Computer Worm 2 - Secret of Underground Coding

Computer Worm 2 - Secret of Underground Coding Hak Cipta © 2006 pada penulis

Hak Cipta dilindungi Undang-Undang. Dilarang memperbanyak atau memindahkan sebagian atau seluruh isi buku ini dalam bentuk apapun, baik secara elektronis maupun mekanis, termasuk memfotocopy, merekam atau dengan sistem penyimpanan lainnya, tanpa izin tertulis dari Penulis dan Penerbit.

ISBN 979-1090-02-5

Cetakan pertama

: Juli 2006

Publisher Jasakom Web Site http://www.jasakom.com/penerbitan Email [email protected]

Address PO BOX 6179 JKB

Ketentuan pidana pasal 72 UU No. 19 tahun 2002

1. Barang siapa dengan sengaja dan tanpa hak melakukan kegiatan sebagaimana dimaksud dalam pasal 2 ayat (1) atau pasal 49 ayat (1) dan ayat (2) dipidana dengan pidana penjara paling singkat 1 (satu) bulan dan/atau denda paling sedikit Rp. 1.000.000 (satu juta rupiah) atau pidana penjara paling lama 7 (tujuh) tahun dan/ atau denda paling banyak Rp. 5.000.000.000.00 (lima miliar rupiah). 2. Barang siapa dengan sengaja menyiarkan, memamerkan, mengedarkan, atau menjual kepada umum suatu Ciptaan atau barang hasil pelanggaran Hak Cipta atau Hak Terkait sebagaimana dimaksud pada ayat (1), dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau denda paling banyak Rp. 500.000.000,00 (lima ratus juta rupiah)

Computer Worm 2 Secret of Underground Coding

ISI CD PENDUKUNG Buku ini disertai dengan sebuah CD pendukung yang berisi film tutorial sehingga pembaca bukan saja hanya membaca buku tetapi juga bisa melihat langsung teknik pembuatan suatu worm komputer, kemudian kumpulan source code / listing code yang digunakan pada buku dan beberapa program pendukung sebagai berikut:

DEMOWARE VM Ware

55.9 MB

Virtual PC

17.1 MB

DeepFreeze

2.06 MB

ShadowUser

7.80 MB

ASPack

297 KB

UltraEdit

1.69 MB

FREEWARE A Squared HijackFree

497 KB

CXUPX

419 KB

Darmal’s Packer

730 KB

DOS 7.10

765 KB

DropFile Script Generator

21.5 KB

HHD Hex Editor

2.07 MB

Icon Sucker Std

658 KB

KillBox

67,5 KB

Petite

117 KB

Process Explorer

1.24 MB

Registrar Lite

2.28 MB

Resource Hacker

1.32 MB

UPX 1.25

163 KB

UPX Mutanter

38.9 KB

UPX Scrambler

17.5 KB

UPX Windows GUI

199 KB

KATA PENGANTAR

Seiring dengan pesatnya kemajuan teknologi informasi khususnya dibidang teknologi komputer dan jaringan, keamanan menjadi isu yang kerap kali dibahas, mulai dari ancaman langsung para cracker atau hacker jahat hingga ancaman yang dilakukan melalui suatu program yang disebut malcode (malicious code), suatu program atau script apapun yang bersifat merusak atau merugikan dapat dikategorikan sebagai malcode termasuk virus komputer, worm atau trojan horse. Maraknya penyebaran virus, worm atau trojan horse, ternyata semakin memberikan semangat bagi para pembuat worm lokal untuk terus berkarya. Di Indonesia sendiri worm lokal mulai menunjukan aktifitas yang cukup signifikan di awal era millenium, pada tahun 2003 pengguna komputer di Indonesia disibukan oleh sebuah worm lokal yang diperkirakan berhasil menginfeksi ribuan komputer di Indonesia, worm ini kemudian oleh salah satu perusahaan antivirus terkenal diberi nama w32/pesin.worm.gen, bersamaan dengan munculnya varian-varian worm Pesin yang baru, ikut muncul sejumlah worm lokal lainnya seperti diberitakan sebuah situs Indonesia yang konsen terhadap malcode, www.vaksin.com. Bahkan pada saat buku ini ditulis aktifitas worm di Indonesia semakin meningkat, terbukti dari sejumlah forum, penulis menemukan beberapa posting yang menunjukan adanya gejala-gejala penyebaran worm lokal yang baru. Motif yang digunakan semakin beragam, mulai dari hanya sekedar "pamer", sampai dengan pengrusakan dan pencurian data. Media penyebaran pun semakin canggih mulai dari disket, USB flash disk sampai dengan jaringan termasuk internet. Namun satu hal yang pasti, penyebaran worm tersebut telah membawa dampak yang cukup besar bagi para pengguna komputer baik materiil maupun non materiil.

Computer Worm 2 - Secret of Underground Coding

Computer Worm 2 - Secret of Undeground Coding : Uncensored

Jasakom

Computer Worm 2 - Secret of Underground Coding : Uncensored


Melanjutkan buku Computer Worm Seri ke-1 yang banyak mengungkap teknik-teknik rahasia pembuatan worm komputer, maka pada seri ke-2 ini akan diberikan trik-trik untuk memerangi worm tersebut dengan cara membuat suatu program removal (yang biasanya disebut dengan istilah antivirus), program removal ini akan membersihkan file launcher dan file infector dengan beberapa metode sekaligus yang umumnya digunakan oleh antivirus-antivirus profesional, juga disertakan teknik menggunakan definition file untuk menampung data signature suatu program removal. Agar pembaca lebih yakin dan pasti adanya perbedaan worm komputer dan virus komputer, buku ini juga memuat teknik pembuatan virus komputer untuk dibandingkan. Dalam kesempatan ini, penulis mengucapkan terima kasih kepada kedua orang tua penulis, seluruh dosen POLNES (Politeknik Negeri Samarinda) khususnya untuk Bapak Ruslan Ardi dan Bapak Arkas Viddy, kemudian salam penulis untuk alumni SMK Negeri 1 Tarakan angkatan 95 – 98, dan alumni POLNES angkatan 98 – 2001, salam juga untuk teman-teman di AMIK PPKIA Tarakan. Tidak lupa pula penulis mengucapkan terima kasih kepada penerbit Jasakom yang berkenan menerbitkan buku ini, special thank’s buat S’to yang sudah banyak membantu dalam proses pembentukan buku.

"Dengan mengetahui, mengerti dan menguasai teknik pembuatan suatu virus, worm atau malcode lainnya, sesungguhnya sudah tidak dibutuhkan tutorial lain untuk memeranginya."

vi

Jasakom


KATA PENGANTAR

v

BAB 1 LAUNCHER FILE REMOVAL

1

1.1 WSAR.1 REMOVAL

12

1.1.1 ALGORITMA

12

1.1.2 PEMROGRAMAN

12

1.2 WSAR.2 REMOVAL

17

1.2.1 ALGORITMA

17

1.2.2 PEMROGRAMAN

18

1.3 WSAR.3 REMOVAL

21

1.3.1 ALGORITMA

21

1.3.2 PEMROGRAMAN

22

1.4 WSAR.4 REMOVAL

25

1.4.1 ALGORITMA

25

1.4.2 PEMROGRAMAN

25

1.5 WSAR.5 REMOVAL

29

1.5.1 ALGORITMA

29

1.5.2 PEMROGRAMAN

30

1.6 WSAR.6 REMOVAL

34

1.6.1 ALGORITMA

34

1.6.2 PEMROGRAMAN

35

1.7 WSAR.7 REMOVAL

39

1.7.1 ALGORITMA

39

1.7.2 PEMROGRAMAN

39

1.8 WSAR.8 REMOVAL


Daftar Isi

44

1.8.1 ALGORITMA

44

1.8.2 PEMROGRAMAN

44

vii

Jasakom



1.9 WSAR.9 REMOVAL

49

1.9.2 PEMROGRAMAN

49

BAB 2 INFECTOR FILE REMOVAL

57

2.1 FILE NAME SCANNING

65

2.1.1 ALGORITMA

65

2.1.2 PEMROGRAMAN

65

2.1.3 SIGNATURE

72

2.2 STRING SCANNING

73

2.2.1 ALGORITMA

73

2.2.2 PEMROGRAMAN

73

2.2.3 SIGNATURE

78

2.3 CRC SCANNING

89

2.3.1 ALGORITMA

89

2.3.2 PEMROGRAMAN

89

2.3.3 SIGNATURE

95

BAB 3 DEFINITION FILE

103

3.1 ALGORITMA

106

3.2 PEMROGRAMAN

106

3.2.1 FORM1

112

3.2.2 FORM2

116

3.2.3 FORM3

128

BAB 4 PEMROGRAMAN VIRUS

viii

49

1.9.1 ALGORITMA

143

4.1 MEMBUAT VIRUS

144

4.1.1 ALGORITMA

144

4.1.2 PEMROGRAMAN

144

4.2 MEMBUAT ANTI VIRUS

149

Jasakom

4.2.1 ALGORITMA

149

4.2.2 PEMROGRAMAN

150

BAB 5 KOMPRESI DENGAN UPX

163

5.1 PERINTAH BARIS

165

5.2 VERSI GUI

167

5.3 PROTEKSI

169

BAB 6 WORM HUNTER TRAINER

171

6.1 KEBUTUHAN SISTEM

172

6.2 INSTALASI

173

6.3 OPERASI DASAR WHT

176

6.3.1 MEMBUAT DISK INFECTOR

177

6.3.2 MEMBERIKAN IJIN PENGINFEKSIAN

178

6.3.3 MENYIMPAN FILE WORM SAMPLER

179

6.3.4 MENGEKSEKUSI WORM SAMPLER

179

6.3.5 MELUMPUHKAN WORM SAMPLER

179

6.3.6 MEMBERSIHKAN SISTEM

180

6.4 SECRET SAMPLER

180

6.5 DEINSTALASI

181

BAB 7 PENUTUP

183

LAMPIRAN

185

REFERENSI

194

ix



Jasakom


Bab 1. Laucher File Removal

BAB 1 LAUNCHER FILE REMOVAL

Kenapa bab ini ada?

Selesai dengan pemrograman worm, maka selanjutnya penulis akan memberikan trik untuk memusnahkan worm-worm tersebut. Untuk membuat suatu program removal sedikitnya kita harus membuat dua rutin utama yaitu rutin untuk mematahkan serangan file launcher, dan rutin untuk membasmi file infector. Bab ini akan menjelaskan trik untuk memberantas file launcher dari WSar.1 hingga WSar.9, namun jika Anda sudah cukup memahami isi dari buku pertama, penulis kira seharusnya Anda sudah tidak akan terlalu mengalami kesulitan untuk membuat suatu program removal dari worm yang Anda buat sendiri. Siapa tau, Anda bahkan bisa mendirikan perusahaan Antivirus dan Antiworm lokal sendiri bukan ?

