Belajar Menjadi Hacker

Oleh : Onno W. Purbo

Hacker dengan keahliannya dapat melihat & memperbaiki kelemahan perangkat

lunak di komputer; biasanya kemudian di publikasikan secara terbuka di Internet
agar sistem menjadi lebih baik. Sialnya, segelintir manusia berhati jahat
menggunakan informasi tersebut untuk kejahatan - mereka biasanya disebut
cracker. Pada dasarnya dunia hacker & cracker tidak berbeda dengan dunia seni,
disini kita berbicara seni keamanan jaringan Internet.

Saya berharap ilmu keamanan jaringan di tulisan ini digunakan untuk hal-hal yang
baik - jadilah Hacker bukan Cracker. Jangan sampai anda terkena karma karena
menggunakan ilmu untuk merusak milik orang lain. Apalagi, pada saat ini kebutuhan
akan hacker semakin bertambah di Indonesia dengan semakin banyak dotcommers
yang ingin IPO di berbagai bursa saham. Nama baik & nilai sebuah dotcom bisa jatuh
bahkan menjadi tidak berharga jika dotcom di bobol. Dalam kondisi ini, para hacker
di harapkan bisa menjadi konsultan keamanan bagi para dotcommers tersebut -
karena SDM pihak kepolisian & aparat keamanan Indonesia amat sangat lemah &
menyedihkan di bidang Teknologi Informasi & Internet. Apa boleh buat cybersquad,
cyberpatrol swasta barangkali perlu di budayakan untuk survival dotcommers
Indonesia di Internet.

Berbagai teknik keamanan jaringan Internet dapat di peroleh secara mudah di

Internet antara lain di http://www.sans.org, http://www.rootshell.com,
http://www.linuxfirewall.org/, http://www.linuxdoc.org,
http://www.cerias.purdue.edu/coast/firewalls/,
http://www.redhat.com/mirrors/LDP/HOWTO/. Sebagian dari teknik ini berupa buku-
buku yang jumlah-nya beberapa ratus halaman yang dapat di ambil secara cuma-
cuma (gratis). Beberapa Frequently Asked Questions (FAQ) tentang keamanan
jaringan bisa diperoleh di http://www.iss.net/vd/mail.html, http://www.v-
one.com/documents/fw-faq.htm. Dan bagi para experimenter beberapa script /
program yang sudah jadi dapat diperoleh antara lain di http://bastille-
linux.sourceforge.net/,
http://www.redhat.com/support/docs/tips/firewall/firewallservice.html.

Bagi pembaca yang ingin memperoleh ilmu tentang jaringan dapat di download
secara cuma-cuma dari http://pandu.dhs.org, http://www.bogor.net/idkf/,
http://louis.idaman.com/idkf. Beberapa buku berbentuk softcopy yang dapat di
ambil gratis dapat di ambil dari http://pandu.dhs.org/Buku-Online/. Kita harus
berterima kasih terutama kepada team Pandu yang dimotori oleh I Made Wiryana
untuk ini. Pada saat ini, saya tidak terlalu tahu adanya tempat diskusi Indonesia
yang aktif membahas teknik-teknik hacking ini - tetapi mungkin bisa sebagian di
diskusikan di mailing list lanjut seperti kursus-linux@yahoogroups.com & linux-
admin@linux.or.id yang di operasikan oleh Kelompok Pengguna Linux Indonesia
(KPLI) http://www.kpli.or.id.

Cara paling sederhana untuk melihat kelemahan sistem adalah dengan cara mencari
informasi dari berbagai vendor misalnya di
http://www.sans.org/newlook/publications/roadmap.htm#3b tentang kelemahan
dari sistem yang mereka buat sendiri. Di samping, memonitoring berbagai mailing
list di Internet yang berkaitan dengan keamanan jaringan seperti dalam daftar
http://www.sans.org/newlook/publications/roadmap.htm#3e.

Dijelaskan oleh Front-line Information Security Team, "Techniques Adopted

By 'System Crackers' When Attempting To Break Into Corporate or Sensitive Private
Networks," fist@ns2.co.uk http://www.ns2.co.uk. Seorang Cracker umumnya pria
usia 16-25 tahun. Berdasarkan statistik pengguna Internet di Indonesia maka
sebetulnya mayoritas pengguna Internet di Indonesia adalah anak-anak muda pada
usia ini juga. Memang usia ini adalah usia yang sangat ideal dalam menimba ilmu
baru termasuk ilmu Internet, sangat disayangkan jika kita tidak berhasil
menginternetkan ke 25000 sekolah Indonesia s/d tahun 2002 - karena tumpuan hari
depan bangsa Indonesia berada di tangan anak-anak muda kita ini.

Nah, para cracker muda ini umumnya melakukan cracking untuk meningkatkan
kemampuan / menggunakan sumber daya di jaringan untuk kepentingan sendiri.
Umumnya para cracker adalah opportunis. Melihat kelemahan sistem dengan
mejalankan program scanner. Setelah memperoleh akses root, cracker akan
menginstall pintu belakang (backdoor) dan menutup semua kelemahan umum yang
ada.

Seperti kita tahu, umumnya berbagai perusahaan / dotcommers akan menggunakan

Internet untuk (1) hosting web server mereka, (2) komunikasi e-mail dan (3)
memberikan akses web / internet kepada karyawan-nya. Pemisahan jaringan
Internet dan IntraNet umumnya dilakukan dengan menggunakan teknik / software
Firewall dan Proxy server. Melihat kondisi penggunaan di atas, kelemahan sistem
umumnya dapat di tembus misalnya dengan menembus mailserver external / luar
yang digunakan untuk memudahkan akses ke mail keluar dari perusahaan. Selain
itu, dengan menggunakan agressive-SNMP scanner & program yang memaksa SNMP
community string dapat mengubah sebuah router menjadi bridge (jembatan) yang
kemudian dapat digunakan untuk batu loncatan untuk masuk ke dalam jaringan
internal perusahaan (IntraNet).

Agar cracker terlindungi pada saat melakukan serangan, teknik cloacking

(penyamaran) dilakukan dengan cara melompat dari mesin yang sebelumnya telah
di compromised (ditaklukan) melalui program telnet atau rsh. Pada mesin perantara
yang menggunakan Windows serangan dapat dilakukan dengan melompat dari
program Wingate. Selain itu, melompat dapat dilakukan melalui perangkat proxy
yang konfigurasinya kurang baik.

Setelah berhasil melompat dan memasuki sistem lain, cracker biasanya melakukan
probing terhadap jaringan dan mengumpulkan informasi yang dibutuhkan. Hal ini
dilakukan dengan beberapa cara, misalnya (1) menggunakan nslookup untuk
menjalankan perintah 'ls <domain or network>' , (2) melihat file HTML di webserver
anda untuk mengidentifikasi mesin lainnya, (3) melihat berbagai dokumen di FTP
server, (4) menghubungkan diri ke mail server dan menggunakan perintah 'expn
<user>', dan (5) mem-finger user di mesin-mesin eksternal lainnya.

Langkah selanjutnya, cracker akan mengidentifikasi komponen jaringan yang

dipercaya oleh system apa saja. Komponen jaringan tersebut biasanya mesin
administrator dan server yang biasanya di anggap paling aman di jaringan. Start
dengan check akses & eksport NFS ke berbagai direktori yang kritis seperti
/usr/bin, /etc dan /home. Eksploitasi mesin melalui kelemahan Common Gateway
Interface (CGI), dengan akses ke file /etc/hosts.allow.

