Video Bar

Loading...

Pages

W32/Ramnit

W32/Ramnit
Kini dengan kemampuan eksploitasi LNK (Shortcut)

Kalau Christiano Ronaldo di ibaratkan sebagai Stuxnet, tentu anda bertanya virus apa yang diibaratkan sebagai Messi ? Jawabannya adalah Ramnit. Walaupun tidak eksplosif seperti Stuxnet, namun dengan kemampuan yang tidak kalah dengan Stuxnet dalam injeksi file korbannya, Ramnit jelas menginfeksi banyak komputer di Indonesia dan pelan tapi pasti mengokohkan dirinya sebagai salah satu virus jawara yang pelru diwaspadai oleh pengguna komputer di Indonesia. Apalagi varian teranyar Ramnit yang sekarang memiliki kemampuan mengeksploitasi celah keamanan LNK (Shortcut) sehingga ia mampu menyebarkan dirinya dengan membuat Shortcut.

Di tahun 2010 lalu, dominasi stuxnet yang memanfaatkan celah keamanan LNK (shortcut) merupakan sebuah salah satu langkah kerja cerdas dari pembuat malware. Bukan hanya sekedar mendominasi, tetapi juga menjadi trending topik malware di berbagai artikel dan analisis di seluruh dunia.

Di saat dominasi stuxnet masih booming hingga saat ini, sebaiknya kita perlu waspada pula terhadap varian malware baru yang berusaha menunjukkan eksistensi-nya dengan usaha kerja keras dari pembuat malware. Diantara varian malware yang patut di waspadai adalah yang terdeteksi sebagai W32/Ramnit oleh Norman Security Suite (lihat gambar 1). Saat ini varian malware ramnit telah menyebar dengan cepat di seluruh dunia. Serangan ramnit ikut melengkapi dominasi malware mancanegara yang menyebar di Indonesia.

Keluarga malware W32/Ramnit
Malware ramnit sesungguhnya bukanlah kelompok malware yang baru, melainkan sudah aktif menyebar pula di tahun 2010. Hanya karena adanya malware pengguna celah keamanan LNK seperti shortcut, sality, stuxnet, yang membuat malware ini tidak menjadi perhatian para analisis dan pengguna komputer di dunia.

Sama seperti stuxnet, varian pertama W32/Ramnit muncul pada pertengahan Juli dan Agustus 2010. Sedangkan varian kedua W32/Ramnit muncul pada Oktober dan Nopember 2010, bersamaan dengan heboh-nya serangan sality-shortcut. Dan pada pertengahan Januari 2011 saat ini yang muncul adalah varian ketiga dari keluarga W32/Ramnit yang mencoba mengikuti jejak para pendahulunya dengan menggunakan celah keamanan LNK (shortcut) untuk melakukan infeksi dan penyebaran.

Karakteristik W32/Ramnit
Salah satu hal yang membuat kita perlu hati-hati terhadap W32/Ramnit yaitu karena malware ini termasuk kelompok virus yang melakukan infeksi file seperti Sality, Virut dan Alman. Hal ini bisa menjadi momok buat pengguna komputer, karena akan sulit membersihkan virus yang melakukan infeksi file terutama file executable (application).

W32/Ramnit merupakan salah satu varian virus yang melakukan infeksi file executable (application). Dan tidak hanya file executable, tetapi juga melakukan infeksi terhadap file web (HTML) dan file DLL (dynamic load library).

Selain itu, jika anda terhubung ke internet, ramnit akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload sekumpulan malware (virus, trojan, spyware). Pada beberapa waktu tertentu, W32/Ramnitmenggunakan iklan dan popup dengan konten pornografi dan perjudian (casino) maupun iklan komersial lain yang tentunya membuat anda tidak nyaman saat hendak browsing maupun surfing. Bayangkan kalau hal ini terjadi pada saat anak anda yang dibawah umur sedang menggunakan komputer yang anda proteksi dengan Parental Control. Bagi orang tua ini bencana karena anak anda terpapar pornografi (karena kemungkinan besar konten porno yang ditampilkan akan lolos dari Parental Control yang di pasang) dan bagi anak hal ini bisa-bisa dianggap "berkah" karena proteksi pornografi yang di pasang ternyata bisa diakali.

Dengan turut memanfaatkan celah keamanan LNK (shortcut), maka makin mempermudah langkahnya untuk menginfeksi pengguna komputer dengan cepat. Walaupun tidak semua varian ketiga W32/Ramnit menggunakan celah keamanan LNK (shortcut), tetapi hampir semua varian W32/Ramnit akan sangat sulit dibersihkan.

Gejala & Efek W32/Ramnit
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :
  • Muncul pop-up iklan atau pop-up dengan konten pornografi/perjudian
  • Muncul script error atau pop-up error setelah pop-up iklan yang muncul
  • Infeksi file EXE dan DLL
  • Injeksi file HTML
  • Membuat fungsi services Windows menjadi blank
  • Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus.
  • Aktif pada proses memory
  • Melakukan koneksi ke Remote Server
  • Melakukan transfer data ke Remote Server
  • Melakukan broadcast
File virus W32/Ramnit
Malware W32/Ramnit dibuat menggunakan bahasa pemrograman C yang di kompress menggunakan UPX. File malware memiliki ciri sebagai berikut :
  • Berukuran 105 kb
  • Type file "Application'
  • Menggunakan icon "folder music"
  • Extension "exe"
Saat W32/Ramnit dijalankan, maka akan menginjeksi beberapa file sistem Windows yaitu :
  • C:\WINDOWS\system32\lsass.exe
  • C:\WINDOWS\system32\svchost.exe
  • C:\WINDOWS\system32\services.exe
  • C:\Program Files\Internet Explorer\IEXPLORE.EXE









Tips Pencegahan dari Malware W32/Ramnit
  1. Aktifkan Windows Firewall atau gunakan software firewall yang lain. Hal ini untuk mencegah dari akses yang tidak di-inginkan
  1. Pastikan komputer sudah mendapatkan update terbaru dari system Windows. Untuk mempermudah gunakan update otomatis dari system seperti "Automatic Updates". Atau bisa juga dengan men-download patch terbaru dari website Microsoft.
  1. Gunakan antivirus yang selalu terupdate dengan baik. Hal ini untuk mempermudah terhadap varian-varian dari malware yang baru.
  1. Batasi akses terhadap akses administrator. Bagi pengguna Windows 7 dan Vista, pastikan UAC (user account control) telah berjalan dengan baik.
  1. Berhati-hati saat membuka file attachment e-mail atau saat menerima transfer file dari orang yang tidak dikenal. Pastikan selalu di scan dengan antivirus yang terupdate.
  2. Berhati-hati terhadap program crack/keygen atau program-program yang tidak dikenal. Karena bisa saja sudah terinfeksi atau mengandung malware.
  3. Gunakan password yang tidak mudah dibaca dan diketahui. Pastikan selalu rubah password pada waktu-tertentu, dan bedakan password satu dengan lain-nya.
  4. Matikan fitur "autoplay" Windows untuk mencegah program yang tidak diinginkan pada removable drive/disk berjalan secara otomatis
  5. Matikan file sharing jika tidak digunakan. Jika memang menggunakan file sharing hanya berstatus read-only, atau konfigurasi sharing hanya untuk user-user tertentu.
  1. Berhati-hati saat mengakses sebuah website atau forum yang menyediakan link-link tertentu untuk di-download atau di-install


0 comments :