Jasakom



S

eiring dengan pesatnya perkembangan worm lokal di Indonesia, beberapa programmer yang umumnya adalah mahasiswa ikut berpartisipasi memberantas perkembangan worm tersebut dengan mengembangkan berbagai program removal. Walaupun programmer-programmer ini kebanyakan bekerja secara sendiri-sendiri tetapi program removal yang dihasilkan cukup baik untuk memberantas worm lokal tersebut. Selain itu banyak sekali program removal profesional yang beredar, yang biasanya kita sebut dengan istilah antivirus. Program removal profesional ini walaupun disebut sebagai antivirus tetapi umumnya adalah program removal untuk beberapa jenis malcode sekaligus, tidak hanya virus tetapi juga worm, trojan horse, spyware dan malicious tool lainnya. Program antivirus tersebut antara lain: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

aVast! AntiVirus AVG Anti-Virus BitDefender Antivirus F-Secure Anti-Virus McAfee VirusScan (terbundel dengan aplikasi McAfee Internet Security) Norman Virus Control Norton AntiVirus Panda Antivirus Symantec AntiVirus Trend Micro PC Cillin (terbundel dengan aplikasi Trend Micro Internet Security).

Program removal adalah suatu program yang dirancang untuk membersihkan suatu malcode tertentu dan umumnya juga mengembalikan perubahan yang disebabkan oleh malcode tersebut. Untuk mengetahui ada tidaknya worm komputer pada suatu system komputer adalah dengan menginstal program antivirus dan melakukan full scanning, namun untuk mengetahui keberadaan worm yang belum terdeteksi oleh program antivirus, maka cara yang termudah adalah mengamati gejala abnormal yang muncul saat mengoperasikan komputer.

Jasakom


1. System komputer menjadi lambat, karena tingkat penggunaan processor dan memory yang besar. Biasanya system akan menampilkan sebuah kotak pesan "Not Enough Memory" atau "Low Memory", bahkan system bisa secara tiba-tiba crash/hang 2. Disk drive terakses secara berkala dalam waktu yang singkat, tanpa adanya instruksi oleh user 3. Konfigurasi berubah tanpa sepengetahuan user, seperti konfigurasi wallpaper, icon, format huruf, waktu, nama user dan konfigurasi lainnya 4. Pengaksesan ke aplikasi tertentu tidak bisa dilakukan, seperti aplikasi Registry Editor, System Configuration Utility, Windows Task Manager, Display Properties dan lainnya 5. Kapasitas disket, harddisk atau media penyimpanan lainnya tibatiba bertambah atau berkurang tanpa sebab yang jelas. Hal ini biasanya selalu digunakan worm untuk membuat salinan dirinya ke disket. Anda cukup memasukan sebuah disket ke disk drive dan perhatikan perubahan kapasitas disket serta jumlah file yang ada 6. Prilaku yang tidak lazim pada system komputer, seperti hilangnya pointer mouse, hilangnya tombol Startmenu, restart dengan sendirinya, atau memunculkan teks/gambar/suara aneh lainnya 7. System tiba-tiba mengeksekusi program tertentu, seperti aplikasi internet browser, aplikasi e-mail atau bahkan program uninstall untuk aplikasi tertentu 8. File tiba-tiba rusak atau hilang, seperti file dokumen Microsoft Word, file dokumen Microsoft Excel, file program Registry Editor dan lain-lain 9. Sistem operasi tidak dapat dioperasikan. Hal ini biasanya disebabkan karena terhapusnya sebagian file system, konfigurasi system yang salah, atau saat sistem operasi startup worm kemudian mematikan kembali sistem operasi tersebut. Tahap pembersihan file launcher adalah tahap pembersihan yang dilakukan terhadap file utama worm serta file pembantu lain yang berada pada system dan memory komputer. Pembersihan terhadap file launcher ini harus dilakukan pertama kali, terlebih untuk file launcher yang sedang terproses, karena file ini umumnya menjaga agar worm tetap eksis pada suatu system komputer.

Jasakom


Gejala-gejala abnormal antara lain:



Untuk mengetahui letak file launcher ini, cara yang paling mudah dilakukan adalah memeriksa metode launcher yang umumnya digunakan worm agar tereksekusi setiap Windows startup, adapun metode launcher tersebut antara lain: 1. Konfigurasi Registry. Saat Windows startup system akan mengeksekusi setiap program yang terdaftar pada key Run, RunOnce, RunOnceEx, RunServices dan RunServicesOnce. Key registry ini terdapat pada hive HKCU (hive key current user) dan HKLM (hive key local machine). Metode launcher ini paling banyak digunakan oleh worm lokal, sebagai contoh worm dasar yang menggunakan metode ini adalah WSar.2, WSar.5, WSar.7, WSar.8 dan WSar.9. Selain itu ada juga yang memanfaatkan ekstensi file tertentu (Shell Spawning) sebagai metode launcher, contohnya adalah WSar.6, metode ini juga memanfaatkan konfigurasi registry 2. Konfigurasi file startup. Saat Windows startup system juga akan mengeksekusi file tertentu yang ada pada konfigurasi file seperti autoexec.bat, win.ini, system.ini dan wininit.ini, contohnya dapat Anda temukan pada WSar.3 3. Direktori StartUp. Lokasi default direktori StartUp berbeda-beda pada sistem operasi Windows, tetapi Anda bisa mendapatkan lokasi default direktori tersebut pada data registry: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, dengan value "Startup", contohnya dapat Anda temukan pada WSar.1 dan WSar.4 4. Pemanfaatan aplikasi lain. Umumnya worm memanfaatkan aplikasi terjadwal seperti ScreenSaver dan Scheduled Task yang dapat menjalankan file program, metode launcher ini paling sedikit digunakan oleh worm writer. Untuk memeriksa setiap metode launcher tersebut Anda bisa secara manual membuka aplikasi Registry Editor, file startup, direktori StartUp dan aplikasi schedule, namun untuk lebih memudahkan dalam pemeriksaan, Anda bisa menggunakan aplikasi A Squared HijackFree yang cukup lengkap dalam mengumpulkan metode launcher ini.

Jasakom



Selain itu software A Squared HijackFree ini juga mampu menampilkan aplikasi yang sedang terproses.

Tampilan aplikasi A Squared HijackFree setelah berhasil dieksekusi:

Setelah mengetahui letak dari file launcher worm, tugas selanjutnya adalah menghentikan proses dari file launcher tersebut jika terproses. Untuk versi sistem operasi Windows 2000 atau versi yang lebih tinggi, hal ini dapat kita lakukan dengan mengeksekusi aplikasi Windows Task Manager dengan langkah-langkah sebagai berikut: 1. Tekan kombinasi tombol Ctrl + Alt + Delete, atau kombinasi tombol Ctrl + Shift + Esc, atau klik kanan pada taskbar kemudian pilih opsi Task Manager.

Jasakom



2. Klik Tab Processes, pastikan CheckBox Show processes from all users terseleksi dengan memberinya tanda checklist 3. Klik kanan pada nama proses worm, kemudian pilih End Processes Tree. Worm yang cerdik tidak akan membiarkan Anda mengakses aplikasi ini dengan mudah, untuk itu Anda dapat menggunakan aplikasi lain seperti aplikasi Process Explorer yang memiliki kesamaan fungsi.

Tampilan aplikasi Process Explorer setelah berhasil dieksekusi

Demikian pula dengan aplikasi Registry Editor, kebanyakan worm lokal memblokir aplikasi ini dengan memanipulasi suatu nilai registry yang tidak mengijinkan user menggunakan fasilitas ini, atau worm memblokir aplikasi tersebut dengan cara langsung menutup aplikasi atau men-disable jendela aplikasi tersebut. Untuk itu Anda dapat menggunakan aplikasi pengganti lain seperti aplikasi Registrar Lite yang tidak akan terpengaruh dengan manipulasi registry sehubungan dengan usaha pemblokiran tersebut.

Jasakom



Tampilan aplikasi Registrar Lite setelah berhasil dieksekusi

Langkah terakhir adalah menghapus file launcher tersebut dan menghapus konfigurasi worm sehubungan dengan metode launcher yang digunakan, baik pada konfigurasi registry, file startup atau yang lainnya. Selanjutnya akan diberikan contoh pembersihan file launcher untuk Worm Dasar yang telah diotomasikan menjadi suatu program removal, namun sebelumnya berikut ini adalah project default WSar Removal yang akan digunakan untuk setiap contoh program removal: Buat sebuah project baru pada aplikasi Visual Basic. Atur Project Name menjadi 'SimpleWormRemover’, dan Application Title menjadi 'Simple Worm Remover’, Tambahkan 3 buah object Label, 1 buah object CheckBox, 2 buah object CommandButton dan 1 buah object Timer, kemudian atur properti untuk masing-masing object tersebut sebagai berikut:

Jasakom


Properti object Form1 Bab 1. Laucher File Removal

Jenis

Nilai

Keterangan

Name

FrmRemoval

Mengatur nama form dari menjadi FrmRemoval

BackColor

&H00E0E0E0&

Mengatur warna latar belakang menjadi abu-abu muda

BorderStyle

Fixed Single

Mengatur jenis border form menjadi tetap (fixed)

Caption

Simple Worm Remover

Mengatur titel yang akan ditampilkan pada form

Height

2040

Mengatur tinggi form

Icon

(Icon)

