W32.Ramnit.B virus ကိုmanualသတ်ကြရအောင်

Posted by Unknown on Monday, December 05, 2011
W32.Ramnit.B  virus ကိုmanualသတ်ကြရအောင်
 
ဒီဗိုင်းရပ်စ်ကိုတော့ ကွန်ပျူတာကိုင်တဲ့သူ တော်တော်များများ မြင်ဘူးကြမှာပါ။

ကူးဆက်နည်း
အတော့်ကို ဆိုးဝါးသောင်းကျန်းတဲ့ ဗိုင်းရပ်ပါပဲ။ exe တွေထဲ အကုန်၀င်တယ်၊ htm တွေနဲ့ အကုန်၀င်တယ်။
အဆိုးဆုံးက အင်တာနက်ဆိုင်တွေမှာဆိုbandwidth တွေကို သူကယူသုံးတာမို့ connection ကို တော်တော် လေး နှေးသွားပါတယ်။Ramnit ၀င်ရင် အသိသာဆုံးကတော့ ramnit ရှိနေတဲ့ကွန်ပျူတာမှာ memory stick ထိုးလိုက်တာနဲ့ recycler ဆိုတဲ့ folder နဲ့ copy of shortcut ဖိုင်တွေ ၀င်သွားတာပါပဲ။အဲဒီ recyclerဆိုတဲ့folderထဲမှာဗိုင်းရပ်စ်အကောင်လိုက် အထွေးလိုက်အပြုံလိုက် ၀င်ရောက်နေရာယူလိုက် ပါတယ်။memory stick ကို တခြားစက်အသန့်လေးမှာ ထိုးလိုက်ရင်တော့ ramnit က စက္ကန့်ပိုင်းအတွင်းမှာ ကို ခုန်ကူး၀င်ရောက်သွားပါလိမ့်မယ်။ သူက virus မဟုတ်ဘဲ worm ဖြစ်တာမို့ user က ဘာမှမလုပ်ရဘဲ အလိုလို၀င်သွားမှာပါ။

ဖျက်စီးပုံ 
exe မှန်သမျှကို အကုန်ဖျက်ပစ်တာမို့ တင်ထားတဲ့ software တွေရော၊ သိမ်းထားတဲ့ installer တွေရော အကုန်ပျက်သွား ပါလိမ့်မယ်။ ပြီးတော့ htm ဖိုင်တွေ တစ်ခုမှ ဖွင့်ရတော့မှာမဟုတ်ပါဘူး။ network ချိတ် ထားရင်လည်း network တစ်ခုလုံးကိုစက္ကန့်ပိုင်းအတွင်းမှာ ၀င်ရောက်သွားပါလိမ့်မယ်။ အင်တာနက်ကဖေး တွေမှာဆိုရင် connection နှေးသွားပါလိမ့်မယ်။

ဒီလိုကာကွယ်ရမယ် 
Kaspersky Virus removal tool နဲ့ သတ် နိုင်ပါတယ်။
စမ်းကြည့်ပြီးပါ ပြီ။ သတ်နေတုန်းမှာ task manager ကို ဖွင့်ထားပြီး svchost (user name) နဲ့ run နေတဲ့ services နဲ့ watermark.exe (run နေခဲ့ယင်) end လုပ်ပေးပါ။
အဲ့ဒါမရှိလို့ manual သတ်ချင်ရင်တော့ c:\Program Files အောက်ကmicrosoft folder အောက်က watermark.exe နဲ့ system32 folder အောက်က dmclf.dat ဆိုတဲ့ data file ကို ဖျက်ပစ်ဖို့လိုပါ လိမ့်မယ်။


Malware W32/Ramnit created using the C programming language is compressed using UPX. File malware has characteristics as follows:

     * Measuring 105 kb
     * Type the file "Application '
     * Using the icon "music folder"
     * Extension "exe"

W32/Ramnit When run, it will inject some Windows system files are:
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ Program Files \ Internet Explorer \ Iexplore.exe

