (AntiSpyware) or Webroot’s (Spysweeper), especially if you are going to forage around in pirate territory on the Internet. Malicious websites will drop all sorts of junk on your computer if you go out there unprotected.
The best advice I can offer you, as much as I regret to say it, is to suspect everything you come across on the Internet – every webpage, every photograph, every pop up window, and especially every download - and ask yourself: “Is this coming from a source that I can really rely on that is not out to take advantage of me?”
When pop ups present themselves on my screen, I always use my mouse on the “X” in the upper right corner to close them. I’ve always heard this is the safer way than clicking on their “No Thanks” buttons. You can also use the “Alt F4” keys to close whatever window is open on top. This can be helpful if you get 75 advertisers opening windows in Internet Explorer.
Jon Richardson is the founder of Richardson Technology, a network consulting firm providing schools and businesses in the San Francisco Bay Area with computer technology leadership and consulting services. He can be reached at http://www.richardsontech.net
The Organizational Wizards - www.RescueMyOffice.com (Nancy Richardson) Read More..
Trojans: Trojans are also refered to as backdoors programs. They allow the operator (whoever wrote or manages the software Trojan) to access your computer remotely and use it however they want. They might set up shop to spam people in France, Maine, and Hong Kong… or launch a web attack on a bank they are angry at. They typically don’t want you to find out about their software, so they try to keep a low profile and not pop up windows on your computer. But often, malware programs are not very stable, cause conflicts on your computer, and cause it too crash or behave strangely.
Viruses: Now-a-days, if a piece of malware is destructive to the data on your hard drive, it is referred to as a virus. If you don’t have up to date, high quality anti-virus software on your computer, you are most likely infected and have problems. I use and recommend Trend Micro products to all my clients because it works.
Worms: Worms really refer to how a piece of malware spreads itself… typically if a piece of mailware automatically delivers itself from one computer to another via email or file shares, it is refered to as a worm.
There are several things you can do to ensure you are not an easy target for malware.
1. Keep your operating system up to date by regularly running updates (Microsoft Windows Update is available as a drop down option under Tools in Internet Explorer).
2. If you must download free stuff from the Internet, you should download it to your home computer and read all 17 pages of fine print in the End User License Agreement (EULA) or realize that it is probably not as free (or fun, or cute, or happy) as it looks and avoid it altogether.
3. Scan your computer regularly using your antivirus software. Trend Micro has a free online scan tool which will clean up Viruses, Trojans, Adware, and Spyware. You can find it at http://housecall.trendmicro.com
4. Install good anti-malware software like Trend Micro’s (AntiSpyware) or Webroot’s (Spysweeper), especially if you are going to forage around in pirate territory on the Internet. Malicious websites will drop all sorts of junk on your computer if you go out there unprotected.
The best advice I can offer you, as much as I regret to say it, is to suspect everything you come across on the Internet – every webpage, every photograph, every pop up window, and especially every download - and ask yourself: “Is this coming from a source that I can really rely on that is not out to take advantage of me?”
When pop ups present themselves on my screen, I always use my mouse on the “X” in the upper right corner to close them. I’ve always heard this is the safer way than clicking on their “No Thanks” buttons. You can also use the “Alt F4” keys to close whatever window is open on top. This can be helpful if you get 75 advertisers opening windows in Internet Explorer.
Jon Richardson is the founder of Richardson Technology, a network consulting firm providing schools and businesses in the San Francisco Bay Area with computer technology leadership and consulting services. He can be reached at http://www.richardsontech.net
The Organizational Wizards - www.RescueMyOffice.com (Nancy Richardson) Read More..
W32/Amor.A@mm
W32/Amor.A@mm 29 Juli 2006
Memalsukan Icon Folder dan menyebarkan diri via email
Penyebaran virus lokal kini mulai menyebarkan sayapnya, jika sebelumnya hanya menyebar melalui media Disket/UFD atatu file sharing kini mereka [virus] mulai menyebar menggunakan media lain yang dinilai lebih cepat diantaranya dengan menggunakan email dimana ia akan menyertakan sebuah attachment bervirus pada setiap email yang dikirimkannya, Rontokbro/mybro adalah salah satu contoh virus yang dapat menyebar memalui email selain rontokbro/mybro kini telah muncul virus lain yang juga akan menyebar melalui email, dengan update terbaru Norman mendetaksi sebagai W32/Amor.A@mm (lihat gambar 1).
Gambar 1, Norman Virus Control dapat mendeteksi Amor.A dengan baik
Sudah menjadi hobi dimana virus lokal akan menggunakan beberapa icon tertentu untuk mengecoh user menjalankan file tersebut guna menyebarkan virus tersebut, icon-icon favorit yang biasa digunakan oleh virus untuk mengelabui user diantaranya adalah icon MS Word, jpg, folder , winamp atau windows media player dan jika di teliti lebih jauh file tersebut akan mempunyai type file sebagai application hal ini bisa dilihat jika file/folder ditampilkan dalam mode “Detail”, begitupun dengan virus Amor.A dimana ia akan menggunakan icon Folder dengan ukuran sebesar 208 KB dan virus ini masih dibuat dengan menggunakan Visual Basic (lihat gambar 2).
Gambar 2, File yang sudah terinfeksi Amor.A
Dengan icon yang disamarkan sudah pasti akan mengecoh user sehingga dengan tidak sengaja menjalankan file tersebut (ketika mencoba mengakses folder yang dipalsukan tersebut) apalagi didukung dengan ekstensi dari file tersebut yang disembunyikan sehingga user menduga bahwa file tersebut merupakan “folder” bukan sebuah “file” , jika file tersebut dijalankan ia akan membuat file induk yang akan dijalankan pertama kali setiap kali komputer dijalankan, yakni:
- C:\Winnt\csrss.exe
Sebagai pendukung agar file tersebut dapat dijalankan, Amor.A akan membuat string pada registry editor, diantaranya adalah:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o Winlogon = C:\winnt\csrss.exe
Selain itu Amor.A juga akan membuat string lain pada registry editor:
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
o [Default] = File Folder
Media penyebaran
Untuk menyebarkan dirinya Amor.A akan menyebar melalui Disket/USB atau file sharing yakni dengan membuat file duplikat pada media tersebut, selain itu Amor.A juga akan menyebar melalui email dengan menyertakan lampiran berupa file yang sudah terinfeksi dengan terlebih dahulu akan mengambil semua alamat email yang ada di komputer yang terinfeksi, hal ini juga pernah dilakukan oleh rontokbro/mybro untuk menyebarkan dirinya. Tidak seperti team Olimpiade Fisika Indonesia yang mampu mengalahkan pesaingnya dari seluruh dunia, dibandingkan dengan virus mancanegara virus-virus lokal masih termasuk anak bawang dan belum mampu menandingi prestasi virus mancanegara yang merajai penyebaran melalui email seperti Mytob, Kamasutra dan Netsky.
Disable fungsi windows
Amor.A juga akan mencoba untuk mematikan beberapa fungsi windows diantaranya:
- Registry editor
- Run
- Control Panel
- System properties
- Search
- cmd [jika menjalankan perintah “taskkill” atau “tasklist”]
Tetapi Amor.A tidak akan mematikan fungsi Task Manager, msconfig maupun Folder Option.
Untuk mematikan beberapa fungsi Windows di atas, Amor.A akan membuat beberapa string pada registry editor:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
o NoRun
o NoFind
o NoControlPanel
o NoSetFolders
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
o Disabled = 1
Selain itu jika anda mencoba untuk membuka program Internet Explorer, maka komputer akan mengeluarkan “suara” setiap kali kursor digerakan pada layar Internet Explorer.
Duplikat File
Sebagai penutup Amor.A akan membuat file duplikat di setiap folder dan sub folder sesuai dengan nama folder dan sub folder tersebut dengan ciri-ciri:
- Menggunakan icoon “Folder”
- Ukuran 208 KB
- Type file “applicatioan” (lihat gambar 3)
Gambar 3, Amor.A akan membuat file duplikat disetiap Folder dan Subfolder
Cara membersihkan Amor.A
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
Jika menggunakan Windows ME/XP, matikan [system restore] untuk sementara selama proses pembersihan
Matikan proses Amor.A yang sedang aktif di memori, untuk mematikan proses tersebut anda dapat mengggunakan tools pengganti task manager seperti “proceexp”, kemudian matikan proses “csrss”, jangan sampai terjadi kesalahan pada waktu mematikan proses virus tersebut, matikan proses yang menggunakan icon “Folder” (lihat gambar 4)
Gambar 4, Gunakan program bantu Process Explorer untuk mematikan proses Amor.
Hapus string yang dibuat pada registry editor, untuk mempermudah proses pengapusan copy script berikut pada program notepad kemudian simpan menjadi repair.inf setelah itu jalankan file tersebut dengan cara:
Klik kanan “repair.inf”
Klik “install”
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, winlogon
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoControlPanel
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoSetFolders
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Hapus file induk virus Amor.A pada direktori
- C:\Winnt\Csrss.exe
Hapus file duplikat yang dibuat oleh Amor.A, dengan ciri-ciri:
- Menggunakan icon Folder
- Ukuran file 208 KB
- Type file “application”
Untuk proses pembersihan optimal dan mencegah infeksi ulang, gunakan antivirus yang dapat mengenali virus ini. Read More..
Memalsukan Icon Folder dan menyebarkan diri via email
Penyebaran virus lokal kini mulai menyebarkan sayapnya, jika sebelumnya hanya menyebar melalui media Disket/UFD atatu file sharing kini mereka [virus] mulai menyebar menggunakan media lain yang dinilai lebih cepat diantaranya dengan menggunakan email dimana ia akan menyertakan sebuah attachment bervirus pada setiap email yang dikirimkannya, Rontokbro/mybro adalah salah satu contoh virus yang dapat menyebar memalui email selain rontokbro/mybro kini telah muncul virus lain yang juga akan menyebar melalui email, dengan update terbaru Norman mendetaksi sebagai W32/Amor.A@mm (lihat gambar 1).
Gambar 1, Norman Virus Control dapat mendeteksi Amor.A dengan baik
Sudah menjadi hobi dimana virus lokal akan menggunakan beberapa icon tertentu untuk mengecoh user menjalankan file tersebut guna menyebarkan virus tersebut, icon-icon favorit yang biasa digunakan oleh virus untuk mengelabui user diantaranya adalah icon MS Word, jpg, folder , winamp atau windows media player dan jika di teliti lebih jauh file tersebut akan mempunyai type file sebagai application hal ini bisa dilihat jika file/folder ditampilkan dalam mode “Detail”, begitupun dengan virus Amor.A dimana ia akan menggunakan icon Folder dengan ukuran sebesar 208 KB dan virus ini masih dibuat dengan menggunakan Visual Basic (lihat gambar 2).
Gambar 2, File yang sudah terinfeksi Amor.A
Dengan icon yang disamarkan sudah pasti akan mengecoh user sehingga dengan tidak sengaja menjalankan file tersebut (ketika mencoba mengakses folder yang dipalsukan tersebut) apalagi didukung dengan ekstensi dari file tersebut yang disembunyikan sehingga user menduga bahwa file tersebut merupakan “folder” bukan sebuah “file” , jika file tersebut dijalankan ia akan membuat file induk yang akan dijalankan pertama kali setiap kali komputer dijalankan, yakni:
- C:\Winnt\csrss.exe
Sebagai pendukung agar file tersebut dapat dijalankan, Amor.A akan membuat string pada registry editor, diantaranya adalah:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o Winlogon = C:\winnt\csrss.exe
Selain itu Amor.A juga akan membuat string lain pada registry editor:
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
o [Default] = File Folder
Media penyebaran
Untuk menyebarkan dirinya Amor.A akan menyebar melalui Disket/USB atau file sharing yakni dengan membuat file duplikat pada media tersebut, selain itu Amor.A juga akan menyebar melalui email dengan menyertakan lampiran berupa file yang sudah terinfeksi dengan terlebih dahulu akan mengambil semua alamat email yang ada di komputer yang terinfeksi, hal ini juga pernah dilakukan oleh rontokbro/mybro untuk menyebarkan dirinya. Tidak seperti team Olimpiade Fisika Indonesia yang mampu mengalahkan pesaingnya dari seluruh dunia, dibandingkan dengan virus mancanegara virus-virus lokal masih termasuk anak bawang dan belum mampu menandingi prestasi virus mancanegara yang merajai penyebaran melalui email seperti Mytob, Kamasutra dan Netsky.
Disable fungsi windows
Amor.A juga akan mencoba untuk mematikan beberapa fungsi windows diantaranya:
- Registry editor
- Run
- Control Panel
- System properties
- Search
- cmd [jika menjalankan perintah “taskkill” atau “tasklist”]
Tetapi Amor.A tidak akan mematikan fungsi Task Manager, msconfig maupun Folder Option.
Untuk mematikan beberapa fungsi Windows di atas, Amor.A akan membuat beberapa string pada registry editor:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
o NoRun
o NoFind
o NoControlPanel
o NoSetFolders
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
o Disabled = 1
Selain itu jika anda mencoba untuk membuka program Internet Explorer, maka komputer akan mengeluarkan “suara” setiap kali kursor digerakan pada layar Internet Explorer.
Duplikat File
Sebagai penutup Amor.A akan membuat file duplikat di setiap folder dan sub folder sesuai dengan nama folder dan sub folder tersebut dengan ciri-ciri:
- Menggunakan icoon “Folder”
- Ukuran 208 KB
- Type file “applicatioan” (lihat gambar 3)
Gambar 3, Amor.A akan membuat file duplikat disetiap Folder dan Subfolder
Cara membersihkan Amor.A
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
Jika menggunakan Windows ME/XP, matikan [system restore] untuk sementara selama proses pembersihan
Matikan proses Amor.A yang sedang aktif di memori, untuk mematikan proses tersebut anda dapat mengggunakan tools pengganti task manager seperti “proceexp”, kemudian matikan proses “csrss”, jangan sampai terjadi kesalahan pada waktu mematikan proses virus tersebut, matikan proses yang menggunakan icon “Folder” (lihat gambar 4)
Gambar 4, Gunakan program bantu Process Explorer untuk mematikan proses Amor.
Hapus string yang dibuat pada registry editor, untuk mempermudah proses pengapusan copy script berikut pada program notepad kemudian simpan menjadi repair.inf setelah itu jalankan file tersebut dengan cara:
Klik kanan “repair.inf”
Klik “install”
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, winlogon
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoControlPanel
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoSetFolders
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Hapus file induk virus Amor.A pada direktori
- C:\Winnt\Csrss.exe
Hapus file duplikat yang dibuat oleh Amor.A, dengan ciri-ciri:
- Menggunakan icon Folder
- Ukuran file 208 KB
- Type file “application”
Untuk proses pembersihan optimal dan mencegah infeksi ulang, gunakan antivirus yang dapat mengenali virus ini. Read More..
