Mungkin pembaca tidak terlalu mengerti kalau dibilang Stuxnet,
tetapi kalau di bilang Winsta, kemungkinan besar para administrator IT pernah
mendengar tentang hal ini, walaupun tidak sampai mengalami luka bakar tetapi
setidaknya pernah lembur gara-gara virus Winsta ini. Lalu apa hebatnya si
Winsta ini ? Salah satu sebabnya adalah aksinya yang spektakuler
menggelembungkan ukuran dirinya (tidak sampai meleduk :p) sehingga harddisk
sebesar apapun kapasitasnya akan penuh sehingga pengguna komputer kebingungan,
kok harddisknya penuh yah. Dan hebatnya lagi, proses Stuxnet ini menggunakan
file dll sehingga di load sebagai driver yang sah dari Realtek.
Sehingga proses
mendeteksi dan membasmi virus ini menjadi cukup sulit ... lha... harus
menonaktifkan driver. Menurut pantauan Vaksincom, Indonesia termasuk negara
dengan infeksi Winsta terbesar, sehingga para pengguna komputer yang “mendadak”
mendapatkan message “Low Disk Space” janga buru-buru beli harddisk dulu, tetapi
periksa dulu apakah komputer anda terinfeksi virus Winsta atau tidak.
Bagi pengguna komputer, harddisk merupakan media penyimpan yang
sangat penting. Dengan kelebihan-nya pada kecepatan akses dan kapasitas yang
sangat besar, tentunya dia menjadi media utama menjalankan OS dan
menyimpan data digital yang saat ini makin membengkak ukurannya, dari data
penting perusahaan seperti data base pelanggan, data email, desain, foto,
koleksi lagu dan koleksi video.
Sebagai salah satu perangkat komputer yang sangat penting,
harddisk merupakan favorit bagi semua kalangan. Bagi administrator IT, kalangan
multi-media, programmer dan pengguna awam, harddisk yang sangat besar dapat
digunakan sebagai tempat berbagi pakai data/dokumen pekerjaan atau program
aplikasi, juga digunakan sebagai backup pekerjaan dari user itu sendiri
serta media penyimpan utama seperti gambar, foto, video dan musik.
FILE VIRUS
Bagi anda pengguna internet, sebaiknya cukup waspada jika
mengunjungi alamat website yang mengindikasi konten porno atau pengguna yang
mengunduh software crack, karena bisa saja ternyata file tersebut justru
memiliki script trojan “Stuxnet”. Jika anda sudah terlanjur menjalankan file tersebut, maka
“Stuxnet” telah berhasil menginfeksi komputer, dan akan membuat beberapa file
sebagai berikut :
� C:\WINDOWS\system32\winsta.exe
� C:\WINDOWS\system32\drivers\mrxcls.sys
� C:\WINDOWS\system32\drivers\mrxnet.sys
File “winsta.exe” yang dibuat
akan membengkak sebesar sisa ruang harddisk yang ada, sehingga
menyebabkan harddisk menjadi penuh (biasa-nya drive C atau system
dari OS). Sedangkan file mrxcls.sys dan mrxnet.sys merupakan file aktif yang
digunakan untuk menginfeksi komputer dan perangkat lain yang terkoneksi
(seperti USB Flash/removable drive).
Winsta.exe sendiri sebenarnya adalah file asli Windows yang
berguna. WinStation Monitor, yaitu salah satu tools dari Microsoft yang
digunakan pada Windows 2000 untuk melakukan monitoring Terminal Service pada
sesi client. Lokasi file tersebut juga seharusnya berada pada C:\Program Files\Resources\winsta.exe.
GEJALA & EFEK VIRUS
Beberapa gejala dan efek yang terjadi jika anda terinfeksi trojan
“Stuxnet” adalah sebagai berikut :
· Harddisk komputer-komputer di jaringan kompak mendadak penuh
dan mendapatkan peringatan “Low Disk Space”. File winsta.exe yang
bertambah besar menyesuaikan sisa ruang harddisk yang anda miliki (drive C atau
system OS).
· Karena sisa ruang harddisk yang kosong, tentunya akan
menimbulkan notifikasi dari system windows yang menginformasikan bahwa sisa ruang
harddisk anda sudah kosong.
· Karena ruang harddisk yang sudah kosong, maka anda tidak
bisa menyimpan data atau menjalankan program tertentu yang membutuhkan sisa
ruang harddisk / menggunakan cache.