If connected to the internet, W32/Ramnit will download some files and folders malware as follows:
C:\Documents and Settings\%user%\Local Settings\Temp\[angka].tmp
C:\Documents and Settings\%user%\Local Settings\Temp\explorer.dat
C:\Documents and Settings\%user%\Local Settings\Temp\winlogon.dat
C:\Documents and Settings\%user%\Local Settings\Temp\[nama_acak].exe
C:\Documents and Settings\%user%\Start Menu\Programs\[nama_acak].exe
C:\Program Files\Intenet Explorer\complete.dat
C:\Program Files\Intenet Explorer\dmlconf.dat
C:\Program Files\win\[angka_acak].exe
C:\Program Files\qwe
C:\WINDOWS\[nama_acak].exe
C:\WINDOWS\System32\[nama_acak].dll
C:\WINDOWS\System32\[nama&angka_acak].dll
C:\WINDOWS\Temp\[angka].tmp
In addition, W32/Ramnit perform following injection of multiple files (if any) are:
C:\contacts.html
C:\Inetpub\wwwroot\index.html
C:\Program Files\Common Files\designer\MSADDNDR.DLL
C:\Program Files\Common Files\designer\MSHTMPGD.DLL
C:\Program Files\Common Files\designer\MSHTMPGR.DLL
C:\Program Files\Common Files\System\ado\MDACReadme.htm
C:\Program Files\Common Files\System\Ole DB\MSDAIPP.DLL
C:\Program Files\MSN\MSNCoreFiles\OOBE\obelog.dll
C:\Program Files\MSN\MSNCoreFiles\OOBE\obemetal.dll
C:\Program Files\MSN\MSNCoreFiles\OOBE\obepopc.dll
C:\Program Files\MSN\MSNIA\custdial.dll
C:\Program Files\MSN\MSNIA\msniasvc.exe
C:\Program Files\MSN\MSNIA\prestp.exe
C:\Program Files\MSN\MsnInstaller\iasvcstb.dll
C:\Program Files\MSN\MsnInstaller\msdbxi.dll
C:\Program Files\MSN\MsnInstaller\msninst.dll
C:\Program Files\MSN\MsnInstaller\msninst.exe
C:\Program Files\MSN\MsnInstaller\msnsign.dll
C:\Program Files\NetMeeting\netmeet.htm
Also on removable disks / drives will create several files:
autorun.inf
Copy of Shortcut to (1).lnk
Copy of Shortcut to (2).lnk
Copy of Shortcut to (3).lnk
Copy of Shortcut to (4).lnk
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak1].exe
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak2].exe
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak3].exe
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak4].exe
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak5].exe
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak6].exe
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak7].exe
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak8].exe
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak9].exe
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak10].exe
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak11].exe
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak1].cpl
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak2].cpl
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak3].cpl
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak4].cpl
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak5].cpl
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak6].cpl
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak7].cpl
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak8].cpl
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak9].cpl
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak10].cpl
RECYCLER/S-3-4-70-7603517533-1567780477-325265274-3130/[namaacak11].cpl
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak1].exe
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak2].exe
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak3].exe
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak4].exe
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak5].exe
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak6].exe
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak7].exe
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak1].cpl
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak2].cpl
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak3].cpl
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak4].cpl
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak5].cpl
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak6].cpl
RECYCLER/S-8-1-53-2203638008-1861115022-526586310-2180/[namaacak7].cpl
And on networks that use mapping drives, trying to inject some files that have the following names:
  • Blank.htm
  • Citrus Punch.htm
  • Clear Day.htm
  • Fiesta.htm
  • Ivy.htm
  • Leaves.htm
  • Maize.htm
  • Nature.htm
  • Network Blitz.htm
  • Pie Charts.htm
  • Sunflower.htm
  • Sweets.htm
  • Technical.htm


