Latest Stories

PI virus ramnit

Posted by Wikan wicaksono - 0 comments


Pendahuluan:
       


      Pernahkah kalian mengalami hang saat mengerjakan tugas yang deadlinenya esok hari atau lusa ?  , sedangkan  kalian tidak punya waktu untuk menulis ulang bagian-bagian yang belum di save  lalu , apa penyebabnya komputer tersebut menjadi hang dan tidak bisa digunakan atau lebih tepatnya komputer mengalami pelambatan performa ? , ya ini sering terjadi dan disebabkan oleh kecerobohan pengguna internet ditambah virus dan malware yang menjangkit laptop atau dekstop pc anda , kebanyakan masalah komputer disebabkan oleh komputer yang tidak di proteksi oleh antivirus / antimalware .

        Saya pernah mengalami ini dan sanagat membuat kesal jujur saja  , saya tidak tahu apa yang terjadi pada laptop saya kala itu , cpu usage laptop hampir 100% padahal laptop baru saja dinyalakan  , dan tentu saja karena cpu usage hampir 100% laptop menjadi sangat lambat bahkan tidak bisa digunakan sama sekali , kesal bukan ? saya mencoba mengatasi nya dengan menginstal ulang laptop saya  , saya hanya menginul bagian drive yang terdapat windows saja, dan tebak ketika saya membuka drive d saya dan menjalakan game yang ingin saya mainkan dan yap bodohnya saya terkena virus yang sama untuk kedua kalinya secara berturut  , untuk mengetahui virus masih ada atau tidak lebih baik kita tahu lebih dulu kan ? , nah saya akan membahas virus yang menginfeksi laptop saya waktu itu virus ini bernama ramnit .





Latar Belakang Masalah :



Secara umum virus ini cukup merepotkan,  ia akan selalu melakukan koneksi ke internet untuk memanggil  alamat website yang sudah ditentukan yang akan ditampilkan secara terus menerus sehingga mengakibatkan komputer menjadi lambat pada saat di akses, terlebih virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik berupa file program maupun file system Windows sehingga diperlukan langkah pembersihan khusus.

Ramnit sendiri terdiri dari beberapa jenis yang terdiri dari ramnit gen a ,b,c bahkan seurut dengan alfabet ramnit bisa ada sampai z dan akan menginfeksi komputer / laptop anda jika anda terkena salah 1 jenis virus ramnit tersebut. Dan saya akan membahas tentang virus ramnit yang menurut saya lebih sering menjangkit dekstop pc  / laptop anda.

Laptop menjadi berat dan memory usage akan naik terus bahkan hngga 100% , dalam kondisi seperti ini performance pc / komputer anda akan melemah  , bahkan tidak bsia digerakan sedikitpun , atau hang  kemungkinan blue screen juga ada dan bisa membuat data anda terhapus jika sembarangan menghapus file yang anda curigai  , lalu bagaimana kita membenarkan laptop/pc kita ? disiini kita akan mulai membahas cara menangani virus ini.





Tujuan Penelitian :

Sebelumnya telah dibahas apa yang disebabkan oleh virus ini  , bukan hanya memrusak sistem bahkan ketika terjangkit virus ini laptop / pc kemungkinan besar harus di instal ulang  tetapi bagaimana jika windows yang kita gunakan asli dan telah mencapai limit penggunaan ? bagi pengguna windwos original ada cara tersendiri lalu bagaimana dengan pengguna bajakan ? masa harus menginstal ulang terus menerus ? tidak kan ? ada beberapa cara untuk membenarkan sistem yang terjangkit. Tapi daripada membenarkan lebih baik mencegah bukan ? pertama2 kita harus tahu ciri2 virus ini apa agar kita bisa menghindarinya ,
Ciri dan gejala
Berikut beberapa ciri dan gejala jika komputer terinfeksi virus W32/Ramnit (Win32.Siggen.8)

  1. Akan menampilkan aplikasi Internet Explorer yang berisi penawaran atau iklan investasi, game dan program-program promosi (terkadang menampilkan iklan porno) dalam jumlah yang banyak secara terus menerus selama komputer terkoneksi internet sehinggamenghabiskan banyak bandwidth untuk iklan yang ditampilkan dan mengakibatkan akses internet menjadi lambat (lihat gambar 1).

Gambar 1, Alamat website yang akan ditampilkan oleh W32/Ramnit (Win32.Siggen.8)

  1. Icon Removable media (USB Flash) berubah menjadi icon Folder (lihat gambar 2)

Gambar 2, Icon USB Flash yang diubah W32/Ramnit (Win32.Siggen.8 )

  1. User tidak dapat mengakses USB Flash  dengan menampilkan pesan ”Access is denied” (lihat gambar 3)

Gambar 3, Blok akses USB Flash

  1. Muncul pesan “Compressed (zipped) Folders” pada saat mengakses Flash disk (lihat Gambar 4)

Gambar 4, Pesan error saat akses USB Flash

  1. Muncul banyak file dengan nama file “Copy of Shortcut to (1).lnk s/“Copy of Shortcut to (4).lnk di USB Flash. (lihat gambar 5)

Gambar 5, File virus yang di drop oleh virus  di USB Flash

  1. Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini.

Dengan update terbaru Dr.Web antivirus mendeteksi virus ini sebagai Win32.Siggen.8 sedangkan untuk file-file lain dikenali sebagai Trojan.Packed.21232, Trojan.Hotrend.34 atau Trojan.Starter.1602 (lihat gambar 6)

Gambar 6, Hasil deteksi Dr.Web antivirus

Ciri-ciri file induk virus
Sebagai informasi, virus ini akan menyebar menggunakan Removable media (USB Flash) dengan memanfaatkan fitur autorun Windows. Agar virus dapat aktif secara otomatis, ia akan membuat file autorun.inf, selain itu ia akan membuat 4 (empat) buah file shortcut dengan nama ”Copy of Shortcut to (1).lnk s/“Copy of Shortcut to (4).lnk”. Jika user menjalankan salah satu ke 4 file shortcut tadi maka secara otomatis akan menjalankan  file virus yang sudah dipersiapkan di direktori [%USB Flash%:\RECYCLER\%nama_acak%.exe].

Virus ini juga akan menginjeksi file yang mempunyai ekstensi EXE, setiap file EXE yang terinjeksi akan mempunyai ukuran 107 KB lebih besar dari ukuran asalnya. Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama_file_asal%mgr.exe (contohnya: jika user menjalankan file yang sudah di injeksi dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb, file duplikat ini dideteksi sebagai Trojan.Packed.21232.

Gambar7, Contoh file asli (sebelum injeksi), setelah injeksi dan file duplikat virus

Pada saat user menjalankan file tersebut, virus akan melakukan sinkronisasi  ke beberapa alamat IP yang sudah dipersiapkan untuk mendownload file atau virus lain untuk dijalankan di komputer target. File yang di download akan mempunya nama file dan ukuran yang berbeda-beda, jadi antara komputer target yang satu dengan yang lain akan mempunyai nama file induk yang berbeda-beda.

Berikut beberapa contoh file induk Win32.Siggen.8

  • C:\WINDOWS\Temp\dbww\setup.exe

  • C:\Documents and Settings\%user%\Application Data

·         %xx%.exe, dimana %xx% adalah acak

  • C:\Documents and Settings\%user%\Local Settings\Temp\%xx%.exe dan %yy%.dll

Catatan: %xx% dan %yy% ini berbeda-beda, contohnya : Nh0.exe, Nh1.exe, Nh2.exe, Nhz.exe dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (lihat gambar 8)
               
                Gambar 8, File induk virus
               
File ini di deteksi  oleh Dr.Web anti-virus sebagai Win32.Siggen.8
               
  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup
·         %xx%.exe, dimana %xx% adalah acak (terdeteksi sebagai Trojan.Packed.21232)

