Cara Memperkebal PC dan USB Flash dari Virus Ramnit

virus ramnit

virus yang satu ini sangat menjengkelkan karena suka sekali menginfeksi komputer. Sampai saat ini sudah banyak varian yang di hasilkan oleh virus Ramnit walaupun demikian virus ini mempunyai ciri-ciri, karakteristik dan aksi yang sama, nama file induknya pun tidak mengalami perubahan dengan tetap menggu nakan nama file WaterMark.exe.

cara penyebaran virus ini

untuk menyebarkan dirinya virus ini memanfaatkan media sperti :

1. USB Flash dengan membuat file:

            - autorun.inf

            - copy of shortcut to (1).lnk

            - copy of shortcut to (2).lnk

            - copy of shortcut to (3).lnk

            - copy of shortcut to (4).lnk

2.Membuat file virus di  folder RECYCLER dengan ekstensi .CPL dan EXE serta     menginfeksi file aplikasi (EXE), DLL dan HTM/HTML.

3.Mengeksploitasi celah keamanan Windows MS10-046 KB2286198     http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx

4.Internet, penyebaran Ramnit melalui internet dapat terjadi jika user mengakses  file   htm atau html dari webserver yang sudah di injeksi oleh Ramnit.

5.Jaringan (LAN/WAN) dengan cara menginjeksi file EXE/DLL/HTM/HTML pada   folder/drive    yang di share.

Pada saat Ramnit menginfeksi komputer ia akan mencari dan menginfeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML disemua drive termasuk removable media. Hal yang menarik di sini adalah Ramnit mempunyai kemampuan untuk menyisipkan kode virus pada setiap file HTM/HTML yang ditemui. Pada saat korbannya membuka file HTM/HTML yang sudah terinfeksi secara otomatis Ramnit akan membuat sebuah file dengan nama “svchost.exe” di folder [C:\Documents and Settings\%UsernamePC%\Local Settings\Temp]. Setelah berhasil membuat file “svchost.exe”, ramnit akan menjalankan file tersebut sehingga akan terbentuk file baru dengan nama “svchostmgr.exe” di lokasi yang sama, kemudian akan membuat file “WaterMark.exe” sebagai file induk di lokasi yang sudah ditentukan. File “WaterMark.exe” ini untuk beberapa saat akan aktif di memory dan kemudian  akan mendompleng ke proses “Svchost.exe” Windows, sehigga proses yang tampil di memory bukan file “WaterMark.exe” melainkan “Svchost.exe” yang akan aktif dengan menggunakan username %userPC% (%userPC%, adalah user account yang digunakan pada saat login Windows).
 

Proses svchost Windows yang melindungi Ramnit

Dengan kemampuan menginjeksi file HTM/HTML (lihat gambar 4 dan 5), akan mempermudah dalam upaya untuk menyebarkan dirinya terutama jika Ramnit sudah menginfeksi Web Server, sehingga pada saat user mengakses halaman web yang sudah terinfeksi maka komputer korban akan langsung terinfeksi  oleh Ramnit.

 

, Injeksi Ramnit di file htm / html

Injeksi ini mengandung eksekusi dan file master Ramnit sendiri

Jika korbannya mengeksekusi file EXE yang sudah terinfeksi oleh Ramnit, maka akan muncul satu file baru dengan menambahkan string MGR setelah nama file.

 

  Contoh file yang sudah terinfeksi virus dan file duplikat virus

langkah pencegahan

menurut analisa lab Vaksincom, virus ini selalu menggunakan file induk dengan nama yang sama yakni "waterMark.exe" (tanpa tanda kutip) walaupun lokasi penyimpanan nya berbeda-beda tergantung varian yang menginfeksi komputer tersebut serta membuat file “Explorermgr.exe” yang berada di direktori [C:\Windows], file “Explorermgr.exe” ini tercipta jika Ramnit berhasil menginfeksi file “Explorer.exe”. Agar komputer Anda tidak menjadi korban keganasan Ramnit, berikut beberapa tips dan trik agar komputer kebal dari serangan Ramnit.

1.         Buat folder dummy (folder kosong) dengan nama “WaterMark.exe” dan “svchost.exe” di lokasi yang biasa di incar oleh virus, kemudian ubah attribut file tersebut menjadi Hidden, System dan Read Only. Langkah ini dilakukan agar Ramnit tidak bisa membuat file induk virus di lokasi yang sama.

2.         Buat file “Recycler” disetiap drive, kemudian ubah attribut menjadi Hidden, System dan Read Only. Langkah ini dilakukan agar Ramnit tidak dapat membuat file induk (berupa ekstensi EXE dan CPL) kedalam file RECYCLER. dikarenakan RECYCLER ini berupa file (bukan berupa FOLDER) maka Ramnit tidak akan dapat membuat file virus di lokasi tersebut.

