cracker

 



Hacker dengan keahliannya dapat melihat & memperbaiki kelemahan perangkat 

lunak di komputer; biasanya kemudian di publikasikan secara terbuka di Internet 

agar sistem menjadi lebih baik. Sialnya, segelintir manusia berhati jahat 

memakai  informasi ini  untuk kejahatan - mereka biasanya disebut 

cracker. Pada dasarnya dunia hacker & cracker tidak berbeda dengan dunia seni, 

disini kita berbicara seni keamanan jaringan Internet.

Saya berharap ilmu keamanan jaringan di tulisan ini digunakan untuk hal-hal yang 

baik - jadilah Hacker bukan Cracker. Jangan sampai anda terkena karma sebab  

memakai  ilmu untuk merusak milik orang lain. Apalagi, pada saat ini kebutuhan

akan hacker semakin bertambah di negara kita  dengan semakin banyak dotcommers 

yang ingin IPO di berbagai bursa saham. Nama baik & nilai sebuah dotcom bisa jatuh

bahkan menjadi tidak berharga jika dotcom di bobol. Dalam kondisi ini, para hacker 

di harapkan bisa menjadi konsultan keamanan bagi para dotcommers ini  - 

sebab  SDM pihak kepolisian & aparat keamanan negara kita  amat sangat lemah & 

menyedihkan di bidang Teknologi Informasi & Internet. Apa boleh buat cybersquad, 

cyberpatrol swasta barangkali perlu di budayakan untuk survival dotcommers 

negara kita  di Internet.

Berbagai teknik keamanan jaringan Internet dapat di peroleh secara mudah di 

Internet antara lain di http://www.sans.org, http://www.rootshell.com, 

http://www.linuxfirewall.org/, http://www.linuxdoc.org, 

http://www.cerias.purdue.edu/coast/firewalls/, 

http://www.redhat.com/mirrors/LDP/HOWTO/. Sebagian dari teknik ini berupa buku-

buku yang jumlah-nya beberapa ratus halaman yang dapat di ambil secara cuma-

cuma (gratis). Beberapa Frequently Asked Questions (FAQ) tentang keamanan 

jaringan bisa diperoleh di http://www.iss.net/vd/mail.html, http://www.v-

one.com/documents/fw-faq.htm. Dan bagi para experimenter beberapa script / 

program yang sudah jadi dapat diperoleh antara lain di http://bastille-

linux.sourceforge.net/, 

http://www.redhat.com/support/docs/tips/firewall/firewallservice.html.

Bagi pembaca yang ingin memperoleh ilmu tentang jaringan dapat di download 

secara cuma-cuma dari http://pandu.dhs.org, http://www.bogor.net/idkf/, 

http://louis.idaman.com/idkf. Beberapa buku berbentuk softcopy yang dapat di 

ambil gratis dapat di ambil dari http://pandu.dhs.org/Buku-Online/. Kita harus 

berterima kasih terutama kepada team Pandu yang dimotori oleh I Made Wiryana 

untuk ini. Pada saat ini, saya tidak terlalu tahu adanya tempat diskusi negara kita  

yang aktif membahas teknik-teknik hacking ini - tetapi mungkin bisa sebagian di 

diskusikan di mailing list lanjut seperti kursus-linux@yahoogroups.com & linux-

admin@linux.or.id yang di operasikan oleh Kelompok Pengguna Linux negara kita  

(KPLI) http://www.kpli.or.id.

Cara paling sederhana untuk melihat kelemahan sistem yaitu  dengan cara mencari 

informasi dari berbagai vendor misalnya di 

http://www.sans.org/newlook/publications/roadmap.htm#3b tentang kelemahan 

dari sistem yang mereka buat sendiri. Di samping, memonitoring berbagai mailing 

list di Internet yang berkaitan dengan keamanan jaringan seperti dalam daftar 

http://www.sans.org/newlook/publications/roadmap.htm#3e.

Dijelaskan oleh Front-line Information Security Team, "Techniques Adopted 

By 'System Crackers' When Attempting To Break Into Corporate or Sensitive Private 

Networks," fist@ns2.co.uk http://www.ns2.co.uk. Seorang Cracker umumnya pria 

usia 16-25 tahun. berdasar  statistik pengguna Internet di negara kita  maka 

sebetulnya mayoritas pengguna Internet di negara kita  yaitu  anak-anak muda pada 

usia ini juga. Memang usia ini yaitu  usia yang sangat ideal dalam menimba ilmu 

baru termasuk ilmu Internet, sangat disayangkan jika kita tidak berhasil 

menginternetkan ke 25000 sekolah negara kita  s/d tahun 2002 - sebab  tumpuan hari

depan bangsa negara kita  berada di tangan anak-anak muda kita ini.

Nah, para cracker muda ini umumnya melakukan cracking untuk meningkatkan 

kemampuan / memakai  sumber daya di jaringan untuk kepentingan sendiri. 

Umumnya para cracker yaitu  opportunis. Melihat kelemahan sistem dengan 

mejalankan program scanner. sesudah  memperoleh akses root, cracker akan 

menginstall pintu belakang (backdoor) dan menutup semua kelemahan umum yang 

ada.

Seperti kita tahu, umumnya berbagai perusahaan / dotcommers akan memakai  

Internet untuk (1) hosting web server mereka, (2) komunikasi e-mail dan (3) 

memberi  akses web / internet kepada karyawan-nya. Pemisahan jaringan 

Internet dan IntraNet umumnya dilakukan dengan memakai  teknik / software 

Firewall dan Proxy server. Melihat kondisi penggunaan di atas, kelemahan sistem 

umumnya dapat di tembus misalnya dengan menembus mailserver external / luar 

yang digunakan untuk memudahkan akses ke mail keluar dari perusahaan. Selain 

itu, dengan memakai  agressive-SNMP scanner & program yang memaksa SNMP

community string dapat mengubah sebuah router menjadi bridge (jembatan) yang 

kemudian dapat digunakan untuk batu loncatan untuk masuk ke dalam jaringan 

internal perusahaan (IntraNet).

Agar cracker terlindungi pada saat melakukan serangan, teknik cloacking 

(penyamaran) dilakukan dengan cara melompat dari mesin yang sebelumnya telah 

di compromised (ditaklukan) melalui program telnet atau rsh. Pada mesin perantara 

yang memakai  Windows serangan dapat dilakukan dengan melompat dari 

program Wingate. Selain itu, melompat dapat dilakukan melalui perangkat proxy 

yang konfigurasinya kurang baik.

sesudah  berhasil melompat dan memasuki sistem lain, cracker biasanya melakukan 

probing terhadap jaringan dan mengumpulkan informasi yang dibutuhkan. Hal ini 

dilakukan dengan beberapa cara, misalnya (1) memakai  nslookup untuk 

menjalankan perintah 'ls <domain or network>' , (2) melihat file HTML di webserver 

anda untuk mengidentifikasi mesin lainnya, (3) melihat berbagai dokumen di FTP 

server, (4) menghubungkan diri ke mail server dan memakai  perintah 'expn 

<user>', dan (5) mem-finger user di mesin-mesin eksternal lainnya.

Langkah selanjutnya, cracker akan mengidentifikasi komponen jaringan yang 

dipercaya oleh system apa saja. Komponen jaringan ini  biasanya mesin 

administrator dan server yang biasanya di anggap paling aman di jaringan. Start 

dengan check akses & eksport NFS ke berbagai direktori yang kritis seperti 

/usr/bin, /etc dan /home. Eksploitasi mesin melalui kelemahan Common Gateway 

Interface (CGI), dengan akses ke file /etc/hosts.allow.

Selanjutnya cracker harus mengidentifikasi komponen jaringan yang lemah dan bisa 

di taklukan. Cracker bisa mengunakan program di Linux seperti ADMhack, mscan, 

nmap dan banyak scanner kecil lainnya. Program seperti 'ps' & 'netstat' di buat 

trojan (ingat cerita kuda troya? dalam cerita klasik yunani kuno) untuk 

menyembunyikan proses scanning. Bagi cracker yang cukup advanced dapat 

mengunakan aggressive-SNMP scanning untuk men-scan peralatan dengan SNMP.

sesudah  cracker berhasil mengidentifikasi komponen jaringan yang lemah dan bisa di

taklukan, maka cracker akan menjalan program untuk menaklukan program daemon

yang lemah di server. Program daemon yaitu  program di server yang biasanya 

berjalan di belakang layar (sebagai daemon / setan). Keberhasilan menaklukan 

program daemon ini akan memungkinkan seorang Cracker untuk memperoleh akses 

sebagai 'root' (administrator tertinggi di server).

Untuk menghilangkan jejak, seorang cracker biasanya melakukan operasi 

pembersihan 'clean-up' operation dengan cara membersihkan berbagai log file. Dan 

menambahkan program untuk masuk dari pintu belakang 'backdooring'. Mengganti 

file .rhosts di /usr/bin untuk memudahkan akses ke mesin yang di taklukan melalui 

rsh & csh.

Selanjutnya seorang cracker dapat memakai  mesin yang sudah ditaklukan 

untuk kepentingannya sendiri, misalnya mengambil informasi sensitif yang 

seharusnya tidak dibacanya; mengcracking mesin lain dengan melompat dari mesin 

yang di taklukan; memasang sniffer untuk melihat / mencatat berbagai trafik / 

komunikasi yang lewat; bahkan bisa mematikan sistem / jaringan dengan cara 

menjalankan perintah 'rm -rf / &'. Yang terakhir akan sangat fatal akibatnya sebab  

sistem akan hancur sama sekali, terutama jika semua software di letakan di 

harddisk. Proses re-install seluruh sistem harus di lakukan, akan memusingkan jika 

hal ini dilakukan di mesin-mesin yang menjalankan misi kritis.

Oleh sebab  itu semua mesin & router yang menjalankan misi kritis sebaiknya selalu 

di periksa keamanannya & di patch oleh software yang lebih baru. Backup menjadi 

penting sekali terutama pada mesin-mesin yang menjalankan misi kritis supaya 

terselamatkan dari ulah cracker yang men-disable sistem dengan 'rm -rf / &'.

Bagi kita yang sehari-hari bergelut di Internet biasanya justru akan sangat 

menghargai keberadaan para hacker (bukan Cracker). sebab  berkat para hacker-

lah Internet ada dan dapat kita nikmati seperti sekarang ini, bahkan terus di perbaiki

untuk menjadi sistem yang lebih baik lagi. Berbagai kelemahan sistem di perbaiki 

sebab  kepandaian rekan-rekan hacker yang sering kali mengerjakan perbaikan tsb. 

secara sukarela sebab  hobby-nya. Apalagi seringkali hasil hacking-nya di sebarkan 

secara cuma-cuma di Internet untuk keperluan masyarakat Internet. Sebuah nilai & 

budaya gotong royong yang mulia justru tumbuh di dunia maya Internet yang 

biasanya terkesan futuristik dan jauh dari rasa sosial.

Pengembangan para hobbiest hacker ini menjadi penting sekali untuk 

keberlangsungan / survival dotcommers di wahana Internet negara kita . Sebagai salah

satu bentuk nyatanya, dalam waktu dekat Insya Allah sekitar pertengahan April 

2001 akan di adakan hacking competition di Internet untuk membobol sebuah server

yang telah di tentukan terlebih dahulu. Hacking competition ini  di motori oleh 

anak-anak muda di Kelompok Pengguna Linux negara kita  (KPLI) Semarang yang 

digerakan oleh anak muda seperti Kresno Aji (masaji@telkom.net), Agus Hartanto 

(hartx@writeme.com) & Lekso Budi Handoko (handoko@riset.dinus.ac.id). Seperti 

umumnya anak-anak muda lainnya, mereka umumnya bermodal cekak - bantuan & 

sponsor tentunya akan sangat bermanfaat dan dinantikan oleh rekan-rekan muda 

ini.

Mudah-mudahan semua ini akan menambah semangat pembaca, khususnya 

pembaca muda, untuk bergerak di dunia hacker yang mengasyikan dan menantang. 

Kalau kata Captain Jean Luc Picard di Film Startrek Next Generation, "To boldly go 

where no one has gone before".

Seorang Hacker Remaja Membobol Kartu Kredit Bill 

Gates    

Sumber : CNN  

Seorang hacker remaja telah memakai  kartu kredit Bill Gates untuk memesan dan 

mengirimkan Viagra untuk Bill Gates. 

Raphael Gray, 19 tahun, menyatakan dirinya sebagai 'orang suci dari e-commerce', 

sesudah  meng-hack perusahaan US, Canada dan Inggris untuk mengekspose lubang di 

Internet. Perbuatannya menyebabkan satu perusahaan keuangan menderita kerugian yang 

sangat besar. Gray diperintahkan untk menjalani pengobatan percobaan untuk gangguan 

mental selama 3 tahun. 

Gray, yang dituntut atas perbuatannya yang merugikan sebab  dia berhasil mendapatkan 

23,000 kartu kredit dari berbagai perusahaan yang dihack olehnya salah satunya yaitu 

kartu kreditnya Bill Gates, yang kemudian Gray memesan dan mengirimkan Viagra 

kepada Bill dengan kartu kreditnya. 

Hakim Gareth davies diberitahu bahwa Gray dicurigai menderita gangguan mental dan 

minder yang kronis sejak kecil, yang memberi  kontribusi atas apa yang dilakukannya 

ini di Internet. Dan berdasar catatan medis, bahwa 4 tahun yang lalu Gray pernah jatuh 

dan membentur kepalanya. 

Pembelanya mengatakan bahwa sebab  sebab itulah yang mengakibatkan perbuatannya 

di Internet. Gray menyatakan penyesalannya bukan pada apa yang dilakukannya tetapi 

caranya, dan dia mengatakan di lain kesempatan dia akan melakukannya lagi tapi secara 

legal. 

Polisi membutuhkan waktu sebulan untuk melacak sang hacker sampai ke rumahnya di 

Clynderwen, Carmarthen, sebelah barat Wales dan ditangkap oleh FBI pada bulan Maret 

tahun lalu. Pesan pesan yang ditinggalkan di situs yang dihack olehnya berisi antara 

lain:" I'm for e-commerce when concluded in a secure and sensible manner but this is a 

rare thing. Most companies put some kind of page together and wait for the money to roll

in. These people are the criminals." Dan pesan lainnya "If your site is broken into, you 

should spend more time asking why and not who." Apakah anda setuju dengan 

pernyataan ini ?? Jika Ya, maka anggap sebuah situs diibaratkan dengan sebuah rumah, 

di mana seseorang mencoba membobol rumah itu dengan berbagai peralatan, apakah 

anda masih tetap menjawab ya ? 

Jadi Hacker Tidak Perlu Pintar

Zaman dulu, hacker identik dengan pecandu komputer yang suka begadang sampai pagi, 

coba berbagai cara untuk mencari kelemahan keamanan sebuah sistem. Stereotipe ini 

mungkin akan jadi karakter di film saja sebab  untuk menembus lubang keamanan, cukup

sedia beberapa ratus dolar saja.

Anda tidak perlu belajar bertahun-tahun tentang TCP/IP, server side scripting atau cara 

kerja jaringan untuk melakukan infeksi terhadap komputer seeseorang. Cukup sediakan 

$700 dan beli satu skrip bernama Mpack, maka semua tugas itu akan dilakukannya. 

Bayangkan, bulan juni lalu 80,000 website dikerjain oleh kode-kode yang berhubungan 

dengan Mpack. Dalam satu serangan. Dan tentu, tidak diperlukan keahlian teknis untuk 

mengoperasikannya. Anda cukup tahu di mana membelinya.

Program ini juga menawarkan update secara regular, guna mengetahui kebocoran-

kebocoran program yang terbaru. Menurut Paul Henry dari Secure Computing, jumlah 

perangkat hacking yang didownload meningkat hingga lebih dari 68,000 download. 

Program-program seperti Mpack, Shark2, Nuclear, Web Attacker dan IcePack dapat 

dibeli, sehingga memberi fasilitas kepada siapa saja yang membutuhkan. Anak-anak, 

jangan mencoba ini di rumah!

Bagaimana mengamankan situs web Anda dari Mpack? Meskipun beberapa perusahaan 

antivirus sedang bekerja keras untuk riset kelakuan Mpack ini, tapi tentu pembuatnya 

juga melakukan riset untuk mencari cara yang lain. Berikut beberapa tips sederhana 

untuk mengurangi resiko Mpack.

 Mpack dapat menjalankan exploitnya jika Anda belum melakukan update (patch),

jadi pastikan program Anda memperoleh upgrade keamanan secara reguler.

 Sebagian besar aplikasi akan melakukan update secara otomatis jika Anda 

mengijinkannya. Pastikan ini semua berjalan.

 Ganti secara reguler password Anda. Hindari menginstal aplikasi web pada folder 

default, dan tentu saja, update aplikasi Anda dengan versi terakhir.

 Coba layanan yang melaporkan jika ada perubahan terhadap website Anda 

(seperti changenotes.com). Kalau sempat, cek rutin setiap hari jika ada trafik yang

berlebihan di web Anda.

Computer Kung Fu For Beginners

- White Belt Edition

by Dave Thompson

What is Computer Kung Fu?

Computer Kung Fu is the term 'hip' computer people use to describe a knowledge of 

computers and their mysterious ways. Having good 'Kung Fu' is the ultimate goal for many 

computer users and this normally means years of trial and error, study, sweat and tears. Now 

you can fast track your way to good Kung Fu without the hassle of all that other stuff. 

Computer Kung Fu For Beginners - White Belt Edition is the new book from computer tech 

Dave Thompson. Written especially for people who have outgrown 'idiots' type guides and who

already know the basics, Computer Kung Fu For Beginners - White Belt Edition aims to 

educate computer users about just what does make a computer tick in terms anyone can 

understand. Throw in a few tweaks and a little social commentary for good measure and you 

have an entertaining yet educational read. 

If you are the type of user that wants to know what all that clicking, beeping and whirring 

going on inside your computer case is and what it means, this book is for you. If you want to 

start down the road to complete computer and Windows customisation, this is the book for 

you.

Check out the preview on the next page, and if you like what you read there are 200 more 

pages of in-depth (yet ridiculously easy to understand) explanations of all types of hardware, 

software, chat-room jargon and a glossary of commonly used computer acronyms. You can 

buy online by clicking the 'Order' link. Cost is $US18.00 (inc. postage) and we ship anywhere 

in the world. 

The following is an excerpt from the introduction:

Computer Kung Fu For Beginners - White Belt Edition

How many of us have picked up a book about computers only to put it right back down again 

because we couldn't even understand the title? Who among us haven't seen the monster sized

books on the shelf at any computer book store, books so big that it is unlikely even Arnold 

Schwarzenegger could pick them up? What can they possibly put in those books to make them

so big? The answer is, not much. Not much at least for the average computer user. The 

problem is that computer book authors want to impress other computer book authors with; 

a) Their seemingly endless knowledge of computer factoids and

b) How big theirs is compared to the other guy’s (books).

The truth be known we could probably take any one of those books (after a few weeks at the 

gym of course) and open it up to find huge tracts of data almost identical to all of the other 

books out there. In fact, we could probably open the same book a few hundred pages apart 

and find the same information presented in a slightly different way. The authors apparently do

this because they know that of all the readers who start the book, very few will actually wade 

through to the end, and by then they would have forgotten what they read a thousand pages 

of geek-speak ago anyway. Why? It’s all about shelf space. The more shelf space they take, 

the more browsing customers will be subliminally manipulated into buying them. More than a 

few computer buffs have arrived home from the local book store with a brand new 2 Kilogram 

(Kg) copy of “Troubleshooting IP Routing Protocols and Network Subnet Requirements For 

Cisco Transponders” without any idea of what an IP Routing Protocol is, let alone wanting to 

troubleshoot one. It appears there is a massive pool of computer related information sitting in 

an archive somewhere just ready to copy and paste (more on that later) into any new work on

the subject (most likely churned out by thousands of computer-school graduates in 

sweatshops throughout Asia). This coupled with the fact that the authors know that most 

readers out there will either not understand a word of it, or vaguely understand it but have no 

way of actually verifying if there is any real substance to it. And what do they care? They have

already sold a gazillion copies and are busy hunting for more data to put in their next 'fully 

updated' version. Never mind that most of these books will end up propping up wonky desks 

or computer monitors within a few months of release anyway, the whole point is to generate 

huge books, huge profits and keep the technology train rolling.

By definition, computer books tend to be either extremely simplistic, (This is Spot's new 

computer. See how Spot can make a line of .......) or extremely complex, (Technology used in 

high speed fibre optic connections at SuperJANET sites - in practice a 140Mb/s link carved up 

into 4x34 Mb/s "tributaries"). Your local computer courses suffer the same fate. They either 

teach the real basics (This is the On Switch. This makes the little green light go on  ...) or they

race through the syllabus and expect the students to keep up. The problem is that computers 

are very complicated devices. There are many ways of doing exactly the same thing and 

everybody has a way they like best. What one person finds intuitive, another may find mind 

bogglingly complicated. At the end of the day most computer users want to be able to fire up 

their machine, do what they want to do and be able to shut it down again without being afraid 

of doing something wrong. Many of us take lessons only to find that the tutor covers what we 

already know, or forge ahead and we leave none-the-wiser, though normally all-the-poorer. 

Or if we go to the free classes, the teacher-student ratio looks more like the odds on Hayley 

Joel Osment knocking out Mike Tyson in the third round. The thing is, most guys want to know

about computers; what makes them tick and, more importantly, how to pull them apart and 

put them back together again without having bits left over and a message on the screen 

saying “Disk Boot Error – Please Insert Boot Disk”. The aim of this book is to give the average 

computer user an insight into the jargon filled world of computers, put in a way that anyone 

can understand. You Übertechs and power-geeks out there may find this book simplistic and 

shallow (it's my style!) and rightly so, it is just the way I intended it to be. The opinions herein

are my own and any anecdotes or stories thrown in are either 'swear-to-whatever-God-you-

worship' true, told to me by people who might or might not know what they are talking about 

or purely fictitious, concocted by an under-active mind as fodder to fill out the pages. Just 

which ones are which I will leave up to your obviously fine judgment!

Tips Mengatasi Virus Worm

Bila komputer anda terserang virus jenis WORM ( yang anda terima melalui EMAIL 

atau INTERNET), virus ini akan segera menyebar kembali dengan cara mengirim 

EMAIL ke semua alamat yang ada pada ADDRESS BOOK anda.

