Mengenal Virus

Komputer

Created By :Ilham Ramadhan Al Barkah

XI TKJ 3

STUXNET

VIRUT

EXIT

STUXNET Kalau ditanya, virus apa yang bisa menandingi “petasan hijau” alias tabung

gas 3 kg yang sering meleduk dan memakan korban jiwa yang banyak sekali dalam beberapa bulan terakhir ini. Jawabannya adalah satu virus yang bernama Stuxnet. Mungkin pembaca tidak terlalu mengerti kalau dibilang Stuxnet, tetapi kalau di bilang Winsta, kemungkinan besar para administrator IT pernah mendengar tentang hal ini, walaupun tidak sampai mengalami luka bakar tetapi setidaknya pernah lembur gara-gara virus Winsta ini. Lalu apa hebatnya siWinsta  ini ? Salah satu sebabnya adalah aksinya yang spektakuler menggelembungkan ukuran dirinya sehingga harddisk sebesar apapun kapasitasnya akan penuh sehingga pengguna komputer kebingungan, kok harddisknya penuh yah. Dan hebatnya lagi, proses Stuxnet ini menggunakan file dll sehingga di load sebagai driver yang sah dari Realtek. Sehingga proses mendeteksi dan membasmi virus ini menjadi cukup sulit ... lha... harus menonaktifkan driver.  Indonesia termasuk negara dengan infeksi Winsta terbesar, sehingga para pengguna komputer yang “mendadak” mendapatkan message “Low Disk Space” janga buru-buru beli harddisk dulu, tetapi periksa dulu apakah komputer anda terinfeksi virus Winsta atau tidak.

Virus ini termasuk ke dalam klasifikasi virus yaitu TROJAN

STUXNET

FILE VIRUS

GEJALA & EFEK VIRUS

MODIFIKASI REGISTRI WINDOWS

METODE PENYEBARAN

VIRUS

SARAN PENCEGAHAN

(bukan mengobati)

FILE VIRUS Bagi anda pengguna internet, sebaiknya cukup waspada jika

mengunjungi alamat website yang mengindikasi konten porno atau pengguna yang mengunduh software crack, karena bisa saja ternyata file tersebut justru memiliki script trojan “Stuxnet”.

Jika anda sudah terlanjur menjalankan file tersebut, maka “Stuxnet” telah berhasil menginfeksi komputer, dan akan membuat beberapa file sebagai berikut : ü  C:\WINDOWS\system32\winsta.exe ü  C:\WINDOWS\system32\drivers\mrxcls.sys ü  C:\WINDOWS\system32\drivers\mrxnet.sys

File “winsta.exe” yang dibuat akan membengkak sebesar sisa ruang harddisk yang ada, sehingga menyebabkan harddisk menjadi penuh (biasa-nya drive C atau system dari OS). Sedangkan filemrxcls.sys dan mrxnet.sys merupakan file aktif yang digunakan untuk menginfeksi komputer dan perangkat lain yang terkoneksi (seperti USB Flash/removable drive). 

Winsta.exe sendiri sebenarnya adalah file asli Windows yang berguna. WinStation Monitor, yaitu salah satu tools dari Microsoft yang digunakan pada Windows 2000 untuk melakukan monitoring Terminal Service pada sesi client. Lokasi file tersebut juga seharusnya berada pada C:\ProgramFiles\Resources\winsta.exe.

GEJALA & EFEK VIRUS

Beberapa gejala dan efek yang terjadi jika anda terinfeksi trojan “Stuxnet” adalah sebagai berikut : Harddisk komputer-komputer di jaringan kompak

mendadak penuh dan mendapatkan peringatan “Low Disk Space”. File winsta.exe yang bertambah besar menyesuaikan sisa ruang harddisk yang anda miliki (drive C atau system OS).  

1 . File Winsta bertambah besar, menyesuaikan sisa ruang harddisk yang ada

GEJALA & EFEK VIRUS

Karena sisa ruang harddisk yang kosong, tentunya akan menimbulkan notifikasi dari system windows yang menginformasikan bahwa sisa ruang harddisk anda sudah kosong.

