Jempolers Indonesia Facebook SPAM Menjadi Bandung Bondowoso bermodalkan Javascript contekan

03.23 Add Comment

[nama anda] pengen tahu saipa aja yang Sering lihat profilemu? Http://www.facebook.com/JempolersIndonesia?sk=app_app208195102528120

Kalau Bandung Bondowoso yang sakti mandraguna berhasil membangun 999 candi dalam semalam dengan bantuan makhluk halus demi mempersunting Roro Jonggrang. Maka di jaman modern ini, jika ingin menyaingi Bandung Bondowoso anda tidak perlu pergi bertapa ke hutan untuk mendapatkan kesaktian atau meminta bantuan makhluk halus, cukup menggunakan komputer dan bantuan dari Javascript anda akan mampu mengumpulkan ratusan ribu korban dalam waktu 3 malam. Cuma yang anda dapatkan bukan makhluk halus, tetapi anggota Facebook yang menjadi korban aksi penipuan anda. Adalah komunitas yang menamakan dirinya Jempolers Indonesia yang menjalankan aksinya sejak 29 April 2011 memanfaatkan keinginan narsis para anggota Facebook untuk mengetahui siapa saja yang melihat profilenya. Jika anda jatuh menjadi korban dan menjalankan apa yang diperintahkan maka secara otomatis anda akan mengirimkan pesan Facebook Chat ke seluruh kontak anda. Hebatnya, dengan teknik yang mirip (untuk tidak mengatakan menyontek pages “Find Your Stalkers”) teknik eksploitasi Javascript ini, hanya dalam 3 malam berhasil memakan korban ratusan ribu pengguna Facebook Indonesia. Menurut pantauan Vaksincom, dari 29 April 2011 sampai dengan 2 Mei 2011 korban yang “menyukai” (like) situs tersebut sudah mencapai lebih dari 750.000 anggota Facebook. Selain itu, eksploitasi Javascript ini juga mampu melakukan posting ke Profile Facebook korbannya.

Pesan chat FB yang dikirimkan akan muncul seperti pada gambar 1 di bawah ini :

Gambar 1, Pesan FB Chat yang memancing calon korbannya

[nama anda] pengen tau saipa aja yang Sering lihat profilemu? Http://www.facebook.com/JempolersIndonesia?sk=app_app208195102528120

Anda akan di giring (bukan Nidji) untuk masuk ke page Jempolers Indonesia yang akan meminta anda untuk menjalankan satu Script (lihat gambar 2)
Gambar 2, Petunjuk menjalankan Javascript yang akan memberikan akses posting tanpa izin di profile anda

Jika korbannya melakukan langkah sesuai dengan petunjuk yang diberikan maka pada saat itu juga Javascript yang melakukan eksploitasi atas celah pemrograman di server FB akan dijalankan dan coding jahat ini akan dapat melakukan pengiriman pesan ke FB Chat pada seluruh kontak FB anda (lihat gambar 1 di atas) sekaligus melakukan posting pada profile anda. Hebatnya, posting profile ini juga sekaligus berfungsi sebagai promosi bohong atau iming-iming bahwa seakan-akan aplikasi untuk melihat “Siapa Yang Melihat Profil Saya” adalah benar-benar berfungsi. Padahal sebenarnya aplikasi tersebut tidak ada dan data posting yang ditampilkan adalah data bohongan yang mengambil data kontak profile dan menampilkan angka jumlah “views” secara acak. (lihat gambar 3)


Gambar 3, Posting yang dilakukan di Profile korban seakan-akan aplikasi ini mampu melihat siapa saja yang melihat profil anda.

Satu hal yang menjadi catatan dari aksi ini adalah coding ini tidak menggunakan aplikasi (Apps) Facebook sehingga tidak dapat di blok oleh Facebook atau pengguna Facebook melalui “Privacy Settings” di Facebok dan kemungkinan besar memanfaatkan celah keamanan dalam server Facebook. Karena itu semua pengguna Facebook yang menggunakan OS apapun, termasuk Smartphone rentan terhadap ekslpoitasi ini. Karena itu Vaksincom menyarankan para pengguna Facebook untuk jangan mudah percaya tautan / link apapun yang diberikan oleh kontak Facebook anda. Sekalipun itu teman, mantan pacar, saudara atau istri anda sekalipun. Khususnya pada saat-saat weekend, aplikasi ini akan diluncurkan oleh pembuatnya demi mendapatkan korban yang maksimal.

Jika anda sudah menjadi korban dari aplikasi ini, untuk mencegah korban lebih banyak, harap segera hapus posting yang dilakukan oleh aplikasi ini dari profil anda (lihat gambar 4) dan informasikan kepada kontak-kontak Facebook untuk melakukan hal yang sama dan berhati-hati terhadap tautan apapun yang dikirimkan dari FB Chat.
Gambar 4, Posting palsu yang mengklaim seakan-akan aplikasi “Siapa yang melihat profilku” berfungsi

W32/Obfuscated.J (Trojan.Downloader2.25378) Trojan proaktif yang jangan dijadikan karyawan

