Ramnit (waspada dgn yg satu ini virus / malware)

Kini dengan kemampuan eksploitasi LNK (Shortcut)

Ramnit jelas menginfeksi banyak komputer di Indonesia dan pelan tapi pasti mengokohkan dirinya sebagai salah satu virus jawara yang pelru diwaspadai oleh pengguna komputer di Indonesia. Apalagi varian teranyar Ramnit yang sekarang memiliki kemampuan mengeksploitasi celah keamanan LNK (Shortcut) sehingga ia mampu menyebarkan dirinya dengan membuat Shortcut.

Di tahun 2010 lalu, dominasi stuxnet yang memanfaatkan celah keamanan LNK (shortcut) merupakan sebuah salah satu langkah kerja cerdas dari pembuat malware. Bukan hanya sekedar mendominasi, tetapi juga menjadi trending topik malware di berbagai artikel dan analisis di seluruh dunia.

Di saat dominasi stuxnet masih booming hingga saat ini, sebaiknya kita perlu waspada pula terhadap varian malware baru yang berusaha menunjukkan eksistensi-nya dengan usaha kerja keras dari pembuat malware. Diantara varian malware yang patut di waspadai adalah yang terdeteksi sebagai W32/Ramnit oleh Norman Security Suite (lihat gambar 1). Saat ini varian malware ramnit telah menyebar dengan cepat di seluruh dunia. Serangan ramnit ikut melengkapi dominasi malware mancanegara yang menyebar di Indonesia

Keluarga malware W32/Ramnit
Malware ramnit sesungguhnya bukanlah kelompok malware yang baru, melainkan sudah aktif menyebar pula di tahun 2010. Hanya karena adanya malware pengguna celah keamanan LNK seperti shortcut, sality, stuxnet, yang membuat malware ini tidak menjadi perhatian para analisis dan pengguna komputer di dunia.

Sama seperti stuxnet, varian pertama W32/Ramnit muncul pada pertengahan Juli dan Agustus 2010. Sedangkan varian kedua W32/Ramnit muncul pada Oktober dan Nopember 2010, bersamaan dengan heboh-nya serangan sality-shortcut. Dan pada pertengahan Januari 2011 saat ini yang muncul adalah varian ketiga dari keluarga W32/Ramnit yang mencoba mengikuti jejak para pendahulunya dengan menggunakan celah keamanan LNK (shortcut) untuk melakukan infeksi dan penyebaran.

Karakteristik W32/Ramnit
Salah satu hal yang membuat kita perlu hati-hati terhadap W32/Ramnit yaitu karena malware ini termasuk kelompok virus yang melakukan infeksi file seperti Sality, Virut dan Alman. Hal ini bisa menjadi momok buat pengguna komputer, karena akan sulit membersihkan virus yang melakukan infeksi file terutama file executable (application).

W32/Ramnit merupakan salah satu varian virus yang melakukan infeksi file executable (application). Dan tidak hanya file executable, tetapi juga melakukan infeksi terhadap file web (HTML) dan file DLL (dynamic load library).

Selain itu, jika anda terhubung ke internet, ramnit akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload sekumpulan malware (virus, trojan, spyware). Pada beberapa waktu tertentu, W32/Ramnitmenggunakan iklan dan popup dengan konten pornografi dan perjudian (casino) maupun iklan komersial lain yang tentunya membuat anda tidak nyaman saat hendak browsing maupun surfing. Bayangkan kalau hal ini terjadi pada saat anak anda yang dibawah umur sedang menggunakan komputer yang anda proteksi dengan Parental Control. Bagi orang tua ini bencana karena anak anda terpapar pornografi (karena kemungkinan besar konten porno yang ditampilkan akan lolos dari Parental Control yang di pasang) dan bagi anak hal ini bisa-bisa dianggap "berkah" karena proteksi pornografi yang di pasang ternyata bisa diakali.

Dengan turut memanfaatkan celah keamanan LNK (shortcut), maka makin mempermudah langkahnya untuk menginfeksi pengguna komputer dengan cepat. Walaupun tidak semua varian ketiga W32/Ramnit menggunakan celah keamanan LNK (shortcut), tetapi hampir semua varian W32/Ramnit akan sangat sulit dibersihkan.

Gejala & Efek W32/Ramnit
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

1.       Muncul pop-up iklan atau pop-up dengan konten pornografi/perjudian
2.       Muncul script error atau pop-up error setelah pop-up iklan yang muncul
3.       Injeksi file HTML
4.       Membuat fungsi services Windows menjadi blank
5.       Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus.
      6.       Aktif pada proses memory

bener ga sih virus ramnit bisa bikin K.O deepfreeze atau shadow deffender? setelah saya alamin emang bener bgt ternyata shadow defender saya jebol oleh virus ini ck..ck..ck.. 2 hari saya ga bisa tidur gara - gara Ramnit ini huft!

