Home > Analisa Virus, Antivirus, Pengumuman > Ronkor.C: Tangisku bukan milikmu

Ronkor.C: Tangisku bukan milikmu

February 21st, 2011 Leave a comment Go to comments

Ronkor.C

Ronkor.C. Ronkor merupakan salah satu worm lokal yang variannya masih dilaporkan oleh pengguna, saat ini telah mencapai 3 varian yang ditemukan.  Seperti juga pada beberapa worm lokal lainnya, curhatan diekspresikan melalui puisi.

A. Info Malware
Nama: Ronkor.C
Asal: Indonesia
Ukuran File: 140 KB (143.360 bytes)
Packer : ~
Pemrograman : Visual Basic
Icon : Folder
Tipe : Worm

B. Tentang Malware
Dengan icon menyerupai folder, worm ini berusaha memanfaatkan kelengahan pengguna yang mengira file worm tersebut folder dan mengkliknya. Ditambah lagi dengan nama file worm yang mengundang rasa penasaran, antara lain:

– Game XXX FrewWare.exe
– McAfee_Antivirus_Pro_final.exe
– Puisi bagus.exe
– Poto hot.exe, dan seterusnya.

C. Companion/File yang dibuat
Saat aktif, worm akan mencari setiap drive yang ditemukan dan membuat file/folder antara lain sebagai berikut:

  • Data <user account>.exe pada tiap root drive, di mana <user account> adalah nama user yang sedang login.
  • Folder dengan nama r0nk0r pada drive harddisk.
  • Folder 51r0nk0r pada removable drive seperti flash disk.
  • File dengan nama Folder.htt di dalam folder 51r0nk0r pada removable disk.
  • File Empty.pif yang diletakkan pada Startup.
  • File dengan lokasi di Windows\r0nk0r.exe.
  • File dengan lokasi di Windows\r0nk0r.vbs.jpg.
  • File dengan lokasi di Windows\setup.exe.
  • File dengan lokasi di Windows\system32\IEXplorer.exe.
  • File dengan lokasi di Windows\system32\MrHello.scr.
  • File dengan lokasi di Windows\system32\shell.exe.
  • File C:\puisiku.txt. Jika dibuka dengan text editor seperti NotePad, akan terlihat seperti pada gambar di atas. Perhatikan informasi tanggal dan waktu yang tertera di bagian bawah teks merupakan tanggal dan waktu hasil generate berdasarkan sistem komputer.

D. Hasil Infeksi

Satu hal yang perlu dicatat dari worm ini adalah teknik pertahanannya yang cukup ketat guna melindungi dirinya dari berbagai tools dan antivirus.  Antara lain menutup aplikasi tertentu yang dijalankan, seperti Task Manager, Regedit, Process Explorer, dan berbagai antivirus yang dikenali berdasarkan string tertentu yang disimpan pada tubuh worm.

Worm ini juga memiliki kemampuan membuat duplikat worm dengan memodifikasi nama file dengan ekstensi *.exe yang dijalankan pengguna.  Misalnya pengguna menjalankan aplikasi bernama abc.exe, maka worm dapat membuat file duplikat worm dengan abc .exe (terdapat spasi sebelum .exe),  sementara file abc.exe yang asli di- hidden. Perbedaan file asli dan file worm terlihat seperti pada gambar berikut, yang diambil dari Command Prompt dengan perintah dir /a.

Ronkor.C

Di memory, worm menjalankan beberapa proses worm dengan nama antara lain:

  • r0nk0r.exe
  • IExplorer.exe
  • WINLOGON.exe
  • SERVICES.exe

E. Pembersihan

Dengan RealTime Protector PCMAV yang selalu aktif, pengguna tidak perlu takut terinfeksi oleh worm ini karena PCMAV akan mencegat worm ini sebelum tereksekusi. Tetapi untuk pengguna yang telah terlanjur terinfeksi, mungkin akan mendapatkan kesulitan dalam menjalankan PCMAV.exe karena worm akan memblok eksekusinya.