  • C:\WINDOWS\Nzazab.exe, Nzazaa.exe, Explorermgr.exe

Catatan:  %xx% ini berbeda-beda, contohnya : [Nzazaa.exe dan Nzazab.exe] dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (dikenali sebagai Win32.Siggen.8) dan file [Explorermgr.exe] yang merupakan duplikasi file [Explorer.exe] dengan ukuran 105 KB, file ini akan mempunyai icon folder (Trojan.packed.21232) (lihat gambar 9)

                Gambar 9File induk virus

  • C:\Windows\task\%acak%.job

Berupa 3 (tiga) buah file yang digunakan untuk menjalankan file virus yang sudah dipersiapkan sesuai dengan waktu yang telah ditentukan. (lihat gambar 10)
Gambar 10, Task Schedule Win32.Siggen.8

  • C:\Windows\System32\ms.dll (Trojan.Starter.1602)
  • C:\Windows\System32\dll (Trojan.Hottrend.34)
  • C:\Windows\System32\sshnas21.dll (Trojan.Packed.21232)
  • C:\Windows\System32\Cheuehyld.dll Trojan.Packed.21232

Setelah ia berhasil menginfeksi komputer, langkah selanjutnya adalah mengifeksi file [C:\Windows\Explorer.exe dan C:\Windows\System32\Winlogon]. Pada saat user menjalankan file [Explorer.exe] maka ia akan membuat file duplikasi yang akan di simpan di direktori sama dengan nama [Explorermgr.exe] dengan ukuran 105 KB. File [Explorermgr.exe] inilah yang nantinya dijadikan sebagai senjata agar dirinya dapat aktif secara otomatis setiap kali user melakukan klik kanan pada file/folder/drive, pada saat melakukan double click USB Flash atau pada saat user menjalankan file [Explorer.exe]. Setelah berhasil menjalankan aksinya, ia akan memanggil file induk lainnya yang ditugaskan untuk aktif di memori, untuk mengelabui user ia kemudian akan memanggil aplikasi [C:\Program files\Internet Explorer\Iexplore.exe]. (lihat gambar 11)

Gambar 11, proses virus Win32.siggen.8

Registri Windows
Untuk memastikan agar dirinya dapat aktif secara otomatis pada saat komputer diaktifkan, ia akan membuat dan merubah beberapa registriberikut:

  • HKEY_CURRENT_USER\Software\CE8SIIFGSU
  • HKEY_CURRENT_USER\Software\Microsoft\Handle
  • HKEY_CURRENT_USER\Software\NtWqIVLZEWZU\%acak%
  • HKEY_CURRENT_USER\Software\XML
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • CE8SIIFGSU = C:\DOCUME~1\%user%\LOCALS~1\Temp\Nh1.exe
    • Microsoft Driver Setup = C:\Windows\ggdrive32.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\□

Menampilkan website
Komputer yang sudah terinfeksi virus akan selalu melakukan koneksi internet dan memanggil website secara terus menerus dengan isi yang berbeda-beda, koneksi yang dilakukan secara terus menerus ini mengakibatkan komputer menjadi lambat pada saat digunakan. Dalam beberapa kasus virus ini juga menyebabkan “Virtual Memory Minimum Too Low” (lihat gambar 1 di atas dan gambar 12)

Gambar 12, Virtual memory low

Injeksi file EXE, DLL dan HTM/HTML
Aksi lain yang akan dilakukan oleh virus ini adalah menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program aplikasi maupun file system Windows.   Setiap file yang terinjeksi akan bertambah ukurannya sekitar 107-109 KB.

Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama file asal%mgr.exe (contohnya: jika user menjalankan file dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb. (lihat gambar 7)

Setiap file yang terinfeksi dikenali sebagai Win32.Siggen.8 sedangkan file dupikasi yang dihasilkan dari file yang terinfeksi jika file tersebut dijalankan dikenali sebagai Trojan.Packed.21232

Blok akses Removable Media (USB Flash)
Selain itu, ia juga akan blok akses Removable Media (USB Flash). Tetapi anda tidak perlu khawatir karena virus ini akan blok akses USB Flash jika user mengakses dengan cara [Klik kanan USB Flash | klik Open atau Explorer] atau Double click USB Flash. (lihat gambar 13)

