W32/Ramnit aka Win32.Siggen.8
Perhatian para pengguna komputer dalam
beberapa bulan terakhir
ini banyak tersita pada Stuxnet, Sality, Virut dan Shortcut. Termasuk
perkembangan virus lokal yang secara tidak langsung menantang
kreativitas programmer-programmer
untuk memunculkan program antivirus lokal seperti Artav yang digawangi
oleh
anak SMP :). Perhatian user yang cukup besar
terhadap virus lokal jangan
sampai mengakibatkan
lengah dengan keberadaan virus
mancanegara, seperti salah satu virus yang sedang menyebar saat ini. Virus ini termasuk golongan
trojan/backdoor, ia akan
aktif jika komputer target terkoneksi internet dan salah satu senjata pamungkasnya yang
berbahaya dan
membuat pusing pengguna komputer adalah melakukan download virus lain. Hebatnya, nama dan jenis virus yang didownload akan
berbeda-beda
untuk setiap komputer target baik dari nama maupun ukurannya, hal
inilah yang
menyebabkan banyak program
antivirus
sekalipun kesulitan
untuk
melakukan deteksi dan pembersihan. Jika file tersebut
berhasil di download, maka secara otomatis akan di aktifkan di komputer dan melakukan serangkaian kode jahat yang
sudah ditanam didalam tubuhnya.
Secara umum virus ini cukup
merepotkan, ia akan selalu melakukan
koneksi ke internet
untuk memanggil alamat website yang
sudah ditentukan yang akan ditampilkan secara terus menerus sehingga
mengakibatkan komputer menjadi lambat pada saat di akses, terlebih
virus ini
akan menginjeksi file yang mempunyai ekstensi EXE,
DLL
dan HTM/HTML baik berupa file program maupun file system Windows
sehingga
diperlukan langkah pembersihan khusus.
Ciri dan gejala
Berikut beberapa ciri dan gejala
jika komputer terinfeksi
virus W32/Ramnit (Win32.Siggen.8)
- Akan menampilkan aplikasi Internet Explorer yang berisi penawaran atau iklan investasi, game dan program-program promosi (terkadang menampilkan iklan porno) dalam jumlah yang banyak secara terus menerus selama komputer terkoneksi internet sehingga menghabiskan banyak bandwidth untuk iklan yang ditampilkan dan mengakibatkan akses internet menjadi lambat (lihat gambar 1).
Gambar 1, Alamat website
yang akan ditampilkan oleh W32/Ramnit (Win32.Siggen.8)
- Icon Removable media (USB Flash) berubah menjadi icon Folder (lihat gambar 2)
Gambar 2, Icon USB Flash yang
diubah W32/Ramnit (Win32.Siggen.8 )
- User tidak dapat mengakses USB Flash dengan menampilkan pesan ”Access is denied” (lihat gambar 3)
Gambar 3, Blok akses USB
Flash
- Muncul pesan “Compressed (zipped) Folders” pada saat mengakses Flash disk (lihat Gambar 4)
Gambar 4, Pesan error
saat akses USB Flash
- Muncul banyak file dengan nama file “Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk” di USB Flash. (lihat gambar 5)
Gambar 5, File virus yang di
drop oleh virus di USB Flash
- Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini.
Dengan update terbaru Dr.Web
antivirus mendeteksi virus
ini sebagai Win32.Siggen.8 sedangkan untuk file-file lain dikenali
sebagai
Trojan.Packed.21232, Trojan.Hotrend.34 atau Trojan.Starter.1602 (lihat
gambar
6)
Gambar 6, Hasil deteksi Dr.Web antivirus
Ciri-ciri file induk virus
Sebagai informasi, virus ini akan
menyebar menggunakan
Removable media (USB Flash) dengan memanfaatkan fitur autorun Windows.
Agar
virus dapat aktif secara otomatis, ia akan membuat file autorun.inf,
selain
itu
ia
akan
membuat
4
(empat) buah file shortcut dengan nama ”Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk”. Jika user menjalankan salah
satu ke 4 file shortcut tadi maka secara otomatis akan menjalankan file virus yang sudah dipersiapkan di
direktori [%USB Flash%:\RECYCLER\%nama_acak%.exe].
Virus ini juga akan menginjeksi file yang mempunyai ekstensi EXE, setiap file EXE yang
terinjeksi akan mempunyai ukuran 107 KB
lebih besar dari ukuran
asalnya. Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan
di direktori sama dengan format %nama_file_asal%mgr.exe (contohnya: jika user
menjalankan file yang sudah di
injeksi dengan nama
”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama
”ATF-Cleanermgr.exe”
dengan ukuran 105 kb, file duplikat ini dideteksi sebagai
Trojan.Packed.21232.
