Kupas Tuntas Gejala Dan Tutorial Cara Membersihkan Virus Ramnit
Ramnit, Stuxnet, Sality, Virut dan Shortcut telah menarik perhatian pengguna komputer dalam beberapa bulan terakhir. Termasuk pengembangan virus lokal yang secara tidak langsung menantang kreativitas programmer untuk membuat program antivirus lokal seperti Artav, yang disajikan oleh siswa sekolah menengah. Perhatian yang cukup besar dari pengguna terhadap virus lokal tidak boleh diabaikan oleh kehadiran virus asing, seperti salah satu virus yang disebarkan. Virus ini adalah sekelompok Trojan / backdoor. Ini akan aktif jika komputer target terhubung ke Internet dan jika salah satu senjata pamungkasnya berbahaya dan membuat pengguna komputer pusing karena otomatis mengunduh virus lain. Yang mengejutkan, nama dan tipe virus yang diunduh bervariasi untuk setiap komputer target, baik berdasarkan nama dan ukuran. Ini adalah penyebab banyak program antivirus, meskipun sulit untuk dideteksi dan dibersihkan. Jika file diunduh dengan benar, maka secara otomatis akan diaktifkan di komputer dan akan menjalankan serangkaian kode berbahaya yang telah ditanam di tubuhnya.
Secara umum, virus ini cukup menjengkelkan, akan selalu terhubung ke Internet untuk memanggil alamat situs web yang telah ditentukan yang akan ditampilkan secara permanen sehingga komputer menjadi lambat selama akses, terutama virus ini akan menyuntikkan file dengan nama yang sama. EXE, DLL dan ekstensi HTM / HTML sebagai file program dan file sistem Windows, sehingga diperlukan langkah pembersihan khusus.
Karakteristik dan Gejala Virus Ramnit
Berikut adalah beberapa fitur dan gejala jika komputer terinfeksi dengan virus W32 / Ramnit :
- Menampilkan aplikasi Internet Explorer yang berisi penawaran investasi atau iklan, permainan, dan program promosi (terkadang menampilkan iklan porno) secara terus menerus, selama komputer terhubung ke Internet, sehingga ia menghabiskan banyak bandwidth untuk iklan yang ditampilkan dan mengarah ke akses lambat (lihat foto 1).
- Ikon media yang dapat dilepas (kunci USB) berubah menjadi ikon folder
- Pengguna tidak dapat mengakses kunci USB dengan menampilkan pesan "Akses ditolak"
- Pesan "Folder Terkompresi" muncul ketika mengakses Flash Disk
- Banyak file muncul dengan nama file "Salin pintasan ke (1) .ink" s / d "Salin pintasan ke (4) .ink" di tombol USB.
- Salah satu fitur unik dari virus ini, yang membuat virus ini sangat mudah untuk aktif dan sulit untuk diberantas, adalah bahwa setiap kali pengguna mengklik kanan, selain menampilkan menu konteks, pengguna komputer secara tidak langsung mengeksekusi virus ini.
- Dengan pembaruan terbaru, antivirus Dr.Web mendeteksi virus ini dengan nama Win32.Siggen.8. Untuk file lain, ini disebut Trojan.Packed.21232, Trojan.Hotrend.34 atau Trojan.Starter.1602
Karakteristik file induk virus
Sebagai informasi, virus ini akan menyebar pada media Removable Disk (USB Drive) menggunakan fungsi eksekusi otomatis Windows. Agar virus dapat diaktifkan secara otomatis, ia akan membuat file autorun.inf, selain membuat 4 (empat) file shortcut dengan nama "Copy of the shortcut to (1)". Ke "Copy of the shortcut to (4)." Jika pengguna menjalankan salah satu dari 4 file pintasan, maka secara otomatis akan menjalankan file virus yang disiapkan di [% USB Flash%: \ RECYCLER \% nama_acak% .exe ].
Virus ini juga akan menyuntikkan file dengan ekstensi EXE. Setiap file EXE yang diinjeksi akan berukuran 107 KB lebih besar dari ukuran aslinya. Saat mengeksekusi file EXE yang telah disuntikkan, virus akan membuat duplikat yang disimpan dalam direktori dalam format% nama_file_asal% mgr.exe (misalnya: jika pengguna menjalankan file yang disuntikkan dengan nama "ATF -Cleaner.exe ", ada file virus duplikat muncul dengan nama" ATF-Cleanermgr.exe "dengan ukuran 105 kb. File duplikat ini terdeteksi sebagai Trojan.Packed.21232.