Registry Modifications
Some registry modifications made ​​by the worm Stuxnet are as follows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nama_acak] = C:\Documents and Settings\%user%\Local Settings\Temp\[nama_acak].exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_60DFFE60\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_60DFFE60\0000\Control
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\international
Delete registry
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRes tore]
DisableSR = 0x00000001
Edit Registry
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
CurrentLevel =
1601 =

Here are some characteristics and symptoms if the virus infected computer W32/Ramnit (Win32.Siggen.8)


Akan menampilkan aplikasi Internet Explorer yang berisi penawaran atau iklan investasi, game dan program-program promosi (terkadang menampilkan iklan porno) dalam jumlah yang banyak secara terus Internet Explorer will display the application that contains the bidding or advertising investment, games and promotional programs (sometimes displaying porn ads) in large quantities on a continuous menerus selama komputer terkoneksi internet sehingga menghabiskan banyak bandwidth untuk iklan yang ditampilkan dan mengakibatkan akses internet menjadi lambat continuously during internet connected computer so spend a lot of bandwidth for the ads displayed and resulted in a slow Internet access
Icon Removable media (USB Flash) berubah menjadi icon Folder Icon Removable media (USB Flash) turns into the Folder icon
 Users can not access the USB Flash to display the message "Access is denied"

 The message "C ompressed (zipped) Folders" when accessing the Flash disk


 
Appears a lot of files with the file name "C opy of shortcuts to (1). Lnk" s / d "C opy of shortcuts to (4). Lnk" in the USB Flash

One of the unique and makes this virus is very easy and hard to eradicate is that every time a user right-click, right-click menu in addition to showing, indirectly computer users are also running a virus.

Ciri-ciri file induk virus The characteristics of the parent virus file
Sebagai informasi, virus ini akan menyebar menggunakan Removable media (USB Flash) dengan memanfaatkan fitur autorun Windows. For information, this virus will spread using removable media (USB Flash) by using the Windows autorun feature.Agar virus dapat aktif secara otomatis, ia akan membuat file autorun.inf , selain itu ia akan membuat 4 (empat) buah file shortcut dengan nama ” C opy of Shortcut to (1).lnks / d “C opy of Shortcut to (4).lnk”. So the virus can be activated automatically, it will create an autorun.inf file, but that he would make a 4 (four) pieces shortcut file with the name "C opy of shortcuts to (1). Lnk" s / d "C opy of shortcuts to (4). lnk ". Jika user menjalankan salah satu ke 4 file shortcut tadi maka secara otomatis akan menjalankan file virus yang sudah dipersiapkan di direktori [%USB Flash%:\RECYCLER\% nama_ acak%.exe]. If a user runs one of the last four shortcut file will automatically run a virus file that has been prepared in the directory [% USB Flash%: \ RECYCLER \% random% nama_. Exe].

Virus ini juga akan mengin j eksi file yang mempunyai ekstensi EXE, setiap file EXE yang terin j eksi akan mempunyai ukuran 107 KB lebih besar dari ukuran asalnya. This virus will also be a reminder j eksi file that has the extension EXE, EXE file that infested every j eksi will have a size of 107 KB larger than the size of the original. Pada saat menjalankan file EXE yang sudah terin j eksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama _ file _ asal%mgr.exe (contohnya: jika user menjalankan file yang sudah di injeksi dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb, file duplikat ini dideteksi sebagai Trojan.Packed.21232. At the time of running the EXE file that has been infested by j eksi then the virus will create a duplicate file that is stored in the same directory with the format% name% _ file _ mgr.exe origin (for example: if the user runs the file that has been on injection with the name "ATF- Cleaner.exe "will display a duplicate file viruses with the name" ATF-Cleanermgr.exe "with a size of 105 kb, was detected as a duplicate file Trojan.Packed.21232.
At the time the user runs the file, the virus will synchronize to multiple IP addresses that have been prepared to download a file or other viruses to run on the target computer. File yang di download akan mempunya nama file dan ukuran yang berbeda-beda, jadi antara komputer target yang satu dengan yang lain akan mempunyai nama file induk yang berbeda-beda. Files are downloaded to the file name and size possessed different, so the target computer is the one with the other parent will have a file name that is different.