Pilih icon yang akan digunakan pada form, FrmRemoval menggunakan icon sun.ico

MaxButton

False

Tidak menampilkan tombol maximize

MinButton

False

Tidak menampilkan tombol minimize

StartUpPosition 2 - Center Screen

Menempatkan jendela form ditengah layar pada saat load

Width

Mengatur lebar form

6105

Properti object Label1 Jenis

Nilai

Keterangan

Name

lblTitle1

Mengatur nama Label menjadi lblTitle1

Allignment

2 - Center

Mengatur jenis perataan menjadi rata tengah

BackStyle

Transparent

Mengatur jenis latar belakang menjadi transparan

Caption

WSar Launcher Removal

Mengatur caption Label1 menjadi WSar Launcher Removal

Jasakom

Font

Font: MS San Serif Font Style: Bold Size: 24

Mengatur jenis huruf MS San Serif, model huruf tebal dan ukuran huruf 24

ForeColor

&H00808080&

Mengatur warna huruf menjadi abu-abu

Height

615

Mengatur tinggi Label

Left

150

Mengatur jarak Label dari kiri

Top

150

Mengatur jarak Label dari atas

Width

5800

Mengatur lebar Label

Properti object Label2 Jenis

Nilai

Keterangan

Name

lblTitle2

Mengatur nama Label menjadi lblTitle2

Allignment

2 - Center

Mengatur jenis perataan menjadi rata tengah

BackStyle

Transparent

Mengatur jenis latar belakang menjadi transparan

Caption

WSar Launcher Removal

Mengatur caption Label menjadi WSar Launcher Removal

Font

Font: MS San Serif Font Style: Bold Size: 24

Mengatur jenis huruf MS San Serif, model huruf tebal dan ukuran huruf 24

ForeColor

&H00FFFFFF&

Mengatur warna huruf menjadi putih

Height

615


Left

120


Top

120


Width

5800


Jasakom




Properti object Label3 Bab 1. Laucher File Removal

Jenis

Nilai

Keterangan

Name

lblStatus

Mengatur nama Label menjadi lblStatus

BackColor

&H00000000&

Mengatur warna latar belakang menjadi hitam

Caption

Kosongkan caption dengan menghapus caption default Label3

ForeColor

&H0000FFFF&

Mengatur warna huruf menjadi kuning

Height

275


Left

120


Top

720


Width

5775


Properti object Check1 Jenis

Nilai

Keterangan

Name

chkShield

Mengatur nama CheckBox menjadi chkShield

BackColor

&H00E0E0E0&

Mengatur warna latar belakang menjadi abu-abu muda

Caption

Shield

Mengatur caption CheckBox menjadi Shield

Height

495

Mengatur tinggi CheckBox

Left

120

Mengatur jarak CheckBox dari kiri

Top

1080

Mengatur jarak CheckBox dari atas

Width

1695

Mengatur lebar CheckBox

Properti object Command1 Jenis

Nilai

Keterangan

Name

cmdProcess

Mengatur nama Command Button menjadi cmdProcess

Caption

Process

Mengatur caption menjadi Process

10

Jasakom

Height

375

Mengatur tinggi Command Button

Left

4920

Mengatur jarak Command Button dari kiri

Top

1080

Mengatur jarak Command Button dari atas

Width

975

Mengatur lebar Command Button

Properti object Command2 Jenis

Nilai

Keterangan

Name

cmdTray

Mengatur nama Command Button menjadi cmdTray

Caption

Tray

Mengatur caption Command Button menjadi Tray

Height

375

Mengatur tinggi Command Button

Left

3945

Mengatur jarak Command Button dari kiri

Top

1080

Mengatur jarak Command Button dari atas

Width

975

Mengatur lebar Command Button

Properti object Timer1 Jenis

Nilai

Keterangan

Name

tmrShield

Mengatur nama Timer menjadi tmrShield

Enable

False

Pastikan Timer tidak aktif saat form di-load

Interval

500

Setiap instruksi pada procedure Timer akan dieksekusi setiap 0.5 detik

Berikut ini adalah tampilan default WSar Removal saat form di-load:

11

Jasakom




1.1 WSAR.1 REMOVAL Bab 1. Laucher File Removal

Program removal ini berfungsi untuk membersihkan file launcher WSar.1 dari system komputer.

1.1.1 ALGORITMA 1. Melakukan pemeriksaan terhadap eksistensi WSar.1 pada direktori StartUp dengan nama file 'System File.exe’ 2. Jika file launcher WSar.1 ditemukan, maka akan menghentikan proses file launcher kemudian menghapus file tersebut 3. Program removal mampu melakukan pemeriksaan secara berkesinambungan dan menampilkan icon pada system tray.

1.1.2 PEMROGRAMAN Tambahkan 2 buah Module kemudian atur properti untuk masingmasing module sebagai berikut: Properti Module1 Jenis Name

Nilai

Keterangan

mdlWinExit

Mengatur nama module menjadi mdlWinExit

Properti Module2 Jenis Name

Nilai mdlTray

Keterangan Mengatur nama module menjadi mdlTray

Untuk module mdlWinExit Anda bisa menggunakan module yang sama pada WSar.6, untuk module mdlTray silahkan Anda ketik kode program berikut ini:

12

Jasakom


Option Explicit On

Const Const Const Const Const Const Const Const Const Const Const Const Const


Declare Function SendMessage Lib "user32" Alias _ "SendMessageA" (ByVal hwnd As Long, ByVal wMsg As Long, _ ByVal wParam As Long, ByVal lParam As Any) As Long Const LB_SETHORIZONTALEXTENT = &H194 Type NOTIFYICONDATA cbSize As Long hwnd As Long UID As Long uFlags As Long uCallBackmessage As Long hIcon As Long szTip As String * 64 End Type NIM_ADD = &H0 NIM_MODIFY = &H1 NIM_DELETE = &H2 WM_MOUSEMOVE = &H200 NIF_MESSAGE = &H1 NIF_ICON = &H2 NIF_TIP = &H4 WM_LBUTTONDBLCLK = &H203 WM_LBUTTONDOWN = &H201 WM_LBUTTONUP = &H202 WM_RBUTTONDBLCLK = &H206 WM_RBUTTONDOWN = &H204 WM_RBUTTONUP = &H205

Declare Function Shell_NotifyIcon Lib "shell32" Alias _ "Shell_NotifyIconA" (ByVal dwMessage As Long, ByVal pnid As _ NOTIFYICONDATA) As Boolean Global nid As NOTIFYICONDATA Dim arrLongConversion(4) As Long Dim arrSplit64(63) As Byte Dim lngTrack As Long Const OFFSET_4 = 4294967296.0#, MAXINT_4 = 2147483647, _ S11 = 7, S12 = 12, S13 = 17, S14 = 22, S21 = 5, S22 = 9, _ S23 = 14, S24 = 20, S31 = 4, S32 = 11, S33 = 16, S34 = 23, _ S41 = 6, S42 = 10, S43 = 15, S44 = 21 Sub AddToTray(ByVal TrayIcon, ByVal TrayText As String, ByVal _ TrayForm As Form) nid.cbSize = Len(nid) nid.hwnd = TrayForm.hwnd nid.UID = vbNull nid.uFlags = NIF_ICON Or NIF_TIP Or NIF_MESSAGE nid.uCallBackmessage = WM_MOUSEMOVE nid.hIcon = TrayIcon nid.szTip = TrayText & vbNullChar Shell_NotifyIcon(NIM_ADD, nid) TrayForm.Hide() End Sub

13

Jasakom



Sub ModifyTray(ByVal TrayIcon, ByVal TrayText As String, ByVal _ TrayForm As Form) nid.cbSize = Len(nid) nid.hwnd = TrayForm.hwnd nid.UID = vbNull nid.uFlags = NIF_ICON Or NIF_TIP Or NIF_MESSAGE nid.uCallBackmessage = WM_MOUSEMOVE nid.hIcon = TrayIcon nid.szTip = TrayText & vbNullChar Shell_NotifyIcon(NIM_MODIFY, nid) End Sub Function RespondToTray(ByVal x As Single) On Error Resume Next RespondToTray = 0 Dim msg As Long Dim sFilter As String If frmRemoval.ScaleMode <> 3 Then msg = x / _ Screen.TwipsPerPixelX Else : msg = x Select Case msg Case WM_RBUTTONUP RespondToTray = 1 Case WM_LBUTTONUP RespondToTray = 2 End Select End Function Sub ShowFormAgain(ByVal TrayForm As Form) TrayForm.Show() End Sub Sub RemoveFromTray() Shell_NotifyIcon(NIM_DELETE, nid) End Sub

Ketik kode program berikut ini pada object frmRemoval: 'WSar.1 Removal by Achmad Darmal 'Tarakan, Kalimantan Timur - Indonesia Option Explicit On Private Sub Form_Load() lblStatus.Caption = "WSar.1 Removal - Ready ..." End Sub Private Sub chkShield_Click() If chkShield.Value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If End Sub

14

Jasakom

Computer Worm 2 - Secret of Undeground Coding : Uncensored Private Sub cmdProcess_Click() CheckWorm() End Sub


Private Sub cmdTray_Click() If chkShield.Value <> Checked Then If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then chkShield.Value = Checked End If End If If chkShield.Value = Checked Then AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If End Sub Private Sub form_MouseMove(ByVal Button As Integer, ByVal _ Shift As Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then ShowFormAgain(Me) RemoveFromTray() End If End Sub Private Sub tmrShield_Timer() If lblStatus.ForeColor = &HFFFF& Then lblStatus.ForeColor = &H0& Else lblStatus.ForeColor = &HFFFF& End If CheckWorm() End Sub Private Sub CheckWorm() If Len(Dir$("C:\WINDOWS\Start Menu\Programs\StartUp\Syst" & _ "em File.exe")) <> 0 Then RemoveWorm() Else If chkShield.Value <> Checked Then MsgBox("WSar.1 Not Found", vbExclamation) End If End If End Sub Private Sub RemoveWorm() On Error Resume Next WinExit("System File.exe") MsgBox("WSar.1 found! And will be removed", vbExclamation + _ vbSystemModal) Kill("C:\WINDOWS\Start Menu\Programs\StartUp\System File.exe") If Len(Dir$("C:\WINDOWS\Start Menu\Programs\StartUp\Syst" & _ "em File.exe")) <> 0 Then MsgBox("WSar.1 can not removed", vbCritical) chkShield.Value = Unchecked Else MsgBox("WSar.1 succesfully removed", vbExclamation) End If End Sub

15

Jasakom



Berikut penjelasan tentang kode program, dan untuk selanjutnya procedure yang telah dijelaskan tidak diberikan lagi, kecuali beberapa bagian yang menurut penulis perlu untuk diulang kembali. Procedure Form_Load memiliki tugas sederhana, yaitu mengatur caption pada lblStatus menjadi "WSar.1 Removal - Ready ..." Procedure chkShield_Click akan dijalankan saat user mengklik CheckBox chkShield pada form, kemudian jika CheckBox chkShield ter-check maka mengatur nilai properti Enabled pada tmrShield menjadi true, nilai properti Enabled pada cmdProcess menjadi false dan mengatur nilai caption lblStatus menjadi "Shield Enabled - Monitoring Worm Activity". Sebaliknya jika CheckBox chkShield tidak ter-check maka mengatur nilai properti Enabled pada tmrShield menjadi false, nilai ForeColor pada lblStatus menjadi &HFFFF& (warna kuning), nilai properti Enabled pada cmdProcess menjadi true dan mengatur nilai caption lblStatus menjadi "Shield Disabled - Waiting For Instruction". Procedure cmdProcess_Click akan dijalankan saat user mengklik tombol Process. Secara sederhana procedure ini hanya memanggil procedure CheckWorm. Tujuan penulis membuat procedure ini adalah agar mudah untuk dikembangkan lagi. Procedure cmdTray_Click akan dijalankan saat user mengklik tombol Tray, kemudian jika CheckBox chkShield tidak ter-check maka akan menampilkan suatu kotak pesan "Shield is disabled, enable it now?" dan jika user mengklik tombol Yes maka mengatur nilai chkShield menjadi ter-check. Jika nilai chkShield adalah ter-check maka procedure menggunakan function AddToTray untuk menyisipkan program pada system tray dengan menggunakan icon form aktif dan dengan ToolTipText "WSar Removal - Shield Enable", sebaliknya procedure menggunakan function AddToTray dengan menggunakan icon form aktif dan dengan ToolTipText "WSar Removal - Shield Disable". Procedure form_MouseMove adalah procedure pembantu yang berfungsi untuk merespon klik mouse pada icon program di system tray, procedure ini menggunakan function RespondToTray dari module mdlTray, jika function RespondToTray mengembalikan nilai kurang dari 3 maka form ditampilkan kembali dan kemudian menghilangkan icon program dari system tray.

