Basmi Tuntas Ramnit

keyword: Mengatasi Ramit, basmi Ramnit, menghapus ramnit, memperbaiki komputer terinfeksi ramnit, Tool Untuk membersihkan ramnit Basmi ...

keyword: Mengatasi Ramit, basmi Ramnit, menghapus ramnit, memperbaiki komputer terinfeksi ramnit, Tool Untuk membersihkan ramnit

Basmi Tuntas Ramnit (1/2)
Aji Kanuragan untuk menghadapi Ramnit

Artikel ini terdiri dari 2 bagian dimana lab Vaksincom pada bagian pertama akan membahas cara untuk membuat komputer anda “kebal” bak Gatotkaca dan tidak bisa di infeksi Ramnit. Bagian 2 lab Vaksincom akan memberikan tips untuk membersihkan file htm atau html yang di injeksi oleh Ramnit. Dimana seperti kita ketahui, saat ini jika ada file htm atau html yang di injeksi oleh Ramnit akan di “sapujagad” oleh antivirus alias di delete / quarantine tanpa bisa dibersihkan. Padahal isi web asli tersebut masih tetap ada di file htm / html yang di injeksi. Kabar gembiranya, Vaksincom akan memberikan tools yang sudah dibuat dan tinggal dijalankan oleh pengguna komputer untuk membersihkan file htm / html yang diinjeksi oleh Ramnit. Selain itu, sebagai bonus tools tersebut juga akan mengandung tombol “sakti” yang akan membuat komputer anda mendapatkan aji “Kanuragan” alias kebal Ramnit J. Bagi pelanggan Vaksincom yang membutuhkan tools ini segera, silahkan email info@vaksin.com dengan menyertakan bukti kepemilikan Lisensi (Norman atau Dr Web).
Selamat menunaikan ibadah puasa.

Paruh pertama tahun 2011 adalah milik Ramnit, Ramnit menduduki peringkat pertama sampai bulan Juni 2011 sebagai malware yang paling banyak menginfeksi komputer-komputer di Indonesia berdasarkan data yang diolah oleh laboratorium virus Vaksincom (lihat gambar 1). Sampai saat ini sudah banyak varian yang di hasilkan oleh virus Ramnit walaupun demikian virus ini mempunyai ciri-ciri, karakteristik dan aksi yang sama, nama file induknya pun tidak mengalami perubahan dengan tetap menggunakan nama file WaterMark.exe.

 
Gambar 1, Statistik penyebaran virus Ramnit Semester I (Juni 2011), sumber : Data Research Vaksincom 2011

Media Penyebaran
Untuk menyebarkan dirinya, Ramnit akan memanfaatkan berbagai media seperti:

  • USB Flash, dengan membuat file :
    • autorun.inf
    • Copy of Shortcut to (1).lnk
    • Copy of Shortcut to (4).lnk
  • Membuat file virus di  folder RECYCLER dengan ekstensi .CPL dan EXE serta menginfeksi file aplikasi (EXE), DLL dan HTM/HTML.
  • Mengeksploitasi celah keamanan Windows MS10-046 KB2286198 http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx
  • Internet, penyebaran Ramnit melalui internet dapat terjadi jika user mengakses file htm atau html dari webserver yang sudah di injeksi oleh Ramnit.
  • Jaringan (LAN/WAN) dengan cara menginjeksi file EXE/DLL/HTM/HTML pada folder/drive yang di share.

Target Infeksi
Pada saat Ramnit menginfeksi komputer ia akan mencari dan menginfeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML disemua drive termasuk removable media. Hal yang menarik di sini adalah Ramnit mempunyai kemampuan untuk menyisipkan kode virus pada setiap file HTM/HTML yang ditemui. Pada saat korbannya membuka file HTM/HTML yang sudah terinfeksi secara otomatis Ramnit akan membuat sebuah file dengan nama “svchost.exe” di folder [C:\Documents and Settings\%UsernamePC%\Local Settings\Temp]. Setelah berhasil membuat file “svchost.exe”, ramnit akan menjalankan file tersebut sehingga akan terbentuk file baru dengan nama “svchostmgr.exe” di lokasi yang sama, kemudian akan membuat file “WaterMark.exe” sebagai file induk di lokasi yang sudah ditentukan. File “WaterMark.exe” ini untuk beberapa saat akan aktif di memory dan kemudian  akan mendompleng ke proses “Svchost.exe” Windows, sehigga proses yang tampil di memory bukan file “WaterMark.exe” melainkan “Svchost.exe” yang akan aktif dengan menggunakan username %userPC% (%userPC%, adalah user account yang digunakan pada saat login Windows). (lihat gambar 2 dan 3)