Berikut beberapa contoh file induk Win32.Siggen.8 Here are some examples of the master file Win32.Siggen.8

  • C:\WINDOWS\Temp\dbww\setup.exe C: \ WINDOWS \ Temp \ dbww \ setup.exe

  • C:\Documents and Settings\%user%\Application Data C: \ Documents and Settings \% username% \ Application Data

· ·          %xx%.exe, dimana %xx% adalah acak % Xx%. Exe, where the% xx% is random

  • C:\Documents and Settings\%user%\Local Settings\Temp\%xx%.exe dan %yy%.dll C: \ Documents and Settings \% username% \ Local Settings \ Temp \% xx%. Exe and the% yy%. Etc.

Catatan: %xx% dan %yy% ini berbeda-beda, contohnya : Nh0.exe, Nh1.exe, Nh2.exe, Nhz.exe dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda Note:% xx% and yy%% This is different, for example: Nh0.exe, Nh1.exe, Nh2.exe, Nhz.exe by using the icon "Adobe Player Setup" with different sizes
  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup C: \ Documents and Settings \% username% \ Start Menu \ Programs \ Startup
· ·          %xx%.exe, dimana %xx% adalah acak (terdeteksi sebagai Trojan.Packed.21232) % Xx%. Exe, where the% xx% is random (detected as Trojan.Packed.21232)

  • C:\WINDOWS\Nzazab.exe, Nzazaa.exe, Explorermgr.exe C: \ WINDOWS \ Nzazab.exe, Nzazaa.exe, Explorermgr.exe

Catatan: %xx% ini berbeda-beda, contohnya : [Nzazaa.exe dan Nzazab.exe] dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (dikenali sebagai Win32.Siggen.8) dan file [Explorermgr.exe] yang merupakan duplikasi file [Explorer.exe] dengan ukuran 105 KB, file ini akan mempunyai icon folder (Trojan.packed.21232) Note:% xx% varies, for example: [Nzazaa.exe and Nzazab.exe] by using the icon "Adobe Player Setup" with different sizes (recognizable as Win32.Siggen.8) and file [Explorermgr.exe ] which is a duplicate file [Explorer.exe] with a size of 105 KB, this file will have a folder icon (Trojan.packed.21232)
  • C:\Windows\task\%acak%.job C: \ Windows \ tasks \% random%. Job

Berupa 3 (tiga) buah file yang digunakan untuk menjalankan file virus yang sudah dipersiapkan sesuai dengan waktu yang telah ditentukan The form of 3 (three) files used to run a virus file that has been prepared in accordance with a predetermined time
  • C:\Windows\System32\ms.dll (Trojan.Starter.1602) C: \ Windows \ System32 \ ms.dll (Trojan.Starter.1602)
  • C:\Windows\System32\dll (Trojan.Hottrend.34) C: \ Windows \ System32 \ etc (Trojan.Hottrend.34)
  • C:\Windows\System32\sshnas21.dll (Trojan.Packed.21232) C: \ Windows \ System32 \ sshnas21.dll (Trojan.Packed.21232)
  • C:\Windows\System32\Cheuehyld.dll Trojan.Packed.21232 C: \ Windows \ System32 \ Cheuehyld.dll Trojan.Packed.21232