16

Jasakom

Procedure tmrShield_Timer aktif setiap 0.5 detik, jika nilai ForeColor pada Label lblStatus adalah &HFFFF& (warna kuning) maka mengatur ForeColor pada Label lblStatus menjadi &H0& (warna hitam), sebaliknya jika tidak maka mengatur ForeColor pada Label lblStatus menjadi &HFFFF&, instruksi ini akan melakukan pergantian warna pada teks setiap 0.5 detik, sehingga teks tersebut akan terlihat blinking (berkedip), procedure ini juga mengeksekusi procedure CheckWorm. Pada procedure CheckWorm, jika file 'C:\WINDOWS\Start Menu\ Programs\StartUp\System File.exe’ ditemukan maka memanggil procedure RemoveWorm, jika tidak ditemukan maka jika nilai chkShield tidak ter-check procedure akan menampilkan kotak pesan "WSar.1 Not Found". Procedure RemoveWorm akan menghentikan proses file 'System File.exe’ yang merupakan file launcher dari WSar.1 kemudian menampilkan kotak pesan "WSar.1 found! And will be removed", kemudian menghapus file 'C:\WINDOWS\Start Menu\Programs\StartUp\System File.exe’, kemudian kembali memeriksa file tersebut, jika ditemukan maka menampilkan kotak pesan "WSar.1 can not removed" dan mengatur nilai chkShield menjadi tidak ter-check. Sebaliknya jika tidak ditemukan maka procedure menampilkan kotak pesan "WSar.1 succesfully removed". Module mdlTray merupakan sekumpulan function API yang berfungsi untuk menempatkan program pada system tray dan beberapa function pendukung lainnya.

1.2 WSAR.2 REMOVAL Program removal ini berfungsi untuk membersihkan file launcher WSar.2 dari system komputer.

1.2.1 ALGORITMA 1. Melakukan pemeriksaan terhadap eksistensi WSar.2 pada direktori System Windows dengan nama file 'winfake.exe’

17

Jasakom





2. Jika file launcher WSar.2 ditemukan, maka menghentikan proses file launcher kemudian menghapus file tersebut. 3. Mengembalikan dan menghapus nilai registry yang dimanipulasi WSar.2 4. Program removal mampu melakukan pemeriksaan secara berkesinambungan, dan menampilkan icon pada system tray.


Nilai mdlWinExit

Keterangan Mengatur nama module menjadi mdlWinExit


Nilai mdlTray


Untuk module mdlWinExit Anda bisa menggunakan module yang sama pada WSar.6 dan module mdlTray dengan module yang sama pada WSar.1 Removal, kemudian ketik kode program berikut ini pada object frmRemoval. 'WSar.2 Removal by Achmad Darmal 'Tarakan, Kalimantan Timur - Indonesia Option Explicit On Private Sub Form_Load() lblStatus.Caption = "WSar.2 Removal - Ready ..." End Sub Private Sub chkShield_Click() If chkShield.Value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else

18

Jasakom

tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If End Sub Private Sub cmdProcess_Click() CheckWorm() End Sub Private Sub cmdTray_Click() If chkShield.Value <> Checked Then If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then chkShield.Value = Checked End If End If If chkShield.Value = Checked Then AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If End Sub Private Sub form_MouseMove(ByVal Button As Integer, ByVal Shift As _ Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then ShowFormAgain(Me) RemoveFromTray() End If End Sub Private Sub tmrShield_Timer() If lblStatus.ForeColor = &HFFFF& Then lblStatus.ForeColor = &H0& Else lblStatus.ForeColor = &HFFFF& End If CheckWorm() End Sub Private Sub CheckWorm() On Error Resume Next Dim kiddie As Object Dim sysfolder As Object kiddie = CreateObject("scripting.filesystemobject") sysfolder = kiddie.GetSpecialFolder(1) If Len(Dir$(sysfolder & "\winfake.exe")) <> 0 Then RemoveWorm() Else If chkShield.Value <> Checked Then MsgBox("WSar.2 Not Found", vbExclamation) End If End If End Sub

19

Jasakom





Private Sub RemoveWorm() On Error Resume Next Dim kiddie As Object Dim sysfolder As Object kiddie = CreateObject("scripting.filesystemobject") sysfolder = kiddie.GetSpecialFolder(1) WinExit("winfake.exe") MsgBox("WSar.2 found! And will be removed", vbExclamation + _ vbSystemModal) Kill(sysfolder & "\winfake.exe") If Len(Dir$(sysfolder & "\winfake.exe")) <> 0 Then MsgBox("WSar.2 can not removed", vbCritical) chkShield.Value = Unchecked Else ReConfig() MsgBox("WSar.2 succesfully removed", vbExclamation) End If End Sub Function RegStrDel(ByVal HiveAndKey As String) Dim newbie As Object newbie = CreateObject("Wscript.Shell") newbie.regdelete(HiveAndKey) End Function Function RegDword(ByVal HiveAndKey As String, ByVal Value As Integer) Dim newbie As Object newbie = CreateObject("Wscript.Shell") newbie.regwrite(HiveAndKey, Value, "REG_DWORD") End Function Private Sub ReConfig() On Error Resume Next RegDword("HKCU\Software\Microsoft\Windows\CurrentVersi" & _ "on\Policies\System\DisableRegistryTools", 0) RegStrDel("HKLM\Software\Microsoft\Windows\CurrentVersi" & _ "on\Run\windll") End Sub

Berikut penjelasan tentang kode program: Procedure Form_Load memiliki tugas sederhana, yaitu mengatur caption pada lblStatus menjadi "WSar.2 Removal - Ready ..." Pada procedure CheckWorm, jika file 'winfake.exe’ ditemukan pada direktori System Windows maka memanggil procedure RemoveWorm, jika tidak ditemukan maka jika nilai chkShield tidak ter-check procedure akan menampilkan kotak pesan "WSar.2 Not Found".

20

Jasakom

Procedure RemoveWorm akan menghentikan proses file 'winfake.exe’ yang merupakan file launcher dari WSar.2 kemudian menampilkan kotak pesan "WSar.2 found! And will be removed", kemudian menghapus file 'winfake.exe’ pada direktori System Windows. Setelah itu, kembali memeriksa file tersebut, jika ditemukan maka menampilkan kotak pesan "WSar.2 can not removed" dan mengatur nilai chkShield menjadi tidak ter-check, sebaliknya jika tidak ditemukan maka procedure menampilkan kotak pesan "WSar.2 succesfully removed". Function RegStrDel dan RegDword merupakan function yang menggunakan file scripting object, masing-masing berfungsi untuk menghapus key pada registry dan mengatur nilai dengan jenis DWORD pada registry. Procedure ReConfig memanipulasi nilai registry dengan mengubah nilai data 'DisableRegistryTools’ menjadi 0, dan menghapus nilai registry "HKLM\Software\Microsoft\Wind ows\CurrentVersion\Run\ windll" yang mana nilai registry ini akan mengaktifkan worm setiap kali Windows startup.


1.3.1 ALGORITMA 1. Melakukan pemeriksaan terhadap eksistensi WSar.3 pada direktori System Windows dengan nama file 'winword.exe’ 2. Jika file launcher WSar.3 ditemukan, maka menghentikan proses file launcher kemudian menghapus file tersebut 3. Menghapus perubahan pada file 'win.ini’ yang dimanipulasi WSar.3 4. Program removal mampu melakukan pemeriksaan secara berkesinambungan dan menampilkan icon pada system tray.

21

Jasakom




1.3.2 PEMROGRAMAN Bab 1. Laucher File Removal

Tambahkan 3 buah Module kemudian atur properti untuk masingmasing module sebagai berikut: Properti Module1 Jenis Name

Nilai mdlWinExit



Nilai mdlTray



Nilai mdlFileIni

Keterangan Mengatur nama module menjadi mdlFileIni

Untuk module mdlWinExit, Anda bisa menggunakan module yang sama pada WSar.6, module mdlTray dengan module yang sama pada WSar.1 Removal dan module mdlFileIni dengan module yang sama pada WSar.3, kemudian ketik kode program berikut ini pada object frmRemoval. 'WSar.3 Removal by Achmad Darmal 'Tarakan, Kalimantan Timur - Indonesia Option Explicit On Private Sub Form_Load() lblStatus.Caption = "WSar.3 Removal - Ready ..." End Sub Private Sub chkShield_Click() If chkShield.Value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If End Sub

22

Jasakom



Private Sub cmdProcess_Click() CheckWorm() End Sub Private Sub cmdTray_Click() If chkShield.Value <> Checked Then If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then chkShield.Value = Checked End If End If If chkShield.Value = Checked Then AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If End Sub Private Sub form_MouseMove(ByVal Button As Integer, ByVal Shift As Integer, _ ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then ShowFormAgain(Me) RemoveFromTray() End If End Sub Private Sub tmrShield_Timer() If lblStatus.ForeColor = &HFFFF& Then lblStatus.ForeColor = &H0& Else lblStatus.ForeColor = &HFFFF& End If CheckWorm() End Sub Private Sub CheckWorm() On Error Resume Next Dim kiddie As Object Dim sysfolder As Object Dim MainFile As String kiddie = CreateObject("scripting.filesystemobject") sysfolder = kiddie.GetSpecialFolder(1) MainFile = sysfolder & "\" & "winword.exe" If Len(Dir$(MainFile, vbHidden + vbReadOnly + vbSystem)) <> 0 _ Then SetAttr(MainFile, vbNormal) RemoveWorm() Else If chkShield.Value <> Checked Then MsgBox("WSar.3 Not Found", vbExclamation) End If End If End Sub

23

Jasakom



Private Sub RemoveWorm() Dim kiddie As Object Dim sysfolder As Object Dim MainFile As String kiddie = CreateObject("scripting.filesystemobject") sysfolder = kiddie.GetSpecialFolder(1) MainFile = sysfolder & "\" & "winword.exe" WinExit("winword.exe") MsgBox("WSar.3 found! And will be removed", vbExclamation + _ vbSystemModal) Kill(MainFile) If Len(Dir$(MainFile)) <> 0 Then MsgBox("WSar.3 can not removed", vbCritical) chkShield.Value = Unchecked Else ReConfig() MsgBox("WSar.3 succesfully removed", vbExclamation) End If End Sub Private Sub ReConfig() On Error Resume Next Dim kiddie As Object Dim winfolder As Object Dim MainFile As String kiddie = CreateObject("scripting.filesystemobject") winfolder = kiddie.GetSpecialFolder(0) writeini("WINDOWS", "Run", " ", winfolder & "\" & "win.ini") End Sub

Berikut penjelasan tentang kode program: Procedure Form_Load memiliki tugas sederhana, yaitu mengatur caption pada lblStatus menjadi "WSar.3 Removal - Ready ..." Pada procedure CheckWorm, jika file 'winword.exe’ dengan atribut Hidden, Read only dan System ditemukan pada direktori System Windows maka mengatur atribut file tersebut menjadi Normal kemudian memanggil procedure RemoveWorm, jika tidak ditemukan maka jika nilai chkShield tidak ter-check, procedure akan menampilkan kotak pesan "WSar.3 Not Found". Procedure RemoveWorm akan menghentikan proses file 'winword.exe’ yang merupakan file launcher dari WSar.3 kemudian menampilkan kotak pesan "WSar.3 found! And will be removed", kemudian menghapus file 'winword.exe’ pada direktori System Windows. Setelah itu kembali memeriksa file tersebut, jika ditemukan maka menampilkan kotak pesan "WSar.3 can not removed" dan mengatur nilai chkShield menjadi tidak ter-check, sebaliknya jika tidak ditemukan maka procedure menampilkan kotak pesan "WSar.3 succesfully removed".