Ketika pengguna menjalankan file, virus menyinkronkan dengan beberapa alamat IP yang disiapkan untuk mengunduh file atau virus lain untuk dijalankan pada komputer target. File yang diunduh akan memiliki nama dan ukuran file yang berbeda. Oleh karena itu, antara satu komputer target dan yang lain, nama file induk yang berbeda akan.
Berikut adalah beberapa contoh file master Win32.Siggen.8
- C: \ WINDOWS \ Temp \ dbww \ setup.exe
- C: \ Documents and Settings \% user% \ Data Aplikasi
- ·% Xx% .exe, di mana% xx% adalah acak
- C: \ Dokumen dan Pengaturan \% Pengguna% \ Pengaturan Lokal \ Temp \% xx% .exe dan% yy% .dll
Catatan:
% xx% dan% yy% berbeda, misalnya: Nh0.exe, Nh1.exe, Nh2.exe, Nhz.exe menggunakan ikon "Adobe Player Setup" dengan ukuran yang berbeda
Antivirus Dr.Web telah mendeteksi file Win32.Siggen.8.
- C: \ Documents and Settings \% user% \ Start Menu \ Programs \ Startup
- ·% Xx% .exe, di mana% xx% adalah acak (terdeteksi sebagai Trojan.Packed.21232)
- C: \ WINDOWS \ Nzazab.exe, Nzazaa.exe, Explorermgr.exe
Catatan:
% xx% berbeda, misalnya: [Nzazaa.exe dan Nzazab.exe] menggunakan ikon "Adobe Reader Configuration" dengan ukuran yang berbeda (disebut Win32.Siggen.8) dan file [ Explorermgr.exe] yang merupakan duplikat dari file [Explorer.exe] dengan ukuran 105 KB, file ini akan memiliki ikon folder (Trojan.packed.21232)
- C: \ Windows \ task \% random% .job
Dalam bentuk 3 (tiga) file yang digunakan untuk menjalankan file virus yang disiapkan sesuai dengan waktu yang ditentukan.
- C: \ Windows \ System32 \ ms.dll (Trojan.Starter.1602)
- C: \ Windows \ System32 \ etc (Trojan.Hottrend.34)
- C: \ Windows \ System32 \ sshnas21.dll (Trojan.Packed.21232)
- C: \ Windows \ System32 \ Cheuehyld.dll Trojan.Packed.21232
Setelah berhasil menginfeksi komputer, langkah selanjutnya adalah menginfeksi file [C: \ Windows \ Explorer.exe dan C: \ Windows \ System32 \ Winlogon]. Ketika pengguna meluncurkan file [Explorer.exe], itu menciptakan file duplikat yang akan disimpan di direktori yang sama dengan [Explorermgr.exe] dengan ukuran 105 KB. File ini [Explorermgr.exe] akan digunakan sebagai senjata sehingga dapat diaktifkan secara otomatis setiap kali pengguna mengklik kanan file / folder / drive, klik dua kali USB Flash atau pengguna menjalankan file [Explorer.exe] . Setelah berhasil menjalankan tindakan, itu akan memanggil file induk lain yang ditugaskan untuk aktif dalam memori. Untuk menjebak pengguna, ia kemudian akan memanggil aplikasi [C: \ Program \ Internet Explorer \ Iexplore.exe]
Saat mengeksekusi file EXE yang telah disuntikkan, virus akan membuat duplikat yang disimpan dalam direktori dalam format yang sama dengan nama file dari% mgr.exe (misalnya: jika pengguna menjalankan file dengan nama "ATF-Cleaner.exe", muncul salinan virus dengan nama "ATF-Cleanermgr.exe", berukuran 105 KB
Setiap file yang terinfeksi disebut Win32.Siggen.8, sedangkan file duplikat yang dihasilkan dari file yang terinfeksi jika file dijalankan dikenali sebagai Trojan.Packed.21232.
