Tentang IT dan Komputer

Teknologi Informasi

W32.Trafox.A Worm Semi Virus buatan lokal: Sebuah Evolusi Malware Lokal

Posted by intrik on May 13, 2007

Akhir-akhir ini perkembangan malware lokal di Indonesia cukup pesat, lihat saja pada malware yang baru saya dapatkan ini. Hal ini berawal dari saat saya sedang asik membuat versi terbaru Ansav Advanced yang sedang dalam proses pembuatan –dan tunggu saja mungkin sebentar lagi akan saya rilis ke publik–.

Pada saat itu saya heran, kenapa setiap kali selesai mengkompilasi Ansav dan ketika mencoba untuk mendebugnya dengan OllyDebug selalu saja Olly-nya tertutup sendiri, awalnya saya pikir normal saja, mungkin saja Olly-nya yang error, eh ternyata ketika saya mencoba menjalankan ansav-pun, ansavnya gak bisa dibuka, akhirnya rasa heranpun berubah menjadi curiga. Ternyata setelah dianalisa, KYAAAA!! komputer saya terkena virus, Ehm… jangan salah persepsi dulu walaupun saya merupakan pembuat ansav dan bisa dibilang paling getol membasmi virus, eh ternyata masih bisa saja komputer saya terkena virus, hal ini karena: saya adalah manusia, dimana manusia adalah tempatnya salah, sehingga wajar kalau saya bisa lengah, teledor dan akhirnya komputernya terkena virus ~_~”. Saya tidak ingat kapan dan dari mana datangnya virus bren***k ini, tapi seingat saya, terkahir komputer saya berhubungan dengan media eksternal adalah pada waktu men-copy program game pendidikan, mungkin dari situ. Karena itu berhati-hatilah jika sering melakukan pertukaran data dari luar.

lalu apa yang menarik dari cerita diatas, dan juga apa bagusnya menulis artikel ini? Akan saya jelaskan terlebih dahulu. Beberapa lama saya mencoba menganalisa malware ini, dan ternyata malware ini tidak hanya menggandakan diri seperti kebanyakan worm lokal Indonesia, tetapi juga menginfeksi file-file eksekutable bertipe .EXE, sehingga lebih pantas disebut sebagai Worm semi virus, karena dia menggandakan diri dan juga mampu menjadi parasit dalam tubuh program lainnya. Awalnya saya beranggapan bahwa ini adalah virus buatan luar, karena memang jarang virus lokal atau yang lebih lazim disebut worm melakukan modifikasi dan infeksi pada program lain, ternyata dugaan saya meleset, karena virus ini adalah virus buatan asli Indonesia, dan saya bisa mengatakan demikian karena: saya mendapatkan informasi string berikut pada tubuh raw yang saya dump menggunakan Ansav Advanced (tentang Ansav Advanced sabar ya… :P) :

<HTML>
<head>
</head>
<body bgcolor="red">
<center><h1>W32.TR4F0X.A</h1><br>
<br><font face="arial black" size="5">
- Say War To #VM Community (Jowoboot)<br>
- Kill all AV<br>
- Destroy all fuckin company.<br>
<br><br>
[ IVS * INDONESIAN VIRUS SOCIETY ]</font></center>
</body>

String tersebut berada di dalam tubuhnya yang dienkripsi sekaligus dipack dimana packernya menggunakan ASpack, dan tidak terlihat apabila dibuka file rawnya menggunakan hexa editor, dan hanya bisa dibaca dengan cara men-dump memori prosesnya. String tersebut apabila dibuat dan dibuka pada file dengan ekstensi .HTM atau .HTML akan tampak seperti berikut :

Kata-kata yang tidak mengenakkan ada pada pesan diatas pada baris kedua yaitu “Say War To #VM Community (Jowoboot)”, mengapa hal ini mengkhawatirkan?, karena kata-kata tersebut bisa memancing atau istilahnya memprovokasi para Vxer-vxer lain untuk berlomba-lomba membuat virus-virus baru dan dapat berakibat Cyber War, seperti yang pernah terjadi sebelumnya yaitu pertarungan antara Gang Antibrontok yang diwakili RomanticDevil + NoBron melawan Gang Jowoboot yang diwakili Brontok + Rontokbro, dan saya yakin Anda pasti tidak mengharapkan yang demikian ini terjadi ~_~”.

