Waspadai Virus Ranmit Menyebar Lewat Blog, artiikel ini saya buat berdasarkan pengalaman sendiri. Kemarin saya posting artikel dengan mengutip (bahasa halus copas) beberap point penting dari salah satu forum yang membahas tentang website dan saya posting pada Belajar Menu cPanel Webhostig. Setelah posting artikel tersebut blog saya mengalami keganjilan. Blog yang tadinya hanya menampilkan 4 posting, postingagan yang ada dibawah artikel ini tidak tidak muncul.
Pada saat saya OL siang di Dhana Discusiion, salah satu teman saya Aris Sugianto Tanjung mengabarkan bahwa blog saya mengadung virus. Saat itu saya menanggapi biasa aja, karena dideteksi menggunakan tool dari google yaitu webmaster tool blog saya aman-aman saja tidak mengandung malware. Malam hari saya OL di Dhana Discussion, teman saya bernama Agus Sale mengabarkan hal yang sama, bahwa blog saya mengandung virus.
Mulailah saya melakukan operasi bedah untuk menemukan virus pada blog saya. Sepengetahuan saya, virus biasanya akan menumpang pada script visual basic atau VB. Langkah pertama saya buka blog saya, kemudian saya lihat Source Code dari blog saya. Sobat tentu sudah tahu caranya, yaitu denga klik kanan kemudian klik View Page Source. Kemudian saya cari kode VBScript dengan cara CTRL + F kemudian masukan kode tersebut. Berhasil saya temukan. Pertanyaan selanjutnya, dimana script tersebut tertanam??? Langkah pertama tentu saya menari pada script themplet blog terlebih dahulu. Hasilnya nihil. Nah saya curiga terhadap artikel Belajar Menu cPanel Webhostig, kemudian saya bukan artkel tersebut, dan saya cari lagi kode VBScript seperti cara di atas. Dapat ditemukan, script terletak persih berada di bawah paragrag terakhir.
Langkah selanjutnya adala mengedit artikel Belajar Menu cPanel Webhostig, caranta tentu sobat udah tahu deh, gak usah dibahas di sini. Edit denga menggunakan mode Edit HTML jangan Compose. Lihat ke paling bawah dari paragraf terakhir dan ditemukan scrip seperti di bawah ini :
Hapus semua script di atas, kemudian saya publish kembali tuh artikel. Hasilnya blog kembali normal.
Nah sekarang apa efeknya bagi komputer yang mengakses blog saya pada saat blog saya mengandung virus tersebut. Berdasarkan hasil penelusuran saya, script tersebut adalah script dari virus Runmit. Namun sebelum mengetahui efek dari virus tersebut, mari kita bedah cara kerja dari script di atas. Cara kerjanya sebagai berikut :
DropFileName adalah sebuah variable yang memuat nama ‘scvhost.exe’
WriteData adalah suatu string panjang (yang itu saya potong) yang mungkin adalah aplikasi virusnya
Set FSO adalah dia memanggil library yang ada di FileSystemObject biasanya digunakan untuk mencari tempat/lokasi
FSo.GetSpecialFolder(2) Special Folder 2 artinya dia mencari tempat di C:\DOCUME~1\[UserName]\LOCALS~1\Temp dan diberi nama DropFileName atau bisa disebut ‘scvhost.exe’ jadi akan menjadi tempat C:\DOCUME~1\[UserName]\LOCALS~1\Temp\scvhost.exe
if FSO… pada code itu dia melacak apakah sudah ada file yang tercipta atau belum, bila belum maka
FSO.CreateTextFile yang artinya dia akan membuat file virus tersebut
Mulai kode For i sampai Next dia mulai membuat file virus tersebut, dengan mengubah setiap 2 karakter dari String WriteData menjadi 1 karakter supaya menjadi aplikasi. bila dilihat code 4D5A jika diterjemahkan akan manjadi MZ yang artinya itu adalah header dari file executable w32
Set WSHshell = CreateObject(“WScript.Shell”) artinya dia membuat object supaya bisa memanggil exe
WSHshell.Run DropPath, 0 nah inilah code yang digunakan untuk menjalankan virus tersebut dengan Run DropPath artinya dia memanggil file ‘scvhost.exe’ yang ada di Temp dan melarikannya dengan mode Hidden (0)
WriteData adalah suatu string panjang (yang itu saya potong) yang mungkin adalah aplikasi virusnya
Set FSO adalah dia memanggil library yang ada di FileSystemObject biasanya digunakan untuk mencari tempat/lokasi
FSo.GetSpecialFolder(2) Special Folder 2 artinya dia mencari tempat di C:\DOCUME~1\[UserName]\LOCALS~1\Temp dan diberi nama DropFileName atau bisa disebut ‘scvhost.exe’ jadi akan menjadi tempat C:\DOCUME~1\[UserName]\LOCALS~1\Temp\scvhost.exe
if FSO… pada code itu dia melacak apakah sudah ada file yang tercipta atau belum, bila belum maka
FSO.CreateTextFile yang artinya dia akan membuat file virus tersebut
Mulai kode For i sampai Next dia mulai membuat file virus tersebut, dengan mengubah setiap 2 karakter dari String WriteData menjadi 1 karakter supaya menjadi aplikasi. bila dilihat code 4D5A jika diterjemahkan akan manjadi MZ yang artinya itu adalah header dari file executable w32
Set WSHshell = CreateObject(“WScript.Shell”) artinya dia membuat object supaya bisa memanggil exe
WSHshell.Run DropPath, 0 nah inilah code yang digunakan untuk menjalankan virus tersebut dengan Run DropPath artinya dia memanggil file ‘scvhost.exe’ yang ada di Temp dan melarikannya dengan mode Hidden (0)
Analisa ini saya ambil dari http://robzlabz.com/2011/02/13/cara-virus-ramnit-menyebar-lewat-html-analisa/
Lalu apa efek dari Virus Ranmit???
