04/05: IM25394.JPG-www.myspace.com
Baru dapat kiriman pesan YM berisi "http://bflmages.com/image.php", saat dibuka link tersebut akan mencoba mendownload IM25394.JPG-www.myspace.com , terlihat file tersebut bericon gambar alias jpg, tapi sebenarnya file tersebut adalah file executable alias trojan dengan ekstensi .com .
Trojan IM25394.JPG-www.myspace.com dicompile menggunakan FreeBasic Compiler. Trojan ini berusaha mematikan Windows Update AutoUpdate Service dan Microsoft Malware Protection Service.
Lucunya trojan ini berusaha membuka http://browseusers.myspace.com/Browse/Browse.aspx , promosi myspace ?
Trojan IM25394.JPG-www.myspace.com dicompile menggunakan FreeBasic Compiler. Trojan ini berusaha mematikan Windows Update AutoUpdate Service dan Microsoft Malware Protection Service.
Lucunya trojan ini berusaha membuka http://browseusers.myspace.com/Browse/Browse.aspx , promosi myspace ?
16/02: NewPicture
Anda menerima pesan dari ym seperti :
My parents just got a new dog, but the damn thing looks like the spawn of satan! Don't you think so? http://www2.crazyphotohost.com:88/userfiles/mkds934ka/DSC-NewPicture017.JPEG.zip
Do you think this outfit would look good on me? I know it's not your thing, but I need an honest opinion. http://www2.crazyphotohost.com:88/userfiles/mkds934ka/DSC-NewPicture017.JPEG.zip
Sebaiknya jangan dibuka jika Anda tidak ingin menikmati worm ini.
Sampai saat ini saya upload hanya 6 dari 41 antivirus yang mendeteksi di virustotal.com yaitu :
Avast 4.8.1351.0 2010.02.16 Win32:Wmit-B
DrWeb 5.0.1.12222 2010.02.16 Trojan.DownLoad.35732
GData 19 2010.02.16 Win32:Wmit-B
McAfee-GW-Edition 6.8.5 2010.02.16 Heuristic.BehavesLike.Win32.CodeInjection.I
Prevx 3.0 2010.02.16 Medium Risk Malware
Symantec 20091.2.0.41 2010.02.16 Suspicious.Insight
Hanya 3 dari 6 antivirus yang exact mendeteksi, yang lain hanya heuristic.
My parents just got a new dog, but the damn thing looks like the spawn of satan! Don't you think so? http://www2.crazyphotohost.com:88/userfiles/mkds934ka/DSC-NewPicture017.JPEG.zip
Do you think this outfit would look good on me? I know it's not your thing, but I need an honest opinion. http://www2.crazyphotohost.com:88/userfiles/mkds934ka/DSC-NewPicture017.JPEG.zip
Sebaiknya jangan dibuka jika Anda tidak ingin menikmati worm ini.
Sampai saat ini saya upload hanya 6 dari 41 antivirus yang mendeteksi di virustotal.com yaitu :
Avast 4.8.1351.0 2010.02.16 Win32:Wmit-B
DrWeb 5.0.1.12222 2010.02.16 Trojan.DownLoad.35732
GData 19 2010.02.16 Win32:Wmit-B
McAfee-GW-Edition 6.8.5 2010.02.16 Heuristic.BehavesLike.Win32.CodeInjection.I
Prevx 3.0 2010.02.16 Medium Risk Malware
Symantec 20091.2.0.41 2010.02.16 Suspicious.Insight
Hanya 3 dari 6 antivirus yang exact mendeteksi, yang lain hanya heuristic.
Virus macro merupakan kode yang ditulis dengan menggunakan bahasa macro dari suatu aplikasi. Dengan mengeksploitasi event pada aplikasi tersebut, kode2 virus dapat berjalan pada event tertentu, misalnya saat membuka atau menutup dokumen pada aplikasi tersebut.
Salah satu aplikasi yang mendukung bahasa macro yaitu Microsoft Word dengan dukungan bahasa Visual Basic For Application.
Berikut contoh events pada Word yang sering dieksploitasi :
- AutoExec
Tereksekusi ketika menjalankan Word
- AutoNew
Tereksekusi ketika membuat dokumen baru
- AutoOpen
Tereksekusi ketika membuka dokumen baru
- AutoClose
Tereksekusi ketika menutup dokumen
- AutoExit
Tereksekusi ketika keluar dari Word
Berikut contoh penerapan kode macro pada Word 2007 :
- Buka Word, masuk ke tab View dan menu Macros
- Isi "Macro name" dengan nama AutoExec, artinya kita membuat kode akan dieksekusi saat menjalankan Word
- Klik "Create", maka akan muncul :
Sub AutoExec()
'
' AutoExec Macro
'
'
End Sub
Salah satu aplikasi yang mendukung bahasa macro yaitu Microsoft Word dengan dukungan bahasa Visual Basic For Application.
