W32/Romdil.A dan B 3 Maret 2006

Setan Romantis Mencari Cinta

Demam Rontokbro menyebabkan dua hal bagi dunia programmer Indonesia. Banyak programmer yang ingin membantu para netter yang kesulitan berlomba-lomba membuat obat bagi Rontokbro ini. Termasuk beberapa programmer yang cukup ahli dan bahkan beberapa mencurigai Vaksincom terlibat dalam pembuatan Rontokbro karena "katanya" Vaksincom mendapatkan keuntungan dari serangan virus lokal dan berusaha menahan informasi Rontokbro. Memang sulit bagi produsen antivirus untuk menjawab karena para netter sudah memiliki stereotype bahwa pihak yang mendapatkan keuntungan atas satu kejadian "pasti" merupakan dalang dari kejadian tersebut. Kemungkinan juga yang bersangkutan terlalu banyak menonton film seri Telenovela atau 24 yang penuh intrik-intrik sehingga pikirannya penuh dengan intrik. Sebagai informasi, dari saat pertama virus muncul sudah banyak pembuat virus yang tertangkap, baik pembuat Lovebug yang merupakan mahasiswa IT FIlipina, pembuat Melissa dari Amerika atau Sven Jaschan yang notabene merupakan bidan dari Netsky. Namun tidak ada satupun pembuat virus yang memiliki hubungan baik langsung maupun tidak langsung dengan produsen antivirus, malahan sewaktu Sven Jaschan dibebaskan dari penjara beberapa vendor antivirus berusaha menghindari menggunakan keahliannya karena stereotipe ini sudah ada. Disamping itu sebenarnya pembuat virus tidak cocok untuk bergerak dalam antivirus karena nature (sifat dasar) dari virus dengan antivirus ini yang bertentangan. Kalau virus sifatnya offensif dan dapat menyerang kapan saja dan bisa memfokuskan pada satu bidang keahliannya, sedangkan antivirus sifatnya defensif dan harus bertahan terus setiap saat dan harus memproteksi semua aspek dari komputer / jaringan. Kalau dalam sepakbola pembuat virus adalah Gelandang menyerang seperti Beckham atau Ronaldo, sedangkan antivirus adalah Fabian Bartez (tiga-tiganya botak :)). Anda bisa bayangkan kalau Beckham atau Ronaldo jadi kiper, kemungkinan Real Madrid akan makin sulit mengejar Barcelona. Atau sebaliknya Bartez yang jadi gelandang menyerang ..... jangan-jangan bukan sepakbola yang dimainkan tetapi basket.

Sebenarnya virus lokal selain Rontokbro yang bermunculan banyak sekali, seperti Codex, Astanta, Lumnu (Tsunami), Kasag (Gasak) dan terakhir yang sedang menyebar dengan ganas adalah Romdil (Romantic Devil). Vaksincom berusaha membatasi informasi virus ini untuk meminimalisir dampak agar pembuat virus tidak terpacu untuk membuat virus tetapi kelihatannya hal ini tidak berpengaruh banyak. Malahan dampak negatif yang timbul adalah karena informasi tentang virus baru yang minim ini menyebabkan virus ini mudah menyebar dengan cepat karena ciri dan identifikasinya tidak diketahui. Kalau bukan orang lokal yang perduli, tidak ada vendor internasional yang perduli dan deteksi virus ini akan makin lambat sehingga korbannya akan semakin banyak. Bahkan ditengarai perkembangan terakhir ada beberapa varian virus yang mulai melakukan kegiatan menghancurkan partisi dan sample terakhir yang diterima Vaksincom memiliki kemampuan menyamar sebagai file .bmp yang sangat sempurna.

Romantic Devil yang mirip Nobron memiliki penyebaran yang cukup tinggi di Indonesia dan bertujuan untuk menghapus Rontokbro dan variannya yang saat ini sudah mencapai lebih dari 80 varian dan varian teranyar Rontokbro yang sedang beredar dan mengganas adalah W32/Rontokbro.BS.

Rontokbro semakin mengukuhkan dirinya sebagai virus yang paling banyak dan paling cepat menyebar serta paling banyak mengeluarkan varian-variannya, sampai bulan Februari 2006 saja Rontokbro sudah mengeluarkan lebih dari sekitar 80 varian, walaupun sebenarnya secara umum ada beberapa persamaan pada masing-masing varian-varian, cuma berbeda pada penamaan nama file induk yang dibuat.