Hal itulah yang membuat saya tertarik untuk menulis artikel ini, selain itu pula secara tidak langsung hal ini menjadi tanda-tanda bahwa para vxer lokal telah mengalami kemajuan dibidang Malcoding, mengapa? karena apa yang saya temukan pada virus ini sangat mengejutkan, dimana sudah menerapkan beberpapa tehnik-tehnik yang tidak kalah hebatnya dengan worm-worm dan virus mancanegara pada umumnya, beberapa tehnik antara lain seperti Encryption, Polymorphic, Antidebug dan yang tidak kalah pentingnya adalah PE Infector, sudah diterapkan dalam pembuatannya.

Memang beberapa worm lokal lainnya ( sebelumnya ) juga ada yang melakukan modifikasi pada file/program lainnya, contohnya worm Grogotix, tapi kenapa worm grogotik tidak disebut sebagai Worm semi virus? padahal dia juga melakukan modifikasi pada file EXE lainnya. Tidak, Grogotix tidak memodifikasi file/program lainnya, seandainya iya pasti hanya berupa modifikasi yang tak berarti, Grogotix justru malah memodifikasi tubuhnya sendiri dan tentu saja hal ini tidak bisa dimasukkan dalam katagori infeksi, karena modifikasi tubuhnya sendiri itu maksudnya hanya menyimpan file/program lainnya kedalam tubuh worm yang tepatnya pada offset terakhir file-nya dan menjadi Overlays Data pada tubuh Grogotix sendiri, sehingga file/program asli tidak jalan dengan semestinya karena Grogotix butuh untuk mengekstraknya terlebih dahulu ke direktori tertentu ( dalam kasus ini direktori Temp ) dan menjalankan program tersebut dari situ, sehingga tidak semua program bisa jalan dengan sewajarnya, terutama program-program yang meletakkan runtime pada direktori instalasinya, sehingga tidak bisa disebut sebagai infeksi. hal ini berbeda dengan worm semi virus W32.Trafox.A yang saya dapatkan ini, karena virus ini benar-benar melakukan modifikasi pada program lainnya dan tidak hanya menumpuki atau meng-Append (menempelkan) file rawnya saja seperti Grogotix, (tentang perbedaan worm dan virus baca pada artikel yang pernah saya posting sebelumnya).

Adapun yang dilakukan Trafox untuk menginfeksi file EXE adalah dengan cara membelokkan entrypoint program aslinya ke tubuh virus, hal ini bisa dilakukan dengan cara menempelkan tubuh virus ke program lain dengan membuat section baru pada section terakhir, section tersebut memiliki nama ‘.idata’ ( ini pada varian virus yang saya dapatkan, pada varian lainnya mungkin akan berubah/berbeda ) dan virus ini akan membelokkan entrypoint program aslinya ke entrypoint virus. Sebentar…, apa itu entrypoint? Entrypoint adalah alamat awal suatu program yang akan dibaca dan dieksekusi terlebih dahulu ketika program pertama kali dijalankan, jadi apabila misalnya program kita asumsikan Winamp.exe (program pemutar musik paling terkenal) apabila winamp.exe tersebut terinfeksi oleh virus ini dan Anda mencoba menjalankan winamp, maka winamp akan tetap berjalan seperti biasa tetapi.., ini ada tetapi berarti anda juga secara tidak langsung telah menjalankan virus-nya, mengapa? Karena kode virus akan terlebih dahulu dieksekusi oleh komputer sebelum kode asli program winamp dijalankan, adapun apa yang akan diperbuat oleh kode virus ini adalah dengan cara menjalankan rutin untuk mengekstrak file (berupa worm induk) pada direktori System dan menjalankan worm induk tersebut dari sana, setelah proses tersebut selesai, virus akan segera mengembalikan kendali ke program yang sebenarnya (winamp.exe) sehingga sangat sulit untuk mengidentifikasi keberadaan virus ini, hal ini berpengaruh juga pada proses pembersihan virus tersebut, proses pembersihan menjadi lebih sulit dibandingkan membersihkan worm lokal lainnya, mengapa? karena kita harus panda-pandai memisahkan antara program asli dengan virus, jadi tidak bisa langsung Seek And Delete, karena apabila asal delete file program aslinya pun akan ikut hilang beserta virusnya, dan jarang ada orang yang berkeinginan demikian.