Salah satu cara adalah dengan mengubah PCMAV.exe menjadi nama acak dan mengganti ekstensinya, misalnya menjadi xyz.scr. Ekstensi *.scr merupakan file executable yang juga dapat dijalankan, tetapi tidak dicegat ataupun di-hidden oleh worm Ronkor.C saat dieksekusi.  Lakukan scan dan PCMAV akan mendeteksi keberadaan worm ini di memory dan seluruh drive yang dipilih.

Ronkor.C Terdeteksi

PCMAV 4.6 Update Build4

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.6 Update Build4 telah hadir dengan penambahan 142 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.6, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.6 Update Build4:Acehku.vbs
Amoumain
AnitaLoroaji
AnitaLoroaji.inf
Autoit.FD
Autoit.FD.ini
Autoit.FE
Autoit.FE.serv
BlackId
Cobax.exe.C
Delp-Shortcut
Delp-Shortcut.lnk.A
Delp-Shortcut.lnk.B
Delp-Shortcut.lnk.C
Delp-Shortcut.lnk.D
Delp-Shortcut.lnk.E
Dhoos
Dhoos.dll
Dhoos.url.A
Dhoos.url.B
Dhoos.url.C
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.B
Ebetazijl.B.lnk
FakeAV-Downloader.G
FakeAV-Downloader.H
FakeAV-Downloader.H.job
FakeAV-Downloader.H.lnk.A
FakeAV-Downloader.H.lnk.B
FakeAV-Downloader.H.lnk.C
FakeAV-Downloader.H.msi
FakeAV-Downloader.H.setup
FakeAV-Downloader.H.url
FakeAV-Downloader.H.xml
FakeAV-Downloader.I
FakeAV-Downloader.I.dat
FakeAV-Downloader.I.job
FakeAV-Downloader.I.lnk.
FakeAV-Downloader.I.lnk.A
FakeAV-Downloader.I.lnk.B
FakeAV-Downloader.I.lnk.C
FakeAV-Downloader.I.ref
FakeAV-Downloader.I.rtf
FakeAV-Downloader.I.setup
FakeAV-Downloader.I.unins
FakeAV-Downloader.I.url
FakeAV-Downloader.J.host
FakeAV-Downloader.J.ico
FakeAV-Downloader.J.job
FakeAV-Downloader.J.lnk.A
FakeAV-Downloader.J.lnk.B
FakeAV-Downloader.J.lnk.C
FakeAV-Downloader.J.setup
FakeAV-Downloader.J.url
FakeAV-Downloader.J.xml
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.dll.A
FakeAV-Downloader.K.dll.B
FakeAV-Downloader.K.dll.C
FakeAV-Downloader.K.job
FakeAV-Downloader.K.lnk.A
FakeAV-Downloader.K.lnk.B
FakeAV-Downloader.K.lnk.C
FakeAV-Downloader.K.lnk.D
FakeAV-Downloader.K.ref
FakeAV-Downloader.K.rtf
FakeAV-Downloader.K.setup
FakeAV-Downloader.K.unins
FakeAV-Downloader.K.url
FakeDownloader.A
FakeDownloader.B
FakeDownloader.B.dll.A
FakeDownloader.B.dll.B
FakeDownloader.C
FakeDownloader.C.dll.A
FakeDownloader.C.dll.B
FakeDownloader.D
FakeDownloader.D.dll
FakeDownloader.D.exe
FakeDownloader.E
FakeDownloader.F
FakeDownloader.F.bat
FakeDownloader.F.job
FakeDownloader.G
FakeDownloader.G.DLL
FakeDownloader.H
FakeDownloader.H.bat
FakeDownloader.H.job
FakeDownloader.H.sim
FakeDownloader.I
FakeDownloader.J
FakeDownloader.K
FakeDownloader.L
FakeDownloader.L.exe
FakeDownloader.M
FakeDownloader.N
FakeDownloader.O
H323
H323.bat
HoneyMoon.vbs
HoneyMoon.vbs.inf
KefiUnique.vbs
KefiUnique.vbs.txt
KefiUnique.vbs.upd
NDI.vbs
NDI.vbs.gen
NDI.vbs.inf
NDI.vbs.txt
NineOClock
Ramnit.A.Variant
Ramnit.B.Variant
Ramnit.C.Variant
Ramnit.D.Variant
Ramnit.E.Variant
Rascal.B
Restore.D
Restore.D.inf
Restore.E
Restore.E.inf
Ronkor.C
Ronkor.C.htt
Ronkor.C.txt
SkyNet.F
Spesial
TripleExe
TripleExe.inf
VB-Shortcut-1.lnk
Vedasetion
Vedasetion.tmp
Vemo-AV
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. azura
    February 21st, 2011 at 19:57 | #1