Secara umum sebenarnya Rontokbro dibagi menjadi 3, yaitu:

1. Rontokbro generasi Pertama, [mempunyai ukuran sekitar 80KB atau lebih], Untuk Rontokbro varian awal masih dapat dibersihkan dengan mudah, hanya aktif pada mode “Normal”, tetapi sudah mulai melakukan blok terhadap beberapa fungsi windows [Registry Editor, msconfig atau Task Manager dan Folder option] dan tidak sampai melakukkan blok terhadap tools-tools lain seperti [HijackThis, ProceeXp atau pocket Killbox]. Media penyebarannya diantaranya menggunakan Disket/USB serta Email. Hal lain yang dilakukan oleh Rontokbro adalah membuat duplikat berupa file disetiap folder dan subfolder dimana file itu mempunyai nama yang sama dengan folder atau sub folder tersebut dengan mempunyai ext. EXE. Selain itu akan berusaha untuk melakukan koneksi [Ddos] ke website yang sudah ditentukan. Untuk memperbaharui dirinya Rontokbro akan melakukan up-date ke internet dengan mendownload file virus dari website yang telah ditentukan.

2. Rontokbro Generasi ke Dua [mempunyai ukuran 42 KB atau lebih] Pada tahap ini aksi yang dilakukanpun makin banyak hal lain yang cukup menonjol adalah kemampuannya untuk aktif di mode “safe mode” dan mulai melakukan blok terhadap tools-tools lain [Hijackthis, ProceeXP atau Pocket Killbox] disamping tetap melakukan blok terhadap fungsi Windows [Registry Editor, msconfig dan Task Manager dan Folder Option] dan berusaha untuk melakukan blok terhadap website antivirus dengan menambah baris perintah pada file HOST [C:\Windows\System32\Driver\ETC], untuk aksi lainya sama dengan varian sebelumnya.

3. Rontokbro Generasi ke Tiga [Mempunyai ukuran 45 atau lebih] Hal yang paling menonjol adalah kemampuannya untuk aktif pada posisi “safe mode” maupun pada “safe mode with command prompt”

Dilihat dari uraian diatas, sebenarnya Anda dapat mengetahui jenis rontokbro yang menyerang komputer Anda karena cara untuk mengatasinyapun akan bereda-beda, jadi kami sarankan untuk pembersihan secara optimal sebaiknya install antivirus kesemua komputer yang terkoneksi LAN dan install antivirus yng dipercaya dapat mengenali setiap varian dari virus Rontokbro.

Jika sebelumnya telah muncul virus Nobron dimana virus ini akan mencoba untuk menghapus virus Rontokbro, kini telah muncul satu jenis virus yang juga akan melakukan hal yang sama, Norman mengenali virus ini sebagai W32/Romdil, dan sampai saat ini sudah muncul 2 varian [dan diperkirakan akan terus bertambah]. W32/Romdil ini dibuat dengan menggunakan VB dan di kompresi dengan menggunakan UPX, untuk varian awalnya mempunyai ukuran 40KB sedangkan untuk varian ke dua mempunyai ukuran 41 KB. Sama seperti kebanyakan vierus lokal lainya yang beredar aimana selalu membawa tema “CINTA” begitupun dengan W32/Romdil, dimana virus ini akan mencoba untuk menuangkan perasaan dirinya kepada seorang gadis yang bernama RIA [mungkin samaran], perasaan ini akan ditampilkan dalam sebuah notepad setiap kali komputer dinyalakan. Rupanya kini virus [lokal] juga bisa dijadikan sebagai media komunikasi/curhat walaupun apa yang mereka lakukan sangat merugikan karena berdampak buruk bagi system komputer yang terinfeksi.

Dengan maksud untuk menutupi kesalahannya, pada varian kedua [W32/Romdil.B] akan meminta maaf kepada semua pihak yang merasa komputernya telah terinfeksi oleh virus buatannya dan dilihat dari isi text tersebut kemungkinan Virus ini [W32/Romdil.B] dibuat pada tanggal 14 Februari 2006

-----------------------------------------------------------------------------------------------------------------------

14-02-2006

Saya meminta maaf apabila komputer yang anda gunakan telah terganggu,

karena saya hanya berkeinginan menyampaikan isi hati saya kepada seseorang

yang sangat saya sayangi.

Saya tidak dapat mengatakanya langsung karena saya telah kehilangan kontak

dengannya,tak ada khabar,tak ada berita, dan tak ada pesan.

dan kuharap semoga dia membaca pesan ku

By:dr.Pluto Untuk Ria

-----------------------------------------------------------------------------------------------------------------------

Dari hasil analisa Romdil.A berbeda dengan Rontokbro yang selama ini menyebar, walaupun virus ini mampu membuat file duplikat, tetapi hanya bisa menyebar melalui Disket/USB/File Sharing dan tidak melakukan restart jika menjalankan fungsi Windows [Registry Editor/Msconfig/Task Manager atau software lain seperti ProceeXp, Pocket Killbox maupun Hijack This] dan jika diperhatikan Virus ini memang akan membuat file induk yang sama persis yang dilakukan oleh Rontokbro.