RSS Feed (xml)
Konsep ini sebenarnya sangat sederhana. Saya yakin banyak yang mengetahui konsep ini namun tidak sadar mereka telah mengetahuinya. Memang apa sih konsepnya?
Pada dasarnya virus yang bisa berjalan di XP sebenarnya juga dapat berjalan di Vista. Lho kok? Iya, struktur sistem di Vista sebenarnya mirip dengan XP. Hanya saja di OS Windows Vista ditambahkan komponen yang tidak terdapat di XP. Komponen tambahannya cenderung yang mencondong ke arah keamanan. Salah satu yang paling menonjol adalah adanya fitur User Account Control.
USER ACCOUNT CONTROL?
Saya yakin kalian sudah tidak asing lagi mendengar fitur ini. User Account Control atau yang sering disingkat UAC adalah fitur keamanan andalan Vista. UAC akan membatasi hak akses User dalam menjalankan sebuah program. Bahkan account yang berkedudukan sebagai administrator sendiri juga akan diberlakukan Limited User Acces (LUA) yang dikontrol dengan UAC.
Sebuah program yang berjalan di Windows Vista tidak bisa mengubah konfigurasi sistem seenaknya tanpa izin dari User. Bahkan membuat folder, me-rename file dan memindahkan file di folder Program Files dan folder Windows saja tidak bisa dilakukan oleh sebuah program apabila tidak mendapat izin langsung dari User. Hal ini dikarenakan program-program tersebut akan difilter oleh UAC.
Bagaimana cara seorang User memberikan izin kepada sebuah program agar tidak difilter oleh UAC? Caranya sangat simpel. Klik kanan program tersebut, lalu akan muncul beberapa opsi. Pilih opsi RUN AS ADMINISTRATOR.
Jika User meng-klik Allow/Continue maka program dapat berjalan tanpa difilter oleh UAC. Sehingga program tersebut dapat mengubah konfigurasi sistem atau kegiatan manajemen file di folder vital (Windows dan System32). Jika User meng-klik Cancel ya artinya komputer akan membatalkan untuk menjalankan program tersebut. (P.S. : Jika User yang menjalankan ber-type standard atau guest maka untuk menjalankan program dibutuhkan password Administrator)
Nah karena UAC inilah virus-virus yang dapat berjalan di XP tidak bisa berjalan di Vista. Bagaimana jika fitur User Account Control ini tidak aktif? Benar! Virus bisa merajalela di Windows Vista!
User bisa me-nonaktifkan UAC secara manual melalui Control Panel. Tetapi untuk para expert kalian bisa melakukannya via registry. Alamatnya ada di :
HKLM\Sofware\Microsoft\Windows\CurrentVersion\Policies\System
Buat sebuah value ber-type DWORD dengan nama EnableLua dan isi value data-nya dengan nilai 0.
Restart komputer dan hupla, no more LUA (Limited User Access).
DEFAULT RUN AS ADMINISTRATOR
Seperti yang sudah dikatakan suatu program tidak bisa mengubah konfigurasi sistem seenaknya tanpa izin langsung dari User. Nah, bagaimana dengan aplikasi Installer? Aplikasi Installer adalah aplikasi yang akan menginstall sebuah program ke komputer. Misalnya installer game. Karena itu mau tidak mau aplikasi installer harus berjalan dengan modus “Run as Administrator”. Karena kalau tidak maka program tidak bisa ter-install.
Vista memberikan kemudahan kepada User dimana ada yang namanya Default Run As Administrator. Maksudnya jika User menjalankan aplikasi tersebut maka secara otomatis komputer akan menampilkan window UAC yang meminta permission kepada User. Aplikasi yang termasuk Default Run As Administrator biasanya di icon-nya akan ada gambar tameng UAC.
Bagaimana cara sebuah program dapat berjalan dengan Default Run As Administrator? Ada beberapa cara. Namun cara termudahnya adalah mengubah nama program menjadi nama yang mengandung kata INSTALL atau SETUP. Karena secara otomatis Vista akan mengeset file dengan nama yang mengandung kata INSTALL atau SETUP akan berjalan dengan Default Run As Administrator. Mudeng gak?
Untuk lebih ngertinya coba lihat gambar.
Sebelum di-rename
Kalau dibuka, maka akan langsung menuju program utama.
Setelah di-rename
Akan ada gambar tameng di icon program. Jika dibuka maka secara otomatis akan keluar window UAC.
KONSEP VIRUS VISTA
Nah dengan konsep fitur User Account Control saya merancang sebuah virus komputer yang berpotensi untuk berkembangbiak dengan lancar dan mengutak-atik konfigurasi sistem di Windows Vista tanpa difilter UAC. Bagaimana caranya?