    WOW

  2. andi
    February 21st, 2011 at 20:03 | #2

    yes! tetapi mana majalah pada bulan ini, saya tidak menemukannya 🙂

    nb: jangan komentar “pertamax, kedua sampai keseratus, itu tidak penting banget.

  3. Edo
    February 21st, 2011 at 22:51 | #3

    @andi:
    Yah, namanya juga virus baru jadi update-nya agak telat tuk masuk ke dvd pcmedia.
    download aza, bro. Btw, cobain dengan valhalla yah…

  4. Bino
    February 22nd, 2011 at 11:37 | #4

    em dah lama gk mampir ksini jadi kangen he3x. tapi pcmedia.co.id kemana ya. ko di redirect kesini ce….

  5. KURO
    February 22nd, 2011 at 12:24 | #5

    pcmedia emang mantab.,,,,,,,,
    pembasmi virus no.1,……

  6. andi
    February 22nd, 2011 at 16:43 | #6

    @ EDO: aku maksud majalah edisi februari tidak muncul di surabaya, kenapa ya? jadi aku batalkan membeli majalah PCMEDIA kecuali edisi 4-nya ada PDF 🙂

  7. diaz
    February 22nd, 2011 at 19:59 | #7

    sertifikasioffice.com hasi kerja sama micrososft dengan PC media kuk sudah g’ bisa diakses yaa.. 😀
    masukin lagi di edisi bulan depan dunk 😀

  8. andi
    February 22nd, 2011 at 21:11 | #8

    @diaz: mungkin kerja samanya udah habis mungkin atau mempunyai rencana yang lebih baik atau lainnya?

  9. Edo
    February 22nd, 2011 at 21:46 | #9

    @andi:
    Masa sih ga majalahnya ga nongol di surabaya? I mean… surabaya gitu loh… ?
    Mungkin bro telat beli? Kalo versi maxi biasanya nongol minggu pertama… kalo yang mini biasanya nongol di minggu terakhir. Coba hub distributor-nya bro, pa tau masih ada stok…
    minimal yang mini aza…

  10. andi
    February 22nd, 2011 at 22:43 | #10

    aku udah cek, majalahnya masih edisi 2, di gamedia , surabaya plaza, lalu ke gunung agung, lalu ke tempat tempat langganan, katanya belum ada. Ya sudahlah aku skip edisi 3-nya.

  11. wizardft
    February 24th, 2011 at 12:37 | #11

    andi :
    aku udah cek, majalahnya masih edisi 2, di gamedia , surabaya plaza, lalu ke gunung agung, lalu ke tempat tempat langganan, katanya belum ada. Ya sudahlah aku skip edisi 3-nya.

    bilang aja kagak punya duit ente!pake nyalahin distribusi segala lagi! kere dipelihara. wkwkwkwk

  12. ando
    February 27th, 2011 at 19:46 | #12

    andi :
    aku udah cek, majalahnya masih edisi 2, di gamedia , surabaya plaza, lalu ke gunung agung, lalu ke tempat tempat langganan, katanya belum ada. Ya sudahlah aku skip edisi 3-nya.

    ada kok, aku dapet majalahnya, di pom bensin deket bonet itu tuh

  13. March 8th, 2011 at 21:30 | #13

    hebat, josh.. virus shortcut copi di fdku habis dibabatnya,trimss