Selanjutnya cracker harus mengidentifikasi komponen jaringan yang lemah dan bisa
di taklukan. Cracker bisa mengunakan program di Linux seperti ADMhack, mscan,
nmap dan banyak scanner kecil lainnya. Program seperti 'ps' & 'netstat' di buat
trojan (ingat cerita kuda troya? dalam cerita klasik yunani kuno) untuk
menyembunyikan proses scanning. Bagi cracker yang cukup advanced dapat
mengunakan aggressive-SNMP scanning untuk men-scan peralatan dengan SNMP.

Setelah cracker berhasil mengidentifikasi komponen jaringan yang lemah dan bisa di
taklukan, maka cracker akan menjalan program untuk menaklukan program daemon
yang lemah di server. Program daemon adalah program di server yang biasanya
berjalan di belakang layar (sebagai daemon / setan). Keberhasilan menaklukan
program daemon ini akan memungkinkan seorang Cracker untuk memperoleh akses
sebagai 'root' (administrator tertinggi di server).

Untuk menghilangkan jejak, seorang cracker biasanya melakukan operasi

pembersihan 'clean-up' operation dengan cara membersihkan berbagai log file. Dan
menambahkan program untuk masuk dari pintu belakang 'backdooring'. Mengganti
file .rhosts di /usr/bin untuk memudahkan akses ke mesin yang di taklukan melalui
rsh & csh.

Selanjutnya seorang cracker dapat menggunakan mesin yang sudah ditaklukan

untuk kepentingannya sendiri, misalnya mengambil informasi sensitif yang
seharusnya tidak dibacanya; mengcracking mesin lain dengan melompat dari mesin
yang di taklukan; memasang sniffer untuk melihat / mencatat berbagai trafik /
komunikasi yang lewat; bahkan bisa mematikan sistem / jaringan dengan cara
menjalankan perintah 'rm -rf / &'. Yang terakhir akan sangat fatal akibatnya karena
sistem akan hancur sama sekali, terutama jika semua software di letakan di
harddisk. Proses re-install seluruh sistem harus di lakukan, akan memusingkan jika
hal ini dilakukan di mesin-mesin yang menjalankan misi kritis.

Oleh karena itu semua mesin & router yang menjalankan misi kritis sebaiknya selalu
di periksa keamanannya & di patch oleh software yang lebih baru. Backup menjadi
penting sekali terutama pada mesin-mesin yang menjalankan misi kritis supaya
terselamatkan dari ulah cracker yang men-disable sistem dengan 'rm -rf / &'.

Bagi kita yang sehari-hari bergelut di Internet biasanya justru akan sangat
menghargai keberadaan para hacker (bukan Cracker). Karena berkat para hacker-
lah Internet ada dan dapat kita nikmati seperti sekarang ini, bahkan terus di perbaiki
untuk menjadi sistem yang lebih baik lagi. Berbagai kelemahan sistem di perbaiki
karena kepandaian rekan-rekan hacker yang sering kali mengerjakan perbaikan tsb.
secara sukarela karena hobby-nya. Apalagi seringkali hasil hacking-nya di sebarkan
secara cuma-cuma di Internet untuk keperluan masyarakat Internet. Sebuah nilai &
budaya gotong royong yang mulia justru tumbuh di dunia maya Internet yang
biasanya terkesan futuristik dan jauh dari rasa sosial.

Pengembangan para hobbiest hacker ini menjadi penting sekali untuk

keberlangsungan / survival dotcommers di wahana Internet Indonesia. Sebagai salah
satu bentuk nyatanya, dalam waktu dekat Insya Allah sekitar pertengahan April
2001 akan di adakan hacking competition di Internet untuk membobol sebuah server
yang telah di tentukan terlebih dahulu. Hacking competition tersebut di motori oleh
anak-anak muda di Kelompok Pengguna Linux Indonesia (KPLI) Semarang yang
digerakan oleh anak muda seperti Kresno Aji (masaji@telkom.net), Agus Hartanto
(hartx@writeme.com) & Lekso Budi Handoko (handoko@riset.dinus.ac.id). Seperti
umumnya anak-anak muda lainnya, mereka umumnya bermodal cekak - bantuan &
sponsor tentunya akan sangat bermanfaat dan dinantikan oleh rekan-rekan muda
ini.

Mudah-mudahan semua ini akan menambah semangat pembaca, khususnya

pembaca muda, untuk bergerak di dunia hacker yang mengasyikan dan menantang.
Kalau kata Captain Jean Luc Picard di Film Startrek Next Generation, "To boldly go
where no one has gone before".
Seorang Hacker Remaja Membobol Kartu Kredit Bill
Gates    
Sumber : CNN 
Seorang hacker remaja telah menggunakan kartu kredit Bill Gates untuk memesan dan
mengirimkan Viagra untuk Bill Gates.

Raphael Gray, 19 tahun, menyatakan dirinya sebagai 'orang suci dari e-commerce',
setelah meng-hack perusahaan US, Canada dan Inggris untuk mengekspose lubang di
Internet. Perbuatannya menyebabkan satu perusahaan keuangan menderita kerugian yang
sangat besar. Gray diperintahkan untk menjalani pengobatan percobaan untuk gangguan
mental selama 3 tahun.

Gray, yang dituntut atas perbuatannya yang merugikan karena dia berhasil mendapatkan
23,000 kartu kredit dari berbagai perusahaan yang dihack olehnya salah satunya yaitu
kartu kreditnya Bill Gates, yang kemudian Gray memesan dan mengirimkan Viagra
kepada Bill dengan kartu kreditnya.

Hakim Gareth davies diberitahu bahwa Gray dicurigai menderita gangguan mental dan
minder yang kronis sejak kecil, yang memberikan kontribusi atas apa yang dilakukannya
ini di Internet. Dan berdasar catatan medis, bahwa 4 tahun yang lalu Gray pernah jatuh
dan membentur kepalanya.

Pembelanya mengatakan bahwa karena sebab itulah yang mengakibatkan perbuatannya

di Internet. Gray menyatakan penyesalannya bukan pada apa yang dilakukannya tetapi
caranya, dan dia mengatakan di lain kesempatan dia akan melakukannya lagi tapi secara
legal.

Polisi membutuhkan waktu sebulan untuk melacak sang hacker sampai ke rumahnya di
Clynderwen, Carmarthen, sebelah barat Wales dan ditangkap oleh FBI pada bulan Maret
tahun lalu. Pesan pesan yang ditinggalkan di situs yang dihack olehnya berisi antara
lain:" I'm for e-commerce when concluded in a secure and sensible manner but this is a
rare thing. Most companies put some kind of page together and wait for the money to roll
in. These people are the criminals." Dan pesan lainnya "If your site is broken into, you
should spend more time asking why and not who." Apakah anda setuju dengan
pernyataan ini ?? Jika Ya, maka anggap sebuah situs diibaratkan dengan sebuah rumah,
di mana seseorang mencoba membobol rumah itu dengan berbagai peralatan, apakah
anda masih tetap menjawab ya ?
Jadi Hacker Tidak Perlu Pintar

Zaman dulu, hacker identik dengan pecandu komputer yang suka begadang sampai pagi,
coba berbagai cara untuk mencari kelemahan keamanan sebuah sistem. Stereotipe ini
mungkin akan jadi karakter di film saja karena untuk menembus lubang keamanan, cukup
sedia beberapa ratus dolar saja.