Serangan Malware Indonesia Mei 2006
Serangan Malware Indonesia Mei 2006 14 Juni 2006
Umpan pendek VS Umpan lambung
Saat ini di seluruh dunia sedang menjalar demam aneh yang membuat korbannya tidak bisa kerja dengan baik, tidur larut malam sampai pada puncaknya nanti penderita penyakit jantung dikhawatirkan menjadi korban kalau terlalu terbawa perasaan menonton bola menjagokan team favoritnya. Dunia virus juga tidak mau kalah dan untuk Piala Dunia 2006 ini terdeteksi virus bola yang disebarkan adalah Troj/Haxdoor.IN dan virus Excel XF-97/Yagnuul.A. Menurut pengamatan Vaksincom ancaman virus Piala Dunia ini tidak terlalu signifikan, beda dengan Sober.N yang pada tahun 2005 sukses besar mengelabui penerima emailnya dengan iming-iming tiket menonton Piala Dunia gratis. Ancaman virus Indonesia pada bulan Mei - Juni 2006 masih di dominasi virus lokal yang mengalahkan virus impor (sayangnya hal ini tidak terjadi pada dunia persepakbolaan Indonesia sehingga masyarakat Indonesia terpaksa menjagokan negara lain) dengan kapten Rontokbro striker Decoy berhasil mengalahkan team virus luar negeri. Sayangnya virus lokal hanya merajai serangan pendek (penyebaran melalui UFD dan jaringan lokal) dan setiap kali bertempur menggunakan operan lambung (penyebaran melalui email) virus lokal masih belum mampu mengalahkan virus luar. Untuk penyebaran melalui email, virus impor seperti Kamasutra (Small.KL / Blackmal / Nyxem), MyTob dan beberapa varian Netsky masih tetap merajai jagad internet Indonesia dan disinyalir komputer-komputer yang menjadi korbannya adalah komputer yang tidak menggunakan antivirus yang terupdate dengan baik karena semua virus ini sudah terdeteksi oleh program antivirus.
IP-IP lokal yang aktif mengirimkan virus
Menurut pantauan Vaksincom, sampai dengan awal Juni 2006 saja IP-IP lokal masih belerot yang aktif mengirimkan virus. Di dominasi oleh Kamasutra dan MyTob dan dilengkapi dengan baik oleh keluarga Netsky. Jika anda menggunakan program antivirus yang terupdate harusnya virus-virus ini sudah mampu dikenali dan dibasmi dengan mudah oleh program antivirus apa saja yang terupdate, baik yang gratisan maupun yang berbayar (beda dengan virus lokal yang malahan sangat sulit dibasmi karena melakukan berusaha restart setiap kali dicoba untuk dibasmi). Namun pengguna internet Indonesia memang beraneka ragam dan hukum piramida tetap berlaku untuk hal ini. Jadi di dasar piramida terdapat pengguna yang paling banyak dan notabene merupakan pengguna awam yang dengan tingkat pengetahuan komputer dasar, di atasnya agak sedikit adalah pengguna yang memiliki pengetahuan yang sedang dan pada puncak piramida dengan jumlah paling sedikit adalah pengguna yang cukup pakar dan berpengalaman yang terdiri dari komunitas administrator, IT Specialist dan security specialist. Kabar buruknya, pengguna yang memiliki pengetahuan dasar / awam dan berpotensial menyebarkan virus merupakan komunitas terbanyak. Kabar baiknya, untuk terhindar dari ancaman virus anda tidak perlu menjadi pakar, yang perlu adalah perduli. Asalkan pengetahuan berkomputer yang aman dan baik disebarkan secara terus menerus dan konsisten, jumlah pengguna yang sadar sekuriti akan tinggi sehingga secara otomatis pengguna yang berpotensial mengancam sekuriti karena ketidaktahuan (yang saat ini jumlah infeksi nyatanya paling banyak) akan menurun.
Anda dapat berperan aktif dalam menekan penyebaran virus via email. Caranya adalah dengan melaporkan pada pemilik IP yang bersangkutan (umumnya dimiliki ISP, kirim email berisi bukti header email bervirus kepada administrator ISP yang bersangkutan) bahwa IP yang dimilikinya mengirimkan virus kepada anda. Bagaimana caranya mengetahui IP yang mengirimkan virus kepada anda ? Jika anda tertarik untuk mengetahuinya silahkan lihat artikel "Pro Aktif Hadapi Virus E-mail" pada PC Plus terbitan terbaru (Halaman 33, PCPlus No. 260, 13 - 26 Juni 2006).
Satu hal yang perlu digarisbawahi dalam mengidentifikasi IP ini adalah Administrator ISP tidak bersalah dan jangan dimarahi (kecuali dia menjamin jaringan ISP nya bebas virus, seperti satu ISP yang berlokasi di Jend. Sudiman, Jakarta tetapi terbukti jaringan yang diklaimnya kebal virus kebobolan juga oleh virus kuno Netsky). IP yang umumnya terinfeksi virus adalah IP Dynamic, artinya IP tersebut digunakan oleh User / pelanggan ISP secara bergantian (rupanya IP bebas juga berbahaya seperti seks bebas). Namun jika kita berhasil mendapatkan informasi IP User (dan ISP pemilik IP) yang mengirimi kita virus dan timestamp (waktu pengiriman) nya, informasi yang kita dapatkan hanya terbatas disitu saja. Kita tidak tahu siapa tepatnya yang mengirimi virus "karena" data detail pengguna internet E.G nomor telepon yang melakukan dial up, Account yang melakukan dial up merupakan data ISP yang sifatnya confidential (karena dilindungi oleh Undang Undang perlindungan konsumen). Karena itu tentunya partisipasi aktif ISP justru merupakan salah satu faktor kunci dalam kegiatan pro aktif membasmi virus e-mail ini karena karena hanya ISP yang tahu user anda yang mana tepatnya yang mengirimkan virus e-mail.
Adapun IP-IP yang pada awal Juni 2006 terdeteksi mengirimkan virus adalah sebagai berikut (lihat tabel 1) :No
IP
ISP
Timestamp
Virus
1 202.147.196.** PT. Infokom Elektrindo www.infokom.net Sun, 04 Jun 2006 21:12:36 -0700 Netsky.P
2 219.83.18.** Indosat.net.id Sun, 04 Jun 2006 23:37:46 -0700 Kamasutra
3 202.73.115.1** CBN Kabel Vision Mon, 05 Jun 2006 07:50:21 -0700 My Tob@mm
4 202.159.61.1** Indonet VPN Mon, 05 Jun 2006 21:22:34 -0700 Netsky.C
5 202.169.36.1** PT. NewJass Baltrans biz.net.id Mon, 05 Jun 2006 02:16:37 -0700 Netsky.N
6 202.155.144.1** Indosat.net.id Mon, 05 Jun 2006 01:34:31 -0700 Kamasutra
7 202.147.225.1** www.bit.net.id Mon, 05 Jun 2006 18:20:09 -0700 Netsky.P
8 203.153.117.** Net2cyber Indonesia Mon, 05 Jun 2006 22:55:59 -0700 Kamasutra
9 202.53.232.** Indonet Client dial up Bandung Tue, 06 Jun 2006 00:27:26 -0700 Netsky.D
10 202.159.38.** Indonet Subnet Tegal Tue, 06 Jun 2006 01:58:53 -0700 Netsky.C
11 202.62.21.1** Internux.co.id Tue, 06 Jun 2006 17:39:15 -0700 MyTob
12 202.173.66.1** Elganet Cirebon Tue, 06 Jun 2006 20:45:07 -0700 Netsky.P
13 61.5.17.** Telkom Indonesia - Jatinegara Wed, 07 Jun 2006 01:23:11 -0700 Kamasutra
14 202.159.67.2** Wasantaranet Wed, 07 Jun 2006 00:24:03 -0700 MyTob.AG
15 61.5.36.1** Telkom Indonesia - Jatinegara Wed, 07 Jun 2006 00:17:30 -0700 Kamasutra
16 202.152.39.** Institut Teknologi Nasional - Lintasarta Wed, 07 Jun 2006 00:04:48 -0700 MyTob.AG
17 202.158.105.1** CBN Dialup Tue, 06 Jun 2006 22:38:00 -0700 Kamasutra
18 202.159.67.2** Wasantaranet Tue, 06 Jun 2006 19:19:28 -0700 My Tob.AG
19 202.149.90.** PT. OLAMI TINELO LIPU, www.sat.net.id Mon, 05 Jun 2006 23:41:23 -0700 Netsky.P
Tabel 1, IP-IP Indonesia yang aktif mengirimkan virus pada awal Juni 2006
Spyware dikalahkan virus 1 : 3
Ibarat pertandingan Jepang lawan Australia, Spyware di bulan Mei - Juni 2006 dikalahkan dengan cukup telak oleh virus dengan perbandingan 1 : 3. Motor virus tetap virus lokal dan Spyware dimotori oleh Agent, Gator dan Dloader. Untuk perbandingan detialnya silahkan lihat gambar 1.
Gambar 1, Spyware dikalahkan virus 25 % : 75 %
Virus lokal merajai infeksi virus, Decoy menjadi rising star
Sama seperti bulan April - Mei 2006, Rontokbro tetap memimpin penyebaran virus dengan kontribusi 44,03 % atas total infeksi virus. Catatan penting perlu diberikan pada Decoy yang pada bulan lalu hanya menduduki peringkat 4, tetapi bulan ini naik signifikan menjadi peringkat dua dengan kontribusi 20,69 %. Mengalahkan Suspicious_M.gen dan Small.KL (Kamasutra) yang tergusur ke peringkat 3. Virus lama WYX / Polyboot yang menghapus boot sector harddisk perlu diwaspadai karena berada pada peringkat ke 4, disusul pada peringkat 5, Suspicious_M.gen yang merupakan virus-virus lokal baru (generik) yang terdeteksi oleh Sandbox Technology dari Norman (Sanbox adalah teknologi pendeteksian varian virus baru tanpa terlalu tergantung pada update definisi virus dan hanya dimiliki oleh Norman Virus Control). Untuk detailnya silahkan simak gambar 2 dan tabel 2 dibawah ini :
Gambar 2, Virus Top Indonesia Mei - Juni 2006
No Virus Jumlah %
1 Rontokbro 2,835 44.03%
2 Decoy 1,332 20.69%
3 Small 969 15.05%
4 Wyx 334 5.19%
5 Susp.M.gen 164 2.55%
6 Korgo 120 1.86%
7 Pesin 117 1.82%
8 Renos 108 1.68%
9 Sober 80 1.24%
10 Malware 69 1.07%
Lainnya 311 4.83%
Total 6,439 100%
Tabel 2, Detail infeksi dan persentase virus Indonesia Mei - Juni 2006
Infeksi Spyware menurun 50 %
Dibandingkan bulan lalu, total infeksi spyware menurun 50 %. Meskipun demikian, tidak seperti virus yang menonjolkan aksi individu dimana infeksi Rontokbro dan Decoy saja sudah mengambil 60 % dari total infeksi virus. Spyware mengutamakan teamwork, hal ini terlihat dari jumlah Spyware yang banyak sekali dan persentase penyebarannya relatif lebih merata dibandingkan virus. Tetapi sama seperti permainan bola, meskipun dimotori aksi individual pada beberapa bulan terakhir ini virus selalu berhasil mempecundangi Spyware. Beda dengan tahun lalu dimana Spyware berjaya mengalahkan virus. Detail penyebaran Spyware bulan Mei - Juni 2006 tertuang dalam gambar 3 dan tabel 3 dibawah ini.
Gambar 3, Spyware Top Indonesia Mei - Juni 2006
No Adware Jumlah %
1 Agent 654 30.03%
2 Gator 326 14.97%
3 Dloader 310 14.23%
4 Look2me 143 6.57%
5 Dialer 136 6.24%
6 Funweb 89 4.09%
7 Lowzones 67 3.08%
8 Webhancer 56 2.57%
9 Hotbar 53 2.43%
10 Mywebsearch 38 1.74%
11 Lop 31 1.42%
12 Comet 30 1.38%
13 Savenow 29 1.33%
14 Dyfuca 27 1.24%
15 Winfixer 23 1.06%
16 Locksky 21 0.96%
17 Startpage 21 0.96%
18 Smalldoor 17 0.78%
19 Swizzor 14 0.64%
20 Downloader 13 0.60%
21 Newdotnet 13 0.60%
22 180solution 11 0.51%
23 Bonzo 10 0.46%
24 Virtumonde 9 0.41%
25 Istbar 7 0.32%
Lainnya 30 1.38%
Total 2,178 100%
Tabel 3, Detail penyebaran dan persentase infeksi Spyware Mei - Juni 2006 (AAT)
salam,
Alfons Tanujaya
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Email : info@vaksin.com
Telp : 021-345 6850
Fax : 021-345 6851 Read More..
Umpan pendek VS Umpan lambung
Saat ini di seluruh dunia sedang menjalar demam aneh yang membuat korbannya tidak bisa kerja dengan baik, tidur larut malam sampai pada puncaknya nanti penderita penyakit jantung dikhawatirkan menjadi korban kalau terlalu terbawa perasaan menonton bola menjagokan team favoritnya. Dunia virus juga tidak mau kalah dan untuk Piala Dunia 2006 ini terdeteksi virus bola yang disebarkan adalah Troj/Haxdoor.IN dan virus Excel XF-97/Yagnuul.A. Menurut pengamatan Vaksincom ancaman virus Piala Dunia ini tidak terlalu signifikan, beda dengan Sober.N yang pada tahun 2005 sukses besar mengelabui penerima emailnya dengan iming-iming tiket menonton Piala Dunia gratis. Ancaman virus Indonesia pada bulan Mei - Juni 2006 masih di dominasi virus lokal yang mengalahkan virus impor (sayangnya hal ini tidak terjadi pada dunia persepakbolaan Indonesia sehingga masyarakat Indonesia terpaksa menjagokan negara lain) dengan kapten Rontokbro striker Decoy berhasil mengalahkan team virus luar negeri. Sayangnya virus lokal hanya merajai serangan pendek (penyebaran melalui UFD dan jaringan lokal) dan setiap kali bertempur menggunakan operan lambung (penyebaran melalui email) virus lokal masih belum mampu mengalahkan virus luar. Untuk penyebaran melalui email, virus impor seperti Kamasutra (Small.KL / Blackmal / Nyxem), MyTob dan beberapa varian Netsky masih tetap merajai jagad internet Indonesia dan disinyalir komputer-komputer yang menjadi korbannya adalah komputer yang tidak menggunakan antivirus yang terupdate dengan baik karena semua virus ini sudah terdeteksi oleh program antivirus.
