Bab I
Booming Virus Lokal 2K6
Bab II
SEPUTAR VIRUS DAN DAERAH
PENYERANGANNYA
Pengertian Virus
Virus adalah program yang dibuat oleh seorang
programmer dan bersifat merusak. Virus menginfeksi file
dengan ekstensi file tertentu, .exe, .com, .txt, .jpg, dan
lain sebagainya. Jenis – jenis virus bisa dibedakan
menjadi beberapa bagian, yaitu :
b) Virus file
Menyerang file yang dijalankan oleh suatu
sistem operasi. Biasanya menyerang com atau
exe.
e) Polymorphic virus
Virus dirancang untuk mengelabui program AV
yaitu dengan mengubah struktur dirinya
setelah menjalankan perintah.
f) Stealth virus
Mengendalikan instruksi – instruksi level DOS
dengan menguasai tabel interrupt.
g) Macro virus
Misalnya, virus akan menulari seluruh file .txt atau .htt, maka
(tersembunyi).
sebagainya.
Struktur Virus
4. Kode pemicu
Setiap virus mempunyai program atau kode untuk
mengaktifkan program utamanya. Program atau kode
ini bisa dipicu dengan bermacam-macam cara,
contohnya, virus diaktifkan ketika kita mengklik atau
membuka file tertentu dari windows explorer. Atau
dengan memakai nama file yang sedang populer.
Contoh, virus worm anna-kournikova memakai kode
pemicu dengan nama file anna-kournikova.jpg.exe.
dengan nama ini orang akan mengira file tersebut
adalah .jpg (file gambar), padahal file tersebut adalah
file jenis application atau file .exe. Atau virus
w32.hllw.pesin, file pemicunya adalah SysTask.exe
dengan icon MS-Word. Sehingga orang terkecoh dan
mengira bahwa SysTask.exe merupakan file MS-Word.
5. Kode Manipulasi
Kode ini berguna untuk menghapus file, menjalankan
aplikasi tertentu untuk mencuri dan mengirimkan data
Registry
Key Registry
Value
Alamat Registry
Alamat registry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current
Version\Run\
Berguna untuk menjalankan suatu
aplikasi secara otomatis
Alamat registry:
HKEY_CURRENT_USER
\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Berguna untuk memanipulasi kode
explorer
Alamat registry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\
Berguna untuk memanipulasi drive
penginstalan, Lisensi pada Windows.
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu
rrentVersion\Run
-----------------------------PENANGGULANGAN---------------------
Hapus key registry yang mencurigakan di alamat tersebut,
Manager.
-------------------------------------------------------------------------
Nah pada gambar 6 Extensi file masih dapat terlihat. Yaitu file
pembaca..)
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explore
r\Advanced\
Key : HideFileExt
Value : 1
-----------------------------PENANGGULANGAN---------------------
Jika extensi file tidak terlihat, anda harus menuju ke alamat
types”.
-------------------------------------------------------------------------
tehnik lain, yaitu dengan membuat nama file utama virus mirip
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Expl
orer\Advanced\
Key : Hidden
Value : 0
file virus. File virus tidak akan terlihat karena file tersebut di-
-----------------------------PENANGGULANGAN---------------------
Jika kalian tidak menemukan file virus yang beratribut
hidden, ubah value pada registry tersebut dengan nilai 1.
-------------------------------------------------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Polici
es\System\
Key : DisableRegistryTools
Value : 1
-----------------------------PENANGGULANGAN---------------------
Nah agar regedit dapat dibuka kembali ubah hapus nilai
registry tersebut. LOH MAS KAN KITA GAK BISA
MEMBUKA REGEDIT-NYA, GIMANA KITA BISA MERUBAH
NILAI REGISTRY ITU???HU…!!!Sabar
sodara…sabar…kalo gak bisa ya buka pake vbscript atau
program pembongkar kunci regedit donk…makanya beli
buku saya yang pertama (halah! Promosi
lagi…hehehehehe!)