Meski terbilang baru, namun virus Ramnit menyebar dengan sangat cepat. Berikut adalah ciri-ciri komputer yang terjangkit virus tersebut:
Meski terbilang baru, namun virus Ramnit menyebar dengan sangat cepat. Berikut adalah ciri-ciri komputer yang terjangkit virus tersebut:
- Virus akan membuat browser Internet Explorer menampilkan halaman yang berisi penawaran iklan, game, dan terkadang gamabar porno dalam jumlah yang banyak secara terus menerus selama komputer terkoneksi internet.
- Gejala selanjutnya adalah, icon removable media berubah menjadi icon folder. Setelah itu pengguna tidak dapat mengakses flashdisk tersebut dengan peringatan Access is denied. Dan terakhir muncul pula pesan Compressed (zipped) Folders pada saat mengklik drive tersebut.
- Muncul banyak file dengan nama file ‘Copy of Shortcut to (1).lnk’ s/d ‘Copy of Shortcut to (4).lnk’ di flashdisk pengguna. File ini digunakan oleh virus untuk menggandakan dirinya ketika dieksekusi pengguna.
- Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan. Selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga telah menjalankan virus ini.
Selain ciri-ciri tersebut, perlu diketahui juga bahwa Ramnit juga memiliki file induk yang sudah dipersiapkan di direktori [%USB Flash%:\RECYCLER\%nama_acak%.exe].
Virus ini juga akan menjangkit file berekstensi exe, dan setiap file exe yang terinfeksi akan mempunyai ukuran 107KB lebih besar dari ukuran awalnya. Selain itu Ramnit akan menduplikasikan file tersebut di dalam folder yang sama.
Virus ini juga akan menjangkit file berekstensi exe, dan setiap file exe yang terinfeksi akan mempunyai ukuran 107KB lebih besar dari ukuran awalnya. Selain itu Ramnit akan menduplikasikan file tersebut di dalam folder yang sama.
Cara membasmi Virus Ranmit Yang Menyebalkan
Berdasarkan beberapa artikel yang saya baca, anti virus belum bisa membasmi virus ini. SMADAV dan ARTAV tiak mampu berbuat apa-apa menghadapi virus ini. Apabila discan menggunakan AVIRA maka semua file yang terinfeksi akan terhapus atau paling tidak akan masuk dalam karantina antivirus dan rusak tidak bisa digunakan lagi.
Berdasarkan beberapa artikel yang saya baca, anti virus belum bisa membasmi virus ini. SMADAV dan ARTAV tiak mampu berbuat apa-apa menghadapi virus ini. Apabila discan menggunakan AVIRA maka semua file yang terinfeksi akan terhapus atau paling tidak akan masuk dalam karantina antivirus dan rusak tidak bisa digunakan lagi.
Untuk membasmi virus Ranmit saya sarankan gunakan VBS Dropper Remover. Untuk bisa mendownload pembasmi virus ranmit silakan langsung aja klik VBS Dropper Remover.
Demikian pengalaman saya denga virus ranmit, terima kasih kepda :
Mas Agus Sale : www.agussale.com
Mas Aris Sugianto Tanjung : http://arissugianto.blogspot.com
Mas Agus Sale : www.agussale.com
Mas Aris Sugianto Tanjung : http://arissugianto.blogspot.com