IP-IP lokal yang aktif mengirimkan virus
Menurut pantauan Vaksincom, sampai dengan awal Juni 2006 saja IP-IP lokal masih belerot yang aktif mengirimkan virus. Di dominasi oleh Kamasutra dan MyTob dan dilengkapi dengan baik oleh keluarga Netsky. Jika anda menggunakan program antivirus yang terupdate harusnya virus-virus ini sudah mampu dikenali dan dibasmi dengan mudah oleh program antivirus apa saja yang terupdate, baik yang gratisan maupun yang berbayar (beda dengan virus lokal yang malahan sangat sulit dibasmi karena melakukan berusaha restart setiap kali dicoba untuk dibasmi). Namun pengguna internet Indonesia memang beraneka ragam dan hukum piramida tetap berlaku untuk hal ini. Jadi di dasar piramida terdapat pengguna yang paling banyak dan notabene merupakan pengguna awam yang dengan tingkat pengetahuan komputer dasar, di atasnya agak sedikit adalah pengguna yang memiliki pengetahuan yang sedang dan pada puncak piramida dengan jumlah paling sedikit adalah pengguna yang cukup pakar dan berpengalaman yang terdiri dari komunitas administrator, IT Specialist dan security specialist. Kabar buruknya, pengguna yang memiliki pengetahuan dasar / awam dan berpotensial menyebarkan virus merupakan komunitas terbanyak. Kabar baiknya, untuk terhindar dari ancaman virus anda tidak perlu menjadi pakar, yang perlu adalah perduli. Asalkan pengetahuan berkomputer yang aman dan baik disebarkan secara terus menerus dan konsisten, jumlah pengguna yang sadar sekuriti akan tinggi sehingga secara otomatis pengguna yang berpotensial mengancam sekuriti karena ketidaktahuan (yang saat ini jumlah infeksi nyatanya paling banyak) akan menurun.
Anda dapat berperan aktif dalam menekan penyebaran virus via email. Caranya adalah dengan melaporkan pada pemilik IP yang bersangkutan (umumnya dimiliki ISP, kirim email berisi bukti header email bervirus kepada administrator ISP yang bersangkutan) bahwa IP yang dimilikinya mengirimkan virus kepada anda. Bagaimana caranya mengetahui IP yang mengirimkan virus kepada anda ? Jika anda tertarik untuk mengetahuinya silahkan lihat artikel "Pro Aktif Hadapi Virus E-mail" pada PC Plus terbitan terbaru (Halaman 33, PCPlus No. 260, 13 - 26 Juni 2006).
Satu hal yang perlu digarisbawahi dalam mengidentifikasi IP ini adalah Administrator ISP tidak bersalah dan jangan dimarahi (kecuali dia menjamin jaringan ISP nya bebas virus, seperti satu ISP yang berlokasi di Jend. Sudiman, Jakarta tetapi terbukti jaringan yang diklaimnya kebal virus kebobolan juga oleh virus kuno Netsky). IP yang umumnya terinfeksi virus adalah IP Dynamic, artinya IP tersebut digunakan oleh User / pelanggan ISP secara bergantian (rupanya IP bebas juga berbahaya seperti seks bebas). Namun jika kita berhasil mendapatkan informasi IP User (dan ISP pemilik IP) yang mengirimi kita virus dan timestamp (waktu pengiriman) nya, informasi yang kita dapatkan hanya terbatas disitu saja. Kita tidak tahu siapa tepatnya yang mengirimi virus "karena" data detail pengguna internet E.G nomor telepon yang melakukan dial up, Account yang melakukan dial up merupakan data ISP yang sifatnya confidential (karena dilindungi oleh Undang Undang perlindungan konsumen). Karena itu tentunya partisipasi aktif ISP justru merupakan salah satu faktor kunci dalam kegiatan pro aktif membasmi virus e-mail ini karena karena hanya ISP yang tahu user anda yang mana tepatnya yang mengirimkan virus e-mail.
Adapun IP-IP yang pada awal Juni 2006 terdeteksi mengirimkan virus adalah sebagai berikut (lihat tabel 1) :No
IP
ISP
Timestamp
Virus
1 202.147.196.** PT. Infokom Elektrindo www.infokom.net Sun, 04 Jun 2006 21:12:36 -0700 Netsky.P
2 219.83.18.** Indosat.net.id Sun, 04 Jun 2006 23:37:46 -0700 Kamasutra
3 202.73.115.1** CBN Kabel Vision Mon, 05 Jun 2006 07:50:21 -0700 My Tob@mm
4 202.159.61.1** Indonet VPN Mon, 05 Jun 2006 21:22:34 -0700 Netsky.C
5 202.169.36.1** PT. NewJass Baltrans biz.net.id Mon, 05 Jun 2006 02:16:37 -0700 Netsky.N
6 202.155.144.1** Indosat.net.id Mon, 05 Jun 2006 01:34:31 -0700 Kamasutra
7 202.147.225.1** www.bit.net.id Mon, 05 Jun 2006 18:20:09 -0700 Netsky.P
8 203.153.117.** Net2cyber Indonesia Mon, 05 Jun 2006 22:55:59 -0700 Kamasutra
9 202.53.232.** Indonet Client dial up Bandung Tue, 06 Jun 2006 00:27:26 -0700 Netsky.D
10 202.159.38.** Indonet Subnet Tegal Tue, 06 Jun 2006 01:58:53 -0700 Netsky.C
11 202.62.21.1** Internux.co.id Tue, 06 Jun 2006 17:39:15 -0700 MyTob
12 202.173.66.1** Elganet Cirebon Tue, 06 Jun 2006 20:45:07 -0700 Netsky.P
13 61.5.17.** Telkom Indonesia - Jatinegara Wed, 07 Jun 2006 01:23:11 -0700 Kamasutra
14 202.159.67.2** Wasantaranet Wed, 07 Jun 2006 00:24:03 -0700 MyTob.AG
15 61.5.36.1** Telkom Indonesia - Jatinegara Wed, 07 Jun 2006 00:17:30 -0700 Kamasutra
16 202.152.39.** Institut Teknologi Nasional - Lintasarta Wed, 07 Jun 2006 00:04:48 -0700 MyTob.AG
17 202.158.105.1** CBN Dialup Tue, 06 Jun 2006 22:38:00 -0700 Kamasutra
18 202.159.67.2** Wasantaranet Tue, 06 Jun 2006 19:19:28 -0700 My Tob.AG
19 202.149.90.** PT. OLAMI TINELO LIPU, www.sat.net.id Mon, 05 Jun 2006 23:41:23 -0700 Netsky.P
Tabel 1, IP-IP Indonesia yang aktif mengirimkan virus pada awal Juni 2006
Spyware dikalahkan virus 1 : 3
Ibarat pertandingan Jepang lawan Australia, Spyware di bulan Mei - Juni 2006 dikalahkan dengan cukup telak oleh virus dengan perbandingan 1 : 3. Motor virus tetap virus lokal dan Spyware dimotori oleh Agent, Gator dan Dloader. Untuk perbandingan detialnya silahkan lihat gambar 1.
Gambar 1, Spyware dikalahkan virus 25 % : 75 %
Virus lokal merajai infeksi virus, Decoy menjadi rising star
Sama seperti bulan April - Mei 2006, Rontokbro tetap memimpin penyebaran virus dengan kontribusi 44,03 % atas total infeksi virus. Catatan penting perlu diberikan pada Decoy yang pada bulan lalu hanya menduduki peringkat 4, tetapi bulan ini naik signifikan menjadi peringkat dua dengan kontribusi 20,69 %. Mengalahkan Suspicious_M.gen dan Small.KL (Kamasutra) yang tergusur ke peringkat 3. Virus lama WYX / Polyboot yang menghapus boot sector harddisk perlu diwaspadai karena berada pada peringkat ke 4, disusul pada peringkat 5, Suspicious_M.gen yang merupakan virus-virus lokal baru (generik) yang terdeteksi oleh Sandbox Technology dari Norman (Sanbox adalah teknologi pendeteksian varian virus baru tanpa terlalu tergantung pada update definisi virus dan hanya dimiliki oleh Norman Virus Control). Untuk detailnya silahkan simak gambar 2 dan tabel 2 dibawah ini :
Gambar 2, Virus Top Indonesia Mei - Juni 2006
No Virus Jumlah %
1 Rontokbro 2,835 44.03%
2 Decoy 1,332 20.69%
3 Small 969 15.05%
4 Wyx 334 5.19%
5 Susp.M.gen 164 2.55%
6 Korgo 120 1.86%
7 Pesin 117 1.82%
8 Renos 108 1.68%
9 Sober 80 1.24%
10 Malware 69 1.07%
Lainnya 311 4.83%
Total 6,439 100%
Tabel 2, Detail infeksi dan persentase virus Indonesia Mei - Juni 2006
Infeksi Spyware menurun 50 %
Dibandingkan bulan lalu, total infeksi spyware menurun 50 %. Meskipun demikian, tidak seperti virus yang menonjolkan aksi individu dimana infeksi Rontokbro dan Decoy saja sudah mengambil 60 % dari total infeksi virus. Spyware mengutamakan teamwork, hal ini terlihat dari jumlah Spyware yang banyak sekali dan persentase penyebarannya relatif lebih merata dibandingkan virus. Tetapi sama seperti permainan bola, meskipun dimotori aksi individual pada beberapa bulan terakhir ini virus selalu berhasil mempecundangi Spyware. Beda dengan tahun lalu dimana Spyware berjaya mengalahkan virus. Detail penyebaran Spyware bulan Mei - Juni 2006 tertuang dalam gambar 3 dan tabel 3 dibawah ini.
Gambar 3, Spyware Top Indonesia Mei - Juni 2006
No Adware Jumlah %
1 Agent 654 30.03%
2 Gator 326 14.97%
3 Dloader 310 14.23%
4 Look2me 143 6.57%
5 Dialer 136 6.24%
6 Funweb 89 4.09%
7 Lowzones 67 3.08%
8 Webhancer 56 2.57%
9 Hotbar 53 2.43%
10 Mywebsearch 38 1.74%
11 Lop 31 1.42%
12 Comet 30 1.38%
13 Savenow 29 1.33%
14 Dyfuca 27 1.24%
15 Winfixer 23 1.06%
16 Locksky 21 0.96%
17 Startpage 21 0.96%
18 Smalldoor 17 0.78%
19 Swizzor 14 0.64%
20 Downloader 13 0.60%
21 Newdotnet 13 0.60%
22 180solution 11 0.51%
23 Bonzo 10 0.46%
24 Virtumonde 9 0.41%
25 Istbar 7 0.32%
Lainnya 30 1.38%
Total 2,178 100%
Tabel 3, Detail penyebaran dan persentase infeksi Spyware Mei - Juni 2006 (AAT)
salam,
Alfons Tanujaya
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Email : info@vaksin.com
Telp : 021-345 6850
Fax : 021-345 6851 Read More..
W32/Rontokbro.LD
W32/Rontokbro.LD 24 November 2006
Return of the “KERE”, hati-hati dengan SexyIndoGirls
Masih ingat dengan VBWorm.ZL dimana virus ini akan mencoba memanipulasi file dengan ekst. EXE, COM, BAT dan PIF sehingga jika anda menjalankan file dengan ekstesi tersebut, satu hal yang menjadi ciri utama adalah munculnya gambar mr.halloween yang disertai beberapa baris pesan dari sang pembuat virus.
Walaupun masih menggunakan bahasa VB tetapi aksi yang dilakukan patut mendapat acungan “jempol”. Dengan mencoba blok berbagai fungsi windows apalagi di dukung dengan kemampuan untuk memanipulasi ekst yang sudah disebutkan di atas pembersihan melalui DOS adalah langkah yang tepat untuk dilakukan.
Jika kita melihat ke belakang [Sejarah], Anda tentu masih ingat dengan sejarah perkembangan komputer, jika dulu komputer itu mempunyai ukuran yang “sangat” besar kini pada perkembangan selanjutnya komputer mempunyai ukuran yang sangat kecil dan jangan salah walaupun kecil ukurannya semakin canggih fiture dan teknologi yang ada didalamnya, begitupun dengan virus Rontokbro.LD, setelah kemunculan varian pertama yang mempunyai ukuran 88 KB [Norman mendeteksi sebagai W32/VBWorm.ZL], kini sang virus sudah mengeluarkan generasi kedua dengan ukuran lebih kecil yakni 80 KB dengan sedikit modifikasi virus ini berhasil berada setingkat lebih tinggi dari varian sebalumnya dan seperti pendahulunya untuk varian ini masih menggunakan bahasa VB. Walaupun varian kedua ini mempunyai ukuran lebih kecil tetapi aksi yang dilakukan nya jauh lebih cangggih dibandingkan varian awalnya hal ini sesuai dengan tuntutan jaman dimana semakin kecil ukuran dari sebuah virus maka semakin cepat pula virus tersebut akan menyebar dan semakin ganas payload yang dimilikinya.
Perbedaan yang menonjol dari kedua virus ini adalah dimana untuk varian kedua [Rontokbro.LD] mempunyai kemampuan untuk “Disable Klik kanan” dan blok semua file executable [EXE], jadi walaupun komputer anda sudah bersih dari Rontokbro.LD maka setiap kali anda menjalankan file executable [EXE] dari sebuah program akan muncul pesan error sehingga program tersebut tidak dapat dijalankan, selain itu Rontokbro.LD juga akan mencoba blok “shut Down/Restart/Log Off” dengan cara mematikannya ditambah dengan kemampuannya untuk melakukan restart jika user menjalankan fungsi REGEDIT.
Ciri utama dari virus ini sama dengan varian sebelumnya yakni akan memunculkan pesan setiap kali komputer dinyalakan dengan pesan judul “KERE”. (lihat gambar 1)
Gambar 1, Pesan yang ditampilkan setiap kali komputer booting
Dengan update terakhir Norman sudah dapat mengenali virus ini dengan baik sebagai Rontokbro.LD (lihat gambar 2)
Gambar 2, Hasil scanning antivirus Norman
Sama seperti pendahulunya Rontokbro.LD juga akan mencoba untuk blok dari berbagai arah agar dirinya tetap aktif hal ini diperparah dengan kemampuannya untuk manipulasi semua file yang mempunyai ekst. EXE dengan merubah string di registry agar jika setiap kali user menjalankan file dengan ekst. EXE maka secara otomatis akan menjalankan dirinya.
Selain itu Rontokbro.LD juga akan menyembunyikan file EXE dari sebuah program aplikasi yang dijalankan serta akan membuat file duplikat sesuai dengan nama file yang disembunyikan. selain manipulasi file dengan ekst. EXE, Rontokbro.LD juga akan manipulasi file dengan ext. COM, PIF, BAT dan LNK. Pembersihan melalui mode Normal, safe mode atau safe mode with command prompt akan sangat sulit dilakukan oleh karena itu pembersihan melalui DOS merupakan pilihan yang tepat yang dapat dilakukan.
Untuk mengelabui user, Rontokbro.LD akan menggunakan icon “Folder” dengan exstension EXE serta mempunyai type file sebagai “Application”, tetapi jika virus tersebut sudah menginfeksi komputer maka type file “Application” akan berubah menjadi “File Folder” dengan melakukan perubahan pada string registry, dengan demikian semakin sempurnalah penyamaran yang dilakukan oleh Rontokbro.LD (lihat gambar 3)
Gambar 3, File yang terinfeksi Rontokbro.LD
Jika file tersebut dijalankan maka akan muncul sebuah pesan dari si pembuat virus, jika pada varian awalnya akan mempunyai judul “Jeritan Suara Hati” tetapi untuk varian kedua akan mempunyai judul “KERE”, lihat gambar 1 :
Jika virus sudah menginfeksi komputer Rontokbro.LD akan membuat beberapa file induk yang akan dijalankan pertama kali setiap kali komputer dinyalakan, diantaranya:
- Data %user logon%.exe di setiap partisi Hard Disk
- C:\kere.exe
- Membuat folder KERE pada setiap Drive, dimana folder ini berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.pif".
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup
§ Empty.pif
§ Empty.exe dan Startup.exe
- C:\Documents and Settings\Default User\Start Menu\Programs\Startup
§ Startup.exe
- C:\Documents and Settings\%user%\Application Data\Microsoft\Word\STARTUP
§ Startup.exe
- C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup
§ Startup.exe
- C:\Documents and Settings\%user%\Local Settings\Application Data
§ IExplorer.exe
§ shell.exe
§ csrss.exe
§ kere.exe
§ lsass.exe
§ services.exe
§ winlogon.exe
- C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
§ Csrss.exe
§ lsass.exe
§ services.exe
§ smss.exe
§ winlogon
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup
§ Startup.exe
- C:\Program Files\Microsoft Office\OFFICE11\STARTUP
§ Startup.exe
- C:\Windows
§ kERe.exe
- C:\WINDOWS\system32
§ MrBugs.scr
§ IExplorer.exe
§ Shell.exe
- C:\Windows\Downloaded Program Files\SexyIndoGirls.pif
- C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif, dimana X menunjukan angka acak
-------------------------------------------------------------------------------------------------------
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
-------------------------------------------------------------------------------------------------------
Sebagai penunjang agar file tersebut dapat dijalankan, ia akan membut beberapa string pada registry dibawah ini:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Logon%user logon% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
System Monitoring = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\LSASS.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe "C:\WINDOWS\System32\IExplorer.exe"
userinit = C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\IExplorer.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kERe = C:\WINDOWS\kERe.exe
MSMSGS = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
Service%user logon% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
-------------------------------------------------------------------------------------------------------
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
-------------------------------------------------------------------------------------------------------
Manipulasi Screen Saver Windows
Selain itu Kere juga akan memanipulasi “Screen Saver Windows” [menyamar seolah-olah sebagai screen saver] dengan mengganti file yang akan di jalankan menjadi Mr.Bugs.scr file ini akan disimpan didirektori [C:\Windows\system32]. File ini akan dijalankan pada waktu-waktu yang telah ditentukan sehingga secara otomatis akan mengaktifkan dirinya. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:
HKEY_CURRENT_USER\Control Panel\Desktop
C:\WINDOWS\System32\MRBugs.scr
Untuk mempertahankan dirinya Rontokbro.LD akan mencoba untuk melakukan Disable beberapa software security termasuk antivirus maupun fungsi windows seperti regedit, msconfig, task manager, folder option dan cmd selain itu Rontokbro.LD juga akan disable klik kanan [sedangkan pada VBWorm.ZL tidak disable klik kanan] dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoFolderOptions
NoViewContextMenu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools
DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerision\Policies\Explorer
NoTrayContextMenu
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerison\Policies\Explorer
NoTrayCOntextMenu
NoClose
NoFind
NoSetFolders
NoSetTaskbar
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools
DisableTaskMgr
DisableCMD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Disabled =1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions
NoViewContextMenu
Rontokbro.LD juga akan mematikan “system restore” dan blok file installer yang mempunyai ekst. MSI dengan membuat string pada registry berikut : (lihat gambar 4)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig
DisableSR
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
DisableMSI = 1
LimitSystemRestoreCheckpointing = 1
Gambar 4, Rontokbro.LD menyembunyikan tabulasi “System restore”
Manipulasi file .EXE, .COM, .BAT, .PIF dan .LNK
Harap hati-hati... jika anda terinfeksi Rontokbro.LD [juga VBWorm.ZL] jangan sesering mungkin menjalankan file yang mempunyai ekst. .exe, .com, .bat, .pif dan .lnk karena jika anda menjalankan file dengan extension tersebut maka secara tidak langsung akan mengaktifkan virus tersebut. Untuk melakukan hal ini ia akan merubah string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
Rontokbro.LD juga akan mebut merubah string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
§ Auto = 1
§ Debugger = "C:\WINDOWS\System32\Shell.exe"
Selain itu jika komputer anda sudah bersih dari pengaruh Rontokbro.LD tetapi selama anda tidak membersihkan string registry yang telah disebutkan di atas maka setiap kali anda menjalankan program yang mempunyai ekstensi .exe, .com, .pif, .lnk dan .bat maka akan muncul pesan error seperti terlihat pada gambar dibawah 5 dan 6 ini :
Gambar 5, Pesan error pada saat menjalankan program [gambar1]
Gambar 6
Menyembunyikan file eksekusi dari sebuah program
Sama seperti pada varian sebalumnya [VBWorm.ZL] Rontokbro.LD juga akan menyembunyikan setiap file executable [.exe] dari sebuah program jika program tersebut dijalankan kemudian untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri:
Menggunakan icon “Folder”
Ukuran 80 KB
Ext. .EXE
Type file “File Folder” walaupun sebenarnya merupakan “Application” hal ini disebebkan karena virus ini akan merubah type file dari “Application” menjadi “File Folder” teknik ini juga digunakan untuk mengelabui user.
Merubah type file dari “Application” menjadi “File Folder”
Jika komputer anda terinfeksi virus ini coba perhatikan semua file yang mempunyai ext. EXE dimana sebelumnya akan mempunyai type sebagai file “Apllication” kini akan berubah menjadi “File Folder”. Rontokbro.DL sebenarnya mempunyai tujuan lain dalam merubah type file tersebut yakni agar user terkecoh dengan file yang sudah terinfeksi sehingga dengan “tenang” user akan menjalankan file tersebut, tapi kenapa hal ini bisa terjadi ??? hal ini disebabkan Rontokbro.LD akan menggunakan icon “Folder” sehingga dengan type file sebagai “File Folder” maka semakin sempurnalah penyamaran virus tersebut, karena user beranggapan file tersebut adalah “Folder” bukan “applikasi”. Untuk melakukan hal tersebut Rontokbro.LD akan merubah string pada registry berikut : (lihat gambar 7)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
Default = File Folder
Gambar 7, Manipulasi registri oleh Kere yang mengakibatkan file virus terlihat “seolah-olah” folder
Manipulasi file MSVBVM60.dll
Program bahasa yang digunakan untuk membuat Virus ini adalah bahasa VB. Anda pasti sudah tahu bahwa agar semua file yang dibuat dengan menggunakan bahasa VB tidak aktif [termasuk virus] anda hanya perlu merubah file msvbvm60.dll yang berada didirektori [C:\windows\system32] menjadi nama file lain [contoh: msvbvm60old]. Tetapi rupanya virus ini belajar dari pengalaman, dengan tujuan agar Rontokbro.LD dapat tetap aktif dan user kesulitan dalam merubah file tersebut maka Rontokbro.LD akan copy file yang sama [msvbvm60.dll] ke direktori [C:\windows] dengan attribut “hidden” begitupun file msvbvm60.dll yang ada di direktori [C:\windows\system32] juga akan disembunyikan.
Aktif pada mode safe mode dan safe mode with command prompt
Sebagai upaya untuk mempertahankan dirinya, Rontokbro.LD akan tetap aktif walaupun komputer di booting pada mode “safe mode” dan “safe mode with command prompt” sehingga mempersulit proses pembersihan dengan melakukan perubahan pada registry berikut:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell = C:\WINDOWS\kERe.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
AlternateShell = C:\WINDOWS\kERe.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\kERe.exe
Membuat file duplikat
Sebagai penutup Rontokbro.LD akan membuat file duplikat disetiap folder dan sub folder sesuai dengan nama folder/file yang ada di foldersubfolder tersebut dengan ciri-ciri
Menggunakan icon “Folder”
Ukuran 80 KB
Ext. .EXE
Type file “File Folder” walaupun sebenarnya merupakan “Application” hal ini disebebkan karena virus ini akan merubah type file dari “Application” menjadi “File Folder” teknik ini juga digunakan untuk mengelabui user.
Media penyebaran
Sama seperti varian awalnya [VBWorm.ZL], Untuk menyebarkan dirinya Rontokbro.LD masih menggunakan media Disket/UFD dengan copy beberapa file serta membuat file duplikat disetiap folder dan sub folder dengan nama file sesuai dengan nama folder yang disembunyikan, berikut beberapa file yang di copy ke media Disket/UFD:
Data %user logon%.exe
Membuat folder KERE [hidden file] dimana folder ini berisi 2 file yakni “folder.htt” dan “SexyIndoGirls.pif”
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
Cara membersihkan Rontokbro.LD secara manual
Putuskan hubungan komputer yang akan dibersihkan dari Jaringan [LAN/WAN]
Matikan proses virus yang aktif di memori. Sebagaimana yang telah dijelaskan di awal bahwa virus ini sulit untuk dibersihkan baik melalui mode “Normal”, “safe mode” atau “safe mode with command prompt” karena ia akan mencoba untuk blok dari berbagai arah agar dirinya tetap aktif termasuk untuk memanipulasi file dengan ext. exe, com, bat, lnk dan pif dengan merubah ke lokasi file induk virus tersebut sehingga jika anda menjalankan file dengan ext tersebut maka secara tidak langsung akan menjalankan virus tersebut, oleh karena itu pembersihan sebaiknya dilakukan melalui mode DOS PROMPT.
Jika komputer anda terinstall Windows dengan OS NT/2000/XP/2003 dengan format NTFS anda dapat menggunakan software NTFS for DOS. Tools ini digunakan untuk membuat Disket Stratup yang nantinya digunakan untuk menghapus file induk virus tersebut, software ini dapat di download di alamat http://www.free-av.com/antivirclassic/avira_ntfs4dos.html. Setelah berhasil download dan menginstall software tersebut buat Disket Startup, untuk membuat disket stratup anda hanya membutuhkan 1 [satu] disket saja. Setelah sisket starup tersebut berhasil dibuat booting komputer melalui disket.
Sebagai informasi Rontokbro.LD dibuat dengan menggunakan program bahasa VB dengan demikian untuk mematikan proses virus tersebut untuk sementara waktu anda hanya perlu merubah file MSVBVM60.dll, Ingat !! virus ini juga akan membuat file MSVBVM60.dll pada direktori [C:\Windows] oleh karena itu selain anda merubah file MSVBVM60.dll di direktori [C:\Windows\System32] anda juga harus merubah file yang sama pada direktori [C:\Windows]
Jika anda menggunakan Software NTFS for DOS biasanya Drive System [C:\] akan menjadi Drive terakhir [contohnya: jika Hard Disk anda mempunyai 2 partisi maka partisi C:\ (system) menjadi D:\.
Setelah anda berhasil masuk ke dalam lingkungan DOS dengan menggunakan NTFS for DOS pastikan kursor berada di Drive system anda [contoh D:\] kemudian rename file MSVBVM60.dll yang ada didirektori [C:\Windows dan C:\Windows\system32] dengan terlebih dahulu masuk ke direktori yang telah disebutkan diatas terlebih dahulu. Setelah itu ketik perintah DIR /AH [untuk melihat file yang di sembunyikan] kemudian ketik kambali perintah ren msvbvm60.dll msvbvm60old kemudian tekan tombol [enter], untuk lebih jelasnya perhatikan gambar 8 dibawah ini :
Gambar 8, Merubah file msvbvm60.dll pad DOS Prompt
Setelah berhasil merubah file MSVBVM60.dll, restart komputer dan booting ke mode “normal”.
Pesan error setelah merubah file msvbvm60.dll
Setelah anda merubah file msvbvm60.dll dan jika anda mencoba untuk menjalankan suatu program [bukan cuma program yang dibuat dengan Visual Basic saja] maka akan muncul pesan error “seolah-olah program tersebut tidak dapat menemukan file msvbvm60.dll” hal ini karena Rontokbro.LD akan mengalihkan ke lokasi file virus itu sendiri [C:\Windows\system32\shell.exe].Perhatikan gambar dibawah 9 ini
Gambar 9, Pesan error ketika menjalankan program
Hapus string registry yang dibuat oleh virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf setelah itu jalakan file tersebut dengan cara:
Klik kanan repair.inf
Klik Install
Tetapi Rontokbro.LD akan mencoba untuk blok fungsi klik kanan pada desktop atau file sehingga user akan kesulitan untuk menjalankan file tersebut [repair.inf], oleh karena itu anda harus mengaktifkan kembali fungsi klik kanan tersebut. Untuk mengaktifkan fungsi klik kanan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.bat dan jalankan file tersebut dengan cara klik 2 x file tersebut.
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools")
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerision\Policies\explorer\NoTrayCOntextMenu")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")
Setelah itu restart komputer dan booting pada mode “Normal”. Setelah fungsi klik kanan dapat kembali digunakan, hapus sisa string yang masih ada, untuk mempercepat salin script dibawah ini pada program notepad dan simpan dengan nama repair.inf kemudian jalankan file tersebut [klik repair.inf à klik install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
hklm, SOFTWARE\Classes\lnkfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Auto,0x00000020,0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Debugger,0,
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Control Panel\Desktop, SCRNSAVE.EXE,0,
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,kERe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,MSMSGS
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,System Monitoring
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
------------------------------------------------------------------------------------------
Catatan:
Sebelum menjalankan repair.inf lakukan pengecekan ulang pada script berikut:
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"
Kemudian ganti pada baris C:\Windows\system32\userinit.exe, menjadi C:\Winnt\system32\userinit.exe, jika menggunakan Windows NT/2000, karena baris script diatas [C:\Windows\system32\userinit.exe] berlaku jika komputer terinstall Windows XP/2003.