Cara mudah untuk pencegahan penyebaran virus ini:

Pada Outlook Express  :

1. Klik File pilih  NEW ->  CONTACT.

2. Pada menu name di kolom FIRST dan LAST NAME ketik "0000" ( nol nol nol nol ).

3. JANGAN mengisi ALAMAT EMAIL apapun, biarkan kosong.

4. Lalu Klik OKE.

5. Pastikan bahwa Alamat Email yang baru ini ada pada URUTAN PERTAMA.(dikolom 

contact sebelah kiri, 0000 0000 ada di paling atas)

6. Selesai.

Pada Eudora  :

1. Klik Tools -> Address Book ( tekan Ctrl dan L bersamaan )

2. Klik New .

3. Pada kolom First Name isi 0000 dan di kolom Last Name isi 0000

4. Alamat e-mail dan yang lainnya dikosongkan saja.

5. Close address book lalu Save address book.

6. Selesai.

Bila pada suatu saat komputer anda ter INFEKSI VIRUS WORM, virus ini akan 

mengirim email ke semua alamat, yang tentu saja nama "00000000" ini yang 

pertama akan dikirim.

Otomatis pengiriman email akan terhenti (ERROR) sebab  tidak ada Email Address 

nya. Sekaligus juga anda akan TAHU bahwa komputer anda terserang virus, sebab  

komputer akan memberi  pesan ERROR.

 

Menghapus Virus Pendekar Blank Tanpa   AntiVirus  

Membuat FlashDisk Aman dari Serangan Autorun   Virus  

Tentunya teman2 semuanya sudah mengetahui bhw virus2 dapat menularkan dirinya ke 

komputer2 lain dengan media flashdisk. -.-“. Kesal? Sudah pasti! Saya juga merasakan 

perasaan yang sama ketika komputer saya juga ikut2an kena virus… tapi saya punya cara

yang ampuh agar virus yang ada di flashdisk ini  tidak dapat menularkan dirinya ke 

komputer lain..

Baiklah saya akan mulai membahasnya sekarang, diawali dengan cara penularan virus 

lewat media flashdisk. Sebenarnya sangat simple, ketika flashdisk dicolokan kedalam 

port usb virus yang sedang berjalan tinggal men-copy dirinya sendiri ke dalam flashdisk, 

dan tidak lupa pula dengan membuat file “autorun.inf” yang letak file-nya kasat mata 

sehingga tidak dapat dilihat. nah… file inilah yang akan kita edit agar virusnya tidak 

dapat menjalankan dirinya di komputer kita.

Cara yang pertama dengan mengedit secara manual dengan memakai  notepad atau 

wordpad. Diasumsikan flashdisk kita yang telah dicolokan kedalam komputer (yang telah

terinfeksi) beralamat “F:\”, maka saya akan mencoba membuka file “F:\autorun.inf” lalu 

enter. Lalu notepad akan terbuka secara otomatis dengan beberapa mantra didalamnya, 

sesudah  itu kita tinggal mengedit mantra ini  dengan memblock semua mantra 

ini (ctrl+a) lalu hapus(backspace atau del) lalu anda bisa membiarkannya kosong lalu

tekan ctrl+s untuk men-savenya. Anda juga bisa menuliskan beberapa puisi indah tentang

perdamaian didalamnya ^-^.

Tetapi bang blckflcn, bagaimana jika file ini  memiliki attribute “read-only”? yang 

jelas kita tidak dapat mengeditnya secara manual!(aaaaarrrrrgh!!!!). Lalu? Apa yang 

dapat kita lakukan… bang blckflcn? Gigi dibalas dengan gigi, mata dibalas dengan mata, 

dan yah… anda benar! MANTRA juga DIBALAS DENGAN MANTRA!! Mantranya 

sangatlah mudah… saya akan membahasnya secara bertahap sekarang juga :

1)buka aplikasi notepad (tempat dimana kita akan menulis mantra)

2)tuliskan mantra “del /a:r f:\autorun.inf” (tnp tanda petik) lalu enter.

3)langkah selajutnya yaitu  tulis mantra lagi! Mantranya “echo ‘terserah tulisan apa’ 

>f:\autorun.inf&attrib +r f:\autorun.inf” (tnp tanda petik juga).

4)lalu save file mantra ini  dengan nama file terserah anda dan path-nya terserah 

anda juga, tetapi extension-nya harus “.bat”(harus tidak boleh tidak)

5)lalu jalankan file mantra yang baru kita buat ini 

6)buka explorer

7)pada bagian address tuliskan “F:\autorun.inf”, lalu tekan enter sambil mengucapkan 

“sim…salabim…”. Maka aplikasi notepad akan muncul lagi sambil menampilkan 

beberapa tulisan, tetapi yang ini jelas bukan mantra ^-^.

sesudah  beberapa step tadi, virus tidak dapat menjalankan dirinya di komputer lain ketika 

kita mencolokan flashdisk kita kedalam port usb-nya. Tetapi bang blckflcn, virus2 dari 

komputer yang terinfeksi ini  masih ada di dalam flashdisk saya. Bagaimana ini? 

Yah, itu sih bukan tugas saya lagi. Itu sih sudah menjadi tugas anti-virus… saya hanya 

memberitahukan cara agar virusnya tidak berjalan ketika flashdisk kita dicolokan 

kedalam port usb pada komputer yang lain… lagian mantra yang saya punya masih 

belum begitu ampuh untuk membuat virus tidak berjalan di komputer. Oleh sebab  itu, 

saya akan belajar tentang mantra2 ini  di hogwarts agar lebih ampuh. Hehehe… ^-^.

Okeh… sekian saja info2 dan mantra2 yang saya jabarkan. (krn sdh tidak tahu lagi harus 

menjabarkan mantra yang mana ^-^)

Bersihin Virus AUTORUN, WRITE PROTECT, DOC jadi EXE (5 

menit)

Temen sejawatku kemaren minta bantuin bersihin virus di flashdisknya. Koq gitu aja 

susah banget. Padahal seluruh komputer yang berada di bawah pengawasanku, kan ada 

antivirusnya. Pasti “oleh-oleh” dari luar kantor.

Eh…. ternyata…..

Emang gak bisa di delete, soalnya flashdisknya jadi memiliki status “Write protect” alias 

gak bisa dihapus (sekaligus jadi ngak bisa diformat). Setiap kali mau operasi tulis ke 

flashdisk akan muncul tulisan

Windows - Write Protect Error

The disk cannot be written to because it is write protected. Please remove the write 

protection from the volume XXXX in drive

\Device\Harddisk1\DRX [X nya angka]

CANCEL - TRY AGAIN - CONTINUE

MENI GEULEUH…..

Selidik punya selidik gejalanya

1. Ada file autorun.inf (memiliki attribut hidden dan read-only), yang isinya :

[autorun]

autorun = launch.exe

icon =1.ico

Meni geuleuh…..

Terpaksa deh mantranya keluar….. sebentar, abang dukun jampi-jampi dulu (menyem, 

menyem, menyem, he he he)

1. Matikan dulu fungsi autorun.inf-nya. Atau bunuh si autorun.inf

tapi ngak bisa delete, sebab  read only.

Wahai DOS, zaman fir’aun. Kembalilah engkau padaku….. he he he

mantranya gini, masuklah ke DOS Prompt….lewat START | ALL PROGRAMS | 

ACCESSORIES | COMMAND PROMPT

Tuliskan di situ : [Ganti setiap f:\ jadi nama drive di mana flashdisk bervirus bercokol, 

misalnya jadi E:\]

C: [Tekan ENTER DI KEYBOARD]

CD\ [Tekan ENTER DI KEYBOARD]

COPY CON ANTIAUTORUN.BAT [Tekan ENTER DI KEYBOARD]

del /a:r f:\autorun.inf [Tekan ENTER DI KEYBOARD]

echo ‘terserah tulisan apa’ >f:\autorun.inf&attrib +r f:\autorun.inf [TEKAN ENTER DI 

KEYBOARD]

[TEKAN TOMBOL CTRL+Z DI KEYBOARD]

Sekarang ramuan mantranya udah jadi. Coba lihat ramuan mantranya pake windows-

explorer di drive C:\ ada file ANTIAUTORUN.BAT

Double click deh file ANTIAUTORUN.BAT ini . Biarkan ramuan mantra 

bekerja…..

nah sekarang lihat lagi file AUTORUN.INF-nya

isinya jadi :

[autorun]

icon =1.ico

Halah, hilang deh LAUNCH-nya.

Tapi hati-hati, virusnya masih ada.

Untuk urusan ini, serahkan aja kepada antivirus yang sudah di update

Restart kompie-nya

Scan deh pakai antivirus yang sudah di update

Selesai dehh…….

Gimana cara autorun ngak berfungsi (maksudnya utk jaga-jaga di masa yang akan datang

….)

Hal-hal aneh seputar Brontok

Pencipta virus Brontok diduga dari Institut Teknologi Bandung (ITB), tapi ternyata tidak 

ada bukti mengenai hal itu kecuali mengenai laporan bahwa virus mulai menyebar di 

ITB. Virus ini mengupdate dirinya dari suatu situs di Internet, tapi anehnya hanya satu 

analisis yang menyebutkan hal ini . Padahal dengan mengetahui dari URL mana 

virus itu mengupdate dirinya, kita bisa melakukan hal berikut:

 Melacak siapa pemilik situs itu, dan dalam kasus web site gratisan, pihak-pihak 

tertentu (administrator ISP, dll) bisa diminta untuk melacak orang yang 

mendaftarkan situs ini  atau mengakses situs ini  kali pertama 

(kemungkinan besar sang pembuat virus).

 Administrator bisa memblok URL update virus di level proxy atau firewall.

 Dengan melihat log, administrator bisa melacak komputer mana yang terinfeksi 

Brontok.

Satu-satunya analisis lokal yang menyebutkan bahwa virus mengupdate dirinya berasal 

dari sebuah perusahaan antivirus lokal yang menjalin kerja sama dengan sebuah 

perusahaan antivirus luar negeri. Tapi anehnya meski perusahaan ini  mengetahui 

bahwa virus ini  mengupdate dirinya, dia tidak menyebutkan URL updatenya, meski 

sudah saya tanya pribadi melalui email. Apakah perusahaan ini  tidak tahu URLnya? 

(kurang pandai dalam menganalisis virusnya) ataukah mereka sengaja membiarkan agar 

virus berkesempatan mengupdate dirinya dan perusahaannya mendapatkan untung? 

(kedua kemungkinan ini  sama mengkhawatirkannya).

Virus ternyata tidak hanya bisa mengupdate dirinya, tapi juga mendownload daftar file 

yang perlu dihapus sebelum proses update dilakukan, artinya virus yang tadinya hanya 

dianggap mengesalkan ini ternyata bisa berbahaya juga. Dan sebenarnya file update virus

ini bisa saja bukan berisi virus baru, tapi berisi kode untuk memformat komputer Anda.

Virus versi awal hanya menyerang situs 17tahun.com dan israel.gov.il, tapi lama-lama 

mulai menyerang situs lain, seperti www.kaskus.com, dan bahkan situs pribadi (blog) 

seperti fajarweb.com, adakah dendam pribadi oleh pembuat virus ini pada orang tertentu?

Pembuat virus mencantumkan kata-kata ini di virusnya:

!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!

Dan di versi Brontok terbaru, ternyata dia berusaha menghapus virus lokal seperti 

dekil/decoy, kumis, fawn, kangen, dan riyani_jangkaru (pengetahuan saya mengenai 

virus lokal agak minim, jadi dafar ini hanya yang saya ketahui). Penghapusan sebagian 

virus lokal cukup menyeluruh, dengan membunuh task virus, menghapus file virus, dan 

bahkan menormalkan atribut file dokumen yang dibuat menjadi hidden oleh virus lain 

(tapi pembersihan registry yang diubah virus lain tidak dilakukan).

Fakta dan catatan

Beberapa pernyataan dalam artikel ini mungkin akan menimbulkan prasangka tertentu, 

oleh sebab  itu saya ingin memberitahukan beberapa fakta mengenai diri saya:

1. Saat ini saya bukan pengguna Windows lagi meskipun saya masih punya satu 

partisi Windows yang saya gunakan untuk keperluan seperti ini (analisis virus, 

dan mencoba-coba program Windows). Saya tidak menyimpan data di Windows, 

jadi eksperimen semacam ini cukup aman bagi saya. Sehari-hari saya memakai 

Mac OS X di iBook G4, dan GNU/Linux (Fedora Core 4) di AMD64. sebab  

bukan pengguna Windows, mungkin pengetahuan saya sedikit tertinggal dalam 

hal aplikasi-aplikasi yang ada di Windows, tapi pengetahuan teknis low level 

Windows selalu saya update.

2. Saat ini saya tidak bekerja di bisnis security ataupun memiliki bisnis yang 

berhubungan dengan security. Segala macam pernyataan saya terhadap entitas 

bisnis lain tidak dimaksudkan untuk menguntungkan diri saya. Pekerjaan saya 

yaitu  teaching assistant di Jurusan Teknik Informatika Sekolah Tinggi Elektro 

dan Informatika (dulu bagian dari Fakultas Teknologi Industri) Institut Teknologi 

Bandung.

3. Saya bukan cracker, saya bukan orang-orang dari kelompok pembuat virus baik 

kelompok luar negeri maupun negara kita .

4. Saya hanya memiliki Brontok versi lama (contoh Brontok diambil dari salah satu 

lab di ITB), dan versi terbaru (contoh Brontok diambil dari Universitas Negeri 

Jakarta/UNJ), versi di antaranya saya tidak punya.

5. Saya tidak mencantumkan URL aneka tools yang saya pakai, sebab  URL untuk 

tools yang dapat membantu proses cracking biasanya selalu berpindah, gunakan 

Google untuk mencari tools-tools yang saya sebutkan.

6. Saya tidak membuatkan antivirus untuk Brontok ini, silakan Anda gunakan 

antivirus yang sudah ada (saya tidak ingin bersusah payah mengupdate antivirus 

terhadap Brontok yang selalu diupdate, banyak antibrontok yang ada di 

Internet sudah tidak bisa lagi mendeteksi, menghapus, atau menangani 

Brontok versi yang baru). Antivirus yang ada di pasaran dengan update terbaru 

seharusnya sudah cukup. Namun jika Brontok ini makin sulit diberantas, saya 

akan membuatkan antivirus khusus untuk Brontok. Namun saya memberi  

langkah pembersihan Brontok manual yang generik untuk berbagai versi 

Brontok saat ini.

Bagaimana analisis virus dilakukan?

Ada tiga cara untuk menganalisis virus, pertama dengan cara black box, yaitu melihat 

perilaku virus di sebuah lingkungan tertentu, menganalisis isi virus dengan disassembly, 

dan yang ketiga yaitu  dengan melihat jalannya virus dengan debugger. Sayangnya 

kebanyakan orang hanya bisa melakukan analisis cara pertama dan sedikit cara kedua, 

namun tidak menyeluruh.