Anda tidak perlu belajar bertahun-tahun tentang TCP/IP, server side scripting atau cara
kerja jaringan untuk melakukan infeksi terhadap komputer seeseorang. Cukup sediakan
$700 dan beli satu skrip bernama Mpack, maka semua tugas itu akan dilakukannya.
Bayangkan, bulan juni lalu 80,000 website dikerjain oleh kode-kode yang berhubungan
dengan Mpack. Dalam satu serangan. Dan tentu, tidak diperlukan keahlian teknis untuk
mengoperasikannya. Anda cukup tahu di mana membelinya.

Program ini juga menawarkan update secara regular, guna mengetahui kebocoran-
kebocoran program yang terbaru. Menurut Paul Henry dari Secure Computing, jumlah
perangkat hacking yang didownload meningkat hingga lebih dari 68,000 download.
Program-program seperti Mpack, Shark2, Nuclear, Web Attacker dan IcePack dapat
dibeli, sehingga memberi fasilitas kepada siapa saja yang membutuhkan. Anak-anak,
jangan mencoba ini di rumah!

Bagaimana mengamankan situs web Anda dari Mpack? Meskipun beberapa perusahaan
antivirus sedang bekerja keras untuk riset kelakuan Mpack ini, tapi tentu pembuatnya
juga melakukan riset untuk mencari cara yang lain. Berikut beberapa tips sederhana
untuk mengurangi resiko Mpack.

 Mpack dapat menjalankan exploitnya jika Anda belum melakukan update (patch),
jadi pastikan program Anda memperoleh upgrade keamanan secara reguler.
 Sebagian besar aplikasi akan melakukan update secara otomatis jika Anda
mengijinkannya. Pastikan ini semua berjalan.
 Ganti secara reguler password Anda. Hindari menginstal aplikasi web pada folder
default, dan tentu saja, update aplikasi Anda dengan versi terakhir.
 Coba layanan yang melaporkan jika ada perubahan terhadap website Anda
(seperti changenotes.com). Kalau sempat, cek rutin setiap hari jika ada trafik yang
berlebihan di web Anda.
 Computer Kung Fu For Beginners
- White Belt Edition

by Dave Thompson

What is Computer Kung Fu?

Computer Kung Fu is the term 'hip' computer people use to describe a knowledge of
computers and their mysterious ways. Having good 'Kung Fu' is the ultimate goal for many
computer users and this normally means years of trial and error, study, sweat and tears. Now
you can fast track your way to good Kung Fu without the hassle of all that other stuff.

Computer Kung Fu For Beginners - White Belt Edition is the new book from computer tech
Dave Thompson. Written especially for people who have outgrown 'idiots' type guides and who
already know the basics, Computer Kung Fu For Beginners - White Belt Edition aims to
educate computer users about just what does make a computer tick in terms anyone can
understand. Throw in a few tweaks and a little social commentary for good measure and you
have an entertaining yet educational read.

If you are the type of user that wants to know what all that clicking, beeping and whirring
going on inside your computer case is and what it means, this book is for you. If you want to
start down the road to complete computer and Windows customisation, this is the book for
you.

Check out the preview on the next page, and if you like what you read there are 200 more
pages of in-depth (yet ridiculously easy to understand) explanations of all types of hardware,
software, chat-room jargon and a glossary of commonly used computer acronyms. You can
buy online by clicking the 'Order' link. Cost is $US18.00 (inc. postage) and we ship anywhere
in the world.

The following is an excerpt from the introduction:

Computer Kung Fu For Beginners - White Belt Edition

How many of us have picked up a book about computers only to put it right back down again
because we couldn't even understand the title? Who among us haven't seen the monster sized
books on the shelf at any computer book store, books so big that it is unlikely even Arnold
Schwarzenegger could pick them up? What can they possibly put in those books to make them
so big? The answer is, not much. Not much at least for the average computer user. The
problem is that computer book authors want to impress other computer book authors with;

a) Their seemingly endless knowledge of computer factoids and

b) How big theirs is compared to the other guy’s (books).

The truth be known we could probably take any one of those books (after a few weeks at the
gym of course) and open it up to find huge tracts of data almost identical to all of the other
books out there. In fact, we could probably open the same book a few hundred pages apart
and find the same information presented in a slightly different way. The authors apparently do
this because they know that of all the readers who start the book, very few will actually wade
through to the end, and by then they would have forgotten what they read a thousand pages
of geek-speak ago anyway. Why? It’s all about shelf space. The more shelf space they take,
the more browsing customers will be subliminally manipulated into buying them. More than a
few computer buffs have arrived home from the local book store with a brand new 2 Kilogram
(Kg) copy of “Troubleshooting IP Routing Protocols and Network Subnet Requirements For
Cisco Transponders” without any idea of what an IP Routing Protocol is, let alone wanting to
troubleshoot one. It appears there is a massive pool of computer related information sitting in
an archive somewhere just ready to copy and paste (more on that later) into any new work on
the subject (most likely churned out by thousands of computer-school graduates in
sweatshops throughout Asia). This coupled with the fact that the authors know that most
readers out there will either not understand a word of it, or vaguely understand it but have no
way of actually verifying if there is any real substance to it. And what do they care? They have
already sold a gazillion copies and are busy hunting for more data to put in their next 'fully
updated' version. Never mind that most of these books will end up propping up wonky desks
or computer monitors within a few months of release anyway, the whole point is to generate
huge books, huge profits and keep the technology train rolling.

By definition, computer books tend to be either extremely simplistic, (This is Spot's new
computer. See how Spot can make a line of .......) or extremely complex, (Technology used in
high speed fibre optic connections at SuperJANET sites - in practice a 140Mb/s link carved up
into 4x34 Mb/s "tributaries"). Your local computer courses suffer the same fate. They either
teach the real basics (This is the On Switch. This makes the little green light go on  ...) or they
race through the syllabus and expect the students to keep up. The problem is that computers
are very complicated devices. There are many ways of doing exactly the same thing and
everybody has a way they like best. What one person finds intuitive, another may find mind
bogglingly complicated. At the end of the day most computer users want to be able to fire up
their machine, do what they want to do and be able to shut it down again without being afraid
of doing something wrong. Many of us take lessons only to find that the tutor covers what we
already know, or forge ahead and we leave none-the-wiser, though normally all-the-poorer.
Or if we go to the free classes, the teacher-student ratio looks more like the odds on Hayley
Joel Osment knocking out Mike Tyson in the third round. The thing is, most guys want to know
about computers; what makes them tick and, more importantly, how to pull them apart and
put them back together again without having bits left over and a message on the screen
saying “Disk Boot Error – Please Insert Boot Disk”. The aim of this book is to give the average
computer user an insight into the jargon filled world of computers, put in a way that anyone
can understand. You Übertechs and power-geeks out there may find this book simplistic and
shallow (it's my style!) and rightly so, it is just the way I intended it to be. The opinions herein
are my own and any anecdotes or stories thrown in are either 'swear-to-whatever-God-you-
worship' true, told to me by people who might or might not know what they are talking about
or purely fictitious, concocted by an under-active mind as fodder to fill out the pages. Just
which ones are which I will leave up to your obviously fine judgment!
Tips Mengatasi Virus Worm

Bila komputer anda terserang virus jenis WORM ( yang anda terima melalui EMAIL
atau INTERNET), virus ini akan segera menyebar kembali dengan cara mengirim
EMAIL ke semua alamat yang ada pada ADDRESS BOOK anda.