Virus ini juga akan menampilkan pesan kesalahan ketika pengguna menavigasi ke kolom "Lingkup" aplikasi [Services.msc]
File autorun.inf itu sendiri berisi skrip yang akan berjalan secara otomatis ketika pengguna memiliki akses ke USB. Skrip ini berisi perintah untuk menjalankan file yang terletak di direktori [RECYCLER \% XX%]
Silakan unduh Dr.Web CureIt! di alamat berikut
Untuk pembersihan yang optimal, Anda harus memindai semua hard drive, termasuk USB atau drive eksternal, karena virus ini akan menjatuhkan beberapa file ke stik USB atau hard drive eksternal. Sebelum membersihkan, yang terbaik adalah memblokir file virus duplikat menggunakan fitur "Kebijakan Pembatasan Perangkat Lunak". Fitur ini hanya ada pada sistem operasi Windows XP Pro, Vista, 7, Server 2003, dan Server 2008 dengan cara berikut:
Registri Windows
Untuk memastikan bahwa itu dapat diaktifkan secara otomatis ketika komputer diaktifkan, itu akan membuat dan memodifikasi registri berikut:HKEY_CURRENT_USER \ Software \ CE8SIIFGSU
HKEY_CURRENT_USER \ Software \ Microsoft \ Handle
HKEY_CURRENT_USER \ Software \ NtWqIVLZEWZU \% acak%
HKEY_CURRENT_USER \ Software \ XML
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SSHNAS
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
CE8SIIFGSU = C: \ DOCUME ~ 1 \% user% \ LOCALS ~ 1 \ Temp \ Nh1.exe
Driver Instalasi Microsoft = C: \ Windows \ ggdrive32.exe
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Pengaturan Internet \ Zona \\ □
Koneksi Website
Komputer yang terinfeksi virus selalu membuat koneksi Internet dan menghubungi situs web secara terus menerus dengan konten yang berbeda. Koneksi yang dibangun secara permanen memperlambat pengoperasian komputer. Dalam beberapa kasus, virus ini juga menyebabkan "memori virtual terlalu lemah"Injeksi file EXE, DLL dan HTM / HTML
Virus ini juga melakukan injeksi file dengan ekstensi EXE, DLL dan HTM / HTML, file program aplikasi, dan sistem file Windows. Ukuran setiap file yang diinjeksi akan meningkat menjadi sekitar 107-109 KB.Saat mengeksekusi file EXE yang telah disuntikkan, virus akan membuat duplikat yang disimpan dalam direktori dalam format yang sama dengan nama file dari% mgr.exe (misalnya: jika pengguna menjalankan file dengan nama "ATF-Cleaner.exe", muncul salinan virus dengan nama "ATF-Cleanermgr.exe", berukuran 105 KB
Setiap file yang terinfeksi disebut Win32.Siggen.8, sedangkan file duplikat yang dihasilkan dari file yang terinfeksi jika file dijalankan dikenali sebagai Trojan.Packed.21232.