24

Jasakom

Procedure ReConfig memanipulasi file konfigurasi "win.ini" pada section Windows dan key "Run", dengan value yang dikosongkan (penulis hanya menambahkan sebuah karakter spasi ).


1.4.1 ALGORITMA 1. Mendapatkan direktori default startup, dari registry 2. Melakukan pemeriksaan terhadap eksistensi WSar.4 pada direktori StartUp dengan nama file 'WINLOGIN.EXE’ 3. Jika file launcher WSar.4 ditemukan, maka menghentikan proses file launcher kemudian menghapus file tersebut 4. Mengembalikan dan menghapus nilai registry yang dimanipulasi WSar.4 5. Menghapus direktori StartUp yang dibuat oleh WSar.4 6. Program removal mampu melakukan pemeriksaan secara berkesinambungan, dan menampilkan icon pada system tray.


Nilai mdlWinExit


25

Jasakom




Properti Module2 Bab 1. Laucher File Removal

Jenis

Nilai

Name

mdlTray



Nilai

Keterangan

mdlRegistryAPI

Mengatur nama module menjadi mdlRegistryAPI

Untuk module mdlWinExit Anda bisa menggunakan module yang sama pada WSar.6, module mdlTray dengan module yang sama pada WSar.1 Removal dan module mdlRegistryAPI dengan module yang sama pada WSar.4, kemudian ketik kode program berikut ini pada object frmRemoval. 'WSar.4 Removal by Achmad Darmal 'Tarakan, Kalimantan Timur - Indonesia Option Explicit On Private Declare Function GetWindowsDirectory Lib "kernel32" _ Alias "GetWindowsDirectoryA" (ByVal lpBuffer As String, _ ByVal nSize As Long) As Long Private Declare Function GetSystemDirectory Lib "kernel32" Alias _ "GetSystemDirectoryA" (ByVal lpBuffer As String, ByVal nSize _ As Long) As Long Private SF As String * 255 Function SpecialFolder(ByVal value) On Error Resume Next Dim FolderValue As String If value = 0 Then FolderValue = Left(SF, GetWindowsDirectory(SF, 255)) End If If value = 1 Then FolderValue = Left(SF, GetSystemDirectory(SF, 255)) End If If Right(FolderValue, 1) = "\" Then FolderValue = Left(FolderValue, Len(FolderValue) - 1) End If SpecialFolder = FolderValue End Function

26

Jasakom

Private Sub Form_Load() lblStatus.Caption = "WSar.4 Removal - Ready ..." End Sub Private Sub chkShield_Click() If chkShield.value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If End Sub Private Sub cmdProcess_Click() CheckWorm() End Sub Private Sub cmdTray_Click() If chkShield.value <> Checked Then If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then chkShield.value = Checked End If End If If chkShield.value = Checked Then AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If End Sub Private Sub form_MouseMove(ByVal Button As Integer, ByVal Shift As _ Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then ShowFormAgain(Me) RemoveFromTray() End If End Sub Private Sub tmrShield_Timer() If lblStatus.ForeColor = &HFFFF& Then lblStatus.ForeColor = &H0& Else lblStatus.ForeColor = &HFFFF& End If CheckWorm() End Sub

27

Jasakom





Private Sub CheckWorm() On Error Resume Next Dim MainFolder, MainFile As String MainFolder = SpecialFolder(0) & "\Config\StartUp" MainFile = MainFolder & "\" & "WINLOGIN.EXE" If Len(Dir$(MainFile, vbReadOnly)) <> 0 Then SetAttr(MainFile, vbNormal) RemoveWorm() Else If chkShield.value <> Checked Then MsgBox("WSar.4 Not Found", vbExclamation) End If End If End Sub Private Sub RemoveWorm() On Error Resume Next Dim MainFolder, MainFile As String MainFolder = SpecialFolder(0) & "\Config\StartUp" MainFile = MainFolder & "\" & "WINLOGIN.EXE" WinExit("WINLOGIN.EXE") MsgBox("WSar.4 found! And will be removed", vbExclamation + _ vbSystemModal) Kill(MainFile) If Len(Dir$(MainFile, vbReadOnly)) <> 0 Then MsgBox("WSar.4 can not removed", vbCritical) chkShield.value = Unchecked Else ReConfig() MsgBox("WSar.4 succesfully removed", vbExclamation) End If End Sub Private Sub ReConfig() On Error Resume Next If Len(Dir$(SpecialFolder(0) & "\Start Menu\Programs\StartUp", _ vbDirectory)) <> 0 Then SetStringValue("HKEY_CURRENT_USER\Software\Microsoft" & _ "\Windows\CurrentVersion\Explorer\User Shell Folders", _ "Startup", SpecialFolder(0) & "\Start Menu\Programs\StartUp") Else SetStringValue("HKEY_CURRENT_USER\Software\Microsoft" & _ "\Windows\CurrentVersion\Explorer\User Shell Folders", _ "Startup", "%USERPROFILE%\StartMenu\Programs\Startup") End If RmDir(SpecialFolder(0) & "\Config\StartUp") End Sub

Berikut penjelasan tentang kode program: Procedure Form_Load memiliki tugas sederhana, yaitu mengatur caption pada lblStatus menjadi "WSar.4 Removal - Ready ..."

28

Jasakom

Pada procedure CheckWorm, jika file 'WINLOGIN.EXE’ dengan atribut Read only ditemukan pada direktori Windows dan pada sub direktori "\Config\StartUp" maka mengatur atribut file tersebut menjadi Normal kemudian memanggil procedure RemoveWorm, jika tidak ditemukan maka jika nilai chkShield tidak ter-check, procedure akan menampilkan kotak pesan "WSar.4 Not Found". Procedure RemoveWorm akan menghentikan proses file 'WINLOGIN.EXE’ yang merupakan file launcher dari WSar.4 kemudian menampilkan kotak pesan "WSar.4 found! And will be removed", kemudian menghapus file 'WINLOGIN.EXE’ pada direktori System Windows dan pada sub direktori "\Config\StartUp". Setelah itu kembali memeriksa file tersebut, jika ditemukan maka menampilkan kotak pesan "WSar.4 can not removed" dan mengatur nilai chkShield menjadi tidak ter-check, sebaliknya jika tidak ditemukan maka procedure menampilkan kotak pesan "WSar.4 succesfully removed". Pada procedure ReConfig, jika direktori Windows dan sub direktori "\Start Menu\Programs\StartUp" ditemukan maka memanipulasi nilai registry "Startup" pada key "HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" dengan nilai berupa direktori Windows dan sub direktori "\Start Menu\Programs\StartUp", sebaliknya jika tidak ditemukan maka memanipulasi nilai registry "Startup" dengan nilai data "%USERPROFILE%\StartMenu\Programs\Startup", setelah itu menghapus direktori StartUp pada direktori Windows dan sub direktori "\Config".


1.5.1 ALGORITMA 1. Mendapatkan direktori default startup, dari registry 2. Melakukan pemeriksaan terhadap eksistensi WSar.5 pada direktori Windows dan pada sub direktori 'Config’ dengan nama file 'system32.exe’

29

Jasakom





3. Jika file launcher WSar.5 ditemukan, maka menghentikan proses file launcher kemudian menghapus file tersebut 4. Mengembalikan dan menghapus nilai registry yang dimanipulasi WSar.5 5. Program removal mampu melakukan pemeriksaan secara berkesinambungan dan menampilkan icon pada system tray.


Nilai

Keterangan

mdlWinExit



Nilai mdlTray



Nilai mdlRegistryAPI

Keterangan Mengatur nama module menjadi mdlRegistryAPI

Untuk module mdlWinExit Anda bisa menggunakan module yang sama pada WSar.6, module mdlTray dengan module yang sama pada WSar.1 Removal dan module mdlRegistryAPI dengan module yang sama pada WSar.4, kemudian ketik kode program berikut ini pada object frmRemoval. 'WSar.5 Removal by Achmad Darmal

30

Jasakom


'Tarakan, Kalimantan Timur - Indonesia Option Explicit On


Private Declare Function GetWindowsDirectory Lib "kernel32" _ Alias "GetWindowsDirectoryA" (ByVal lpBuffer As String, _ ByVal nSize As Long) As Long Private Declare Function GetSystemDirectory Lib "kernel32" Alias _ "GetSystemDirectoryA" (ByVal lpBuffer As String, ByVal nSize _ As Long) As Long Private SF As String * 255 Function SpecialFolder(ByVal value) On Error Resume Next Dim FolderValue As String If value = 0 Then FolderValue = Left(SF, GetWindowsDirectory(SF, 255)) End If If value = 1 Then FolderValue = Left(SF, GetSystemDirectory(SF, 255)) End If If Right(FolderValue, 1) = "\" Then FolderValue = Left(FolderValue, Len(FolderValue) - 1) End If SpecialFolder = FolderValue End Function Private Sub Form_Load() Me.Caption = App.EXEName App.Title = App.EXEName lblStatus.Caption = "WSar.5 Removal - Ready ..." End Sub Private Sub chkShield_Click() If chkShield.value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If End Sub Private Sub cmdProcess_Click() CheckWorm() End Sub Private Sub cmdTray_Click() If chkShield.value <> Checked Then If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then chkShield.value = Checked End If End If

31

Jasakom



If chkShield.value = Checked Then AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If End Sub Private Sub form_MouseMove(ByVal Button As Integer, _ ByVal Shift As Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then ShowFormAgain(Me) RemoveFromTray() End If End Sub Private Sub tmrShield_Timer() If lblStatus.ForeColor = &HFFFF& Then lblStatus.ForeColor = &H0& Else lblStatus.ForeColor = &HFFFF& End If CheckWorm() End Sub Private Sub CheckWorm() On Error Resume Next Dim MainFolder, MainFile As String MainFolder = SpecialFolder(0) & "\Config" MainFile = MainFolder & "\" & "system32.exe" If Len(Dir$(MainFile, vbHidden + vbSystem + vbReadOnly)) <> 0 _ Then SetAttr(MainFile, vbNormal) RemoveWorm() Else If chkShield.value <> Checked Then MsgBox("WSar.5 Not Found", vbExclamation) End If End If End Sub Private Sub RemoveWorm() On Error Resume Next Dim MainFolder, MainFile As String MainFolder = SpecialFolder(0) & "\Config" MainFile = MainFolder & "\" & "system32.exe" WinExit("system32.exe") MsgBox("WSar.5 found! And will be removed", vbExclamation + _ vbSystemModal) Kill(MainFile) If Len(Dir$(MainFile, vbHidden + vbSystem + vbReadOnly)) <> 0 _ Then MsgBox("WSar.5 can not removed", vbCritical) chkShield.value = Unchecked Else ReConfig() MsgBox("WSar.5 succesfully removed", vbExclamation) End If End Sub

32

Jasakom



Private Sub ReConfig() On Error Resume Next DeleteKey("HKEY_LOCAL_MACHINE\Software\Microsoft\W" & _ "indows\CurrentVersion\App Paths\LoadPowerProfile.EXE") SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _ "soft\Windows\CurrentVersion\Explorer\Advanced", "Hidden", 1) SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _ "soft\Windows\CurrentVersion\Explorer\Advanced", _ "HideFileExt", 0) SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _ "soft\Windows\CurrentVersion\Explorer\Advanced", _ "SuperHidden", 0) SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _ "soft\Windows\CurrentVersion\Explorer\Advanced", _ "ShowSuperHidden", 1) SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _ "soft\Windows\CurrentVersion\Explorer\Advanced", _ "ClassicViewState", 0) SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _ "soft\Windows\CurrentVersion\Explorer\CabinetState", _ "FullPath", 0) End Sub

