Upload
lamthu
View
213
Download
0
Embed Size (px)
Citation preview
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Virus Kejam Dan Bandel Pada Komputer
Barian Berial Siswoyo
Abstrak
Perhatian user yang cukup besar terhadap virus lokal jangan sampai mengakibatkan
lengah dengan keberadaan virus mancanegara, seperti salah satu virus yang sedang
menyebar saat ini. Virus ini termasuk golongan trojan/backdoor, ia akan aktif jika
komputer target terkoneksi internet dan salah satu senjata pamungkasnya yang
berbahaya dan membuat pusing pengguna komputer adalah melakukan download virus
lain.
Kata Kunci: Virus Kejam Dan Bandel Pada Komputer
Pendahuluan
Virus ini termasuk golongan trojan/backdoor, ia akan aktif jika komputer target
terkoneksi internet dan salah satu senjata pamungkasnya yang berbahaya dan membuat
pusing pengguna komputer adalah melakukan download virus lain. Hebatnya, nama dan
jenis virus yang didownload akan berbeda-beda untuk setiap komputer target baik dari
nama maupun ukurannya, hal inilah yang menyebabkan banyak program antivirus
sekalipun kesulitan untuk melakukan deteksi dan pembersihan. Jika file tersebut
berhasil di download, maka secara otomatis akan di aktifkan di komputer dan
melakukan serangkaian kode jahat yang sudah ditanam didalam tubuhnya.
Pembahasan
Perhatian para pengguna komputer dalam beberapa bulan terakhir ini banyak tersita
pada Stuxnet, Sality, Virut dan Shortcut. Termasuk perkembangan virus lokal yang
secara tidak langsung menantang kreativitas programmer-programmer untuk
memunculkan program antivirus lokal seperti Artav yang digawangi oleh anak SMP :).
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Perhatian user yang cukup besar terhadap virus lokal jangan sampai mengakibatkan
lengah dengan keberadaan virus mancanegara, seperti salah satu virus yang sedang
menyebar saat ini. Virus ini termasuk golongan trojan/backdoor, ia akan aktif jika
komputer target terkoneksi internet dan salah satu senjata pamungkasnya yang
berbahaya dan membuat pusing pengguna komputer adalah melakukan download virus
lain. Hebatnya, nama dan jenis virus yang didownload akan berbeda-beda untuk setiap
komputer target baik dari nama maupun ukurannya, hal inilah yang menyebabkan
banyak program antivirus sekalipun kesulitan untuk melakukan deteksi dan
pembersihan. Jika file tersebut berhasil di download, maka secara otomatis akan di
aktifkan di komputer dan melakukan serangkaian kode jahat yang sudah ditanam
didalam tubuhnya.
Secara umum virus ini cukup merepotkan, ia akan selalu melakukan koneksi ke internet
untuk memanggil alamat website yang sudah ditentukan yang akan ditampilkan secara
terus menerus sehingga mengakibatkan komputer menjadi lambat pada saat di akses,
terlebih virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan
HTM/HTML baik berupa file program maupun file system Windows sehingga
diperlukan langkah pembersihan khusus.
Ciri dan gejala Berikut beberapa ciri dan gejala jika komputer terinfeksi virus W32/Ramnit
(Win32.Siggen.8)
1. Akan menampilkan aplikasi Internet Explorer yang berisi penawaran atau iklan
investasi, game dan program-program promosi (terkadang menampilkan iklan
porno) dalam jumlah yang banyak secara terus menerus selama komputer
terkoneksi internet sehingga menghabiskan banyak bandwidth untuk iklan yang
ditampilkan dan mengakibatkan akses internet menjadi lambat (lihat gambar 1).
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Gambar 1, Alamat website yang akan ditampilkan oleh W32/Ramnit (Win32.Siggen.8)
2. Icon Removable media (USB Flash) berubah menjadi icon Folder (lihat gambar 2)
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Gambar 2, Icon USB Flash yang diubah W32/Ramnit (Win32.Siggen.8 )
3. User tidak dapat mengakses USB Flash dengan menampilkan pesan ”Access is
denied” (lihat gambar 3)
Gambar 3, Blok akses USB Flash
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
4. Muncul pesan “Compressed (zipped) Folders” pada saat mengakses Flash disk
(lihat Gambar )
Gambar 4, Pesan error saat akses USB Flash
5. Muncul banyak file dengan nama file “Copy of Shortcut to (1).lnk” s/d “Copy of
Shortcut to (4).lnk” di USB Flash. (lihat gambar 5)
Gambar 5, File virus yang di drop oleh virus di USB Flash
6. Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit
dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu
klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus
ini.
