keamanan jaringan dari beberapa virus
DESCRIPTION
keamanan jaringan dari Virus Stuxnet dan VirutTRANSCRIPT
Mengenal Virus
Komputer
Created By :Ilham Ramadhan Al Barkah
XI TKJ 3
STUXNET
VIRUT
EXIT
STUXNET Kalau ditanya, virus apa yang bisa menandingi “petasan hijau” alias tabung
gas 3 kg yang sering meleduk dan memakan korban jiwa yang banyak sekali dalam beberapa bulan terakhir ini. Jawabannya adalah satu virus yang bernama Stuxnet. Mungkin pembaca tidak terlalu mengerti kalau dibilang Stuxnet, tetapi kalau di bilang Winsta, kemungkinan besar para administrator IT pernah mendengar tentang hal ini, walaupun tidak sampai mengalami luka bakar tetapi setidaknya pernah lembur gara-gara virus Winsta ini. Lalu apa hebatnya siWinsta ini ? Salah satu sebabnya adalah aksinya yang spektakuler menggelembungkan ukuran dirinya sehingga harddisk sebesar apapun kapasitasnya akan penuh sehingga pengguna komputer kebingungan, kok harddisknya penuh yah. Dan hebatnya lagi, proses Stuxnet ini menggunakan file dll sehingga di load sebagai driver yang sah dari Realtek. Sehingga proses mendeteksi dan membasmi virus ini menjadi cukup sulit ... lha... harus menonaktifkan driver. Indonesia termasuk negara dengan infeksi Winsta terbesar, sehingga para pengguna komputer yang “mendadak” mendapatkan message “Low Disk Space” janga buru-buru beli harddisk dulu, tetapi periksa dulu apakah komputer anda terinfeksi virus Winsta atau tidak.
Virus ini termasuk ke dalam klasifikasi virus yaitu TROJAN
STUXNET
FILE VIRUS
GEJALA & EFEK VIRUS
MODIFIKASI REGISTRI WINDOWS
METODE PENYEBARAN
VIRUS
SARAN PENCEGAHAN
(bukan mengobati)
FILE VIRUS Bagi anda pengguna internet, sebaiknya cukup waspada jika
mengunjungi alamat website yang mengindikasi konten porno atau pengguna yang mengunduh software crack, karena bisa saja ternyata file tersebut justru memiliki script trojan “Stuxnet”.
Jika anda sudah terlanjur menjalankan file tersebut, maka “Stuxnet” telah berhasil menginfeksi komputer, dan akan membuat beberapa file sebagai berikut : ü C:\WINDOWS\system32\winsta.exe ü C:\WINDOWS\system32\drivers\mrxcls.sys ü C:\WINDOWS\system32\drivers\mrxnet.sys
File “winsta.exe” yang dibuat akan membengkak sebesar sisa ruang harddisk yang ada, sehingga menyebabkan harddisk menjadi penuh (biasa-nya drive C atau system dari OS). Sedangkan filemrxcls.sys dan mrxnet.sys merupakan file aktif yang digunakan untuk menginfeksi komputer dan perangkat lain yang terkoneksi (seperti USB Flash/removable drive).
Winsta.exe sendiri sebenarnya adalah file asli Windows yang berguna. WinStation Monitor, yaitu salah satu tools dari Microsoft yang digunakan pada Windows 2000 untuk melakukan monitoring Terminal Service pada sesi client. Lokasi file tersebut juga seharusnya berada pada C:\ProgramFiles\Resources\winsta.exe.
GEJALA & EFEK VIRUS
Beberapa gejala dan efek yang terjadi jika anda terinfeksi trojan “Stuxnet” adalah sebagai berikut : Harddisk komputer-komputer di jaringan kompak
mendadak penuh dan mendapatkan peringatan “Low Disk Space”. File winsta.exe yang bertambah besar menyesuaikan sisa ruang harddisk yang anda miliki (drive C atau system OS).
1 . File Winsta bertambah besar, menyesuaikan sisa ruang harddisk yang ada
GEJALA & EFEK VIRUS
Karena sisa ruang harddisk yang kosong, tentunya akan menimbulkan notifikasi dari system windows yang menginformasikan bahwa sisa ruang harddisk anda sudah kosong.