Cara mudah untuk pencegahan penyebaran virus ini:

Pada Outlook Express  :

1. Klik File pilih  NEW ->  CONTACT.

2. Pada menu name di kolom FIRST dan LAST NAME ketik "0000" ( nol nol nol nol ).
3. JANGAN mengisi ALAMAT EMAIL apapun, biarkan kosong.
4. Lalu Klik OKE.
5. Pastikan bahwa Alamat Email yang baru ini ada pada URUTAN PERTAMA.(dikolom
contact sebelah kiri, 0000 0000 ada di paling atas)
6. Selesai.

Pada Eudora  :

1. Klik Tools -> Address Book ( tekan Ctrl dan L bersamaan )

2. Klik New .
3. Pada kolom First Name isi 0000 dan di kolom Last Name isi 0000
4. Alamat e-mail dan yang lainnya dikosongkan saja.
5. Close address book lalu Save address book.
6. Selesai.

Bila pada suatu saat komputer anda ter INFEKSI VIRUS WORM, virus ini akan
mengirim email ke semua alamat, yang tentu saja nama "00000000" ini yang
pertama akan dikirim.
Otomatis pengiriman email akan terhenti (ERROR) karena tidak ada Email Address
nya. Sekaligus juga anda akan TAHU bahwa komputer anda terserang virus, karena
komputer akan memberikan pesan ERROR.
 
Menghapus Virus Pendekar Blank Tanpa AntiVirus

Membuat FlashDisk Aman dari Serangan Autorun   Virus

Tentunya teman2 semuanya sudah mengetahui bhw virus2 dapat menularkan dirinya ke
komputer2 lain dengan media flashdisk. -.-“. Kesal? Sudah pasti! Saya juga merasakan
perasaan yang sama ketika komputer saya juga ikut2an kena virus… tapi saya punya cara
yang ampuh agar virus yang ada di flashdisk tersebut tidak dapat menularkan dirinya ke
komputer lain..

Baiklah saya akan mulai membahasnya sekarang, diawali dengan cara penularan virus
lewat media flashdisk. Sebenarnya sangat simple, ketika flashdisk dicolokan kedalam
port usb virus yang sedang berjalan tinggal men-copy dirinya sendiri ke dalam flashdisk,
dan tidak lupa pula dengan membuat file “autorun.inf” yang letak file-nya kasat mata
sehingga tidak dapat dilihat. nah… file inilah yang akan kita edit agar virusnya tidak
dapat menjalankan dirinya di komputer kita.

Cara yang pertama dengan mengedit secara manual dengan menggunakan notepad atau
wordpad. Diasumsikan flashdisk kita yang telah dicolokan kedalam komputer (yang telah
terinfeksi) beralamat “F:\”, maka saya akan mencoba membuka file “F:\autorun.inf” lalu
enter. Lalu notepad akan terbuka secara otomatis dengan beberapa mantra didalamnya,
setelah itu kita tinggal mengedit mantra tersebut dengan memblock semua mantra
tersebut(ctrl+a) lalu hapus(backspace atau del) lalu anda bisa membiarkannya kosong lalu
tekan ctrl+s untuk men-savenya. Anda juga bisa menuliskan beberapa puisi indah tentang
perdamaian didalamnya ^-^.

Tetapi bang blckflcn, bagaimana jika file tersebut memiliki attribute “read-only”? yang
jelas kita tidak dapat mengeditnya secara manual!(aaaaarrrrrgh!!!!). Lalu? Apa yang
dapat kita lakukan… bang blckflcn? Gigi dibalas dengan gigi, mata dibalas dengan mata,
dan yah… anda benar! MANTRA juga DIBALAS DENGAN MANTRA!! Mantranya
sangatlah mudah… saya akan membahasnya secara bertahap sekarang juga :

1)buka aplikasi notepad (tempat dimana kita akan menulis mantra)

2)tuliskan mantra “del /a:r f:\autorun.inf” (tnp tanda petik) lalu enter.

3)langkah selajutnya adalah tulis mantra lagi! Mantranya “echo ‘terserah tulisan apa’
>f:\autorun.inf&attrib +r f:\autorun.inf” (tnp tanda petik juga).

4)lalu save file mantra tersebut dengan nama file terserah anda dan path-nya terserah
anda juga, tetapi extension-nya harus “.bat”(harus tidak boleh tidak)

5)lalu jalankan file mantra yang baru kita buat tersebut

6)buka explorer

7)pada bagian address tuliskan “F:\autorun.inf”, lalu tekan enter sambil mengucapkan
“sim…salabim…”. Maka aplikasi notepad akan muncul lagi sambil menampilkan
beberapa tulisan, tetapi yang ini jelas bukan mantra ^-^.

Setelah beberapa step tadi, virus tidak dapat menjalankan dirinya di komputer lain ketika
kita mencolokan flashdisk kita kedalam port usb-nya. Tetapi bang blckflcn, virus2 dari
komputer yang terinfeksi tersebut masih ada di dalam flashdisk saya. Bagaimana ini?
Yah, itu sih bukan tugas saya lagi. Itu sih sudah menjadi tugas anti-virus… saya hanya
memberitahukan cara agar virusnya tidak berjalan ketika flashdisk kita dicolokan
kedalam port usb pada komputer yang lain… lagian mantra yang saya punya masih
belum begitu ampuh untuk membuat virus tidak berjalan di komputer. Oleh karena itu,
saya akan belajar tentang mantra2 tersebut di hogwarts agar lebih ampuh. Hehehe… ^-^.

Okeh… sekian saja info2 dan mantra2 yang saya jabarkan. (krn sdh tidak tahu lagi harus
menjabarkan mantra yang mana ^-^)
Bersihin Virus AUTORUN, WRITE PROTECT, DOC jadi EXE (5
menit)

Temen sejawatku kemaren minta bantuin bersihin virus di flashdisknya. Koq gitu aja
susah banget. Padahal seluruh komputer yang berada di bawah pengawasanku, kan ada
antivirusnya. Pasti “oleh-oleh” dari luar kantor.

Eh…. ternyata…..
Emang gak bisa di delete, soalnya flashdisknya jadi memiliki status “Write protect” alias
gak bisa dihapus (sekaligus jadi ngak bisa diformat). Setiap kali mau operasi tulis ke
flashdisk akan muncul tulisan

Windows - Write Protect Error

The disk cannot be written to because it is write protected. Please remove the write
protection from the volume XXXX in drive
\Device\Harddisk1\DRX [X nya angka]

CANCEL - TRY AGAIN - CONTINUE

MENI GEULEUH…..

Selidik punya selidik gejalanya

1. Ada file autorun.inf (memiliki attribut hidden dan read-only), yang isinya :

[autorun]
autorun = launch.exe
icon =1.ico

Meni geuleuh…..

Terpaksa deh mantranya keluar….. sebentar, abang dukun jampi-jampi dulu (menyem,
menyem, menyem, he he he)

1. Matikan dulu fungsi autorun.inf-nya. Atau bunuh si autorun.inf

tapi ngak bisa delete, karena read only.