Setelah menjalankan repair.inf sebaiknya Anda cek kembali registry berikut, karena untuk string yang dibuat akan berbeda-beda sesuai dengan login user yang digunakan pada komputer yang terinfeksi.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Logon%user% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Service%user login% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
Kemudian hapus string Logon %user% dan Service %user%
------------------------------------------------------------------------------------------
Hapus file induk yang telah dibuat oleh virus. Sebelum anda menghapus file induk tersebut pastikan anda sudah menampilkan semua file yang disembunyikan dengan memilih option “ show hidden file anda folder” dan mematikan option “hide file extension for known type” dan “hide protected operating system files (recommended) pada “FOLDER OPTION” kemudian hapus file berikut:
· Data %user%.exe pada setiap partisi Hard Disk, dimana %user% menunjukan user yang digunaakn untuk login ke windows
· C:\kere.exe
· Membuat folder KERE pada setiap drive, dimana folder ini berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.exe", kedua file ini akan disembunyikan
· C:\Documents and Settings\All Users\Start Menu\Programs\Startup
§ Empty.pif
§ Empty.exe dan Startup.exe
· C:\Documents and Settings\Default User\Start Menu\Programs\Startup
§ Startup.exe
· C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup
§ Startup.exe
· C:\Documents and Settings\%user%\Application Data\Microsoft\Word\STARTUP
§ Startup.exe
· C:\Documents and Settings\%user%\Local Settings\Application Data
§ IExplorer.exe
§ shell.exe
§ csrss.exe
§ kere.exe
§ lsass.exe
§ services.exe
§ winlogon.exe
· C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
§ Csrss.exe
§ lsass.exe
§ services.exe
§ smss.exe
§ winlogon
· C:\Documents and Settings\%user%\Start Menu\Programs\Startup
§ Startup.exe
· C:\Program Files\Microsoft Office\OFFICE11\STARTUP
§ Startup.exe
· C:\Windows
§ kERe.exe
· C:\WINDOWS\system32
§ MrHelloween.scr
§ shell.exe
§ IExplorer.exe
§ C:\Windows\Downloaded Program Files\SexyIndoGirls.pif
§ C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif, dimana X menunjukan angka acak
§ Jika anda mempunyai Flash Disk sebaiknya cek dan hapus file yang mempunyai nama Data %user logon%.exe [contoh: Data Administrator] dan folder “KERE” [folder ini akan disembunyikan]
Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
Menggunakan icon “Folder”
Ukuran file 80 KB
Mempunyai extension .EXE
Type file “Application”
Tampilkan kembali semua file executable [.EXE] yang telah disembunyikan oleh virus, untuk mempercepat anda dapat menggunakan perintah ATTRIB pada DOS PROMPT, contoh:
ATTRIB –h –r *.exe /s kemudian tekan tombol [enter] (lihat gambar 10)
Gambar 10, Mengembalikan file .exe yang disembunyikan oleh virus
Jika komputer sudah benar-benar bersih dari virus, rename [ubah] kembali file msvbvm60.dll yang sudah diubah sebelumnya pada didirektori [C:\Windows\system32].
Untuk pembersihan optimal dan mencegah infeksi ulang install antivirus yang sudah dapat mengenali virus ini dengan baik Read More..
Return of the “KERE”, hati-hati dengan SexyIndoGirls
Masih ingat dengan VBWorm.ZL dimana virus ini akan mencoba memanipulasi file dengan ekst. EXE, COM, BAT dan PIF sehingga jika anda menjalankan file dengan ekstesi tersebut, satu hal yang menjadi ciri utama adalah munculnya gambar mr.halloween yang disertai beberapa baris pesan dari sang pembuat virus.
Walaupun masih menggunakan bahasa VB tetapi aksi yang dilakukan patut mendapat acungan “jempol”. Dengan mencoba blok berbagai fungsi windows apalagi di dukung dengan kemampuan untuk memanipulasi ekst yang sudah disebutkan di atas pembersihan melalui DOS adalah langkah yang tepat untuk dilakukan.
Jika kita melihat ke belakang [Sejarah], Anda tentu masih ingat dengan sejarah perkembangan komputer, jika dulu komputer itu mempunyai ukuran yang “sangat” besar kini pada perkembangan selanjutnya komputer mempunyai ukuran yang sangat kecil dan jangan salah walaupun kecil ukurannya semakin canggih fiture dan teknologi yang ada didalamnya, begitupun dengan virus Rontokbro.LD, setelah kemunculan varian pertama yang mempunyai ukuran 88 KB [Norman mendeteksi sebagai W32/VBWorm.ZL], kini sang virus sudah mengeluarkan generasi kedua dengan ukuran lebih kecil yakni 80 KB dengan sedikit modifikasi virus ini berhasil berada setingkat lebih tinggi dari varian sebalumnya dan seperti pendahulunya untuk varian ini masih menggunakan bahasa VB. Walaupun varian kedua ini mempunyai ukuran lebih kecil tetapi aksi yang dilakukan nya jauh lebih cangggih dibandingkan varian awalnya hal ini sesuai dengan tuntutan jaman dimana semakin kecil ukuran dari sebuah virus maka semakin cepat pula virus tersebut akan menyebar dan semakin ganas payload yang dimilikinya.
Perbedaan yang menonjol dari kedua virus ini adalah dimana untuk varian kedua [Rontokbro.LD] mempunyai kemampuan untuk “Disable Klik kanan” dan blok semua file executable [EXE], jadi walaupun komputer anda sudah bersih dari Rontokbro.LD maka setiap kali anda menjalankan file executable [EXE] dari sebuah program akan muncul pesan error sehingga program tersebut tidak dapat dijalankan, selain itu Rontokbro.LD juga akan mencoba blok “shut Down/Restart/Log Off” dengan cara mematikannya ditambah dengan kemampuannya untuk melakukan restart jika user menjalankan fungsi REGEDIT.
Ciri utama dari virus ini sama dengan varian sebelumnya yakni akan memunculkan pesan setiap kali komputer dinyalakan dengan pesan judul “KERE”. (lihat gambar 1)
Gambar 1, Pesan yang ditampilkan setiap kali komputer booting
Dengan update terakhir Norman sudah dapat mengenali virus ini dengan baik sebagai Rontokbro.LD (lihat gambar 2)
Gambar 2, Hasil scanning antivirus Norman
Sama seperti pendahulunya Rontokbro.LD juga akan mencoba untuk blok dari berbagai arah agar dirinya tetap aktif hal ini diperparah dengan kemampuannya untuk manipulasi semua file yang mempunyai ekst. EXE dengan merubah string di registry agar jika setiap kali user menjalankan file dengan ekst. EXE maka secara otomatis akan menjalankan dirinya.
Selain itu Rontokbro.LD juga akan menyembunyikan file EXE dari sebuah program aplikasi yang dijalankan serta akan membuat file duplikat sesuai dengan nama file yang disembunyikan. selain manipulasi file dengan ekst. EXE, Rontokbro.LD juga akan manipulasi file dengan ext. COM, PIF, BAT dan LNK. Pembersihan melalui mode Normal, safe mode atau safe mode with command prompt akan sangat sulit dilakukan oleh karena itu pembersihan melalui DOS merupakan pilihan yang tepat yang dapat dilakukan.
Untuk mengelabui user, Rontokbro.LD akan menggunakan icon “Folder” dengan exstension EXE serta mempunyai type file sebagai “Application”, tetapi jika virus tersebut sudah menginfeksi komputer maka type file “Application” akan berubah menjadi “File Folder” dengan melakukan perubahan pada string registry, dengan demikian semakin sempurnalah penyamaran yang dilakukan oleh Rontokbro.LD (lihat gambar 3)
Gambar 3, File yang terinfeksi Rontokbro.LD
Jika file tersebut dijalankan maka akan muncul sebuah pesan dari si pembuat virus, jika pada varian awalnya akan mempunyai judul “Jeritan Suara Hati” tetapi untuk varian kedua akan mempunyai judul “KERE”, lihat gambar 1 :
Jika virus sudah menginfeksi komputer Rontokbro.LD akan membuat beberapa file induk yang akan dijalankan pertama kali setiap kali komputer dinyalakan, diantaranya:
- Data %user logon%.exe di setiap partisi Hard Disk
- C:\kere.exe
- Membuat folder KERE pada setiap Drive, dimana folder ini berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.pif".
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup
§ Empty.pif
§ Empty.exe dan Startup.exe
- C:\Documents and Settings\Default User\Start Menu\Programs\Startup
§ Startup.exe
- C:\Documents and Settings\%user%\Application Data\Microsoft\Word\STARTUP
§ Startup.exe
- C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup
§ Startup.exe
- C:\Documents and Settings\%user%\Local Settings\Application Data
§ IExplorer.exe
§ shell.exe
§ csrss.exe
§ kere.exe
§ lsass.exe
§ services.exe
§ winlogon.exe
- C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
§ Csrss.exe
§ lsass.exe
§ services.exe
§ smss.exe
§ winlogon
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup
§ Startup.exe
- C:\Program Files\Microsoft Office\OFFICE11\STARTUP
§ Startup.exe
- C:\Windows
§ kERe.exe
- C:\WINDOWS\system32
§ MrBugs.scr
§ IExplorer.exe
§ Shell.exe
- C:\Windows\Downloaded Program Files\SexyIndoGirls.pif
- C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif, dimana X menunjukan angka acak
-------------------------------------------------------------------------------------------------------
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
-------------------------------------------------------------------------------------------------------
Sebagai penunjang agar file tersebut dapat dijalankan, ia akan membut beberapa string pada registry dibawah ini:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Logon%user logon% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
System Monitoring = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\LSASS.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe "C:\WINDOWS\System32\IExplorer.exe"
userinit = C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\IExplorer.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kERe = C:\WINDOWS\kERe.exe
MSMSGS = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
Service%user logon% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
-------------------------------------------------------------------------------------------------------
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
-------------------------------------------------------------------------------------------------------
Manipulasi Screen Saver Windows
Selain itu Kere juga akan memanipulasi “Screen Saver Windows” [menyamar seolah-olah sebagai screen saver] dengan mengganti file yang akan di jalankan menjadi Mr.Bugs.scr file ini akan disimpan didirektori [C:\Windows\system32]. File ini akan dijalankan pada waktu-waktu yang telah ditentukan sehingga secara otomatis akan mengaktifkan dirinya. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:
HKEY_CURRENT_USER\Control Panel\Desktop
C:\WINDOWS\System32\MRBugs.scr
Untuk mempertahankan dirinya Rontokbro.LD akan mencoba untuk melakukan Disable beberapa software security termasuk antivirus maupun fungsi windows seperti regedit, msconfig, task manager, folder option dan cmd selain itu Rontokbro.LD juga akan disable klik kanan [sedangkan pada VBWorm.ZL tidak disable klik kanan] dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoFolderOptions
NoViewContextMenu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools
DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerision\Policies\Explorer
NoTrayContextMenu
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerison\Policies\Explorer
NoTrayCOntextMenu
NoClose
NoFind
NoSetFolders
NoSetTaskbar
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableRegistryTools
DisableTaskMgr
DisableCMD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Disabled =1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions
NoViewContextMenu
Rontokbro.LD juga akan mematikan “system restore” dan blok file installer yang mempunyai ekst. MSI dengan membuat string pada registry berikut : (lihat gambar 4)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig
DisableSR
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
DisableMSI = 1
LimitSystemRestoreCheckpointing = 1
Gambar 4, Rontokbro.LD menyembunyikan tabulasi “System restore”
Manipulasi file .EXE, .COM, .BAT, .PIF dan .LNK
Harap hati-hati... jika anda terinfeksi Rontokbro.LD [juga VBWorm.ZL] jangan sesering mungkin menjalankan file yang mempunyai ekst. .exe, .com, .bat, .pif dan .lnk karena jika anda menjalankan file dengan extension tersebut maka secara tidak langsung akan mengaktifkan virus tersebut. Untuk melakukan hal ini ia akan merubah string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*
Rontokbro.LD juga akan mebut merubah string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
§ Auto = 1
§ Debugger = "C:\WINDOWS\System32\Shell.exe"
Selain itu jika komputer anda sudah bersih dari pengaruh Rontokbro.LD tetapi selama anda tidak membersihkan string registry yang telah disebutkan di atas maka setiap kali anda menjalankan program yang mempunyai ekstensi .exe, .com, .pif, .lnk dan .bat maka akan muncul pesan error seperti terlihat pada gambar dibawah 5 dan 6 ini :
Gambar 5, Pesan error pada saat menjalankan program [gambar1]
Gambar 6
Menyembunyikan file eksekusi dari sebuah program
Sama seperti pada varian sebalumnya [VBWorm.ZL] Rontokbro.LD juga akan menyembunyikan setiap file executable [.exe] dari sebuah program jika program tersebut dijalankan kemudian untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri:
Menggunakan icon “Folder”
Ukuran 80 KB
Ext. .EXE
Type file “File Folder” walaupun sebenarnya merupakan “Application” hal ini disebebkan karena virus ini akan merubah type file dari “Application” menjadi “File Folder” teknik ini juga digunakan untuk mengelabui user.
Merubah type file dari “Application” menjadi “File Folder”
Jika komputer anda terinfeksi virus ini coba perhatikan semua file yang mempunyai ext. EXE dimana sebelumnya akan mempunyai type sebagai file “Apllication” kini akan berubah menjadi “File Folder”. Rontokbro.DL sebenarnya mempunyai tujuan lain dalam merubah type file tersebut yakni agar user terkecoh dengan file yang sudah terinfeksi sehingga dengan “tenang” user akan menjalankan file tersebut, tapi kenapa hal ini bisa terjadi ??? hal ini disebabkan Rontokbro.LD akan menggunakan icon “Folder” sehingga dengan type file sebagai “File Folder” maka semakin sempurnalah penyamaran virus tersebut, karena user beranggapan file tersebut adalah “Folder” bukan “applikasi”. Untuk melakukan hal tersebut Rontokbro.LD akan merubah string pada registry berikut : (lihat gambar 7)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
Default = File Folder
Gambar 7, Manipulasi registri oleh Kere yang mengakibatkan file virus terlihat “seolah-olah” folder
Manipulasi file MSVBVM60.dll
Program bahasa yang digunakan untuk membuat Virus ini adalah bahasa VB. Anda pasti sudah tahu bahwa agar semua file yang dibuat dengan menggunakan bahasa VB tidak aktif [termasuk virus] anda hanya perlu merubah file msvbvm60.dll yang berada didirektori [C:\windows\system32] menjadi nama file lain [contoh: msvbvm60old]. Tetapi rupanya virus ini belajar dari pengalaman, dengan tujuan agar Rontokbro.LD dapat tetap aktif dan user kesulitan dalam merubah file tersebut maka Rontokbro.LD akan copy file yang sama [msvbvm60.dll] ke direktori [C:\windows] dengan attribut “hidden” begitupun file msvbvm60.dll yang ada di direktori [C:\windows\system32] juga akan disembunyikan.