2. Peringatan Low Disk Space yang disebabkan oleh membengkaknya Winsta sehingga menghabiskan sisa ruang harddisk

GEJALA & EFEK VIRUS

Karena ruang harddisk yang sudah kosong, maka anda tidak bisa menyimpan data atau menjalankan program tertentu yang membutuhkan sisa ruang harddisk / menggunakan cache.

Komputer akan terasa hang/lambat dan bahkan jika anda terkoneksi jaringan akan terputus, hal ini dikarenakan “Stuxnet” yang menginfeksi komputer dan menginjeksi file system. Beberapa file system windows yang menjadi korban infeksi adalah :

1. Svchost : file yang berhubungan dengan koneksi jaringan, dengan menginfeksi file ini maka jaringan akan terputus.

2. Lsass : membuat komputer hang dan lambat serta restart sendiri, dilakukan dengan menginfeksi file ini.

3. Spoolsv : tidak bisa mencetak data lewat printer, hal ini dilakukan dengan menginfeksi file ini.

METODE PENYEBARAN VIRUS

Trojan “Stuxnet” memanfaatkan dengan baik penggunaan usb atau pun share jaringan yang full akses. Trojan akan melakukan infeksi komputer secara otomatis, karena dengan membuat 2 file yang akan ter-eksekusi dengan baik yaitu :

Ø   ~WTR[angka_acak].tmpØ     ~WTR[angka_acak].tmp

MODIFIKASI REGISTRY WINDOWS

Beberapa modifikasi registry yang dilakukan oleh virus “bekol” antara lain sebagai berikut :  Menambah Registry1)  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls2)  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet3)  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet4)  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls5) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\

LEGACY_MRXCLS6)  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\

LEGACY_MRXNET7) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\

LEGACY_MRXCLS8) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\

LEGACY_MRXNET

Saran Pencegahan

Saran Untuk mencegah (bukan mengobati) : Perbaiki AV and security kalian dengan anti virus yang handal, seperti : KIS 2011 FREE 3700 DAY

Nih virus stuxnet dari flashdisk yang kedelete otomatis sama  KIS 2011 FREE 3700 DAY.

(baru dimasukan USBnya, stuxnet langsung kedelete, "belum discan".)

1 2

VIRUT

Beberapa hari yang lalu kena virus, akhirnya merelakan beberapa data dan tugas yang sangat penting harus hilang dan harus format harddisk atau install ulang, sialnya adalah kompie yang telah diinstall ulang kembali terjangkit virus. seperti pada judul, nama virus yang menyerang adalah virut. virut menyerang hampir semua exe, dll, dan file-file lain yang bersifat

executable. yang paling menyesakkan, virut menyerang logonui.exe. file logonui.exe adalah file yang dipergunakan windows untuk menjalankan aplikasi login saat start up, atau saat log off, atau switch user.

aplikasi logon ui akan mengeluarkan error memory refference, dan sebetulnya bisa diatasi dengan menset Data Execution Prevention. penanganan ini meskipun memungkinkan kita masuk ke windows, tapi tidak menghentikan penyebaran virus.

saya sendiri menyadari kalau terjangkit virut beberapa hari yang lalu. terlanjur rusak sistem operasi, maka langsung saja diformat ulang untuk yang kedua kali. langkah kali ini sedikit berbeda, yakni :

1. hapus semua file di system restore pada harddrive 2. install ulang windows, 3. install antivirus (saya menggunakan AVAST free), 4. scan virus.

Untuk lebih lanjut KLIK tombol NEXT.....

VIRUS VIRUT

Virus akan melakukan serangan SPAM kepada IP-IP yang terdapat pada data komputer pada server zombie. Secara khusus, virus menyerang IP yang menggunakan MX (Mail Exchanger) dengan memiliki account user pada beberapa alamat e-mail, yaitu :1. yahoo.com2. web.de3. hotmail.com4. gmail.com5. aol.com

VIRUS VIRUT

FILE VIRUS

Fungsi yang dimatikan

MODIFIKASI REGISTRI WINDOWS

Replace/injectnetwork

driver

Cara Pembersihan

virus

File VirusVarian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut : C:\Documents and Settings\%user%\reader_s.exe C:\Documents and Settings\%user%\%user%.exe C:\WINDOWS\fonts\services.exe C:\WINDOWS\SoftwareDistribution\Download\[random_folder]\