Berikut penjelasan tentang kode program: Procedure Form_Load melakukan instruksi yang mengatur caption form dan title aplikasi dengan menggunakan nama file utama dan title aplikasi menjadi nama file, hal ini disebabkan caption default-nya adalah "Simple Worm Remover" yang prosesnya secara otomatis akan diakhiri oleh WSar.5 karena mengandung string "remov". Jadi dalam hal ini Anda bisa menyimpannya dengan nama file yang berbeda, procedure kemudian mengatur caption pada lblStatus menjadi "WSar.5 Removal - Ready ..." Pada procedure CheckWorm jika file 'system32.exe’ dengan atribut Hidden, Read only dan System ditemukan pada direktori Windows dan pada sub direktori "\Config" maka mengatur atribut file tersebut menjadi Normal kemudian memanggil procedure RemoveWorm, jika tidak ditemukan maka jika nilai chkShield tidak ter-check, procedure akan menampilkan kotak pesan "WSar.5 Not Found". Procedure RemoveWorm akan menghentikan proses file 'system32.exe’ yang merupakan file launcher dari WSar.5 kemudian menampilkan kotak pesan "WSar.5 found! And will be removed", kemudian menghapus file 'system32.exe’ pada direktori System Windows dan pada sub

33

Jasakom



direktori "\Config". Setelah itu, kembali memeriksa file tersebut, jika ditemukan maka menampilkan kotak pesan "WSar.5 can not removed" dan mengatur nilai chkShield menjadi tidak ter-check, sebaliknya jika tidak ditemukan maka procedure menampilkan kotak pesan "WSar.5 succesfully removed". Procedure ReConfig memanipulasi nilai registry dengan menghapus key "HKEY_LOCAL_MACHINE\Software\Micr osoft\Windows\ CurrentVersion\App Paths\LoadPowerProfile. EXE", mengubah nilai data 'Hidden’ pada key "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" menjadi 1, dan pada key yang sama mengubah nilai data 'HideFileExt’ menjadi 0, data 'SuperHidden’ menjadi 0, data 'ShowSuperHidden’ menjadi 1, data 'ClassicViewState’ menjadi 0 dan nilai data 'FullPath’ menjadi 0.


1.6.1 ALGORITMA 1. Mendapatkan direktori default startup, dari registry 2. Melakukan pemeriksaan terhadap eksistensi WSar.6 pada direktori System Windows dengan nama file 'loadsys.exe’ 3. Jika file launcher WSar.6 ditemukan, maka menghentikan proses file launcher kemudian menghapus file tersebut 4. Mengembalikan manipulasi registry yang dilakukan WSar.6 dan sekaligus menghapus file worm yang ada pada shared folder aplikasi peer to peer 5. Program removal mampu melakukan pemeriksaan secara berkesinambungan, dan menampilkan icon pada system tray.

34

Jasakom


Tambahkan 3 buah Module kemudian atur properti untuk masingmasing module sebagai berikut: Properti Module1 Jenis Name

Nilai

Keterangan

mdlWinExit



Nilai mdlTray





Untuk module mdlWinExit Anda bisa menggunakan module yang sama pada WSar.6, module mdlTray dengan module yang sama pada WSar.1 Removal dan module mdlRegistryAPI dengan module yang sama pada WSar.4, kemudian ketik kode program berikut ini pada object frmRemoval. 'WSar.6 Removal by Achmad Darmal 'Tarakan, Kalimantan Timur - Indonesia Option Explicit On Private Declare Function GetWindowsDirectory Lib "kernel32" _ Alias "GetWindowsDirectoryA" (ByVal lpBuffer As String, _ ByVal nSize As Long) As Long Private Declare Function GetSystemDirectory Lib "kernel32" Alias _ "GetSystemDirectoryA" (ByVal lpBuffer As String, ByVal nSize _ As Long) As Long Private SF As String * 255

35

Jasakom


1.6.2 PEMROGRAMAN



Function SpecialFolder(ByVal value) On Error Resume Next Dim FolderValue As String If value = 0 Then FolderValue = Left(SF, GetWindowsDirectory(SF, 255)) End If If value = 1 Then FolderValue = Left(SF, GetSystemDirectory(SF, 255)) End If If Right(FolderValue, 1) = "\" Then FolderValue = Left(FolderValue, Len(FolderValue) - 1) End If SpecialFolder = FolderValue End Function Private Sub Form_Load() lblStatus.Caption = "WSar.6 Removal - Ready ..." End Sub Private Sub chkShield_Click() If chkShield.value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If End Sub Private Sub cmdProcess_Click() CheckWorm() End Sub Private Sub cmdTray_Click() If chkShield.value <> Checked Then If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then chkShield.value = Checked End If End If If chkShield.value = Checked Then AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If End Sub Private Sub form_MouseMove(ByVal Button As Integer, _ ByVal Shift As Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then ShowFormAgain(Me) RemoveFromTray() End If End Sub

36

Jasakom



Private Sub tmrShield_Timer() If lblStatus.ForeColor = &HFFFF& Then lblStatus.ForeColor = &H0& Else lblStatus.ForeColor = &HFFFF& End If CheckWorm() End Sub Private Sub CheckWorm() On Error Resume Next Dim MainFile As String MainFile = SpecialFolder(1) & "\" & "loadsys.exe" If Len(Dir$(MainFile)) <> 0 Then RemoveWorm() Else If chkShield.value <> Checked Then MsgBox("WSar.6 Not Found", vbExclamation) End If End If End Sub Private Sub RemoveWorm() On Error Resume Next Dim MainFile As String MainFile = SpecialFolder(1) & "\" & "loadsys.exe" WinExit("loadsys.exe") MsgBox("WSar.6 found! And will be removed", vbExclamation + _ vbSystemModal) Kill(MainFile) If Len(Dir$(MainFile)) <> 0 Then MsgBox("WSar.6 can not removed", vbCritical) chkShield.value = Unchecked Else ReConfig() MsgBox("WSar.6 succesfully removed", vbExclamation) End If End Sub Private Sub ReConfig() On Error Resume Next SetStringValue("HKEY_CLASSES_ROOT\exefile\shell\open\c" & _ "ommand", "", Chr(34) & Chr(37) & Chr(49) & Chr(34) & " " & _ Chr(37) & Chr(42)) Dim P2P(1 To 7) As String Dim w As Integer P2P(1) = "C:\Program Files\BearShare\Shared" P2P(2) = "C:\Program Files\Edonkey2000\Incoming" P2P(3) = "C:\Program Files\Grokster\My Grokster" P2P(4) = "C:\Program Files\KMD\My Shared Folder" P2P(5) = "C:\Program Files\Kazaa\My Shared Folder" P2P(6) = "C:\Program Files\Kazaa Lite\My Shared Folder" P2P(7) = "C:\Program Files\Morpheus\My Shared Folder" For w = 1 To 7 If Len(Dir$(P2P(w), vbDirectory)) <> 0 Then Kill(P2P(w) & "\*.*.exe") End If Next End Sub

37

Jasakom


Berikut penjelasan tentang kode program: Bab 1. Laucher File Removal

Procedure Form_Load memiliki tugas sederhana, yaitu mengatur caption pada lblStatus menjadi "WSar.6 Removal - Ready ..." Pada procedure CheckWorm, jika file 'loadsys.exe’ ditemukan pada direktori System Windows maka memanggil procedure RemoveWorm, jika tidak ditemukan maka jika nilai chkShield tidak ter-check, procedure akan menampilkan kotak pesan "WSar.6 Not Found". Procedure RemoveWorm akan menghentikan proses file 'loadsys.exe’ yang merupakan file launcher dari WSar.6 kemudian menampilkan kotak pesan "WSar.6 found! And will be removed", kemudian menghapus file 'loadsys.exe’ pada direktori System Windows. Setelah itu, kembali memeriksa file tersebut, jika ditemukan maka menampilkan kotak pesan "WSar.6 can not removed" dan mengatur nilai chkShield menjadi tidak ter-check, sebaliknya jika tidak ditemukan maka procedure menampilkan kotak pesan "WSar.6 succesfully removed". Procedure ReConfig memanipulasi nilai registry dengan mengubah nilai default pada key "HKEY_CLASSES_ROOT\ exefile\shell\open\ command" menjadi string; "%1" %* dengan memanfaatkan fungsi Chr. Penulis menemukan masalah dalam penulisan quote dimana string yang akan dituliskan juga memiliki tanda quote, sehingga penulis menyiasatinya dengan fungsi Chr ini. Selain fungsi ini tentu saja Anda juga bisa mengkonversi dari nilai hexadecimal atau lainnya untuk mendapatkan nilai ASCII, adapun Chr(34) untuk mengembalikan nilai berupa tanda quote ("), Chr(37) untuk tanda percent (%), Chr(49) untuk angka 1 dan Chr(42) untuk tanda asterik (*). Kemudian procedure membuat array sebanyak 7 data dan masing-masing data berisi path dari aplikasi Peer To Peer, kemudian menghapus file dengan wildcard "*.*.exe" pada setiap path tersebut.

38

Jasakom



1.7.1 ALGORITMA 1. Mendapatkan direktori default startup, dari registry 2. Melakukan pemeriksaan terhadap eksistensi WSar.7 pada direktori Windows dan System Windows dengan nama file 'wintweak.exe' dan 'kerne132.exe’ 3. Jika salah satu file launcher WSar.7 ditemukan, maka menghentikan kedua proses file launcher kemudian menghapus kedua file tersebut 4. Menghapus dan mengembalikan nilai registry yang dimanipulasi WSar.7 dan sekaligus menghapus file worm yang ada pada folder aplikasi mIrc 5. Program removal mampu melakukan pemeriksaan secara berkesinambungan, dan menampilkan icon pada system tray.

