Recycler (RAMNIT)
Posted on July 4, 2011 by slazh pardede
Virus ini membuat 4 file yang bernama Copy of Shortcut to (1).lnk, Copy of Shortcut to (2).lnk,
Copy of Shortcut to (3).lnk dan Copy of Shortcut to (4).lnk. Virus ini juga membuat folder
Recycler yang berisi folder bernama acak. Folder acak tersebut juga diisi oleh file-file acak yang
otomatis dibuat secara terus menerus sehingga membuat komputer terasa lambat. Berikut
penampakannya :
Dengan sikap sok jagoan saya coba menantang virus ini dengan mencolok flashdisk terinfeksi itu
ke komputer rumah, otomatis virus pun menjalar ke komputer.
Besoknya saya install Avir* dan virus pun terdeteksi sebagai Ramnit, ternyata Avir* tidak
mampu membersihkan virus ini, ia hanya menghapus file yang terinfeksi virus.
Virus ternyata bisa diakali dengan baca file autorun.inf dan rename nama file tujuan. Lalu buat
file .exe lain dengan nama file tujuan virus tadi. Otomatis saat flashdisk dicolok ia akan
mengeksekusi file .exe buatan kita. Namun virus masih eksis, ditandai saat saya colok flashdisk
kosong maka Flashdisk terinfeksi.
Untuk antisipasi saya pun mengimport file backup registry dan benar saja, virus masih eksis.
Waduuh…
Saya coba pakai Sm*d*v, hasilnya system scan mendeteksi ada registry value yang dicurigai
yaitu di HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ dengan value name
Userinit dan value yang dicurigai adalah path C:\Program Files\WaterMark.exe.
Benar saja, pada properties file WaterMark.exe disebut file dibuat dengan tanggal kemarin. Ini
dia pembuat masalahnya.
File ini tidak bisa dihapus karena sedang active. Solusi berikutnya panggil Task Manager dan
ternyata tidak ada nama proses WaterMark.exe. Terpaksa browsing internet untuk cari cara
menghapusnya.
Ketemu, ternyata nama prosesnya svchost.exe yang usernamenya pakai nama komputer kita.
Benar saja WaterMark.exe bisa dihapus. Namun masalah belum selesai, saat komputer restart si
WaterMark.exe eksis lagi. Mesti browsing lagi…
1. Melalui Task Manager, hentikan proses svchost.exe yang usernamenya nama komputer.
2. Hapus file WaterMark.exe di path C:\Program Files\Microsoft\
3. Panggil Command Prompt dan arahkan ke path C:\Program Files\Microsoft\
4. Ketikan md WaterMark.exe lalu Enter
5. Ketikan lagi cd WaterMark.exe
6. Ketikan lagi md con\\
Sedangkan Untuk mengatasi virus ini masuk ke Flashdisk,anda bisa menangkal file autorunnya
virus dengan membuat folder autorun.inf dengan perintah ini : (bisa dibuat melalui command /
cmd —- bisa jga disimpan dengan ekstensi .bat)
MDF:\AUTORUN.INF
MD\\.\\F:\AUTORUN.INF\CON
MD\\.\\F:\AUTORUN.INF\CON\AUX
MD\\.\\F:\AUTORUN.INF\CON\AUX\nul.Folder_is_PROTECTED_from_Bad_Attack
sedangkan untuk menangkal folder RECYCLERnya anda bisa membuat sebuah file dengan
nama RECYCLER tanpa ekstensi (anda bisa membuatnya dari notepad—-tapi tanpa ekstensi)
…illustrasinya seperti gambar ini :
selamat mencoba,semoga tips ini membantu anda….
Dalam system operasi Windows, tidak diperbolehkan terdapat 2 nama file yang sama, sehingga
kemungkinan besar virus tidak bisa memakai nama file autorun.inf tersebut. Jikalau virus ingin
menggantinya, rata-rata virus belum mengenal karakter Unicode, sehingga tampak sulit untuk
mengubahnya, dan flashdisk pun akan aman dari virus. Semoga Tips agar flashdisk aman dari
virus