2. Peringatan Low Disk Space yang disebabkan oleh membengkaknya Winsta sehingga menghabiskan sisa ruang harddisk
GEJALA & EFEK VIRUS
Karena ruang harddisk yang sudah kosong, maka anda tidak bisa menyimpan data atau menjalankan program tertentu yang membutuhkan sisa ruang harddisk / menggunakan cache.
Komputer akan terasa hang/lambat dan bahkan jika anda terkoneksi jaringan akan terputus, hal ini dikarenakan “Stuxnet” yang menginfeksi komputer dan menginjeksi file system. Beberapa file system windows yang menjadi korban infeksi adalah :
1. Svchost : file yang berhubungan dengan koneksi jaringan, dengan menginfeksi file ini maka jaringan akan terputus.
2. Lsass : membuat komputer hang dan lambat serta restart sendiri, dilakukan dengan menginfeksi file ini.
3. Spoolsv : tidak bisa mencetak data lewat printer, hal ini dilakukan dengan menginfeksi file ini.
METODE PENYEBARAN VIRUS
Trojan “Stuxnet” memanfaatkan dengan baik penggunaan usb atau pun share jaringan yang full akses. Trojan akan melakukan infeksi komputer secara otomatis, karena dengan membuat 2 file yang akan ter-eksekusi dengan baik yaitu :
Ø ~WTR[angka_acak].tmpØ ~WTR[angka_acak].tmp
MODIFIKASI REGISTRY WINDOWS
Beberapa modifikasi registry yang dilakukan oleh virus “bekol” antara lain sebagai berikut : Menambah Registry1) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet3) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet4) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls5) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MRXCLS6) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MRXNET7) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
LEGACY_MRXCLS8) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
LEGACY_MRXNET
Saran Pencegahan
Saran Untuk mencegah (bukan mengobati) : Perbaiki AV and security kalian dengan anti virus yang handal, seperti : KIS 2011 FREE 3700 DAY
Nih virus stuxnet dari flashdisk yang kedelete otomatis sama KIS 2011 FREE 3700 DAY.
(baru dimasukan USBnya, stuxnet langsung kedelete, "belum discan".)
1 2
VIRUT
Beberapa hari yang lalu kena virus, akhirnya merelakan beberapa data dan tugas yang sangat penting harus hilang dan harus format harddisk atau install ulang, sialnya adalah kompie yang telah diinstall ulang kembali terjangkit virus. seperti pada judul, nama virus yang menyerang adalah virut. virut menyerang hampir semua exe, dll, dan file-file lain yang bersifat
executable. yang paling menyesakkan, virut menyerang logonui.exe. file logonui.exe adalah file yang dipergunakan windows untuk menjalankan aplikasi login saat start up, atau saat log off, atau switch user.
aplikasi logon ui akan mengeluarkan error memory refference, dan sebetulnya bisa diatasi dengan menset Data Execution Prevention. penanganan ini meskipun memungkinkan kita masuk ke windows, tapi tidak menghentikan penyebaran virus.
saya sendiri menyadari kalau terjangkit virut beberapa hari yang lalu. terlanjur rusak sistem operasi, maka langsung saja diformat ulang untuk yang kedua kali. langkah kali ini sedikit berbeda, yakni :
1. hapus semua file di system restore pada harddrive 2. install ulang windows, 3. install antivirus (saya menggunakan AVAST free), 4. scan virus.
Untuk lebih lanjut KLIK tombol NEXT.....