[nama_random].tmp C:\WINDOWS\system32\reader_s.exe C:\WINDOWS\system32\servises.exe C:\WINDOWS\system32\regedit.exe C:\WINDOWS\system32\[angka_random].tmp (beberapa file) C:\WINDOWS\Temp\VRT[angka_random].tmp (beberapa file) C:\WINDOWS\Temp\~TM[angka_random].tmp (beberapa file) C:\WINDOWS\Temp\[angka_random].exe (beberapa file) C:\WINDOWS\Temp\[nama_acak].dll (beberapa file)

Salah satu file virus menyamarkan dirinya sebagai “PE Explorer”, PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.

Mengubah Registry Windows

Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run22951 = C:\WINDOWS\system32\[nama_random].tmp.exereader_s = C:\WINDOWS\system32\reader_s.exeRegedit32 = C:\WINDOWS\system32\regedit.exeservises = C:\WINDOWS\system32\servises.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Runservises = C:\WINDOWS\system32\servises.exeexec = C:\WINDOWS\fonts\services.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runreader_s = C:\Documents and Settings\klasnich\reader_s.exeservises = C:\WINDOWS\system32\servises.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Runservises = C:\WINDOWS\system32\servises.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windowsload = C:\WINDOWS\system32\servises.exerun = C:\WINDOWS\system32\servises.exe

Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\NOHIDORSYSCheckedValue = 0 

Mengubah Registry Windows

Selain itu, virus menambahkan dan mengubah string registry pada firewall:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List\\??\C:\WINDOWS\system32\winlogon.exe = \\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfileEnableFirewall = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\ StandardProfileEnableFirewall = 0

Cara Pembersihan Virus Matikan System Restore (XP/ME) (pada saat digunakan)

Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut: http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd.

Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya ubah terlebih dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd. 

Norman Malware Cleaner mampu menghapus virus, membersihkan file yang terinfeksi virus, serta memperbaiki driver yang terinfeksi. Setelah selesai proses pembersihan, disarankan segera restart komputer.

Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]Signature="$Chicago$"Provider=Vaksincom Gendong Virut Oyee[DefaultInstall]AddReg=UnhookRegKeyDelReg=del

Cara Pembersihan Virus [UnhookRegKey]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001, 1HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile, EnableFirewall, 0x00010001, 1

[del]HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_sHKCU, Software\Microsoft\Windows\CurrentVersion\Run, servisesHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, loadHKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, runHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_sHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, servisesHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 22951HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Regedit32HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYSHKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List, \\??\C:\WINDOWS\system32\winlogon.exeHKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau network drive masih error, sebaiknya replace driver network yaitu file “ndis.sys” (berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:\WINDOWS\system32\driver dan C:\WINDOWS\system32\dllcache

Kembalikan hosts file yang sudah terinfeksi. Replace file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada pada C:\WINDOWS\system32\driver\etc. Anda bisa juga menggunakan tools perubah hosts file yaitu “HostsXpert”. Anda dapat mendownload pada link berikut: http://www.funkytoad.com/download/HostsXpert.zip

Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.

Cara Pembersihan Virus

Replace/Inject Network Driver

Salah satu akibat yang ditimbulkan oleh virus ini adalah berusaha menggantikan file network ataupun menginjeksi file tersebut. Driver network yang berusaha digantikan adalah :1) ndis.sys2) TCPIP.sys

Akibat yang ditimbulkan adalah rusaknya driver network walaupun sudah anda re-install driver sehingga komputer tersebut tidak dapat terkoneksi pada jaringan. 

Fungsi Yang Dimatikan

Windows Firewall dimatikan dan diproteksi. Hal ini dilakukan untuk mencegah akses pengguna komputer mengaktifkan kembali Firewall.

File aplikasi/executable tidak bisa dijalankan, baik karena ukuran sudah berubah maupun karena telah terinfeksi virus. Biasanya jika anda ingin menjalankan suatu program baik program antivirus ataupun program aplikasi lainnya, akan muncul error saat dijalankan.

Tidak bisa melakukan share folder ataupun share drive. Hal ini dilakukan untuk mencegah akses share dari komputer lain.