Hal-hal aneh seputar Brontok Pencipta virus Brontok diduga dari Institut Teknologi Bandung (ITB), tapi ternya

ta tidak ada bukti mengenai hal itu kecuali mengenai laporan bahwa virus mulai m enyebar di ITB. Virus ini mengupdate dirinya dari suatu situs di Internet, tapi anehnya hanya satu analisis yang menyebutkan hal tersebut. Padahal dengan menget ahui dari URL mana virus itu mengupdate dirinya, kita bisa melakukan hal berikut : Melacak siapa pemilik situs itu, dan dalam kasus web site gratisan, pihak-pihak tertentu (administrator ISP, dll) bisa diminta untuk melacak orang yang mendafta rkan situs tersebut atau mengakses situs tersebut kali pertama (kemungkinan besa r sang pembuat virus). Administrator bisa memblok URL update virus di level proxy atau firewall. Dengan melihat log, administrator bisa melacak komputer mana yang terinfeksi Bro ntok. Satu-satunya analisis lokal yang menyebutkan bahwa virus mengupdate dirinya bera sal dari sebuah perusahaan antivirus lokal yang menjalin kerja sama dengan sebua h perusahaan antivirus luar negeri. Tapi anehnya meski perusahaan tersebut menge tahui bahwa virus tersebut mengupdate dirinya, dia tidak menyebutkan URL updaten ya, meski sudah saya tanya pribadi melalui email. Apakah perusahaan tersebut tid ak tahu URLnya? (kurang pandai dalam menganalisis virusnya) ataukah mereka senga ja membiarkan agar virus berkesempatan mengupdate dirinya dan perusahaannya mend apatkan untung? (kedua kemungkinan tersebut sama mengkhawatirkannya). Virus ternyata tidak hanya bisa mengupdate dirinya, tapi juga mendownload daftar file yang perlu dihapus sebelum proses update dilakukan, artinya virus yang tad inya hanya dianggap mengesalkan ini ternyata bisa berbahaya juga. Dan sebenarnya file update virus ini bisa saja bukan berisi virus baru, tapi berisi kode untuk memformat komputer Anda. Virus versi awal hanya menyerang situs 17tahun.com dan israel.gov.il, tapi lamalama mulai menyerang situs lain, seperti www.kaskus.com, dan bahkan situs pribad i (blog) seperti fajarweb.com, adakah dendam pribadi oleh pembuat virus ini pada orang tertentu? Pembuat virus mencantumkan kata-kata ini di virusnya: !!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!! Dan di versi Brontok terbaru, ternyata dia berusaha menghapus virus lokal sepert i dekil/decoy, kumis, fawn, kangen, dan riyani_jangkaru (pengetahuan saya mengen ai virus lokal agak minim, jadi dafar ini hanya yang saya ketahui). Penghapusan sebagian virus lokal cukup menyeluruh, dengan membunuh task virus, menghapus fil e virus, dan bahkan menormalkan atribut file dokumen yang dibuat menjadi hidden oleh virus lain (tapi pembersihan registry yang diubah virus lain tidak dilakuka n). Artikel ini akan saya buat seobjektif mungkin, dengan analisis yang dalam dan ak urat. Artikel ini sekaligus dapat menjadi koreksi bagi informasi analisis Bronto k di situs lain yang isinya kadang tidak akurat. Fakta dan catatan Beberapa pernyataan dalam artikel ini mungkin akan menimbulkan prasangka tertent u, oleh karena itu saya ingin memberitahukan beberapa fakta mengenai diri saya: 1. Saat ini saya bukan pengguna Windows lagi meskipun saya masih punya satu partisi Windows yang saya gunakan untuk keperluan seperti ini (analisis virus, dan mencoba-coba program Windows). Saya tidak menyimpan data di Windows, jadi ek sperimen semacam ini cukup aman bagi saya. Sehari-hari saya memakai Mac OS X di iBook G4, dan GNU/Linux (Fedora Core 4) di AMD64. Karena bukan pengguna Windows, mungkin pengetahuan saya sedikit tertinggal dalam hal aplikasi-aplikasi yang ad a di Windows, tapi pengetahuan teknis low level Windows selalu saya update. 