Thanks
Aj Tau
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Jakarta 10330
Paruh pertama tahun 2011 adalah milik Ramnit, Ramnit menduduki peringkat pertama sampai bulan Juni 2011 sebagai malware yang paling banyak menginfeksi komputer-komputer di Indonesia berdasarkan data yang diolah oleh laboratorium virus Vaksincom (lihat gambar 1). Sampai saat ini sudah banyak varian yang di hasilkan oleh virus Ramnit walaupun demikian virus ini mempunyai ciri-ciri, karakteristik dan aksi yang sama, nama file induknya pun tidak mengalami perubahan dengan tetap menggunakan nama file WaterMark.exe.
Gambar 1, Statistik penyebaran virus Ramnit Semester I (Juni 2011), sumber : Data Research Vaksincom 2011
Media Penyebaran
Untuk menyebarkan dirinya, Ramnit akan memanfaatkan berbagai media seperti:
- USB Flash, dengan membuat file :
- autorun.inf
- Copy of Shortcut to (1).lnk
- Copy of Shortcut to (4).lnk
- Membuat file virus di folder RECYCLER dengan ekstensi .CPL dan EXE serta menginfeksi file aplikasi (EXE), DLL dan HTM/HTML.
- Mengeksploitasi celah keamanan Windows MS10-046 KB2286198 http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx
- Internet, penyebaran Ramnit melalui internet dapat terjadi jika user mengakses file htm atau html dari webserver yang sudah di injeksi oleh Ramnit.
- Jaringan (LAN/WAN) dengan cara menginjeksi file EXE/DLL/HTM/HTML pada folder/drive yang di share.
Target Infeksi
Pada saat Ramnit menginfeksi komputer ia akan mencari dan menginfeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML disemua drive termasuk removable media. Hal yang menarik di sini adalah Ramnit mempunyai kemampuan untuk menyisipkan kode virus pada setiap file HTM/HTML yang ditemui. Pada saat korbannya membuka file HTM/HTML yang sudah terinfeksi secara otomatis Ramnit akan membuat sebuah file dengan nama “svchost.exe” di folder [C:\Documents and Settings\%UsernamePC%\Local Settings\Temp]. Setelah berhasil membuat file “svchost.exe”, ramnit akan menjalankan file tersebut sehingga akan terbentuk file baru dengan nama “svchostmgr.exe” di lokasi yang sama, kemudian akan membuat file “WaterMark.exe” sebagai file induk di lokasi yang sudah ditentukan. File “WaterMark.exe” ini untuk beberapa saat akan aktif di memory dan kemudian akan mendompleng ke proses “Svchost.exe” Windows, sehigga proses yang tampil di memory bukan file “WaterMark.exe” melainkan “Svchost.exe” yang akan aktif dengan menggunakan username %userPC% (%userPC%, adalah user account yang digunakan pada saat login Windows). (lihat gambar 2 dan 3)
Gambar 2, Proses virus Ramnit yang menumpang pada proses [svchost.exe] Windows dan injeksi file
Gambar 3, Proses svchost Windows yang melindungi Ramnit
Dengan kemampuan menginjeksi file HTM/HTML (lihat gambar 4 dan 5), akan mempermudah dalam upaya untuk menyebarkan dirinya terutama jika Ramnit sudah menginfeksi Web Server, sehingga pada saat user mengakses halaman web yang sudah terinfeksi maka komputer korban akan langsung terinfeksi oleh Ramnit.
Gambar 4, Injeksi Ramnit di file htm / html
Gambar 5, Injeksi ini mengandung eksekusi dan file master Ramnit sendiri
Jika korbannya mengeksekusi file EXE yang sudah terinfeksi oleh Ramnit, maka akan muncul satu file baru dengan menambahkan string MGR setelah nama file (lihat gambar6).
Gambar 6, Contoh file yang sudah terinfeksi virus dan file duplikat virus
