Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Cara Membasmi Virus Ramnit dengan Tuntas
DHIAN MEIDIANTO
[email protected]:: http://dhianmeidianto.blogspot.com
Abstrak
Ibarat kasus korupsi yang sampai saat ini masih tetap saja mencengkeram Indonesia
sampai hari ini, virus Ramnit sejatinya sudah ada sejak tahun 2010. Namun virus ini
tetap tidak bisa di remehkan karena Ramnit begitu rapi dalam menginjeksi dan
menjalankan dirinya sendiri. Ramnit memang sangat merepotkan korbannya, karena
pada saat akan buka local disk (C:) tidak bisa karena virus ini merubahnya menjadi
ekstensi ".dat" , taskmanager juga di buatnya jadi disable, buka run juga tidak bisa.
Ramnit adalah salah satu virus komputer yang paling menjengkelkan, Virus ini dapat
menyusup kedalam file berektensi .exe, .html, dan .dll. Virus ini dapat menduplikasi
dirinya menjadi ribuan dalam sebuah komputer. Ciri yang paling mudah dikenali pada
komputer yang telah terinfeksi Ramnit adalah terciptanya folder Recycler dan 4 buah
shortcut pada removable disk. disini penulis akan menjelaskan sedikit bagaimana cara
membasmi virus ramnit dengan tuntas, apa dampak yang ditimbulkan jika computer kita
terinfeksi virus Ramnit dan jenis antivirus yang Vaksincom rekomendasikan untuk
membasmi virus tersebut.
Kata Kunci:ramnit,anti virus
Pendahuluan
Ibarat kasus korupsi yang sampai saat ini masih tetap saja mencengkeram
Indonesia sampai hari ini, virus Ramnit sejatinya sudah ada sejak tahun 2010. Namun
virus ini tetap tidak bisa di remehkan karena Ramnit begitu rapi dalam menginjeksi dan
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
menjalankan dirinya sendiri. Ramnit memang sangat merepotkan korbannya, karena
pada saat akan buka local disk (C:) tidak bisa karena virus ini merubahnya menjadi
ekstensi ".dat".
disini penulis akan menjelaskan sedikit bagaimana cara membasmi virus ramnit
dengan tuntas, apa dampak yang ditimbulkan jika computer kita terinfeksi virus Ramnit
dan jenis antivirus yang Vaksincom rekomendasikan untuk membasmi virus tersebut.
Pembahasan
Antivirus konvensional biasanya langsung menghapus file yang terinfeksi
Ramnit sehingga komputer anda tidak bisa berfungsi seperti biasa karena banyak file
sistem yang ikut terhapus. Bagaimana cara menghapus Ramnit dengan tuntas tanpa
kehilangan file sistem anda?
Setelah mencoba berbagai scanner, saya menemukan yang terbaik yaitu
PCMAV Express for Ramnit. Antivirus lokal ini mampu menangani 22 varian ramnit
(Update terakhir: 27 Juni 2013). Memiliki kemampuan mengenali dan menghapus
Ramnit yang menyusup tanpa kehilangan file exe, html, dan dll anda. Tanpa melakukan
install ulang, ramnit dapat dihilangkan dengan mudah dan cepat.
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Jalankan PCMAV Express langsung dari dalam file ZIP untuk menghindari
infeksi Ramnit ke file PCMAV. Jika memungkinkan, jalankan PCMAV Express dalam
safe mode. Tinggal Klik Scan & Clean, virus ramnit akan dihapus dari sistem anda.
lihat gambar 1), taskmanager juga di buatnya jadi disable, buka run juga tidak
bisa. (lihat gambar 2)
Gambar 1, Local Disk tidak bisa dibuka jika terinfeksi Ramnit
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Gambar 2, Disable Task Manager
Duh, menyusahkan ya. Tidak hanya itu [Folder Options] pun tidak dapat dibuka. Selain
itu masih ada yang namanya folder discus-X pada direktori C:\ Windows\ yang jika
dicari secara konvensional tidak akan ketemu, karena rupanya disembunyikan (hidden).