Virus Ramnit.. :
  1. Virus yang menginjeksi file .html , .exe dan .dll
  2. Virus yang menular melalui removable disk ( UFD ) dengan cara mengcopy file .cpl dan .exe yang selalu bertambah dan berubah-ubah namanya.Yang tepatnya file tersebut berada di dalam folder Recycler… dan 4 file shortcut copy of yang akan menjalankan file *.cpl infektor yang terdapat di folder recycler UFD.
  3. Bila Virus tersebut telah meng-infeksi system komputer , virus tersebut akan membuat dan menjalankan file svchost.exe yang akan melakukan berbagai hal: a. membuat file bernama : watermark.exe yang bertempat di folder : C:\programfiles\mikrosoft\watermark.exe. b. merubah  registry userinit.exe mejadi menjalankan : watermark.exe , sehingga virus tersebut menguasai sistem secara permanen , dengan cara menginfeksi file berekstensi .exe , . dll dan .html
  4. Jika di properties , UFD akan terlihat banyak terpakai oleh file .cpl dan .exe di folder recycler.
Efeknya :
  1. Virus ramnit akan membuat file program tidak berjalan dengan normal , misalnya: mozilla firefox , winamp dll
  2. kita tidak bisa menghapus file watermark.exe yang ada difolder c:\programfiles\microsoft\watermark.exe , dikarenakan file tersebut dikunci oleh file svchost.exe-nya virus ramnit.
  3. bila kita hapus file / folder yang ada didalam folder recycler UFD , file .cpl dan .exe akan muncul kembali.. dan terus menulis kembali…
  4. untuk system yang telah terinfeksi file tertentu.. misalnya : explorer.exe akan digantikan explorermgr.exe
  5. bila kita membersihkan virus ini tidak tuntas ( ada yang belum dibersihkan ) , Virus ini akan kembali bila kita menjalankan  aplikasi ( misalnya : klik kanan ).
  6. ramnit ini dapat menyerang pada jaringan komputer, di tambah lagi ramnit ini bisa download otomatis virus lain ke komputer kita supaya ikut gabung arisan ngerusak sistem jaringan di komputer yang tersambung pada jaringan internet, inilah bahayanya virus ramnit.

    Antisipasi Virus RAmnit:

    1.  .Matikan autorun.inf windows bisa berbagai macam cara : dengan menggunakan gpedit.msc>>administrative template>>turn off auto play>>enable>>alldrive , atau menggunakan regedit.
    2. Rubah beberapa ektensi file yang berpotensi digunakan oleh virus dengan assosiasi file ( misalnya: assoc .vbs=txtfile ) terutama untuk Virus ramnit adalah ekstensi .cpl
    3. Hapus selalu folder recycler didalam UFD , bila tidak bisa ada kemungkinan komputer kita terinfeksi Virus…
    4. Dan hapus dengan menggunakan mini windows Xp ( hiren BOOt CD ) atau system berbasis linux , folder recycler dan _restore yang ada di folder systeminformation
    5. Install Anti virus dengan Update database terbaru… dan usahakan anti virus tersebut diupdate databasenya.. baik secara online ataupun offline.

    Membasmi Ramnit Dengan Dr. Web Live CD

    Seperti yang sudah dijelaskan bahwa virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program maupun file system Windows, oleh karena itu sebaiknya pembersihan dilakukan pada mode DOS.

    Untuk mempermudah pembersihan silahkan gunakan Windows Mini PE Live CD (silahkan search di Internet). Kemudian download tools Dr.Web CureIt! disini <<< sebaiknya dilakukan di komputer yang tidak terinfeksi virus. Agar tools Dr.Web CureIt! tidak terinfeksi, sebaiknya di ZIP dan di password

    1. Agar pembersihan dapat dilakukan ooptimal, sebaiknya scan semua HDD termasuk USB Flash maupun HDD eksternal, hal ini dikarenakan virus ini akaan drop beberapa file di USB Flash atau HDD eksternal.

    2. Sebelum melakukan pembersihan sebaiknya blok file duplikat virus dengan menggunakan fitur ”Software Restriction Policies”. Fitur ini hanya ada pada system operasi Windows XP Pro, Vista, 7, Server 2003 dan Server 2008 dengan cara sebagai berikut:

     
    • Klik menu [Start]
    • Klik [Run]
    • Pada dialog box RUN, ketik SECPOL.MSC kemudian klik tombol [OK]
    • Setelah muncul layar ”Local Security Policy”, klik kanan menu "Software Restriction Policies” dan klik ”Create New Policies” atau ”New Software Restriction Policies” jika menggunakan Windows Vista/7
    • Kemudian klik kanan pada menu ”Additional Rules”, kemudian pilih ”New Hash Rule...”  
      
·          
      Kemudian akan muncul layar ”New Hash Rule”. Pada kolom ”File Hash”, klik tombol [Browse] dan tentukan salah satu file duplikasi virus yang mempunyai icon ”Folder” dengan ukuran 105 KB (contoh C:\Windows\Explorermgr.exe) kemudian klik tombol [Open]. Pada kolom ”Security Level”, pilih [Disallowed]. Kemudian klik tombol [OK] 

  • 3. Hubungkan USB Flash dan HDD eksternal ke komputer
  CATATAN PENTING !!!
 
