Virus satu ini dibilang cukup merepotkan karena dia akan selalu konek ke internet untuk memanggil alamat website yang sudah ditentukan yang akan ditampilkan secara terus menerus sehingga mengakibatkan komputer menjadi lambat pada saat di akses, terlebih virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik berupa file program maupun file system Windows sehingga diperlukan langkah pembersihan khusus. Namanya Virus W32/Ramnit atau Win32.Siggen.8.
Ciri dan Gejala komputer yang terinfeksi virus ini antara lain :
- Akan menampilkan aplikasi Internet Explorer yang berisi penawaran atau iklan investasi, game dan program-program promosi (terkadang menampilkan iklan porno) dalam jumlah yang banyak secara terusmenerus selama komputer terkoneksi internet sehingga menghabiskan banyak bandwidth untuk iklan yang ditampilkan dan mengakibatkan akses internet menjadi lambat.
- Icon Removable media (USB Flash) berubah menjadi icon Folder.
- User tidak dapat mengakses USB Flash dengan menampilkan pesan ”Access is denied”.
- Muncul pesan “Compressed (zipped) Folders” pada saat mengakses Flash disk.
- Muncul banyak file dengan nama file “Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk” di USB Flash.
- Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini.
Sebagai informasi, virus ini akan menyebar menggunakan Removable media (USB Flash) dengan memanfaatkan fitur autorun Windows. Agar virus dapat aktif secara otomatis, ia akan membuat file autorun.inf, selain itu ia akan membuat 4 (empat) buah file shortcut dengan nama ”Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk”. Jika user menjalankan salah satu ke 4 file shortcut tadi maka secara otomatis akan menjalankan file virus yang sudah dipersiapkan di direktori [%USB Flash%:\RECYCLER\%nama_acak%.exe].
Virus ini juga akan menginjeksi file yang mempunyai ekstensi EXE, setiap file EXE yang terinjeksi akan mempunyai ukuran 107 KB lebih besar dari ukuran asalnya. Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama_file_asal%mgr.exe (contohnya: jika user menjalankan file yang sudah di injeksi dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb, file duplikat ini dideteksi sebagai Trojan.Packed.21232.
Pada saat user menjalankan file tersebut, virus akan melakukan sinkronisasi ke beberapa alamat IP yang sudah dipersiapkan untuk mendownload file atau virus lain untuk dijalankan di komputer target. File yang di download akan mempunya nama file dan ukuran yang berbeda-beda, jadi antara komputer target yang satu dengan yang lain akan mempunyai nama file induk yang berbeda-beda.
Berikut beberapa contoh file induk Win32.Siggen.8 :
- C:\WINDOWS\Temp\dbww\setup.exe
- C:\Documents and Settings\%user%\Application Data
- C:\Documents and Settings\%user%\Local Settings\Temp\%xx%.exe dan %yy%.dll
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup
- C:\WINDOWS\Nzazab.exe, Nzazaa.exe, Explorermgr.exe
- C:\Windows\task\%acak%.job
- C:\Windows\System32\ms.dll (Trojan.Starter.1602)
- C:\Windows\System32\dll (Trojan.Hottrend.34)
- C:\Windows\System32\sshnas21.dll (Trojan.Packed.21232)
- C:\Windows\System32\Cheuehyld.dll Trojan.Packed.21232
Virus ini juga melakukan modifikasi registry untuk memastikan dirinya aktif di komputer antara lain :
- HKEY_CURRENT_USER\Software\CE8SIIFGSU
- HKEY_CURRENT_USER\Software\Microsoft\Handle
- HKEY_CURRENT_USER\Software\NtWqIVLZEWZU\%acak%
- HKEY_CURRENT_USER\Software\XML
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- CE8SIIFGSU = C:\DOCUME~1\%user%\LOCALS~1\Temp\Nh1.exe
- Microsoft Driver Setup = C:\Windows\ggdrive32.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\□
komputer yang terinfeksi Virus ini juga akan selalu melakukan koneksi internet dan memanggil website secara terus menerus dengan isi yang berbeda-beda, koneksi yang dilakukan secara terus menerus ini mengakibatkan komputer menjadi lambat pada saat digunakan. Dalam beberapa kasus virus ini juga menyebabkan “Virtual Memory Minimum Too Low”
Media Penyebaran Virus ini antara lain menggunakan perantara USB Fash memanfaatkan fitur autorun Windows dengan membuat beberapa file berikut:
- Autorun.inf
- 4 (empat) buah file shortcut (copy of Shortcut to (1).lnk s.d copy of Shortcut to (4).lnk)
- RECYCLER\%XX%
- %xx%.exe dengan ukuran 105 KB
- %xx%.cpl dengan ukuran 4 KB
Catatan: %xx% adalah folder/file dengan nama acak
Cara membersihkan W32/Ramnit (Wiin32.Siggen.8)
Silahkan anda mendownload Dr.Web CureIt! di alamat berikut :
http://www.freedrweb.com/cureit/?lng=en
1. Agar pembersihan dapat dilakukan ooptimal, sebaiknya scan semua HDD termasuk USB Flash maupun HDD eksternal, hal ini dikarenakan virus ini akaan drop beberapa file di USB Flash atau HDD eksternal.