· Komputer akan terasa hang/lambat dan bahkan jika anda
terkoneksi jaringan akan terputus, hal ini dikarenakan “Stuxnet” yang
menginfeksi komputer dan menginjeksi file system. Beberapa file system windows
yang menjadi korban infeksi adalah :
1. Svchost : file
yang berhubungan dengan koneksi jaringan, dengan menginfeksi file ini maka
jaringan akan terputus.
2. Lsass :
membuat komputer hang dan lambat serta restart sendiri, dilakukan dengan
menginfeksi file ini.
3. Spoolsv :
tidak bisa mencetak data lewat printer, hal ini dilakukan dengan menginfeksi
file ini.
METODE PENYEBARAN VIRUS
Trojan “Stuxnet” memanfaatkan dengan baik penggunaan usb atau pun
share jaringan yang full akses. Trojan akan melakukan infeksi komputer secara
otomatis, karena dengan membuat 2 file yang akan ter-eksekusi dengan baik yaitu
:
� ~WTR[angka_acak].tmp
� ~WTR[angka_acak].tmp
MODIFIKASI REGISTRY WINDOWS
Beberapa modifikasi registry yang dilakukan oleh virus “bekol”
antara lain sebagai berikut :
- Menambah
Registry
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET
PEMBERSIHAN VIRUS
Langkah-langkah yang harus dilakukan untuk melakukan pembersihan
virus “bekol” adalah sebagai berikut :
· Bersihkan virus dengan menggunakan removal tools Dr.Web
CureIt. Anda dapat mendownload pada link berikut :
· Perbaiki registri windows yang sudah di modifikasi oleh
virus dengan langkah sebagai berikut :
o [Wordpad].à
[Accessoris] à [All Programs] àSalin script
dibawah ini menggunakan wordpad. Klik menu [Start]
[Version]
Signature="$Chicago
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
ShowSuperHidden,0x00010001,1
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden,0x00010001,1
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
HideFileExt,0x00010001,0
HKLM,
SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1""
%*"
HKLM,
SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1""
%*"
HKLM,
SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1""
%*"
HKLM,
SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1""
%*"
HKLM,
SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe
"%1""
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del
HKLM,
SYSTEM\CurrentControlSet\Services\MRxCls
HKLM,
SYSTEM\CurrentControlSet\Services\MRxNet
HKLM,
SYSTEM\ControlSet001\Services\MRxCls
HKLM,
SYSTEM\ControlSet002\Services\MRxNet
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXClS
HKLM,
SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXNET
HKLM,
SYSTEM\ControlSet001\Services\Enum\Root\LEGACY_MRXClS
HKLM,
SYSTEM\ControlSet002\Services\Enum\Root\LEGACY_MRXNET
Simpan file dengan nama “repair.inf”.
Gunakan pilihan Save as type menjadi Text Document agar tidak
terjadi kesalahan. Klik kanan file “repair.inf” kemudian pilih “Install”. Restart
komputer.
· Bersihkan temporary file, hal ini agar dapat mencegah sisa
trojan yang mencoba aktif kembali. Gunakan tools seperti “ATF Cleaner” atau
gunakan fitur windows yaitu “Disk Clean-Up”.
Solusi Darurat mengatasi Winsta :
Untuk
mencegah agar tidak kembali menginfeksi, anda dapat menggunakan script berikut
:
@echo off
rem rd
c:\windows\system32\winsta.exe
md
c:\windows\system32\winsta.exe
rem rd
c:\windows\system32\drivers\mrxnet.sys
md
c:\windows\system32\drivers\mrxnet.sys
rem rd
c:\windows\system32\drivers\mrxcls.sys
md
c:\windows\system32\drivers\mrxcls.sys
attrib +r +h
+s c:\windows\system32\winsta.exe
attrib +r +h
+s c:\windows\system32\drivers\mrxnet.sys
attrib +r +h
+s c:\windows\system32\drivers\mrxnet.sys
Simpan file dengan nama “winsta.bat”. Gunakan pilihan Save as type menjadi Text Document agar
tidak terjadi kesalahan. Klik 2x
file tersebut. Untuk pembersihan
yang optimal dan mencegah infeksi ulang, scan kembali menggunakan antivirus
yang ter-update dan mengenali virus ini dengan baik.