2. Saat ini saya tidak bekerja di bisnis security ataupun memiliki bisnis y ang berhubungan dengan security. Segala macam pernyataan saya terhadap entitas b isnis lain tidak dimaksudkan untuk menguntungkan diri saya. Pekerjaan saya adala h teaching assistant di Jurusan Teknik Informatika Sekolah Tinggi Elektro dan In formatika (dulu bagian dari Fakultas Teknologi Industri) Institut Teknologi Band ung. 3. Saya bukan cracker, saya bukan orang-orang dari kelompok pembuat virus b

aik kelompok luar negeri maupun Indonesia. 4. Saya hanya memiliki Brontok versi lama (contoh Brontok diambil dari sala h satu lab di ITB), dan versi terbaru (contoh Brontok diambil dari Universitas N egeri Jakarta/UNJ), versi di antaranya saya tidak punya. 5. Saya tidak mencantumkan URL aneka tools yang saya pakai, karena URL untu k tools yang dapat membantu proses cracking biasanya selalu berpindah, gunakan G oogle untuk mencari tools-tools yang saya sebutkan. 6. Saya tidak membuatkan antivirus untuk Brontok ini, silakan Anda gunakan antivirus yang sudah ada (saya tidak ingin bersusah payah mengupdate antivirus t erhadap Brontok yang selalu diupdate, banyak antibrontok yang ada di Internet su dah tidak bisa lagi mendeteksi, menghapus, atau menangani Brontok versi yang bar u). Antivirus yang ada di pasaran dengan update terbaru seharusnya sudah cukup. Namun jika Brontok ini makin sulit diberantas, saya akan membuatkan antivirus kh usus untuk Brontok. Namun saya memberikan langkah pembersihan Brontok manual yan g generik untuk berbagai versi Brontok saat ini. Bagaimana analisis virus dilakukan? Ada tiga cara untuk menganalisis virus, pertama dengan cara black box, yaitu mel ihat perilaku virus di sebuah lingkungan tertentu, menganalisis isi virus dengan disassembly, dan yang ketiga adalah dengan melihat jalannya virus dengan debugg er. Sayangnya kebanyakan orang hanya bisa melakukan analisis cara pertama dan se dikit cara kedua, namun tidak menyeluruh. Black box analysis Beberapa program tersedia untuk melihat perbedaan state komputer sebelum dan ses udah program sesuatu dijalankan (termasuk juga sebelum dan sesudah virus dijalan kan). Saya tidak terlalu percaya dengan program semacam ini, tapi program semaca m ini bisa menunjukkan file-file apa saja yang dibuat virus, dan perubahan regis try apa yang dilakukan oleh virus. Cara ini mudah namun tidak ampuh, karena mungkin saja virus berperilaku aneh set iap hari Rabu sementara Anda mengetes di hari Selasa. Mungkin juga program yang dipakai untuk mencatat state sistem tidak sempurna sehingga ada perubahan yang t idak tercatat, dan ada kemungkinan virus tersisa setelah proses analisis selesai . Jika virus cukup canggih dan bisa mendeteksi adanya program pemonitor, virus b isa bertingkah laku berbeda dari keadaannya yang biasa. Disassembly dan atau dekompilasi Program dalam bahasa