Varian terbaru virus lokal kembali muncul, kali ini bernama Rontokbro. Virus ini menyebabkan komputer restart terus-menerus. Bagaimana cirinya?

Rontokbro memiliki metode penyebaran yang berbeda dibanding virus lokal lainnya. Virus lokal sebelumnya, Kangen, Tabaru (Riyani Jangkaru), Lavist atau Kumis, digolongkan sebagai virus kelas 2, mengingat metode penyebarannya yang menggunakan USB Flash Drive. Akan tetapi Rontokbro mematahkan ciri tersebut, dengan memilih metode penyebaran melalui e-mail.

Keberadaan Rontokbro diinformasikan PT Vaksincom, dalam pemberitahuan tertulisnya yang diterima detikinet, Kamis (13/10/2005). Menurut Alfons Tanujaya, spesialis antivirus dari Vaksincom, Rontokbro memiliki kelebihan seperti kemampuan rekayasa sosial yang tinggi.

Virus ini memalsukan ikon dirinya sebagai file 'baik-baik', dapat menyamar sebagai file MS Office ataupun sebagai folder. Teknik lainnya, virus ini mampu melakukan penghentian akses ke Registry Editor, dan melakukan restart komputer jika menemukan kata tertentu pada header browser.

Ciri lain virus ini adalah selektif dalam mengirim e-mail bervirus. "Ini dilakukan guna menghindari deteksi cepat oleh vendor produk keamanan," kata Alfons. Tidak hanya itu, virus ini juga suka mengelabui Host file komputer lokal sehingga akses ke situs keamanan tertentu jadi terblokir.

Restart Melulu

Alfons mengungkap, menurut pengamatan teknisi laboratorium virus Vaksincom, nama Rontokbro ternyata terilhami dari satwa langka Indonesia, Elang Brontok yang memiliki nama latin Spizaetus cirrhatus.

Bagaimana kita bisa mengetahui bahwa komputer sudah terinfeksi Rontokbro? Selain melakukan beberapa perubahan pada registri yang mengakibatkan pemblokiran pada akses Registry Editor, Rontokbro juga menyebabkan komputer restart terus menerus.

Akibatnya, pengguna komputer tidak bisa membuka regedit.exe. Penyebabnya bukan karena eksploitasi celah keamanan seperti yang dilakukan Sasser, melainkan karena Rontokbro melakukan restart pada komputer setiap kali menemukan aplikasi berekstensi .asp, .exe, .htm, .js, .php, dan aplikasi admin, adobe, ahnlab, aladdin, alert, alwil, antigen, dan lain sebagainya.

Rontokbro merupakan virus lokal yang penyebarannya menunggangi e-mail. Pengguna komputer tidak bisa lagi sembarangan membuka e-mail karenanya. Berikut adalah ciri khas e-mail pembawa Rontokbro, dan trik pembasmiannya jika virus ini terlanjur menginfeksi.

Jika anda menerima e-mail dengan subjek atau judul e-mail yang kosong, waspadalah karena bisa jadi e-mail tersebut membawa virus. Ini adalah salah satu ciri e-mail pembawa Rontokbro. Nama virus ini diduga terilhami dari nama burung elang jenis Brontok.

Ciri lainnya, identitas pengirim dipalsukan dan e-mail ini berisi pesan-pesan untuk menghentikan penyakit sosial di Indonesia. Pesannya sebagai berikut:

-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[
By: HVM**-Jowo*** #** Community--

E-mail tersebut berisi lampiran berupa file 'kangen.exe'. File tersebut menimbulkan dugaan kalau pembuat virus ini sama dengan pembuat Kangen. Atau bisa jadi ia hanya membonceng kepopuleran virus Kangen agar dirinya dapat menyebar dengan baik. Menurut statistik Vaksincom, penyebaran Rontokbro saat ini sudah mengalahkan virus Kangen, ujar Alfons Tanujaya, spesialis antivirus dari PT Vaksincom, yang mengirim pemberitahuan tertulis kepada detikinet.

Rontokbro disebarkan ke alamat e-mail dengan domain di luar Indonesia, dan menghindari pengiriman e-mail ke alamat-alamat dengan domain seperti Telkom, Indo, .co.id, .go.id, .mil.id, dan lain sebagainya.

Antivirus kenamaan tidak mampu mendeteksi aktivitas virus ini. "Menurut catatan Vaksincom, versi Rontokbro yang dikenali oleh antivirus hanya versi awal W32 Rontokbro.A@mm dan W32/RontokbroB.@mm saja," ungkap Alfons. "Padahal varian Rontokbro yang diterima oleh Vaksincom dan dapat dikenali oleh Norman Virus Control sudah sampai varian ke 7 W32/Rontrokbro.G@mm," imbuhnya.

Membasmi Rontokbro

Vaksincom menjelaskan, pembersihan Rontokbro sebaiknya dilakukan melalui "safe mode", karena jika mencoba pembersihan melalui mode "normal" komputer akan langsung restart begitu komputer dijalankan.

Alfons menganjurkan untuk memakai antivirus Norman Virus Control terbaru, karena antivirus ini terbukti mampu mendeteksi keberadaan Rontokbro.

Untuk mengaktifkan kembali fungsi registry editor hapus value: DisableRegistryTools =1 yang ada di HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem.

Untuk lebih mudahnya gunakan tools dari HijackThis, yang bisa didapat dari alamat: http://www.spywareinfo.com/~merijn/downloads.html.

Setelah dijalankan, cari option HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies, DisableRegedit=1, kemudian klik [Fix checked].

Hapus registri: Bron-Spizaetus, Tok-Cirrhatus, Disable CMD=0.

Untuk mengembalikan option [Folder option] pada windows explore, hapus string registry:

NoFolderOptions=dword:00000001 pada registry key HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Kemudian hapus opsi: NorBtok, Smss, Empty, yang ada pada menu [Startup] di msconfig

Hapus Schedule Task yang dibuat oleh W32/RontokBro.B. Caranya: Masuk ke [Control Panles] lalu klik 2 kali [Schedule Tasks]. (nks dari detikinet dan vaksin.com)