-------------------------------------------------------------------------
- Config.sys
Config.sys adalah file yang memuat tentang seluruh
konfigurasi windows dan dijalankan ketika pertama
- Autoexec.bat
Autoexec.bat adalah file yang berisi perintah yang
ada di komputer dan akan dijalankan pertama kali
ketika windows berjalan. Letak file ada di drive C:\
dan mempunyai atribut file system dan hidden. Coba
Untuk membuktikannya, buka file Autoexec.bat ini
kemudian ketik:
Format c:
Del c:\windows\*.*
- Win.ini
Win.ini juga sebuah file yang dieksekusi pertama
kali oleh windows. File ini berisi tentang aplikasi
16 bit yang di-support oleh windows.
- System.ini
System.ini adalah sebuah file yang berguna untuk
menyimpan data font yang diakses oleh windows
ketika pertama kali.
MSCONFIG
Nah sekarang coba klik salah satu bar yang ada di aplikasi
load = c:\windows\system\syssrv.exe
-----------------------------PENANGGULANGAN---------------------
Hapus saja yang ada di startup file – file yang dicurigai,
jangan takut salah, buntut-buntutnya kalo salah
palingan Cuma nginstall ulang kok :-p buehehehe!
-------------------------------------------------------------------------
-----------------------------PENANGGULANGAN---------------------
Tampilkan extensi file di dengan cara me-nyetting-nya di
tools->folder options-> view-> hilangkan tanda pada
“Hide extension for known file types”.
-------------------------------------------------------------------------
Bab III
SENJATA YANG DIPERLUKAN UNTUK
MENGENDALIKAN VIRUS
1. ShowKillProcess.exe
2. Hijack.exe atau vbs script
3. Aplikasi Penangkap sidik jari virus (nilai
checksum crc32) dalam artikel ini menggunakan
aplikasi WAV (Wedash Anti Virus) 2005
ShowKillProcess
lsass.exe
smss.exe
eksplorasi.exe
csrss.exe
bronstab.exe
services.exe
winlogon.exe
donlot showkillprocess.exe di
http://www.virologi.info/download/
Hijack
tersebut sbb :
HKCU/Software/Microsoft/Windows/CurrentVersion/Polici
es/System/DisableRegistryTools
5. Jika muncul dialog box klik ‘Yes’ saja. Lalu coba buka
regedit.
1. Buka notepad
2. Kemudian copy atau ketik code yang ada di bawah ini
:
dim wau
set wau = createObject ("WScript.Shell")
ss =
"HKCU\Software\Microsoft\Windows\CurrentVersion\Poli
cies\System\"
dv2 ="REG_SZ"
wau.Regdelete ss & "DisableRegistryTools"
dim wau
Mendefinisikan wau sebagai variabel
ss =
"HKCU\Software\Microsoft\Windows\CurrentVersion\Poli
cies\System\"
Mengisi variabel ss dengan alamat registry :
"HKCU\Software\Microsoft\Windows\CurrentVer
sion\Policies\System\"
dv2 ="REG_SZ"
Mengisi variabel dv2 dengan REG_SZ atau nilai
registry berjenis string
Bab IV
Berkenalan dengan ‘Arwah –Arwah’ virus
Lokal dan Cara Mengendalikannya
1. Mengunci regedit
2. Mengunci msconfig
3. Mengunci DOS shell
4. Menjalankan file virus eksplorasi.exe,
bronstab.exe, empty.pif
5. Membuat atau menelurkan file virus di tiap
direktori kita dengan nama file sesuai dengan
nama direktori.
6. File virus mempunyai icon seperti folder untuk
menipu korban.
7. Mengirim email dengan attachment virus.
8. Mengubah beberapa value dalam registry
windows untuk menjalankan virus secara
otomatis.
- 28B3A591
- 56038CCE
- 67655C3B
Alamat:
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICa
che
Key : C:\Windows\System32\Svchos.exe
Value : Svchos
Alamat:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n
Key : ADie suka kamu
Value : "C:\WINDOWS\System32\Svchos.exe"
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Key : SaTrio ADie X
Value : "C:\Documents and Settings\ka\Local
Settings\Application Data\smss.exe"
Alamat:
HKU\SID\Software\Microsoft\Windows\ShellNoRoam\MU
ICache\
Key : C:\Windows\System32\Svchos.exe
Value : Svchos
FILE PEMICU
- Wow Tumpe.exe
- Start.Pif
- Satrio Adi
- lsass.exe
- inetinfo.exe
- svchost.exe
- services.exe
- smss.exe
- csrss.exe
Ku Tahu
Yg Kumau
Satrio BuaT Sensasi Baru !!