tertentu (biasanya yang dikompilasi dan diinterpretasi seka ligus, misalnya Java atau C#) bisa didekompilasi dengan mudah, artinya "bahasa m esin" yang ada pada file exe bisa dikembalikan menjadi source code, tapi program dalam bahasa lain tidak bisa dikembalikan menjadi source code, hanya bisa menja di bahasa assembly. Bahasa assembly sifatnya sangat low level (sangat dekat dengan mesin) sehingga s ulit dimengerti kecuali dengan kesabaran dan banyak latihan (biasanya dengan ban tuan debugger juga). Tidak banyak orang yang mau dan bisa melakukan hal tersebut , tapi itulah yang setiap hari dilakukan cracker untuk membuat serial number gen erator, dan mengcrack aneka program (program bajakan yang dipakai oleh banyak or ang sekarang adalah karya cracker). Melihat jalannya virus dengan debugger Debugger bisa digunakan untuk menjalankan virus dalam lingkungan yang dapat dimo nitor. Alur eksekusi, termasuk enkripsi virus bisa dipelajari dengan mudah. Peng analisis harus berhati-hati karena virus bisa saja menggunakan teknik antidebug, atau berjalan tidak terkendali. Biasanya teknik analisis ini digabung dengan di sassembly. Pendekatan analisis Brontok Bagian ini sangat teknis dan boleh di-skip. Saya tidak melakukan black box analysis (karena sudah terlalu banyak orang yang melakukannya dengan kesimpulan yang agak ngawur), tapi langsung men-disassemble Brontok. Brontok versi pertama dikompilasi menjadi p-code (semacam bytecode pada Java) dan cukup mudah dimengerti. Versi Brontok yang baru menggunakan native co de, sehingga lebih sulit dianalisis. Analisis versi pertama tidak akan dibahas. Sebelum saya menjelaskan proses analisis, saya perlu memberitahukan bahwa telah menyalin brontok menjadi beberapa nama yang berbeda sebelum diproses (debug, dis

assemble, dll) oleh program yang berbeda. Tujuan penyalinan adalah agar aman bag i saya (jangan sampai tidak sengaja menjalankan file exe), dan aman dari kesalah an program yang mungkin mengubah salinan Brontok yang saya miliki. File EXE Brontok dienkripsi dengan program MeW sehingga harus didekrip/ekstrak m enggunakan UnMeW, tapi ini menyebabkan struktur file berubah dan menyebabkan pro gram untuk menganalisis executable Visual Basic, misalnya Race, tidak bisa menge nali lagi bahwa itu adalah file VB. Untungnya salah satu tools untuk membantu me nganalisis file VB yang bernama VBDE masih bisa mengekstrak sedikit informasi da ri file tersebut . VBDE digunakan untuk mendapatkan informasi dasar file VB Karena file menggunakan native code, disassembler terbaik adalah IDA Pro (saya p akai versi freeware), dengan IDA Pro saya bisa melihat cukup banyak hal di Bront ok. Tapi sayangnya IDA Pro tidak bisa melihat VTABLE Visual Basic (tabel method, ini sangat penting dalam kode program yang dikompilasi dari suatu bahasa yang m enggunakan objek), dan satu-satunya cara termudah adalah menjalankan Brontok. Pertama sebelum Brontok dijalankan, binary Brontok perlu diedit untuk menonaktif kan timer (waktunya diset menjadi 0 agar timer tidak pernah dieksekusi). Pengedi tan ini dilakukan dengan mengunakan Hex Editor (saya memakai Hexplorer yang grat is), dan hal ini memerlukan sedikit coba-coba sampai berhasil. Bagian utama Bron tok ada di timer, sehingga dengan menonaktifkan