Setelah ia berhasil menginfeksi komputer, langkah selanjutnya adalah mengifeksi file [C:\Windows\Explorer.exe dan C:\Windows\System32\Winlogon]. After he managed to infect a computer, the next step is mengifeksi file [C: \ Windows \ Explorer.exe and C: \ Windows \ System32 \ Winlogon]. Pada saat user menjalankan file [Explorer.exe] maka ia akan membuat file duplikasi yang akan di simpan di direktori sama dengan nama [Explorermgr.exe] dengan ukuran 105 KB. At the time the user runs the file [Explorer.exe] then he will make a duplicate file that will be stored in the same directory with the name [Explorermgr.exe] with a size of 105 KB. File [Explorermgr.exe] inilah yang nantinya dijadikan sebagai senjata agar dirinya dapat aktif secara otomatis setiap kali user melakukan klik kanan pada file/folder/drive, pada saat melakukan double click USB Flash atau pada saat user menjalankan file [Explorer.exe] . Setelah berhasil menjalankan aksinya, ia akan memanggil file induk lainnya yang ditugaskan untuk aktif di memori, untuk mengelabui user ia kemudian akan memanggil aplikasi [C:\Program files\Internet Explorer\Iexplore.exe] File [Explorermgr.exe] this is what will be used as a weapon so that he can be activated automatically every time a user right click on files / folders / drives, double click on USB Flash or when the user runs the file [Explorer.exe]. After successfully running the action, it will call another master files that are assigned to be active in memory, to trick the user it will then call the application [C: \ Program files \ Internet Explorer \ iexplore.exe]
 


Registr i Windows I Windows Registr
Untuk memastikan agar dirinya dapat aktif secara otomatis pada saat komputer diaktifkan, ia akan membuat dan merubah beberapa registr i berikut: To ensure that he can be activated automatically when the computer is switched on, it will create and change some i registr follows:

  • HKEY_CURRENT_USER\Software\CE8SIIFGSU HKEY_CURRENT_USER \ Software \ CE8SIIFGSU
  • HKEY_CURRENT_USER\Software\Microsoft\Handle HKEY_CURRENT_USER \ Software \ Microsoft \ Handle
  • HKEY_CURRENT_USER\Software\NtWqIVLZEWZU\%acak% HKEY_CURRENT_USER \ Software \ NtWqIVLZEWZU \% random%
  • HKEY_CURRENT_USER\Software\XML HKEY_CURRENT_USER \ Software \ XML
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SSHNAS
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
    • CE8SIIFGSU = C:\DOCUME~1\%user%\LOCALS~1\Temp\Nh1.exe CE8SIIFGSU = C: \ DOCUME ~ 1 \% username% \ locals ~ 1 \ Temp \ Nh1.exe
    • Microsoft Driver Setup = C:\Windows\ggdrive32.exe Microsoft Driver Setup = C: \ Windows \ ggdrive32.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\□ HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ \ □

Menampilkan website Displays website
Komputer yang sudah terinfeksi virus akan selalu melakukan koneksi internet dan memanggil website secara terus menerus dengan isi yang berbeda-beda, koneksi yang dilakukan secara terus menerus ini mengakibatkan komputer menjadi lambat pada saat digunakan. Dalam beberapa kasus virus ini juga menyebabkan “Virtual Memory Minimum Too Low” Computers that are infected with the virus will always connect to the Internet and call the website continuously with different content, connections are performed continuously has led the computer becomes slow when used. In some cases the virus can also cause the "Virtual Memory Minimum Too Low "
 
In j eksi file EXE, DLL dan HTM/HTML In j eksi EXE files, DLLs and HTM / HTML
Aksi lain yang akan dilakukan oleh virus ini adalah mengin j eksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program aplikasi maupun file system Windows. Other actions to be performed by this virus is a reminder j eksi file that has the extension EXE, DLL and HTM / HTML file either an application program or Windows file system. Setiap file yang terin j eksi akan bertambah ukurannya sekitar 107-109 KB. Each file is infested by j eksi will increase in size of about 107-109 KB.

Pada saat menjalankan file EXE yang sudah terin j eksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama file asal%mgr.exe (contohnya: jika user menjalankan file dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb. At the time of running the EXE file that has been infested by j eksi then the virus will create a duplicate file that is stored in the same directory with the filename format% origin% mgr.exe (example: if a user starts a file named "ATF-Cleaner.exe" then it will duplicate file viruses appeared under the name "ATF-Cleanermgr.exe" with size 105 kb.