Berikut contoh events pada Word yang sering dieksploitasi :
- AutoExec
Tereksekusi ketika menjalankan Word
- AutoNew
Tereksekusi ketika membuat dokumen baru
- AutoOpen
Tereksekusi ketika membuka dokumen baru
- AutoClose
Tereksekusi ketika menutup dokumen
- AutoExit
Tereksekusi ketika keluar dari Word
Berikut contoh penerapan kode macro pada Word 2007 :
- Buka Word, masuk ke tab View dan menu Macros
- Isi "Macro name" dengan nama AutoExec, artinya kita membuat kode akan dieksekusi saat menjalankan Word
- Klik "Create", maka akan muncul :
Sub AutoExec()
'
' AutoExec Macro
'
'
End Sub
20/08: Cara Menganalisa Virus
Ada banyak cara atau metode untuk menganalisa suatu program sehingga dapat disebut sebagai virus/malware. Umumnya secara garis besar untuk menganalisa program dibagai dua jenis yaitu :
1. Static Analysis
Dengan static analysis, program yang dianalisa tidak perlu dijalankan. Umumnya cara ini diterapkan dengan memahami source code atau string yang terdapat pada program yang dianalisa, tentunya untuk dapat membaca source code ini bisa menggunakan tool seperti decompiler atau disassembler. Selain itu dengan men-scan program menggunakan antivirus atau sejenis virustotal juga dapat dikatakan sebagai static analysis
2. Dynamic Analysis
Cara dynamic analysis yaitu dengan menjalankan program agar dapat dianalisa. Program yang digunakan untuk dynamic analysis yaitu debugger, monitoring program (file/registry/packet data). Dengan cara ini maka hasil analisa akan jauh lebih akurat dibandingkan static analysis.
1. Static Analysis
Dengan static analysis, program yang dianalisa tidak perlu dijalankan. Umumnya cara ini diterapkan dengan memahami source code atau string yang terdapat pada program yang dianalisa, tentunya untuk dapat membaca source code ini bisa menggunakan tool seperti decompiler atau disassembler. Selain itu dengan men-scan program menggunakan antivirus atau sejenis virustotal juga dapat dikatakan sebagai static analysis
2. Dynamic Analysis
Cara dynamic analysis yaitu dengan menjalankan program agar dapat dianalisa. Program yang digunakan untuk dynamic analysis yaitu debugger, monitoring program (file/registry/packet data). Dengan cara ini maka hasil analisa akan jauh lebih akurat dibandingkan static analysis.
22/07: Tipe Penginfeksian Virus
Virus komputer merupakan program jahat yang menggandakan diri dengan menginfeksi file lainnya. File yang diinfeksi biasanya berupa executable misalnya .exe, .com, .dll. Ada beberapa cara virus menginfeksi file sehingga file tesebut menjadi virus.
Berikut tipe penginfeksian virus :
1. Menimpa file asli.
Virus langsung mengkopi secara keseluruhan kode virus dan mengganti kode asli dari program yang akan diinfeksi. Virus tipe ini mudah untuk dideteksi dan mudah diketahui keberadaannya karena program asli tidak akan berjalan saat diaktifkan.
2. Menginfeksi header
Virus memasukan kode virus diantara PE header dan section pertama, kemudian virus mengubah entry point dari program yang akan diinfeksi sehingga program akan menjalankan kode virus terlebih dahulu. Virus jenis ini berukuran kecil karena menginject kode ke wilayah yang berukuran kecil.
3. Prepending
Virus menaruh PE file program yang akan diinfeksi ke bawah dan di atasnya adalah kode virus. Sehingga saat program dijalankan maka virus akan aktif dan memanggil program asli yang terletak di bawah tubuh virus.
Berikut tipe penginfeksian virus :
1. Menimpa file asli.
Virus langsung mengkopi secara keseluruhan kode virus dan mengganti kode asli dari program yang akan diinfeksi. Virus tipe ini mudah untuk dideteksi dan mudah diketahui keberadaannya karena program asli tidak akan berjalan saat diaktifkan.
2. Menginfeksi header
Virus memasukan kode virus diantara PE header dan section pertama, kemudian virus mengubah entry point dari program yang akan diinfeksi sehingga program akan menjalankan kode virus terlebih dahulu. Virus jenis ini berukuran kecil karena menginject kode ke wilayah yang berukuran kecil.
3. Prepending
Virus menaruh PE file program yang akan diinfeksi ke bawah dan di atasnya adalah kode virus. Sehingga saat program dijalankan maka virus akan aktif dan memanggil program asli yang terletak di bawah tubuh virus.