Wahai DOS, zaman fir’aun. Kembalilah engkau padaku….. he he he

mantranya gini, masuklah ke DOS Prompt….lewat START | ALL PROGRAMS |
ACCESSORIES | COMMAND PROMPT

Tuliskan di situ : [Ganti setiap f:\ jadi nama drive di mana flashdisk bervirus bercokol,
misalnya jadi E:\]

C: [Tekan ENTER DI KEYBOARD]

CD\ [Tekan ENTER DI KEYBOARD]
COPY CON ANTIAUTORUN.BAT [Tekan ENTER DI KEYBOARD]
del /a:r f:\autorun.inf [Tekan ENTER DI KEYBOARD]
echo ‘terserah tulisan apa’ >f:\autorun.inf&attrib +r f:\autorun.inf [TEKAN ENTER DI
KEYBOARD]
[TEKAN TOMBOL CTRL+Z DI KEYBOARD]

Sekarang ramuan mantranya udah jadi. Coba lihat ramuan mantranya pake windows-
explorer di drive C:\ ada file ANTIAUTORUN.BAT
Double click deh file ANTIAUTORUN.BAT tersebut. Biarkan ramuan mantra
bekerja…..

nah sekarang lihat lagi file AUTORUN.INF-nya

isinya jadi :

[autorun]
icon =1.ico

Halah, hilang deh LAUNCH-nya.

Tapi hati-hati, virusnya masih ada.

Untuk urusan ini, serahkan aja kepada antivirus yang sudah di update
Restart kompie-nya

Scan deh pakai antivirus yang sudah di update

Selesai dehh…….

Gimana cara autorun ngak berfungsi (maksudnya utk jaga-jaga di masa yang akan datang
….)
Hal-hal aneh seputar Brontok
Pencipta virus Brontok diduga dari Institut Teknologi Bandung (ITB), tapi ternyata tidak
ada bukti mengenai hal itu kecuali mengenai laporan bahwa virus mulai menyebar di
ITB. Virus ini mengupdate dirinya dari suatu situs di Internet, tapi anehnya hanya satu
analisis yang menyebutkan hal tersebut. Padahal dengan mengetahui dari URL mana
virus itu mengupdate dirinya, kita bisa melakukan hal berikut:

 Melacak siapa pemilik situs itu, dan dalam kasus web site gratisan, pihak-pihak
tertentu (administrator ISP, dll) bisa diminta untuk melacak orang yang
mendaftarkan situs tersebut atau mengakses situs tersebut kali pertama
(kemungkinan besar sang pembuat virus).
 Administrator bisa memblok URL update virus di level proxy atau firewall.
 Dengan melihat log, administrator bisa melacak komputer mana yang terinfeksi
Brontok.

Satu-satunya analisis lokal yang menyebutkan bahwa virus mengupdate dirinya berasal
dari sebuah perusahaan antivirus lokal yang menjalin kerja sama dengan sebuah
perusahaan antivirus luar negeri. Tapi anehnya meski perusahaan tersebut mengetahui
bahwa virus tersebut mengupdate dirinya, dia tidak menyebutkan URL updatenya, meski
sudah saya tanya pribadi melalui email. Apakah perusahaan tersebut tidak tahu URLnya?
(kurang pandai dalam menganalisis virusnya) ataukah mereka sengaja membiarkan agar
virus berkesempatan mengupdate dirinya dan perusahaannya mendapatkan untung?
(kedua kemungkinan tersebut sama mengkhawatirkannya).

Virus ternyata tidak hanya bisa mengupdate dirinya, tapi juga mendownload daftar file
yang perlu dihapus sebelum proses update dilakukan, artinya virus yang tadinya hanya
dianggap mengesalkan ini ternyata bisa berbahaya juga. Dan sebenarnya file update virus
ini bisa saja bukan berisi virus baru, tapi berisi kode untuk memformat komputer Anda.

Virus versi awal hanya menyerang situs 17tahun.com dan israel.gov.il, tapi lama-lama
mulai menyerang situs lain, seperti www.kaskus.com, dan bahkan situs pribadi (blog)
seperti fajarweb.com, adakah dendam pribadi oleh pembuat virus ini pada orang tertentu?

Pembuat virus mencantumkan kata-kata ini di virusnya:

!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!

Dan di versi Brontok terbaru, ternyata dia berusaha menghapus virus lokal seperti
dekil/decoy, kumis, fawn, kangen, dan riyani_jangkaru (pengetahuan saya mengenai
virus lokal agak minim, jadi dafar ini hanya yang saya ketahui). Penghapusan sebagian
virus lokal cukup menyeluruh, dengan membunuh task virus, menghapus file virus, dan
bahkan menormalkan atribut file dokumen yang dibuat menjadi hidden oleh virus lain
(tapi pembersihan registry yang diubah virus lain tidak dilakukan).
Fakta dan catatan

Beberapa pernyataan dalam artikel ini mungkin akan menimbulkan prasangka tertentu,
oleh karena itu saya ingin memberitahukan beberapa fakta mengenai diri saya:

1. Saat ini saya bukan pengguna Windows lagi meskipun saya masih punya satu
partisi Windows yang saya gunakan untuk keperluan seperti ini (analisis virus,
dan mencoba-coba program Windows). Saya tidak menyimpan data di Windows,
jadi eksperimen semacam ini cukup aman bagi saya. Sehari-hari saya memakai
Mac OS X di iBook G4, dan GNU/Linux (Fedora Core 4) di AMD64. Karena
bukan pengguna Windows, mungkin pengetahuan saya sedikit tertinggal dalam
hal aplikasi-aplikasi yang ada di Windows, tapi pengetahuan teknis low level
Windows selalu saya update.
2. Saat ini saya tidak bekerja di bisnis security ataupun memiliki bisnis yang
berhubungan dengan security. Segala macam pernyataan saya terhadap entitas
bisnis lain tidak dimaksudkan untuk menguntungkan diri saya. Pekerjaan saya
adalah teaching assistant di Jurusan Teknik Informatika Sekolah Tinggi Elektro
dan Informatika (dulu bagian dari Fakultas Teknologi Industri) Institut Teknologi
Bandung.
3. Saya bukan cracker, saya bukan orang-orang dari kelompok pembuat virus baik
kelompok luar negeri maupun Indonesia.
4. Saya hanya memiliki Brontok versi lama (contoh Brontok diambil dari salah satu
lab di ITB), dan versi terbaru (contoh Brontok diambil dari Universitas Negeri
Jakarta/UNJ), versi di antaranya saya tidak punya.
5. Saya tidak mencantumkan URL aneka tools yang saya pakai, karena URL untuk
tools yang dapat membantu proses cracking biasanya selalu berpindah, gunakan
Google untuk mencari tools-tools yang saya sebutkan.
6. Saya tidak membuatkan antivirus untuk Brontok ini, silakan Anda gunakan
antivirus yang sudah ada (saya tidak ingin bersusah payah mengupdate antivirus
terhadap Brontok yang selalu diupdate, banyak antibrontok yang ada di
Internet sudah tidak bisa lagi mendeteksi, menghapus, atau menangani
Brontok versi yang baru). Antivirus yang ada di pasaran dengan update terbaru
seharusnya sudah cukup. Namun jika Brontok ini makin sulit diberantas, saya
akan membuatkan antivirus khusus untuk Brontok. Namun saya memberikan
langkah pembersihan Brontok manual yang generik untuk berbagai versi
Brontok saat ini.

Bagaimana analisis virus dilakukan?