Awalnya saya berpikiran untuk menghapus setiap file yang telah terinfeksi dan menginstall ulang program yang terinfeksi, karena saya memang paling gak suka berurusan dengan virus yang menginfeksi file EXE, tetapi saya berubah pikiran karena ini adalah virus buatan lokal dan pasti akan menarik untuk dibahas dan dipelajari bersama, (lama-lama bosen juga melihat worm-worm lokal yang bisanya itu-itu saja :P). Akhirnya setelah memiliki tekad untuk memecahkan bagaimana cara mengobati file (program yang terinfeksi) setelah beberapa lama bengong dan termenung sendiri, sedikit demi sedikit saya coba untuk menganalisanya setelah komputer kepunyaan saya dibekukan terlebih dahulu untuk kemudian menggunakan komputer teman yang telah saya pasang Virtual Machine untuk menganlisa nih virus, tidak biasanya saya menggunakan Virtual Machine untuk menganalisa worm lokal apabila tidak benar-benar kepepet, tetapi saya juga manusia sehingga tidak mau menggadaikan data-data berharga saya untuk menganalisa virus, so be carefull..🙂

Satu..Dua..Tiga menit berlalu bahkan Satu..Dua.. jam pun berlalu, awalnya saya mengatakan sulit untuk menganalisa virus ini, tetapi karena rasa penasaran dan ketertarikan sendiri dengan uniknya virus ini berhasil membangkitkan semangat saya untuk memecahkan virus ini dan saya pun bisa mengatakan “tidak terlalu sulit”😛. Proyek membuat Ansav Advance saya pending terlebih dahulu dan saya backup dalam CD, untuk kemudian berurusan dengan virus ini, lama melakukan analisa dan setelah mendapatkan titik terang, perlahan-lahan untaian kode mesin pun bisa terbaca dan informasi-informasi penting pun diperoleh seperti entrypoint asli yang disembunyikan virus dan alghoritma encryptionnya, tidak lupa setiap informasi penting saya catat dengan notepad, dan beberapa kali saya membuat honey file, akhirnya sumuanya bisa dipahami seperti saya memahami angka 2 dari penambahan 1+1. Sebentar.., apa itu honey file?, oh ya lupa, honey file adalah cara saya untuk memancing virus agar menginfeksi file honey tersebut, dan membandingkan file honey tersebut setelah dan sebelum diinfeksi, atau lebih mudahnya disebut sebagai umpan, sehingga saya bisa menangkap perubahan-perubahan yang terjadi pada file yang diinfeksi untuk kemudian menciptakan alghoritma untuk mengobati file yang sudah terinfeksi agar bisa dikembalikan seperti semula tanpa kekurangan atau kelebihan apapun, jika perlu gunakan MD5 untuk memastikan bahwa file 100% telah kembali seperti semula🙂 (oh ya sedikit bocoran, Ansav Advanced telah menyediakan tool khusus untuk mengkalkulasi baik CRC32 maupun MD5).