14/06: Tren Malware
Sebenarnya di Indonesia hal ini belum pernah saya temukan atau mendengar info hal ini. Meskipun banyak virus lokal yang sudah mempunyai teknik2 yang baik agar tidak dapat dibersihkan, misal dengan menggunakan kode antikill atau antidelete tapi belum ada virus lokal yang mencoba berintegrasi dengan sistem operasi.
Integrasi seperti apa? Seperti yang saya tulis di artikel sebelumnya, Windows mempunyai fitur Windows File Protection dimana jika ada file essential Windows yang dihapus maka Windows akan otomatis me-restore file tersebut dari folder %system%\dllcache.
Bagaimana jika konsep ini digunakan oleh malware sehingga jika malware dihapus maka Windows akan merestore malware itu kembali? Tentunya agak menarik juga jika judulnya menjadi "Membuat Windows Melindungi Virus :p"
Integrasi seperti apa? Seperti yang saya tulis di artikel sebelumnya, Windows mempunyai fitur Windows File Protection dimana jika ada file essential Windows yang dihapus maka Windows akan otomatis me-restore file tersebut dari folder %system%\dllcache.
Bagaimana jika konsep ini digunakan oleh malware sehingga jika malware dihapus maka Windows akan merestore malware itu kembali? Tentunya agak menarik juga jika judulnya menjadi "Membuat Windows Melindungi Virus :p"
09/06: Analisis Autorun.inf
File autorun.inf banyak dipakai virus untuk menyebar via removable disk. Oleh karena itu file autorun.inf yang dibuat virus biasanya jika ditemukan oleh antivirus maka antivirus akan mengeluarkan alert.
Disini saya mencoba membuat file autorun.inf yang sederhana yaitu :
Open=SSCVIHOST.exe
Shellexecute=SSCVIHOST.exe
Shell\Open\command=SSCVIHOST.exe
Kemudian saya scan di virustotal.com dan hasilnya 9/39 , maksudnya 9 antivirus mendeteksi sebagai suspicious file.
Antivirus yang mendeteksi :
AVG 8.5.0.339 2009.06.09 Worm/AutoRun.G
F-Secure 8.0.14470.0 2009.06.09 BAT/Autorun.L
McAfee 5641 2009.06.09 Generic!atr
McAfee+Artemis 5641 2009.06.09 Generic!atr
NOD32 4141 2009.06.09 INF/Autorun.gen
Norman 6.01.09 2009.06.09 BAT/Autorun.L
Sophos 4.42.0 2009.06.09 Mal/AutoInf-A
Sunbelt 3.2.1858.2 2009.06.09 INF.Autorun (v)
TrendMicro 8.950.0.1092 2009.06.09 Mal_Otorun2
Percobaan kedua, file autorun.inf tersebut saya kasih komentar / sampah menjadi :
[Autorun]
Open=SSCVIHOST.exe;fdgdfgffdgdfgdfgdfg
;fdgdfgffdgdfgdfgdfg
Shellexecute=SSCVIHOST.exe;fdgdfgffdgdfgdfgdfg
;fdgdfgffdgdfgdfgdfg
Shell\Open\command=SSCVIHOST.exe
;fdgdfgffdgdfgdfgdfg
Hasil scan 3/40
BitDefender 7.2 2009.06.09 Trojan.AutorunINF.Gen
GData 19 2009.06.09 Trojan.AutorunINF.Gen:
Sophos 4.42.0 2009.06.09 Mal/AutoInf-A
Disini saya mencoba membuat file autorun.inf yang sederhana yaitu :
Open=SSCVIHOST.exe
Shellexecute=SSCVIHOST.exe
Shell\Open\command=SSCVIHOST.exe
Kemudian saya scan di virustotal.com dan hasilnya 9/39 , maksudnya 9 antivirus mendeteksi sebagai suspicious file.
