Software Antivirus

Software Antivirus yang ada di Dunia

Jurus Membunuh Ramnit !

Ibarat kasus korupsi yang sampai saat ini masih tetap saja mencengkeram Indonesia sampai hari ini, virus Ramnit bukan virus jenis dan sudah ada sejak tahun 2010. Namun virus ini tetap tidak bisa di remehkan karena Ramnit begitu rapi dalam menginjeksi dan menjalankan dirinya sendiri. Ramnit memang sangat merepotkan korbannya, karena pada saat akan buka local disk (C:) tidak bisa karena virus ini merubahnya menjadi ekstensi “.dat” (lihat gambar 1), taskmanager juga di buatnya jadi disable, buka run juga tidak bisa. (lihat gambar 2)

Gambar 1, Local Disk tidak bisa dibuka jika terinfeksi Ramnit 

Gambar 2, Disable Task Manager 

 

Duh, menyusahkan ya. Tidak hanya itu [Folder Options] pun tidak dapat dibuka. Selain itu masih ada yang namanya folder discus-X pada direktori C:\ Windows\ yang jika dicari secara konvensional tidak akan ketemu, karena rupanya disembunyikan (hidden). Juga pembuatan folder “C:\Program Files\M1crosoft” (lihat gambar 3) yang bertujuan untuk mengelabui sistem komputer dan pengguna awam yang kurang jeli (tapi bukan Vaksinis :p).  

Gambar 3, Direktori M1crosoft yang dibuat Ramnit untuk mendukung aksinya 

 

Tidak lupa Ramnit juga membuat file yang menjadi ciri khasnya “Copy of Shortcut (1), Copy of Shortcut(2), Copy of Shortcut(3), Copy of Shortcut (4)” dan mengeksploitasi celah keamanan Microsoft Windows yang memungkinkannya untuk menginfeksi secara otomatis via USB port setiap kali UFD (USB Flash Disk) terinfeksi Ramnit dicolokkan ke komputer. Selain itu, Ramnit akan menginjeksi file yang berekstensi html dan htm. Jika anda mengelola web server atau memanfaatkan file htm dan html dalam sistem intranet anda, anda harus ekstra hati-hati.

Pada saat anda akan upload file html / htm ke website, Ramnit akan ikut serta karena sudah diinjeksikan dalam file tersebut dan secara otomatis akan menginjeksi komputer korban melaui peramban yang membuka halaman situs yang terinfeksi. Ini lah salah satu penyebab mengapa sampai saat ini Ramnit masih bertahan sebagai malware jagoan, seperti yang di informasikan pada 11 Situs Indonesia yang aktif menyebarkan Ramnit. Ibarat geng motor yang banyak menimbulkan masalah di Indonesia, selanjutnya Ramnit akan memanggil teman-temannya seperti, Sality, Alman, Virut, Conficker dan lainnya untuk masuk pada PC.

Langkah Pembersihan.

• Lindungi dulu UFD USB Flash Disk anda agar ramnit tidak bisa meng infeksi dengan menggunakan tools sederhana yang bisa anda buat sendiri (yang digunakan oleh Vaksinis dalam menghadapi Ramnit :)). Caranya buka notepad dan copy-paste script berikut ini :
  
  < < < awal script proteksi UFD > > >
  
  echo off
  
  cls
  
  REM — ubah warna
  color b
  
  REM -ubah judul
  title Proteksi USB Flash* by Vaksincom
  
  cd\
  
  echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  echo W32/Ramnit (win32.Siggen.8) USB Flash Protection * by Vaksincom *
  echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  echo - Tools ini digunakan untuk proteksi agar USB Flash tidak dijadikan
  echo media penyebaran virus Ramnit
  echo - Sebelum menjalankan tools ini, silahkan ubah lokasi drive
  echo USB Flash pada script ini sesuai dengan lokasi drive USB Flash Anda
  echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  echo
  
  pause
  
  echo Memulai untuk proteksi USB Flash
  
  cd\
  
  attrib -s -h -r h:\autorun.inf
  del h:\autorun.inf /q
  
  md \\.\h:\autorun.inf
  attrib +s +h +r h:\autorun.inf
  md \\.\h:\autorun.inf\con
  md \\.\h:\autorun.inf\con\aux
  md \\.\h:\autorun.inf\con\aux\nul.This_autorun.inf_is_PROTECT_by_Vaksincom_to_protect_your_USB-Flash_from_virus_infection
  
  attrib -s -h -r h:\mso.sys
  del h:\mso.sys /q
  
  md \\.\h:\mso.sys
  attrib +s +h +r h:\mso.sys
  md \\.\h:\mso.sys\con
  md \\.\h:\mso.sys\con\aux
  md \\.\h:\mso.sys\con\aux\nul.This_mso.sys_is_PROTECT_by_Vaksincom_to_protect_your_USB-Flash_from_virus_infection
  
  rmdir c:\RECYCLER /q
  rmdir d:\RECYCLER /q
  rmdir e:\RECYCLER /q
  rmdir f:\RECYCLER /q
  rmdir g:\RECYCLER /q
  rmdir h:\RECYCLER /q
  rmdir i:\RECYCLER /q
  rmdir j:\RECYCLER /q
  rmdir k:\RECYCLER /q
  
  edit tulis @echo protected_by_av>c:\RECYCLER /q
  edit tulis @echo protected_by_av>d:\RECYCLER /q
  edit tulis @echo protected_by_av>e:\RECYCLER /q
  edit tulis @echo protected_by_av>f:\RECYCLER /q
  edit tulis @echo protected_by_av>g:\RECYCLER /q
  edit tulis @echo protected_by_av>h:\RECYCLER /q
  edit tulis @echo protected_by_av>i:\RECYCLER /q
  edit tulis @echo protected_by_av>j:\RECYCLER /q
  edit tulis @echo protected_by_av>k:\RECYCLER /q
  
  attrib +s +h +r c:\RECYCLER
  attrib +s +h +r d:\RECYCLER
  attrib +s +h +r e:\RECYCLER
  attrib +s +h +r f:\RECYCLER
  attrib +s +h +r g:\RECYCLER
  attrib +s +h +r h:\RECYCLER
  attrib +s +h +r i:\RECYCLER
  attrib +s +h +r j:\RECYCLER
  attrib +s +h +r k:\RECYCLER
  
  Del F:\Copy" "of" "Shortcut" "to" "(1)"".lnk" /q
  Del F:\Copy" "of" "Shortcut" "to" "(2)"".lnk" /q
  Del F:\Copy" "of" "Shortcut" "to" "(3)"".lnk" /q
  Del F:\Copy" "of" "Shortcut" "to" "(4)"".lnk" /q
  
  md h:\Copy" "of" "Shortcut" "to" "(1)"".lnk"
  md h:\Copy" "of" "Shortcut" "to" "(2)"".lnk"
  md h:\Copy" "of" "Shortcut" "to" "(3)"".lnk"
  md h:\Copy" "of" "Shortcut" "to" "(4)"".lnk"
  
  attrib +s +h +r h:\Copy" "of" "Shortcut" "to" "(1)".lnk"
  attrib +s +h +r h:\Copy" "of" "Shortcut" "to" "(2)".lnk"
  attrib +s +h +r h:\Copy" "of" "Shortcut" "to" "(3)".lnk"
  attrib +s +h +r h:\Copy" "of" "Shortcut" "to" "(4)".lnk"
  
  msg %username% /time:30 "USB Flash Anda sudah di proteksi dari virus Ramnit"
  
  msg %username% /time:30 "W32/Ramnit USB Flash Protection (c) 2011-Vaksincom"
  
  < < < akhir script proteksi UFD > > >
  
  
  Kemudian simpan dengan nama [Save as] “ProteksiUFD.bat” ( tanpa tanda kutip ), kemudian double klik untuk menjalankan tools ini. Jika anda awam dan ingin mengetahui bagaimana langkah untuk melakukan [Save as], anda bisa menanyakan kepada teman anda (kalau dia ngaku jago komputer :p) atau silahkan tanyakan kepada Vaksinis dengan mengirimkan email ke info@vaksin.com. Setelah itu, jalankan tools untuk melindungi UFD ini pada setiap UFD yang anda miliki. Hal ini penting untuk mencegah UFD anda terinfeksi Ramnit dari komputer lain dan menjadi “agen rahasia” penyebar Ramnit.
• * Siapkan PC yang bersih dari virus dan unduh Antivirus G Data (dan manualnya) dari situs virusICU http://www.virusicu.com/product/antivirus2014.php. Setelah selesai, kopi dan install pada PC yang ter infeksi Ramnit. Jika anda mengalami kesulitan / keterbatasan bandwidth untuk mengunduh file instalasi yang cukup besar, anda bisa meminta bantuan teman atau warnet untuk membantu mengunduhkan. Atau jika anda sabar menunggu sampai akhir Mei 2013, anda bisa mendapatkan installer G Data Antivirus yang akan tersedia pada DVD majalah Chip terbitan bulan Mei 2013. Pertimbangan Vaksincom menggunakan G Data Antivirus adalah karena G Data secara otomatis akan memburu dan membasmi semua file Ramnit dengan usaha sangat minimal dari pengguna komputer. Jika tidak percaya silahkan ikuti artikel ini sampai selesai.
  • 
    Instal G Data dan JANGAN restart! Kita update dulu antivirusnya. Jika anda mengalami kesulitan dalam instalasi G Data, jangan ragu untuk menghubungi Vaksincom untuk mendapatkan bantuan teknis gratis. Setelah terinstal pada komputer anda dan tanpa restart, G Data sudah mampu memproteksi sistem komputer anda dan dalam proses update akan secara otomatis akan mulai melakukan pembersihan terhadap file-file Ramnit yang mengganggu komputer anda (lihat gambar 4). Namun ingat, file Ramnit yang sedang aktif belum dikutak-katik karena jika dipaksa untuk dibasmi akan mengakibatkan sistem komputer anda crash. Untuk tahap pembersihan kedua anda perlu mengunggu sampai update selesai dan melakukan restart. 
  
  
  
  Gambar 4, Pada saat proses update tiba tiba muncul pop-up bahwa PC terdapat virus. Tuh engga salah kan rekomendasi antivirusnya :p, padahal belum di lakukan scan pada PC.            
  
  * Setelah update selesai (lihat gambar 5) silahkan restart PC agar antivirus berjalan optimal melindungi komputer dari semua ancaman malware dan membasmi file-file Ramnit yang mencoba aktif dan menginjeksi file-file sistem Windows. 
   
  
  Gambar 5, G Data memiliki 2 engine antivirus untuk deteksi terbaik dan dengan teknologi CloseGap membuatnya menjadi tidak menghabiskan terlalu banyak resource komputer dibandingkan antivirus lain. 
   
  Setelah PC restart maka dengan sendirinya G Data akan menangkap lebih banyak antek-antek Ramnit lagi tanpa mengaktifkan full scan :). Namun untuk mendeteksi malware lain yang bercokol di komputer anda, anda tetap perlu menjalankan full scan pada PC. Setelah full scan selesai, dalam pengetesan yang dilakukan oleh Laboratorium virus Vaksincom, hanya dalam waktu 4 jam sejak infeksi pertama kali Ramnit ini telah membuat file malware sebanyak 434 buah yang berhasil di cokok oleh KPK .... ooops salah, G Data (lihat gambar 6). Bayangkan berapa jumlah malware yang dalam waktu 1hari, 1minggu atau bahkan 1bulan. Maka sangat disarankan jika PC sudah terinfeksi virus, sesegera mungkin bersihkan PC sebelum file virus berpesta dalam PC.  
   
  
  Gambar 6, G Data berhasil mendeteksi dan membasmi 434 antek-antek Ramnit yang mereplikasi dirinya dalam waktu 4 jam
   
  • * Langkah tambahan jika anda memiliki file HTM atau HTML yang terinjeksi Ramnit dan anda mengalami kesulitan dalam pembersihannya, anda bisa menggunakan Chanet SplitterII yang dikembangkan oleh Yayat (kontributor Vaksincom) . Tools ini berguna jika anda memiliki banyak file .htm / .html yang jika dilakukan pembersihan manual akan memakan waktu yang sangat lama dan melelahkan. Jika anda membutuhkan bantuan dalam menghadapi infeksi Ramnit di webserver, silahkan hubungi Vaksincom untuk mendapatkan kunjungan (GRATIS) dan Free Trial G Data Antivirus Enterprise dan pemberihan malware pada 5 komputer di jaringan anda.
  • * Masih ada 1 langkah lagi untuk mengamankan PC dari serangan virus yang mengeksploitasi celah keamanan, anda sangat disarankan untuk melakukan Automatic Update pada software yang anda gunakan. Dalam kasus Ramnit ini, celah keamanan yang dieksploitasi adalah (MS10-046 KB2286198) yang patchnya bisa anda download pada http://technet.microsoft.com/en-us/security/bulletin/MS10-046.

   
   
   
  Terima kasih telah menjadi pembaca setia Kerajaan Antivirus.

 

Tentang Kerajaan Antivirus

Kerajaan Antivirus adalah sebuah tempat atau media yang berhubungan dengan virus dan Antivirus, sebuah referensi berita yang dapat dipercaya, karena semakin berkembang pesat dan semakin canggihnya Virus masa kini, maka Kerajaan Antivirus merasa terpanggil untuk mempublish serangan serangan virus terbaru dimasa modern seperti ini, setidaknya kita dapat mengetahui perkembangan perkembangan virus terbaru,untuk menambah wawasan mengenai sepak terjangnya yang semakin merajalela dibelahan Dunia.

Semakin berkembangnya virus virus terbaru, Para produsen Antivirus pun tak  pernah kehabisan akal, untuk membuat sebuah inovasi teknologi terbaru yang dapat memprotec komputer para customer nya yang ada di seluruh dunia, para produsen terus berlomba lomba untuk mewujudkan sebuah produk Antivirus yang berkualitas tinggi dan memberikan perlindungan yang terbaik kepada para pelanggannya.

Terima Kasih Telah mengunjungi

Kepala Redaksi
Anto Soedibyo

Staff Redaksi
Angga Saputra
Ananda Uki Wicaksono

Reporter
Fitrah Dwi Putri
Rika Marlina

Narasumber
Alfons Tanujaya
Adang Juhar Taufik
Faisal Abdau
Fajar Dwi Heryana
Ananda Uki Wicaksono


Salam.
Telp     : 0888 0812 7992
Email  : soedibyo.anto@gmail.com
        

Pertempuran serangan Malware

Dua gajah bertempur, pelanduk mati di tengah-tengah. Begitulah kemungkinan nasib yang akan dialami oleh para pengguna internet jika terjebak dalam pertempuran serangan malware antara negara-negara yang sedang bertikai.