Black box analysis

Beberapa program tersedia untuk melihat perbedaan state komputer sebelum dan sesudah

program sesuatu dijalankan (termasuk juga sebelum dan sesudah virus dijalankan). Saya 

tidak terlalu percaya dengan program semacam ini, tapi program semacam ini bisa 

menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry apa yang 

dilakukan oleh virus. 

Cara ini mudah namun tidak ampuh, sebab  mungkin saja virus berperilaku aneh setiap 

hari Rabu sementara Anda mengetes di hari Selasa. Mungkin juga program yang dipakai 

untuk mencatat state sistem tidak sempurna sehingga ada perubahan yang tidak tercatat, 

dan ada kemungkinan virus tersisa sesudah  proses analisis selesai. Jika virus cukup 

canggih dan bisa mendeteksi adanya program pemonitor, virus bisa bertingkah laku 

berbeda dari keadaannya yang biasa.

Disassembly dan atau dekompilasi

Program dalam bahasa tertentu (biasanya yang dikompilasi dan diinterpretasi sekaligus, 

misalnya Java atau C#) bisa didekompilasi dengan mudah, artinya "bahasa mesin" yang 

ada pada file exe bisa dikembalikan menjadi source code, tapi program dalam bahasa lain

tidak bisa dikembalikan menjadi source code, hanya bisa menjadi bahasa assembly.

Bahasa assembly sifatnya sangat low level (sangat dekat dengan mesin) sehingga sulit 

dimengerti kecuali dengan kesabaran dan banyak latihan (biasanya dengan bantuan 

debugger juga). Tidak banyak orang yang mau dan bisa melakukan hal ini , tapi 

itulah yang setiap hari dilakukan cracker untuk membuat serial number generator, dan 

mengcrack aneka program (program bajakan yang dipakai oleh banyak orang sekarang 

yaitu  karya cracker).

Melihat jalannya virus dengan debugger

Debugger bisa digunakan untuk menjalankan virus dalam lingkungan yang dapat 

dimonitor. Alur eksekusi, termasuk enkripsi virus bisa dipelajari dengan mudah. 

Penganalisis harus berhati-hati sebab  virus bisa saja memakai  teknik antidebug, 

atau berjalan tidak terkendali. Biasanya teknik analisis ini digabung dengan disassembly.

Pendekatan analisis Brontok

Bagian ini sangat teknis dan boleh di-skip.

Saya tidak melakukan black box analysis (sebab  sudah terlalu banyak orang yang 

melakukannya dengan kesimpulan yang agak ngawur), tapi langsung men-disassemble 

Brontok. Brontok versi pertama dikompilasi menjadi p-code (semacam bytecode pada 

Java) dan cukup mudah dimengerti. Versi Brontok yang baru memakai  native code, 

sehingga lebih sulit dianalisis. Analisis versi pertama tidak akan dibahas.

Sebelum saya menjelaskan proses analisis, saya perlu memberitahukan bahwa telah 

menyalin brontok menjadi beberapa nama yang berbeda sebelum diproses (debug, 

disassemble, dll) oleh program yang berbeda. Tujuan penyalinan yaitu  agar aman bagi 

saya (jangan sampai tidak sengaja menjalankan file exe), dan aman dari kesalahan 

program yang mungkin mengubah salinan Brontok yang saya miliki.

File EXE Brontok dienkripsi dengan program MeW sehingga harus didekrip/ekstrak 

memakai  UnMeW, tapi ini menyebabkan struktur file berubah dan menyebabkan 

program untuk menganalisis executable Visual Basic, misalnya Race, tidak bisa 

mengenali lagi bahwa itu yaitu  file VB. Untungnya salah satu tools untuk membantu 

menganalisis file VB yang bernama VBDE masih bisa mengekstrak sedikit informasi dari

file ini  .

VBDE digunakan untuk mendapatkan informasi dasar file VB

sebab  file memakai  native code, disassembler terbaik yaitu  IDA Pro (saya pakai 

versi freeware), dengan IDA Pro saya bisa melihat cukup banyak hal di Brontok. Tapi 

sayangnya IDA Pro tidak bisa melihat VTABLE Visual Basic (tabel method, ini sangat 

penting dalam kode program yang dikompilasi dari suatu bahasa yang memakai  

objek), dan satu-satunya cara termudah yaitu  menjalankan Brontok.

Pertama sebelum Brontok dijalankan, binary Brontok perlu diedit untuk menonaktifkan 

timer (waktunya diset menjadi 0 agar timer tidak pernah dieksekusi). Pengeditan ini 

dilakukan dengan mengunakan Hex Editor (saya memakai Hexplorer yang gratis), dan 

hal ini memerlukan sedikit coba-coba sampai berhasil. Bagian utama Brontok ada di 

timer, sehingga dengan menonaktifkan timer, Brontok bisa dianalisis dengan aman (tapi 

tetap berbahaya).

Isi file Brontok, terlihat ada beberapa string yang dienkripsi dan yang tidak dienkripsi 

dalam Brontok.

Untuk mendebug, debugger yang saya pakai yaitu  OllyDbg, debugger ini cukup 

canggih dan nyaman dipakai dibanding WinDBG dari Microsoft (dan sama dengan 

WinDBG, program ini gratis). Dengan mencocokkan listing IDAPro dengan OllyDbg 

saya bisa memahami Brontok dengan cukup mudah.

Isi brontok yang didisassembly memakai  IDA Pro.

Langkah terakhir yaitu  dengan merekonstruksi sebagian source code Brontok 

memakai  VB, hal ini dilakukan untuk melihat apakah pemahaman saya sudah benar. 

Jika hasil disassembly dari file VB yang sudah saya buat sama dengan disassembly 

Brontok, maka berarti pemahaman saya sudah benar.

VB memiliki error handling "On Error Resume Next" yang sangat membantu 

pemahaman hasil disassembly. Error handling ini  berarti jika terjadi error maka 

pergilah ke baris berikutnya. Nah komputer perlu tahu di mana lokasi baris berikutnya 

yang harus dieksekusi jika ada error, sehingga informasi ini  disimpan di executable 

file. Dengan berbekal nomor baris itu, saya bisa merekonstruksi dengan cukup tepat 

sampai ke level baris kode.

Karakteristik Brontok

Saya tidak akan memberi  penjelasan panjang lebar mengenai karakteristik Brontok, 

sebab  bagian ini sudah dibahas di banyak situs. Secara singkat, karakteristik Brontok 

yaitu :

1. Brontok memakai  ikon folder standar Windows, Anda yang memakai theme 

aneh/nonstandar akan melihat keanehan ikon ini.

2. Brontok membuat banyak perubahan di registry agar sulit dibersihkan 

(menonaktifkan registry editor, menghilangkan menu folder options, dll). 

Tepatnya, Brontok melakukan perubahan pada nilai di subkey: 

o HKCU\software\microsoft\windows\currentversion\run 

 Nilai Tok-Cirrhatus menjadi path ke Brontok.

 Nilai Tok-Cirrhatus-XXX (xxx yaitu  acak) menjadi path ke 

Brontok yang namanya juga acak.

o HKLM\software\microsoft\windows\currentversion\run 

 Nilai Bron-Spizaetus menjadi path ke Brontok.

 Nilai Bron-Spizaetus-xxx (xxx yaitu  acak) menjadi path ke 

Brontok.

o HKCU\software\microsoft\windows\currentversion\Policies\Explorer\ 

 Nilai NoFolderOptions menjadi 1.

o HKCU\software\microsoft\windows\currentversion\Policies\System\ 

 Nilai DisableCMD menjadi 0.

 Nilai DisableRegistryTools menjadi 1.

o HKCU\software\microsoft\windows\currentversion\explorer\advanced 

 Nilai Hidden menjadi 0.

 Nilai HideFileExt menjadi 1.

 Nilai ShowSuperHidden menjadi 0.

o SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 

 Nilai Shell menjadi Explorer.exe "c:\windows\sembako-

xxx.exe". (xxx yaitu  acak)

o SYSTEM\CurrentControlSet\Control\SafeBoot\ 

 Nilai AlternateShell menjadi cmd-bro-xxx.exe (xxx yaitu  

acak). Perhatian: ternyata Windows akan secara otomatis 

menyalin isi semua key di HKLM, 

SYSTEM\CurrentContolSet\Control\SafeBoot ke HKLM, 

SYSTEM\ContolSet00X\Control\SafeBoot X (dari 1-2) jika 

proses restart dilakukan dengan sukses (atau jika komputer 

dimatikan lalu komputer dinyalakan lagi). 

3. Brontok mengotori banyak direktori dengan salinan dirinya.

4. Brontok menimpa autoexec.bat dengan satu baris "pause", mungkin 

maksudnya menghentikan antivirus yang berjalan di mode DOS yang dijalankan 

dengan autoexec.bat.

5. Brontok membuat banyak item startup agar dijalankan ketika komputer dimulai 

(di start menu dan di aneka tempat di registry). Hal ini berlaku juga dalam safe 

mode (Perhatian perhatian, yang benar yaitu  "SAFE MODE" bukan 

"SAVEMODE").

6. Brontok mengupdate dirinya sendiri dari URL tertentu, tepatnya Brontok ini 

mendownload file exe dari situs tertentu dan mengeksekusinya (bisa saja isinya 

bukan update brontok, tapi kode untuk memformat seluruh isi komputer). 

Pembahasan ada di bagian berikutnya di artikel ini.

7. Brontok memakai  enkripsi untuk menyembunyikan string-string dalam 

dirinya. Enkripsi Brontok juga dibahas pada artikel ini.

8. Brontok mengirimkan dirinya ke alamat email yang ditemukannya, jika alamat 

ini  tidak mengandung string berikut (artinya brontok tidak akan 

mengirimkan dirinya ke Microsoft, perusahaan antivirus, dll): 

SECURE,SUPPORT,MASTER,MICROSOFT,VIRUS,HACK,CRACK,LINUX,

AVG,GRISOFT,CILLIN,SECURITY, 

SYMANTEC,ASSOCIATE,VAKSIN,NORTON,NORMAN,PANDA,SOFT,SPA

M,BLAH, 

.VBS,DOMAIN,HIDDEN,DEMO,DEVELOP,FOO@,KOMPUTER,SENIOR,D

ARK,BLACK,BLEEP,FEEDBACK, 

IBM.,INTEL.,MACRO,ADOBE,FUCK,RECIPIENT,SERVER,PROXY,ZEND,Z

DNET, 

CNET,DOWNLOAD,HP.,XEROX,CANON,SERVICE,ARCHIEVE,NETSCAP

E,MOZILLA,OPERA,NOVELL,NEW 

LOTUS,MICRO,TREND,SIEMENS,FUJITSU,NOKIA,W3.,NVIDIA,APACHE,

MYSQL,POSTGRE,SUN.,GOO 

GLE,SPERSKY,ZOMBIE,ADMIN,AVIRA,AVAST,TRUST,ESAVE,ESAFE,PR

OTECT, 

ALADDIN,ALERT,BUILDER,DATABASE,AHNLAB,PROLAND,ESCAN,HA

URI,NOD32,SYBARI,ANTIGEN,R 

OBOT,ALWIL,BROWSE,COMPUSE,COMPUTE,SECUN,SPYW,REGIST,FR

EE,BUG,MATH, 

LAB,IEEE,KDE,TRACK,INFORMA,FUJI,@MAC,SLACK,REDHA,SUSE,BU

NTU,XANDROS,@ABC,@123,LO 

OKSMART,SYNDICAT,ELEKTRO,ELECTRO,NASA,LUCENT,TELECOM,S

TUDIO,SIERRA,USERNAME,IPTE K,CLICK,SALES,PROMO,.CA.COM Ada

sedikit perbedaan pada email jika email dikirim ke alamat dengan substring 

berikut ("alamat negara kita "): 

PLASA;TELKOM;INDO;.CO.ID;.GO.ID;.MIL.ID;.SCH.ID;.NET.ID;.OR.I

D; 

.AC.ID;.WEB.ID;.WAR.NET.ID;ASTAGA;GAUL;BOLEH;EMAILKU;SA

TU. Perbedaannya pada asal pengirim, jika untuk tujuan negara kita  pengirimnya 

menjadi @boleh.com sedangkan kalau non "alamat negara kita " pengirimnya 

menjadi @friendster.com (pada versi awal Brontok, untuk negara kita  memakai 

@kafegaul.com dan untuk alamat non negara kita  memakai alamat 

@pornstargals.com). (bodohnya isi emailnya tetap sama, dan memakai Bahasa 

negara kita  padahal isinya didownload dari Internet). Perhatian: banyak analisis 

salah yang menyatakan bahwa Brontok tidak mengirimkan dirinya ke 

alamat email di negara kita .

9. Brontok berusaha mendapatkan alamat email korban dengan melakukan parsing 

terhadap file HTML, .HTM,.TXT, .EML, .WAB, dan .PHP yang ditemuinya 

(Brontok mencari semua string xxx@yyy.zzz dalam file).

10. Brontok melakukan koneksi SMTP langsung ketika mengirim email, tapi tidak 

memakai  MX record (Mail eXchanger Record) DNS suatu domain. Jika 

Brontok mengirim ke alamat @yahoo.com, dia akan mencoba memakai SMTP 

server mta237.mail.re2.yahoo.com, sedangkan jika ke domain lain Brontok 

mencari MX/Server SMTP dengan menambah prefix smtp., mail. atau ns1. 

pada domain mail.

11. Brontok Membuat file yang isinya agar semua orang menghentikan kejahatan (bla

bla bla, silakan baca di situs lain jika Anda penasaran dengan isinya).

12. Brontok merestart komputer ketika program tertentu aktif. Pengecekan program 

dilakukan dengan melihat teks Window program terhadap string: 

REGISTRY,SYSTEM CONFIGURATION,COMMAND PROMPT,.EXE,SHUT 

DOWN,SCRIPT HOST,LOG OFF WINDOWS,KILLBOX,TASK, dua string 

terakhir baru ditambahkan untuk mengantisipasi program yang dapat membunuh 

task Brontok, misalnya program HijakThis.

13. Brontok menjadwalkan dirinya agar dijalankan di jam tertentu. Versi awal 

brontok menjadwalkan dirinya hanya pada jam 17:08, tapi versi baru juga 

menjadwalkan eksekusi pada jam 11:03 (keduanya dijadwalkan setiap hari).

14. Brontok berusaha mengakses share di jaringan lokal dan menginfeksinya juga.

15. Brontok memiliki string: By: HVM31 -- Jowobot #VM Community -- 

(Perhatikan kata VM/Virus Maker community ini, mungkin saja HVM31 itu 

punya teman yang tahu tentang ini).

16. Brontok versi lama menyerang (maksudnya ingin melakukan DDOS/Distributed 

Denial of Service attack) situs 17tahun.com dan israel.gov.il dengan ping, 

sedangkan versi baru memakai  HTTP Get untuk menyerang 

www.17tahun.com, www.kaskus.com, dan www.fajarweb.com.

