Pengertian Dan Cara Kerja Virus Lokal "Ronkor.C"
2:07 PM | 
Diposkan oleh
WIDYA SMART
Ronkor.C. Ronkor merupakan salah satu worm lokal yang variannya masih dilaporkan oleh pengguna, saat ini telah mencapai 3 varian yang ditemukan. Seperti juga pada beberapa worm lokal lainnya, curhatan diekspresikan melalui puisi.
A. Info Malware
Nama: Ronkor.C
Asal: Indonesia
Ukuran File: 140 KB (143.360 bytes)
Packer : ~
Pemrograman : Visual Basic
Icon : Folder
Tipe : Worm
B. Tentang Malware
Dengan icon menyerupai folder, worm ini berusaha memanfaatkan kelengahan pengguna yang mengira file worm tersebut folder dan mengkliknya. Ditambah lagi dengan nama file worm yang mengundang rasa penasaran, antara lain:
- Game XXX FrewWare.exe- McAfee_Antivirus_Pro_final.exe
- Puisi bagus.exe
- Poto hot.exe, dan seterusnya.
C. Companion/File yang dibuat
Saat aktif, worm akan mencari setiap drive yang ditemukan dan membuat file/folder antara lain sebagai berikut:
- Data .exe pada tiap root drive, di mana adalah nama user yang sedang login.
- Folder dengan nama r0nk0r pada drive harddisk.
- Folder 51r0nk0r pada removable drive seperti flash disk.
- File dengan nama Folder.htt di dalam folder 51r0nk0r pada removable disk.
- File Empty.pif yang diletakkan pada Startup.
- File dengan lokasi di Windows\r0nk0r.exe.
- File dengan lokasi di Windows\r0nk0r.vbs.jpg.
- File dengan lokasi di Windows\setup.exe.
- File dengan lokasi di Windows\system32\IEXplorer.exe.
- File dengan lokasi di Windows\system32\MrHello.scr.
- File dengan lokasi di Windows\system32\shell.exe.
- File C:\puisiku.txt. Jika dibuka dengan text editor seperti NotePad, akan terlihat seperti pada gambar di atas. Perhatikan informasi tanggal dan waktu yang tertera di bagian bawah teks merupakan tanggal dan waktu hasil generate berdasarkan sistem komputer.
Satu hal yang perlu dicatat dari worm ini adalah teknik pertahanannya yang cukup ketat guna melindungi dirinya dari berbagai tools dan antivirus. Antara lain menutup aplikasi tertentu yang dijalankan, seperti Task Manager, Regedit, Process Explorer, dan berbagai antivirus yang dikenali berdasarkan string tertentu yang disimpan pada tubuh worm.
Worm ini juga memiliki kemampuan membuat duplikat worm dengan memodifikasi nama file dengan ekstensi *.exe yang dijalankan pengguna. Misalnya pengguna menjalankan aplikasi bernama abc.exe, maka worm dapat membuat file duplikat worm dengan abc .exe (terdapat spasi sebelum .exe), sementara file abc.exe yang asli di- hidden. Perbedaan file asli dan file worm terlihat seperti pada gambar berikut, yang diambil dari Command Prompt dengan perintah dir /a.
Di memory, worm menjalankan beberapa proses worm dengan nama antara lain: - r0nk0r.exe
- IExplorer.exe
- WINLOGON.exe
- SERVICES.exe
Label:
Virus
