Seiring dengan perkembangan teknologi, semakin banyak virus yang bermunculan yang akan selalu mengintai komputer kita. Salah satunya adalah Ramnit. Meskipun Ramnit adalah virus dari luar tapi penyebarannya tergolong sangat cepat, bahkan kini bermunculan berbagai variannya. Salah satu ciri yang menandakan varian Ramnit yang berbeda adalah pada icon yang digunakannya, yang bervariasi antara varian yang satu dengan varian yang lainnya. File executable Ramnit umumnya tampil dengan nama acak dan menyamat sebagai file Flash. Berikut ini kita akan bersama-sama mengenal virus Ramnit, bagaimana ia menginfeksi komputer. Semoga artikel ini bermanfaat untuk Anda.
Shortcut
Tren penularan malware melalui shortcut yang terdapat pada flash disk kembali marak akhir-akhir ini. Shortcut yang diciptakan bukanlah shortcut biasa yang harus diklik agar mengeksekusi program, tetapi merupakan explit yang memanfaatkan celah keamanan Windows. Shortcut ini akan berjalan walaupun pengguna baru mengeklik drive flash disk di mana shortcut ini tersimpan.Windows telah meng-update celah keamanan ini melalui security update KB2286198 (http://support.microsoft.com/?kbid=2286198). Walaupun demikian, Anda tetap perlu waspada pada shortcut apapun yang terdapat pada flash disk. Berbagai sampel varian Ramnit yang didapat, seluruhnya menggunakan short cut dengan nama:
- Copy of Shortcut to (1).Ink
- Copy of Shortcut to (2).Ink
- Copy of Shortcut to (3).Ink
- Copy of Shortcut to (4).Ink
Autorun.inf
Tidak cukup dengan shortcut, Ramnit juga dapat menulari komputer melalui autorun.inf yang juga diciptakan pada flash disk. Autorun.inf. ini menjalankan file executable Ramnit pada folder Recycle (yang juga otomatis diciptakan Ramnit). Selain itu, terdapat file dengan ekstensi *.cpl yang juga merupakan companion Ramnit, Autorun.inf yang diciptakan Ramnit berisi banyak karakter sampah untuk menghindari pendeteksian antivirus.Infeksi File EXE/DLL
Ramnit memiliki kemampuan menginfeksi file dengan ekstensi *.exe dan *.dll walaupun sejauh ini hanya dilakukan pada file PE yang memiliki section.text. Ramnit akan membuat sebuah section baru pada posisi akhir dengan nama .text dan mengarahkan entry point pada section .text ciptaan virus (bukan section .text yang asli). Original Entry Point (OEP) disamarkan melalui enkripsi sederhana dan disimpan pada offset file tertentu. Sementara, pada akhir file *.exe/*.dll yang diinfeksinya, Ramnit akan menambahkan data overlay yang berubah-ubah isi dan ukurannya.Infeksi File HTML
Untuk file HTML, Ramnit menyisipkan kode VBScript pada akhir file HTML (ekstensi *.html/*.htm). File HTML yang telah terinjeksi Ramnit berlaku sebagai dropper yang dapat menciptakan dile executable virus. Tidak mengherankan file HTML yang umumnya berukuran kecil karena hanya merupakan teks berisi tag HTML, saat terkena Ramnit dapat berukuran menjadi puluhan kali lipat lebih besar karena mengandung tubuh virus.Stealth di Memory
Ramnit merupakan rootkit canggih yang berusaha tidak terdeteksi oleh tool anti rootkit dan antivirus di memory. Proses Ramnit di memory menjaga agar file executable Ramnit yang berada pada komputer yang terinfeksi tidak dapat terlihat dengan cara biasa, yaitu melalui Windows Explorer atau Command Prompt. Melalui tool seperti Process Explorer, keberadaan Ramnit dapat diketahui dengan melihat adanya process browser (mungkin firefox.exe atau iexplore.exe) yang aktif di memory, tetapi GUI browser tersebut tidak tampil di pengguna. Namun, hanya menghentikan process browser tidak akan mematikan proses Ramnit secara keseluruhan karena ia juga menginjeksi process lainnya, termasuk process dari executable file yang baru dijalankan. Ramnit akan mencoba membuka koneksi keluar melalui port 80 dan 443.Beberapa varian Ramnit memiliki ciri khas membuat file pada folder Program Fles\Microsoft\watermark.exe. File ini tidak dapat dihapus dengan cara biasa jika proses Ramnit masih aktif.
Pembersihan
Karena berbagai kemampuannya, Ramnit tidak dapat digolongkan secara spesifik pada kategori tertentu. Ia termasuk virus karena memiliki kemampuan menginfeksi file executable yang berekstensi *.exe dan *.dll, bahkan juga menginjeksi file *.html dan *.htm. Ramnit juga termasuk worm karena mampu menduplikasikan dirinya dan menyebar melalui jaringan dan meremovable disk. Kemampuan stealth canggih yang dimilikinya membuat Ramnit juga termasuk trojan dengan kemampuan rootkit tingkat tinggi. Teknik lazim dengan menciptakan file autorun.inf juga masih dipertahankan, tetapi seakan mengikuti tren malware terkini. Ramnit juga menggunakan exploit shortcut yang dapat mengeksekusi file malware.Untuk membersihkan Ramnit, terdapat PCMAV Express For Ramnit yang dibuat khusus untuk mendeteksi dan membersihkan berbagai varian dari sampel yang diperoleh. Untuk beberapa varian ramnit, PCMAV Express mencoba membersihkannya dalam modus Safe Mode.
Sumber: PCMedia
Tidak ada komentar:
Posting Komentar