(Part I) W32/Ramnit, virus bandel saingan Sality yang menginjeksi file exe mendownload virus baru

Posted: April 1, 2011 in Uncategorized
Tag:, , , , , , ,

Perhatian para pengguna komputer dalam beberapa bulan terakhir ini banyak tersita pada Stuxnet, Sality, Virut dan Shortcut. Termasuk perkembangan virus lokal yang secara tidak langsung menantang kreativitas programmer-programmer
untuk memunculkan program antivirus lokal seperti Artav yang digawangi oleh anak SMP🙂. Perhatian user yang cukup besar terhadap virus lokal jangan sampai mengakibatkan lengah dengan keberadaan virus mancanegara, seperti salah satu virus yang sedang menyebar saat ini. Virus ini termasuk golongan trojan/ backdoor, ia akan aktif jika komputer target terkoneksi internet dan salah satu senjata pamungkasnya yang berbahaya dan membuat pusing pengguna komputer adalah melakukan download virus lain. Hebatnya, nama dan
jenis virus yang didownload akan berbeda-beda untuk setiap komputer target baik dari nama maupun ukurannya, hal inilah yang menyebabkan banyak program antivirus sekalipun kesulitan untuk melakukan deteksi dan pembersihan. Jika file tersebut berhasil di download, maka secara otomatis akan di aktifkan di komputer dan melakukan serangkaian kode jahat yang sudah ditanam didalam tubuhnya.

Secara umum virus ini cukup merepotkan, ia akan selalu melakukan koneksi ke internet untuk memanggil alamat website yang sudah ditentukan yang akan ditampilkan secara terus menerus sehingga mengakibatkan komputer menjadi lambat pada saat di akses, terlebih virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik berupa file
program maupun file system Windows sehingga diperlukan langkah pembersihan khusus.

Ciri dan gejala

Berikut beberapa ciri dan gejala jika komputer terinfeksi virus W32/Ramnit (Win32.Siggen.8)

) 1. Akan menampilkan aplikasi Internet Explorer yang berisi penawaran atau iklan investasi, game dan program- program promosi (terkadang menampilkan iklan porno) dalam jumlah yang banyak secara terus menerus selama komputer terkoneksi internet sehingga menghabiskan banyak bandwidth untuk iklan yang ditampilkan dan mengakibatkan akses internet
menjadi lambat (lihat gambar 1).
foto
Gambar 1, Alamat website yang akan ditampilkan oleh W32/Ramnit (Win32.Siggen.8)
Icon Removable media (USB Flash) berubah menjadi icon Folder (lihat gambar 2)foto

foto
Gambar 2, Icon USB Flash yang diubah W32/Ramnit (Win32.Siggen.8 )

3. User tidak dapat mengakses USB Flash dengan menampilkan pesan ”Access is denied” (lihat gambar 3)
fotoGambar 3, Blok akses USB Flash

4. Muncul pesan “Compressed (zipped) Folders” pada saat mengakses Flash disk (lihat Gambar 4)
fotoGambar 4, Pesan error saat akses USB Flash

5. Muncul banyak file dengan nama file “Copy of Shortcut to (1).lnk ” s/d “Copy of Shortcut to (4).lnk ” di USB Flash. (lihat gambar 5)
fotoGambar 5, File virus yang di drop oleh virus di USB Flash

6. Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini.

Dengan update terbaru Dr.Web antivirus mendeteksi virus ini sebagai Win32.Siggen.8 sedangkan untuk file-file lain dikenali sebagai Trojan.Packed.21232, Trojan.Hotrend.34 atau Trojan.Starter.1602 (lihat gambar 6)
fotoGambar 6, Hasil deteksi Dr.Web
antivirus

Ciri-ciri file induk virus

Sebagai informasi, virus ini akan menyebar menggunakan Removable media (USB Flash) dengan memanfaatkan fitur autorun Windows. Agar virus dapat aktif secara otomatis, ia akan membuat file autorun.inf, selain itu ia akan membuat 4 (empat) buah file shortcut dengan nama ”Copy of Shortcut to (1).lnk ” s/d “Copy of Shortcut to (4).lnk ”. Jika user menjalankan salah satu ke 4 file shortcut tadi maka secara otomatis akan menjalankan file virus yang sudah dipersiapkan di direktori [%USB Flash%: \RECYCLER\%nama_acak
%.exe].

Virus ini juga akan menginjeksi file yang mempunyai ekstensi EXE, setiap file EXE yang terinjeksi akan mempunyai ukuran 107 KB lebih besar dari ukuran asalnya. Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama_file_asal%mgr.exe
(contohnya: jika user menjalankan file yang sudah di injeksi dengan nama ”ATF- Cleaner.exe ” maka akan muncul file duplikat virus dengan nama ”ATF- Cleanermgr.exe ” dengan ukuran 105 kb, file duplikat ini
dideteksi sebagai Trojan.Packed.21232.
foto
Gambar7, Contoh file asli (sebelum injeksi), setelah injeksi dan file duplikat virus

Pada saat user menjalankan file tersebut, virus akan melakukan sinkronisasi ke beberapa alamat IP yang sudah dipersiapkan untuk mendownload file atau virus lain untuk dijalankan di komputer target. File yang di download akan mempunya nama file dan ukuran yang berbeda-beda, jadi antara komputer target yang satu dengan yang lain akan mempunyai nama file induk yang berbeda-beda.