Gambar 13, Blok akses USB Flash

Ia juga akan menampilkan pesan error berikut saat user berhasil mengakses USB Flash (lihat gambar 14)

Gambar 14, Pesan error saat akses USB Flash

Virus ini juga akan menampilkan pesan error saat user mengakses kolom ”Extended” pada aplikasi [Services.msc] (lihat gambar 15)

Gambar 15, Blok akses services (Extended)

Media penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan  USB Flash dengan memanfaatkan fitur autorun Windows dengan membuat beberapa file berikut:
  • Autorun.inf
  • 4 (empat) buah file shortcut (copy of Shortcut to (1).lnk s.d copy of Shortcut to (4).lnk)
  • RECYCLER\%XX%
    • %xx%.exe dengan ukuran 105 KB
    • %xx%.cpl dengan ukuran 4 KB

Catatan: %xx% adalah folder/file dengan nama acak (lihat gambar 16)

Gambar 16, File yang dibuat oleh virus

Jika user menjalankan salah satu file shortcut maka secara otomatis akan menjalankan file virus yang berada di direktori [RECYCLER\%XX% ]

File autorun.inf sendiri berisi script yang akan dijalankan secara otomatis pada saat user akses USB Flash tersebut, script ini berisi perintah untuk menjalankan file yang berada di direktori  [RECYCLER\%XX% ] (lihat gambar 17)

Gambar 17, script autorun.inf

Metodologi penelitian :

Karena penasaran yang dibarengi dengan rasa kesal karena laptop saya terinfeksi virus ini , saya mencari dan mencari entah dari buku ,web maupun bertanya pada teknisi komputer akhirnya saya menemukan beberapa cara untuk membersihkan laptop /pc dekstop dari virus ini ,dan caranya pun tidak begitu sulit hanya membutuhkan koneksi internet dan software untuk membersihkannya , jadi tidak perlu melakukan instal ulang.

Analisis dan pembahasan :
Cara membersihkan W32/Ramnit (Wiin32.Siggen.8)
Seperti yang sudah dijelaskan bahwa virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program maupun file system Windows, oleh karena itu sebaiknya pembersihan dilakukan pada mode DOS. Untuk mempermudah pembersihan silahkan gunakan Windows Mini PE Live CD (silahkan search di Internet). Kemudian download tools Dr.Web CureIt! di alamat berikut dan sebaiknya dilakukan di komputer yang tidak terinfeksi virus. Agar tools Dr.Web CureIt! tidak terinfeksi, sebaiknya di ZIP dan di password.

Silahkan download Dr.Web CureIt! di alamat berikut
http://www.freedrweb.com/cureit/?lng=en

1.       Agar pembersihan dapat dilakukan ooptimal, sebaiknya scan semua HDD termasuk USB Flash maupun HDD eksternal, hal ini dikarenakan virus ini akaan drop beberapa file di USB Flash atau HDD eksternal.

2.       Sebelum melakukan pembersihan sebaiknya blok file duplikat virus dengan menggunakan fitur ”Software Restriction Policies”. Fitur ini hanya ada pada system operasi Windows XP Pro, Vista, 7, Server 2003 dan Server 2008 dengan cara  sebagai berikut:

·         Klik menu [Start]
·         Klik [Run]
·         Pada dialog box RUN, ketik SECPOL.MSC  kemudian klik tombol [OK]
·         Setelah muncul layar ”Local Security Policy”, klik kanan menu [Software Restriction Policies” dan klik ”Create New Policies” atau ”New Software Restriction Policies” jika menggunakan Windows Vista/7
·         Kemudian klik kanan pada menu ”Additional Rules”, kemudian pilih ”New Hash Rule...” (lihat gambar 18)
Gambar 18, blok file virus

·         Kemudian akan muncul layar ”New Hash Rule”. Pada kolom ”File Hash”, klik tombol [Browse]  dan tentukan salah satu file duplikasi virus yang mempunyai icon ”Folder” dengan ukuran 105 KB (contoh C:\Windows\Explorermgr.exe) kemudian klik tombol [Open]. Pada kolom ”Security Level”, pilih [Disallowed]. Kemudian klik tombol [OK] (lihat gambar 19)