1.7.2 PEMROGRAMAN Tambahkan 1 buah object TextBox dan 3 buah Module kemudian atur properti untuk masing-masing object sebagai berikut: Properti object Text1 Jenis Name

Nilai txtPath

Keterangan Mengatur nama TextBox menjadi txtPath


Nilai mdlWinExit


39

Jasakom


1.7 WSAR.7 REMOVAL




Nilai mdlTray



Nilai

Keterangan

mdlRegistryAPI

Mengatur nama module menjadi mdlRegistryAPI


40

Jasakom

Private Sub Form_Load() lblStatus.Caption = "WSar.7 Removal - Ready ..." End Sub Private Sub chkShield_Click() If chkShield.value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If End Sub Private Sub cmdProcess_Click() CheckWorm() End Sub Private Sub cmdTray_Click() If chkShield.value <> Checked Then If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then chkShield.value = Checked End If End If If chkShield.value = Checked Then AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If End Sub Private Sub form_MouseMove(ByVal Button As Integer, _ ByVal Shift As Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then ShowFormAgain(Me) RemoveFromTray() End If End Sub Private Sub tmrShield_Timer() If lblStatus.ForeColor = &HFFFF& Then lblStatus.ForeColor = &H0& Else lblStatus.ForeColor = &HFFFF& End If CheckWorm() End Sub

41

Jasakom





Private Sub CheckWorm() On Error Resume Next Dim MainFile1, MainFile2 As String MainFile1 = SpecialFolder(0) & "\" & "wintweak.exe" MainFile2 = SpecialFolder(1) & "\" & "kerne132.exe" If Len(Dir$(MainFile1)) <> 0 Or _ Len(Dir$(MainFile2)) <> 0 Then RemoveWorm() Else If chkShield.value <> Checked Then MsgBox("WSar.7 Not Found", vbExclamation) End If End If End Sub Private Sub RemoveWorm() On Error Resume Next Dim MainFile1, MainFile2 As String MainFile1 = SpecialFolder(0) & "\" & "wintweak.exe" MainFile2 = SpecialFolder(1) & "\" & "kerne132.exe" WinExit("wintweak.exe") : WinExit("kerne132.exe") MsgBox("WSar.7 found! And will be removed", vbExclamation + _ vbSystemModal) Kill(MainFile1) : Kill(MainFile2) If Len(Dir$(MainFile1)) <> 0 Or _ Len(Dir$(MainFile2)) <> 0 Then MsgBox("WSar.7 can not removed", vbCritical) chkShield.value = Unchecked Else ReConfig() MsgBox("WSar.7 succesfully removed", vbExclamation) End If End Sub Private Sub ReConfig() On Error Resume Next DeleteKeyValue("HKEY_LOCAL_MACHINE\Software\Micro" & _ "soft\Windows\CurrentVersion\Run", "winsys") DeleteKeyValue("HKEY_CLASSES_ROOT\exefile", _ "NeverShowExt") DeleteKeyValue("HKEY_LOCAL_MACHINE\SOFTWARE\M" & _ "cAfee.com\Virusscan Online\property", "ActiveShield:Scan" & _ "Heuristic") DeleteKeyValue("HKEY_LOCAL_MACHINE\SOFTWARE\M" & _ "cAfee.com\Virusscan Online\property", "EmailScan:Enable") DeleteKeyValue("HKEY_LOCAL_MACHINE\SOFTWARE\M" & _ "cAfee.com\Virusscan Online\property", "WS:Enable") DeleteKeyValue("HKEY_LOCAL_MACHINE\SOFTWARE\M" & _ "cAfee.com\Virusscan Online\property", "ScriptStopper:Enable") DeleteKeyValue("HKEY_LOCAL_MACHINE\SOFTWARE\M" & _ "cAfee.com\Virusscan Online\property", "ActiveShield:Scan" & _ "AllFiles") DeleteKeyValue("HKEY_LOCAL_MACHINE\SOFTWARE\M" & _ "cAfee.com\Virusscan Online\property", "ActiveShield:Load" & _ "AtStartup")

42

Jasakom

DeleteKeyValue("HKEY_LOCAL_MACHINE\SOFTWARE\M" & _ "cAfee.com\Virusscan Online\Customize\Options\AShield", _ "State") Dim mIrcPath As String txtPath.Text = GetStringValue("HKEY_LOCAL_MACHINE\S" & _ "OFTWARE\Classes\irc\DefaultIcon", "") mIrcPath = Mid(txtPath.Text, 2, (Len(txtPath.Text) - 11)) If Dir(mIrcPath, vbDirectory) <> "" Then Kill(mIrcPath & "\wintweak.exe") End If End Sub

Berikut penjelasan tentang kode program: Procedure Form_Load memiliki tugas sederhana, yaitu mengatur caption pada lblStatus menjadi "WSar.7 Removal - Ready ..." Pada procedure CheckWorm, jika file 'wintweak.exe’ ditemukan pada direktori Windows atau jika file 'kerne132.exe’ ditemukan pada direktori System Windows maka memanggil procedure RemoveWorm, jika tidak ditemukan maka jika nilai chkShield tidak ter-check, procedure akan menampilkan kotak pesan "WSar.7 Not Found". Procedure RemoveWorm akan menghentikan proses file 'wintweak.exe’ dan file 'kerne132.exe’ yang merupakan file launcher dari WSar.7 kemudian menampilkan kotak pesan "WSar.7 found! And will be removed". Setelah itu menghapus file 'wintweak.exe’ pada direktori Windows dan file 'kerne132.exe’ pada direktori System Windows, kemudian kembali memeriksa kedua file tersebut. Jika ditemukan maka menampilkan kotak pesan "WSar.7 can not removed" dan mengatur nilai chkShield menjadi tidak ter-check, sebaliknya jika tidak ditemukan maka procedure menampilkan kotak pesan "WSar.7 succesfully removed". Procedure ReConfig memanipulasi nilai registry dengan menghapus nilai "winsys" pada key "HKEY_LOCAL_M ACHINE\Software\Microsoft\Windows\CurrentVersion\Run" menghapus nilai 'NeverShowExt’ pada key "HKEY_CLASS ES_ROOT\exefile", dan menghapus nilai "ActiveShield:Scan Heuristic", "EmailScan:Enable", "WS:Enable", "ScriptStopp er:Enable", "ActiveShield:ScanAllFiles" dan "ActiveShield:L oadAtStartup" pada key "HKEY_LOCAL_MACHINE\ SOFT WARE\McAfee.com\Virusscan Online\property".

43

Jasakom





Procedure ini juga menghapus nilai "State" pada key "HKEY_LOCAL_ MACHINE\SOFTWARE\McAfee.com\Virusscan Online\Cus tomize\Options\AShield". Terakhir, jika direktori aplikasi mIrc ditemukan maka procedure akan menghapus file 'wintweak.exe’ dari direktori tersebut.


1.8.1 ALGORITMA 1. Mendapatkan direktori default startup dari registry 2. Melakukan pemeriksaan terhadap eksistensi WSar.8 pada direktori Windows dan System Windows dengan nama file 'SPOOL32.EXE' dan 'WINWORD.EXE’ 3. Jika salah satu file launcher WSar.8 ditemukan, maka menghentikan kedua proses file launcher kemudian menghapus kedua file tersebut 4. Menghapus dan mengembalikan nilai registry yang dimanipulasi WSar.8 5. Program removal mampu melakukan pemeriksaan secara berkesinambungan, dan menampilkan icon pada system tray.


44

Jasakom

Nilai mdlWinExit



Jenis Name

Nilai mdlTray






45

Jasakom


Properti Module2



Private Sub Form_Load() lblStatus.Caption = "WSar.8 Removal - Ready ..." End Sub Private Sub chkShield_Click() If chkShield.value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If End Sub Private Sub cmdProcess_Click() CheckWorm() End Sub Private Sub cmdTray_Click() If chkShield.value <> Checked Then If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then chkShield.value = Checked End If End If If chkShield.value = Checked Then AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If End Sub Private Sub form_MouseMove(ByVal Button As Integer, _ ByVal Shift As Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then ShowFormAgain(Me) RemoveFromTray() End If End Sub Private Sub tmrShield_Timer() If lblStatus.ForeColor = &HFFFF& Then lblStatus.ForeColor = &H0& Else lblStatus.ForeColor = &HFFFF& End If CheckWorm() End Sub

46

Jasakom



Private Sub CheckWorm() On Error Resume Next Dim MainFile1, MainFile2 As String MainFile1 = SpecialFolder(0) & "\" & "SPOOL32.EXE" MainFile2 = SpecialFolder(1) & "\" & "WINWORD.EXE" If Len(Dir$(MainFile1)) <> 0 Or _ Len(Dir$(MainFile2)) <> 0 Then RemoveWorm() Else If chkShield.value <> Checked Then MsgBox("WSar.8 Not Found", vbExclamation) End If End If End Sub Private Sub RemoveWorm() On Error Resume Next Dim MainFile1, MainFile2 As String MainFile1 = SpecialFolder(0) & "\" & "SPOOL32.EXE" MainFile2 = SpecialFolder(1) & "\" & "WINWORD.EXE" WinExit("SPOOL32.EXE") : WinExit("WINWORD.EXE") MsgBox("WSar.8 found! And will be removed", vbExclamation + _ vbSystemModal) Kill(MainFile1) : Kill(MainFile2) If Len(Dir$(MainFile1)) <> 0 Or _ Len(Dir$(MainFile2)) <> 0 Then MsgBox("WSar.8 can not removed", vbCritical) chkShield.value = Unchecked Else ReConfig() MsgBox("WSar.8 succesfully removed", vbExclamation) End If End Sub Private Sub ReConfig() On Error Resume Next SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _ "soft\Windows\CurrentVersion\Policies\System", "DisableRe" & _ "gistryTools", 0) SetStringValue("HKEY_CLASSES_ROOT\regfile\shell\open\command", "", _ "regedit.exe " & Chr(34) & Chr(37) & Chr(49) & Chr(34)) DeleteKeyValue("HKEY_CLASSES_ROOT\exefile", _ "NeverShowExt") DeleteKeyValue("HKEY_LOCAL_MACHINE\Software\Micro" & _ "soft\Windows\CurrentVersion\Run", "Printer Cpl") DeleteKeyValue("HKEY_CURRENT_USER\Software\Microso" & _ "ft\Windows\CurrentVersion\Run", "Microsoft Word") End Sub

47

Jasakom


Berikut penjelasan tentang kode program: Bab 1. Laucher File Removal

Procedure Form_Load memiliki tugas sederhana, yaitu mengatur caption pada lblStatus menjadi "WSar.8 Removal - Ready ..." Pada procedure CheckWorm, jika file 'SPOOL32.EXE’ ditemukan pada direktori Windows atau jika file 'WINWORD.EXE’ ditemukan pada direktori System Windows maka akan memanggil procedure RemoveWorm, jika tidak ditemukan maka jika nilai chkShield tidak ter-check, procedure akan menampilkan kotak pesan "WSar.8 Not Found". Procedure RemoveWorm akan menghentikan proses file 'SPOOL32.EXE’ dan file 'WINWORD.EXE’ yang merupakan file launcher dari WSar.8 kemudian menampilkan kotak pesan "WSar.8 found! And will be removed", kemudian menghapus file 'SPOOL32.EXE’ pada direktori Windows dan file 'WINWORD.EXE’ pada direktori System Windows. Setelah itu, kembali memeriksa kedua file tersebut, jika ditemukan maka menampilkan kotak pesan "WSar.8 can not removed" dan mengatur nilai chkShield menjadi tidak ter-check, sebaliknya jika tidak ditemukan maka procedure menampilkan kotak pesan "WSar.8 succesfully removed". Procedure ReConfig memanipulasi nilai registry dengan mengatur nilai "DisableRegistryTools" pada key "HKEY_CU RRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" dengan nilai 0, mengatur nilai default pada key "HKEY_CLASSES_ROOT\regfile\shell\open\command" dengan string; "%1" (dalam hal ini penulis masih menggunakan fungsi Chr ), menghapus nilai "NeverShowExt" pada key "HKEY_CLASSES_ROOT\exef ile", dan menghapus nilai "Printer Cpl" dan "Microsoft Word" pada key "HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Run".