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Dengan update terbaru Dr.Web antivirus mendeteksi virus ini sebagai Win32.Siggen.8
sedangkan untuk file-file lain dikenali sebagai Trojan.Packed.21232, Trojan.Hotrend.34
atau Trojan.Starter.1602 (lihat gambar 6)
Gambar 6, Hasil deteksi Dr.Web antivirus
Ciri-ciri file induk virus Sebagai informasi, virus ini akan menyebar menggunakan Removable media (USB
Flash) dengan memanfaatkan fitur autorun Windows. Agar virus dapat aktif secara
otomatis, ia akan membuat file autorun.inf, selain itu ia akan membuat 4 (empat) buah
file shortcut dengan nama ”Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to
(4).lnk”. Jika user menjalankan salah satu ke 4 file shortcut tadi maka secara otomatis
akan menjalankan file virus yang sudah dipersiapkan di direktori [%USB
Flash%:\RECYCLER\%nama_acak%.exe].
Virus ini juga akan menginjeksi file yang mempunyai ekstensi EXE, setiap file EXE
yang terinjeksi akan mempunyai ukuran 107 KB lebih besar dari ukuran asalnya. Pada
saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat
yang di simpan di direktori sama dengan format %nama_file_asal%mgr.exe (contohnya:
jika user menjalankan file yang sudah di injeksi dengan nama ”ATF-Cleaner.exe” maka
akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran
105 kb, file duplikat ini dideteksi sebagai Trojan.Packed.21232.
Gambar7, Contoh file asli (sebelum injeksi), setelah injeksi dan file duplikat virus
Pada saat user menjalankan file tersebut, virus akan melakukan sinkronisasi ke
beberapa alamat IP yang sudah dipersiapkan untuk mendownload file atau virus lain
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
untuk dijalankan di komputer target. File yang di download akan mempunya nama file
dan ukuran yang berbeda-beda, jadi antara komputer target yang satu dengan yang lain
akan mempunyai nama file induk yang berbeda-beda.
Berikut beberapa contoh file induk Win32.Siggen.8
C:\WINDOWS\Temp\dbww\setup.exe
C:\Documents and Settings\%user%\Application Data
· %xx%.exe, dimana %xx% adalah acak
C:\Documents and Settings\%user%\Local Settings\Temp\%xx%.exe dan
%yy%.dll
Catatan: %xx% dan %yy% ini berbeda-beda, contohnya : Nh0.exe, Nh1.exe, Nh2.exe,
Nhz.exe dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang
berbeda-beda (lihat gambar 8)
Gambar 8, File induk virus
File ini di deteksi oleh Dr.Web anti-virus sebagai Win32.Siggen.8
C:\Documents and Settings\%user%\Start Menu\Programs\Startup
· %xx%.exe, dimana %xx% adalah acak (terdeteksi sebagai Trojan.Packed.21232)
C:\WINDOWS\Nzazab.exe, Nzazaa.exe, Explorermgr.exe
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Catatan: %xx% ini berbeda-beda, contohnya : [Nzazaa.exe dan Nzazab.exe] dengan
menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (dikenali
sebagai Win32.Siggen.8) dan file [Explorermgr.exe] yang merupakan duplikasi file
[Explorer.exe] dengan ukuran 105 KB, file ini akan mempunyai icon folder
(Trojan.packed.21232) (lihat gambar 9)
Gambar 9, File induk virus
C:\Windows\task\%acak%.job
Berupa 3 (tiga) buah file yang digunakan untuk menjalankan file virus yang sudah
dipersiapkan sesuai dengan waktu yang telah ditentukan. (lihat gambar 10)
Gambar 10, Task Schedule Win32.Siggen.8
C:\Windows\System32\ms.dll (Trojan.Starter.1602)
C:\Windows\System32\dll (Trojan.Hottrend.34)
C:\Windows\System32\sshnas21.dll (Trojan.Packed.21232)
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
C:\Windows\System32\Cheuehyld.dll Trojan.Packed.21232
Setelah ia berhasil menginfeksi komputer, langkah selanjutnya adalah mengifeksi file
[C:\Windows\Explorer.exe dan C:\Windows\System32\Winlogon]. Pada saat user
menjalankan file [Explorer.exe] maka ia akan membuat file duplikasi yang akan di
simpan di direktori sama dengan nama [Explorermgr.exe] dengan ukuran 105 KB. File
[Explorermgr.exe] inilah yang nantinya dijadikan sebagai senjata agar dirinya dapat
aktif secara otomatis setiap kali user melakukan klik kanan pada file/folder/drive, pada
saat melakukan double click USB Flash atau pada saat user menjalankan file
[Explorer.exe]. Setelah berhasil menjalankan aksinya, ia akan memanggil file induk
lainnya yang ditugaskan untuk aktif di memori, untuk mengelabui user ia kemudian
akan memanggil aplikasi [C:\Program files\Internet Explorer\Iexplore.exe]. (lihat
gambar 11)
Gambar 11, proses virus Win32.siggen.8
Registri Windows Untuk memastikan agar dirinya dapat aktif secara otomatis pada saat komputer
diaktifkan, ia akan membuat dan merubah beberapa registri berikut:
HKEY_CURRENT_USER\Software\CE8SIIFGSU
HKEY_CURRENT_USER\Software\Microsoft\Handle
HKEY_CURRENT_USER\Software\NtWqIVLZEWZU\%acak%
HKEY_CURRENT_USER\Software\XML
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o CE8SIIFGSU = C:\DOCUME~1\%user%\LOCALS~1\Temp\Nh1.exe
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
o Microsoft Driver Setup = C:\Windows\ggdrive32.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Intern
et Settings\Zones\\□
Menampilkan website Komputer yang sudah terinfeksi virus akan selalu melakukan koneksi internet dan
memanggil website secara terus menerus dengan isi yang berbeda-beda, koneksi yang
dilakukan secara terus menerus ini mengakibatkan komputer menjadi lambat pada saat
digunakan. Dalam beberapa kasus virus ini juga menyebabkan “Virtual Memory
Minimum Too Low” (lihat gambar 1 di atas dan gambar 12)
Injeksi file EXE, DLL dan HTM/HTML Aksi lain yang akan dilakukan oleh virus ini adalah menginjeksi file yang mempunyai
ekstensi EXE, DLL dan HTM/HTML baik file program aplikasi maupun file system
Windows. Setiap file yang terinjeksi akan bertambah ukurannya sekitar 107-109 KB.
Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file
duplikat yang di simpan di direktori sama dengan format %nama file asal%mgr.exe
(contohnya: jika user menjalankan file dengan nama ”ATF-Cleaner.exe” maka akan
muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb.
(lihat gambar 7)
Setiap file yang terinfeksi dikenali sebagai Win32.Siggen.8 sedangkan file dupikasi
yang dihasilkan dari file yang terinfeksi jika file tersebut dijalankan dikenali sebagai
Trojan.Packed.21232
Blok akses Removable Media (USB Flash) Selain itu, ia juga akan blok akses Removable Media (USB Flash). Tetapi anda tidak
perlu khawatir karena virus ini akan blok akses USB Flash jika user mengakses dengan
cara [Klik kanan USB Flash | klik Open atau Explorer] atau Double click USB Flash.
(lihat gambar 13)
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Gambar 13, Blok akses USB Flash
Ia juga akan menampilkan pesan error berikut saat user berhasil mengakses USB Flash
(lihat gambar berikut)
Gambar 14, Pesan error saat akses USB Flash
Virus ini juga akan menampilkan pesan error saat user mengakses kolom ”Extended”
pada aplikasi [Services.msc] (lihat gambar 15)
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Media penyebaran Untuk menyebarkan dirinya, ia akan menggunakan USB Flash dengan memanfaatkan
fitur autorun Windows dengan membuat beberapa file berikut:
Autorun.inf
4 (empat) buah file shortcut (copy of Shortcut to (1).lnk s.d copy of Shortcut to
(4).lnk)
RECYCLER\%XX%
o %xx%.exe dengan ukuran 105 KB
o %xx%.cpl dengan ukuran 4 KB
Catatan: %xx% adalah folder/file dengan nama acak (lihat gambar 16)
Jika user menjalankan salah satu file shortcut maka secara otomatis akan menjalankan
file virus yang berada di direktori [RECYCLER\%XX% ]
File autorun.inf sendiri berisi script yang akan dijalankan secara otomatis pada saat user
akses USB Flash tersebut, script ini berisi perintah untuk menjalankan file yang berada
di direktori [RECYCLER\%XX% ] (lihat gambar 17)
Cara membersihkan W32/Ramnit (Wiin32.Siggen.8)
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Seperti yang sudah dijelaskan bahwa virus ini akan menginjeksi file yang mempunyai
ekstensi EXE, DLL dan HTM/HTML baik file program maupun file system Windows,
oleh karena itu sebaiknya pembersihan dilakukan pada mode DOS. Untuk
mempermudah pembersihan silahkan gunakan Windows Mini PE Live CD (silahkan
search di Internet). Kemudian download tools Dr.Web CureIt! di alamat berikut dan
sebaiknya dilakukan di komputer yang tidak terinfeksi virus. Agar tools Dr.Web
CureIt!tida
Penutup
sekian sedikit artikel yang saya tulis tentang Virus Kejam Dan Bandel Pada Komputer
maaf jika masih tidak sempurna karna saya masih butuh pembelajaran lagi. terima kasih
Referensi
http://imamvirtualworld.blogspot.com/2011/10/virus-kejam-dan-bandel-pada-
komputer.html
Biografi
Barian Berial Siswoyo
saya ini masih tinggal bersama orang tua saya, saya juga
dilahirkan dari perut ibu saya.. saya juga disini mau nulis
biografi.. saya juga bisa berkomunikasi lewat
[email protected] (email), @ryanwisastra (twitter),
ryanwisastra (instagram), saya juga punya pin bb kalo yang
mau minta langsung aja tapi jangan banyak-banyak ntar abis.