Ada tiga cara untuk menganalisis virus, pertama dengan cara black box, yaitu melihat
perilaku virus di sebuah lingkungan tertentu, menganalisis isi virus dengan disassembly,
dan yang ketiga adalah dengan melihat jalannya virus dengan debugger. Sayangnya
kebanyakan orang hanya bisa melakukan analisis cara pertama dan sedikit cara kedua,
namun tidak menyeluruh.
Black box analysis
Beberapa program tersedia untuk melihat perbedaan state komputer sebelum dan sesudah
program sesuatu dijalankan (termasuk juga sebelum dan sesudah virus dijalankan). Saya
tidak terlalu percaya dengan program semacam ini, tapi program semacam ini bisa
menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry apa yang
dilakukan oleh virus.

Cara ini mudah namun tidak ampuh, karena mungkin saja virus berperilaku aneh setiap
hari Rabu sementara Anda mengetes di hari Selasa. Mungkin juga program yang dipakai
untuk mencatat state sistem tidak sempurna sehingga ada perubahan yang tidak tercatat,
dan ada kemungkinan virus tersisa setelah proses analisis selesai. Jika virus cukup
canggih dan bisa mendeteksi adanya program pemonitor, virus bisa bertingkah laku
berbeda dari keadaannya yang biasa.

Disassembly dan atau dekompilasi

Program dalam bahasa tertentu (biasanya yang dikompilasi dan diinterpretasi sekaligus,
misalnya Java atau C#) bisa didekompilasi dengan mudah, artinya "bahasa mesin" yang
ada pada file exe bisa dikembalikan menjadi source code, tapi program dalam bahasa lain
tidak bisa dikembalikan menjadi source code, hanya bisa menjadi bahasa assembly.

Bahasa assembly sifatnya sangat low level (sangat dekat dengan mesin) sehingga sulit
dimengerti kecuali dengan kesabaran dan banyak latihan (biasanya dengan bantuan
debugger juga). Tidak banyak orang yang mau dan bisa melakukan hal tersebut, tapi
itulah yang setiap hari dilakukan cracker untuk membuat serial number generator, dan
mengcrack aneka program (program bajakan yang dipakai oleh banyak orang sekarang
adalah karya cracker).

Melihat jalannya virus dengan debugger

Debugger bisa digunakan untuk menjalankan virus dalam lingkungan yang dapat
dimonitor. Alur eksekusi, termasuk enkripsi virus bisa dipelajari dengan mudah.
Penganalisis harus berhati-hati karena virus bisa saja menggunakan teknik antidebug,
atau berjalan tidak terkendali. Biasanya teknik analisis ini digabung dengan disassembly.

Pendekatan analisis Brontok

Bagian ini sangat teknis dan boleh di-skip.

Saya tidak melakukan black box analysis (karena sudah terlalu banyak orang yang
melakukannya dengan kesimpulan yang agak ngawur), tapi langsung men-disassemble
Brontok. Brontok versi pertama dikompilasi menjadi p-code (semacam bytecode pada
Java) dan cukup mudah dimengerti. Versi Brontok yang baru menggunakan native code,
sehingga lebih sulit dianalisis. Analisis versi pertama tidak akan dibahas.
Sebelum saya menjelaskan proses analisis, saya perlu memberitahukan bahwa telah
menyalin brontok menjadi beberapa nama yang berbeda sebelum diproses (debug,
disassemble, dll) oleh program yang berbeda. Tujuan penyalinan adalah agar aman bagi
saya (jangan sampai tidak sengaja menjalankan file exe), dan aman dari kesalahan
program yang mungkin mengubah salinan Brontok yang saya miliki.

File EXE Brontok dienkripsi dengan program MeW sehingga harus didekrip/ekstrak
menggunakan UnMeW, tapi ini menyebabkan struktur file berubah dan menyebabkan
program untuk menganalisis executable Visual Basic, misalnya Race, tidak bisa
mengenali lagi bahwa itu adalah file VB. Untungnya salah satu tools untuk membantu
menganalisis file VB yang bernama VBDE masih bisa mengekstrak sedikit informasi dari
file tersebut .

VBDE digunakan untuk mendapatkan informasi dasar file VB

Karena file menggunakan native code, disassembler terbaik adalah IDA Pro (saya pakai
versi freeware), dengan IDA Pro saya bisa melihat cukup banyak hal di Brontok. Tapi
sayangnya IDA Pro tidak bisa melihat VTABLE Visual Basic (tabel method, ini sangat
penting dalam kode program yang dikompilasi dari suatu bahasa yang menggunakan
objek), dan satu-satunya cara termudah adalah menjalankan Brontok.

Pertama sebelum Brontok dijalankan, binary Brontok perlu diedit untuk menonaktifkan
timer (waktunya diset menjadi 0 agar timer tidak pernah dieksekusi). Pengeditan ini
dilakukan dengan mengunakan Hex Editor (saya memakai Hexplorer yang gratis), dan
hal ini memerlukan sedikit coba-coba sampai berhasil. Bagian utama Brontok ada di
timer, sehingga dengan menonaktifkan timer, Brontok bisa dianalisis dengan aman (tapi
tetap berbahaya).

Isi file Brontok, terlihat ada beberapa string yang dienkripsi dan yang tidak dienkripsi
dalam Brontok.

Untuk mendebug, debugger yang saya pakai adalah OllyDbg, debugger ini cukup
canggih dan nyaman dipakai dibanding WinDBG dari Microsoft (dan sama dengan
WinDBG, program ini gratis). Dengan mencocokkan listing IDAPro dengan OllyDbg
saya bisa memahami Brontok dengan cukup mudah.

Isi brontok yang didisassembly menggunakan IDA Pro.

Langkah terakhir adalah dengan merekonstruksi sebagian source code Brontok

menggunakan VB, hal ini dilakukan untuk melihat apakah pemahaman saya sudah benar.
Jika hasil disassembly dari file VB yang sudah saya buat sama dengan disassembly
Brontok, maka berarti pemahaman saya sudah benar.

VB memiliki error handling "On Error Resume Next" yang sangat membantu
pemahaman hasil disassembly. Error handling tersebut berarti jika terjadi error maka
pergilah ke baris berikutnya. Nah komputer perlu tahu di mana lokasi baris berikutnya
yang harus dieksekusi jika ada error, sehingga informasi tersebut disimpan di executable
file. Dengan berbekal nomor baris itu, saya bisa merekonstruksi dengan cukup tepat
sampai ke level baris kode.

Karakteristik Brontok

Saya tidak akan memberikan penjelasan panjang lebar mengenai karakteristik Brontok,
karena bagian ini sudah dibahas di banyak situs. Secara singkat, karakteristik Brontok
adalah:

1. Brontok menggunakan ikon folder standar Windows, Anda yang memakai theme
aneh/nonstandar akan melihat keanehan ikon ini.
2. Brontok membuat banyak perubahan di registry agar sulit dibersihkan
(menonaktifkan registry editor, menghilangkan menu folder options, dll).
Tepatnya, Brontok melakukan perubahan pada nilai di subkey:
o HKCU\software\microsoft\windows\currentversion\run
 Nilai Tok-Cirrhatus menjadi path ke Brontok.
 Nilai Tok-Cirrhatus-XXX (xxx adalah acak) menjadi path ke
Brontok yang namanya juga acak.
o HKLM\software\microsoft\windows\currentversion\run
 Nilai Bron-Spizaetus menjadi path ke Brontok.
 Nilai Bron-Spizaetus-xxx (xxx adalah acak) menjadi path ke
Brontok.
o HKCU\software\microsoft\windows\currentversion\Policies\Explorer\
 Nilai NoFolderOptions menjadi 1.
o HKCU\software\microsoft\windows\currentversion\Policies\System\
 Nilai DisableCMD menjadi 0.
 Nilai DisableRegistryTools menjadi 1.
o HKCU\software\microsoft\windows\currentversion\explorer\advanced
 Nilai Hidden menjadi 0.
 Nilai HideFileExt menjadi 1.
 Nilai ShowSuperHidden menjadi 0.
o SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 Nilai Shell menjadi Explorer.exe "c:\windows\sembako-
xxx.exe". (xxx adalah acak)
o SYSTEM\CurrentControlSet\Control\SafeBoot\
 Nilai AlternateShell menjadi cmd-bro-xxx.exe (xxx adalah
acak). Perhatian: ternyata Windows akan secara otomatis
menyalin isi semua key di HKLM,
SYSTEM\CurrentContolSet\Control\SafeBoot ke HKLM,
SYSTEM\ContolSet00X\Control\SafeBoot X (dari 1-2) jika
proses restart dilakukan dengan sukses (atau jika komputer
dimatikan lalu komputer dinyalakan lagi).
3. Brontok mengotori banyak direktori dengan salinan dirinya.
4. Brontok menimpa autoexec.bat dengan satu baris "pause", mungkin
maksudnya menghentikan antivirus yang berjalan di mode DOS yang dijalankan
dengan autoexec.bat.
5. Brontok membuat banyak item startup agar dijalankan ketika komputer dimulai
(di start menu dan di aneka tempat di registry). Hal ini berlaku juga dalam safe
mode (Perhatian perhatian, yang benar adalah "SAFE MODE" bukan
"SAVEMODE").
6. Brontok mengupdate dirinya sendiri dari URL tertentu, tepatnya Brontok ini
mendownload file exe dari situs tertentu dan mengeksekusinya (bisa saja isinya
bukan update brontok, tapi kode untuk memformat seluruh isi komputer).
Pembahasan ada di bagian berikutnya di artikel ini.
7. Brontok menggunakan enkripsi untuk menyembunyikan string-string dalam
dirinya. Enkripsi Brontok juga dibahas pada artikel ini.
8. Brontok mengirimkan dirinya ke alamat email yang ditemukannya, jika alamat
tersebut tidak mengandung string berikut (artinya brontok tidak akan
mengirimkan dirinya ke Microsoft, perusahaan antivirus, dll):
SECURE,SUPPORT,MASTER,MICROSOFT,VIRUS,HACK,CRACK,LINUX,
AVG,GRISOFT,CILLIN,SECURITY,
SYMANTEC,ASSOCIATE,VAKSIN,NORTON,NORMAN,PANDA,SOFT,SPA
M,BLAH,
.VBS,DOMAIN,HIDDEN,DEMO,DEVELOP,FOO@,KOMPUTER,SENIOR,D
ARK,BLACK,BLEEP,FEEDBACK,
IBM.,INTEL.,MACRO,ADOBE,FUCK,RECIPIENT,SERVER,PROXY,ZEND,Z
DNET,
CNET,DOWNLOAD,HP.,XEROX,CANON,SERVICE,ARCHIEVE,NETSCAP
E,MOZILLA,OPERA,NOVELL,NEW
LOTUS,MICRO,TREND,SIEMENS,FUJITSU,NOKIA,W3.,NVIDIA,APACHE,
MYSQL,POSTGRE,SUN.,GOO
GLE,SPERSKY,ZOMBIE,ADMIN,AVIRA,AVAST,TRUST,ESAVE,ESAFE,PR
OTECT,
ALADDIN,ALERT,BUILDER,DATABASE,AHNLAB,PROLAND,ESCAN,HA
URI,NOD32,SYBARI,ANTIGEN,R
OBOT,ALWIL,BROWSE,COMPUSE,COMPUTE,SECUN,SPYW,REGIST,FR
EE,BUG,MATH,
LAB,IEEE,KDE,TRACK,INFORMA,FUJI,@MAC,SLACK,REDHA,SUSE,BU
NTU,XANDROS,@ABC,@123,LO
OKSMART,SYNDICAT,ELEKTRO,ELECTRO,NASA,LUCENT,TELECOM,S
TUDIO,SIERRA,USERNAME,IPTE K,CLICK,SALES,PROMO,.CA.COM Ada
sedikit perbedaan pada email jika email dikirim ke alamat dengan substring
berikut ("alamat indonesia"):
PLASA;TELKOM;INDO;.CO.ID;.GO.ID;.MIL.ID;.SCH.ID;.NET.ID;.OR.I
D;
.AC.ID;.WEB.ID;.WAR.NET.ID;ASTAGA;GAUL;BOLEH;EMAILKU;SA
TU. Perbedaannya pada asal pengirim, jika untuk tujuan Indonesia pengirimnya
menjadi @boleh.com sedangkan kalau non "alamat Indonesia" pengirimnya
menjadi @friendster.com (pada versi awal Brontok, untuk Indonesia memakai
 @kafegaul.com dan untuk alamat non Indonesia memakai alamat
@pornstargals.com). (bodohnya isi emailnya tetap sama, dan memakai Bahasa
Indonesia padahal isinya didownload dari Internet). Perhatian: banyak analisis
salah yang menyatakan bahwa Brontok tidak mengirimkan dirinya ke
alamat email di Indonesia.
9. Brontok berusaha mendapatkan alamat email korban dengan melakukan parsing
terhadap file HTML, .HTM,.TXT, .EML, .WAB, dan .PHP yang ditemuinya
(Brontok mencari semua string xxx@yyy.zzz dalam file).
10. Brontok melakukan koneksi SMTP langsung ketika mengirim email, tapi tidak
menggunakan MX record (Mail eXchanger Record) DNS suatu domain. Jika
Brontok mengirim ke alamat @yahoo.com, dia akan mencoba memakai SMTP
server mta237.mail.re2.yahoo.com, sedangkan jika ke domain lain Brontok
mencari MX/Server SMTP dengan menambah prefix smtp., mail. atau ns1.
pada domain mail.
11. Brontok Membuat file yang isinya agar semua orang menghentikan kejahatan (bla
bla bla, silakan baca di situs lain jika Anda penasaran dengan isinya).
12. Brontok merestart komputer ketika program tertentu aktif. Pengecekan program
dilakukan dengan melihat teks Window program terhadap string:
REGISTRY,SYSTEM CONFIGURATION,COMMAND PROMPT,.EXE,SHUT
DOWN,SCRIPT HOST,LOG OFF WINDOWS,KILLBOX,TASK, dua string
terakhir baru ditambahkan untuk mengantisipasi program yang dapat membunuh
task Brontok, misalnya program HijakThis.
13. Brontok menjadwalkan dirinya agar dijalankan di jam tertentu. Versi awal
brontok menjadwalkan dirinya hanya pada jam 17:08, tapi versi baru juga
menjadwalkan eksekusi pada jam 11:03 (keduanya dijadwalkan setiap hari).
14. Brontok berusaha mengakses share di jaringan lokal dan menginfeksinya juga.
15. Brontok memiliki string: By: HVM31 -- Jowobot #VM Community --
(Perhatikan kata VM/Virus Maker community ini, mungkin saja HVM31 itu
punya teman yang tahu tentang ini).
16. Brontok versi lama menyerang (maksudnya ingin melakukan DDOS/Distributed
Denial of Service attack) situs 17tahun.com dan israel.gov.il dengan ping,
sedangkan versi baru menggunakan HTTP Get untuk menyerang
www.17tahun.com, www.kaskus.com, dan www.fajarweb.com.
17. Brontok membuat counter di situs debuging.com, URLnya:
http://debuging.com/WS1/cgi/x.cgi?NAVG=Tracker&username=%64%65%6C
%62%65%6C%62%72%6F (usernamenya adalah delbelbro). Saya belum
mengontak pemilik situs tersebut. Counter dinaikkan nilainya setiap selesai
menyerang situs yang ada di daftarnya (www.17tahun.com, www.kaskus.com,
dan www.fajarweb.com).
18. Brontok membuat file sistem.sys di direktori %windir
%/system32/sistem.sis yang isinya adalah kode waktu saat brontok aktif kali
pertama. Kode ini terdiri atas 2 digit bulan, 2 digit tanggal, 2 digit jam dan 2 digit
menit. Misal: 01122245 berarti Brontok aktif kali pertama pada 01 = Januari, 17 =
tanggal 17, 22 = jam 1 malamm, 45 = menit ke 45. File ini juga dicopykan ke
direktori \Documents and Settings\Username\Application Data\ dengan
nama file BronMes*.ini (bagian * bisa bervariasi).
19. Brontok akan berusaha membunuh paksa beberapa proses (proses adalah program
yang berjalan) dengan command taskkill /f /im namaproses. Proses yang
dibunuh meliputi virus/worm lokal lain, dan sepertinya beberapa antivirus.
Tepatnya proses yang dibunuh adalah
mcvsescn.exe;poproxy.exe;avgemc.exe;ccapps.exe;tskmgr.exe;syslove.exe;
xpshare.exe;riyani_jangkaru.exe;systray.exe;ashmaisv.exe;
aswupdsv.exe;nvcoas.exe;cclaw.exe;njeeves.exe;nipsvc.exe;dkernel.exe;
iexplorer.exe;lexplorer.exe.
20. Brontok akan mengubah atribut file MSVBVM60.DLL yang ada di direktori sistem
Windows. Atribut file akan diubah menjadi hidden, system, dan read only. Tujuan
langkah ini adalah agar lebih sulit menghapus file msvbvm60.dll dari mode DOS
seperti yang dibahas dalam beberapa website.
21. Brontok akan mendownload file dari sebuah URL acak (lihat bagian update
Brontok) dan berusaha menimpa file %windir%\system32\drivers\etc\hosts
dengan file yang didownloadnya.
22. Jika Brontok menemui file .DOC, .PDF .XLS, dan .PPT maka attributnya akan
dikembalikan ke normal, sifat ini sepertinya dilakukan untuk mengembalikan
dokumen yang disembunyikan (dijadikan hidden) oleh virus lain.
23. Brontok berusaha menghapus file dengan substring "kangen", *RORO*.HTT,
FOLDER.HTT. Jika ekstensi file adalah .EXE, maka Brontok juga akan
menghapus file jika substring file memiliki nama .DOC.EXE;.DOC ;.XLS.EXE;.
XLS ;PATAH;HATI; CERITA; LUCU;MOVZX;CINTA;UNTUKMU;DATA-
TEMEN;RIYANI;JANGKARU;KANGEN;JROX;
DIARY;DKERNEL;IEXPLORER;LEXPLORER;ADULTONLY;ASIAN;VIRT
UAL GIRL;X-PHOTOS;BESTMODEL;GAME NUDE;HOT
SCREEN;HOTBABE; NAKED ;MODEL VG;SEXY ;V-
GIRL7;JAPANESEGIRL;PUISI (perhatikan bahwa Brontok tidak menghapus
.DOC, tapi .DOC yang diikuti spasi dan dengan ekstensi .EXE, demikian juga
halnya dengan .XLS).
24. Brontok juga menghapus file: C:\!submit\winword.exe,
c:\submit\xpshare.exe,c:\windows\systray.exe, %windir%\systray.exe, %windir
%\fonts\tskmgr.exe, c:\windows\rundll32.exe. Masih ada beberapa file lagi yg
dihapus Brontok ini (saya tidak melanjutkan analisis penghapusan file sampai di
sini).
Perkembangan Versi Brontok
Karena saya hanya punya versi awal dan versi akhir, saya tidak bisa membuat
perbandingan bertahap, tapi ini perkembangan pentingnya:

