membuat Virus Komputer denganVB+ViMaker32

Sesuai dengan namanya program ini dapat menciptakan worm dalam bahasa Visual Basic yang akan mempunyai aksi-aksi tertentu sesuai dengan pengaturan yang diberikan. (Bener-bener sesuai dengan pengaturan yang kita kasih lho….), so buat para newbie yang pengen jadi #VM (Virus Maker bo…!) bisa pake ni program buat belajar. Tapi Cuma buat belajar lho, bukan buat mainan atawa yang laen apalagi buat ngerusak komputer orang laen, sesuai dengan tujuan dibuatnya tool ini, Cuma buat pendidikan dan ilmu pengetahuan, (Itu kata pembuatnya….).Oh ya Program ini bisa didownload gratis di: http://www.spyrozone.net di menu Vir&Worm + Removal. Atau e-mail aj ke sang empunya di: rzwan182@gmail.com.

setelah didownload, pertama install dulu program VB+Vimaker32-nya tapi sebelumnya backup dulu data2 penting untuk mencegah sesuatu yang tidak diinginkan, truz jalanin file .exe nya, lalu pilih File->Project Baru (Full Load) atau tekan Ctrl+M di keyboard. Hasilnya seperti gambar dibawah ini.

Tampilan VB+Vimaker32 RC 03 :

Masukan semua keterangan tentang virus yang akan dibuat beserta pengaturan-pengaturan lainnya, seperti pengaturan Informasi Virus, Registry, Message dan dll. Masukan semuanya sesuai dengan keinginan, untuk lebih lengkapnya buka aja dokumentasinya yang disertakan. Semua informasi pengaturan settings dll ada disitu. Yang menarik dari program ini adalah karna banyak pengaturan dan kustomasi yang bisa diatur sendiri sesuai dengan kebutuhan, tidak seperti program worm generator lainnya yang cuma tinggal masukin nama pembuat dan pesan yang akan ditampilkan, terasa kurang bebas dan leluasa gtu… J,

Untuk pengaturan tentang registry yang akan diubah bisa diambil di menu Tools-> Registry Action Selector, terdapat 50 Registry Entry yang bisa dipilih, tinggal pilih truz double klik di setingan registry-nya. Truz klik Insert, Cut dan paste di section [REGISTRY]. Selain itu worm yang dibuat dengan tools ini juga bisa membaca caption window yang aktif sehingga jika caption tersebut ada dalam daftar terlarang maka akan otomatis dilumpuhkan. Untuk memilih daftar window caption yang akan dilumpuhkan gunakan Window Caption Selector di menu Tools. Disitu ada 176 daftar caption yang bisa dipilih. Tuh kan ga beda jauh dengan worm lokal sejenisnya. Pokokenya top bgt nih program! He..he… J

Berikut tampilan Registry Action Selector :

Window Caption Selector

Jangan lupa icon virusnya juga bisa diubah, untuk mengganti icon default tinggal ubah di subsection : EXEIcon = \Icons Source\Folder\Folder001.ico
Terdapat banyak pilihan icon yang disediakan didalam folder Icons Source, so tinggal pilih aja…
Terakhir dan merupakan saat yang ditunggu-tunggu adalah melakukan pemeriksaan kode yang telah diketik sebelum dicompile menjadi virus. Klik menu Project->Analisa Project atau tekan F8 untuk menganalisa kode, setelah analisa selesai dan tidak ada kesalahan penulisan kode yang dideteksi maka ‘Black Project’ yang kita buat bisa langsung dicompile. Tekan F9 untuk mengcompile project dan sebuah pesan peringatan akan muncul dan menanyakan apakah proses compile akan dilajutkan, baca dulu semua konsekuensinya truz klo setuju klik yes, maka virus yang kita buat akan langsung dicompile menjadi file executable (.exe)

File virus hasil compile :

File hasil compile memang cukup besar karena tidak otomatis dikompres secara internal, tapi kita masih bisa mengompres dengan program kompresor lain seperti UPX atau tElock. Akhir kata selamat ber-Virus Maker J Semoga artikel ini bermanfaat dan sungguh tak ada niat dari penulis sedikitpun untuk memotivasi agar membuat virus dengan tool ini, tujuan penulis tidak lain hanya berbagi informasi dan pengetahuan dan penulis tidak bertanggung jawab atas segala resiko apapun yang terjadi akibat dari penyalahgunaan artikel ini. Dan penulis ucapkan terima kasih kepada jasakom yang telah bersedia mempublish artikel ini.

