Dulu saya pernah membahas apa itu virus stuxnet dan bagaimana cara mengatasinya. Namun ternyata penyebarannya malware ini semakin merajalela. Sedikit mengingat sebelumnya, bahwa stuxnet mampu menembus keamanan platform berbasis SCADA, dan saat ini Stuxnet dilaporkan juga menyerang komputer berbasis Windows. Stuxnet bisa menyerang ke komputer pribadi berbasis Windows Vista dan Windows 7.
Kalau sudah begitu, sepertinya kita patut mengetahui bagaimana ciri-ciri atau tanda-tanda bagaimana komputer sudah terserang virus yang berbahaya ini. Stuxnet bisa membuat komputer tidak berfungsi secara normal, bahkan malware ini bisa saja mengacak-acak data atau mencuri informasi penting dari komputer kita .Nah, agar tidak menyesal di kemudian hari, kita perlu mengetahui tanda-tanda komputer terinfeksi Stuxnet ini, jadi kita bisa segera melakukan tindakan terbaik jika komputer kita terserang Stuxnet.
Tanda-tanda komputer terinfeksi Stuxnet
Gejala & Efek Virus
- Install driver baru (replace driver lama) Saat Worm Stuxnet sudah menginfeksi, worm akan mencoba menghapus drive dari Realtek atau Jmicron dan menggantinya dengan driver yang baru versi worm Stuxnet. Stuxnet menginstall driver menggunakan 2 file virus yaitu : MRXCLS.SYS dan MRXNET.SYS.
- Mematikan aktivitas Print Share Worm menginjeksi file spoolsv, sehingga aktivitas print (cetak data) menjadi terhenti. Komputer yang terinfeksi tidak akan bisa melakukan print. Sebagai ganti dari aktivitas print tersebut worm membuat 2 file yaitu :
- C:-WINDOWS-system32-winsta.exe (file utama worm Stuxnet)
- C:-WINDOWS-system32-wbem-mof-sysnullevnt.mof - Low Disk Space, ini adalah akibat dari aktivitas print yang dipaksakan, sehingga membuat file winsta akan semakin membegkak dan membuat space hardisk Anamejasi habis. Dan tentunya akanada peringatan Low diskSpace dari Windows.
- Gejala di atas berkaitan juga dengan gejala yang lainya, dengan membengkaknya file Winsta dan menjadikan space harddisk menjadi semakin habis, maka Anda tidak bisa menyimpan data atau menjalankan program tertentu. Karena space hardisk sudah dihabiskan oleh file winsta yag membengkak.
- Membuat komputer hang/lambat dan bahkan koneksi jaringan menjadi terputus. File sistem Windows yang akan menjadi sasaran injeksi worm Stuxnet yaitu :
- C:-WINDOWS-system32-svchost.exe (file sistem yang berhubungan dengan koneksi jaringan, dengan menginjeksi akan membuat jaringan terputus)
- C:-WINDOWS-system32-lsass.exe (file sistem yang berhubungan dengan aktivitas komputer, dengan menginjeksi akan membuat komputer hang/lambat). - Melakukan koneksi ke Remote Server Worm Stuxnet, melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Remote Server yang digunakan yaitu :
- www.premierfutbol.com - www.todaysfutbol.com - Stuxnet juga melakukan hal yang sama seperti Conficker yaitu membuat file Scheduled Task, tujuannya yaitu agar dapat aktif da menginfeksi komputer.
File Worm Stuxnet
Saat worm Stuxnet dijalankan, worm akan melakukan hal-hal berikut ini:
- Menginjeksi beberapa file sistem Windows yaitu :
- C:-WINDOWS-system32-lsass.exe
- C:-WINDOWS-system32-svchost.exe
- C:-WINDOWS-system32-spoolsv.exe - Membuat 2 file driver yaitu :
- C:-WINDOWS-system32-driver-mrxcls.sys
- C:-WINDOWS-system32-driver-mrxnet.sys - Membuat file konfigurasi yaitu :
- C:-WINDOWS-inf-oem6c.pnf
- C:-WINDOWS-inf-oem7a.pnf
- C:-WINDOWS-inf-mdmeric3.pnf
- C:-WINDOWS-inf-mdmcpq3.pnf - Serta 2 file yang lain yaitu:
- C:-WINDOWS-system32-KERNEL32.DLL.ASR.xxx atau SHELL32.DLL.ASR.xxx
- C:-addins-DEFRAG[angka_acak].TMP - Selain itu membuat file schedule task yaitu :
- C:-WINDOWS-Tasks-At1.job - Saat menginfeksi file spoolsv.exe, worm membuat 2 file kembali yaitu :
- C:-WINDOWS-system32-winsta.exe (file inilah yang jika aktif akan semakin mengembang / membengkak ukurannya)
- C:-WINDOWS-system32-wbem-mof-sysnullevnt.mof - Pada removable disk/drive akan membuat beberapa file yaitu :
- Autorun.inf
- Copy of Shortcut.lnk
- Copy of Copy of Shortcut.lnk
- Copy of Copy of Copy of Shortcut.lnk
- Copy of Copy of Copy of Copy of Shortcut.lnk
- ~WTR[angka_acak].tmp
-~WTR[angka_acak].tmp
Modifikasi Registry
Stuxnet juga melakukan modifikasi registry, dan diantaranya adalah sebagai berikut:
- Menambah Registry
HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-MRxCls HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-MrxNet HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Services-MrxNet HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Services-MRxCls HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Enum-Root-LEGACY_MRX HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Enum-Root-LEGACY_MRXNET HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Enum-Root-LEGACY_MRXCLS HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Enum-Root-LEGACY_MRXNET
Metode Penyebaran
Removable drive / disk Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Worm (memanfaatkan celah autoplay) membuat beberapa file agar menginfeksi komputer yaitu :
1. Autorun.inf
2. Copy of Shortcut.lnk
3. Copy of Copy of Shortcut.lnk
4. Copy of Copy of Copy of Shortcut.lnk
5. Copy of Copy of Copy of Copy of Shortcut.lnk
6. ~WTR[angka_acak].tmp
7. ~WTR[angka_acak].tmp
Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK akan langsung dieksekusi pada saat drive tersebut diakses.
Jaringan Metode ini dengan memanfaatkan celah keamanan dari sistem Windows yaitu :
- MS08-067 (Windows Server Service), seperti hal-nya Conficker memanfaatkan celah ini dengan melakukan akses C$ dan ADMIN$
- MS10-061 (Windows Print Spooler), memanfaatkan printer sharing worm menginfeksi pengguna komputer yang mencoba akses ke printer server.
Sumber : Kompas