Ini nich mau mengulas sedikit tentang virus brontok versi pertamanya hehehe... dah telat kali....tapi gpp buat referensi az he²...
Dilihat struktur file dari virus tersebut ternyata pembuatan virusnya menggunakan visual basic 6.0
Virus ini terdiri dari 1 form dan 1 Module, dengan nama
==>>Form: BrontokForm
==>>Module: API
Dengan detailnya sebagai berikut:
Begin VB.Form BrontokForm
Caption = \"Brontok.A\"
ForeColor = &H8000000F&
ScaleMode = 1
BeginProperty Font
Name = \"\"
Size = 195323.4944
Charset = 29
Weight = 774
EndProperty
Begin VB.Timer TmrBrontok
Enabled = 0 \'False
Interval = 2000
Left = 2160
Top = 0
Width = 57352
Height = 1
End
End
Dan diberi nama : Brontok.vbp, yang disimpan pada directory:
F:\\VPROJECT\\REHAB\\Re-1\\BRONTOK.A
=>>Ada beberapa procedure & function yang digunakan dengan nama:
Form_QueryUnload(Cancel As Integer, UnloadMode As Integer)
TmrBrontok_Timer()
Subr_004()
CekKoneksiInternet()
ManipulasiExec()
Subr_007()
KeluarDong()
BronReg()
CopyAppData()
DownloadVir()
StartDong()
StartUp()
DecTeks()
MutMutex()
MutCr()
DownloadFile()
CekUpdate()
InfekNetwork()
Judul()
CekRemDisk()
BikinFile()
GetEmailFile()
CekValidMail()
GetTeks()
CekKar()
ListMail()
GetTargetMBhs()
GavMailer()
BrontokMail()
Subr_031()
DataEmail()
DownMIME()
FindFilesAPI()
ListFileGav()
InfekFile()
SmallAttack()
MinggirLoe()
GetHostByNameAlias()
StripNulls()
BikinKredit()
=>>Ada beberapa fungsi Api yang digunakan anatara lain:
Ω Fungsi Baca Tulis Ke Register:
Declare Function RegOpenKeyExA Lib \"advapi32.dll\" ()
Declare Function RegSetValueExA Lib \"advapi32.dll\" ()
Declare Function RegCloseKey Lib \"advapi32.dll\" ()
Declare Function RegCreateKeyExA Lib \"advapi32.dll\" ()
Declare Function Sleep Lib \"kernel32\" ()
Ω Mendapatkan Spesial Folder:
Declare Function SHGetPathFromIDList Lib \"shell32.dll\" ()
Declare Function SHGetSpecialFolderLocation Lib \"shell32.dll\" ()
Ω Membaca Isi Halaman Situs:
Declare Function InternetOpenA Lib \"wininet.dll\" ()
Declare Function InternetOpenUrlA Lib \"wininet.dll\" ()
Declare Function InternetReadFile Lib \"wininet.dll\" ()
Declare Function InternetCloseHandle Lib \"wininet.dll\" ()
Ω Mendapatkan Caption Dari Sebuah Window:
Declare Function GetWindowTextA Lib \"user32\" ()
Declare Function GetWindowTextLengthA Lib \"user32\" ()
Ω Dapatkan HWND Window aktif:
Declare Function GetForegroundWindow Lib \"user32\" ()
Shutdown, Reboot, LogOff Windows:
Declare Function ExitWindowsEx Lib \"user32\" ()
Declare Function GetCurrentProcess Lib \"kernel32\" ()
Declare Function OpenProcessToken Lib \"advapi32\" ()
Declare Function LookupPrivilegeValueA Lib \"advapi32\" ()
Declare Function AdjustTokenPrivileges Lib \"advapi32\" ()
Ω Mendapatkan Jenis Media yang ada spt Removable Disk, CD-Rom dll:
Declare Function GetDriveTypeA Lib \"kernel32\" ()
Declare Function ShellExecuteA Lib \"shell32.dll\" ()
Declare Function RtlMoveMemory Lib \"kernel32\" ()
Ω Winsock API:
Declare Function closesocket Lib \"wsock32.dll\" ()
Declare Function connect Lib \"wsock32.dll\" ()
Declare Function htons Lib \"wsock32.dll\" ()
Declare Function inet_addr Lib \"wsock32.dll\" ()
Declare Function recv Lib \"wsock32.dll\" ()
Declare Function send Lib \"wsock32.dll\" ()
Declare Function socket Lib \"wsock32.dll\" ()
Declare Function gethostbyname Lib \"wsock32.dll\" ()
Declare Function WSAStartup Lib \"wsock32.dll\" ()
Declare Function WSACleanup Lib \"wsock32.dll\" ()
Declare Function WSAAsyncSelect Lib \"wsock32.dll\" ()
Ω Fungsi yang berhubungan dengan file:
Declare Function FindFirstFileA Lib \"kernel32\" ()
Declare Function FindNextFileA Lib \"kernel32\" ()
Declare Function GetFileAttributesA Lib \"kernel32\" ()
Declare Function FindClose Lib \"kernel32\" ()
penularan virus ini melalui beberapa cara. seperti pengiriman lewat email, pencarian nama komputer yang terhubung kejaringan dengan menyalin dirinya pada folder yang di sharing dan menyalin dirinya pada window explorer yang aktif. kalo gak
salah si pembuat virus mempunyai SMTP sendiri
Jika dilihat kembali pada strukturnya ada beberapa kata yang di encrypt, kemungkinan berupa exploit code atau apalah namanya. hanya allah dan pembuat virus yang tau.Virus ini mempunyai fungsi ExitWindowsEx yang diimport dari file user32.dll, fungsi ini biasanya digunakan untuk mematikan windows.
Selain itu dalam struktur filenya terdapat kata-kata seperti ini:
FOLDER.HTT
RORO
.HTT
.DOC
.CSV
.EML
.CFM
.PHP
.WAB
.EML
.TXT
.HTML
.HTM
MY DATA SOURCES
MY EBOOKS
MY MUSIC
MY SHAPES
MY VIDEOS
MY DOCUMENT
Ada beberapa alamat situs yang diserang, (seperti DDOS red). Selain itu pembuat virus mencantumkan nama: --JowoBot#VM Community --
menonaktifkan virus ini secara cepat,masuk safemode kemudian rename file
MSVBVM60.dll menjadi MSVBVM60.dl_ ato terserah pokoknya ekstensinya bukan .dll
karena virus ini membutuhkan runtime vb. setelah tidak aktif baru kita bisa hapus beberapa registry entry dan file-file virus brontoknya.
Free download
No comments:
Post a Comment