(PART II) W32/Ramnit, virus bandel saingan Sality yang menginjeksi file exe mendownload virus baru

Posted: April 1, 2011 in Uncategorized

Injeksi file EXE, DLL dan HTM/HTML

Aksi lain yang akan dilakukan
oleh virus ini adalah menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program aplikasi maupun file system Windows. Setiap file yang terinjeksi akan bertambah ukurannya sekitar 107-109 KB.

Pada saat menjalankan file EXE
yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama file asal%mgr.exe (contohnya: jika user menjalankan file dengan nama
”ATF-Cleaner.exe ” maka akan muncul file duplikat virus dengan nama ”ATF- Cleanermgr.exe ” dengan ukuran 105 kb. (lihat gambar 7)

Setiap file yang terinfeksi dikenali sebagai Win32.Siggen.8 sedangkan file dupikasi yang dihasilkan dari file yang terinfeksi jika file tersebut dijalankan dikenali sebagai Trojan.Packed.21232

Blok akses Removable Media (USB Flash)

Selain itu, ia juga akan blok akses Removable Media (USB Flash). Tetapi anda tidak perlu khawatir karena virus ini akan blok akses USB Flash jika user mengakses dengan cara [Klik kanan USB Flash | klik Open atau Explorer] atau Double click USB Flash. (lihat gambar 13)foto
Gambar 13, Blok akses USB Flash

Ia juga akan menampilkan pesan error berikut saat user berhasil mengakses USB Flash (lihat gambar 14)
foto
Gambar 14, Pesan error saat akses USB Flash

Virus ini juga akan menampilkan pesan error saat user mengakses kolom ”Extended ” pada aplikasi [Services.msc] (lihat gambar 15)
foto
Gambar 15, Blok akses services
(Extended)

Media penyebaran

Untuk menyebarkan dirinya, ia akan menggunakan USB Flash dengan memanfaatkan fitur autorun Windows dengan membuat beberapa file berikut:
.Autorun.inf
.4 (empat) buah file shortcut (copy of Shortcut to (1).lnk s.d copy of Shortcut to (4).lnk)
.RECYCLER\%XX%
-%xx%.exe dengan ukuran 105
KB
-%xx%.cpl dengan ukuran 4 KB

Catatan: %xx% adalah folder/ file dengan nama acak (lihat gambar 16)
foto
Gambar 16, File yang dibuat oleh virus

Jika user menjalankan salah satu file shortcut maka secara otomatis akan menjalankan file virus yang berada di direktori [RECYCLER\%XX% ]

File autorun.inf sendiri berisi script yang akan dijalankan secara otomatis pada saat user akses USB Flash tersebut, script ini berisi perintah untuk menjalankan file yang berada di direktori [RECYCLER\%XX % ] (lihat gambar 17)foto
Gambar 17, script autorun.inf

Cara membersihkan W32/ Ramnit (Wiin32.Siggen.8)

Seperti yang sudah dijelaskan bahwa virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program maupun file system Windows, oleh karena itu sebaiknya pembersihan dilakukan pada mode DOS. Untuk mempermudah pembersihan silahkan gunakan Windows Mini PE Live CD (silahkan search di Internet). Kemudian download tools Dr.Web CureIt! di alamat berikut dan sebaiknya dilakukan di komputer yang tidak terinfeksi virus. Agar tools Dr.Web CureIt! tidak terinfeksi, sebaiknya di ZIP dan di password.

Silahkan download Dr.Web CureIt! di alamat berikut:
http://
http://www.freedrweb.com/
cureit/?lng=en

1. Agar pembersihan dapat dilakukan ooptimal, sebaiknya scan semua HDD termasuk USB Flash maupun HDD eksternal, hal ini dikarenakan virus ini akaan drop beberapa file di USB Flash atau HDD eksternal.