17. Brontok membuat counter di situs debuging.com, URLnya: 

http://debuging.com/WS1/cgi/x.cgi?NAVG=Tracker&username=%64%65%6C

%62%65%6C%62%72%6F (usernamenya yaitu  delbelbro). Saya belum 

mengontak pemilik situs ini . Counter dinaikkan nilainya setiap selesai 

menyerang situs yang ada di daftarnya (www.17tahun.com, www.kaskus.com, 

dan www.fajarweb.com).

18. Brontok membuat file sistem.sys di direktori %windir

%/system32/sistem.sis yang isinya yaitu  kode waktu saat brontok aktif kali 

pertama. Kode ini terdiri atas 2 digit bulan, 2 digit tanggal, 2 digit jam dan 2 digit 

menit. Misal: 01122245 berarti Brontok aktif kali pertama pada 01 = Januari, 17 =

tanggal 17, 22 = jam 1 malamm, 45 = menit ke 45. File ini juga dicopykan ke 

direktori \Documents and Settings\Username\Application Data\ dengan 

nama file BronMes*.ini (bagian * bisa bervariasi).

19. Brontok akan berusaha membunuh paksa beberapa proses (proses yaitu  program

yang berjalan) dengan command taskkill /f /im namaproses. Proses yang 

dibunuh meliputi virus/worm lokal lain, dan sepertinya beberapa antivirus. 

Tepatnya proses yang dibunuh yaitu  

mcvsescn.exe;poproxy.exe;avgemc.exe;ccapps.exe;tskmgr.exe;syslove.exe; 

xpshare.exe;riyani_jangkaru.exe;systray.exe;ashmaisv.exe; 

aswupdsv.exe;nvcoas.exe;cclaw.exe;njeeves.exe;nipsvc.exe;dkernel.exe; 

iexplorer.exe;lexplorer.exe.

20. Brontok akan mengubah atribut file MSVBVM60.DLL yang ada di direktori sistem 

Windows. Atribut file akan diubah menjadi hidden, system, dan read only. Tujuan

langkah ini yaitu  agar lebih sulit menghapus file msvbvm60.dll dari mode DOS 

seperti yang dibahas dalam beberapa website.

21. Brontok akan mendownload file dari sebuah URL acak (lihat bagian update 

Brontok) dan berusaha menimpa file %windir%\system32\drivers\etc\hosts 

dengan file yang didownloadnya. 

22. Jika Brontok menemui file .DOC, .PDF .XLS, dan .PPT maka attributnya akan 

dikembalikan ke normal, sifat ini sepertinya dilakukan untuk mengembalikan 

dokumen yang disembunyikan (dijadikan hidden) oleh virus lain.

23. Brontok berusaha menghapus file dengan substring "kangen", *RORO*.HTT, 

FOLDER.HTT. Jika ekstensi file yaitu  .EXE, maka Brontok juga akan 

menghapus file jika substring file memiliki nama .DOC.EXE;.DOC ;.XLS.EXE;. 

XLS ;PATAH;HATI; CERITA; LUCU;MOVZX;CINTA;UNTUKMU;DATA-

TEMEN;RIYANI;JANGKARU;KANGEN;JROX; 

DIARY;DKERNEL;IEXPLORER;LEXPLORER;ADULTONLY;ASIAN;VIRT

UAL GIRL;X-PHOTOS;BESTMODEL;GAME NUDE;HOT 

SCREEN;HOTBABE; NAKED ;MODEL VG;SEXY ;V-

GIRL7;JAPANESEGIRL;PUISI (perhatikan bahwa Brontok tidak menghapus 

.DOC, tapi .DOC yang diikuti spasi dan dengan ekstensi .EXE, demikian juga 

halnya dengan .XLS).

24. Brontok juga menghapus file: C:\!submit\winword.exe, 

c:\submit\xpshare.exe,c:\windows\systray.exe, %windir%\systray.exe, %windir

%\fonts\tskmgr.exe, c:\windows\rundll32.exe. Masih ada beberapa file lagi yg 

dihapus Brontok ini (saya tidak melanjutkan analisis penghapusan file sampai di 

sini).

Perkembangan Versi Brontok

sebab  saya hanya punya versi awal dan versi akhir, saya tidak bisa membuat 

perbandingan bertahap, tapi ini perkembangan pentingnya:

Versi awal Versi akhir

Memakai VB6, dikompilasi 

menjadi PCode. Mudah di bongkar.

Memakai VB6, dikompilasi menjadi native code. 

Lebih sulit dibongkar.

EXE "telanjang". Ukuran sekitar 80

Kb.

EXE dipack dengan MEW 11.2. Ukuran sekitar 40 

Kb.

Key Registry tetap, bisa memakai 

file .inf untuk membereskan 

registry.

Key Registry ada yang variabel, sehingga perlu 

pembersihan manual.

Tidak berjalan di safe mode. Berjalan di safe mode.

Mendownload update dari URL 

tetap. File yang didownload tidak 

dicek.

Mendownload update dari URL yang berubah, 

dengan pemeriksaan terhadap file yang didownload.

memakai  banyak konstanta 

string.

memakai  banyak string yang di-split untuk 

mengurangi konstanta.

Enkripsi sederhana. Enkripsi lebih berbelit-belit.

Nama file tetap.

Membuat aneka macam file, ada yang namanya tetap 

dan ada yang namanya random (berdasar  waktu 

aktivasi brontok).

Enkripsi pada Brontok

Agar isi string pada Brontok tidak terlihat dengan mudah, String pada Brontok dienkripsi.

Versi pertama memanfaatkan enkripsi yang sangat lemah, yaitu pergeseran huruf 

sebanyak 3 (A menjadi D, B menjadi E, dst) cara ini sangat mudah dijebol sebab  

merupakan enkripsi kuno yang sudah ada sejak jaman Julius Caesar (enkripsi ini disebut 

juga dengan Caesar Chiper), namun versi terbaru memakai  monoalphabetic 

substitution chiper, bahkan substitusi dilakukan dua kali.

Brontok memakai  cara yang agak berbelit-belit dalam mengenkripsi dan 

mendekripsi stringnya, prosedur dekripsi pada Brontok yang telah saya sederhanakan 

dalam C dapat dilihat pada listing di bawah ini. (Prosedur aslinya lebih berbelit-belit 

sebab  tabel dibuat on-the-fly alias pada runtime dengan suatu prosedur khusus dengan 

banyak loop).

/*dekriptor string Brontok*/

/*Copyright (c) 2006 Yohanes Nugroho*/

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

/*input dari stdin akan didekrip ke stdout*/

int main()

{

        char buff[1000];

        int i;

        char *tab1="/[ 4ysmga|&!VPJD.?93xrlf{+^~UOIC,>82wqke\\_

%ZTNHB'<71vpjd="

                   ")$YSMGA;]:}650zutonihcb-`(*#@XWRQLKFE\"";

        char *tab2="ABCDEFGHIJKLMNOPQRSTUVWXYZ~!@#$%^&*()_+|`-=\\

{abcdefghijkl"

                   "mnopqrstuvwxyz0123456789 }:<>?[];',./";

        while (fgets(buff, sizeof(buff), stdin)) {

                for (i = 0; i<strlen(buff)-1; i++){

                        int c = (int) (strchr(tab1, buff[i])-tab1);

                        if (c<0) continue;

                        printf("%c", tab2[c]);

                }

                printf("\n");

        }

        return 0;

}


Lebih baru Lebih lama