Blok akses media Penyimpanan USB Drive
Selain itu, itu juga akan memblokir akses ke media yang dapat dilepas (kunci USB). Tetapi Anda tidak perlu khawatir karena virus ini akan memblokir akses USB flash jika pengguna mengaksesnya dengan mengklik kanan [USB Flash | klik Buka atau Jelajahi] atau klik dua kali USB Flash. Virus ini juga akan menampilkan pesan kesalahan berikut ketika pengguna telah berhasil mengakses kunci USBVirus ini juga akan menampilkan pesan kesalahan ketika pengguna menavigasi ke kolom "Lingkup" aplikasi [Services.msc]
Media Penyebaran
Untuk menyebar, ia akan menggunakan USB menggunakan fitur autorun Windows dengan membuat file-file berikut:- autorun.inf
- 4 (empat) file shorcut (Copy of shorcut (1). Copy of shorcut (4) .lnk)
- RECYCLE% XX%
- % xx% .exe dengan ukuran 105 KB
- % xx% .cpl dengan ukuran 4 KB
Jika pengguna menjalankan salah satu file shorcut, ia akan secara otomatis menjalankannya di direktori [RECYCLER \% XX%].Catatan:% xx% adalah folder / file dengan nama acak
File autorun.inf itu sendiri berisi skrip yang akan berjalan secara otomatis ketika pengguna memiliki akses ke USB. Skrip ini berisi perintah untuk menjalankan file yang terletak di direktori [RECYCLER \% XX%]
Cara Membersihkan W32 / Ramnit (Wiin32.Siggen.8)
Seperti yang dijelaskan sebelumnya, virus ini akan menyuntikkan file dengan ekstensi EXE, DLL dan HTM / HTML, file program, dan file sistem Windows. Karena itu, pembersihan harus dilakukan dalam mode DOS. Untuk memudahkan pembersihan, gunakan Windows Mini PE Live CD (cari di Internet). Kemudian unduh Dr.Web CureIt! dan harus dilakukan pada komputer yang tidak terinfeksi virus. Untuk alat Dr.Web, CureIt! tidak terinfeksi, lebih disukai di ZIP dan kata sandi.Silakan unduh Dr.Web CureIt! di alamat berikut
Untuk pembersihan yang optimal, Anda harus memindai semua hard drive, termasuk USB atau drive eksternal, karena virus ini akan menjatuhkan beberapa file ke stik USB atau hard drive eksternal. Sebelum membersihkan, yang terbaik adalah memblokir file virus duplikat menggunakan fitur "Kebijakan Pembatasan Perangkat Lunak". Fitur ini hanya ada pada sistem operasi Windows XP Pro, Vista, 7, Server 2003, dan Server 2008 dengan cara berikut:
- Klik menu [Start]
- Klik [Jalankan]
- Dalam kotak dialog RUN, ketik SECPOL.MSC dan klik tombol [OK]
- Setelah layar "Kebijakan Keamanan Lokal" muncul, klik kanan menu [Kebijakan Pembatasan Perangkat Lunak], lalu klik "Buat Kebijakan Baru" atau "Kebijakan Pembatasan Perangkat Lunak Baru" jika Anda menggunakan Windows Vista / 7.
- Kemudian klik kanan pada menu "Aturan tambahan" dan pilih "Aturan hash baru ..."
- Kemudian, layar "Aturan hash baru" akan muncul. Di kolom "File Hash", klik tombol [Browse] dan tentukan salah satu file virus duplikat dengan ikon "Folder" 105 KB (contoh: C: \ Windows \ Explorermgr.exe), lalu klik tombol [Buka]. Di kolom "Tingkat Keamanan", pilih [Batasi]. Kemudian klik tombol [OK]
- Hubungkan USB flash drive dan hard drive eksternal ke komputer
- Mulai komputer melalui CD / DVD ROM
- Kemudian layar "Welcome to Dr.Web LiveCD" muncul
- Pilih "Dr.Web LiveCD (Default)" dan tekan tombol "Enter" pada keyboard.
- Tunggu beberapa saat hingga tampilan antarmuka Dr.Web LiveCD, yang secara otomatis akan menampilkan aplikasi "Dr.Web Scanner". Scanner Dr.Web dapat memindai virus di komputer Anda
- Untuk Pemindaian HDD, pilih di layar "Pemindai Dr.Web" lokasi drive yang akan diperiksa dan periksa daftar opsi "Pindai subdirektori" sehingga Dr.Web dapat berkonsultasi dengan direktori dan subdirektori untuk pembersihan yang optimal. . Jika layar Dr.Web Scanner tidak muncul, klik dua kali ikon "Dr.Web Scanner" di desktop.
- Kemudian klik tombol [Start] untuk memulai proses pemeriksaan (pemindaian)
- Tunggu sebentar sampai analisis selesai. Jika virus terdeteksi, Dr.Web akan menginformasikan file yang terinfeksi dan jenis virus yang menginfeksi kolom informasi virus yang tersedia.
- Klik tombol [Pilih Semua] untuk memilih semua objek / file yang akan dibersihkan atau Anda dapat menentukan file yang akan dibersihkan dengan daftar pilihan yang tersedia.
- kemudian klik tombol [Cure] untuk membersihkan file yang terinfeksi oleh virus
- Tunggu hingga akhir pembersihan
- Scan ulang komputer untuk memastikan komputer bebas dari virus
- Nyalakan kembali komputer.