Berikut beberapa contoh file induk Win32.Siggen.8

C:\WINDOWS\Temp\dbww
\setup.exe

C:\Documents and Settings\ %user%\Application Data

· %xx%.exe, dimana %xx % adalah acak

C:\Documents and Settings\ %user%\Local Settings\Temp\ %xx%.exe dan %yy%.dll

Catatan: %xx% dan %yy% ini berbeda-beda, contohnya : Nh0.exe, Nh1.exe, Nh2.exe, Nhz.exe dengan menggunakan icon “Adobe Player Setup ” dengan ukuran yang berbeda-beda (lihat gambar 8)
foto
Gambar 8, File induk virus

File ini di deteksi oleh Dr.Web anti-virus sebagai Win32.Siggen.8

C:\Documents and Settings\ %user%\Start Menu\Programs
\Startup · %xx%.exe, dimana %xx% adalah acak (terdeteksi sebagai Trojan.Packed.21232) C:\WINDOWS\Nzazab.exe,
Nzazaa.exe, Explorermgr.exe Catatan: %xx% ini berbeda- beda, contohnya : [Nzazaa.exe dan Nzazab.exe] dengan menggunakan icon “Adobe Player Setup ” dengan ukuran yang berbeda-beda (dikenali sebagai Win32.Siggen.8) dan file [Explorermgr.exe] yang merupakan duplikasi file [Explorer.exe] dengan ukuran 105 KB, file ini akan mempunyai icon folder (Trojan.packed.21232) (lihat gambar 9)foto
Gambar 9, File induk virus C:\Windows\task\%acak
%.job Berupa 3 (tiga) buah file yang digunakan untuk menjalankan file virus yang sudah dipersiapkan sesuai dengan waktu yang telah ditentukan. (lihat gambar 10)foto
Gambar 10, Task Schedule Win32.Siggen.8

C:\Windows\System32\ms.dll
(Trojan.Starter.1602) C:\Windows\System32\dll
(Trojan.Hottrend.34) C:\Windows
\System32\sshnas21.dll
(Trojan.Packed.21232) C:\Windows
\System32\Cheuehyld.dll
Trojan.Packed.21232

Setelah ia berhasil menginfeksi
komputer, langkah selanjutnya adalah mengifeksi file [C:\Windows \Explorer.exe dan C: \Windows
\System32\Winlogon]. Pada saat user menjalankan file [Explorer.exe] maka ia akan membuat file duplikasi yang akan di simpan di direktori sama dengan nama [Explorermgr.exe] dengan ukuran 105 KB. File [Explorermgr.exe] inilah yang nantinya dijadikan sebagai senjata agar dirinya dapat aktif secara otomatis setiap kali user melakukan klik kanan pada file/folder/drive, pada saat melakukan double click USB Flash atau pada saat user menjalankan file [Explorer.exe]. Setelah berhasil menjalankan aksinya, ia akan memanggil file induk lainnya yang ditugaskan untuk aktif di memori, untuk mengelabui user ia kemudian akan memanggil aplikasi [C: \Program files\Internet Explorer\Iexplore.exe]. (lihat gambar 11)foto
Gambar 11, proses virus Win32.siggen.8

Untuk memastikan agar dirinya dapat aktif secara otomatis pada saat komputer diaktifkan, ia akan membuat dan merubah beberapa registri
berikut:
HKEY_CURRENT_USER
\Software\CE8SIIFGSU HKEY_CURRENT_USER
\Software\Microsoft\Handle HKEY_CURRENT_USER
\Software\NtWqIVLZEWZU\
%acak% HKEY_CURRENT_USER
\Software\XML HKEY_LOCAL_MACHINE
\SYSTEM\CurrentControlSet
\Services\SSHNAS HKEY_CURRENT_USER
\Software\Microsoft
\Windows\CurrentVersion
\Run CE8SIIFGSU = C:\DOCUME~1\ %user%\LOCALS~1\Temp
\Nh1.exe Microsoft Driver Setup = C: \Windows\ggdrive32.exe HKEY_CURRENT_USER
\Software\Microsoft
\Windows\CurrentVersion
\Internet Settings\Zones\ \□

Komputer yang sudah terinfeksi virus akan selalu melakukan koneksi internet dan memanggil website secara
terus menerus dengan isi yang berbeda-beda, koneksi yang dilakukan secara terus menerus ini mengakibatkan komputer menjadi lambat pada saat digunakan. Dalam beberapa kasus virus ini juga menyebabkan “Virtual Memory Minimum Too Low ” (lihat gambar 1 di atas dan gambar 12)foto

Selain itu, ia juga akan blok akses Removable Media (USB Flash). Tetapi anda tidak perlu khawatir karena virus ini akan blok akses USB Flash jika user mengakses dengan cara [Klik kanan USB Flash | klik Open atau Explorer] atau Double click USB Flash. (lihat gambar 13)foto

Lanjutkan Di Part II

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s