Aktif pada mode safe mode dan safe mode with command prompt
Sebagai upaya untuk mempertahankan dirinya, Rontokbro.LD akan tetap aktif walaupun komputer di booting pada mode “safe mode” dan “safe mode with command prompt” sehingga mempersulit proses pembersihan dengan melakukan perubahan pada registry berikut:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell = C:\WINDOWS\kERe.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
AlternateShell = C:\WINDOWS\kERe.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = C:\WINDOWS\kERe.exe
Membuat file duplikat
Sebagai penutup Rontokbro.LD akan membuat file duplikat disetiap folder dan sub folder sesuai dengan nama folder/file yang ada di foldersubfolder tersebut dengan ciri-ciri
Menggunakan icon “Folder”
Ukuran 80 KB
Ext. .EXE
Type file “File Folder” walaupun sebenarnya merupakan “Application” hal ini disebebkan karena virus ini akan merubah type file dari “Application” menjadi “File Folder” teknik ini juga digunakan untuk mengelabui user.
Media penyebaran
Sama seperti varian awalnya [VBWorm.ZL], Untuk menyebarkan dirinya Rontokbro.LD masih menggunakan media Disket/UFD dengan copy beberapa file serta membuat file duplikat disetiap folder dan sub folder dengan nama file sesuai dengan nama folder yang disembunyikan, berikut beberapa file yang di copy ke media Disket/UFD:
Data %user logon%.exe
Membuat folder KERE [hidden file] dimana folder ini berisi 2 file yakni “folder.htt” dan “SexyIndoGirls.pif”
Catatan:
%user logon% menunjukan user yang digunakan untuk login ke windows
Cara membersihkan Rontokbro.LD secara manual
Putuskan hubungan komputer yang akan dibersihkan dari Jaringan [LAN/WAN]
Matikan proses virus yang aktif di memori. Sebagaimana yang telah dijelaskan di awal bahwa virus ini sulit untuk dibersihkan baik melalui mode “Normal”, “safe mode” atau “safe mode with command prompt” karena ia akan mencoba untuk blok dari berbagai arah agar dirinya tetap aktif termasuk untuk memanipulasi file dengan ext. exe, com, bat, lnk dan pif dengan merubah ke lokasi file induk virus tersebut sehingga jika anda menjalankan file dengan ext tersebut maka secara tidak langsung akan menjalankan virus tersebut, oleh karena itu pembersihan sebaiknya dilakukan melalui mode DOS PROMPT.
Jika komputer anda terinstall Windows dengan OS NT/2000/XP/2003 dengan format NTFS anda dapat menggunakan software NTFS for DOS. Tools ini digunakan untuk membuat Disket Stratup yang nantinya digunakan untuk menghapus file induk virus tersebut, software ini dapat di download di alamat http://www.free-av.com/antivirclassic/avira_ntfs4dos.html. Setelah berhasil download dan menginstall software tersebut buat Disket Startup, untuk membuat disket stratup anda hanya membutuhkan 1 [satu] disket saja. Setelah sisket starup tersebut berhasil dibuat booting komputer melalui disket.
Sebagai informasi Rontokbro.LD dibuat dengan menggunakan program bahasa VB dengan demikian untuk mematikan proses virus tersebut untuk sementara waktu anda hanya perlu merubah file MSVBVM60.dll, Ingat !! virus ini juga akan membuat file MSVBVM60.dll pada direktori [C:\Windows] oleh karena itu selain anda merubah file MSVBVM60.dll di direktori [C:\Windows\System32] anda juga harus merubah file yang sama pada direktori [C:\Windows]
Jika anda menggunakan Software NTFS for DOS biasanya Drive System [C:\] akan menjadi Drive terakhir [contohnya: jika Hard Disk anda mempunyai 2 partisi maka partisi C:\ (system) menjadi D:\.
Setelah anda berhasil masuk ke dalam lingkungan DOS dengan menggunakan NTFS for DOS pastikan kursor berada di Drive system anda [contoh D:\] kemudian rename file MSVBVM60.dll yang ada didirektori [C:\Windows dan C:\Windows\system32] dengan terlebih dahulu masuk ke direktori yang telah disebutkan diatas terlebih dahulu. Setelah itu ketik perintah DIR /AH [untuk melihat file yang di sembunyikan] kemudian ketik kambali perintah ren msvbvm60.dll msvbvm60old kemudian tekan tombol [enter], untuk lebih jelasnya perhatikan gambar 8 dibawah ini :
Gambar 8, Merubah file msvbvm60.dll pad DOS Prompt
Setelah berhasil merubah file MSVBVM60.dll, restart komputer dan booting ke mode “normal”.
Pesan error setelah merubah file msvbvm60.dll
Setelah anda merubah file msvbvm60.dll dan jika anda mencoba untuk menjalankan suatu program [bukan cuma program yang dibuat dengan Visual Basic saja] maka akan muncul pesan error “seolah-olah program tersebut tidak dapat menemukan file msvbvm60.dll” hal ini karena Rontokbro.LD akan mengalihkan ke lokasi file virus itu sendiri [C:\Windows\system32\shell.exe].Perhatikan gambar dibawah 9 ini
Gambar 9, Pesan error ketika menjalankan program
Hapus string registry yang dibuat oleh virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf setelah itu jalakan file tersebut dengan cara:
Klik kanan repair.inf
Klik Install
Tetapi Rontokbro.LD akan mencoba untuk blok fungsi klik kanan pada desktop atau file sehingga user akan kesulitan untuk menjalankan file tersebut [repair.inf], oleh karena itu anda harus mengaktifkan kembali fungsi klik kanan tersebut. Untuk mengaktifkan fungsi klik kanan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.bat dan jalankan file tersebut dengan cara klik 2 x file tersebut.
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools")
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerision\Policies\explorer\NoTrayCOntextMenu")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")
Setelah itu restart komputer dan booting pada mode “Normal”. Setelah fungsi klik kanan dapat kembali digunakan, hapus sisa string yang masih ada, untuk mempercepat salin script dibawah ini pada program notepad dan simpan dengan nama repair.inf kemudian jalankan file tersebut [klik repair.inf à klik install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
hklm, SOFTWARE\Classes\lnkfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Auto,0x00000020,0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Debugger,0,
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Control Panel\Desktop, SCRNSAVE.EXE,0,
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,kERe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,MSMSGS
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,System Monitoring
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
------------------------------------------------------------------------------------------
Catatan:
Sebelum menjalankan repair.inf lakukan pengecekan ulang pada script berikut:
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"
Kemudian ganti pada baris C:\Windows\system32\userinit.exe, menjadi C:\Winnt\system32\userinit.exe, jika menggunakan Windows NT/2000, karena baris script diatas [C:\Windows\system32\userinit.exe] berlaku jika komputer terinstall Windows XP/2003.
Setelah menjalankan repair.inf sebaiknya Anda cek kembali registry berikut, karena untuk string yang dibuat akan berbeda-beda sesuai dengan login user yang digunakan pada komputer yang terinfeksi.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Logon%user% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Service%user login% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
Kemudian hapus string Logon %user% dan Service %user%
------------------------------------------------------------------------------------------
Hapus file induk yang telah dibuat oleh virus. Sebelum anda menghapus file induk tersebut pastikan anda sudah menampilkan semua file yang disembunyikan dengan memilih option “ show hidden file anda folder” dan mematikan option “hide file extension for known type” dan “hide protected operating system files (recommended) pada “FOLDER OPTION” kemudian hapus file berikut:
· Data %user%.exe pada setiap partisi Hard Disk, dimana %user% menunjukan user yang digunaakn untuk login ke windows
· C:\kere.exe
· Membuat folder KERE pada setiap drive, dimana folder ini berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.exe", kedua file ini akan disembunyikan
· C:\Documents and Settings\All Users\Start Menu\Programs\Startup
§ Empty.pif
§ Empty.exe dan Startup.exe
· C:\Documents and Settings\Default User\Start Menu\Programs\Startup
§ Startup.exe
· C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup
§ Startup.exe
· C:\Documents and Settings\%user%\Application Data\Microsoft\Word\STARTUP
§ Startup.exe
· C:\Documents and Settings\%user%\Local Settings\Application Data
§ IExplorer.exe
§ shell.exe
§ csrss.exe
§ kere.exe
§ lsass.exe
§ services.exe
§ winlogon.exe
· C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
§ Csrss.exe
§ lsass.exe
§ services.exe
§ smss.exe
§ winlogon
· C:\Documents and Settings\%user%\Start Menu\Programs\Startup
§ Startup.exe
· C:\Program Files\Microsoft Office\OFFICE11\STARTUP
§ Startup.exe
· C:\Windows
§ kERe.exe
· C:\WINDOWS\system32
§ MrHelloween.scr
§ shell.exe
§ IExplorer.exe
§ C:\Windows\Downloaded Program Files\SexyIndoGirls.pif
§ C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif, dimana X menunjukan angka acak
§ Jika anda mempunyai Flash Disk sebaiknya cek dan hapus file yang mempunyai nama Data %user logon%.exe [contoh: Data Administrator] dan folder “KERE” [folder ini akan disembunyikan]
Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
Menggunakan icon “Folder”
Ukuran file 80 KB
Mempunyai extension .EXE
Type file “Application”
Tampilkan kembali semua file executable [.EXE] yang telah disembunyikan oleh virus, untuk mempercepat anda dapat menggunakan perintah ATTRIB pada DOS PROMPT, contoh:
ATTRIB –h –r *.exe /s kemudian tekan tombol [enter] (lihat gambar 10)
Gambar 10, Mengembalikan file .exe yang disembunyikan oleh virus
Jika komputer sudah benar-benar bersih dari virus, rename [ubah] kembali file msvbvm60.dll yang sudah diubah sebelumnya pada didirektori [C:\Windows\system32].
Untuk pembersihan optimal dan mencegah infeksi ulang install antivirus yang sudah dapat mengenali virus ini dengan baik Read More..
W32/Rontokbro.LA
W32/Rontokbro.LA [4k51k4] 9 JAnuari 2007
Menginfeksi komputer dari Flash Disk tanpa perlu di klik
Pengantar :
Apa yang diajarkan Son Goku kepada kita ? Jika anda penggemar Dragon Ball, menghayati dan mengamalkannya tentunya anda tidak akan sombong karena pesannya jelas sekali, di atas langit masih ada langit. Rupanya hal ini terjadi di kancah pervirusan Indonesia.
Jika SOP (Standard Operation Procedur) virus lokal selama ini adalah menyebarkan dirinya melalui Flash Disk atau Disket dan dengan rekayasa sosial yang canggih (memalsukan Icon virus sebagai folder atau aplikasi lain seperti MS Word, JPG). Dengan teknik sederhana ini biasanya pengguna komputer banyak yang secara tidak sadar menjalankan virus tersebut dan terinfeksi.
Tentunya pengguna komputer yang tidak pernah sembarangan mengklik file akan lebih aman dari penularan virus lokal. 100 % aman ?.... Tunggu Dulu !!! Sebelum memberikan Piala Citra pada pengguna yang tidak pernah sembarangan mengklik file sebaiknya anda lihat ancaman yang datang dari varian Ekskul...eh.. Rontokbro yang terakhir ini. W32/Rontokbro.LA, yang satu ini bisa mengaktifkan dirinya setiap kali anda mengakses Flash Disk yang dicolokkan pada komputer. Dan kabar buruknya, sudah ada beberapa varian virus lokal yang memiliki kemampuan menjalankan dirinya secara otomatis setiap kali Flash Disk di colokkan ke komputer.
4K51K4
Apa yang aku lakukan tak dapat kau rasakan
Apa yang kau lakukan tak dapat aku rasakan
Benar-benar jauh, tak kan dapat kugapai
Aku paksa, tetap akan lukai diri..
Senyummu gerakan senyumku
Sedihmu mengiris hatiku
Tangisku bukan milikmu
Tangismu adalah milikku
Tak ada lagi yang ku kejar saat ini
Nanti, ya nanti aku akan mulai mengejar
Lepaskan sebagian letihku saat ini
Nanti, nanti aku mulai berkobar
Seperti yang sudah kita ketahui bahwa virus lokal biasanya akan menyebar menggunakan Disket / Flash Disk dan kita juga tahu bahwa virus tersebut baru akan aktif jika user menjalankan file yang sudah terinfeksi virus. Contohnya jika Flash Disk anda sudah terinfeksi virus dan Flash Disk tersebut di colokkan ke PC yang bersih maka anda perlu menjalankan file yang sudah terinfeksi terlebih dahulu dengan klik ganda pada file untuk mengaktifkan virus tersebut. Kini metode tersebut sudah kuno (anak kecil juga bisa). Lagi-lagi Rontokbro menjadi pionir dalam mencari cara baru menginfeksi komputer dimana variannya dengan nama W32/Rontokbro.LA mampu mengaktifkan dirinya secara otomatis setiap kali UFD (USB Flash Disk) di colokkan pada komputer. Dan ternyata sudah banyak virus lokal yang memiliki kemampuan yang sama. Rahasianya adalah script untuk menjalankan file yang sudah terinfeksi didalam Disket / Flash Disk tersebut sehingga jika user mengakses Disket / Flash Disk maka secara otomatis akan menjalankan script yang sudah dibuat tadi.