Antivirus yang mendeteksi :
AVG 8.5.0.339 2009.06.09 Worm/AutoRun.G
F-Secure 8.0.14470.0 2009.06.09 BAT/Autorun.L
McAfee 5641 2009.06.09 Generic!atr
McAfee+Artemis 5641 2009.06.09 Generic!atr
NOD32 4141 2009.06.09 INF/Autorun.gen
Norman 6.01.09 2009.06.09 BAT/Autorun.L
Sophos 4.42.0 2009.06.09 Mal/AutoInf-A
Sunbelt 3.2.1858.2 2009.06.09 INF.Autorun (v)
TrendMicro 8.950.0.1092 2009.06.09 Mal_Otorun2
Percobaan kedua, file autorun.inf tersebut saya kasih komentar / sampah menjadi :
[Autorun]
Open=SSCVIHOST.exe;fdgdfgffdgdfgdfgdfg
;fdgdfgffdgdfgdfgdfg
Shellexecute=SSCVIHOST.exe;fdgdfgffdgdfgdfgdfg
;fdgdfgffdgdfgdfgdfg
Shell\Open\command=SSCVIHOST.exe
;fdgdfgffdgdfgdfgdfg
Hasil scan 3/40
BitDefender 7.2 2009.06.09 Trojan.AutorunINF.Gen
GData 19 2009.06.09 Trojan.AutorunINF.Gen:
Sophos 4.42.0 2009.06.09 Mal/AutoInf-A
02/06: Membersihkan Virus Sohanad
Kemarin dapat sample virus di flahdisk si anes, salah satunya virus Sohanad
Waktu dijalanin, worm ini mencoba meng-cancel semua schedule job dengan perintah : cmd /C AT delete /yes dan membuat startup melalui schedule baru dengan perintah cmd /C AT 09:00 /interactive EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\blastclnnn.exe
Klo saya lihat worm ini dipacked menggunakan UPX, setelah diunpack terlihat di Exeinfope file terbuat dengan menggunakan bahasa C++, tapi kayaknya sih dengan AutoIt. Ini berarti pembuat worm ini masih kurang konsisten karena membuat scheduled task menggunkan perintah ekstenal (DOS Command) meskipun worm dibuat menggunakan bahasa pemrograman.
Worm ini menyebar via yahoo messenger dewngan mengrim link ke kontak di ym yang berisi link download worm. Caranya dengan mencari handle window dari YM dan mengirim Sendkeys berisi pesan yang dikirim.
Waktu dijalanin, worm ini mencoba meng-cancel semua schedule job dengan perintah : cmd /C AT delete /yes dan membuat startup melalui schedule baru dengan perintah cmd /C AT 09:00 /interactive EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\blastclnnn.exe
Klo saya lihat worm ini dipacked menggunakan UPX, setelah diunpack terlihat di Exeinfope file terbuat dengan menggunakan bahasa C++, tapi kayaknya sih dengan AutoIt. Ini berarti pembuat worm ini masih kurang konsisten karena membuat scheduled task menggunkan perintah ekstenal (DOS Command) meskipun worm dibuat menggunakan bahasa pemrograman.
Worm ini menyebar via yahoo messenger dewngan mengrim link ke kontak di ym yang berisi link download worm. Caranya dengan mencari handle window dari YM dan mengirim Sendkeys berisi pesan yang dikirim.
29/05: Kena Pirus :)
Ini gara2 notebook dipinjam temen jadinya kena virus deh :)
Pas pertama kali diklik virusnya sih banyak proses rundl32.exe, mirip2 nama prosesnya ama rundll32.exe punya windows.
- Langsung aja buka IBProcman, pilih semua proses rundl32.exe trus Kill Processes.
- Kemudian WinPatrol menggonggong klo ada startup baru yang dibuat di [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon dengan key Shell yang berisi Explorer.exe %System%\rundl32.exe. Dengan begini worm ini dapat berjalan di safe mode. Hapus deh path setelah explorer.exe.
Pas pertama kali diklik virusnya sih banyak proses rundl32.exe, mirip2 nama prosesnya ama rundll32.exe punya windows.
- Langsung aja buka IBProcman, pilih semua proses rundl32.exe trus Kill Processes.
- Kemudian WinPatrol menggonggong klo ada startup baru yang dibuat di [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon dengan key Shell yang berisi Explorer.exe %System%\rundl32.exe. Dengan begini worm ini dapat berjalan di safe mode. Hapus deh path setelah explorer.exe.
Sebenarnya udah banyak yang bilang klo crack itu banyak virusnya, mungkin lebih tepat crack itu lebih banyak terdapat trojan. Soalnya dengan trojan, si pembuatnya mungkin dapat mencuri data/ketikan ataupun meremote komputer. Namun ada cracker yang bilang "Don't be silly, that's not virus", mereka beralasan teknik enkripsi atau kompresi pada PE yang digunakan yang menyebabkan banyak antivirus mendeteksi crack menjadi virus. Hal ini karena teknik enkripsi/kompresi tersebut sama seperti yang digunakan virus yang telah terdeteksi antivirus.
Jadi ceritanya saya mau nyari crack PHP Maker v6.10 :) Sekedar iseng aja buat belajar program generator php ini..abis ini dihapus kok cracknya (mode bohong = on). Langsung aja nyari cracknya di google, maklum saya kan jarang buka situs penyedia crack, jadi ga hapal gitu nama situs2nya :D.
Jadi ceritanya saya mau nyari crack PHP Maker v6.10 :) Sekedar iseng aja buat belajar program generator php ini..abis ini dihapus kok cracknya (mode bohong = on). Langsung aja nyari cracknya di google, maklum saya kan jarang buka situs penyedia crack, jadi ga hapal gitu nama situs2nya :D.