Virus ini saya rancang dengan Visual Basic 6.0. Dan saya beri codename VB.Worm.Exterexia. Kenapa saya tulis “VB.Worm”? Iya karena malicious ware ini secara teknis adalah worm yang ditulis dengan bahasa Visual Basic. Tetapi cukup kita sebut dengan nama Virus Exterexia.
Virus ini akan menyebar ke removable disk dengan teknik Autorun. Tunggu dulu! Ya, pasti sebagian dari kalian akan berkomentar, “Teknik Autorun kan sekarang basi. Udah banyak yang tau. Lagian sekarang kebanyakan orang udah pada non-aktifin fungsi autorun di komputernya..”. Nah, karena itulah selain memakai teknik Autorun Virus ini juga akan memakai Social Engineering atau Rekayasa Sosial.
Lalu dimana bagian spesialnya? Ekhem…. Ini dia.
Teknik Autorun
Virus secara berkala mengecek semua drive yang terakses ke computer. Jika ada drive dengan type Removable (kayak Flash Disk, Disket, HD-External, dll) maka virus akan men-drop file infector ke drive tersebut. Ada 2 macam file infector yang digunakan Exterexia. Satu bernama LAUNCHER.exe dan satu lagi bernama SETUP.exe.
Lalu virus membuat autorun.inf yang isinya seperti ini :
shell\Explore\command= Launcher.exe
Shell = Explore
shellexecute = Launcher.exe
shell\Open\command= Launcher.exe
shell=Open
Jadi ketika User mengakses drive tersebut maka secara otomatis sistem akan menjalankan file Launcher.exe (jika fungsi Autorun tidak di-nonaktifkan).
Launcher.exe ini akan menampilkan pesan seperti gambar dibawah ini :
Lalu setelah mengklik OK maka Launcher.exe akan menjalankan SETUP.exe yang berjalan secara Default Run As Administrator. Sehingga otomatis akan keluar Window UAC yang meminta permission.
Jika User mengklik Cancel, window UAC akan keluar. Dan virus tidak akan berjalan. Hey! Percuma dong! Tenang, Launcher.exe akan dirancang sedemikian rupa sehingga dia akan mendeteksi bahwa SETUP.exe tidak berjalan. Sehingga Launcher.exe akan mengeksekusi kembali Setup.exe. Jika User mengklik Cancel lagi maka Setup.exe akan dieksekusi ulang oleh Launcher.exe. Begitu seterusnya hingga sang User mau mengklik Allow. Sesudah itu maka kekuasaan sudah ditangan. Setup.exe akan mematikan fitur User Account Control melalui Registry, menanamkan virus dan mengubah konfigurasi sistem lalu me-restart computer. Setelah direstart virus bisa berkembang biak dan mengacak-acak sistem dengan bebas!
P.S. : Untuk menghindari hal yang tidak diinginkan maka Launcher.exe akan me-minimize semua Window sehingga seperti benar-benar terlihat Removable Disk tidak bisa diakses. Selain itu Launcher.exe juga tidak akan berjalan apabila Exterexia sudah aktif di computer.
Social Engineering
Ini dia teknik cadangan apabila fungsi Autorun di-nonaktifin di komputer korban. Seperti yang dijelaskan pihak Microsoft sebelum Winows Vista dirilis, Vista hanya bisa dilimpuhkan oleh Social Engineering (walaupun tidak sepenuhnya bener). Social Engineering atau Rekayasa Sosial. Virus akan membuat file infector di setiap Removable Drive dengan nama : Hack Game Setup.exe. Diharapkan sang User akan membuka file infecor ini. Untuk menunjangnya virus juga akan membuat file txt dengan nama Readme.txt. Yang isinya adalah sebuah teks untuk menghasut user untuk membuka Hack Game. Padahal jika user membuka Hack Game Setup.exe maka yang ter-install bukanlah Hack Game tetapi sebuah virus. Dimana sebelum menanam virus, Hack Game Setup.exe akan menonaktifkan User Account Control.
Selain dapat berjalan di Vista virus ini juga akan berjalan dengan runtime library milik pribadi. Setelah file infector menanam virus file di sistem maka runtime msvbvm60.dll akan di-copy ke folder System32 dengan nama zrscnewx.dll. Nama yang tidak mencurigakan apabila berbaur dengan file-file dll(dynamic link library) lain di System32. Satu hal yang perlu diketahui tubuh virus file akan diutak-atik sedemikian rupa (dengan tool semacam HEX Editor) agar berjalan dengan runtime library zrscnewx.dll (Untuk lebih jelasnya coba lihat artikel Tutorial : GEBRAKAN BARU VB TANPA MSVBVM60.DLL atau Tutorial Jasakom). Sementara file infector sendiri tetap berjalan dengan menggunakan runtime library msvbvm60.dll. Karena gak lucu apabila file infector dibuat agar menggunakan runtime library selain msvbvm60.dll misalnya tukul.dll. Gimana bisa jalan kalau tukul.dll sendiri tidak ada di komputer korban?