Gambar7, Contoh file asli (sebelum injeksi), setelah injeksi
dan
file duplikat virus
Pada saat user menjalankan file
tersebut, virus akan melakukan sinkronisasi ke beberapa alamat IP yang sudah dipersiapkan untuk
mendownload file atau virus lain
untuk dijalankan di
komputer
target. File yang di download akan mempunya nama file dan ukuran yang
berbeda-beda,
jadi antara komputer target yang satu dengan yang lain akan mempunyai
nama file
induk yang berbeda-beda.
Berikut beberapa contoh file induk
Win32.Siggen.8
- C:\WINDOWS\Temp\dbww\setup.exe
- C:\Documents and Settings\%user%\Application Data
·
%xx%.exe,
dimana
%xx%
adalah
acak
- C:\Documents and Settings\%user%\Local Settings\Temp\%xx%.exe dan %yy%.dll
Catatan: %xx% dan %yy% ini
berbeda-beda, contohnya : Nh0.exe, Nh1.exe, Nh2.exe, Nhz.exe dengan
menggunakan
icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (lihat gambar
8)
Gambar 8, File induk virus
File ini di deteksi
oleh Dr.Web anti-virus sebagai Win32.Siggen.8
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup
·
%xx%.exe,
dimana
%xx%
adalah
acak
(terdeteksi
sebagai
Trojan.Packed.21232)
- C:\WINDOWS\Nzazab.exe, Nzazaa.exe, Explorermgr.exe
Catatan: %xx%
ini
berbeda-beda,
contohnya
:
[Nzazaa.exe
dan
Nzazab.exe] dengan menggunakan icon “Adobe Player Setup” dengan
ukuran yang
berbeda-beda (dikenali sebagai Win32.Siggen.8) dan file
[Explorermgr.exe] yang
merupakan duplikasi file [Explorer.exe] dengan ukuran 105 KB, file ini
akan
mempunyai icon folder (Trojan.packed.21232) (lihat gambar 9)
Gambar 9, File
induk virus
- C:\Windows\task\%acak%.job
Berupa 3 (tiga) buah file yang
digunakan untuk menjalankan file virus yang sudah dipersiapkan sesuai
dengan
waktu yang telah ditentukan.
(lihat gambar 10)
Gambar 10, Task Schedule Win32.Siggen.8
- C:\Windows\System32\ms.dll (Trojan.Starter.1602)
- C:\Windows\System32\dll (Trojan.Hottrend.34)
- C:\Windows\System32\sshnas21.dll (Trojan.Packed.21232)
- C:\Windows\System32\Cheuehyld.dll Trojan.Packed.21232
Setelah ia berhasil menginfeksi
komputer, langkah
selanjutnya adalah mengifeksi file [C:\Windows\Explorer.exe dan
C:\Windows\System32\Winlogon].
Pada saat user menjalankan file [Explorer.exe] maka ia akan membuat
file
duplikasi yang akan di simpan di direktori sama dengan nama
[Explorermgr.exe]
dengan ukuran 105 KB. File [Explorermgr.exe] inilah yang nantinya
dijadikan
sebagai senjata agar dirinya dapat aktif secara otomatis setiap kali
user
melakukan klik kanan pada file/folder/drive, pada saat melakukan double
click USB
Flash atau pada saat user menjalankan file [Explorer.exe]. Setelah berhasil menjalankan aksinya, ia akan memanggil
file induk lainnya yang ditugaskan untuk aktif di memori, untuk
mengelabui user
ia kemudian akan memanggil aplikasi [C:\Program files\Internet
Explorer\Iexplore.exe]. (lihat
gambar 11)
Gambar 11, proses virus Win32.siggen.8
Registri Windows
Untuk memastikan agar dirinya dapat
aktif secara otomatis
pada saat komputer diaktifkan, ia akan membuat dan merubah beberapa
registri berikut:
- HKEY_CURRENT_USER\Software\CE8SIIFGSU
- HKEY_CURRENT_USER\Software\Microsoft\Handle
- HKEY_CURRENT_USER\Software\NtWqIVLZEWZU\%acak%
- HKEY_CURRENT_USER\Software\XML
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- CE8SIIFGSU = C:\DOCUME~1\%user%\LOCALS~1\Temp\Nh1.exe
- Microsoft Driver Setup = C:\Windows\ggdrive32.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\□
Menampilkan website
Komputer yang sudah terinfeksi
virus akan selalu melakukan
koneksi internet dan memanggil website secara terus menerus dengan isi
yang
berbeda-beda, koneksi yang dilakukan secara terus menerus ini
mengakibatkan komputer
menjadi lambat pada saat digunakan.