3.         Buat 2 (dua) key registry di lokasi berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options (lihat gambar 7)

Key                 : Explorermgr.exe dan WaterMark.exe

String value   : Debugger

Type               : REG_SZ

Data value     :  ntsd –d

 

 String registry untuk blok Ramnit agar tidak dapat aktif di komputer

Gambar 7, String registry untuk blok Ramnit agar tidak dapat aktif di komputer

Langkah ini dilakukan, agar script/kode virus yang ada pada file virus Ramnit tidak dapat di  eksekusi, sehingga Ramnit tidak dapat aktif di memory.

Memperkebal untuk USB Flash

Sebagaimana yang telah dijelaskan sebelumnya, Ramnit juga akan menyebarkan dirinya dengan memanfaatkan media USB Flash dengan membuat beberapa file virus, berikut tips dan trik agar Ramnit tidak dapat membuat file induk kedalam Media USB Flash

1.         Khusus untuk file dengan ekstensi EXE/DLL/HTM/HTML sebaiknya di kompres dengan menggunakan program WinZIP/WinRAR agar virus tidak menginfeksi file tersebut, jika perlu gunakan password.

2.         Buat folder kosong dengan nama [autorun.inf]. Agar folder [autorun.inf] tidak dihapus oleh virus buat folder kosong di dalam folder [autorun.inf] dengan karakter yang tidak dikenal oleh Windows seperti CON dan NUL. Jika folder [autorun.inf] tersebut di hapus akan terjadi kegagalan dengan menampilkan pesan error. Sebaiknya ubah atribut menjadi Hidden, System dan Read Only (lihat gambar 8 dan 9)

 

Membuat file autorun.inf

Pesan error saat menghapus  file autorun.inf

3.         Buat folder kosong dengan nama “Copy of Shortcut to (1).lnk”, “Copy of Shortcut to (2).lnk”, “Copy of Shortcut to (3).lnk” dan “Copy of Shortcut to (4).lnk”, kemudian ubah atribut menjadi Hidden, System  dan Read Only.

4.         Buat file “Recycler”, kemudian ubah atribut menjadi Hidden, System dan Read Only.

5.         Buat folder kosong dengan nama MSO.SYS, kemudian ubah atribut menjadi Hidden, System  dan Read Only.

Read More

Cara Membasmi Virus Shortcut

Suatu hari ada temen yang mengambil data di salah satu komputer milik saya melalui USB Flash Disk. Sebagai pencegahan, terlebih dahulu aku scan dengan antivirus Ansav dan Avira Free Edition, proses scanning berjalan dan ternyata ada beberapa virus yang terdeteksi oleh Ansav. Kemudian setelah selesai aku hapus/delete semua file yang terinfeksi virus.

Ternyata ada file yang dideteksi sebagai virus yakni autorun.inf, Microsoft.inf dan Thumb.db. Virus tersebut membuat duplikasi di setiap folder dengan type shortcut.
Setelah saya anggap USB itu bersih kemudian saatnya menyalin data teman saya tadi. Saat membuka file dalam salah satu folder ternyata telah mucul file-file virus tersebut (autorun.inf, Microsoft.inf dan Thumb.db), kesimpulannya komputer saya telah terserang virus dari USB Flash Disk tersebut dari varian Pif/Starter. Untuk menghilangkan virus tersebut ternyata tidak semudah yang dibayangkan. Setelah melakukan full scan dan menghapus file-file virus tersebut namun tetap saja muncul di setiap folder.

Tak kehilangan akal aku mencoba cara membasmi virus shortcut ini di internet dan berikut langkah-langkah yang dilakukan untuk membasmi virus shortcut (Pif/Starter) yang dikutip dari Detikinet:

1. Matikan dulu proses system restore, caranya klik kanan My Computer | Properties, Pilih tab System Resotore, centang kotak kecil Turn off System Restore all drive.

2. Matikan proses dari file Wscript yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari Windows.

3. Setelah dimatikan proses dari Wscript tersebut, kita harus menhapus atau me-rename dari file tersebut agar tidak digunakan untuk sementara oleh virus tersebut.

Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.

Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS.

4. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.

5. Sekarang kita akan men-delete file-file Autorun.INF. Microsoft.INF dan Thumb.db. Caranya, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah:

Ketik C:\del Microsoft.inf /s, perintah ini akan men-delete semua file microsoft.inf di seluruh folder di drive C:. Sementara kalau mau pindah drive tinggal diganti nama drivenya saja contoh: D:\del Microsoft.inf /s.

Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama.

6. Untuk men-delete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara search file dengan ekstensi .lnk ukurannya 1 kb. Pada 'More advanced options' pastikan option 'Search system folders' dan 'Search hidden files and folders' keduanya telah dicentang.

Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus, kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut yang diciptakan virus ikonnya selalu menggunakan icon 'folder', berukuran 1 kb dan bertipe 'shortcut'. Sedangkan folder yang benar harusnya tidak memiliki 'size' dan tipenya adalah 'File Folder'.

7. Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program 'notepad' kemudian simpan dengan nama 'Repair.inf'. Jalankan file tersebut dengan cara:

- Klik kanan repair.inf
- Klik Install

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer

Read More

Cara Membasmi Virus Sality Sampai ke Akar-akarnya

Berikut cara Membasmi Virus Sality Sampai Ke Akar Akarnya,cara ini cukup ampuh dan sangat manjur, perlu anda ketahui tentang Virus Sality kalau sudah menggigit komputer kita, simak di bawah ini :

 Ciri-ciri Komputer yang terkena virus sality :

• Tidak dapat melakukan copy-paste dari komputer ke flashdisk, Bila copy-paste dari komputer itu sendiri masih bisa.
• Virus ini akan mendisable fitur penting dalam system seperti Folder Options, Task Manager, Registry Editor, Antivirus, Firewall.
• Anda tidak bisa menginstal antivirus, karena virus ini akan otomatis mendisable proses instalasi. Terkecuali untuk Sality Killer karena tidak perlu instalasi.
• Merestart Komputer jika kita mengakses Registry nya dengan program Tune Up Registry Editor.

Cara Membasmi Virus Sality Sampai Ke akar-akarnya 

Coba Anda Update Antivirus Anda dan Coba Scan Ulang.

Read More

Cara Mencegah Virus Masuk ke Komputer Anda

Pada kesempatan kali ini saya akan membahas cara mencegah virus dari flashdisk atau CD/DVD masuk ke komputer anda. Mungkin anda belum tahu bahwa sebagian besar virus masuk ke komputer kita lewat autorun.inf yang biasanya terdapat pada flashisk dan CD/DVD. untuk mecegah si virus masuk, maka kita harus mematikan autoplay yang ada di windows. Nah, ini dia caranya:
1. tekan windows + r , untuk memunculkan run pada windows
2. ketik “gpedit.msc” (tanpa petik)
3. buka Administrative Templates pada Computer Configuration yang terdapat pada jendela kiri
4. lalu buka All Settings
5. cari setting-an dengan nama Turn off Autoplay dan buka
6. pilih enabled dan jadikan pilihan Turn off Autoplay on menjadi all drives
7. pilih ok
Nah, sekarang komputer anda tidak akan mudah lagi dimasuki virus dari flashdisk maupun CD/DVD, tetapi untuk browsing pada flashdisk anda, anda harus membuka nya lewat jendela sebelah kiri. Ini dilakukan untuk menhindari virus yang memanfaatkan icon berbentuk folder biasa.

Read More

Cara Memperkebal Flashdisk dari Virus

Cuma colok sebentar, tahu-tahu sudah tertular. Bagaimana sih membuat flashdisk bisa kebal dari penularan virus?

Mari kita simak terlebih dahulu mengapa penyebaran virus bisa begitu cepat. Sumber permasalahan adalah fasilitas autorun yang ada di sistem operasi Windows. 

Sebenarnya, autorun yang ada sejak era Windows XP memiliki niat baik, yaitu memudahkan pengguna. Setiap kali kita memasukkan media eksternal (baik CD/DVD atau flashdisk), file autorun.inf di dalam media eksternal tersebut langsung berjalan agar isi di dalamnya bisa langsung dimainkan. Contohnya ketika Anda memasukkan CD musik, Windows langsung menjalankan Windows Media Player atau Winamp.

Namun niat baik tersebut ternyata dimanfaatkan para pembuat virus untuk menularkan virus. Dengan memodifikasi file autorun.inf, virus bisa langsung berjalan dan menularkan program jahat setiap kali flashdisk tertancap di komputer. Bisa pula sebaliknya: komputer langsung menularkan virus file autorun.inf ke setiap flashdisk yang pernah tertancap.

Lalu, bagaimana solusinya?

Menilik cara kerja penularan virus, konsepnya sederhana. Di sisi komputer, jaga agar file autorun tidak usah berjalan. Sedangkan di sisi flashdisk, pastikan autorun tidak pernah bisa dimodifikasi.

Untuk melakukan kedua hal tersebut, cara gampangnya adalah dengan menggunakan aplikasi seperti BitDefender Immunizer atau Panda USB Vaccine. Kedua aplikasi ini akan melindungi komputer maupun flashdisk dari penularan virus. Caranya seperti kami sebut di atas: menonaktifkan autorun di komputer, sekaligus melindungi file autorun.inf dari modifikasi si pembuat virus.

Kedua aplikasi ini gratis, jadi silakan unduh dan gunakan secara gratis. BitDefender Immunizer bisa diunduh di sini, sementara Panda USB Vaccine di alamat sini.

Cara menggunakannya mudah saja. Jalankan aplikasi tersebut, lalu mereka akan mendeteksi apakah fasilitas autorun di komputer Anda aktif. Jika iya, aplikasi tersebut akan menawarkan Anda untuk mematikan fasilitas tersebut (dan sebaiknya Anda lakukan).

Setelah itu, Anda tinggal imunisasi flashdisk yang hendak Anda lindungi. Pilih flashdisk dari menu yang ada, lalu tekan Immunize atau Vaccine. Sesaat kemudian, file autorun.inf di flashdisk Anda akan diganti dengan yang baru dan kebal penularan.

Jangan khawatir, file pekerjaan, kuliah, dan file penting lain  di dalamnya tidak ada yang diubah kok.

Nah, gampang kan membuat flashdisk Anda kebal virus?

Read More