48

Jasakom



1.9.1 ALGORITMA 1. Melakukan pemeriksaan terhadap eksistensi WSar.9 pada direktori System Windows dengan nama file yang diambil dari data registry "ProductNo" 2. Jika file launcher WSar.9 ditemukan, maka menghentikan proses file launcher kemudian menghapus file tersebut 3. Menghapus file 'wsar9.ico’ yang ada pada direktori Windows 4. Menghapus dan mengembalikan nilai registry yang dimanipulasi WSar.9 5. Program removal mampu melakukan pemeriksaan secara berkesinambungan dan menampilkan icon pada system tray.

1.9.2 PEMROGRAMAN Tambahkan 1 buah object TextBox dan 3 buah Module kemudian atur properti untuk masing-masing object sebagai berikut: Properti object Text1 Jenis Name

Nilai txtPath

Keterangan Mengatur nama TextBox menjadi txtPath


Nilai mdlWinExit



Nilai mdlTray


49

Jasakom


1.9 WSAR.9 REMOVAL


Properti Module3 Bab 1. Laucher File Removal

Jenis Name



Untuk module mdlWinExit Anda bisa menggunakan module yang sama pada WSar.6, module mdlTray dengan module yang sama pada WSar.1 Removal dan module mdlRegistryAPI dengan module yang sama pada WSar.4, kemudian ketik kode program berikut ini pada object frmRemoval. 'WSar.9 Removal by Achmad Darmal 'Tarakan, Kalimantan Timur - Indonesia Option Explicit On Private Declare Function GetWindowsDirectory Lib "kernel32" _ Alias "GetWindowsDirectoryA" (ByVal lpBuffer As String, _ ByVal nSize As Long) As Long Private Declare Function GetSystemDirectory Lib "kernel32" Alias _ "GetSystemDirectoryA" (ByVal lpBuffer As String, ByVal nSize _ As Long) As Long Private SF As String * 255 Function SpecialFolder(ByVal value) On Error Resume Next Dim FolderValue As String If value = 0 Then FolderValue = Left(SF, GetWindowsDirectory(SF, 255)) End If If value = 1 Then FolderValue = Left(SF, GetSystemDirectory(SF, 255)) End If If Right(FolderValue, 1) = "\" Then FolderValue = Left(FolderValue, Len(FolderValue) - 1) End If SpecialFolder = FolderValue End Function Private Sub Form_Load() lblStatus.Caption = "WSar.9 Removal - Ready ..." End Sub

50

Jasakom



Private Sub chkShield_Click() If chkShield.value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If End Sub Private Sub cmdProcess_Click() CheckWorm() End Sub Private Sub cmdTray_Click() If chkShield.value <> Checked Then If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then chkShield.value = Checked End If End If If chkShield.value = Checked Then AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If End Sub Private Sub form_MouseMove(ByVal Button As Integer, _ ByVal Shift As Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then ShowFormAgain(Me) RemoveFromTray() End If End Sub Private Sub tmrShield_Timer() If lblStatus.ForeColor = &HFFFF& Then lblStatus.ForeColor = &H0& Else lblStatus.ForeColor = &HFFFF& End If CheckWorm() End Sub

51

Jasakom



Private Sub CheckWorm() On Error Resume Next Dim WSarName As String Dim MainFile As String WSarName = GetStringValue("HKEY_LOCAL_MACHINE\So" & _ "ftware\Microsoft\Windows\CurrentVersion", "ProductNo") txtPath.Text = Trim(SpecialFolder(1) & "\" & WSarName) MainFile = txtPath.Text & ".exe" If Len(Dir$(MainFile)) <> 0 Then RemoveWorm() Else If chkShield.value <> Checked Then MsgBox("WSar.9 Not Found", vbExclamation) End If End If End Sub Private Sub RemoveWorm() On Error Resume Next Dim WSarName As String Dim WSarLast As String Dim WSarPath As String Dim MainFile1, MainFile2 As String WSarName = GetStringValue("HKEY_LOCAL_MACHINE\So" & _ "ftware\Microsoft\Windows\CurrentVersion", "ProductNo") WSarLast = GetStringValue("HKEY_LOCAL_MACHINE\Soft" & _ "ware\Microsoft\Windows\CurrentVersion", "ProductCode") MainFile1 = SpecialFolder(1) & "\" & WSarLast txtPath.Text = Trim(SpecialFolder(1) & "\" & WSarName) MainFile2 = txtPath.Text & ".exe" WinExit(WSarLast) : WinExit(WSarName & ".exe") MsgBox("WSar.9 found! And will be removed", vbExclamation + _ vbSystemModal) Kill(MainFile1) Kill(MainFile2) DeleteKeyValue("HKEY_LOCAL_MACHINE\Software\Micro" & _ "soft\Windows\CurrentVersion\Run", WSarName) DeleteKeyValue("HKEY_LOCAL_MACHINE\Software\Micro" & _ "soft\Windows\CurrentVersion", "ProductNo") DeleteKeyValue("HKEY_LOCAL_MACHINE\Software\Micro" & _ "soft\Windows\CurrentVersion", "ProductCode") If Len(Dir$(MainFile2)) <> 0 Then MsgBox("WSar.9 can not removed", vbCritical) chkShield.value = Unchecked Else ReConfig() MsgBox("WSar.9 succesfully removed", vbExclamation) End If End Sub

52

Jasakom

Private Sub ReConfig() On Error Resume Next SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _ "soft\Windows\CurrentVersion\Policies\System", "DisableReg" & _ "istryTools", 0) SetStringValue("HKEY_CLASSES_ROOT\regfile\shell\open\c" & _ "ommand", "", "regedit.exe " & """%1""") DeleteKeyValue("HKEY_CLASSES_ROOT\exefile", _ "NeverShowExt") Kill(SpecialFolder(0) & "\" & "WSar9.ico") SetStringValue("HKEY_CLASSES_ROOT\exefile\DefaultIcon", _ "", "%1") SetStringValue("HKEY_CURRENT_USER\Software\Microsoft" & _ "\Windows\CurrentVersion\Explorer\CLSID\{450D8FBA-A" & _ "D25-11D0-98A8-0800361B1103}\DefaultIcon", "", _ "%SystemRoot%\SYSTEM32\mydocs.dll,0") SetStringValue("HKEY_CURRENT_USER\Software\Microsoft" & _ "\Windows\CurrentVersion\Explorer\CLSID\{20D04FE0-3A" & _ "EA-1069-A2D8-08002B30309D}\DefaultIcon", "", _ "%SystemRoot%\explorer.exe,0") SetStringValue("HKEY_CURRENT_USER\Software\Microsoft" & _ "\Windows\CurrentVersion\Explorer\CLSID\{208D2C60-3A" & _ "EA-1069-A2D7-08002B30309D}\DefaultIcon", "", _ "%SystemRoot%\SYSTEM32\shell32.dll,17") SetStringValue("HKEY_CURRENT_USER\Software\Microsoft" & _ "\Windows\CurrentVersion\Explorer\CLSID\{645FF040-508" & _ "1-101B-9F08-00AA002F954E}\DefaultIcon", "full", _ "%SystemRoot%\SYSTEM32\shell32.dll,32") SetStringValue("HKEY_CURRENT_USER\Software\Microsoft" & _ "\Windows\CurrentVersion\Explorer\CLSID\{645FF040-508" & _ "1-101B-9F08-00AA002F954E}\DefaultIcon", "empty", _ "%SystemRoot%\SYSTEM32\shell32.dll,31") End Sub

Berikut penjelasan tentang kode program: Procedure Form_Load memiliki tugas sederhana, yaitu mengatur caption pada lblStatus menjadi "WSar.9 Removal - Ready ..." Procedure CheckWorm dimulai dengan melakukan pemeriksaan data pada nilai registry "ProductNo" dan pada key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windo ws\CurrentVersion". Data yang diperoleh disimpan pada variabel WSarName, kemudian mengatur nilai text pada txtPath dengan penggabungan dari path direktori System Windows, karakter "\" dan nilai variabel WSarName yang telah di trim (disederhanakan), kemudian mengatur nilai variabel MainFile dengan nilai text dari txtPath dan memberinya tambahan string ".exe" sebagai ekstensi.

53

Jasakom





Jika file yang mengacu pada nilai variabel MainFile ditemukan maka memanggil procedure RemoveWorm, jika tidak ditemukan maka jika nilai chkShield tidak ter-check, procedure akan menampilkan kotak pesan "WSar.9 Not Found". Procedure RemoveWorm dimulai dengan melakukan pemeriksaan key registry "HKEY_LOCAL_MACHINE\Soft ware\Microsoft\Windows\CurrentVersion" dan menyimpan data yang diperoleh dari nilai "ProductNo" pada variabel WSarName dan nilai "ProductCode" pada variabel WSarLast. Setelah itu mengatur nilai variabel MainFile1 dengan path direktori System Windows dan menambahkan string "\" serta menambahkan nilai dari variabel WSarLast. Procedure kemudian mengatur nilai text pada txtPath dengan penggabungan dari path direktori System Windows. Karakter "\" dan nilai variabel WSarName yang telah di trim, kemudian mengatur nilai variabel MainFile2 dengan nilai text dari txtPath dan memberinya tambahan string ".exe" sebagai ekstensi. Procedure ini kemudian menghentikan proses file yang mengacu pada nilai variabel WSarLast dan proses file yang mengacu pada penggabungan nilai variabel WSarName dan string ".exe", kemudian menampilkan kotak pesan "WSar.9 found! And will be removed". Instruksi dilanjutkan dengan menghapus file yang mengacu pada nilai variabel MainFile1 dan MainFile2. Procedure ini juga langsung menghapus nilai yang mengacu pada nilai variabel WSarName pada key registry "HKEY_LOCAL_MACHINE\Software\Microsoft\W indows\CurrentVersion\Run", kemudian menghapus pada key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion" dengan nilai "ProductNo" dan "ProductCode". Procedure kemudian memeriksa kembali file yang mengacu pada nilai variabel MainFile2, jika ditemukan maka menampilkan kotak pesan "WSar.9 can not removed" dan mengatur nilai chkShield menjadi tidak ter-check, sebaliknya jika tidak ditemukan maka procedure menampilkan kotak pesan "WSar.9 succesfully removed".

54

Jasakom

Procedure ReConfig memanipulasi nilai registry dengan mengatur nilai "DisableRegistryTools" pada key "HKEY_CU RRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" dengan nilai 0, mengatur nilai default pada key "HKEY_CLASSES_ROOT\regfile\shell\open\command" dengan string; regedit "%1" (dalam hal ini penulis masih menggunakan fungsi Chr ), kemudian menghapus nilai "NeverShowExt" pada key "HKEY_CLASSES_ROOT\exef ile". Instruksi dilanjutkan dengan menghapus file "WSar9.ico" pada direktori Windows, mengatur nilai default pada key "HKEY_CLASSES_ROOT\ exefile\DefaultIcon" dengan data: %1 kemudian mengembalikan nilai default pada subkey "DefaultIcon" untuk masing-masing key registry yang mengacu pada pengaturan icon My Documents, My Computer, My Network Place dan Recycle Bin.

55

Jasakom



Computer Worm 2 - Secret of Underground Coding

Recommend Documents