Anda disarankan untuk selalu mendownload Dr Web Live CD yang baru setiap kali ingin menggunakan untuk membersihkan dan membasmi virus. Jika anda menggunakan DR Web Live CD yang lama, maka definisi virus yang terkandung di dalam CD tersebut akan mengikuti saat terakhir anda download Dr Web Live CD tersebut. Alternatif lain adalah anda menggunakan software antivirus Dr Web berbayar yang didistribusikan oleh virusICU. http://www.virusICU.com  yang merupakan group dari PT. Vaksincom. Bagi pengguna produk Vaksincom yang membutuhkan bantuan mendapatkan / download Dr Web Live CD dapat menghubungi info@vaksin.com secara gratis.


  • Setelah software Dr.Web LiveCD berhasil di download, burn kedalam CD/DVD
  • Hubungkan USB Flash dan HDD eksternal ke komputer
  • Booting komputer melalui CD/DVD ROM
  • Kemudian akan muncul layar “Welcome to Dr.Web LiveCD” 

  • Pilih “Dr.Web LiveCD (Default)” kemudian tekan tombol “Enter” pada keyboard
  • Tunggu beberapa saat sampai muncul interface Dr.Web LiveCD yang akan menampilkan aplikasi “Dr.Web Scanner” secara otomatis. Dr.Web Scanner ini berfungsi untuk melakukan pemeriksaan terhadap komputer anda dari kemungkinan adanya virus.
  • Untuk Scan HDD, pada layar “Dr.Web Scanner” pilih lokasi Drive yang akan di periksa dan pastikan anda check list opsi “Scan subdirectories” agar Dr.Web dapat melakukan pemeriksaan terhadap direktori dan subdirektori agar pembersihan lebih optimal. Jika layar Dr.Web Scanner tidak muncul klik ganda icon “Dr.Web Scanner” yang terdapat pada Desktop.
  • Kemudian klik tombol [Start] untuk memulai proses pemeriksaan (scan)
  • Tunggu beberapa saat sampai proses scan selesai dilakukan. Jika ditemukan adanya virus, Dr.Web akan menginformasikan file yang terinfeksi dan jenis virus yang menginfeksi pada kolom informasi virus yang tersedia.
  • Klik tombol [Select All] untuk memilih semua objek/file yang akan di bersihkan atau Anda dapat menentukan file mana saja yang akan Anda bersihkan dengan check list pada opsi yang tersedia
  • kemudian klik tombol [Cure] untuk membersihkan file yang telah terinfeksi virus
  • Tunggu sampai proses pembersihan selesai dilakukan
  • Scan ulang komputer untuk memastikan komputer bersih dari virus
  • Restart komputer.
TAMBAHAN :
  1. Download spyware doctor with Antivirus 2010 disini <<<
  2. Sebaiknya memang diinstal ulang saja computer anda sekalian tetapi setelah itu jangan diinstal driver dulu. Cara yang harus dilakukan adalah cara ke- 3
  3. Matikan autorun lewat start-run atau bisa dengan Win+R dan ketikan gpedit.msc . pada computer configuration-system klik 2x pada “Turn off autoplay” klik enable dan bawahnya klik pada All drive dan lakukan hal sama pada user configuration
  4. Sementara matikan akses untuk System Volume Information dan Recycle setiap Harddrive. Caranya adalah klik tools Folder option pada tab view hilangi centang pada use simple file sharing dan klik ok, lalu klik kanan pada System Volume Information di drive C:\ klik sharing and security pada tab security klik advanced dan hilangkan centangan pada option dibawahnya. Klik ok. Jika ada peringatan klik ok saja. Dan ok dan selesai. Lakukan pada recycle dan pada drive anda yang lain
  5. Buat folder micro**oft pada dua buah tempat yaitu di security c:\program files\ dan c:\program files\common files\ dan lakukan cara ke -4
  6. Scan virus dengan antivirus
  7. Hapus file mecurigakan yang ada di drive kalian misal tryel.exe
  8. Seharusnya sampai sini computer sudah aman. Jika tempat saya sih.
  9. Sementara jangan meng-copy file yang sama dengan file yang sudah terinfeksi di-folder yang sama namanya.
  10. Semoga membantu.

Penulis : dziigxx ~ Sebuah blog yang menyediakan berbagai macam informasi

Artikel Ramnit (waspada dgn yg satu ini virus / malware) ini dipublish oleh dziigxx pada hari Senin, 09 Mei 2011. Semoga artikel ini dapat bermanfaat.Terimakasih atas kunjungan Anda silahkan tinggalkan komentar.sudah ada 0 komentar: di postingan Ramnit (waspada dgn yg satu ini virus / malware)
 

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)