Terakhir saya menarik kesimpulan, saya akui worm semi virus ini memang lebih maju dibandingkan dengan worm-worm lokal generasi sebelumnya, terutama dilihat dari cara infeksinya, tetapi ternyata masih ada kekurangan yang saya temukan dalam virus ini, apa itu? Walaupun virus ini mampu menginfeksi file/program lain, ternyata dalam proses infeksi virus masih selalu menyisakan overlays data (data sampah) pada akhir file yang ditumpanginya, sehingga akan menyebabkan banyak antivirus bisa men-suspect-nya, mengapa? saya tidak tahu secara jelas tujuan pembuatnya tetapi yang pasti file yang terinfeksi ukurannya akan semakin membengkak dari ukuran aslinya, sehingga akan sangat mencolok radar antivirus. Dilihat dari sini kemungkinan pembuatnya masih pemula dalam hal PE Infection terutama dalam pemahaman struktur file PE, karena saya temukan juga beberapa kesalahan dalam format image base yang ditambahkan tidak disesuaikan dengan besar sectionnya, hal ini bisa berakibat fie/program yang dipack atau diprotect dengan packer/protector tertentu akan rusak dan tidak bisa jalan apabila sudah terinfeksi, sehingga proses infeksi tidak bersih.

Dalam waktu kurang lebih 3-4 jam saya berhasil membuatkan remover-nya untuk virus ini, remover tersebut saya buat menggunakan assembly dan juga saya jadikan Open Source maka anda dipersilahkan untuk memodifikasinya dan atau mengimprovisasi source code ini, tentu masih bisa dioptimasi dan mungkin masih banyak bug yang harus diperbaiki. Cleaner ini bisa mengobati file yang telah terinfeksi dengan tuntas, tehnik yang digunakan untuk membersihkan bisa anda pelajari pada source code cleaner-nya, disitu sudah saya sertakan komentar-komentar untuk mempermudah pemahaman.

Bagi siapa saja yang merasa telah terinfeksi virus ini, berikut adalah cara membersihkannya :

    • Matikan fasilitas system restore pada Windows versi 2K/XP keatas
    • Matikan proses dengan nama “Services_test.exe”, bisa menggunakan Windows Task Manager.
    • Jalankan remover yang telah saya buat.

Lihatlah pada screenshot diatas, terlihat komponen-komponen MASM saya diinfeksi oleh virus tersebut, hal ini terjadi pada saat saya sedang mengambangkan Ansav dan terpaksa kegiatan saya pun tertunda oleh gangguan virus ini.

Dalam membuat remover ini belum saya sertakan listing untuk membunuh virus trafox yang aktif dalam memori, hal ini dikarenakan saya belum sempat menuliskan listingnya, disebabkan saya sedang sibuk membuat Ansav Advanced, mungkin suatu saat, atau anda sendiri yang akan menambahkan? silahkan.., walupun begitu anda bisa mematikannya dari task manager, santai saja virus ini sangat mudah dihentikan lewat task manager.

Sejauh ini saya hanya memahami cara kerja virus ini pada file yang telah terinfeksi, sedangkan pada worm induknya belum sempat saya analisa apa dan bagaimana kerjanya, sehingga maklumlah apabila saya belum dapat membeberkan lebih banyak tentang virus ini, mungkin di postingan yang akan datang tentunya setelah saya menyelesaikan pembuatan Ansav Advanced-nya. Atau jika ada yang sudah menganalisanya silahkan beritahu saya nanti akan saya posting🙂. Oh ya, sekalian saja untuk siapa saja yang punya artikel-artikel menarik seputar virus dan malware kirimkan saja ke saya di anvie_2194[aT]yahoo.com Owkeh sekian dulu, untuk remover dan source codenya bisa di download pada link dibawah ini.

Download cleaner kicktrafox.zip

Dan juga saya sertakan screenshot tampilan untuk Ansav Advanced yang sedang saya kembangkan, pada waktu rilis mungkin tampilannya akan berbeda/berubah dengan yang di bawah ini.

[4NV|e]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: