virus 2011

Stuxnet dan Ramnit Jawara "Virus Bikin Pusing" 2011












Wicaksono Surya Hidayat |

Sabtu, 31 Desember 2011








ilustrasi


Oleh: Adang Jauhar Taufik

JAKARTA, KOMPAS.com -
Penyebaran virus di tahun 2011, sudah mengalami banyak perubahan
dibandingkan dengan tahun-tahun sebelumnya. Vaksincom menyajikan
analisanya dalam laporan Evaluasi Malware 2011, Tren Malware 2012.

Berikut adalah rangkuman penyebaran virus di tahun 2011, sambungan dari artikel sebelumnya "4 Tren Penyebaran Virus di 2011".


Stuxnet a.k.a Winsta

Stuxnet yang sudah muncul di tahun 2010 semakin menunjukan eksistensinya di tahun 2011 dengan semakin banyaknya jumlah PC yang terinfeksi .

Walaupun
belum sempat menyebar terlalu luas, namun virus ini cukup merepotkan
karena mampu menggelembungkan kapasitas harddisk pada komputer yang
terinfeksi sehingga berapapun besarnya harddisk yang Anda miliki, jika
terinfeksi virus ini akan kehabisan tempat alias Low Disk Space.

Akibatnya,
user tidak dapat menjalankan program aplikasi internal dan membuat
komputer menjadi hang, selain itu Stuxnet juga akan mematikan Print
Sharing dan koneksi jaringan terputus.

Untuk mempermudah
penyebaran nya tidak tanggung-tanggung ada sebanyak 5 (lima) celah
keamanan Windows yang akan di exploitasi oleh Stuxnet, termasuk
kemampuan membypass perlindungan UAC (User Access Control) yang sempat
digembar-gemborkan sebagai perlindungan baru yang dapat memblok virus
baru, sehingga notabene Windows Vista dan Windows 7 menjadi rentan
terhadap serangan ini.

Stuxnet yang kabarnya hanya menyerang
SCADA (kebanyakan perusahaan minyak dan gas) terutama pada pengguna
komputer di Iran, tetapi pada perkembangannya juga menyerang komputer
yang tidak menggunakan SCADA termasuk Windows Vista dan 7 .

Berikut celah keamanan yang akan dieksploitasi oleh Stuxnet:

• Windows Server Service / RPC (MS08-067)
  - Dengan teknik yang sama seperti worm Conficker, memanfaatkan sistem
  Windows yang tidak update worm akan dengan mudah menginfeksi komputer.
  
• Windows Shell Icon Handler / LNK (MS10-046)
  - Stuxnet merupakan salah satu worm yang memanfaatkan celah ini. Dengan
  memanfaatkan file shortcut, worm menginfeksi komputer dengan mudah.
  
• Windows Print Spooler / Spoolsv (MS10-061) -
  Banyak kasus-kasus yang terjadi menurut pengamatan Vaksincom komputer
  menjadi bermasalah dengan Print Server atau share printer. Dan ternyata,
  worm Stuxnet juga mengeksploitasi Print Spooler dalam aksinya.
  
• Windows Win32K Layout Module (MS10-073) -
  Salah satu celah baru dari Windows yang berhasil dilewati oleh Stuxnet.
  Dengan memanfaatkan file w32k.sys dan menginjeksinya, maka worm Stuxnet
  dapat memiliki hak administrator dan dengan mudah menginfeksi komputer
  sekalipun “digembar-gemborkan” memiliki perlindungan tambahan terhadap
  serangan virus atau lebih kebal virus.
  
• Windows Task Scheduler -
  Celah ini digunakan untuk menembus sistem baru dari Windows Vista dan
  Windows 7 yaitu UAC (User Account Control). Dengan membuat file schedule
  task agar dengan mudah menginfeksi komputer.
  

Ramnit (Jawara malware 2011)

Ramnit
adalah virus yang paling sukses menyebar di tahun 2011, dengan
kemampuan update layaknya program antivirus Ramnit berhasil mengecoh
system scanner program antivirus.

Virus yang muncul akhir bulan
Januari 2011 ini mempunyai kemampuan untuk menginjeksi file yang
mempunyai ekstensi EXE dan DLL baik berupa file program aplikasi maupun
file system Windows sehingga memerlukan langkah pembersihan khusus.

Bagi
Anda yang mempunyai webserver atau senang berselancar internet harap
berhati-hati karena Ramnit juga akan menyebar dengan menginjeksi file
HTM dan HTML.

Ramnit sempat bertengger sebagai jawara di urutan
pertama sampai dengan pertengahan bulan Agustus 2011 sehingga pantas
dinobatkan sebagai virus jawara di tahun 2011.

Selain
menginjeksi file, Ramnit juga akan menyebabkan komputer yang terinfeksi
menjadi lambat dengan adanya aktivitas untuk melakukan konektifitas ke
internet secara terus menerus dengan menampilkan website yang telah
ditentukan.

Ramnit sukses menyebar dengan memanfaat beberapa celah berikut:

• Exploit Vulnerability (MS10-046 - KB2286198) dengan memafaatkan celah lnk/shortcut
  
• Mendaftarkan diri sebagai proses yang sah dari microsoft (svchost) sehingga mampu mengelabui user.
  
• Inject ektensi .exe, dll, htm dan html
  
• Memanfaatkan removable media dengan memanfaatkan autorun Windows
  
• Menyebar via file sharing dengan menginfeksi file yang mempunyai ekstensi EXE/DLL/HTM/HTML
  

Dalam
menjalankan aksinya, Ramnit tidak berjalan sendirian tetapi akan
mengundang virus lain yang mempunyai kemampuan sama yakni menginjeksi
file dengan ekstensi EXE seperti W32/Virut atau W32/Sality sehingga
terjadi double injection dalam satu file sehingga mempersulit pada saat
proses perbaikan.

Untuk beberapa kasus jika terjadi kegagalan
dalam perbaikan file tersebut akan menyebabkan file menjadi rusak dan
tidak dapat digunakan.


Chanet Splitter II

Untuk
menangkal penyebaran Ramnit, Vaksincom bekerjasama dengan programmer
muda (Bung Yayat) membuat satu tools yang berfungsi untuk membersihkan
file HTM/HTML yang sudah terinjeksi Ramnit.

Chanet SplitterII
juga dirancang agar dapat mematikan proses Ramnit yang aktif di memori
dan yang paling penting adalah mencegah agar komputer tidak terinfeksi
kembali oleh Ramnit.

Untuk informasi lebih lanjut mengenai virus Ramnit, silahkan kunjungi link berikut

• http://vaksin.com/2011/0111/ramnit/ramnit.html
  
• http://vaksin.com/2011/0211/ramnit2/ramnit2.html
  
• http://www.vaksin.com/2011/0811/immune%20from%20ramnit/Immune%20from%20Ramnit.htm
  
• http://www.vaksin.com/2011/0811/clean%20htm%20html%20from%20Ramnit/Clean%20htm%20html%20from%20Ramnit%20injection.html
  

diambil dari kompas 31-12-2011