Versi awal Versi akhir

Memakai VB6, dikompilasi Memakai VB6, dikompilasi menjadi native code.
menjadi PCode. Mudah di bongkar. Lebih sulit dibongkar.
EXE "telanjang". Ukuran sekitar 80 EXE dipack dengan MEW 11.2. Ukuran sekitar 40
Kb. Kb.
Key Registry tetap, bisa memakai
Key Registry ada yang variabel, sehingga perlu
file .inf untuk membereskan
pembersihan manual.
registry.
Tidak berjalan di safe mode. Berjalan di safe mode.
Mendownload update dari URL
Mendownload update dari URL yang berubah,
tetap. File yang didownload tidak
dengan pemeriksaan terhadap file yang didownload.
dicek.
Menggunakan banyak konstanta Menggunakan banyak string yang di-split untuk
string. mengurangi konstanta.
Enkripsi sederhana. Enkripsi lebih berbelit-belit.
Membuat aneka macam file, ada yang namanya tetap
Nama file tetap. dan ada yang namanya random (berdasarkan waktu
aktivasi brontok).
Enkripsi pada Brontok

Agar isi string pada Brontok tidak terlihat dengan mudah, String pada Brontok dienkripsi.
Versi pertama memanfaatkan enkripsi yang sangat lemah, yaitu pergeseran huruf
sebanyak 3 (A menjadi D, B menjadi E, dst) cara ini sangat mudah dijebol karena
merupakan enkripsi kuno yang sudah ada sejak jaman Julius Caesar (enkripsi ini disebut
juga dengan Caesar Chiper), namun versi terbaru menggunakan monoalphabetic
substitution chiper, bahkan substitusi dilakukan dua kali.

Brontok menggunakan cara yang agak berbelit-belit dalam mengenkripsi dan

mendekripsi stringnya, prosedur dekripsi pada Brontok yang telah saya sederhanakan
dalam C dapat dilihat pada listing di bawah ini. (Prosedur aslinya lebih berbelit-belit
karena tabel dibuat on-the-fly alias pada runtime dengan suatu prosedur khusus dengan
banyak loop).

/*dekriptor string Brontok*/

/*Copyright (c) 2006 Yohanes Nugroho*/
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
/*input dari stdin akan didekrip ke stdout*/
int main()
{
char buff[1000];
int i;
char *tab1="/[ 4ysmga|&!VPJD.?93xrlf{+^~UOIC,>82wqke\\_
%ZTNHB'<71vpjd="
")$YSMGA;]:}650zutonihcb-`(*#@XWRQLKFE\"";
char *tab2="ABCDEFGHIJKLMNOPQRSTUVWXYZ~!@#$%^&*()_+|`-=\\
{abcdefghijkl"
"mnopqrstuvwxyz0123456789 }:<>?[];',./";
while (fgets(buff, sizeof(buff), stdin)) {
for (i = 0; i<strlen(buff)-1; i++){
int c = (int) (strchr(tab1, buff[i])-tab1);
if (c<0) continue;
printf("%c", tab2[c]);
}
printf("\n");
}

return 0;
}