Gambar 19, menentukan file virus yang akan di blok

3.       Hubungkan USB Flash dan HDD eksternal ke komputer

Gunakan Dr Web Live CD untuk membasmi virus ini dengan tuntas. Silahkan download software tersebut dialamat berikut:
http://www.freedrweb.com/livecd/?lng=en

PENTING !!!
Anda disarankan untuk selalu mendownload Dr Web Live CD yang baru setiap kali ingin menggunakan untuk membersihkan dan membasmi virus. Jika anda menggunakan DR Web Live CD yang lama, maka definisi virus yang terkandung di dalam CD tersebut akan mengikuti saat terakhir anda download Dr Web Live CD tersebut. Alternatif lain adalah anda menggunakan software antivirus Dr Web berbayar yang didistribusikan oleh virusICU. http://www.virusICU.com yang merupakan group dari PT. Vaksincom. Bagi pengguna produk Vaksincom yang membutuhkan bantuan mendapatkan / download Dr Web Live CD dapat menghubungi info@vaksin.com secara gratis.

  1. Setelah software Dr.Web LiveCD berhasil di download, burn kedalam CD/DVD
  2. Hubungkan USB Flash dan HDD eksternal ke komputer
  3. Booting komputer melalui CD/DVD ROM
  4. Kemudian akan muncul layar “Welcome to Dr.Web LiveCD” (lihat gambar 20)
Gambar 20, Pilihan booting Dr.Web LiveCD

  1. Pilih “Dr.Web LiveCD (Default)” kemudian tekan tombol “Enter” pada keyboard
  2. Tunggu beberapa saat sampai muncul interface Dr.Web LiveCD yang akan menampilkan aplikasi “Dr.Web Scanner” secara otomatis. Dr.Web Scanner ini berfungsi untuk melakukan pemeriksaan terhadap komputer anda dari kemungkinan adanya virus  (lihat gambar 21)
Gambar 21, Dr.Web LiveCD

  1. Untuk Scan HDD, pada layar “Dr.Web Scanner” pilih lokasi Drive yang akan di periksa dan pastikan anda check list opsi “Scan subdirectories” agar Dr.Web dapat melakukan pemeriksaan terhadap direktori dan subdirektori agar pembersihan lebih optimal. Jika layar Dr.Web Scanner tidak muncul klik ganda icon “Dr.Web Scanner” yang terdapat pada Desktop.
  2. Kemudian klik tombol [Start] untuk memulai proses pemeriksaan (scan)
  3. Tunggu beberapa saat sampai proses scan selesai dilakukan. Jika ditemukan adanya virus, Dr.Web akan menginformasikan file yang terinfeksi dan jenis virus yang menginfeksi pada kolom informasi virus yang tersedia.
  4. Klik tombol [Select All] untuk memilih semua objek/file yang akan di bersihkan atau Anda dapat menentukan file mana saja yang akan Anda bersihkan dengan check list pada opsi yang tersedia
  5. kemudian klik tombol [Cure] untuk membersihkan file yang telah terinfeksi virus
  6. Tunggu sampai proses pembersihan selesai dilakukan
  7. Scan ulang komputer untuk memastikan komputer bersih dari virus
  8. Restart komputer.
Cukup mudah bukan ? dari beberapa cara yang ada  , saya memilih cara ini karena cukup mudah dan laptop / pc dekstop anda akan bentar2 terbebas dari virus ini , tapi itu jika anda menggunakan laptop anda dengan hati hati setelahnya .
Sekian dari saya untuk pembahasan masalah virus ini , untuk kedepannya dapat diambil kesimpulan bahwa jangan lupa untuk berhati hati jika anda sedang menelusuri web  , instal anti virus yang menurut anda bagus dan selalu berhati hati jangan membuka web yang aneh aneh lebih tepatnya .


Categories:

Leave a Reply

    Blogger news

    Blogroll

    About