Ronkor.C. Ronkor merupakan salah satu worm lokal yang variannya masih dilaporkan oleh pengguna, saat ini telah mencapai 3 varian yang ditemukan.  Seperti juga pada beberapa worm lokal lainnya, curhatan diekspresikan melalui puisi.

A. Info Malware
Nama: Ronkor.C
Asal: Indonesia
Ukuran File: 140 KB (143.360 bytes)
Packer : ~
Pemrograman : Visual Basic
Icon : Folder
Tipe : Worm

B. Tentang Malware
Dengan icon menyerupai folder, worm ini berusaha memanfaatkan kelengahan pengguna yang mengira file worm tersebut folder dan mengkliknya. Ditambah lagi dengan nama file worm yang mengundang rasa penasaran, antara lain:

- Game XXX FrewWare.exe
- McAfee_Antivirus_Pro_final.exe
- Puisi bagus.exe
- Poto hot.exe, dan seterusnya.

C. Companion/File yang dibuat
Saat aktif, worm akan mencari setiap drive yang ditemukan dan membuat file/folder antara lain sebagai berikut:

• Data <user account>.exe pada tiap root drive, di mana <user account> adalah nama user yang sedang login.
• Folder dengan nama r0nk0r pada drive harddisk.
• Folder 51r0nk0r pada removable drive seperti flash disk.
• File dengan nama Folder.htt di dalam folder 51r0nk0r pada removable disk.
• File Empty.pif yang diletakkan pada Startup.
• File dengan lokasi di Windows\r0nk0r.exe.
• File dengan lokasi di Windows\r0nk0r.vbs.jpg.
• File dengan lokasi di Windows\setup.exe.
• File dengan lokasi di Windows\system32\IEXplorer.exe.
• File dengan lokasi di Windows\system32\MrHello.scr.
• File dengan lokasi di Windows\system32\shell.exe.
• File C:\puisiku.txt. Jika dibuka dengan text editor seperti NotePad, akan terlihat seperti pada gambar di atas. Perhatikan informasi tanggal dan waktu yang tertera di bagian bawah teks merupakan tanggal dan waktu hasil generate berdasarkan sistem komputer.

D. Hasil Infeksi

Satu hal yang perlu dicatat dari worm ini adalah teknik pertahanannya yang cukup ketat guna melindungi dirinya dari berbagai tools dan antivirus.  Antara lain menutup aplikasi tertentu yang dijalankan, seperti Task Manager, Regedit, Process Explorer, dan berbagai antivirus yang dikenali berdasarkan string tertentu yang disimpan pada tubuh worm.

Worm ini juga memiliki kemampuan membuat duplikat worm dengan memodifikasi nama file dengan ekstensi *.exe yang dijalankan pengguna.  Misalnya pengguna menjalankan aplikasi bernama abc.exe, maka worm dapat membuat file duplikat worm dengan abc .exe (terdapat spasi sebelum .exe),  sementara file abc.exe yang asli di- hidden. Perbedaan file asli dan file worm terlihat seperti pada gambar berikut, yang diambil dari Command Prompt dengan perintah dir /a.

Di memory, worm menjalankan beberapa proses worm dengan nama antara lain:

• r0nk0r.exe
• IExplorer.exe
• WINLOGON.exe
• SERVICES.exe

E. Pembersihan

Dengan RealTime Protector PCMAV yang selalu aktif, pengguna tidak perlu takut terinfeksi oleh worm ini karena PCMAV akan mencegat worm ini sebelum tereksekusi. Tetapi untuk pengguna yang telah terlanjur terinfeksi, mungkin akan mendapatkan kesulitan dalam menjalankan PCMAV.exe karena worm akan memblok eksekusinya.

Salah satu cara adalah dengan mengubah PCMAV.exe menjadi nama acak dan mengganti ekstensinya, misalnya menjadi xyz.scr. Ekstensi *.scr merupakan file executable yang juga dapat dijalankan, tetapi tidak dicegat ataupun di-hidden oleh worm Ronkor.C saat dieksekusi.  Lakukan scan dan PCMAV akan mendeteksi keberadaan worm ini di memory dan seluruh drive yang dipilih.