Setiap file yang terinfeksi dikenali sebagai Win32.Siggen.8 sedangkan file dupikasi yang dihasilkan dari file yang terinfeksi jika file tersebut dijalankan dikenali sebagai Trojan.Packed.21232 Any infected files identified as Win32.Siggen.8 while dupikasi file generated from the infected file if the file is executed recognizable as Trojan.Packed.21232

Blok akses Removable Media (USB Flash) Block access to Removable Media (USB Flash)
Selain itu, ia juga akan blok akses Removable Media (USB Flash). In addition, he will also block access to Removable Media (USB Flash). Tetapi anda tidak perlu khawatir karena virus ini akan blok akses USB Flash jika user mengakses dengan cara [Klik kanan USB Flash | klik Open atau Explorer] atau Double click USB Flash. But you do not need to worry because this virus will block access if the user accesses a USB Flash by [Right-click USB Flash | click Open or Explorer] or Double click the USB Flash.



Ia juga akan menampilkan pesan error berikut saat user berhasil mengakses USB Flash He also will display the following error message when the user successfully access the USB Flash
 


Virus ini juga akan menampilkan pesan error saat user mengakses kolom ”Extended” pada aplikasi [Services.msc] This virus will also display error messages when users access the "Extended" in the application [Services.msc]



Media penyebaran Media deployment
Untuk menyebarkan dirinya, ia akan menggunakan USB Flash dengan memanfaatkan fitur autorun Windows dengan membuat beberapa file berikut: To spread itself, it will use a USB Flash by using the Windows autorun feature to create multiple files:
  • Autorun.inf Autorun.inf
  • 4 (empat) buah file shortcut (copy of Shortcut to (1).lnk sd copy of Shortcut to (4).lnk) 4 (four) pieces shortcut file (copy of Shortcut to (1). Lnk sd copy of Shortcut to (4). Lnk)
  • RECYCLER\%XX% RECYCLER \% XX%
    • %xx%.exe dengan ukuran 105 KB % Xx%. Exe with a size of 105 KB
    • %xx%.cpl dengan ukuran 4 KB % Xx%. Cpl with a size of 4 KB

Catatan: %xx% adalah folder/file dengan nama acak Note:% xx% is the folder / file with random names



Jika user menjalankan salah satu file shortcut maka secara otomatis akan menjalankan file virus yang berada di direktori [RECYCLER\%XX% ] If a user runs one of the shortcut file will automatically run a virus file in the directory [RECYCLER \% XX%]

File autorun.inf sendiri berisi script yang akan dijalankan secara otomatis pada saat user akses USB Flash tersebut, script ini berisi perintah untuk menjalankan file yang berada di direktori [RECYCLER\%XX% ] Autorun.inf file itself contains a script that will run automatically when users access the USB Flash, this script contains commands to execute files that are in the directory [RECYCLER \% XX%]



Cara membersihkan W32/Ramnit (Wiin32.Siggen.8) How to clean W32/Ramnit (Wiin32.Siggen.8)
Seperti yang sudah dijelaskan bahwa virus ini akan mengin j eksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program maupun file system Windows, oleh karena itu sebaiknya pembersihan dilakukan pada mode DOS. As already explained that this virus will be a reminder j eksi file that has the extension EXE, DLL and HTM / HTML file both programs and the Windows file system, therefore, should cleaning be done in DOS mode. Untuk mempermudah pembersihan silahkan gunakan Windows Mini PE Live CD (silahkan search di Internet). To facilitate cleaning please use Windows PE Mini Live CD (please search on the Internet). Kemudian download tools Dr.Web CureIt! Then download the tools Dr.Web CureIt! di alamat berikut dan sebaiknya dilakukan di komputer yang tidak terinfeksi virus. at the following address and should be done on a computer that is not infected with the virus. Agar tools Dr.Web CureIt! In order for tools Dr.Web CureIt! tidak terinfeksi, sebaiknya di ZIP dan di password. not infected, preferably in ZIP and in the password.

