BERBAGI CERITA : RAMNIT & WATERMARK


Sedikit berbagi pengalaman waktu kegiatan praktek kerja lapangan. Saya diminta pembimbing lapangan untuk membersihkan komputer kantor. Setelah dicek, rupanya terjangkit virus ramnit. Langsung aja download Smadav ketika itu juga. Selesai download dan install, proses scan dimulai. Terdeteksi beberapa virus ramnit dan kawan kawan.

Setelah proses scanning selesai, virus yang terdeteksi dapat dihilangkan/diperbaiki dengan cara memilih tombol button “Repair All” sehingga semua file yang terinfeksi virus ramnit, akan dibersihkan. Dibersihkan dalam arti bisa dihapus, bisa juga diperbaiki (disinfect). Kebetulan virus yang ditemukan tidak hanya ramnit, tetapi juga ada WaterMark.exe. Virus ini muncul dipartisi C:/Program Files.

WaterMark.exe (Trojan) merupakan suatu malware yang dijalankan pada saat proses start-up pada sistem operasi windows. Virus ini cukup berbahaya jika komputer yang terinfeksi virus ini terhubung internet. Karena apabila tidak segera ditangani, virus ini dapat mengunduh malware – malware lainnya secara otomatis dari websites yang sudah diarahkan oleh trojan tersebut melalui media internet. Seperti yang telah disebutkan bahwa virus ini dijalankan pada saat proses start-up windows, sehingga virus tersebut dapat memberikan sebuah intruksi proses. Instruksi tersebut disisipkan pada pada salah satu Registry yang dimiliki oleh Windows sehingga Registry Value menjadi berubah. Registry yang terinfeksi yaitu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Seharusnya Registry Value nya seperti ini:

Userinit    Reg_Sz    C:\WINDOWS\system32\userinit.exe,

Setelah terinfeksi oleh WaterMark.exe, maka berubah menjadi seperti berikut:

Userinit    Reg_Sz    C:\WINDOWS\system32\userinit.exe, C:\Program Files\Microsoft\WaterMark.exe,

Berikut ini adalah screenshot dari registry windows yang terinfeksi oleh virus WaterMark.exe.

Dengan registry ‘userinit’ yang terinfeksi, pada saat komputer dihidupkan, virus ini akan mengeksekusi file WaterMark.exe yang dijalankan sebagai sebuah service host (svchost). Karena virus ini dijalankan sebagai sebuah service, maka file WaterMark.exe tidak dapat dihapus secara langsung selama service masih aktif sehingga service harus dishutdown terlebih dahulu. Untuk menonaktifkan service host WaterMark.exe ini, salah satunya dapat menggunakan tool HijackThis. Setelah service host yang dijalankan oleh virus WaterMark.exe dinon-aktifkan, maka file WaterMark.exe yang berada di C:\Program Files\Microsoft\ dapat dihapus.

Untuk mencegah virus WaterMark.exe menginfeksi kembali, ada metode yang dapat dilakukan yaitu dengan cara membuat Fake WaterMark.exe yang berupa sebuah file atau folder yang diciptakan dengan memberikan nama yang sama (WaterMark.exe). Alasan menggunakan cara ini yaitu dalam sebuah folder pada sistem operasi windows, tidak diperbolehkan  adanya file atau folder dengan nama yang sama.

Salam JFS…!

Explore posts in the same categories: Pengalaman Pribadi

Tags: , , ,

You can comment below, or link to this permanent URL from your own site.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s


%d bloggers like this: