Bagi pengguna komputer pasti tidak asing dengan Rontokbro, virus lokal yang bisa dibilang sebagai 'biang kerok'. Nah, setelah lama tenggelam, Rontokbro kini kembali muncul dengan jurus yang sedikit berbeda.
Menurut analis virus dari Vaksincom, Adang Jauhar Taufik, teknik baru ini dilancarkan agar ia tidak mudah dicurigai user.
Rontokbro dianggap sebagai 'biang kerok' sebab ia menjadi inspirasi tersendiri bagi para pembuat virus lokal yang beredar saat ini. Walau virus lokal sekarang memiliki beragam daya serang tetapi ada sebagian taktik yang biasa digunakan Rontokbro. Seperti melumpuhkan fungsi Windows, membuat file duplikat sampai aktif pada mode 'safe mode' atau 'safe mode with command prompt'.
"Sama seperti varian sebelumnya, Rontokbro yang baru dibuat dengan Visual Basic berukuran 118 KB. Kali ini ia tidak memakai icon 'Folder' untuk mengelabui user karena saat ini user sudah mengetahui kelemahan tersebut, tetapi ia akan menyamarkan dirinya dengan icon aplikasi sehingga tidak mengundang kecurigaan, sebagai pendukung ia akan menggunakan type file sebagai Application," tukasnya.
Adang menambahkan, pada saat user menjalankan file yang sudah terinfeksi maka akan menampilkan jendela Windows Explorer kemudian akan membuat beberapa file induk yang akan diaktifkan secara otomatis pada saat komputer dinyalakan.
Agar tidak dicurigai user, untuk setiap file induk yang dibuat akan mempunyai nama yang sama dengan nama file system Windows seperti [smss.exe, winlogon.exe, services.msc atau lsass.exe] tetapi jika Anda jeli maka dengan mudah akan diketahui bahwa sebenarnya file tersebut merupakan file virus hanya dengan melihat lokasi penyimpanan file tersebut.
Melumpuhkan
Untuk mempertahankan dirinya, virus yang dideteksi Norman Security Suite sebagai W32/Rontokbro.GOL itu akan melumpuhkan beberapa fungsi Windows seperti Task Manager, Regedit atau Folder Options.
"Tujuannya untuk mempersulit user melumpuhkan dirinya, selain itu komputer akan merestart secara otomatis setiap kali user menjalankan tools, file atau folder yang mempunyai nama tertentu (biasanya berhubungan dengan security)," kata Adang.
Aksi lain dari virus ini adalah membuat file duplikat di setiap folder dan subfolder, file duplikat ini akan mempunyai nama yang sama dengan folder atau subfolder target, Anda tidak perlu khawatir karena virus ini hanya akan membuat file duplikat di Flash Disk saja.
"Sama seperti yang dilakukan oleh versi sebelumnya, ia akan mengambil semua alamat email yang didapatkan di komputer target, alamat ini akan disimpan di sebuah folder berikut dalam bentuk file dengan ekstensi INI," ia menandaskan.