Silahkan download Dr.Web CureIt! Please download Dr.Web CureIt! di alamat berikut at the following address
http://www.freedrweb.com/cureit/?lng=en http://www.freedrweb.com/cureit/?lng=en

1. 1.        Agar pembersihan dapat dilakukan ooptimal, sebaiknya scan semua HDD termasuk USB Flash maupun HDD eksternal, hal ini dikarenakan virus ini akaan drop beberapa file di USB Flash atau HDD eksternal. So that cleaning can be done ooptimal, preferably scan all USB Flash or HDD including external HDD, this is because the virus is akaan drop some files on a USB flash or external HDD.

2. 2.        Sebelum melakukan pembersihan sebaiknya blok file duplikat virus dengan menggunakan fitur ”Software Restriction Policies”. Before doing the cleaning should block the virus duplicate files by using the feature "Software Restriction Policies". Fitur ini hanya ada pada system operasi Windows XP Pro, Vista, 7, Server 2003 dan Server 2008 dengan cara sebagai berikut: This feature is only in the operating system Windows XP Pro, Vista, 7, Server 2003 and Server 2008 in the following way:

· ·          Klik menu [Start] Click the [Start]
· ·          Klik [Run] Click [Run]
· ·          Pada dialog box RUN, ketik SECPOL.MSC kemudian klik tombol [OK] In the Run dialog box, type secpol.msc and click the [OK]
· ·          Setelah muncul layar ”Local Security Policy”, klik kanan menu [Software Restriction Policies” dan klik ”Create New Policies” atau ”New Software Restriction Policies” jika menggunakan Windows Vista/7 Once the screen appears "Local Security Policy", right-click menu [Software Restriction Policies "and click" Create New Policies "or" New Software Restriction Policies "if using Windows Vista / 7
· ·          Kemudian klik kanan pada menu ”Additional Rules”, kemudian pilih ”New Hash Rule...” Then right click on the "Additional Rules", then select "New Hash Rule ..."


· ·          Kemudian akan muncul layar ”New Hash Rule”. Then the screen will display "New Hash Rule". Pada kolom ”File Hash”, klik tombol [Browse] dan tentukan salah satu file duplikasi virus yang mempunyai icon ”Folder” dengan ukuran 105 KB (contoh C:\Windows\Explorermgr.exe) kemudian klik tombol [Open]. In the "File Hash", click the [Browse] and specify one of the duplicate file viruses that have the icon "Folder" with a size of 105 KB (example C: \ Windows \ Explorermgr.exe) and click the [Open]. Pada kolom ”Security Level”, pilih [Disallowed]. In the "Security Level", select [Disallowed]. Kemudian klik tombol [OK] Then click the [OK]


3. 3.        Hubungkan USB Flash dan HDD eksternal ke komputer Connect the USB flash and external HDD to a computer




 



Filed in:
Newer Post
Older Post

POPULAR WEB SITE

>> ပြည်တွင်းပြည်ပသတင်းဆိုဒ်များ
  
>> ပါတီနိုင်ငံရေးဆိုဒ်များ

 
 
   
   
   
     
     
>> နည်းပညာနဲ့ဆိုင်သောဆိုဒ်များ
  
>> Mobile ဖုန်းနည်းပညာဆိုဒ်များ

 

 

 

 
 
     

     
>> ကျန်းမာရေးဆိုင်ရာ Website များ
>> ရုပ်ရှင်မင်းသား/မင်းသမီး၊Model ဆိုဒ်များ

 

     

     
         
     
         

Facebook Fan Pages

Copyright 2011 Myanmar Collection News All rights reserved Designed by KOHTUN
ကိုထြန္း ...Myanmar Collection