Gambar 2, Proses virus Ramnit yang menumpang pada proses [svchost.exe] Windows dan injeksi file

Gambar 3, Proses svchost Windows yang melindungi Ramnit

Dengan kemampuan menginjeksi file HTM/HTML (lihat gambar 4 dan 5), akan mempermudah dalam upaya untuk menyebarkan dirinya terutama jika Ramnit sudah menginfeksi Web Server, sehingga pada saat user mengakses halaman web yang sudah terinfeksi maka komputer korban akan langsung terinfeksi  oleh Ramnit.

Gambar 4, Injeksi Ramnit di file htm / html

Gambar 5, Injeksi ini mengandung eksekusi dan file master Ramnit sendiri

Jika korbannya mengeksekusi file EXE yang sudah terinfeksi oleh Ramnit, maka akan muncul satu file baru dengan menambahkan string MGR setelah nama file (lihat gambar6).

Gambar 6, Contoh file yang sudah terinfeksi virus dan file duplikat virus

Bersatu Kita Teguh, Bercerai Teman Damaikan
Ibarat kata pepatah iklan rokok, Bersatu Kita Teguh Bercerai Teman Damaikan. Pada saat komputer sudah terinfeksi Ramnit, ia akan mengundang teman-temannya seperti Virut atau Sality yang mempunyai kemampuan untuk menginfeksi file aplikasi (EXE), sehingga dalam satu file aplikasi (EXE) sering dijumpai terinfeksi lebih dari satu virus selain Ramnit (contoh: Sality atau Ramnit), jika hal ini terjadi maka anda akan teringat pada pepatah lain. Sudah jatuh, tertimpa tangga dan celana sobek lagi.

LANGKAH PENCEGAHAN
Bagaimana membuat PC anda kebal terhadap serangan Ramnit?
Dari hasil analisa lab Vaksincom, saat ini virus Ramnit “selalu” menggunakan file induk dengan nama yang sama yakni “WaterMark.exe” walaupun lokasi penyimpanan nya berbeda-beda tergantung varian yang menginfeksi komputer tersebut serta membuat file “Explorermgr.exe” yang berada di direktori [C:\Windows], file “Explorermgr.exe” ini tercipta jika Ramnit berhasil menginfeksi file “Explorer.exe”. Agar komputer Anda tidak menjadi korban keganasan Ramnit, berikut beberapa tips dan trik agar komputer kebal dari serangan Ramnit.

  1. Buat folder dummy (folder kosong) dengan nama “WaterMark.exe” dan “svchost.exe” di lokasi yang biasa di incar oleh virus, kemudian ubah attribut file tersebut menjadi Hidden, System dan Read Only. Langkah ini dilakukan agar Ramnit tidak bisa membuat file induk virus di lokasi yang sama.
  2. Buat file “Recycler” disetiap drive, kemudian ubah attribut menjadi Hidden, System dan Read Only. Langkah ini dilakukan agar Ramnit tidak dapat membuat file induk (berupa ekstensi EXE dan CPL) kedalam file RECYCLER. dikarenakan RECYCLER ini berupa file (bukan berupa FOLDER) maka Ramnit tidak akan dapat membuat file virus di lokasi tersebut.
  3. Buat 2 (dua) key registry di lokasi berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options (lihat gambar 7)
Key                        : Explorermgr.exe dan WaterMark.exe
String value        : Debugger
Type                      : REG_SZ
Data value           :  ntsd –d

Gambar 7, String registry untuk blok Ramnit agar tidak dapat aktif di komputer

Langkah ini dilakukan, agar script/kode virus yang ada pada file virus Ramnit tidak dapat di  eksekusi, sehingga Ramnit tidak dapat aktif di memory.