Rontokbro.LA dibuat dengan menggunakan bahasa Visual Basic serta mengusung sebuah puisi cinta yang berjudul “4K51K4”, seperti terlihat pada gambar 1 dan 2 dibawah ini:
Gambar 1, File induk W32/Rontokbro.LA
Gambar 2, Penggalan puisi W32/Rontokbro.LA
Dengan update terbaru Norman Virus Control sudah dapat mengenali virus ini sebagai Rontokbro.LA (Gambar 3)
Gambar 3, Hasil Scan Norman Virus Control terhadap virus W32/Rontokbro.LA
Agar Rontokbro.LA dapat berkembang biak ia akan membuat beberapa file induk yang akan disimpan di direktori berikut:
C:\Data%user%.exe [contoh: Data Administrator.exe], file ini akan disimpan di setiap drive termasuk disket dan flash disk
C:\4k51k4.exe, file ini akan disimpan di setiap drive termasuk disket dan flash disk
C:\puisi.txt
C:\desktop.ini, file ini akan disimpan di setiap drive termasuk disket dan flash disk
C:\4K51K4, file ini akan disimpan di setiap drive termasuk disket dan flash disk. Folder ini berisi 2 buah file dengan nama:
- Folder.htt
- New Folder.exe
C:\Documents and Settings\Adang\Start Menu\Programs\Startup\startup.exe
C:\Documents and Settings\Adang\Local Settings\Application Data
- 4k51k4.exe
- csrss.exe
- Empty.Pif
- IExplorer.exe
- lsass.exe
- services.exe
- shell.exe
- winlogon.exe
C:\Documents and Settings\%usr%\Local Settings\Application Data\WINDOWS
- csrss.exe
- lsass.exe
- services.exe
- smss.exe
- winlogon.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
- Empty.pif
- Empty.exe
- Startup.exe
C:\Documents and Settings\Default User\Start Menu\Programs\Startup
- Startup.exe
C:\WINDOWS
- 4k51k4.exe
C:\WINDOWS\system32
- shell.exe
- MrHelloween.scr
- IExplorer.exe
Membuat msvbvm60.dll cadangan
Seperti yang sudah dijelaskan diatas bahwa Rontokbro.LA dibuat dengan menggunakan bahasa Visual Basic sehingga lebih mudah untuk pembersihannya dengan syarat anda merubah file msvbvm60.dll yang ada di direktori C:\Windows\system32, tetapi virus ini juga cerdik ia akan membuat pasukan cadangan dengan nama yang sama sehingga walaupun file msvbvm60.dll yang ada di folder C:\Windows\system32 sudah direname, tetapi virus ini akan tetap aktif, file ini akan disimpan di direktori C:\Windows
Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
§ 4k51k4 = C:\WINDOWS\4k51k4.exe
§ MSMSGS = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
§ Service%user% = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\SERVICES.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
§ Logon%user% = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\CSRSS.EXE
§ System Monitoring = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\LSASS.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
§ Shell = Explorer.exe "C:\WINDOWS\system32\IExplorer.exe"
§ userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe
Rontokbro.LA juga akan merubah setting pada Screen Saver dengan tujuan untuk menjalankan file MrHelloween.scr [C:\Windows\system32] pada waktu-waktu yang sudah ditentukan, dengan merubah string pada registry berikut:
HKEY_CURRENT_USER\Control Panel\Desktop
§ SCRNSAVE.EXE = C:\WINDOWS\system32\MRHELL~1.SCR
Untuk menjaga eksistensinya, Rontokbro.LA akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager/Regedit/Folder Option/Disable MSI Installer atau Disable System Restore tools security seperti proceexp, security task manager, atau killbox pun dibuat tak berdaya. Untuk blok fungsi Windows tersebut ia akan membuat beberapa string pada regsitry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
§ NoFolderOptions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
§ DisableRegistryTools
§ DisableTaskMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
§ DisableMSI = 1
§ LimitSystemRestoreCheckpointing = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
§ DisableConfig = 1
§ DisableSR
Selain itu Rontokbro.LA juga akan mencoba untuk menyembunyikan semua file yang mempunyai ekst. EXE/BAT/PIF/COM atau LNK jika file tersebut dijalankan dan untuk mengelabui user ia akan membuat file duplikat dengan nama file yang sama. Rontokbro.LA juga mempunyai metode lain agar dirinya tetap aktif setiap waktu yakni dengan memanipulasi setiap file yang mempunyai ekst. EXE/COM/BAT/PIF atau LNK dengan demikian setiap kali user menjalankan file yang mempunyai ekst tersebut maka secara otomatis akan mengaktifkan virus tersebut. Untuk melakukan hal tersebut ia akan mebuat beberapa string pada registy berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
Rontokbrol.LA juga akan mencoba untuk merubah type file dari “Application” menjadi “File Folder” sehingga akan semakin sempurna pula penyamaran yang dilakukan oleh Rontokbro karena icon yang akan digunakan oleh Rontokbro.LA adalah icon “Folder” sehingga dengan type file “File Folder” akan mempermudah untuk menjebak user untuk menjalankan file yang sudah terinfeksi virus tersebut. Sebenarnya ada satu cara yang dapat anda gunakan agar tidak terjebak untuk menjalankan file yang sudah terinfeksi yakni dengan menampilkan file secara detail [View -- > Detail] dan biasanya sebuah folder tidak akan mempunyai ukuran, jadi jika anda menjumpai file dengan icon “folder” dan mempunyai ukuran sebaiknya jangan dijalankan karena kemungkinan besar merupakan virus, perhatikan gambar 4 dibawah ini:
Gambar 4, Perbandingan antara folder asli dan file yang terinfeksi virus
Menyebar otomatis melalui Disket / Flash Disk
Rontokbro.LA masih menggunakan Disket/Flash Disk sebagai media penyebarannya dengan membuat beberapa file berikut:
4K51K4, folder ini berisi 2 buah file dengan nama Folder.htt dan New Folder.exe
Data %user%.exe, contoh: Data Admin.exe
Desktop.ini
Agar file yang sudah dibuat di Disket/Flash Disk tersebut aktif secara otomatis tanpa harus dijalankan secara manual oleh user, ia akan membuat script pada Disket/Flash Disk tersebut dengan nama Desktop.ini dimana script ini berisi perintah untuk menjalankan file Folder.htt. File Folder.htt ini berisi perintah lain untuk menjalankan file New Folder.exe. Perhatikan penggalan script yang ada pada file Desktop.ini dan Folder.htt (gambar 5 dan 6)
Gambar 5, Penggalan script Desktop.ini yang menjalankan file folder.htt
Gambar 6, Penggalan script Folder.htt yang secara otomatis akan menjalankan file virus
Jadi, setiap kali user mengakses Disket/Flash Disk yang sudah terinfeksi maka secara otomatis akan mengaktifkan virus tersebut. Rontokbro.LA juga akan membuat file Desktop.ini di setiap Drive [contoh: Drive C:\ atau D:\] sehingga jika user mengakses kedua Drive tersebut maka secara otomatis akan mengaktifkan virus tersebut tanpa harus menjalankan file yang sudah terinfeksi terlebih dahulu, suatu perkembangan yang luar biasa dan saat ini sudah banyak virus lokal yang akan menggunakan metode ini sebut saja virus W32/Askis, W32/VBWorm.ZL, VBWorm.MOS atau W32/Aksika.
Sebagai penutup Rontokbro.LA akan membuat file duplikat disetiap Folder dan sub folder yang diakses sesuai dengan nama folder tersebut dengan ciri-ciri : (lihat gambar 7)
Icon Folder
Ukuran 45 KB
Ext. EXE
Type file “Application”
Gambar 7, File duplikat yang dibuat oleh Rontokbro
Cara membersihkan Rontokbro.LA
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Matikan proses virus yang aktif dimemori. Sebagai informasi Rontokbro.AL akan aktif di mode “normal”, “safe mode” maupun “safe mode with command prompt”, file induk yang aktif di memori juga sangat sulit untuk dimatikan hal ini diperparah dengan kondisi dimana virus ini akan aktif setiap kali user menjalankan file Executable [EXE] dari suatu program, tools security seperti security task manager/proceeXP atau killbox pun dibuat tak berdaya. Kabar baiknya Rontokbro.AL dibuat dengan menggunakan bahasa Visual Basic sehingga anda hanya perlu merubah file MSVBVM60.dll yang ada didirektori C:\Windows dan C:\Windowws\system32
Untuk merubah file MSVBVM60.dll tersebut, terlebih dahulu anda harus membuat Disket Startup karena file tersebut akan diubah pada mode DOS. Untuk membuat disket startup tersebut anda dapat menggunakan software NTFS For DOS, tools ini dapat di download di alamat http://www.wsdownload.de/download/ntfs4dos/ntfsinst.exe.
Setelah anda berhasil membuat disket Startup boting komputer melalui Disket. Sebagai informasi jika anda menggunakan tools NTFS for Dos ini maka Drive System [C:\] akan menjadi Drive terakhir, jadi jika anda mempunyai 2 partisi maka partisi C:\ akan menjadi D:\ begitupun sebaliknya [partisi D:\ menjadi C:\] oleh karena itu setelah berhasil masuk ke mode DOS kemudian masuk ke Drive System dengan mengetik perintah %drive system%: kemudian tekan tombol “enter” pada keyboard [contoh: D: kemudian tekan tombol “enter”] setelah itu masuk ke direktori ..\Windows dengan mengetik CD WINDOWS kemudian tekan tombol “enter”, setelah itu ketik perintah dibawah ini:
· DIR/AH kemudian tekan tombol “enter” pada keyboard [untuk melihat file yang disembunyikan], jika di direktori ini ditemukan file MSVBVM60.DLL, ubah nama file tersebut dengan mengetik perintah dibawah ini
· REN MSVBVM60.DLL MSVBVM60 kemudian tekan tombol “enter“ pada keyboard
Ubah juga file MSVBVM60.DLL yang ada di direktori ..\Windows\system32, dengan mengunakan perintah yang sama seperti di atas. (lihat gambar 8)
Gambar 8, Merubah file MSVBVM60.dll menjadi msvbvm60
Setelah file tersebut berhasil di ubah, restart komputer dan booting ke mode "Normal". Setelah komputer booting maka akan muncul beberapa pesan error, ini menandakan bahwa virus tersebut gagal untuk dijalankan [aktif] kerena tidak menemukan file MSVBVM60.DLL, jika muncul pesan tersebut klik tombol [OK], perhatikan gambar 9 dibawah ini.
Gambar 9, Pesan error setelah merubah file MSVBVM60.DLL
3. Hapus string registry yang dibuat oleh virus. Salin script dibawah ini pada program Notepad dan simpan dengan nama repair.inf kemudian jalankan dengan cara
klik kanan repair.inf
klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKCU, Control Panel\Desktop,SCRNSAVE.EXE ,0,
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, 4k51k4
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, MSMSGS
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableCMD
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
4. Hapus file induk yang dibuat oleh virus, sebelum menghapus file tersebut pastikan anda sudah menampilkan file/folder yang disembunyikan dengan memilih option "Show hidden files and folders" dan menghilangkan pilihan "Hide extension for known file types" dan "Hide protected operating system files (recommended)" pada Folder Option, perhatikan gambar 10 dibawah ini:
Gambar 10, Menampilkan file yang disembunyikan
Setelah itu hapus file induk berikut:
C:\Data%user%.exe [contoh: Data Admin.exe]
C:\4k51k4.exe
C:\Puisi.txt
C:\Desktop.ini
C:\4K51K4, folder ini berisi 2 buah file berikut:
- Folder.htt
- New Folder.exe
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\startup.exe
C:\Documents and Settings\%user%\Local Settings\Application Data
- 4k51k4.exe
- csrss.exe
- Empty.Pif
- IExplorer.exe
- lsass.exe
- services.exe
- shell.exe
- winlogon.exe
C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
- csrss.exe
- lsass.exe
- services.exe
- smss.exe
- winlogon.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
- Empty.pif
- Empty.exe
- Startup.exe
C:\WINDOWS\4k51k4.exe
C:\WINDOWS\system32
- Shell.exe
- MrHelloween.scr
- IExplorer.exe
Hapus juga file yang ada di Disket/Flash Disk:
4K51K4, folder ini berisi 2 buah file dengan nama Folder.htt dan New Folder.exe
Data %user%.exe, contoh: Data Admin.exe
Desktop.ini
5. Hapus file duplikat yang sudah dibuat oleh virus baik di Hard Disk maupun di Disket/Flash Disk dengan ciri-ciri :
Menggunakan icon folder
Ukuran 45 KB
Ext. exe
Type file "application"
6. Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan Norman Virus Control yang sudah dapat mengenali virus ini dengan baik.
7. Jika komputer sudah bersih dari virus, tampilkan kembali file .EXE yang sudah disembunyikan. Gunakan perintah ATTRIB -s -h *.exe /s /d pada Dos Prompt. Sebagai informasi Rontokbro.LA juga akan mencoba untuk menyembunyikan file dengan ekst. Bat/Com/lnk dan Pif jika file tersebut dijalankan oleh karena itu untuk menampilkan kembali file dengan ext tersebut gunakan perintah seperti diatas dengan mengganti ekstensi yang akan ditampilkan, contoh ATTRIB -s -h *.com /s /d (lihat gambar 11)
Gambar 11, Menampilkan ekstensi yang disembunyikan
8. Ubah kembali file msvbvm60 yang ada di direktori C:\Windows\system32 menjadi msvbvm60.dll Read More..
Menginfeksi komputer dari Flash Disk tanpa perlu di klik
Pengantar :
Apa yang diajarkan Son Goku kepada kita ? Jika anda penggemar Dragon Ball, menghayati dan mengamalkannya tentunya anda tidak akan sombong karena pesannya jelas sekali, di atas langit masih ada langit. Rupanya hal ini terjadi di kancah pervirusan Indonesia.
Jika SOP (Standard Operation Procedur) virus lokal selama ini adalah menyebarkan dirinya melalui Flash Disk atau Disket dan dengan rekayasa sosial yang canggih (memalsukan Icon virus sebagai folder atau aplikasi lain seperti MS Word, JPG). Dengan teknik sederhana ini biasanya pengguna komputer banyak yang secara tidak sadar menjalankan virus tersebut dan terinfeksi.
Tentunya pengguna komputer yang tidak pernah sembarangan mengklik file akan lebih aman dari penularan virus lokal. 100 % aman ?.... Tunggu Dulu !!! Sebelum memberikan Piala Citra pada pengguna yang tidak pernah sembarangan mengklik file sebaiknya anda lihat ancaman yang datang dari varian Ekskul...eh.. Rontokbro yang terakhir ini. W32/Rontokbro.LA, yang satu ini bisa mengaktifkan dirinya setiap kali anda mengakses Flash Disk yang dicolokkan pada komputer. Dan kabar buruknya, sudah ada beberapa varian virus lokal yang memiliki kemampuan menjalankan dirinya secara otomatis setiap kali Flash Disk di colokkan ke komputer.
4K51K4
Apa yang aku lakukan tak dapat kau rasakan
Apa yang kau lakukan tak dapat aku rasakan
Benar-benar jauh, tak kan dapat kugapai
Aku paksa, tetap akan lukai diri..