Alamat:
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICa
che
Key : C:\Windows\System32\Svchos.exe
Value : Svchos
Alamat:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n
Key : ADie suka kamu
Value : "C:\WINDOWS\System32\Svchos.exe"
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Key : SaTrio ADie X
Value : "C:\Documents and Settings\ka\Local
Settings\Application Data\smss.exe"
Alamat:
HKU\SID\Software\Microsoft\Windows\ShellNoRoam\MU
ICache\
Key : C:\Windows\System32\Svchos.exe
Value : Svchos
- Wow Tumpe.exe
- Satrio Adi.exe
- Start.pif
CIRI - CIRI:
key : Running
Value : C:\WINDOWS\System32\core.exe
PENANGGULANGAN
key : Running
Value : C:\WINDOWS\System32\core.exe
VIRUS DecoiL/Decoy/dkernel/w32.decoy
• AdultOnly.exe
• Asian.exe
• Virtual Girl.exe
• Winamp590.exe
• Winrar09.exe
• WinZip XP Final.exe
• X-Photos.exe
• BestModel.exe
• Cool Screen Saver.exe
• DirectX10a.exe
• Game Nude.exe
• Hot Screen Saver.exe
• HotBabe.exe
• Model Asian.exe
• Model VG.exe
• V-Girl7.exe
• JapaneseGirl.exe
Name : dKernel
Filename : dkernel.exe
Lokasi File : C:\Windows\System32\I75-D2\dkernel.exe
Startup Type : Akan jalan otomatis melalui Run,
RunOnce, RunServices, or RunServicesOnce entry in the
registry.
Name : LExplorer
Filename : LExplorer.exe
Lokasi File : C:\Windows\ LExplorer.exe
Startup Type : Akan jalan otomatis melalui Run,
RunOnce, RunServices, or RunServicesOnce entry in the
registry.
TANDA - TANDA
seperti berikut:
HKLM,SOFTWARE\Microsoft\Windows\CurrentVer
sion\Run, dkernel.exe
HKLM,SOFTWARE\Microsoft\Windows\CurrentVer
sion\Run, lExplorer
HKLM,
Software\CLASSES\batfile\shell\open\command,,,""
"%1"" %*"
HKLM,
Software\CLASSES\comfile\shell\open\command,,,
"""%1"" %*"
HKLM,
Software\CLASSES\exefile\shell\open\command,,,"
""%1"" %*"
HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""
%1"" %*"
HKLM,
Software\CLASSES\regfile\shell\open\command,,,"r
egedit.exe "%1""
HKLM,
Software\CLASSES\scrfile\shell\open\command,,,""
"%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
PENANGGULANGAN
1. Download ShowKillProcess.exe di
http://www.virologi.info/download/
2. Jalankan ShowKillProcess.exe
3. Kemudian Kill program yang sedang berjalan dengan
nama dKernel.exe tsb
4. Jika masih tidak bisa tekan ctrl+alt+delete , lalu klik
TASK MANAGER.
5. kemudian lihat pada task manager dkernel.exe, klik
Processes
6. Pilih dkernel.exe dan klik kanan lalu pilih End Process
Tree
di bawah ini:
1. buka windows explorer
2. Masuk ke direktori :
C:\Windows\System32\I75-D2\
C:\Windows\
Untuk menghentikannya:
1. Tekan ctrl+alt+del
2. Klik task manager, kemudian cari proses sesuai
dengan nama file yang tidak bisa terhapus
3. Kemudian klik kanan dan pilih End Process Tree
dibawah ini:
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM,
Software\CLASSES\batfile\shell\open\command,,,""
"%1"" %*"
HKLM,
Software\CLASSES\comfile\shell\open\command,,,
"""%1"" %*"
HKLM,
Software\CLASSES\exefile\shell\open\command,,,"
""%1"" %*"
HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""
%1"" %*"
HKLM,
Software\CLASSES\regfile\shell\open\command,,,"r
egedit.exe "%1""
HKLM,
Software\CLASSES\scrfile\shell\open\command,,,""
"%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVer
sion\Run, dkernel.exe
HKLM,SOFTWARE\Microsoft\Windows\CurrentVer
sion\Run, lExplorer
Selesai deh!!!!
