W32.Rontokbro@mm
Hari Selasa, 22 Januari 2008, kemaren, salah satu komputer (namanya barunich) yang ngendon di lab terjangkit sejenis worm. Seperti biasa, menu folder option, task manager dan regedit di-disabled. Bikin gerah juga, ditambah lagi antivirus yang tertanam di barunich ngambek dengan tidak mau melakukan proses scanning. Tiap kali disuruh scanning, yang muncul malah kotak pesan error. Tambah lagi suka ng-restart secara tiba2 waktu cmd.exe dijalankan atau ditampilkan dalam bentuk windows maximized (waktu di-minimized nggak masalah).
Karena regedit masih disabled, aku lari ke symantec.com untuk ngunduh file UnHookExex.inf. Install. Beres satu masalah. Regedit kembali aktif. Sekarang masalahnya antivirus yang tadinya ngambek aku uninstall dengan harapan bisa kembali normal waktu ku install ulang. Ternyata waktu proses install ulang berlangsung tetap aja error. Waktu antivirus symantec di-install, ternyata dia menjalankan beberapa perintah programnya lewat cmd. Lha wong cmd-nya sendiri masih di-disabled sama worm, gimana mau nginstall. Sempet dicoba nginstall liwat save mode, tapi pede beih (sama saja, bahasa Madura).
Akhirnya utek2 registri liwat regedit. Niatnya sih cuma mbalekno (mengembalikan) menu folder option dan task manager ke habitat asalnya. Ternyata, didalam sub-kunci (sub-key) yang sama dengan nilai (value) disable task manager, ada satu nilai yang anomali. Maskudnya nilai itu tidak seharusnya berada di situ. Bahkan, sebenarnya tidak seharusnya nilai itu ada. Nilai itu kalau gak salah DisableCMD (waktu nemu langsung delete).
Begitu selesai di delete, dengan perasaan yang tidak menentu dan campur aduk (hiperbolis banget!), aku coba run cmd. Dan… barunich gak restart2 lagi. Wuah!! Lega, akhirnya antivirus bisa ditanamkan (baca: install) dan dipupuk (baca: update). Langsung nginstall antivirus plus ngupdate sekalian.
Selesai nginstall plus update, terus nyecan full system. Tapi sebelumnya sistem restorenya dimatiin dulu liwat control panel –> system properties (liwat klik kanan di My Computer –> properties juga bisa. Kalau di WinXP keluar kotak dialog, pilih tab System Restore, cawang kotak yang ada tulisannya “turn off System Restore in all drive”). Takutnya worm masih ngendok di System Restore.
Ditemukanlah 96 duplikasi worm di berbagai tempat di beberapa belahan dunia (kembali hiperbolis). Nama threatnya “W32.Rontokbro@mm”. Seperti biasa, langsung konfirmasi ke Symantec.com untuk cari spesifikasi worm plus cara removalnya. Yang penting dari removal worm tuh nilai2 registri yang perlu dihapus atau dikembalikan kenilai asal.
Untuk yang butuh detail teknis dari worm ini, silahkan mengunjungi symantec.com (promosi gratisan! Tapi nggak masalah, yang penting share informasi aja sih. Hehe….huhuhuhu:(().
Tak dunga’no tulisan iki isok ngewangi dulur2 sing kene’ worm sing podo (Aku doakan tulisan ini bisa membantu sodara2 yang terjangkit worm yang sama).
Salam,
Ptx.
Leave a Reply