VIRUS VIRUT
Virus akan melakukan serangan SPAM kepada IP-IP yang terdapat pada data komputer pada server zombie. Secara khusus, virus menyerang IP yang menggunakan MX (Mail Exchanger) dengan memiliki account user pada beberapa alamat e-mail, yaitu :1. yahoo.com2. web.de3. hotmail.com4. gmail.com5. aol.com
VIRUS VIRUT
FILE VIRUS
Fungsi yang dimatikan
MODIFIKASI REGISTRI WINDOWS
Replace/injectnetwork
driver
Cara Pembersihan
virus
File VirusVarian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut : C:\Documents and Settings\%user%\reader_s.exe C:\Documents and Settings\%user%\%user%.exe C:\WINDOWS\fonts\services.exe C:\WINDOWS\SoftwareDistribution\Download\[random_folder]\
[nama_random].tmp C:\WINDOWS\system32\reader_s.exe C:\WINDOWS\system32\servises.exe C:\WINDOWS\system32\regedit.exe C:\WINDOWS\system32\[angka_random].tmp (beberapa file) C:\WINDOWS\Temp\VRT[angka_random].tmp (beberapa file) C:\WINDOWS\Temp\~TM[angka_random].tmp (beberapa file) C:\WINDOWS\Temp\[angka_random].exe (beberapa file) C:\WINDOWS\Temp\[nama_acak].dll (beberapa file)
Salah satu file virus menyamarkan dirinya sebagai “PE Explorer”, PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.
Mengubah Registry Windows
Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run22951 = C:\WINDOWS\system32\[nama_random].tmp.exereader_s = C:\WINDOWS\system32\reader_s.exeRegedit32 = C:\WINDOWS\system32\regedit.exeservises = C:\WINDOWS\system32\servises.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Runservises = C:\WINDOWS\system32\servises.exeexec = C:\WINDOWS\fonts\services.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runreader_s = C:\Documents and Settings\klasnich\reader_s.exeservises = C:\WINDOWS\system32\servises.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Runservises = C:\WINDOWS\system32\servises.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windowsload = C:\WINDOWS\system32\servises.exerun = C:\WINDOWS\system32\servises.exe
Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\NOHIDORSYSCheckedValue = 0
Mengubah Registry Windows
Selain itu, virus menambahkan dan mengubah string registry pada firewall:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List\\??\C:\WINDOWS\system32\winlogon.exe = \\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfileEnableFirewall = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\ StandardProfileEnableFirewall = 0
Cara Pembersihan Virus Matikan System Restore (XP/ME) (pada saat digunakan)
Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut: http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd.
Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya ubah terlebih dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd.
Norman Malware Cleaner mampu menghapus virus, membersihkan file yang terinfeksi virus, serta memperbaiki driver yang terinfeksi. Setelah selesai proses pembersihan, disarankan segera restart komputer.
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]Signature="$Chicago$"Provider=Vaksincom Gendong Virut Oyee[DefaultInstall]AddReg=UnhookRegKeyDelReg=del
Cara Pembersihan Virus [UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001, 1HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile, EnableFirewall, 0x00010001, 1
[del]HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_sHKCU, Software\Microsoft\Windows\CurrentVersion\Run, servisesHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, loadHKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, runHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_sHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, servisesHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 22951HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Regedit32HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYSHKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List, \\??\C:\WINDOWS\system32\winlogon.exeHKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau network drive masih error, sebaiknya replace driver network yaitu file “ndis.sys” (berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:\WINDOWS\system32\driver dan C:\WINDOWS\system32\dllcache
Kembalikan hosts file yang sudah terinfeksi. Replace file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada pada C:\WINDOWS\system32\driver\etc. Anda bisa juga menggunakan tools perubah hosts file yaitu “HostsXpert”. Anda dapat mendownload pada link berikut: http://www.funkytoad.com/download/HostsXpert.zip
Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.
Cara Pembersihan Virus
Replace/Inject Network Driver
Salah satu akibat yang ditimbulkan oleh virus ini adalah berusaha menggantikan file network ataupun menginjeksi file tersebut. Driver network yang berusaha digantikan adalah :1) ndis.sys2) TCPIP.sys
Akibat yang ditimbulkan adalah rusaknya driver network walaupun sudah anda re-install driver sehingga komputer tersebut tidak dapat terkoneksi pada jaringan.
Fungsi Yang Dimatikan
Windows Firewall dimatikan dan diproteksi. Hal ini dilakukan untuk mencegah akses pengguna komputer mengaktifkan kembali Firewall.
File aplikasi/executable tidak bisa dijalankan, baik karena ukuran sudah berubah maupun karena telah terinfeksi virus. Biasanya jika anda ingin menjalankan suatu program baik program antivirus ataupun program aplikasi lainnya, akan muncul error saat dijalankan.
Tidak bisa melakukan share folder ataupun share drive. Hal ini dilakukan untuk mencegah akses share dari komputer lain.