timer, Brontok bisa dianalisis d engan aman (tapi tetap berbahaya). Isi file Brontok, terlihat ada beberapa string yang dienkripsi dan yang tidak di enkripsi dalam Brontok. Untuk mendebug, debugger yang saya pakai adalah OllyDbg, debugger ini cukup cang gih dan nyaman dipakai dibanding WinDBG dari Microsoft (dan sama dengan WinDBG, program ini gratis). Dengan mencocokkan listing IDAPro dengan OllyDbg saya bisa memahami Brontok dengan cukup mudah. Isi brontok yang didisassembly menggunakan IDA Pro. Langkah terakhir adalah dengan merekonstruksi sebagian source code Brontok mengg unakan VB, hal ini dilakukan untuk melihat apakah pemahaman saya sudah benar. Ji ka hasil disassembly dari file VB yang sudah saya buat sama dengan disassembly B rontok, maka berarti pemahaman saya sudah benar. VB memiliki error handling "On Error Resume Next" yang sangat membantu pemahaman hasil disassembly. Error handling tersebut berarti jika terjadi error maka perg ilah ke baris berikutnya. Nah komputer perlu tahu di mana lokasi baris berikutny a yang harus dieksekusi jika ada error, sehingga informasi tersebut disimpan di executable file. Dengan berbekal nomor baris itu, saya bisa merekonstruksi denga n cukup tepat sampai ke level baris kode. Karakteristik Brontok Saya tidak akan memberikan penjelasan panjang lebar mengenai karakteristik Bront ok, karena bagian ini sudah dibahas di banyak situs. Secara singkat, karakterist ik Brontok adalah: 1. Brontok menggunakan ikon folder standar Windows, Anda yang memakai theme aneh/nonstandar akan melihat keanehan ikon ini. 2. Brontok membuat banyak perubahan di registry agar sulit dibersihkan (men onaktifkan registry editor, menghilangkan menu folder options, dll). Tepatnya, B rontok melakukan perubahan pada nilai di subkey: o HKCU\software\microsoft\windows\currentversion\run Nilai Tok-Cirrhatus menjadi path ke Brontok. Nilai Tok-Cirrhatus-XXX (xxx adalah acak) menjadi path ke Brontok yang namanya j uga acak. o HKLM\software\microsoft\windows\currentversion\run Nilai Bron-Spizaetus menjadi path ke Brontok. Nilai Bron-Spizaetus-xxx (xxx adalah acak) menjadi path ke Brontok. o HKCU\software\microsoft\windows\currentversion\Policies\Explorer\ Nilai NoFolderOptions menjadi 1. o HKCU\software\microsoft\windows\currentversion\Policies\System\

Nilai DisableCMD menjadi 0. Nilai DisableRegistryTools menjadi 1. o HKCU\software\microsoft\windows\currentversion\explorer\advanced Nilai Hidden menjadi 0. Nilai HideFileExt menjadi 1. Nilai ShowSuperHidden menjadi 0. o SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Nilai Shell menjadi Explorer.exe "c:\windows\sembako-xxx.exe". (xxx adalah acak) o SYSTEM\CurrentControlSet\Control\SafeBoot\ Nilai AlternateShell menjadi cmd-bro-xxx.exe (xxx adalah acak). Perhatian: terny ata Windows akan secara otomatis menyalin isi semua key di HKLM, SYSTEM\CurrentC ontolSet\Control\SafeBoot ke HKLM, SYSTEM\ContolSet00X\Control\SafeBoot X (dari 1-2) jika proses restart dilakukan dengan sukses (atau jika komputer dimatikan l alu komputer dinyalakan lagi). 3. Brontok mengotori banyak direktori dengan salinan dirinya. 