03.21 Add Comment
Andai saja ada calon karyawan yang memiliki spesifikasi seperti Trojan W32/Obfuscated.J. Dijamin banyak perusahaan yang berlomba-lomba untuk mepekerjakan karyawan tersebut dan karyawan tersebut kalau bekerja di KFC dijamin setiap bulan akan muncul fotonya sebagai Karyawan Teladan. Bagaimana tidak ? Trojan ini memiliki kebiasaan :
  1. Selalu berkoordinasi dengan kantor pusatnya (alias selalu menghubungi server pusat komando Trojan untuk mendownload trojan baru).
  2. Memiliki sifat terbuka alias aktif membuka port-port komputer yang di infeksinya.
  3. Supel dalam pergaulan, dimana setelah menginfeksi komputer ia akan mengundang teman-temannya virus lain dan mendownloadkan ke komputer yang di infeksinya.
  4. Memangkas birokrasi, dimana ia akan melumpuhkan firewall komputer yang diinfeksinya.
  5. Memanfaatkan sumberdaya distribusi yang secara efektif dimana ia akan memanfaatkan jaringan baik intranet dan internet secara optimal dalam menyebarkan dirinya.
Tetapi sayangnya sifat ini bukan sifat yang dimiliki oleh calon karyawan melainkan Trojan Obfuscated, karena itu Vaksincom tidak menyarankan anda pengguna komputer untuk mempekerjakan karya... virus ini.

Serangan virus dari mancanegara masih menjadi dominan di Indonesia, jika kemarin kita masih dibuat sibuk oleh sekumpulan virus yang menggunakan celah shortcut (LNK) seperti Stuxnet, Ramnit dan Webmoner, kini makin banyak bermunculan berbagai macam varian dari virus/trojan berbahaya dan worm jaringan yang akan membuat komputer anda menjadi lambat dan tentunya mengganggu pekerjaan anda.

Bagi anda para pengguna komputer dan internet di Indonesia, harap berhati-hati karena sejak akhir Januari 2011 hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan trojan ini, dan salah satu varian baru yang terdeteksi oleh Norman sebagai W32/Obfuscated.j (Dr Web mendeteksi sebagai Trojan.Downloader2.25378). lihat gambar 1 di bawah
Gambar 1, Norman mendeteksi varian baru dari W32/Obfuscated

Keluarga trojan Obfuscated
Trojan Obfuscated (Norman) atau sering disebut Rimecud (McAfee, Microsoft) atau Palevo (Symantec, Kaspersky), sedangkan Dr.Web mendeteksi sebagai Trojan.Downloader, merupakan salah satu kelompok trojan yang mampu mengganggu system komputer dalam jaringan dan mencoba memanipulasi system yang ada dalam jaringan. Salah satu aksi yang mengganggu dari trojan ini adalah melakukan broadcast internet dan membuat komputer menjadi lambat.

Trojan Obfuscated ditemukan sejak tahun 2009, dan hingga kini sudah berbagai varian macam Obfuscated yang beredar. Salah satu varian terbaru dari Obfuscated yang terdeteksi yaitu W32/Obfuscated.J.

Gejala & Efek Virus
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

  • Aktif menggunakan file program Visual Basic
Aksi virus mudah diketahui oleh pengguna komputer, trojan W32/Obfuscated.J berusaha aktif dan berjalan menggunakan file program Visual Basic (walaupun pengguna tidak memiliki program Visual Basic di komputer). Dengan banyak-nya file program tersebut yang berjalan, trojan W32/Obfuscated.J dapat dengan mudah melakukan infeksi, membaca aktivitas pengguna serta melakukan koneksi pada Remote Server. (lihat gambar 2)
Gambar 2, Proses trojan yang aktif menggunakan banyak file program Visual Basic

  • Membuat komputer menjadi hang (explorer error)
Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktivitas dari trojan yang mencoba menjalankan banyak file trojan. Dengan melakukan hal tersebut, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer. Terkadang hal ini membuat akibat fatal pada Windows Explorer yang menjadi error. (lihat gambar 3)

Gambar 3, Windows Explorer menjadi error

  • Melakukan koneksi ke Remote Server
Trojan W32/Obfuscated.J juga berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan beberapa port acak seperti :
  • 112.78.112.208 : 80
  • 216.108.234.10 : 80
  • 218.85.133.201 : 80
  • 72.18.202.18 : 80
  • 91.213.29.141 : 80
  • 91.213.29.147 : 80
  • 123.183.217.32 : 5943
  • 60.190.223.125 : 6943

Selain itu, trojan akan membuka berbagai macam port seperti : (lihat gambar 4)
1053, 1055, 2290, 2291, 2292, 2294, 2386, 2397, 2398, 2400 s/d 2490
Gambar 4, Proses trojan yang melakukan koneksi ke remote server

  • Mendownload file agar tetap terupdate
Untuk mempermudah aksi-nya melakukan infeksi komputer, trojan W32/Obfuscated.J juga melakukan download beberapa file tertentu dari Remote Server yang bertujuan agar virus/trojan tetap terupdate dan tidak mudah dikenali oleh antivirus.