Kanuragan untuk USB Flash
Sebagaimana yang telah dijelaskan sebelumnya, Ramnit juga akan menyebarkan dirinya dengan memanfaatkan media USB Flash dengan membuat beberapa file virus, berikut tips dan trik agar Ramnit tidak dapat membuat file induk kedalam Media USB Flash

  1. Khusus untuk file dengan ekstensi EXE/DLL/HTM/HTML sebaiknya di kompres dengan menggunakan program WinZIP/WinRAR agar virus tidak menginfeksi file tersebut, jika perlu gunakan password.
  2. Buat folder kosong dengan nama [autorun.inf]. Agar folder [autorun.inf] tidak dihapus oleh virus buat folder kosong di dalam folder [autorun.inf] dengan karakter yang tidak dikenal oleh Windows seperti CON dan NUL. Jika folder [autorun.inf] tersebut di hapus akan terjadi kegagalan dengan menampilkan pesan error. Sebaiknya ubah atribut menjadi Hidden, System dan Read Only (lihat gambar 8 dan 9)

Gambar 8, Membuat file autorun.inf

Gambar 9, Pesan error saat menghapus  file autorun.inf

  1. Buat folder kosong dengan nama “Copy of Shortcut to (1).lnk”, “Copy of Shortcut to (2).lnk”, “Copy of Shortcut to (3).lnk” dan “Copy of Shortcut to (4).lnk”, kemudian ubah atribut menjadi Hidden, System  dan Read Only.
  2. Buat file “Recycler”, kemudian ubah atribut menjadi Hidden, System dan Read Only.
  3. Buat folder kosong dengan nama MSO.SYS, kemudian ubah atribut menjadi Hidden, System  dan Read Only.

Salam,
Aj Tau
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Jakarta 10330

Ph : 021 3190 3800
Fx : 021 3190 3500


sumber: vaksin.com

COMMENTS

Ghazwul Fikr$type=tree$count=3

Adab$type=carousel$author=hide$count=2

Fiqih$type=three$author=hide$count=3

Nama

ABDUL RAHMAN BIN AUF R.A. Adab Islam Akhlaq Akidah Alkitab Animation Anti virus Arkeologi Arsip Berita Artikel Berita biania Biografi Blogger buku Cermin Da'i Dajjal dakwah defenisi Dewan Dakwah Diskusi dll Domain Download Dunia Islam Ebook Epistemologi eramuslim Eramuslim.com ESQ Fatwa Filsafat Fiqih Firqoh-Firqoh Forum-swaramuslim.net Foto Game Gereja Ghazwul Fikri Gratis Hadits hakekat.com Harus Tahu Hidayatullah.com Hiv i'jaz Al-Qur'an Ibadah Imam Abu Hanifah Indonesiana Injil INSTSIS Internasional Internet Iran Islam Islam Answer Islam Menjawab Kristen Jat jilbab Jodoh karyaku keajaiban Al-Qur'an Kecantikan kegiatan kisah kitab Komputer Konsultasi Kristenisasi Kristologi kufrun duna kufrin Kumbang Kungfu Kurma liberalism Logika Makalah Manhaj Salaf Masjid Menjawab Situs IsadanIslam.com Menjawab Staff IDI Movie Mp3 Muallaf Murottal Muslim.Or.id Muslimah Muslimah.Or.Id muslimdaily.net Mut'ah NahiMunkar.com Nasehat Orientalis PB Pemikiran Pendidikan Pengakuan Perbandingan Agama Pertanyaan Privacy Policy Profil Remaja Republika.co.id Resensi sabili.co.id Sahabat Nabi Salaf Saudagar Sejarah Shahabiyah SMS Sms hikmah Software Streaming Suara-islam.com Syarah Hadits Syi'ah Tafsir Tahun Baru Masehi Tasawuf Tauhid Terompah Kayu terorisme tips Tips Trik tokoh Tsaqafah Tuhan tutorial TV Muslim Unik Valentine's Day VIDEO Voa-islam.com Wanita Wawancara Website Windows Yahudi
false
ltr
item
Langit Merah: Basmi Tuntas Ramnit
Basmi Tuntas Ramnit
http://www.vaksin.com/2011/0811/immune%20from%20ramnit/Immune%20from%20Ramnit_files/image002.gif
Langit Merah
http://kallolougi.blogspot.com/2011/12/basmi-tuntas-ramnit-12-aji-kanuragan.html
http://kallolougi.blogspot.com/
http://kallolougi.blogspot.com/
http://kallolougi.blogspot.com/2011/12/basmi-tuntas-ramnit-12-aji-kanuragan.html
true
6457788219009846667
UTF-8
Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS CONTENT IS PREMIUM Please share to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy