VIRUS RAMNIT !!!!!

Perhatian para pengguna komputer dalam beberapa bulan terakhir ini banyak tersita pada Stuxnet, Sality, Virut dan Shortcut. Termasuk perkembangan virus lokal yang secara tidak langsung menantang kreativitas programmer-programmer untuk memunculkan program antivirus lokal seperti Artav yang digawangi oleh anak SMP :). Perhatian user yang cukup besar terhadap virus lokal jangan sampai mengakibatkan lengah dengan keberadaan virus mancanegara, seperti salah satu virus yang sedang menyebar saat ini. Virus ini termasuk golongan trojan/backdoor, ia akan aktif jika komputer target terkoneksi internet dan salah satu senjata pamungkasnya yang berbahaya dan membuat pusing pengguna komputer adalah melakukan download virus lain. Hebatnya, nama dan jenis virus yang didownload akan berbeda-beda untuk setiap komputer target baik dari nama maupun ukurannya, hal inilah yang menyebabkan banyak program antivirus sekalipun kesulitan untuk melakukan deteksi dan pembersihan. Jika file tersebut berhasil di download, maka secara otomatis akan di aktifkan di komputer dan melakukan serangkaian kode jahat yang sudah ditanam didalam tubuhnya.

Memang Virus Ramnit adalah Virus yang sangat cepat penularannya , tetapi bagaimanapun hebatnya sesuatu pasti ada kelemahannya….
Disini saya akan menjelaskan dengan tuntas bagaimana Virus ramnit bekerja… sekaligus cara mengatasinya…

Virus Ramnit.. :
- Virus yang menginjeksi file .html , .exe dan .dll - Virus yang menular melalui removable disk ( UFD ) dengan cara mengcopy file .cpl dan .exe yang selalu bertambah dan berubah-ubah namanya.Yang tepatnya file tersebut berada di dalam folder Recycler… dan 4 file shortcut copy of yang akan menjalankan file *.cpl infektor yang Bila Virus tersebut telah meng-infeksi system komputer , virus tersebut akan membuat dan menjalankan file svchost.exe yang akan melakukan berbagai hal: a. membuat file bernama : watermark.exe yang bertempat di folder : C:\programfiles\mikrosoft\watermark.exe. b. merubah  registry userinit.exe mejadi menjalankan : watermark.exe , sehingga virus tersebut menguasai sistem secara permanen , dengan cara menginfeksi file berekstensi .exe , . dll dan .html Jika di properties , UFD akan terlihat banyak terpakai oleh file .cpl dan .exe di folder recycler. Ciri-ciri file induk virus Sebagai informasi, virus ini akan menyebar menggunakan Removable media (USB Flash) dengan memanfaatkan fitur autorun Windows. Agar virus dapat aktif secara otomatis, ia akan membuat file autorun.inf, selain itu ia akan membuat 4 (empat) buah file shortcut dengan nama ”Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk”. Jika user menjalankan salah satu ke 4 file shortcut tadi maka secara otomatis akan menjalankan  file virus yang sudah dipersiapkan di direktori [%USB Flash%:\RECYCLER\%nama_acak%.exe].
Virus ini juga akan menginjeksi file yang mempunyai ekstensi EXE, setiap file EXE yang terinjeksi akan mempunyai ukuran 107 KB lebih besar dari ukuran asalnya. Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama_file_asal%mgr.exe (contohnya: jika user menjalankan file yang sudah di injeksi dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb, file duplikat ini dideteksi sebagai Trojan.Packed.21232.

Efeknya:
Virus ramnit akan membuat file program tidak berjalan dengan normal , misalnya: mozilla firefox , winamp dll kita tidak bisa menghapus file watermark.exe yang ada difolder c:\programfiles\microsoft\watermark.exe , dikarenakan file tersebut dikunci oleh file svchost.exe-nya virus ramnit. bila kita hapus file / folder yang ada didalam folder recycler UFD , file .cpl dan .exe akan muncul kembali.. dan terus menulis kembali… untuk system yangtelah terinfeksi file tertentu.. misalnya : explorer.exe akan digantikan explorermgr.exe bila kita membersihkan virus ini tidak tuntas ( ada yang belum dibersihkan ) , Virus ini akan kembali bila kita menjalankan  aplikasi ( misalnya : klik kanan ). Cara membersihkannya:
Siapkan cleaner Anti Virus ( saya menggunakan NOD32 stand alone ) dengan cara >download disini< dan simpan dalam bentuk file zip / RAR agar file exe tersebut tidak terinfeksi virus. - Simpan file tersebut di UFD atau copy paste di harddisk komputer yang telah terinfeksi. - Gunakan task manager , pilih task / tab processes dan end task semua file svchost.exe dan juga semua yang bisa di end task ( kecuali : task managernya ) Open file cleaner NOD32 yang sudah berbentuk zip /RAR , dengan menggunakan file open di task manager.Rubah pilihan program di open file menjadi allfiles agar file zip / rar dari NOD32 bisa terlihat. - setelah teropen NOD32 dengan winrar atau aplikasi lainnya.. silakan dobel klik file nod*.exe setelah next…next dipilihan action , sebelah kiri pilih Clean dan sebelah kanan pilih delete.Lalu jalankan Scan & clean setelah berjalan close / tutup winrar / aplikasi yang dibuat membuka NOD32 zip / RAR. Silakan diawasi dengan task manager bila ada file svchost.exe keluar / tampil di processes segera di end task… dan seperti biasa bila ada tampilan windows yang memperingatkan bahwa komputer akan shutdown dalam waktu 60 detik / 1 menit…. silakan ketik di menu file open /run : shutdown -a    yang artinya -a adalah perintah shutdown untuk membatalkan aksinya… Peringatan!!!!!   , disaat NOD 32 membersihkan file di komputer anda , jangan sampai membuka / menjalankan file apapun… karena jangankan menjalankan file exe , kita klik kanan aja sudah berarti menjalankan virus / svchost.exe-nya Virus Ramnit. Ingat… yang perlu kita jaga adalah : mematikan / end task file svchost.exe selama NOD32 membersihkan file di komputer kita….. Antisipasi Virus RAmnit:
Untuk menjaga Virus sejenis ramnit agar tidak kembali meng-infeksi komputer kita… disini saya sertakan berbagai trik… diantaranya:
Matikan autorun.inf windows bisa berbagai macam cara : dengan menggunakan gpedit.msc>>administrative template>>turn off auto play>>enable>>alldrive , atau menggunakan regedit. - Rubah beberapa ektensi file yang berpotensi digunakan oleh virus dengan assosiasi file ( misalnya: assoc .vbs=txtfile ) terutama untuk Virus ramnit adalah ekstensi .cpl Hapus selalu folder recycler didalam UFD , bila tidak bisa ada kemungkinan komputer kita terinfeksi Virus… Dan hapus dengan menggunakan mini windows Xp ( hiren BOOt CD ) atau system berbasis linux , folder recycler dan _restore yang ada di folder systeminformation Install Anti virus dengan Update database terbaru… dan usahakan anti viru tersebut diupdate databasenya.. baik secara online ataupu offline.. Disini saya sertakan beberapa file buatan saya yang berfungsi untuk mempermudah setting windows…

NOD 32