2. Sebelum melakukan pembersihan sebaiknya blok file duplikat virus dengan menggunakan fitur ”Software Restriction Policies”. Fitur ini hanya ada pada system operasi Windows XP Pro, Vista, 7, Server 2003 dan Server 2008 dengan cara sebagai berikut:
· Klik menu [Start]
· Klik [Run]
· Pada dialog box RUN, ketik SECPOL.MSC kemudian klik tombol [OK]
· Setelah muncul layar ”Local Security Policy”, klik kanan menu [Software Restriction Policies” dan klik ”Create New Policies” atau ”New Software Restriction Policies” jika menggunakan Windows Vista/7
Kemudian akan muncul layar ”New Hash Rule”. Pada kolom ”File Hash”, klik tombol [Browse] dan tentukan salah satu file duplikasi virus yang mempunyai icon ”Folder” dengan ukuran 105 KB (contoh C:\Windows\Explorermgr.exe) kemudian klik tombol [Open]. Pada kolom ”Security Level”, pilih [Disallowed]. Kemudian klik tombol [OK]
Gunakan Dr Web Live CD untuk membasmi virus ini dengan tuntas. Silahkan download software tersebut dialamat berikut:
http://www.freedrweb.com/livecd/?lng=en
- Setelah software Dr.Web LiveCD berhasil di download, burn kedalam CD/DVD
- Hubungkan USB Flash dan HDD eksternal ke komputer
- Booting komputer melalui CD/DVD ROM
- Kemudian akan muncul layar “Welcome to Dr.Web LiveCD”
- Pilih “Dr.Web LiveCD (Default)” kemudian tekan tombol “Enter” pada keyboard
- Tunggu beberapa saat sampai muncul interface Dr.Web LiveCD yang akan menampilkan aplikasi “Dr.Web Scanner” secara otomatis. Dr.Web Scanner ini berfungsi untuk melakukan pemeriksaan terhadap komputer anda dari kemungkinan adanya virus.
- Untuk Scan HDD, pada layar “Dr.Web Scanner” pilih lokasi Drive yang akan di periksa dan pastikan anda check list opsi “Scan subdirectories” agar Dr.Web dapat melakukan pemeriksaan terhadap direktori dan subdirektori agar pembersihan lebih optimal. Jika layar Dr.Web Scanner tidak muncul klik ganda icon “Dr.Web Scanner” yang terdapat pada Desktop.
- Kemudian klik tombol [Start] untuk memulai proses pemeriksaan (scan)
- Tunggu beberapa saat sampai proses scan selesai dilakukan. Jika ditemukan adanya virus, Dr.Web akan menginformasikan file yang terinfeksi dan jenis virus yang menginfeksi pada kolom informasi virus yang tersedia.
- Klik tombol [Select All] untuk memilih semua objek/file yang akan di bersihkan atau Anda dapat menentukan file mana saja yang akan Anda bersihkan dengan check list pada opsi yang tersedia
- kemudian klik tombol [Cure] untuk membersihkan file yang telah terinfeksi virus
- Tunggu sampai proses pembersihan selesai dilakukan
- Scan ulang komputer untuk memastikan komputer bersih dari virus
- Restart komputer.
Sumber : Vaksin.com