Juga pembuatan folder "C:\Program Files\M1crosoft" (lihat gambar 3) yang bertujuan
untuk mengelabui sistem komputer dan pengguna awam yang kurang jeli.
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Gambar 3, Direktori M1crosoft yang dibuat Ramnit untuk mendukung aksinya
Tidak lupa Ramnit juga membuat file yang menjadi ciri khasnya "Copy of Shortcut (1),
Copy of Shortcut(2), Copy of Shortcut(3), Copy of Shortcut (4)" dan mengeksploitasi
celah keamanan Microsoft Windows yang memungkinkannya untuk menginfeksi secara
otomatis via USB port setiap kali UFD (USB Flash Disk) terinfeksi Ramnit dicolokkan
ke komputer. Selain itu, Ramnit akan menginjeksi file yang berekstensi html dan htm.
Jika anda mengelola web server atau memanfaatkan file htm dan html dalam sistem
intranet anda, anda harus ekstra hati-hati.
Pada saat anda akan upload file html / htm ke website, Ramnit akan ikut serta karena
sudah diinjeksikan dalam file tersebut dan secara otomatis akan menginjeksi komputer
korban melaui peramban yang membuka halaman situs yang terinfeksi. Ini lah salah
satu penyebab mengapa sampai saat ini Ramnit masih bertahan sebagai malware
jagoan. Ibarat geng motor yang banyak menimbulkan masalah di Indonesia, selanjutnya
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Ramnit akan memanggil teman-temannya seperti, Sality, Alman, Virut, Conficker dan
lainnya untuk masuk pada PC.
Langkah Pembersihan.
Lindungi dulu UFD USB Flash Disk anda agar ramnit tidak bisa meng infeksi
dengan menggunakan tools sederhana yang bisa anda buat sendiri. Caranya buka
notepad dan copy-paste script berikut ini :
< < < awal script proteksi UFD > > >
echo off
cls
REM — ubah warna
color b
REM -ubah judul
title Proteksi USB Flash* by Vaksincom
cd\
echo
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~
echo W32/Ramnit (win32.Siggen.8) USB Flash Protection * by Vaksincom *
echo
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
~~~~~~
echo - Tools ini digunakan untuk proteksi agar USB Flash tidak dijadikan
echo media penyebaran virus Ramnit
echo - Sebelum menjalankan tools ini, silahkan ubah lokasi drive
echo USB Flash pada script ini sesuai dengan lokasi drive USB Flash Anda
echo
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~
echo
pause
echo Memulai untuk proteksi USB Flash
cd\
attrib -s -h -r h:\autorun.inf
del h:\autorun.inf /q
md \\.\h:\autorun.inf
attrib +s +h +r h:\autorun.inf
md \\.\h:\autorun.inf\con
md \\.\h:\autorun.inf\con\aux
md
\\.\h:\autorun.inf\con\aux\nul.This_autorun.inf_is_PROTECT_by_Vaksincom_to_protec
t_your_USB-Flash_from_virus_infection
attrib -s -h -r h:\mso.sys
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
del h:\mso.sys /q
md \\.\h:\mso.sys
attrib +s +h +r h:\mso.sys
md \\.\h:\mso.sys\con
md \\.\h:\mso.sys\con\aux
md
\\.\h:\mso.sys\con\aux\nul.This_mso.sys_is_PROTECT_by_Vaksincom_to_protect_your
_USB-Flash_from_virus_infection
rmdir c:\RECYCLER /q
rmdir d:\RECYCLER /q
rmdir e:\RECYCLER /q
rmdir f:\RECYCLER /q
rmdir g:\RECYCLER /q
rmdir h:\RECYCLER /q
rmdir i:\RECYCLER /q
rmdir j:\RECYCLER /q
rmdir k:\RECYCLER /q
edit tulis @echo protected_by_av>c:\RECYCLER /q
edit tulis @echo protected_by_av>d:\RECYCLER /q
edit tulis @echo protected_by_av>e:\RECYCLER /q