  • Melakukan transfer informasi yang telah didapatkan ke Remote Server
Hal yang perlu diperhatikan dari trojan W32/Obfuscated.J adalah kemampuan mengirimkan informasi dari pengguna komputer yang sudah terinfeksi ke remote server. Hal ini sangat membahayakan jika yang dikirim adalah informasi mengenai sistem komputer yang ada dalam jaringan. (lihat gambar 5)
Gambar 5, Proses trojan yang mengirim informasi paket data ke remote server

  • Mematikan Windows Firewall
Salah satu usaha agar dapat menggunakan berbagai macam port untuk melakukan koneksi ke remote server yaitu dengan mematikan fitur Windows Firewall pada komputer. Dengan begitu maka trojan dapat mudah melakukan koneksi setiap saat. (lihat gambar 6)
Gambar 6, Windows Explorer menjadi error

File trojan W32/Obfuscated.J
File utama trojan W32/Obfuscated.J dibuat menggunakan bahasa pemrograman C. Penggunaan C sebagai bahasa pemrograman secara tidak langsung menunjukkan “kasta” virus ini masuk dalam tingkatan tinggi, sebagai gambaran, virus lokal di Indonesia pada umumnya menggunakan bahasa pemrograman (sejuta umat) Visual Basic yang relatif mudah dipelajari tetapi sangat tergantung pada komponen lain seperti MSVBVM60.dll sehingga aktivitasnya akan mudah dilumpuhkan jika komponen yang mengaktifkannya dilumpuhkan.
Berikut ciri-ciri file utama trojan sebagai berikut : (lihat gambar 7)
  • Berukuran 49 kb (tergantung varian yg ditemukan)
  • Type file “application”
  • Icon file “Command Prompt
  • Berekstensi “exe”
  • Lokasi file “C:\WINDOWS\wjdrive32.exe”
Gambar 7, File trojan W32/Obfuscated.J

Selain file utama, trojan W32/Obfuscated.J akan mendownload beberapa file lain yang dibuat menggunakan bahasa pemrograman Visual Basic, yaitu sebagai berikut :
  • C:\WINDOWS\system32\.exe (76 kb)
  • C:\WINDOWS\system32\vyre32.exe (76 kb)

Dan beberapa file trojan lain yaitu :
  • C:\asetup.exe (31 kb)
  • C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe (31 kb)
  • C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (31 kb)
  • C:\Documents and Settings\[UserName]\bnt.exe (51 kb)
  • C:\Documents and Settings\[UserName]\Local Settings\Temp\_co.txt (1 kb)
  • C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (1 kb)
  • C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (1 kb)
  • C:\Windows\System32\browseit.log (0 kb)
  • C:\Windows\System32\umdmgr.exe (61 kb)

Modifikasi Registri
Beberapa modifikasi registri yang dilakukan oleh malware ini adalah sebagai berikut :
  • Menambah Registri
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Microsoft Config Setup = "C:\WINDOWS\wjdrive32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Config Setup = "C:\WINDOWS\wjdrive32.exe"
(Default) = "C:\WINDOWS\system32\.exe"
vyre32 = " C:\WINDOWS\system32\vyre32.exe"
ms0593[1] = " C:\WINDOWS\system32\umdmgr.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Taskman = "C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
12CFG214-K641-12SF-N85P = "C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe"

File-file tersebut berjalan pada start-up Windows, sehingga trojan dapat langsung aktif pada saat komputer dinyalakan.

Metode Penyebaran
Beberapa cara trojan W32/Obfuscated.J melakukan penyebaran yaitu sebagai berikut :
  • Removable drive/disk
Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Trojan (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :
  1. RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\wincache.exe
  2. RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe

Dengan membuat pada folder RECYCLER, trojan dapat menyebar tanpa diketahui oleh pengguna komputer.

  • Jaringan LAN & internet
Salah satu metode utama yang digunakan untuk melakukan penyebaran yaitu menggunakan jaringan LAN & internet. Dengan melakukan download trojan terbaru dan broadcast informasi dari internet, trojan melakukan penyebaran kepada jaringan LAN melalui port-port tertentu sehingga dengan mudah menginfeksi dan tidak mudah dideteksi oleh antivirus.

Pembersihan Obfuscated :
  1. Putuskan hubungan komputer dari jaringan/internet.
  2. Lakukan pembersihan virus pada mode “safe mode”. Untuk masuk pada mode “safe mode”, tekan tombol F8 pada keyboard saat komputer dinyalakan. (lihat gambar 8)
Gambar 8, Masuk Windows melalui mode “safe mode”

Biarkan Windows berjalan hingga anda dapat login Windows dan mendapatkan konfirmasi penggunaan “safe mode”.

  1. Matikan dan hapus trojan W32/Obfuscated.J
Lakukan langkah-langkah berikut :
  1. Download tools untuk membersihkan trojan W32/Obfuscated.J pada komputer yang belum terinfeksi pada link berikut : (lihat gambar 9)
Dr.Web Cure-It!
Norman Malware Cleaner
Gambar 9, Dr.Web CureIt! mendeteksi W32/Obfuscated.J (trojan.downloader2.25378)

  1. Setelah selesai, kompres file tersebut hingga menjadi file zip.
  2. Kopi file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
  3. Klik kanan file zip tersebut, kemudian klik explore.
  4. Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
  5. Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
  6. Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
  7. Biarkan hingga proses scan selesai.

  1. Repair registri yang telah dimodifikasi.
Lakukan langkah-langkah berikut :
  • Salin script dibawah ini dengan notepad :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee 2011

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe

[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft Config Setup
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, (Default)
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, vyre32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MS0593[1]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, Microsoft Config Setup
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, 12CFG214-K641-12SF-N85P

  • Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
  • Klik kanan file “repair.inf”, kemudian pilih “install”.
  • Restart komputer.

