W32/Ramnit (Win32.Siggen.8) : Virus yang bikin Akses Internet Down

Perhatian para penguna komputer dalam beberapa bulan terakhirini banyak tersita pada Stuxnet, Sality, Virut dan Shortcut. Termasuk perkembangan virus lokal yang secara tidak langsung menantang kreativitas progammer-progammer untuk memunculkan aplikasi antivirus lokal seperti Artav yang diciptakan oleh anak SMP.

Perhatian user yang cukup besar terhadap virus lokal jangan sampai mengakibatkan lengah dengan keberadaan virus luar, seperti salah satu yang menyebar belakangan ini. Virus ini termasuk golongan trojan/backdoor, ia akan aktif jika komputer target terkoneksi internet dan salah satu senjata pamungkasnya yang berbahaya dan membuat pusing pengguna komputer adalah melakukan download virus lain.

Hebatnya, nama dan jenis virus yang didownlaod akan berbeda-beda untuk setiap komputer target baik dari nama maupun ukurannya. Hal ini yang menyebabkan banyak program antivirus kesulitan untuk melakukan deteksi dan pembersihan. Jika file-file virus tersebut berhasil di download, maka secara otomatis akan diaktifkan di komputer dan melakukan serangkaian kode jahat yang sudah tertanam.

Secara umum virus ini cukup merepotkan, ia akan selalu melakukan koneksi ke internet untuk memanggil alamat website yang sudah ditentukan dan akan ditampilkan secara terus menerus sehingga mengakibatkan komputer menjadi lambat disaat browsing. Terlebih lagi virus ini akan menginjeksi file-file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik berupa file program maupun file system Windows sehingga diperlukan langkah-langkah pembersihan khusus.

Ciri dan Gejala
Berikut adalah beberapa ciri dan gejala jika komputer terinfeksi virus Win32/Ramnit (Win32.Siggen.8) :

1. Akan menampilkan aplikasi IE (Internet Explorer) yang berisi penawaran atau iklan investasi, game dan prigram-program promosi (terkadang menampilkan iklan porno) dalam jumlah yang banyak secara terus-menerus selama komputer terkoneksi internet sehingga menghabiskan banyak bandwidth dan mengakibatkan akses internet menjadi sangat lambat.
2. Icon Removable Media (FlashDrive USB) berubah menjadi icon folder.
3. User tidak dapat mengakses FlashDrive dengan menampilkan pesan “Access Denied”
4. Muncul pesan “Compressed (zipped) Folders” pada saat mengakses FlashDrive”.
5. Muncul banyak file dengan nama file “Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk” di FlashDrive.
6. Salah satu yang unik dan membuat virus ini sangat mudah aktif dan sulit dibersihkan adalah setiap kali user melakukan klik kanan. Selain menampilkan menu klik kanan, secara tidak langsung user juga menjalankan virus ini.

Ciri-ciri File Induk Virus
Sebagai informasi, virus ini biasanyan menyebar melalui media penyimpanan portable (FlashDrive USB) dengan memanfaatkan fitur autorun pada Windows. Agar virus dapat aktif secara otomatis, ia akan membuat file autorun.inf, selain itu ia akan membuat 4 buah file shortcut dengan nama “Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk”. Jika user manjalankan salah satu file shortcut tersebut, maka secara otomatis akan menjalankan file virus yang sudah dipersiapkan di direktoru [%USBFlash%:\RECYCLER\%nama_acak%.exe].

Virus ini juga akan menginfeksi
file yang mempunyai ekstensi EXE. Setiap file EXE yang terinjeksi akan mempunyai ukuran 107kb, lebih besar dari ukuran aslinya. Pada saat menjalankan file EXE yang sudah terinjeksi, maka virus akan membuat file duplikat yang diimpan di direktori sama dengan format %nama_file_asal%mgr.exe. Contohnya, jika user menjalankan file yang sudah terinjeksi dengan nama “BitTorrent.exe” maka akan muncul file duplikat virus dengan nama “BitTorrentmgr.exe” dengan ukuran 105kb.

Pada saat user menjalankan file tersebut, virus akan melakukan sinkronisasi ke beberapa alamat IP yang sudah dipersiapkan untuk mendownload file atau virus lain untuk dijalankan di komputer target. File yang didownload akan mempunyai nama dan ukuran file yang berbeda-beda. Jadi antara komputer target yang satu dengan yang lain akan memiliki nama file induk yang berbeda.

Langkah selanjutnya yang dilakukan virus ini adalah menginfeksi file C:\Windows\Explorer.exe dan C:\Windows\System32\Winlogon. Pada saat user menjalankan file Explorer.exe, maka ia akan membuat file duplikasi Explorermgr.exe. File duplikasi inilah yang nantinya dijadikan sebagai senjata agar dirinya dapat aktif secara otomatis setiap kali user malakukan klik kanan pada file, folder, drive atau pada saat melakukan double klik pada FlashDrive. Setelah berhasil menjalankan aksinya, ia akan memanggil file induk lainnya yang ditugaskan aktif di memory. Untuk mengelabuhi user, ia kemudian akan memanggil aplikasi C:\Program Files\Internet Explorer\Iexplorer.exe.
info:crocholatozt.blogspot.com

Tinggalkan komentar

Filed under info

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s