Pada mulanya, pembuat malware adalah mahasiswa / remaja yang mencari identitas diri dan kebanyakan membuat malware untuk menunjukkan eksistensi diri dan menjadi terkenal karena bisa membuat malware. Di tahun 2000-an pembuat malware bermetamorfosis menjadi lebih terorganisir dan hasilnya adalah malware menjadi lebih canggih lagi karena dikerjakan oleh sekelompok orang dengan tujuan utama mendapatkan keuntungan finansial. Hal ini terlihat dari maraknya spyware, adware, rogue antivirus (antivirus palsu) dan di negara tertentu beredar ransomware yang menyandera data / sistem komputer korbannya dengan tuntutan mengirimkan uang untuk mengembalikan data yang dienkrip. Industri antivirus dalam menghadapi ancaman terakhir sebenarnya dapat dikatakan mendapatkan lawan yang seimbang dimana pembuat malware terorganisir harus melawan perusahaan antivirus yang juga terorganisir. Jika pembuat malware di tahun 1990-an dapat dikatakan sebagai petinju kelas bulu, maka perusahaan antivirus dapat diumpamakan sebagai petinju kelas welter dan jelas perusahaan antivirus tidak khawatir menghadapi pembuat malware perorangan. Namun menghadapi pembuat spyware, rogue antivirus dan ransomware perusahaan antivirus mendapatkan lawan yang seimbang dan kelihatannya pertempuran akan berlangsung panjang karena masing-masing berada di kelas yang sama dan memiliki stamina yang tinggi. Pembuat antivirus di dukung oleh penghasilan dari menjual antivirus dan pembuat malware / antivirus palsu mendapatkan uang dari kegiatan kriminal yang dilakukannya dan sampai saat ini masih tetap bertahan. Jika anda berpikir ini merupakan akhir cerita, anda salah besar. Justru hal ini merupakan awal cerita baru munculnya malware kelas berat dimana jika perusahaan antivirus yang terbaik sekalipun saat ini tidak dapat dibandingkan dengan beberapa malware elit yang baru terdeteksi di tahun 2010 meskipun sudah menjalankan aksinya bertahun-tahun sebelumnya. Mengapa malware ini dikategorikan sebagai malware kelas berat ? Apakah perusahaan antivirus kesulitan mendeteksinya ? Siapa yang berada di balik semua ini ?

Pada pertengahan tahun 2010, VirusICU menghadapi kasus aneh dimana banyak komputer di Indonesia yang mendadak mendapatkan pesan “low disk space” karena ukuran harddisknya membengkak (lihat gambar 1)

Gambar 1, Pesan low disk space yang ternyata merupakan akibat sampingan dari Stuxnet 

Pada awalnya VirusICU (www.virusicu.com) mengira hal itu merupakan varian malware baru dan memang sempat terdeteksi dengan nama Winsta. Namun, tidak disadari ternyata hal itu merupakan awal dari peperangan cyber dengan beredarnya malware kelas berat yang kemudian di identifikasi oleh perusahaan antivirus sebagai Stuxnet. Stuxnet bukan malware buatan mahasiswa putus cinta atau perusahaan kriminal Rusia yang ingin mendapatkan uang dari para pengguna komputer. Tetapi Stuxnet adalah malware yangdiduga secara diam-diam dikembangkan oleh Amerika Serikat dan Israel yang disebarkan secara diam-diam dengan satu tujuan utama, menghambat pengembangan program nuklir negara musuhnya Iran. Stuxnet mengeksploitasi 4 celah keamanan dan mampu menyebarkan dirinya secara efektif ke komputer-komputer yang tidak terhubung ke jaringan sekalipun. Teknik yang digunakan sangat simple, yaitu dengan memanfaatkan pertukaran data melalui UFD (USB Flash Disk). Walaupun kelihatannya simple dan tidak memerlukan teknologi rumit, rupanya penyebaran melalui UFD memang disengaja karena rupanya Stuxnet mengincar komputer-komputer yang menjalankan SCADA (Supervisory Control And Data Acquisition), piranti (keras dan lunak) keluaran Siemens yang digunakan oleh Iran dalam proses pengayaan uranium Iran. Stuxnet dengan cerdiknya mengelabui administrator SCADA dengan memberikan layar tampilan palsu bahwa semua proses SCADA yang berjalan normal. Padahal dalam kenyataannya SCADA sedang diperintahkan untuk melakukan aktivitas yang merusak perangkat keras dan proses yang sedang dijalankan. Stuxnet juga berjalan dalam mode user dan kernel dimana ia menggunakan driver yang disertifikasi menggunakan sertifikat curian dari Jmicron dan Realtek (Hsinchu, Taiwan), hal inilah salah satu faktor utama yang menyebabkan mengapa proses Stuxnet tidak teridentifikasi. Ini juga menunjukkan bahwa sumberdaya untuk membuat malware ini tidak main-main karena harus memiliki akses untuk mencuri sertifikat terlegitimasi milik dua perusahaan hardware ternama di Taiwan yang jelas jauh sekali dari negara sasarannya Iran.