  1. Bersihkan temporary file dari jejak trojan.
Lakukan langkah-langkah berikut :
  1. Klik Menu Start -> Run
  2. Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
  3. Pada drive system (C) klik OK, biarkan proses scan drive.
  4. Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
  5. Tunggu hingga selesai.

  1. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojan ini dengan baik.

Memperbaiki file HTM/HTML yang terinfeksi Ramnit

03.20 Add Comment


Pada saat ini sudah banyak beredar tools yang dapat digunakan untuk membasmi Ramnit, tetapi tools untuk membuat komputer kebal Ramnit hanya Vaksincom yang punya . Teknik membuat komputer kebal Ramnit ini hanya dapat ditemukan jika anda memiliki jam terbang yang cukup di bidang pembasmian virus. Jika anda merasa hal ini sudah cukup, kami informasikan bahwa masih ada satu lagi issue penting yang berkaitan dengan virus Ramnit dan lagi-lagi masalah ini tidak dapat diatasi oleh program antivirus apapun. Apakah masalah itu ?
Kalau bicara membasmi Ramnit dari komputer yang terinfeksi, hari ini sudah banyak tools keluaran antivirus yang dapat membasminya. Salah satunya yang dapat anda gunakan adalah Norman Malware Cleaner for Ramnit yang selain membasmi Ramnit yang mengganas di komputer anda juga melakukan pembenahan registri yang dirubah oleh Ramnit. Dilengkapi dengan teknik khusus dari Vaksincom http://vaksin.com/2011/0811/immune%20from%20ramnit/Immune%20from%20Ramnit.htm, anda dapat membuat komputer anda kebal Ramnit sekalipun OS anda belum di patch dari celah keamanan yang di ekspolitasi oleh Ramnit. Kalau anda mengira dua hal tersebut sudah cukup mengatasi Ramnit, kemungkinan besar anda belum pernah berurusan dengan Ramnit. Masih ada satu lagi hal yang memusingkan yang disebabkan oleh Ramnit, khususnya menyangkut web server yang mengandung file htm atau html. Seperti kita ketahui, salah satu metode penyebaran Ramnit adalah menginjeksi file htm / html yang bertujuan menyebarkan dirinya melalui file htm / html yang dibuka oleh browser komputer korbannya. Jadi jika ia berhasil menginjeksi webserver, maka siapapun yang mengakses webserver tersebut akan bisa terinfeksi dengan hanya membuka file htm / html di webserver tersebut. Lebih kasihan lagi jika anda webmaster atau webdesigner yang banyak sekali berurusan dengan file htm atau html. Sekali komputer /server terinfeksi Ramnit maka semua file htm dan html akan di injeksi oleh Ramnit dan kabar buruknya adalah sampai saat ini semua program antivirus menganggap file htm dan html yang di injeksi oleh Ramnit itu ibarat buronan yang lari sampai ke Kolumbia dan tanpa ampun akan di quarantine atau di delete. Padahal sebenarnya file htm dan html tersebut masih bisa dibersihkan sehingga tidak perlu memulai dari awal lagi. Sekali lagi Vaksincom bahu membahu dengan ahli coding dari kota Gudeg, Yayat membuatkan tools untuk menyelamatkan file htm dan html yang di injeksi oleh Ramnit. Jadi jangan dulu putus ada jika program antivirus anda mendelete file htm atau html anda, masih ada Vaksincom. Dan kabar gembiranya. Tools ini kami berikan Gratis untuk anda . Selain memiliki kemampuan clean file htm dan html dari Ramnit, Vaksincom juga memasukkan rutin khusus ke dalam tools tersebut sehingga dengan hanya sekali menekan satu tombol, anda dapat membuat komputer anda kebal dari serangan Ramnit. Semoga dengan tools ini penyebaran Ramnit di Indonesia dapat di tekan .

Sebenarnya di internet banyak juga orang yang baik hati seperti prof. Xavier . Tools membersihkan file htm dan html dari injeksi Ramnit pernah dibuat oleh Jing Ge dengan nama Malware Script VB Dropper Remover. (lihat gambar 1)
Gambar1, Memperbaiki file HTML dengan Malware Script VB DropperRemover

Tools ini dibuat khusus untuk memperbaiki file HTML/HTM yang telah terinfeksi Ramnit dan dari hasil pengujian tools ini cukup ampuh memperbaiki file HTM/HTML yang terinfeksi Ramnit, tetapi ada sejumlah persyaratan yang harus terpenuhi agar dapat menjalankan tools ini di antaranya komputer harus sudah terinstall program Java. Dan tools ini tidak mengandung tombol “sakti” yang membuat komputer kebal terhadap Ramnit.

Link download VBSDropperRemover

Chanet Splitter II,rise of the undark Yayat :p
Mungkin anda masih ingat dengan virus Kespo, dimana virus ini mempunyai kemampuan untuk menginjeksi file Ms Office yang mempunyai ekstensi .doc dan .xls. Pada waktu itu banyak antivirus lokal berlomba-lomba untuk membuat tools yang dapat memperbaiki file yang sudah di injeksi oleh Kespo salah satunya adalah Tools CHANAL SPLITTER hasil karya bung Yayat dari Yogya yang sempat di publish oleh Vaksincom di tahun 2007 (http://www.vaksin.com/2007/0607/Kespo-gang_ref.htm).

Kini seiring dengan munculnya Ramnit, dia kembali membuat tools dengan nama CHANET SPLITTER II yang digunakan untuk memperbaiki file HTM/HTML yang sudah terinfeksi Ramnit. Tools ini dapat mencari file HTM/HTML dengan cepat pada Drive/folder yang sudah kita tentukan sebelumnya serta memperbaikinya sehingga file tersebut dapat digunakan kembali tanpa menghapusnya.

Berikut beberapa kelebihan yang dimiliki oleh CHANET SPLITTER II adalah : (lihat gambar 2)

    1. Tetap GRATIS .
    2. Mampu mencari dan mematikan proses Ramnit yang aktif di memori secara otomatis pada saat CHANET SPLITTER di jalankan
    3. Mampu memperbaiki registri yang diubah oleh virus
    4. Mampu menghapus file induk Ramnit
    5. Proteksi PC agar kebal dari Ramnit
    6. Proteksi agar Ramnit tidak membuat file virus ke USB Flash
    7. Mencari dan memperbaiki file HTM/HTML yang terinfeksi Ramnit

Gambar 2, Chanet Splitter II, mampu memperbaiki file HTM/HTML yang terinfeksi Ramnit

Vaksincom mengucapkan terimakasih atas waktu, dedikasi dan ilmu yang telah di sumbangkan sehingga tercipta tools CHANET SPLITTER II, semoga dapat membantu korban yang sudah terinfeksi Ramnit. Jika anda ingin berpartisipasi dan membuat tools pembasmi virus, jangan ragu untuk menghubungi kami di info@vaksin.com, Vaksincom akan memberikan support informasi yang anda butuhkan tetapi mohon maaf kami tidak menjanjikan imbalan materi. Imbalan yang akan anda dapatkan adalah kebahagiaan dapat menolong sesama pengguna komputer korban virus dan doa serta ucapan terimakasih atas ketulusan membantu sesama pengguna komputer .

Cara membasmi Ramnit dengan tuntas :
  1. Putuskan hubungan komputer dari jaringan guna mencegah infeksi ulang.
  2. Gunakan tools Chanet Splitter II jika anda ingin membuat komputer anda kebal dari Ramnit dengan satu tombol sekaligus memperbaiki file HTM/HTML yang di injeksi oleh Ramnit dan tidak dapat dibersihkan / di delete oleh antivirus / virus cleaner lain. Download Chanet Splitter II dari
    http://www.vaksin.com/2011/0811/immune from ramnit/CHANET SPLITTERII.exe
PENTING !!!
Chanet Splitter II dibuat dengan itikad baik membantu para pengguna komputer yang mengalami masalah dengan Ramnit. PT. Vaksincom sudah melakukan pengetesan tools ini pada banyak komputer dengan OS berbeda seperti Windows XP, Windows Vista dan Windows 7 dan tidak menemukan masalah dan tools ini dapat berjalan dengan baik pada OS-OS tersebut di test lab kami. TETAPI tidak tertutup kemungkinan tools yang kami buat tidak kompatible dengan OS yang anda gunakan dan dapat menyebabkan ketidakstabilan sistem atau kehilangan data. Karena itu demi keamanan data anda kami harapkan anda melakukan backup atas data anda di komputer dengan baik dan benar. PT. Vaksincom dan pembuat tools ini tidak bertanggungjawab atas kerugian apapun yang disebabkan baik secara langsung atau tidak langsung atas penggunaan tools ini.
  1. Tools yang Kami sertakan ini HANYA digunakan untuk memperbaiki file HTM/HTML yang telah terinfeksi Ramnit saja. Untuk membersihkan file EXE / DLL di dalam sistem komputer yang sudah terinfeksi Ramnit anda dapat menggunakan Norman Ramnit Cleaner (pembersih khusus Ramnit) atau Norman Malware Cleaner yang dapat di http://www.vaksin.com/2011/0811/immune from ramnit/Norman_Ramnit_Cleaner.exe kemudian scan Full HDD termasuk Removable Media (USB Flash/HDD Eksternal) dengan menggunakan antivirus yang terupdate untuk membersihkan file EXE / DLL yang sudah terinfeksi. Jika Norman Ramnit Cleaner sudah kadaluarsa, silahkan download Norman Malware Cleaner yang dapat membasmi semua virus (bukan hanya Ramnit) dari http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
  2. Sangat disarankan untuk instal security patch Windows (MS10-046 KB2286198)
(http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx)

W32/Ramnit aka Win32.Siggen.8

03.18 Add Comment


Perhatian para pengguna komputer dalam beberapa bulan terakhir ini banyak tersita pada Stuxnet, Sality, Virut dan Shortcut. Termasuk perkembangan virus lokal yang secara tidak langsung menantang kreativitas programmer-programmer untuk memunculkan program antivirus lokal seperti Artav yang digawangi oleh anak SMP :). Perhatian user yang cukup besar terhadap virus lokal jangan sampai mengakibatkan lengah dengan keberadaan virus mancanegara, seperti salah satu virus yang sedang menyebar saat ini. Virus ini termasuk golongan trojan/backdoor, ia akan aktif jika komputer target terkoneksi internet dan salah satu senjata pamungkasnya yang berbahaya dan membuat pusing pengguna komputer adalah melakukan download virus lain. Hebatnya, nama dan jenis virus yang didownload akan berbeda-beda untuk setiap komputer target baik dari nama maupun ukurannya, hal inilah yang menyebabkan banyak program antivirus sekalipun kesulitan untuk melakukan deteksi dan pembersihan. Jika file tersebut berhasil di download, maka secara otomatis akan di aktifkan di komputer dan melakukan serangkaian kode jahat yang sudah ditanam didalam tubuhnya.