Dalam beberapa kasus virus ini juga menyebabkan “Virtual
Memory Minimum Too Low” (lihat gambar 1 di atas dan gambar 12)
Gambar 12, Virtual memory low
Injeksi
file
EXE,
DLL
dan
HTM/HTML
Aksi lain yang akan dilakukan oleh
virus ini adalah
menginjeksi file yang mempunyai ekstensi
EXE,
DLL dan HTM/HTML baik file program aplikasi maupun file system Windows. Setiap file yang terinjeksi akan bertambah ukurannya sekitar 107-109 KB.
Pada saat menjalankan file EXE yang
sudah terinjeksi maka virus akan membuat file
duplikat yang di simpan
di direktori sama dengan format %nama file asal%mgr.exe (contohnya:
jika user
menjalankan file dengan nama ”ATF-Cleaner.exe” maka akan muncul file
duplikat
virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb. (lihat gambar 7)
Setiap file yang terinfeksi
dikenali sebagai Win32.Siggen.8
sedangkan file dupikasi yang dihasilkan dari file yang terinfeksi jika
file
tersebut dijalankan dikenali sebagai Trojan.Packed.21232
Blok akses Removable Media (USB
Flash)
Selain itu, ia juga akan blok
akses
Removable Media (USB Flash). Tetapi anda tidak perlu khawatir karena
virus ini
akan blok akses USB Flash jika user mengakses dengan cara [Klik kanan
USB Flash
| klik Open atau Explorer] atau Double click USB Flash. (lihat gambar 13)
Gambar 13, Blok akses USB Flash
Ia juga akan menampilkan pesan
error berikut saat user
berhasil mengakses USB Flash (lihat gambar 14)
Gambar 14, Pesan error saat akses USB Flash
Virus ini juga akan menampilkan
pesan error saat user
mengakses kolom ”Extended” pada aplikasi [Services.msc] (lihat gambar 15)
Gambar 15, Blok akses services (Extended)
Media penyebaran
Untuk menyebarkan dirinya, ia akan
menggunakan USB Flash dengan memanfaatkan
fitur autorun
Windows dengan membuat beberapa file berikut:
- Autorun.inf
- 4 (empat) buah file shortcut (copy of Shortcut to (1).lnk s.d copy of Shortcut to (4).lnk)
- RECYCLER\%XX%
- %xx%.exe dengan ukuran 105 KB
- %xx%.cpl dengan ukuran 4 KB
Catatan: %xx% adalah folder/file
dengan
nama acak (lihat gambar 16)
Gambar 16, File yang dibuat
oleh virus
Jika user menjalankan salah satu
file
shortcut maka secara otomatis akan menjalankan file virus yang berada
di
direktori [RECYCLER\%XX% ]
File autorun.inf sendiri
berisi
script yang akan dijalankan secara otomatis pada saat user akses USB
Flash
tersebut, script ini berisi perintah untuk menjalankan file yang berada
di
direktori [RECYCLER\%XX% ] (lihat gambar 17)
Gambar 17, script autorun.inf
Cara membersihkan W32/Ramnit
(Wiin32.Siggen.8)
Seperti yang sudah dijelaskan
bahwa virus ini akan menginjeksi file yang mempunyai
ekstensi EXE, DLL dan
HTM/HTML baik file program maupun file system Windows, oleh karena itu
sebaiknya pembersihan dilakukan pada mode DOS. Untuk mempermudah
pembersihan
silahkan gunakan Windows Mini PE Live CD (silahkan search di Internet).
Kemudian download
tools Dr.Web CureIt! di alamat
berikut dan sebaiknya dilakukan di komputer yang tidak terinfeksi
virus. Agar
tools Dr.Web CureIt! tidak terinfeksi, sebaiknya di ZIP dan di password.
Silahkan download Dr.Web CureIt! di
alamat berikut
1.
Agar
pembersihan dapat dilakukan
ooptimal, sebaiknya scan semua HDD termasuk USB Flash maupun HDD
eksternal, hal
ini dikarenakan virus ini akaan drop beberapa file di USB Flash atau
HDD
eksternal.
2.