PCMAV 4.6 Update Build4

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.6 Update Build4 telah hadir dengan penambahan 142 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.6, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.6 Update Build4:Acehku.vbs
Amoumain
AnitaLoroaji
AnitaLoroaji.inf
Autoit.FD
Autoit.FD.ini
Autoit.FE
Autoit.FE.serv
BlackId
Cobax.exe.C
Delp-Shortcut
Delp-Shortcut.lnk.A
Delp-Shortcut.lnk.B
Delp-Shortcut.lnk.C
Delp-Shortcut.lnk.D
Delp-Shortcut.lnk.E
Dhoos
Dhoos.dll
Dhoos.url.A
Dhoos.url.B
Dhoos.url.C
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.B
Ebetazijl.B.lnk
FakeAV-Downloader.G
FakeAV-Downloader.H
FakeAV-Downloader.H.job
FakeAV-Downloader.H.lnk.A
FakeAV-Downloader.H.lnk.B
FakeAV-Downloader.H.lnk.C
FakeAV-Downloader.H.msi
FakeAV-Downloader.H.setup
FakeAV-Downloader.H.url
FakeAV-Downloader.H.xml
FakeAV-Downloader.I
FakeAV-Downloader.I.dat
FakeAV-Downloader.I.job
FakeAV-Downloader.I.lnk.
FakeAV-Downloader.I.lnk.A
FakeAV-Downloader.I.lnk.B
FakeAV-Downloader.I.lnk.C
FakeAV-Downloader.I.ref
FakeAV-Downloader.I.rtf
FakeAV-Downloader.I.setup
FakeAV-Downloader.I.unins
FakeAV-Downloader.I.url
FakeAV-Downloader.J.host
FakeAV-Downloader.J.ico
FakeAV-Downloader.J.job
FakeAV-Downloader.J.lnk.A
FakeAV-Downloader.J.lnk.B
FakeAV-Downloader.J.lnk.C
FakeAV-Downloader.J.setup
FakeAV-Downloader.J.url
FakeAV-Downloader.J.xml
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.dll.A
FakeAV-Downloader.K.dll.B
FakeAV-Downloader.K.dll.C
FakeAV-Downloader.K.job
FakeAV-Downloader.K.lnk.A
FakeAV-Downloader.K.lnk.B
FakeAV-Downloader.K.lnk.C
FakeAV-Downloader.K.lnk.D
FakeAV-Downloader.K.ref
FakeAV-Downloader.K.rtf
FakeAV-Downloader.K.setup
FakeAV-Downloader.K.unins
FakeAV-Downloader.K.url
FakeDownloader.A
FakeDownloader.B
FakeDownloader.B.dll.A
FakeDownloader.B.dll.B
FakeDownloader.C
FakeDownloader.C.dll.A
FakeDownloader.C.dll.B
FakeDownloader.D
FakeDownloader.D.dll
FakeDownloader.D.exe
FakeDownloader.E
FakeDownloader.F
FakeDownloader.F.bat
FakeDownloader.F.job
FakeDownloader.G
FakeDownloader.G.DLL
FakeDownloader.H
FakeDownloader.H.bat
FakeDownloader.H.job
FakeDownloader.H.sim
FakeDownloader.I
FakeDownloader.J
FakeDownloader.K
FakeDownloader.L
FakeDownloader.L.exe
FakeDownloader.M
FakeDownloader.N
FakeDownloader.O
H323
H323.bat
HoneyMoon.vbs
HoneyMoon.vbs.inf
KefiUnique.vbs
KefiUnique.vbs.txt
KefiUnique.vbs.upd
NDI.vbs
NDI.vbs.gen
NDI.vbs.inf
NDI.vbs.txt
NineOClock
Ramnit.A.Variant
Ramnit.B.Variant
Ramnit.C.Variant
Ramnit.D.Variant
Ramnit.E.Variant
Rascal.B
Restore.D
Restore.D.inf
Restore.E
Restore.E.inf
Ronkor.C
Ronkor.C.htt
Ronkor.C.txt
SkyNet.F
Spesial
TripleExe
TripleExe.inf
VB-Shortcut-1.lnk
Vedasetion
Vedasetion.tmp
Vemo-AV
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3