Ok..ok.. mungkin diantara kalian masih ada yang gak ngerti dengan penjelasan dari saya. Ni deh… saya kasih gambar biar lebih jelas.
APA YANG AKAN DILAKUKAN EXTEREXIA?
Kegiatan yang rutin dilakukan oleh virus Exterexia :
1. Menonaktifkan UAC (Ya iyalah) apabila virus mendeteksi User mengaktifkan kembali UAC.
2. Menyembunyikan menu Control Panel.
3. Memblokir Task Manager.
4. Disable Klik kanan dan menukar fungsi mouse (klik kanan – klik kiri).
5. Apabila virus mendeteksi User membuka sebuah window dengan caption yang mengandung kata “Reg” dan “System Configuration” maka secara otomatis virus mengeluarkan pesan dan me-restart computer.
6. Virus juga akan menutup semua window yang mempunyai caption yang mengandung kata AV, PROC, PROS, KILL, TERMINATE, X-RAY, HIJACK, SECURITY, VIR, DETECT, REMOVAL, REMOVER, CLEAN, CAPTION, UPX, COMPIL, COMPRES, SYSINTER, HEX, PACKE, ANTI, AUTORUN, dan TOOL-KIT.
7. Membuat file txt di drive C
8. Memanipulasi registry section Image File Execution Option. Dimana virus akan mengeset jika aplikasi-aplikasi dengan nama : Notepad.exe, Wordpad.exe, CMD.exe, Calc.exe, dan Solitaire.exe tidak bisa dibuka.
9. Jika virus mendeteksi ada aplikasi yang berjalan dengan nama Wmplayer.exe (Windows Media Player) maka virus akan mengeluarkan pesan khusus.
10. Manipulasi registry yang dilakukan Exterexia dilakukan secara real-time sehingga akan mempersulit User dalam melakukan pembersihan.
11. Memakai teknik Watcher Method, dimana virus akan memakai 4 file proses. Antara satu proses dengan yang lain saling mengawasi. Jika salah satu di-terminate maka yang lain akan mengekseskusi kembali.
SOURCE CODE VIRUS
Ok, saatnya pelajari kode virus. Tetapi sebelumnya saya ingin mengingatkan,
“SEMUA INI HANYALAH UNTUK PEMBELAJARAN. TIDAK ADA MAKSUD UNTUK MENYEBARKAN INFORMASI YANG MENGHASUT USER UNTUK MEMBUAT VIRUS KOMPUTER. SEMUA TINDAKAN PENYALAHGUNAAN DARI ILMU YANG DIDAPAT DARI ARTIKEL ATAU SOURCE CODE VIRUS INI DILUAR TANGGUNG JAWAB SAYA.”
Download Source Code :
http://www.divshare.com/download/3061874-19e
Bagi yang punya Windows Vista, coba deh. Jalan gak?
Satu catatan, setelah virus menginfeksi sistem maka otomatis virus-virus lain juga dapat ikut menyerang komputer karena UAC di-disable oleh virus. Sungguh merugikan. Oleh karena itu walaupun OS kalian adalah Windows Vista tetap saja kalian direkomendasikan untuk memasang Antivirus tambahan (selain Windows Defender yang sudah di-paket-kan)
ARTIKEL/VIRUS SELANJUTNYA?
Mungkin teknik yang dipaparkan disini masih kacangan. Karena masih menggunakan Social Engineering dan Autorun. Dan juga tidak bisa Run as Administrator secara otomatis. Nah, kira-kira bagaimana caranya agar virus bisa Run as Administrator tanpa memerlukan “bantuan” User (Mengklik Allow)? Karena bisa saja ada User yang mengetahui kalau sebenarnya yang meminta permission adalah virus. Nah, oleh karena itu saya sedang merancang teknik “Auto Un-LUA”.
Apa itu Auto Un-LUA? Auto Un-LUA adalah teknik dimana virus yang kita buat bisa berjalan tanpa User mengklik Allow dalam Window User Account Control (Tentunya jika program berjalan dalam User Account yang berkedudukan sebagai Administrator). Bagaimana caranya? Yaitu dengan metode SendKey dimana virus akan memasukkan Input Enter ketika Window User Account Control muncul. Maka secara otomatis opsi Allow akan terpilih tanpa diklik User.
Teknik ini akan dipakai dalam virus Exterexia.B yang akan diparakan dalam artikel selanjutnya. Tapi sabar yah karena virus-nya belum selesai.