4. Brontok menimpa autoexec.bat dengan satu baris "pause", mungkin maksudny a menghentikan antivirus yang berjalan di mode DOS yang dijalankan dengan autoex ec.bat. 5. Brontok membuat banyak item startup agar dijalankan ketika komputer dimu lai (di start menu dan di aneka tempat di registry). Hal ini berlaku juga dalam safe mode (Perhatian perhatian, yang benar adalah "SAFE MODE" bukan "SAVEMODE"). 6. Brontok mengupdate dirinya sendiri dari URL tertentu, tepatnya Brontok i ni mendownload file exe dari situs tertentu dan mengeksekusinya (bisa saja isiny a bukan update brontok, tapi kode untuk memformat seluruh isi komputer). Pembaha san ada di bagian berikutnya di artikel ini. 7. Brontok menggunakan enkripsi untuk menyembunyikan string-string dalam di rinya. Enkripsi Brontok juga dibahas pada artikel ini. 8. Brontok mengirimkan dirinya ke alamat email yang ditemukannya, jika alam at tersebut tidak mengandung string berikut (artinya brontok tidak akan mengirim kan dirinya ke Microsoft, perusahaan antivirus, dll): SECURE,SUPPORT,MASTER,MICR OSOFT,VIRUS,HACK,CRACK,LINUX,AVG,GRISOFT,CILLIN,SECURITY, SYMANTEC,ASSOCIATE,VAK SIN,NORTON,NORMAN,PANDA,SOFT,SPAM,BLAH, .VBS,DOMAIN,HIDDEN,DEMO,DEVELOP,FOO@,KOM PUTER,SENIOR,DARK,BLACK,BLEEP,FEEDBACK, IBM.,INTEL.,MACRO,ADOBE,FUCK,RECIPIENT,S ERVER,PROXY,ZEND,ZDNET, CNET,DOWNLOAD,HP.,XEROX,CANON,SERVICE,ARCHIEVE,NETSCAPE, MOZILLA,OPERA,NOVELL,NEW LOTUS,MICRO,TREND,SIEMENS,FUJITSU,NOKIA,W3.,NVIDIA,APAC HE,MYSQL,POSTGRE,SUN.,GOO GLE,SPERSKY,ZOMBIE,ADMIN,AVIRA,AVAST,TRUST,ESAVE,ESAFE ,PROTECT, ALADDIN,ALERT,BUILDER,DATABASE,AHNLAB,PROLAND,ESCAN,HAURI,NOD32,SYBARI ,ANTIGEN,R OBOT,ALWIL,BROWSE,COMPUSE,COMPUTE,SECUN,SPYW,REGIST,FREE,BUG,MATH, LA B,IEEE,KDE,TRACK,INFORMA,FUJI,@MAC,SLACK,REDHA,SUSE,BUNTU,XANDROS,@ABC,@123,LO O KSMART,SYNDICAT,ELEKTRO,ELECTRO,NASA,LUCENT,TELECOM,STUDIO,SIERRA,USERNAME,IPTE K,CLICK,SALES,PROMO,.CA.COM Ada sedikit perbedaan pada email jika email dikirim ke alamat dengan substring berikut ("alamat indonesia"): PLASA;TELKOM;INDO;.CO.I D;.GO.ID;.MIL.ID;.SCH.ID;.NET.ID;.OR.ID; .AC.ID;.WEB.ID;.WAR.NET.ID;ASTAGA;GAUL; BOLEH;EMAILKU;SATU. Perbedaannya pada asal pengirim, jika untuk tujuan Indonesia pengirimnya menjadi @boleh.com sedangkan kalau non "alamat Indonesia" pengirimn ya menjadi @friendster.com (pada versi awal Brontok, untuk Indonesia memakai @ka fegaul.com dan untuk alamat non Indonesia memakai alamat @pornstargals.com). (bo dohnya isi emailnya tetap sama, dan memakai Bahasa Indonesia padahal isinya dido wnload dari Internet). Perhatian: banyak analisis salah yang menyatakan bahwa Br ontok tidak mengirimkan dirinya ke alamat email di Indonesia. 9. Brontok berusaha mendapatkan alamat email korban dengan melakukan parsin g terhadap file HTML, .HTM,.TXT, .EML, .WAB, dan .PHP yang ditemuinya (Brontok m encari semua string xxx@yyy.zzz dalam file). 10. Brontok melakukan koneksi SMTP langsung ketika mengirim email, tapi tida k menggunakan MX record (Mail eXchanger Record) DNS suatu domain. Jika Brontok m engirim ke alamat @yahoo.com, dia akan mencoba memakai SMTP server mta237.mail.r e2.yahoo.com, sedangkan jika ke domain lain Brontok mencari MX/Server SMTP denga n menambah prefix smtp., mail. atau ns1. pada domain mail. 11. Brontok Membuat file yang isinya agar semua orang menghentikan kejahatan (bla bla bla, silakan baca di situs lain jika Anda penasaran dengan isinya).

12. Brontok merestart komputer ketika program tertentu aktif. Pengecekan pro gram dilakukan dengan melihat teks Window program terhadap string: REGISTRY,SYST EM CONFIGURATION,COMMAND PROMPT,.EXE,SHUT DOWN,SCRIPT HOST,LOG OFF WINDOWS,KILLB OX,TASK, dua string terakhir baru ditambahkan untuk mengantisipasi program yang dapat membunuh task Brontok, misalnya program HijakThis. 13. Brontok menjadwalkan dirinya agar dijalankan di jam tertentu. Versi awal brontok menjadwalkan dirinya hanya pada jam 17:08, tapi versi baru juga menjadw alkan eksekusi pada jam 11:03 (keduanya dijadwalkan setiap hari). 14. Brontok berusaha mengakses share di jaringan lokal dan menginfeksinya ju ga. 15. Brontok memiliki string: By: HVM31 -- Jowobot #VM Community -- (Perhatik an kata VM/Virus Maker community ini, mungkin saja HVM31 itu punya teman yang ta hu tentang ini). 16. Brontok versi lama menyerang (maksudnya ingin melakukan DDOS/Distributed Denial of Service attack) situs 17tahun.com dan israel.gov.il dengan ping, seda ngkan versi baru menggunakan HTTP Get untuk menyerang www.17tahun.com, www.kasku s.com, dan www.fajarweb.com. 17. Brontok membuat counter di situs debuging.com, URLnya: http://debuging.c om/WS1/cgi/x.cgi?NAVG=Tracker&username=%64%65%6C%62%65%6C%62%72%6F (usernamenya adalah delbelbro). Saya belum mengontak pemilik situs tersebut. Counter dinaikka n nilainya setiap selesai menyerang situs yang ada di daftarnya (www.17tahun.com , www.kaskus.com, dan www.fajarweb.com). 18. Brontok membuat file sistem.sys di direktori %windir%/system32/sistem.si s yang isinya adalah kode waktu saat brontok aktif kali pertama. Kode ini terdir i atas 2 digit bulan, 2 digit tanggal, 2 digit jam dan 2 digit menit. Misal: 011 22245 berarti Brontok aktif kali pertama pada 01 = Januari, 17 = tanggal 17, 22 = jam 1 malamm, 45 = menit ke 45. File ini juga dicopykan ke direktori \Document s and Settings\Username\Application Data\ dengan nama file BronMes*.ini (bagian * bisa bervariasi). 19. Brontok akan berusaha membunuh paksa beberapa proses (proses adalah prog ram yang berjalan) dengan command taskkill /f /im namaproses. Proses yang dibunu h meliputi virus/worm lokal lain, dan sepertinya beberapa antivirus. Tepatnya pr oses yang dibunuh adalah mcvsescn.exe;poproxy.exe;avgemc.exe;ccapps.exe;tskmgr.e xe;syslove.exe; xpshare.exe;riyani_jangkaru.exe;systray.exe;ashmaisv.exe; aswupd sv.exe;nvcoas.exe;cclaw.exe;njeeves.exe;nipsvc.exe;dkernel.exe; iexplorer.exe;le xplorer.exe. 20. Brontok akan mengubah atribut file MSVBVM60.DLL yang ada di direktori si stem Windows. Atribut file akan diubah menjadi hidden, system, dan read only. Tu juan langkah ini adalah agar lebih sulit menghapus file msvbvm60.dll dari mode D OS seperti yang dibahas dalam beberapa website. 21. Brontok akan mendownload file dari sebuah URL acak (lihat bagian update Brontok) dan berusaha menimpa file %windir%\system32\drivers\etc\hosts dengan fi le yang didownloadnya. 22. Jika Brontok menemui file .DOC, .PDF .XLS, dan .PPT maka attributnya aka n dikembalikan ke normal, sifat ini sepertinya dilakukan untuk mengembalikan dok umen yang disembunyikan (dijadikan hidden) oleh virus lain. 23. Brontok berusaha menghapus file dengan substring "kangen", *RORO*.HTT, F OLDER.HTT. Jika ekstensi file adalah .EXE, maka Brontok juga akan menghapus file jika substring file memiliki nama .DOC.EXE;.DOC ;.XLS.EXE;. XLS ;PATAH;HATI; CE RITA; LUCU;MOVZX;CINTA;UNTUKMU;DATA-TEMEN;RIYANI;JANGKARU;KANGEN;JROX; DIARY;DKE RNEL;IEXPLORER;LEXPLORER;ADULTONLY;ASIAN;VIRTUAL GIRL;X-PHOTOS;BESTMODEL;GAME NU DE;HOT SCREEN;HOTBABE; NAKED ;MODEL VG;SEXY ;V-GIRL7;JAPANESEGIRL;PUISI (perhati kan bahwa Brontok tidak menghapus .DOC, tapi .DOC yang diikuti spasi dan dengan ekstensi .EXE, demikian juga halnya dengan .XLS). 24. Brontok juga menghapus file: C:\!submit\winword.exe, c:\submit\xpshare.e xe,c:\windows\systray.exe, %windir%\systray.exe, %win