edit tulis @echo protected_by_av>f:\RECYCLER /q
edit tulis @echo protected_by_av>g:\RECYCLER /q
edit tulis @echo protected_by_av>h:\RECYCLER /q
edit tulis @echo protected_by_av>i:\RECYCLER /q
edit tulis @echo protected_by_av>j:\RECYCLER /q
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
edit tulis @echo protected_by_av>k:\RECYCLER /q
attrib +s +h +r c:\RECYCLER
attrib +s +h +r d:\RECYCLER
attrib +s +h +r e:\RECYCLER
attrib +s +h +r f:\RECYCLER
attrib +s +h +r g:\RECYCLER
attrib +s +h +r h:\RECYCLER
attrib +s +h +r i:\RECYCLER
attrib +s +h +r j:\RECYCLER
attrib +s +h +r k:\RECYCLER
Del F:\Copy" "of" "Shortcut" "to" "(1)"".lnk" /q
Del F:\Copy" "of" "Shortcut" "to" "(2)"".lnk" /q
Del F:\Copy" "of" "Shortcut" "to" "(3)"".lnk" /q
Del F:\Copy" "of" "Shortcut" "to" "(4)"".lnk" /q
md h:\Copy" "of" "Shortcut" "to" "(1)"".lnk"
md h:\Copy" "of" "Shortcut" "to" "(2)"".lnk"
md h:\Copy" "of" "Shortcut" "to" "(3)"".lnk"
md h:\Copy" "of" "Shortcut" "to" "(4)"".lnk"
attrib +s +h +r h:\Copy" "of" "Shortcut" "to" "(1)".lnk"
attrib +s +h +r h:\Copy" "of" "Shortcut" "to" "(2)".lnk"
attrib +s +h +r h:\Copy" "of" "Shortcut" "to" "(3)".lnk"
attrib +s +h +r h:\Copy" "of" "Shortcut" "to" "(4)".lnk"
msg %username% /time:30 "USB Flash Anda sudah di proteksi dari virus Ramnit"
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
msg %username% /time:30 "W32/Ramnit USB Flash Protection (c) 2011-Vaksincom"
< < < akhir script proteksi UFD > > >
Kemudian simpan dengan nama [Save as] 'ProteksiUFD.bat' (tanpa tanda kutip),
kemudian double klik untuk menjalankan tools ini.
Jika Anda awam dan ingin mengetahui bagaimana langkah untuk melakukan
[Save as], bisa menanyakan kepada teman atau silakan tanyakan kepada Vaksinis
dengan mengirimkan email ke [email protected].
Setelah itu, jalankan tools untuk melindungi UFD ini pada setiap UFD yang Anda
miliki. Hal ini penting untuk mencegah UFD Anda terinfeksi Ramnit dari komputer lain
dan menjadi 'agen rahasia' penyebar Ramnit.
Siapkan PC yang bersih dari virus dan unduh Antivirus G Data (dan manualnya)
Setelah selesai, kopi dan install pada PC yang terinfeksi Ramnit.
Jika Anda mengalami kesulitan/keterbatasan bandwidth untuk mengunduh file
instalasi yang cukup besar, bisa meminta bantuan teman atau warnet untuk membantu
mengunduhkan.
Pertimbangan Vaksincom menggunakan G Data Antivirus adalah karena G Data
secara otomatis akan memburu dan membasmi semua file Ramnit dengan usaha sangat
minimal dari pengguna komputer.
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Instal G Data dan JANGAN restart! Kita update dulu antivirusnya. Jika mengalami
kesulitan dalam instalasi G Data, jangan ragu untuk menghubungi Vaksincom untuk
mendapatkan bantuan teknis gratis.
Setelah terinstal pada komputer dan tanpa restart, G Data sudah mampu
memproteksi sistem komputer anda dan dalam proses update akan secara otomatis akan
mulai melakukan pembersihan terhadap file-file Ramnit yang mengganggu komputer Anda
(lihat gambar 4).
Namun ingat, file Ramnit yang sedang aktif belum diotak-atik karena jika dipaksa
untuk dibasmi akan mengakibatkan sistem komputer crash. Untuk tahap pembersihan
kedua, Anda perlu mengunggu sampai update selesai dan melakukan restart.