Secara umum virus ini cukup merepotkan,  ia akan selalu melakukan koneksi ke internet untuk memanggil  alamat website yang sudah ditentukan yang akan ditampilkan secara terus menerus sehingga mengakibatkan komputer menjadi lambat pada saat di akses, terlebih virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik berupa file program maupun file system Windows sehingga diperlukan langkah pembersihan khusus.

Ciri dan gejala
Berikut beberapa ciri dan gejala jika komputer terinfeksi virus W32/Ramnit (Win32.Siggen.8)

  1. Akan menampilkan aplikasi Internet Explorer yang berisi penawaran atau iklan investasi, game dan program-program promosi (terkadang menampilkan iklan porno) dalam jumlah yang banyak secara terus menerus selama komputer terkoneksi internet sehingga menghabiskan banyak bandwidth untuk iklan yang ditampilkan dan mengakibatkan akses internet menjadi lambat (lihat gambar 1).

Gambar 1, Alamat website yang akan ditampilkan oleh W32/Ramnit (Win32.Siggen.8)

  1. Icon Removable media (USB Flash) berubah menjadi icon Folder (lihat gambar 2)

Gambar 2, Icon USB Flash yang diubah W32/Ramnit (Win32.Siggen.8 )

  1. User tidak dapat mengakses USB Flash  dengan menampilkan pesan ”Access is denied” (lihat gambar 3)

Gambar 3, Blok akses USB Flash

  1. Muncul pesan “Compressed (zipped) Folders” pada saat mengakses Flash disk (lihat Gambar 4)

Gambar 4, Pesan error saat akses USB Flash

  1. Muncul banyak file dengan nama file “Copy of Shortcut to (1).lnk s/d “Copy of Shortcut to (4).lnk di USB Flash. (lihat gambar 5)

Gambar 5, File virus yang di drop oleh virus  di USB Flash

  1. Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini.

Dengan update terbaru Dr.Web antivirus mendeteksi virus ini sebagai Win32.Siggen.8 sedangkan untuk file-file lain dikenali sebagai Trojan.Packed.21232, Trojan.Hotrend.34 atau Trojan.Starter.1602 (lihat gambar 6)

Gambar 6, Hasil deteksi Dr.Web antivirus

Ciri-ciri file induk virus
Sebagai informasi, virus ini akan menyebar menggunakan Removable media (USB Flash) dengan memanfaatkan fitur autorun Windows. Agar virus dapat aktif secara otomatis, ia akan membuat file autorun.inf, selain itu ia akan membuat 4 (empat) buah file shortcut dengan nama ”Copy of Shortcut to (1).lnk s/d “Copy of Shortcut to (4).lnk”. Jika user menjalankan salah satu ke 4 file shortcut tadi maka secara otomatis akan menjalankan  file virus yang sudah dipersiapkan di direktori [%USB Flash%:\RECYCLER\%nama_acak%.exe].

Virus ini juga akan menginjeksi file yang mempunyai ekstensi EXE, setiap file EXE yang terinjeksi akan mempunyai ukuran 107 KB lebih besar dari ukuran asalnya. Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama_file_asal%mgr.exe (contohnya: jika user menjalankan file yang sudah di injeksi dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb, file duplikat ini dideteksi sebagai Trojan.Packed.21232.

Gambar7, Contoh file asli (sebelum injeksi), setelah injeksi dan file duplikat virus

Pada saat user menjalankan file tersebut, virus akan melakukan sinkronisasi  ke beberapa alamat IP yang sudah dipersiapkan untuk mendownload file atau virus lain untuk dijalankan di komputer target. File yang di download akan mempunya nama file dan ukuran yang berbeda-beda, jadi antara komputer target yang satu dengan yang lain akan mempunyai nama file induk yang berbeda-beda.

Berikut beberapa contoh file induk Win32.Siggen.8

  • C:\WINDOWS\Temp\dbww\setup.exe

  • C:\Documents and Settings\%user%\Application Data

·         %xx%.exe, dimana %xx% adalah acak

  • C:\Documents and Settings\%user%\Local Settings\Temp\%xx%.exe dan %yy%.dll

Catatan: %xx% dan %yy% ini berbeda-beda, contohnya : Nh0.exe, Nh1.exe, Nh2.exe, Nhz.exe dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (lihat gambar 8)
               
                Gambar 8, File induk virus
               
File ini di deteksi  oleh Dr.Web anti-virus sebagai Win32.Siggen.8
               
  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup
·         %xx%.exe, dimana %xx% adalah acak (terdeteksi sebagai Trojan.Packed.21232)

  • C:\WINDOWS\Nzazab.exe, Nzazaa.exe, Explorermgr.exe

Catatan:  %xx% ini berbeda-beda, contohnya : [Nzazaa.exe dan Nzazab.exe] dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (dikenali sebagai Win32.Siggen.8) dan file [Explorermgr.exe] yang merupakan duplikasi file [Explorer.exe] dengan ukuran 105 KB, file ini akan mempunyai icon folder (Trojan.packed.21232) (lihat gambar 9)

                Gambar 9, File induk virus

  • C:\Windows\task\%acak%.job

Berupa 3 (tiga) buah file yang digunakan untuk menjalankan file virus yang sudah dipersiapkan sesuai dengan waktu yang telah ditentukan. (lihat gambar 10)
Gambar 10, Task Schedule Win32.Siggen.8

  • C:\Windows\System32\ms.dll (Trojan.Starter.1602)
  • C:\Windows\System32\dll (Trojan.Hottrend.34)
  • C:\Windows\System32\sshnas21.dll (Trojan.Packed.21232)
  • C:\Windows\System32\Cheuehyld.dll Trojan.Packed.21232

Setelah ia berhasil menginfeksi komputer, langkah selanjutnya adalah mengifeksi file [C:\Windows\Explorer.exe dan C:\Windows\System32\Winlogon]. Pada saat user menjalankan file [Explorer.exe] maka ia akan membuat file duplikasi yang akan di simpan di direktori sama dengan nama [Explorermgr.exe] dengan ukuran 105 KB. File [Explorermgr.exe] inilah yang nantinya dijadikan sebagai senjata agar dirinya dapat aktif secara otomatis setiap kali user melakukan klik kanan pada file/folder/drive, pada saat melakukan double click USB Flash atau pada saat user menjalankan file [Explorer.exe]. Setelah berhasil menjalankan aksinya, ia akan memanggil file induk lainnya yang ditugaskan untuk aktif di memori, untuk mengelabui user ia kemudian akan memanggil aplikasi [C:\Program files\Internet Explorer\Iexplore.exe]. (lihat gambar 11)

Gambar 11, proses virus Win32.siggen.8

Registri Windows
Untuk memastikan agar dirinya dapat aktif secara otomatis pada saat komputer diaktifkan, ia akan membuat dan merubah beberapa registri berikut:

  • HKEY_CURRENT_USER\Software\CE8SIIFGSU
  • HKEY_CURRENT_USER\Software\Microsoft\Handle
  • HKEY_CURRENT_USER\Software\NtWqIVLZEWZU\%acak%
  • HKEY_CURRENT_USER\Software\XML
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • CE8SIIFGSU = C:\DOCUME~1\%user%\LOCALS~1\Temp\Nh1.exe
    • Microsoft Driver Setup = C:\Windows\ggdrive32.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\□

Menampilkan website
Komputer yang sudah terinfeksi virus akan selalu melakukan koneksi internet dan memanggil website secara terus menerus dengan isi yang berbeda-beda, koneksi yang dilakukan secara terus menerus ini mengakibatkan komputer menjadi lambat pada saat digunakan. Dalam beberapa kasus virus ini juga menyebabkan “Virtual Memory Minimum Too Low” (lihat gambar 1 di atas dan gambar 12)

Gambar 12, Virtual memory low

Injeksi file EXE, DLL dan HTM/HTML
Aksi lain yang akan dilakukan oleh virus ini adalah menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program aplikasi maupun file system Windows.   Setiap file yang terinjeksi akan bertambah ukurannya sekitar 107-109 KB.

Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama file asal%mgr.exe (contohnya: jika user menjalankan file dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb. (lihat gambar 7)

Setiap file yang terinfeksi dikenali sebagai Win32.Siggen.8 sedangkan file dupikasi yang dihasilkan dari file yang terinfeksi jika file tersebut dijalankan dikenali sebagai Trojan.Packed.21232

Blok akses Removable Media (USB Flash)
Selain itu, ia juga akan blok akses Removable Media (USB Flash). Tetapi anda tidak perlu khawatir karena virus ini akan blok akses USB Flash jika user mengakses dengan cara [Klik kanan USB Flash | klik Open atau Explorer] atau Double click USB Flash. (lihat gambar 13)

Gambar 13, Blok akses USB Flash

Ia juga akan menampilkan pesan error berikut saat user berhasil mengakses USB Flash (lihat gambar 14)

Gambar 14, Pesan error saat akses USB Flash

Virus ini juga akan menampilkan pesan error saat user mengakses kolom ”Extended” pada aplikasi [Services.msc] (lihat gambar 15)

Gambar 15, Blok akses services (Extended)

Media penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan  USB Flash dengan memanfaatkan fitur autorun Windows dengan membuat beberapa file berikut:
  • Autorun.inf
  • 4 (empat) buah file shortcut (copy of Shortcut to (1).lnk s.d copy of Shortcut to (4).lnk)
  • RECYCLER\%XX%
    • %xx%.exe dengan ukuran 105 KB
    • %xx%.cpl dengan ukuran 4 KB

Catatan: %xx% adalah folder/file dengan nama acak (lihat gambar 16)

Gambar 16, File yang dibuat oleh virus

Jika user menjalankan salah satu file shortcut maka secara otomatis akan menjalankan file virus yang berada di direktori  [RECYCLER\%XX% ]

File autorun.inf sendiri berisi script yang akan dijalankan secara otomatis pada saat user akses USB Flash tersebut, script ini berisi perintah untuk menjalankan file yang berada di direktori  [RECYCLER\%XX% ] (lihat gambar 17)

Gambar 17, script autorun.inf

Cara membersihkan W32/Ramnit (Wiin32.Siggen.8)
Seperti yang sudah dijelaskan bahwa virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program maupun file system Windows, oleh karena itu sebaiknya pembersihan dilakukan pada mode DOS. Untuk mempermudah pembersihan silahkan gunakan Windows Mini PE Live CD (silahkan search di Internet). Kemudian download tools Dr.Web CureIt! di alamat berikut dan sebaiknya dilakukan di komputer yang tidak terinfeksi virus. Agar tools Dr.Web CureIt! tidak terinfeksi, sebaiknya di ZIP dan di password.