Virus Hallo.Roro.htt
Kebiasaan virus
Pemicu virus
Penanggulangan
Virus Riyani_Djangkaru
Akibat –Akibat
PENANGGULANGAN
Cara 1 :
Cara 2:
Cara 3:
Virus NOBRON/w32.nobron
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n\shell\explorer.exe
menjadi
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n\shell\explorer.exe
"C:\WINDOWS\system32\MsPatch.exe"
- Dian sastro.exe
- Mariana Renata.exe
- Alicia Keys.exe
yang bapak – bapak jangan tertipu jika ada file Dian Satro,
Mariana Renata dan Alicia Keys bericon jpg tadi. File tersebut
PENANGGULANGAN
1. Jalankan Showkillprocess.exe
2. Kemudian matikan proses MsPatch.exe
3. Kemudian download pembuka registry yang ada di
www.virologi.info
4. Masuk ke regedit dan edit value registry pada key:
HKEY_LOCAL_MACHINE,
Software\CLASSES\batfile\shell\open\command,,,""
"%1"" %*"
HKEY_LOCAL_MACHINE,
Software\CLASSES\comfile\shell\open\command,,,
"""%1"" %*"
HKEY_LOCAL_MACHINE,
Software\CLASSES\exefile\shell\open\command,,,"
""%1"" %*"
HKEY_LOCAL_MACHINE,
Software\CLASSES\piffile\shell\open\command,,,"""
%1"" %*"
HKEY_LOCAL_MACHINE,
Software\CLASSES\regfile\shell\open\command,,,"r
egedit.exe "%1""
HKEY_LOCAL_MACHINE,
Software\CLASSES\scrfile\shell\open\command,,,""
"%1"" %*"
HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
HKEY_LOCAL_MACHINE,
SOFTWARE\Classes\exefile, Default,0,
“application”
HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows\CurrentVersion\Ex
plorer\Advanced\Folder\HideFileExt, type,0,
“Checkbox”
HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows\CurrentVersion\Ex
plorer\Advanced\Folder\SuperHidden, type,0,
“Checkbox”
HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows\CurrentVersion\Ex
plorer\Advanced\Folder\Hidden, type,0, “group”
HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Policie
s\System,DisableRegistryTools
HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Policie
s\System,DisableTaskMgr
HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Policie
s\Explorer,NoFolderOptions
HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run,M
sPatch
HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n,Mspatch
HKEY_LOCAL_MACHINE,
SOFTWARE\Classes\exefile, NeverShowExt
HKEY_CURRENT_USER,
Software\Policies\Microsoft\Windows\System,
DisableCMD
Menu\Programs\Startup
▪ Confirm.ZIP
▪ Details.ZIP
▪ Instructions.ZIP
▪ Message.ZIP
▪ MS0428.ZIP
▪ CeweNakal.ZIP
▪ Foto.ZIP
▪ PacarGue.ZIP
▪ Paris_Hilton.ZIP
▪ Sarahzhari.ZIP
Attrib –s –h c:\windows\system32 /s
Virus KANGEN/w32.kangen@mm
FILE INDUK
MANIPULASI REGISTRI
Alamat:
HKLM\Software\Microsoft\Windows\
Current_version\Run
Value:
Ccaps
LoadService
PENANGGULANGAN
Value:
Ccaps
LoadService
Word dengan besar file 72 kb. Seperti biasanya file induk ini
sebelumnya.
MANIPULASI REGISTRI
Alamat:
HKLM\Software\Microsoft\Windows\
Current_version\Run
Value:
Ccaps
LoadService
OSA
Symrun
PENANGGULANGAN
Value:
Ccaps
LoadService
OSA
Symrun
file pemicu, value registry, besar file dan nama file pemicu
semuanya berbeda..
FILE INDUK
MANIPULASI REGISTRI
Alamat:
HKLM\Software\Microsoft\Windows\
Current_version\Run
Value:
Local Service
Security
PENANGGULANGAN
Value:
Local Service
Security
PEJAM MATAMU
Di waktu itu
Lalu tersungkur
Kita tertawa
Kini semuanya
Kenangan saja
FILE INDUK
MANIPULASI REGISTRI
adalah:
Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Key:
Ctfmon
Value:
C:\WINDOWS\System32\ctfmon.exe
------------------------------------------------------------------
Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Key:
Ctfmon
Value:
C:\windows\system32\ctfmon.exe
------------------------------------------------------------------
Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Key:
Services
Value:
C:\windows\system32\ Services.com
--------------------------------------------------------------------
-----
Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Key:
Siti
Value:
C:\windows\system32\sitiNurhaliza.exe
------------------------------------------------------------------
Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Key:
Systray
Value:
C:\windows\system32\systray.exe
------------------------------------------------------------------
Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Key:
Virus
Value:
C:\windows\system32\virus.exe
------------------------------------------------------------------
Alamat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\RunService
Key:
Ctfmon
Value:
C:\windows\system32\ctfmon.exe
------------------------------------------------------------------
Alamat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\RunService
Key:
Services
Value:
C:\windows\system32\Services.com
------------------------------------------------------------------
Alamat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\RunService
Key:
Siti
Value:
C:\windows\system32\ sitiNurhaliza.exe
------------------------------------------------------------------
Alamat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\RunService
Key:
Systray
Value:
C:\windows\system32\systray.exe
------------------------------------------------------------------
Alamat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\RunService
Key:
Virus
Value:
C:\windows\system32\virus.exe
------------------------------------------------------------------
PENANGGULANGAN
http://www.virologi.info/download/
· virus.exe
· sitiNurhaliza.exe
· siti.exe
· regedit.exe
· msconfig.exe
· ctfmon.exe
· procces.exe
Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Key:
Ctfmon
Value:
C:\WINDOWS\System32\ctfmon.exe
------------------------------------------------------------------
Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Key:
Ctfmon
Value:
C:\windows\system32\ctfmon.exe
------------------------------------------------------------------
Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Key:
Services
Value:
C:\windows\system32\ Services.com
------------------------------------------------------------------
Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Key:
Siti
Value:
C:\windows\system32\sitiNurhaliza.exe
------------------------------------------------------------------
Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Key:
Systray
Value:
C:\windows\system32\systray.exe
------------------------------------------------------------------
Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Key:
Virus
Value:
C:\windows\system32\virus.exe
------------------------------------------------------------------
Alamat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\RunService
Key:
Ctfmon
Value:
C:\windows\system32\ctfmon.exe
------------------------------------------------------------------
Alamat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\RunService
Key:
Services
Value:
C:\windows\system32\Services.com
------------------------------------------------------------------
Alamat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\RunService
Key:
Siti
Value:
C:\windows\system32\ sitiNurhaliza.exe
------------------------------------------------------------------
Alamat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\RunService
Key:
Systray
Value:
C:\windows\system32\systray.exe
------------------------------------------------------------------
Alamat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\RunService
Key:
Virus
Value:
C:\windows\system32\virus.exe
------------------------------------------------------------------
Bab V
Sekapur Sirih tentang
Anti Virus Lokal
VIREMOVER
Software : ViRemover
Programmer : acepmp
Build : Borland Delphi
Software : URemoval
Programmer : acepmp
Build : Visual Basic
VIREMOVER
FITUR VIREMOVER
http://virologi.info/virologist/modules/mydownloads/viewcat.php?cid=3
Scan Sekarang!
Untuk men-scan seluruh virus brontok yang ada di
komputer anda.
http://www.kaer-media.org/penawar-brontok/
http://virologi.info/virologist/modules/mydownloads/viewcat.php?cid=2
http://virologi.info/virologist/modules/mydownloads/viewcat.php?cid=4