Penyebaran virus di tahun 2011, sudah mengalami banyak perubahan
dibandingkan dengan tahun-tahun sebelumnya. Vaksincom menyajikan
analisanya dalam laporan Evaluasi Malware 2011, Tren Malware 2012.
Berikut adalah rangkuman penyebaran virus di tahun 2011, sambungan dari artikel sebelumnya "4 Tren Penyebaran Virus di 2011".
Stuxnet a.k.a Winsta
Stuxnet yang sudah muncul di tahun 2010 semakin menunjukan eksistensinya
di tahun 2011 dengan semakin banyaknya jumlah PC yang terinfeksi .
Walaupun belum sempat menyebar terlalu luas, namun virus ini cukup
merepotkan karena mampu menggelembungkan kapasitas harddisk pada
komputer yang terinfeksi sehingga berapapun besarnya harddisk yang Anda
miliki, jika terinfeksi virus ini akan kehabisan tempat alias Low Disk
Space.
Akibatnya, user tidak dapat menjalankan program aplikasi internal dan
membuat komputer menjadi hang, selain itu Stuxnet juga akan mematikan
Print Sharing dan koneksi jaringan terputus.
Untuk mempermudah penyebaran nya tidak tanggung-tanggung ada sebanyak 5
(lima) celah keamanan Windows yang akan di exploitasi oleh Stuxnet,
termasuk kemampuan membypass perlindungan UAC (User Access Control) yang
sempat digembar-gemborkan sebagai perlindungan baru yang dapat memblok
virus baru, sehingga notabene Windows Vista dan Windows 7 menjadi rentan
terhadap serangan ini.
Stuxnet yang kabarnya hanya menyerang SCADA (kebanyakan perusahaan
minyak dan gas) terutama pada pengguna komputer di Iran, tetapi pada
perkembangannya juga menyerang komputer yang tidak menggunakan SCADA
termasuk Windows Vista dan 7 .
Berikut celah keamanan yang akan dieksploitasi oleh Stuxnet:
-Windows Print Spooler / Spoolsv (MS10-061) - Banyak kasus-kasus yang
terjadi menurut pengamatan Vaksincom komputer menjadi bermasalah dengan
Print Server atau share printer. Dan ternyata, worm Stuxnet juga
mengeksploitasi Print Spooler dalam aksinya.
-Windows Win32K Layout Module (MS10-073) - Salah satu celah baru dari
Windows yang berhasil dilewati oleh Stuxnet. Dengan memanfaatkan file
w32k.sys dan menginjeksinya, maka worm Stuxnet dapat memiliki hak
administrator dan dengan mudah menginfeksi komputer sekalipun
“digembar-gemborkan” memiliki perlindungan tambahan terhadap serangan
virus atau lebih kebal virus.
Windows Task Scheduler - Celah ini digunakan untuk menembus sistem baru
dari Windows Vista dan Windows 7 yaitu UAC (User Account Control).
Dengan membuat file schedule task agar dengan mudah menginfeksi
komputer.
Ramnit (Jawara malware 2011)
Ramnit adalah virus yang paling sukses menyebar di tahun 2011, dengan
kemampuan update layaknya program antivirus Ramnit berhasil mengecoh
system scanner program antivirus.
Virus yang muncul akhir bulan Januari 2011 ini mempunyai kemampuan untuk
menginjeksi file yang mempunyai ekstensi EXE dan DLL baik berupa file
program aplikasi maupun file system Windows sehingga memerlukan langkah
pembersihan khusus.
Bagi Anda yang mempunyai webserver atau senang berselancar internet
harap berhati-hati karena Ramnit juga akan menyebar dengan menginjeksi
file HTM dan HTML.
Ramnit sempat bertengger sebagai jawara di urutan pertama sampai dengan
pertengahan bulan Agustus 2011 sehingga pantas dinobatkan sebagai virus
jawara di tahun 2011.
Selain menginjeksi file, Ramnit juga akan menyebabkan komputer yang
terinfeksi menjadi lambat dengan adanya aktivitas untuk melakukan
konektifitas ke internet secara terus menerus dengan menampilkan website
yang telah ditentukan.
Ramnit sukses menyebar dengan memanfaat beberapa celah berikut:
Exploit Vulnerability (MS10-046 - KB2286198) dengan memafaatkan celah lnk/shortcut
Mendaftarkan diri sebagai proses yang sah dari microsoft (svchost) sehingga mampu mengelabui user.
Inject ektensi .exe, dll, htm dan html
Memanfaatkan removable media dengan memanfaatkan autorun Windows
Menyebar via file sharing dengan menginfeksi file yang mempunyai ekstensi EXE/DLL/HTM/HTML
Dalam menjalankan aksinya, Ramnit tidak berjalan sendirian tetapi akan
mengundang virus lain yang mempunyai kemampuan sama yakni menginjeksi
file dengan ekstensi EXE seperti W32/Virut atau W32/Sality sehingga
terjadi double injection dalam satu file sehingga mempersulit pada saat
proses perbaikan.
Untuk beberapa kasus jika terjadi kegagalan dalam perbaikan file
tersebut akan menyebabkan file menjadi rusak dan tidak dapat digunakan.
Chanet Splitter II
Untuk menangkal penyebaran Ramnit, Vaksincom bekerjasama dengan
programmer muda (Bung Yayat) membuat satu tools yang berfungsi untuk
membersihkan file HTM/HTML yang sudah terinjeksi Ramnit.
Chanet SplitterII juga dirancang agar dapat mematikan proses Ramnit
yang aktif di memori dan yang paling penting adalah mencegah agar
komputer tidak terinfeksi kembali oleh Ramnit.