2. Sebelum melakukan pembersihan sebaiknya blok file duplikat virus dengan menggunakan fitur ”Software Restriction Policies”. Fitur ini hanya ada pada system operasi Windows XP Pro, Vista, 7, Server 2003 dan Server 2008 dengan cara sebagai berikut:
.Klik menu [Start]
.Klik [Run]
.Pada dialog box RUN, ketik SECPOL.MSC kemudian klik tombol [OK]
.Setelah muncul layar ”Local Security Policy ”, klik kanan menu [Software Restriction Policies” dan klik ”Create New Policies” atau ”New Software Restriction Policies” jika menggunakan Windows Vista/7
.Kemudian klik kanan pada menu ”Additional Rules ”, kemudian pilih ”New Hash Rule... ” (lihat gambar 18)
foto
Gambar 18, blok file virus

. Kemudian akan muncul layar ”New Hash Rule ”. Pada kolom ”File Hash”, klik tombol [Browse] dan tentukan salah satu file duplikasi virus yang mempunyai icon ”Folder” dengan ukuran 105 KB (contoh C:\Windows \Explorermgr.exe) kemudian klik tombol [Open]. Pada kolom ”Security Level ”, pilih [Disallowed]. Kemudian klik tombol [OK] (lihat gambar 19)
foto
Gambar 19, menentukan file virus yang akan di blok

3. Hubungkan USB Flash dan HDD eksternal ke komputer
Gunakan Dr Web Live CD untuk membasmi virus ini dengan tuntas. Silahkan download software tersebut dialamat berikut:
http://
http://www.freedrweb.com/
livecd/?lng=en

PENTING !!!
Anda disarankan untuk selalu mendownload Dr Web Live CD yang baru setiap kali ingin menggunakan untuk membersihkan dan membasmi virus. Jika anda menggunakan DR Web Live CD
yang lama, maka definisi virus
yang terkandung di dalam CD tersebut akan mengikuti saat terakhir anda download Dr Web Live CD tersebut. Alternatif lain adalah anda menggunakan software antivirus Dr Web berbayar yang didistribusikan oleh virusICU. http:// http://www.virusICU.com yang merupakan group dari PT. Vaksincom. Bagi pengguna produk Vaksincom yang membutuhkan bantuan mendapatkan / download Dr Web Live CD dapat menghubungi Saya di anisbobs2@gmail.com secara gratis

1. Setelah software Dr.Web LiveCD berhasil di download, burn kedalam CD/DVD 2. Hubungkan USB Flash dan HDD eksternal ke komputer
3. Booting komputer melalui CD/ DVD ROM
4. Kemudian akan muncul layar “Welcome to Dr.Web LiveCD ” (lihat gambar 20)foto
Gambar 20, Pilihan booting Dr.Web LiveCD

5. Pilih “Dr.Web LiveCD (Default )” kemudian tekan tombol “Enter ” pada keyboard
6. Tunggu beberapa saat sampai muncul interface Dr.Web LiveCD yang akan menampilkan aplikasi “Dr.Web Scanner” secara otomatis. Dr.Web Scanner ini berfungsi untuk melakukan pemeriksaan terhadap komputer anda dari kemungkinan adanya virus (lihat gambar 21)foto
Gambar 21, Dr.Web LiveCD

7. Untuk Scan HDD, pada layar “Dr.Web Scanner” pilih lokasi Drive yang akan di periksa dan pastikan anda check list opsi “Scan subdirectories ” agar Dr.Web dapat melakukan pemeriksaan terhadap direktori dan subdirektori agar pembersihan lebih optimal. Jika layar Dr.Web Scanner tidak muncul klik ganda icon “Dr.Web Scanner” yang terdapat pada Desktop.
8. Kemudian klik tombol [Start] untuk memulai proses pemeriksaan (scan)
9. Tunggu beberapa saat sampai proses scan selesai dilakukan. Jika ditemukan adanya virus, Dr.Web akan menginformasikan file yang terinfeksi dan jenis virus yang menginfeksi pada kolom informasi virus yang tersedia.
10. Klik tombol [Select All] untuk memilih semua objek/file yang akan di bersihkan atau Anda dapat menentukan file mana saja yang akan Anda bersihkan dengan check list pada opsi yang tersedia
11. kemudian klik tombol [Cure] untuk membersihkan file yang telah terinfeksi virus
12. Tunggu sampai proses pembersihan selesai dilakukan
13. Scan ulang komputer untuk memastikan komputer bersih dari virus
14.Restart Komputer.

Gampangkan? Saya Rasa teman-teman bisa..

About these ads
Komentar
  1. andu mengatakan:

    thx lot . . . cekidot

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Logout / Ubah )

Twitter picture

You are commenting using your Twitter account. Logout / Ubah )

Facebook photo

You are commenting using your Facebook account. Logout / Ubah )

Google+ photo

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s