Gambar 4, Pada saat proses update tiba tiba muncul pop-up bahwa PC terdapat
virus.
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Setelah update selesai (lihat gambar 5) silakan restart PC agar antivirus berjalan
optimal melindungi komputer dari semua ancaman malware dan membasmi file-file
Ramnit yang mencoba aktif dan menginjeksi file-file sistem Windows.
Gambar 5, G Data memiliki 2 engine antivirus untuk deteksi terbaik dan dengan
teknologi CloseGap membuatnya menjadi tidak menghabiskan terlalu banyak
resource komputer dibandingkan antivirus lain.
Setelah PC restart maka dengan sendirinya G Data akan menangkap lebih banyak
antek-antek Ramnit lagi tanpa mengaktifkan full scan. Namun untuk mendeteksi malware
lain yang bercokol di komputer, Anda tetap perlu menjalankan full scan pada PC.
Setelah full scan selesai, dalam pengetesan yang dilakukan oleh laboratorium
virus Vaksincom, hanya dalam waktu 4 jam sejak infeksi pertama kali Ramnit ini telah
membuat file malware sebanyak 434 buah yang berhasil dicokok G Data (lihat gambar
6).
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Bayangkan berapa jumlah malware yang dalam waktu 1 hari, 1 minggu atau
bahkan 1 bulan. Maka sangat disarankan jika PC sudah terinfeksi virus, sesegera
mungkin bersihkan PC sebelum file virus berpesta dalam PC.
Gambar 6, G Data berhasil mendeteksi dan membasmi 434 antek-antek Ramnit
yang mereplikasi dirinya dalam waktu 4 jam
Langkah tambahan jika Anda memiliki file HTM atau HTML yang terinjeksi
Ramnit dan mengalami kesulitan dalam pembersihannya, bisa menggunakan Chanet
Splitter II yang dikembangkan oleh Yayat, kontributor Vaksincom.
Tools ini berguna jika Anda memiliki banyak file .htm / .html yang jika
dilakukan pembersihan manual akan memakan waktu yang sangat lama dan
melelahkan.
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Masih ada satu langkah lagi untuk mengamankan PC dari serangan virus yang
mengeksploitasi celah keamanan, Anda sangat disarankan untuk melakukan automatic
update pada software yang digunakan.
Dalam kasus Ramnit ini, celah keamanan yang dieksploitasi adalah (MS10-046
KB2286198)
Penutup
Antivirus yang Vaksincom rekomendasikan untuk membasmi virus ramnit yang
menginfeksi system windows computer atau laptop kita ada 2 macam yaitu: G Data
Antivirus, dan PCMAV Express for Ramnit.
Dampak yang ditimbulkan apabila computer atau laptop kita terinfeksi virus
ramnit adalah Local Disk tidak bisa dibuka, dan Disable Task Manager
Referensi
1. http://haccfiles.blogspot.com/2013/07/cara-membasmi-virus-ramnit-dengan-
tuntas.html
2. http://pandu-pnby35.blogspot.com/2013/04/cara-menghapus-virus-ramnit.html
3. http://xbode.blogspot.com/2013/04/cara-menghapus-virus-ramnit-
recycled.html#.UxrTms4m6ho
4. http://hasilbrowsing.blogspot.com/2013/10/menghapus-virus-ramnit.html
Lisensi Dokumen: Copyright © 2008-2014 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Biografi
mahasiswa, lahir di tangerang,20 mei 1990.
Menyelesaikan pendidikan sokolah dasar di SDN Balaraja 1,dan
menyelesaikan pendidikan tingkat smp di SMPN 1 Balaraja, serta
menamatkan pendidikan tingkat SMA di SMAN 1 Jayanti tahun 2011. Saat ini sedang
menempuh pendidikan S1 di STMIK Raharja- Tangerang jurusan teknik informatika,
konsentrasi Software engineering, personal blogsite http://dhianmeidianto.blogspot.com