Stuxnet dan Ramnit Jawara "Virus Bikin Pusing" 2011 - Kompas.com
Evaluasi Malware 2011, Tren 2012

Stuxnet dan Ramnit Jawara "Virus Bikin Pusing" 2011

Kompas.com - 31/12/2011, 14:00 WIB

Oleh: Adang Jauhar Taufik

JAKARTA, KOMPAS.com - Penyebaran virus di tahun 2011, sudah mengalami banyak perubahan dibandingkan dengan tahun-tahun sebelumnya. Vaksincom menyajikan analisanya dalam laporan Evaluasi Malware 2011, Tren Malware 2012.

Berikut adalah rangkuman penyebaran virus di tahun 2011, sambungan dari artikel sebelumnya "4 Tren Penyebaran Virus di 2011".


Stuxnet a.k.a Winsta

Stuxnet yang sudah muncul di tahun 2010 semakin menunjukan eksistensinya di tahun 2011 dengan semakin banyaknya jumlah PC yang terinfeksi .  

Walaupun belum sempat menyebar terlalu luas, namun virus ini cukup merepotkan karena mampu menggelembungkan kapasitas harddisk pada komputer yang terinfeksi sehingga berapapun besarnya harddisk yang Anda miliki, jika terinfeksi virus ini akan kehabisan tempat alias Low Disk Space.

Akibatnya, user tidak dapat menjalankan program aplikasi internal dan membuat komputer menjadi hang, selain  itu Stuxnet juga akan mematikan Print Sharing dan koneksi jaringan terputus.

Untuk mempermudah penyebaran nya tidak tanggung-tanggung ada sebanyak 5 (lima) celah keamanan Windows yang akan di exploitasi oleh Stuxnet, termasuk kemampuan membypass perlindungan UAC (User Access Control) yang sempat digembar-gemborkan sebagai perlindungan baru yang dapat memblok virus baru, sehingga notabene Windows Vista dan Windows 7 menjadi rentan terhadap serangan ini.

Stuxnet yang kabarnya hanya menyerang SCADA (kebanyakan perusahaan minyak dan gas) terutama pada pengguna komputer di Iran, tetapi pada perkembangannya juga menyerang komputer yang tidak menggunakan SCADA termasuk Windows Vista dan 7 .

Berikut celah keamanan yang akan dieksploitasi oleh Stuxnet:

 

  • Windows Server Service / RPC (MS08-067) - Dengan teknik yang sama seperti worm Conficker, memanfaatkan sistem Windows yang tidak update worm akan dengan mudah menginfeksi komputer.
  • Windows Shell Icon Handler / LNK (MS10-046) - Stuxnet merupakan salah satu worm yang memanfaatkan celah ini. Dengan memanfaatkan file shortcut, worm menginfeksi komputer dengan mudah.
  • Windows Print Spooler / Spoolsv (MS10-061) - Banyak kasus-kasus yang terjadi menurut pengamatan Vaksincom komputer menjadi bermasalah dengan Print Server atau share printer. Dan ternyata, worm Stuxnet juga mengeksploitasi Print Spooler dalam aksinya.
  • Windows Win32K Layout Module (MS10-073) - Salah satu celah baru dari Windows yang berhasil dilewati oleh Stuxnet. Dengan memanfaatkan file w32k.sys dan menginjeksinya, maka worm Stuxnet dapat memiliki hak administrator dan dengan mudah menginfeksi komputer sekalipun “digembar-gemborkan” memiliki perlindungan tambahan terhadap serangan virus atau lebih kebal virus.
  • Windows Task Scheduler - Celah ini digunakan untuk menembus sistem baru dari Windows Vista dan Windows 7 yaitu UAC (User Account Control). Dengan membuat file schedule task agar dengan mudah menginfeksi komputer.



Ramnit (Jawara malware 2011)

Ramnit adalah virus yang paling sukses menyebar di tahun 2011, dengan kemampuan update layaknya program antivirus Ramnit berhasil mengecoh system scanner program antivirus.

Virus yang muncul akhir bulan Januari 2011 ini mempunyai kemampuan untuk menginjeksi file yang mempunyai ekstensi EXE dan DLL baik berupa file program aplikasi maupun file system Windows sehingga memerlukan langkah pembersihan khusus.

Bagi Anda yang mempunyai webserver atau senang berselancar internet harap berhati-hati karena Ramnit juga akan menyebar dengan menginjeksi file HTM dan HTML.

Ramnit sempat bertengger sebagai jawara di urutan pertama sampai dengan pertengahan bulan Agustus 2011 sehingga pantas dinobatkan sebagai virus jawara di tahun 2011.

Selain menginjeksi file, Ramnit juga akan menyebabkan komputer yang terinfeksi menjadi lambat dengan adanya aktivitas untuk melakukan konektifitas ke internet secara terus menerus dengan menampilkan website yang telah ditentukan.

Ramnit sukses menyebar dengan memanfaat beberapa celah berikut:

  • Exploit Vulnerability (MS10-046 - KB2286198) dengan memafaatkan celah lnk/shortcut
  • Mendaftarkan diri sebagai proses yang sah dari microsoft (svchost) sehingga mampu mengelabui user.
  • Inject ektensi .exe, dll, htm dan html
  • Memanfaatkan removable media dengan memanfaatkan autorun Windows
  • Menyebar via file sharing dengan menginfeksi file yang mempunyai ekstensi EXE/DLL/HTM/HTML


Dalam menjalankan aksinya, Ramnit tidak berjalan sendirian tetapi akan mengundang virus lain yang mempunyai kemampuan sama yakni menginjeksi file dengan ekstensi EXE seperti W32/Virut atau W32/Sality sehingga terjadi double injection dalam satu file sehingga mempersulit pada saat proses perbaikan.

Untuk beberapa kasus jika terjadi kegagalan dalam perbaikan file tersebut akan menyebabkan file menjadi rusak dan tidak dapat digunakan.


Chanet Splitter II

Untuk menangkal penyebaran Ramnit, Vaksincom bekerjasama dengan programmer muda (Bung Yayat) membuat satu tools yang berfungsi untuk membersihkan file HTM/HTML yang sudah terinjeksi Ramnit.

Chanet SplitterII juga dirancang agar dapat  mematikan proses Ramnit yang aktif di memori dan yang paling penting adalah mencegah agar komputer tidak terinfeksi kembali oleh Ramnit.

Untuk informasi lebih lanjut mengenai virus Ramnit, silahkan kunjungi link berikut

(Bersambung ke tulisan berikutnya dalam rangkaian Evaluasi Malware 2011, Tren Malware 2012)

*Penulis: Adang Jauhar Taufik, akrab dengan akronim AJ Tau, adalah analis antivirus di Vaksincom.

Dapatkan Tiket Gratis untuk menghadiri seminar Evaluasi Malware 2011, Tren Malware 2012 yang akan diadakan Vaksincom di Jakarta, 8 Januari 2012. Simak infonya di http://kom.ps/lR62

 

Ikuti perkembangan berita ini dalam topik:
    EditorWicaksono Surya Hidayat