Silahkan download Dr.Web CureIt! di alamat berikut

1.       Agar pembersihan dapat dilakukan ooptimal, sebaiknya scan semua HDD termasuk USB Flash maupun HDD eksternal, hal ini dikarenakan virus ini akaan drop beberapa file di USB Flash atau HDD eksternal.

2.       Sebelum melakukan pembersihan sebaiknya blok file duplikat virus dengan menggunakan fitur ”Software Restriction Policies”. Fitur ini hanya ada pada system operasi Windows XP Pro, Vista, 7, Server 2003 dan Server 2008 dengan cara  sebagai berikut:

·         Klik menu [Start]
·         Klik [Run]
·         Pada dialog box RUN, ketik SECPOL.MSC  kemudian klik tombol [OK]
·         Setelah muncul layar ”Local Security Policy”, klik kanan menu [Software Restriction Policies” dan klik ”Create New Policies” atau ”New Software Restriction Policies” jika menggunakan Windows Vista/7
·         Kemudian klik kanan pada menu ”Additional Rules”, kemudian pilih ”New Hash Rule...” (lihat gambar 18)
Gambar 18, blok file virus

·         Kemudian akan muncul layar ”New Hash Rule”. Pada kolom ”File Hash”, klik tombol [Browse]  dan tentukan salah satu file duplikasi virus yang mempunyai icon ”Folder” dengan ukuran 105 KB (contoh C:\Windows\Explorermgr.exe) kemudian klik tombol [Open]. Pada kolom ”Security Level”, pilih [Disallowed]. Kemudian klik tombol [OK] (lihat gambar 19)

Gambar 19, menentukan file virus yang akan di blok

3.       Hubungkan USB Flash dan HDD eksternal ke komputer

Gunakan Dr Web Live CD untuk membasmi virus ini dengan tuntas. Silahkan download software tersebut dialamat berikut:

PENTING !!!
Anda disarankan untuk selalu mendownload Dr Web Live CD yang baru setiap kali ingin menggunakan untuk membersihkan dan membasmi virus. Jika anda menggunakan DR Web Live CD yang lama, maka definisi virus yang terkandung di dalam CD tersebut akan mengikuti saat terakhir anda download Dr Web Live CD tersebut. Alternatif lain adalah anda menggunakan software antivirus Dr Web berbayar yang didistribusikan oleh virusICU. http://www.virusICU.com yang merupakan group dari PT. Vaksincom. Bagi pengguna produk Vaksincom yang membutuhkan bantuan mendapatkan / download Dr Web Live CD dapat menghubungi info@vaksin.com secara gratis.

  1. Setelah software Dr.Web LiveCD berhasil di download, burn kedalam CD/DVD
  2. Hubungkan USB Flash dan HDD eksternal ke komputer
  3. Booting komputer melalui CD/DVD ROM
  4. Kemudian akan muncul layar “Welcome to Dr.Web LiveCD” (lihat gambar 20)
Gambar 20, Pilihan booting Dr.Web LiveCD

  1. Pilih “Dr.Web LiveCD (Default)” kemudian tekan tombol “Enter” pada keyboard
  2. Tunggu beberapa saat sampai muncul interface Dr.Web LiveCD yang akan menampilkan aplikasi “Dr.Web Scanner” secara otomatis. Dr.Web Scanner ini berfungsi untuk melakukan pemeriksaan terhadap komputer anda dari kemungkinan adanya virus  (lihat gambar 21)
Gambar 21, Dr.Web LiveCD

  1. Untuk Scan HDD, pada layar “Dr.Web Scanner” pilih lokasi Drive yang akan di periksa dan pastikan anda check list opsi “Scan subdirectories” agar Dr.Web dapat melakukan pemeriksaan terhadap direktori dan subdirektori agar pembersihan lebih optimal. Jika layar Dr.Web Scanner tidak muncul klik ganda icon “Dr.Web Scanner” yang terdapat pada Desktop.
  2. Kemudian klik tombol [Start] untuk memulai proses pemeriksaan (scan)
  3. Tunggu beberapa saat sampai proses scan selesai dilakukan. Jika ditemukan adanya virus, Dr.Web akan menginformasikan file yang terinfeksi dan jenis virus yang menginfeksi pada kolom informasi virus yang tersedia.
  4. Klik tombol [Select All] untuk memilih semua objek/file yang akan di bersihkan atau Anda dapat menentukan file mana saja yang akan Anda bersihkan dengan check list pada opsi yang tersedia
  5. kemudian klik tombol [Cure] untuk membersihkan file yang telah terinfeksi virus
  6. Tunggu sampai proses pembersihan selesai dilakukan
  7. Scan ulang komputer untuk memastikan komputer bersih dari virus
  8. Restart komputer.  Sumber : http://www.vaksin.com/2011/0111/ramnit/ramnit.html