Senyummu gerakan senyumku
Sedihmu mengiris hatiku
Tangisku bukan milikmu
Tangismu adalah milikku
Tak ada lagi yang ku kejar saat ini
Nanti, ya nanti aku akan mulai mengejar
Lepaskan sebagian letihku saat ini
Nanti, nanti aku mulai berkobar
Seperti yang sudah kita ketahui bahwa virus lokal biasanya akan menyebar menggunakan Disket / Flash Disk dan kita juga tahu bahwa virus tersebut baru akan aktif jika user menjalankan file yang sudah terinfeksi virus. Contohnya jika Flash Disk anda sudah terinfeksi virus dan Flash Disk tersebut di colokkan ke PC yang bersih maka anda perlu menjalankan file yang sudah terinfeksi terlebih dahulu dengan klik ganda pada file untuk mengaktifkan virus tersebut. Kini metode tersebut sudah kuno (anak kecil juga bisa). Lagi-lagi Rontokbro menjadi pionir dalam mencari cara baru menginfeksi komputer dimana variannya dengan nama W32/Rontokbro.LA mampu mengaktifkan dirinya secara otomatis setiap kali UFD (USB Flash Disk) di colokkan pada komputer. Dan ternyata sudah banyak virus lokal yang memiliki kemampuan yang sama. Rahasianya adalah script untuk menjalankan file yang sudah terinfeksi didalam Disket / Flash Disk tersebut sehingga jika user mengakses Disket / Flash Disk maka secara otomatis akan menjalankan script yang sudah dibuat tadi.
Rontokbro.LA dibuat dengan menggunakan bahasa Visual Basic serta mengusung sebuah puisi cinta yang berjudul “4K51K4”, seperti terlihat pada gambar 1 dan 2 dibawah ini:
Gambar 1, File induk W32/Rontokbro.LA
Gambar 2, Penggalan puisi W32/Rontokbro.LA
Dengan update terbaru Norman Virus Control sudah dapat mengenali virus ini sebagai Rontokbro.LA (Gambar 3)
Gambar 3, Hasil Scan Norman Virus Control terhadap virus W32/Rontokbro.LA
Agar Rontokbro.LA dapat berkembang biak ia akan membuat beberapa file induk yang akan disimpan di direktori berikut:
C:\Data%user%.exe [contoh: Data Administrator.exe], file ini akan disimpan di setiap drive termasuk disket dan flash disk
C:\4k51k4.exe, file ini akan disimpan di setiap drive termasuk disket dan flash disk
C:\puisi.txt
C:\desktop.ini, file ini akan disimpan di setiap drive termasuk disket dan flash disk
C:\4K51K4, file ini akan disimpan di setiap drive termasuk disket dan flash disk. Folder ini berisi 2 buah file dengan nama:
- Folder.htt
- New Folder.exe
C:\Documents and Settings\Adang\Start Menu\Programs\Startup\startup.exe
C:\Documents and Settings\Adang\Local Settings\Application Data
- 4k51k4.exe
- csrss.exe
- Empty.Pif
- IExplorer.exe
- lsass.exe
- services.exe
- shell.exe
- winlogon.exe
C:\Documents and Settings\%usr%\Local Settings\Application Data\WINDOWS
- csrss.exe
- lsass.exe
- services.exe
- smss.exe
- winlogon.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
- Empty.pif
- Empty.exe
- Startup.exe
C:\Documents and Settings\Default User\Start Menu\Programs\Startup
- Startup.exe
C:\WINDOWS
- 4k51k4.exe
C:\WINDOWS\system32
- shell.exe
- MrHelloween.scr
- IExplorer.exe
Membuat msvbvm60.dll cadangan
Seperti yang sudah dijelaskan diatas bahwa Rontokbro.LA dibuat dengan menggunakan bahasa Visual Basic sehingga lebih mudah untuk pembersihannya dengan syarat anda merubah file msvbvm60.dll yang ada di direktori C:\Windows\system32, tetapi virus ini juga cerdik ia akan membuat pasukan cadangan dengan nama yang sama sehingga walaupun file msvbvm60.dll yang ada di folder C:\Windows\system32 sudah direname, tetapi virus ini akan tetap aktif, file ini akan disimpan di direktori C:\Windows
Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
§ 4k51k4 = C:\WINDOWS\4k51k4.exe
§ MSMSGS = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
§ Service%user% = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\SERVICES.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
§ Logon%user% = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\CSRSS.EXE
§ System Monitoring = C:\Documents and Settings\Adang\Local Settings\Application Data\WINDOWS\LSASS.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
§ Shell = Explorer.exe "C:\WINDOWS\system32\IExplorer.exe"
§ userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe
Rontokbro.LA juga akan merubah setting pada Screen Saver dengan tujuan untuk menjalankan file MrHelloween.scr [C:\Windows\system32] pada waktu-waktu yang sudah ditentukan, dengan merubah string pada registry berikut:
HKEY_CURRENT_USER\Control Panel\Desktop
§ SCRNSAVE.EXE = C:\WINDOWS\system32\MRHELL~1.SCR
Untuk menjaga eksistensinya, Rontokbro.LA akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager/Regedit/Folder Option/Disable MSI Installer atau Disable System Restore tools security seperti proceexp, security task manager, atau killbox pun dibuat tak berdaya. Untuk blok fungsi Windows tersebut ia akan membuat beberapa string pada regsitry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
§ NoFolderOptions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
§ DisableRegistryTools
§ DisableTaskMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
§ DisableMSI = 1
§ LimitSystemRestoreCheckpointing = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
§ DisableConfig = 1
§ DisableSR
Selain itu Rontokbro.LA juga akan mencoba untuk menyembunyikan semua file yang mempunyai ekst. EXE/BAT/PIF/COM atau LNK jika file tersebut dijalankan dan untuk mengelabui user ia akan membuat file duplikat dengan nama file yang sama. Rontokbro.LA juga mempunyai metode lain agar dirinya tetap aktif setiap waktu yakni dengan memanipulasi setiap file yang mempunyai ekst. EXE/COM/BAT/PIF atau LNK dengan demikian setiap kali user menjalankan file yang mempunyai ekst tersebut maka secara otomatis akan mengaktifkan virus tersebut. Untuk melakukan hal tersebut ia akan mebuat beberapa string pada registy berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
§ Default = "C:\WINDOWS\system32\shell.exe" "%1" %*
Rontokbrol.LA juga akan mencoba untuk merubah type file dari “Application” menjadi “File Folder” sehingga akan semakin sempurna pula penyamaran yang dilakukan oleh Rontokbro karena icon yang akan digunakan oleh Rontokbro.LA adalah icon “Folder” sehingga dengan type file “File Folder” akan mempermudah untuk menjebak user untuk menjalankan file yang sudah terinfeksi virus tersebut. Sebenarnya ada satu cara yang dapat anda gunakan agar tidak terjebak untuk menjalankan file yang sudah terinfeksi yakni dengan menampilkan file secara detail [View -- > Detail] dan biasanya sebuah folder tidak akan mempunyai ukuran, jadi jika anda menjumpai file dengan icon “folder” dan mempunyai ukuran sebaiknya jangan dijalankan karena kemungkinan besar merupakan virus, perhatikan gambar 4 dibawah ini:
Gambar 4, Perbandingan antara folder asli dan file yang terinfeksi virus
Menyebar otomatis melalui Disket / Flash Disk
Rontokbro.LA masih menggunakan Disket/Flash Disk sebagai media penyebarannya dengan membuat beberapa file berikut:
4K51K4, folder ini berisi 2 buah file dengan nama Folder.htt dan New Folder.exe
Data %user%.exe, contoh: Data Admin.exe
Desktop.ini
Agar file yang sudah dibuat di Disket/Flash Disk tersebut aktif secara otomatis tanpa harus dijalankan secara manual oleh user, ia akan membuat script pada Disket/Flash Disk tersebut dengan nama Desktop.ini dimana script ini berisi perintah untuk menjalankan file Folder.htt. File Folder.htt ini berisi perintah lain untuk menjalankan file New Folder.exe. Perhatikan penggalan script yang ada pada file Desktop.ini dan Folder.htt (gambar 5 dan 6)
Gambar 5, Penggalan script Desktop.ini yang menjalankan file folder.htt
Gambar 6, Penggalan script Folder.htt yang secara otomatis akan menjalankan file virus
Jadi, setiap kali user mengakses Disket/Flash Disk yang sudah terinfeksi maka secara otomatis akan mengaktifkan virus tersebut. Rontokbro.LA juga akan membuat file Desktop.ini di setiap Drive [contoh: Drive C:\ atau D:\] sehingga jika user mengakses kedua Drive tersebut maka secara otomatis akan mengaktifkan virus tersebut tanpa harus menjalankan file yang sudah terinfeksi terlebih dahulu, suatu perkembangan yang luar biasa dan saat ini sudah banyak virus lokal yang akan menggunakan metode ini sebut saja virus W32/Askis, W32/VBWorm.ZL, VBWorm.MOS atau W32/Aksika.
Sebagai penutup Rontokbro.LA akan membuat file duplikat disetiap Folder dan sub folder yang diakses sesuai dengan nama folder tersebut dengan ciri-ciri : (lihat gambar 7)
Icon Folder
Ukuran 45 KB
Ext. EXE
Type file “Application”
Gambar 7, File duplikat yang dibuat oleh Rontokbro
Cara membersihkan Rontokbro.LA
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Matikan proses virus yang aktif dimemori. Sebagai informasi Rontokbro.AL akan aktif di mode “normal”, “safe mode” maupun “safe mode with command prompt”, file induk yang aktif di memori juga sangat sulit untuk dimatikan hal ini diperparah dengan kondisi dimana virus ini akan aktif setiap kali user menjalankan file Executable [EXE] dari suatu program, tools security seperti security task manager/proceeXP atau killbox pun dibuat tak berdaya. Kabar baiknya Rontokbro.AL dibuat dengan menggunakan bahasa Visual Basic sehingga anda hanya perlu merubah file MSVBVM60.dll yang ada didirektori C:\Windows dan C:\Windowws\system32
Untuk merubah file MSVBVM60.dll tersebut, terlebih dahulu anda harus membuat Disket Startup karena file tersebut akan diubah pada mode DOS. Untuk membuat disket startup tersebut anda dapat menggunakan software NTFS For DOS, tools ini dapat di download di alamat http://www.wsdownload.de/download/ntfs4dos/ntfsinst.exe.
Setelah anda berhasil membuat disket Startup boting komputer melalui Disket. Sebagai informasi jika anda menggunakan tools NTFS for Dos ini maka Drive System [C:\] akan menjadi Drive terakhir, jadi jika anda mempunyai 2 partisi maka partisi C:\ akan menjadi D:\ begitupun sebaliknya [partisi D:\ menjadi C:\] oleh karena itu setelah berhasil masuk ke mode DOS kemudian masuk ke Drive System dengan mengetik perintah %drive system%: kemudian tekan tombol “enter” pada keyboard [contoh: D: kemudian tekan tombol “enter”] setelah itu masuk ke direktori ..\Windows dengan mengetik CD WINDOWS kemudian tekan tombol “enter”, setelah itu ketik perintah dibawah ini:
· DIR/AH kemudian tekan tombol “enter” pada keyboard [untuk melihat file yang disembunyikan], jika di direktori ini ditemukan file MSVBVM60.DLL, ubah nama file tersebut dengan mengetik perintah dibawah ini
· REN MSVBVM60.DLL MSVBVM60 kemudian tekan tombol “enter“ pada keyboard
Ubah juga file MSVBVM60.DLL yang ada di direktori ..\Windows\system32, dengan mengunakan perintah yang sama seperti di atas. (lihat gambar 8)
Gambar 8, Merubah file MSVBVM60.dll menjadi msvbvm60
Setelah file tersebut berhasil di ubah, restart komputer dan booting ke mode "Normal". Setelah komputer booting maka akan muncul beberapa pesan error, ini menandakan bahwa virus tersebut gagal untuk dijalankan [aktif] kerena tidak menemukan file MSVBVM60.DLL, jika muncul pesan tersebut klik tombol [OK], perhatikan gambar 9 dibawah ini.
Gambar 9, Pesan error setelah merubah file MSVBVM60.DLL
3. Hapus string registry yang dibuat oleh virus. Salin script dibawah ini pada program Notepad dan simpan dengan nama repair.inf kemudian jalankan dengan cara
klik kanan repair.inf
klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SOFTWARE\Classes\exefile,,,"Application"
HKCU, Control Panel\Desktop,SCRNSAVE.EXE ,0,
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, 4k51k4
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, MSMSGS
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableCMD
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
4. Hapus file induk yang dibuat oleh virus, sebelum menghapus file tersebut pastikan anda sudah menampilkan file/folder yang disembunyikan dengan memilih option "Show hidden files and folders" dan menghilangkan pilihan "Hide extension for known file types" dan "Hide protected operating system files (recommended)" pada Folder Option, perhatikan gambar 10 dibawah ini:
Gambar 10, Menampilkan file yang disembunyikan
Setelah itu hapus file induk berikut:
C:\Data%user%.exe [contoh: Data Admin.exe]
C:\4k51k4.exe
C:\Puisi.txt
C:\Desktop.ini
C:\4K51K4, folder ini berisi 2 buah file berikut:
- Folder.htt
- New Folder.exe
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\startup.exe
C:\Documents and Settings\%user%\Local Settings\Application Data
- 4k51k4.exe
- csrss.exe
- Empty.Pif
- IExplorer.exe
- lsass.exe
- services.exe
- shell.exe
- winlogon.exe
C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
- csrss.exe
- lsass.exe
- services.exe
- smss.exe
- winlogon.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
- Empty.pif
- Empty.exe
- Startup.exe
C:\WINDOWS\4k51k4.exe
C:\WINDOWS\system32
- Shell.exe
- MrHelloween.scr
- IExplorer.exe
Hapus juga file yang ada di Disket/Flash Disk:
4K51K4, folder ini berisi 2 buah file dengan nama Folder.htt dan New Folder.exe
Data %user%.exe, contoh: Data Admin.exe
Desktop.ini
5. Hapus file duplikat yang sudah dibuat oleh virus baik di Hard Disk maupun di Disket/Flash Disk dengan ciri-ciri :
Menggunakan icon folder
Ukuran 45 KB
Ext. exe
Type file "application"
6. Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan Norman Virus Control yang sudah dapat mengenali virus ini dengan baik.
7. Jika komputer sudah bersih dari virus, tampilkan kembali file .EXE yang sudah disembunyikan. Gunakan perintah ATTRIB -s -h *.exe /s /d pada Dos Prompt. Sebagai informasi Rontokbro.LA juga akan mencoba untuk menyembunyikan file dengan ekst. Bat/Com/lnk dan Pif jika file tersebut dijalankan oleh karena itu untuk menampilkan kembali file dengan ext tersebut gunakan perintah seperti diatas dengan mengganti ekstensi yang akan ditampilkan, contoh ATTRIB -s -h *.com /s /d (lihat gambar 11)
Gambar 11, Menampilkan ekstensi yang disembunyikan
8. Ubah kembali file msvbvm60 yang ada di direktori C:\Windows\system32 menjadi msvbvm60.dll Read More..
Langganan:
Postingan (Atom)
