ZONA DOWNLOAD

MY FRIENDS

WELCOME TO WIDYA SCHOOL

Pengertian Dan Cara Kerja Virus Lokal "Ronkor.C"

Ronkor.C. Ronkor merupakan salah satu worm lokal yang variannya masih dilaporkan oleh pengguna, saat ini telah mencapai 3 varian yang ditemukan. Seperti juga pada beberapa worm lokal lainnya, curhatan diekspresikan melalui puisi.




A. Info Malware


Nama: Ronkor.C
Asal: Indonesia
Ukuran File: 140 KB (143.360 bytes)
Packer : ~
Pemrograman : Visual Basic
Icon : Folder
Tipe : Worm


B. Tentang Malware

Dengan icon menyerupai folder, worm ini berusaha memanfaatkan kelengahan pengguna yang mengira file worm tersebut folder dan mengkliknya. Ditambah lagi dengan nama file worm yang mengundang rasa penasaran, antara lain:
- Game XXX FrewWare.exe
- McAfee_Antivirus_Pro_final.exe
- Puisi bagus.exe
- Poto hot.exe, dan seterusnya.

C. Companion/File yang dibuat

Saat aktif, worm akan mencari setiap drive yang ditemukan dan membuat file/folder antara lain sebagai berikut:
  • Data .exe pada tiap root drive, di mana adalah nama user yang sedang login.
  • Folder dengan nama r0nk0r pada drive harddisk.
  • Folder 51r0nk0r pada removable drive seperti flash disk.
  • File dengan nama Folder.htt di dalam folder 51r0nk0r pada removable disk.
  • File Empty.pif yang diletakkan pada Startup.
  • File dengan lokasi di Windows\r0nk0r.exe.
  • File dengan lokasi di Windows\r0nk0r.vbs.jpg.
  • File dengan lokasi di Windows\setup.exe.
  • File dengan lokasi di Windows\system32\IEXplorer.exe.
  • File dengan lokasi di Windows\system32\MrHello.scr.
  • File dengan lokasi di Windows\system32\shell.exe.
  • File C:\puisiku.txt. Jika dibuka dengan text editor seperti NotePad, akan terlihat seperti pada gambar di atas. Perhatikan informasi tanggal dan waktu yang tertera di bagian bawah teks merupakan tanggal dan waktu hasil generate berdasarkan sistem komputer.
D. Hasil Infeksi

Satu hal yang perlu dicatat dari worm ini adalah teknik pertahanannya yang cukup ketat guna melindungi dirinya dari berbagai tools dan antivirus. Antara lain menutup aplikasi tertentu yang dijalankan, seperti Task Manager, Regedit, Process Explorer, dan berbagai antivirus yang dikenali berdasarkan string tertentu yang disimpan pada tubuh worm.
Worm ini juga memiliki kemampuan membuat duplikat worm dengan memodifikasi nama file dengan ekstensi *.exe yang dijalankan pengguna. Misalnya pengguna menjalankan aplikasi bernama abc.exe, maka worm dapat membuat file duplikat worm dengan abc .exe (terdapat spasi sebelum .exe), sementara file abc.exe yang asli di- hidden. Perbedaan file asli dan file worm terlihat seperti pada gambar berikut, yang diambil dari Command Prompt dengan perintah dir /a.

Di memory, worm menjalankan beberapa proses worm dengan nama antara lain:
  • r0nk0r.exe
  • IExplorer.exe
  • WINLOGON.exe
  • SERVICES.exe

JANGAN LUPA BACA ARTIKEL INI YA ....

Untuk berlangganan gratis artikel terbaru dari Widya School's ke email anda, silahkan ketik email anda di bawah ini, kemudian klik tombol subscibe:


Enter your email address:

Delivered by FeedBurner

FOLLOW US ON TWITTER

ABOUT ME


TKJ SMK N 1 JKT

HARDWARE PC

TIP DAN TRIK PC

JARINGAN KOMPUTER

MICROSOFT OFFICE

MY BANNER

logo

MY LINK

WIDYA SCHOOL'S

MY PAGERANK

PageRank Checker