Sebelum
melakukan pembersihan sebaiknya
blok file duplikat virus dengan menggunakan fitur ”Software Restriction
Policies”.
Fitur ini hanya ada pada system operasi Windows XP Pro, Vista, 7,
Server 2003
dan Server 2008 dengan cara sebagai
berikut:
·
Klik menu
[Start]
·
Klik [Run]
·
Pada
dialog box RUN, ketik SECPOL.MSC kemudian
klik tombol [OK]
·
Setelah
muncul layar ”Local Security Policy”, klik kanan
menu [Software Restriction Policies” dan klik ”Create New Policies”
atau ”New
Software Restriction Policies” jika menggunakan Windows Vista/7
·
Kemudian
klik kanan pada menu ”Additional Rules”,
kemudian pilih ”New Hash Rule...”
(lihat gambar 18)
Gambar 18, blok file
virus
·
Kemudian
akan muncul layar ”New Hash Rule”. Pada kolom
”File Hash”, klik tombol [Browse] dan
tentukan salah satu file duplikasi virus yang mempunyai icon ”Folder”
dengan
ukuran 105 KB (contoh C:\Windows\Explorermgr.exe) kemudian klik tombol
[Open].
Pada kolom ”Security Level”, pilih [Disallowed]. Kemudian klik tombol
[OK] (lihat gambar 19)
Gambar 19,
menentukan file virus yang
akan di blok
3.
Hubungkan
USB Flash dan HDD eksternal
ke komputer
Gunakan Dr Web Live CD untuk membasmi virus
ini dengan
tuntas. Silahkan
download
software tersebut dialamat berikut:
PENTING
!!!
Anda disarankan untuk selalu mendownload Dr
Web Live
CD yang baru setiap kali ingin menggunakan untuk membersihkan dan
membasmi
virus. Jika anda menggunakan DR Web Live CD yang lama, maka definisi
virus yang
terkandung di dalam CD tersebut akan mengikuti saat terakhir anda
download Dr
Web Live CD tersebut. Alternatif lain adalah anda menggunakan software
antivirus Dr Web berbayar yang didistribusikan oleh virusICU. http://www.virusICU.com yang
merupakan group
dari PT. Vaksincom. Bagi pengguna produk Vaksincom yang membutuhkan
bantuan
mendapatkan / download Dr Web Live CD dapat menghubungi info@vaksin.com secara gratis.
- Setelah software Dr.Web LiveCD berhasil di download, burn kedalam CD/DVD
- Hubungkan USB Flash dan HDD eksternal ke komputer
- Booting komputer melalui CD/DVD ROM
- Kemudian akan muncul layar “Welcome to Dr.Web LiveCD” (lihat gambar 20)
Gambar 20, Pilihan booting Dr.Web LiveCD
- Pilih “Dr.Web LiveCD (Default)” kemudian tekan tombol “Enter” pada keyboard
- Tunggu beberapa saat sampai muncul interface Dr.Web LiveCD yang akan menampilkan aplikasi “Dr.Web Scanner” secara otomatis. Dr.Web Scanner ini berfungsi untuk melakukan pemeriksaan terhadap komputer anda dari kemungkinan adanya virus (lihat gambar 21)
Gambar 21, Dr.Web LiveCD
- Untuk Scan HDD, pada layar “Dr.Web Scanner” pilih lokasi Drive yang akan di periksa dan pastikan anda check list opsi “Scan subdirectories” agar Dr.Web dapat melakukan pemeriksaan terhadap direktori dan subdirektori agar pembersihan lebih optimal. Jika layar Dr.Web Scanner tidak muncul klik ganda icon “Dr.Web Scanner” yang terdapat pada Desktop.
- Kemudian klik tombol [Start] untuk memulai proses pemeriksaan (scan)
- Tunggu beberapa saat sampai proses scan selesai dilakukan. Jika ditemukan adanya virus, Dr.Web akan menginformasikan file yang terinfeksi dan jenis virus yang menginfeksi pada kolom informasi virus yang tersedia.
- Klik tombol [Select All] untuk memilih semua objek/file yang akan di bersihkan atau Anda dapat menentukan file mana saja yang akan Anda bersihkan dengan check list pada opsi yang tersedia
- kemudian klik tombol [Cure] untuk membersihkan file yang telah terinfeksi virus
- Tunggu sampai proses pembersihan selesai dilakukan
- Scan ulang komputer untuk memastikan komputer bersih dari virus
- Restart komputer. Sumber : http://www.vaksin.com/2011/0111/ramnit/ramnit.html