Tidak hanya itu, setelah berhasil menjalankan misinya menghambat program nuklir Iran di tahun 2010, Stuxnet dilaporkan kembali menyerang Iran dengan target pembangkit listrik dan industri perminyakan Iran dua tahun kemudian atau persisnya di bulan Desember 2012. Motivasi penyerangan kali ini diperkirakan adalah untuk mengganggu ekonomi Iran yang 80 % menggantungkan diri pada penghasilan dari minyak. Kembali hal ini merupakan pukulan telak kepada industri antivirus yang gagal mendeteksi aksi Stuxnet di tahun 2010. Bagaimana satu malware yang jelas-jelas telah terdeteksi oleh program antivirus dan berhasil menjalankan aksinya secara menggemparkan di tahun 2010 kembali berhasil menginfeksi dan menjalankan aksinya 2 tahun kemudian di negara yang sama ?

Jika dalam peperangan konvensional, suatu pertempuran terjadi di Timur Tengah yang secara geografis sangat jauh dari Indonesia tentu dampak langsung dari peperangan ini akan kurang terasa. Apalagi malware Stuxnet yang digunakan ini termasuk golongan targeted malware dimana sasaran yang diserang hanya tertentu saja dalam hal ini adalah pengguna SCADA yang notabene perusahaan eksplorasi minyak dan gas dan administrator SCADA di seluruh dunia memang sudah sangat berhati-hati terhadap serangan Stuxnet. Tetapi dalam kenyataannya, ternyata Stuxnet tidak hanya merepotkan administrator SCADA saja dan Indonesia yang “kebetulan” menjadi negara nomor 2 paling banyak di infeksi oleh Stuxnet setelah Iran mendapatkan efek samping dari maraknya penyebaran Stuxnet dimana mayoritas komputer korban akan mengalami “low disk space” karena proses Stuxnet (Winsta) yang menggelembungkan dirinya (lihat gambar 2). Hal ini diperkirakan karena maraknya penggunaan USB Flash Disk di Indonesia yang ternyata digunakan sebagai sarana utama Stuxnet untuk menyebarkan dirinya ke komputer-komputer SCADA standalone atau terpisah dari jaringan / network. 

Gambar 2, Indonesia menempati peringkat kedua setelah Iran dalam infeksi Stuxnet 

Menurut catatan Vaksincom, pada saat penyebaran Stuxnet terjadi di bulan Juli 2010 http://vaksin.com/2010/0710/Stuxnet%20winsta%20virus/Stuxnet%20winsta%20virus.htm, ada fenomena yang menarik yang melanda para pengguna komputer Indonesia dimana mendadak banyak sekali komputer baik Windows Vista maupun Windows 7 (yang sempat digembar-gemborkan seperti biasanya akan lebih aman dari serangan malware karena adanya perlindungan tambahan UAC (User Access Control)) yang mengalami gejala aneh yaitu harddisknya mendadak menggelembung dan menjadi penuh / low disk space (lihat gambar 1), print sharing mendadak mati, crash pada banyak aplikasi internal karena dll yang korup, putusnya koneksi jaringan dan pada akhirnya membuat komputer korbannya menjadi hang yang ternyata semuanya merupakan efek samping dari Stuxnet. Tanpa disadari rupanya dunia internet telah memasuki era awal perang cyber yang kemudian diikuti dengan penemuan-penemuan malware lain yang lebih mengejutkan seperti Duqu, Flame, Shamoon yang disinyalir merupakan serangan balik Iran dan memakan korban puluhan ribu komputer perusahaan minyak Arab Saudi (Aramco) dan Qatar (Rasgas) dan pada pertengahan Januari 2013 kembali muncul satu malware kelas berat yang memata-matai kedutaan besar di seluruh dunia dan dikenal dengan nama Rocra atau Red October.

Melihat sepak terjang malware kelas berat di atas yang dihasilkan dari negara-negara yang saling menyerang, tentunya kita tidak mau menjadi pelanduk yang mati di tengah-tengah. Namanya juga pelanduk tentu harus cerdik dan menyingkir saat dua gajah bertarung. Namun bagaimana menjadi pengguna internet yang cerdik dan meminimalisir kerugian dari serangan malware kelas berat ini ?