Thank’s to : BC2 Community – The Croniclez – Salam buat: semua alumni 5 depok angkatan 2006/2007. [By: Fyro_Angel : fyro_angel@yahoo.co.id]

Source: JASAKOM Information Center

W32.Trafox.A Worm Semi Virus buatan lokal: Sebuah Evolusi Malware Lokal

Akhir-akhir ini perkembangan malware lokal di Indonesia cukup pesat, lihat saja pada malware yang baru saya dapatkan ini. Hal ini berawal dari saat saya sedang asik membuat versi terbaru Ansav Advanced yang sedang dalam proses pembuatan –dan tunggu saja mungkin sebentar lagi akan saya rilis ke publik–. Pada saat itu saya heran, kenapa setiap kali selesai mengkompilasi Ansav dan ketika mencoba untuk mendebugnya dengan OllyDebug selalu saja Olly-nya tertutup sendiri, awalnya saya pikir normal saja, mungkin saja Olly-nya yang error, eh ternyata ketika saya mencoba menjalankan ansav-pun, ansavnya gak bisa dibuka, akhirnya rasa heranpun berubah menjadi curiga. Ternyata setelah dianalisa, KYAAAA!! komputer saya terkena virus, Ehm… jangan salah persepsi dulu walaupun saya merupakan pembuat ansav dan bisa dibilang paling getol membasmi virus, eh ternyata masih bisa saja komputer saya terkena virus, hal ini karena: saya adalah manusia, dimana manusia adalah tempatnya salah, sehingga wajar kalau saya bisa lengah, teledor dan akhirnya komputernya terkena virus ~_~”. Saya tidak ingat kapan dan dari mana datangnya virus bren***k ini, tapi seingat saya, terkahir komputer saya berhubungan dengan media eksternal adalah pada waktu men-copy program game pendidikan, mungkin dari situ. Karena itu berhati-hatilah jika sering melakukan pertukaran data dari luar. lalu apa yang menarik dari cerita diatas, dan juga apa bagusnya menulis artikel ini? Akan saya jelaskan terlebih dahulu. Beberapa lama saya mencoba menganalisa malware ini, dan ternyata malware ini tidak hanya menggandakan diri seperti kebanyakan worm lokal Indonesia, tetapi juga menginfeksi file-file eksekutable bertipe .EXE, sehingga lebih pantas disebut sebagai Worm semi virus, karena dia menggandakan diri dan juga mampu menjadi parasit dalam tubuh program lainnya. Awalnya saya beranggapan bahwa ini adalah virus buatan luar, karena memang jarang virus lokal atau yang lebih lazim disebut worm melakukan modifikasi dan infeksi pada program lain, ternyata dugaan saya meleset, karena virus ini adalah virus buatan asli Indonesia, dan saya bisa mengatakan demikian karena: saya mendapatkan informasi string berikut pada tubuh raw yang saya dump menggunakan Ansav Advanced (tentang Ansav Advanced sabar ya… :P) : <HTML> <head> </head> <body bgcolor="red"> <center><h1>W32.TR4F0X.A</h1><br> <br><font face="arial black" size="5"> - Say War To #VM Community (Jowoboot)<br> - Kill all AV<br> - Destroy all fuckin company.<br> <br><br> [ IVS * INDONESIAN VIRUS SOCIETY ]</font></center> </body> String tersebut berada di dalam tubuhnya yang dienkripsi sekaligus dipack dimana packernya menggunakan ASpack, dan tidak terlihat apabila dibuka file rawnya menggunakan hexa editor, dan hanya bisa dibaca dengan cara men-dump memori prosesnya. String tersebut apabila dibuat dan dibuka pada file dengan ekstensi .HTM atau .HTML akan tampak seperti berikut : Kata-kata yang tidak mengenakkan ada pada pesan diatas pada baris kedua yaitu “Say War To #VM Community (Jowoboot)”, mengapa hal ini mengkhawatirkan?, karena kata-kata tersebut bisa memancing atau istilahnya memprovokasi para Vxer-vxer lain untuk berlomba-lomba membuat virus-virus baru dan dapat berakibat Cyber War, seperti yang pernah terjadi sebelumnya yaitu pertarungan antara Gang Antibrontok yang diwakili RomanticDevil + NoBron melawan Gang Jowoboot yang diwakili Brontok + Rontokbro, dan saya yakin Anda pasti tidak mengharapkan yang demikian ini terjadi ~_~”. Hal itulah yang membuat saya tertarik untuk menulis artikel ini, selain itu pula secara tidak langsung hal ini menjadi tanda-tanda bahwa para vxer lokal telah mengalami kemajuan dibidang Malcoding, mengapa? karena apa yang saya temukan pada virus ini sangat mengejutkan, dimana sudah menerapkan beberpapa tehnik-tehnik yang tidak kalah hebatnya dengan worm-worm dan virus mancanegara pada umumnya, beberapa tehnik antara lain seperti Encryption, Polymorphic, Antidebug dan yang tidak kalah pentingnya adalah PE Infector, sudah diterapkan dalam pembuatannya. Memang beberapa worm lokal lainnya ( sebelumnya ) juga ada yang melakukan modifikasi pada file/program lainnya, contohnya worm Grogotix, tapi kenapa worm grogotik tidak disebut sebagai Worm semi virus? padahal dia juga melakukan modifikasi pada file EXE lainnya. Tidak, Grogotix tidak memodifikasi file/program lainnya, seandainya iya pasti hanya berupa modifikasi yang tak berarti, Grogotix justru malah memodifikasi tubuhnya sendiri dan tentu saja hal ini tidak bisa dimasukkan dalam katagori infeksi, karena modifikasi tubuhnya sendiri itu maksudnya hanya menyimpan file/program lainnya kedalam tubuh worm yang tepatnya pada offset terakhir file-nya dan menjadi Overlays Data pada tubuh Grogotix sendiri, sehingga file/program asli tidak jalan dengan semestinya karena Grogotix butuh untuk mengekstraknya terlebih dahulu ke direktori tertentu ( dalam kasus ini direktori Temp ) dan menjalankan program tersebut dari situ, sehingga tidak semua program bisa jalan dengan sewajarnya, terutama program-program yang meletakkan runtime pada direktori instalasinya, sehingga tidak bisa disebut sebagai infeksi. hal ini berbeda dengan worm semi virus W32.Trafox.A yang saya dapatkan ini, karena virus ini benar-benar melakukan modifikasi pada program lainnya dan tidak hanya menumpuki atau meng-Append (menempelkan) file rawnya saja seperti Grogotix, (tentang perbedaan worm dan virus baca pada artikel yang pernah saya posting sebelumnya). Adapun yang dilakukan Trafox untuk menginfeksi file EXE adalah dengan cara membelokkan entrypoint program aslinya ke tubuh virus, hal ini bisa dilakukan dengan cara menempelkan tubuh virus ke program lain dengan membuat section baru pada section terakhir, section tersebut memiliki nama ‘.idata’ ( ini pada varian virus yang saya dapatkan, pada varian lainnya mungkin akan berubah/berbeda ) dan virus ini akan membelokkan entrypoint program aslinya ke entrypoint virus. Sebentar…, apa itu entrypoint? Entrypoint adalah alamat awal suatu program yang akan dibaca dan dieksekusi terlebih dahulu ketika program pertama kali dijalankan, jadi apabila misalnya program kita asumsikan Winamp.exe (program pemutar musik paling terkenal) apabila winamp.exe tersebut terinfeksi oleh virus ini dan Anda mencoba menjalankan winamp, maka winamp akan tetap berjalan seperti biasa tetapi.., ini ada tetapi berarti anda juga secara tidak langsung telah menjalankan virus-nya, mengapa? Karena kode virus akan terlebih dahulu dieksekusi oleh komputer sebelum kode asli program winamp dijalankan, adapun apa yang akan diperbuat oleh kode virus ini adalah dengan cara menjalankan rutin untuk mengekstrak file (berupa worm induk) pada direktori System dan menjalankan worm induk tersebut dari sana, setelah proses tersebut selesai, virus akan segera mengembalikan kendali ke program yang sebenarnya (winamp.exe) sehingga sangat sulit untuk mengidentifikasi keberadaan virus ini, hal ini berpengaruh juga pada proses pembersihan virus tersebut, proses pembersihan menjadi lebih sulit dibandingkan membersihkan worm lokal lainnya, mengapa? karena kita harus panda-pandai memisahkan antara program asli dengan virus, jadi tidak bisa langsung Seek And Delete, karena apabila asal delete file program aslinya pun akan ikut hilang beserta virusnya, dan jarang ada orang yang berkeinginan demikian. Awalnya saya berpikiran untuk menghapus setiap file yang telah terinfeksi dan menginstall ulang program yang terinfeksi, karena saya memang paling gak suka berurusan dengan virus yang menginfeksi file EXE, tetapi saya berubah pikiran karena ini adalah virus buatan lokal dan pasti akan menarik untuk dibahas dan dipelajari bersama, (lama-lama bosen juga melihat worm-worm lokal yang bisanya itu-itu saja :P). Akhirnya setelah memiliki tekad untuk memecahkan bagaimana cara mengobati file (program yang terinfeksi) setelah beberapa lama bengong dan termenung sendiri, sedikit demi sedikit saya coba untuk menganalisanya setelah komputer kepunyaan saya dibekukan terlebih dahulu untuk kemudian menggunakan komputer teman yang telah saya pasang Virtual Machine untuk menganlisa nih virus, tidak biasanya saya menggunakan Virtual Machine untuk menganalisa worm lokal apabila tidak benar-benar kepepet, tetapi saya juga manusia sehingga tidak mau menggadaikan data-data berharga saya untuk menganalisa virus, so be carefull.. 🙂 Satu..Dua..Tiga menit berlalu bahkan Satu..Dua.. jam pun berlalu, awalnya saya mengatakan sulit untuk menganalisa virus ini, tetapi karena rasa penasaran dan ketertarikan sendiri dengan uniknya virus ini berhasil membangkitkan semangat saya untuk memecahkan virus ini dan saya pun bisa mengatakan “tidak terlalu sulit” :P. Proyek membuat Ansav Advance saya pending terlebih dahulu dan saya backup dalam CD, untuk kemudian berurusan dengan virus ini, lama melakukan analisa dan setelah mendapatkan titik terang, perlahan-lahan untaian kode mesin pun bisa terbaca dan informasi-informasi penting pun diperoleh seperti entrypoint asli yang disembunyikan virus dan alghoritma encryptionnya, tidak lupa setiap informasi penting saya catat dengan notepad, dan beberapa kali saya membuat honey file, akhirnya sumuanya bisa dipahami seperti saya memahami angka 2 dari penambahan 1+1. Sebentar.., apa itu honey file?, oh ya lupa, honey file adalah cara saya untuk memancing virus agar menginfeksi file honey tersebut, dan membandingkan file honey tersebut setelah dan sebelum diinfeksi, atau lebih mudahnya disebut sebagai umpan, sehingga saya bisa menangkap perubahan-perubahan yang terjadi pada file yang diinfeksi untuk kemudian menciptakan alghoritma untuk mengobati file yang sudah terinfeksi agar bisa dikembalikan seperti semula tanpa kekurangan atau kelebihan apapun, jika perlu gunakan MD5 untuk memastikan bahwa file 100% telah kembali seperti semula 🙂 (oh ya sedikit bocoran, Ansav Advanced telah menyediakan tool khusus untuk mengkalkulasi baik CRC32 maupun MD5). Terakhir saya menarik kesimpulan, saya akui worm semi virus ini memang lebih maju dibandingkan dengan worm-worm lokal generasi sebelumnya, terutama dilihat dari cara infeksinya, tetapi ternyata masih ada kekurangan yang saya temukan dalam virus ini, apa itu? Walaupun virus ini mampu menginfeksi file/program lain, ternyata dalam proses infeksi virus masih selalu menyisakan overlays data (data sampah) pada akhir file yang ditumpanginya, sehingga akan menyebabkan banyak antivirus bisa men-suspect-nya, mengapa? saya tidak tahu secara jelas tujuan pembuatnya tetapi yang pasti file yang terinfeksi ukurannya akan semakin membengkak dari ukuran aslinya, sehingga akan sangat mencolok radar antivirus. Dilihat dari sini kemungkinan pembuatnya masih pemula dalam hal PE Infection terutama dalam pemahaman struktur file PE, karena saya temukan juga beberapa kesalahan dalam format image base yang ditambahkan tidak disesuaikan dengan besar sectionnya, hal ini bisa berakibat fie/program yang dipack atau diprotect dengan packer/protector tertentu akan rusak dan tidak bisa jalan apabila sudah terinfeksi, sehingga proses infeksi tidak bersih. Dalam waktu kurang lebih 3-4 jam saya berhasil membuatkan remover-nya untuk virus ini, remover tersebut saya buat menggunakan assembly dan juga saya jadikan Open Source maka anda dipersilahkan untuk memodifikasinya dan atau mengimprovisasi source code ini, tentu masih bisa dioptimasi dan mungkin masih banyak bug yang harus diperbaiki. Cleaner ini bisa mengobati file yang telah terinfeksi dengan tuntas, tehnik yang digunakan untuk membersihkan bisa anda pelajari pada source code cleaner-nya, disitu sudah saya sertakan komentar-komentar untuk mempermudah pemahaman. Bagi siapa saja yang merasa telah terinfeksi virus ini, berikut adalah cara membersihkannya : Matikan fasilitas system restore pada Windows versi 2K/XP keatas Matikan proses dengan nama “Services_test.exe”, bisa menggunakan Windows Task Manager. Jalankan remover yang telah saya buat. Lihatlah pada screenshot diatas, terlihat komponen-komponen MASM saya diinfeksi oleh virus tersebut, hal ini terjadi pada saat saya sedang mengambangkan Ansav dan terpaksa kegiatan saya pun tertunda oleh gangguan virus ini. Dalam membuat remover ini belum saya sertakan listing untuk membunuh virus trafox yang aktif dalam memori, hal ini dikarenakan saya belum sempat menuliskan listingnya, disebabkan saya sedang sibuk membuat Ansav Advanced, mungkin suatu saat, atau anda sendiri yang akan menambahkan? silahkan.., walupun begitu anda bisa mematikannya dari task manager, santai saja virus ini sangat mudah dihentikan lewat task manager. Sejauh ini saya hanya memahami cara kerja virus ini pada file yang telah terinfeksi, sedangkan pada worm induknya belum sempat saya analisa apa dan bagaimana kerjanya, sehingga maklumlah apabila saya belum dapat membeberkan lebih banyak tentang virus ini, mungkin di postingan yang akan datang tentunya setelah saya menyelesaikan pembuatan Ansav Advanced-nya. Atau jika ada yang sudah menganalisanya silahkan beritahu saya nanti akan saya posting :-). Oh ya, sekalian saja untuk siapa saja yang punya artikel-artikel menarik seputar virus dan malware kirimkan saja ke saya di anvie_2194[aT]yahoo.com Owkeh sekian dulu, untuk remover dan source codenya bisa di download pada link dibawah ini. Download cleaner kicktrafox.zip Dan juga saya sertakan screenshot tampilan untuk Ansav Advanced yang sedang saya kembangkan, pada waktu rilis mungkin tampilannya akan berbeda/berubah dengan yang di bawah ini. [4NV|e]

VB VIRUS / WORM Tanpa MSVBVM60.DLL

Cara mudah untuk menggagalkan proses aplikasi yang dibuat dari bahasa Visual Basic 6.0 adalah dengan menghapus file runtime msvbvm60.dll pada direktori System Windows, ini adalah file dynamic link library dari Microsoft Visual Basic Virtual Machine versi 6.0(msvbvm50.dll untuk VB 5.0, mscoree.dll untuk VB.Net).

Cara ini kemudian menjadi populer dan keberhasilannya sungguh tidak terbantahkan. Beberapa email kemudian masuk ke mailbox Penulis dan menanyakan hal yang serupa, “Mas Darmal yang cakep dan baik hati (kalimat yang terdengar merdu ini Penulis tambah sendiri :)), apakah bisa suatu VB worm dapat tetap berjalan walaupun file msvbvm60.dll terhapus? atau adakah cara untuk mencegah user menghapus file msvbvm60.dll tersebut?”. Pertanyaan ini akhirnya “menggelitik” Penulis untuk melakukan serangkaian percobaan, akhirnya Penulis menyimpulkan bahwa worm yang dibuat dalam bahasa Visual Basic 6.0 tetap memerlukan file msvbvm60.dll, tapi jangan khawatir karena selalu ada cara untuk mengakalinya.

1. DIRECT PROTECTION
Saat aplikasi berbasis Visual Basic tereksekusi dan aktif pada memory maka tidak ada satu carapun yang bisa dilakukan untuk menghapus file msvbvm60.dll tanpa terlebih dahulu mematikan proses aplikasi tersebut, jika user mencoba untuk menghapus file msvbvm60.dll melalui Windows Explorer maka sistem akan segera menampilkan sebuah kotak pesan sebagai berikut.

Pada Windows 98 dan ME user juga tidak dapat mengubah nama (rename) ataupun memindah file (move), namun pada Windows 2000 dan XP, user walaupun tidak mampu untuk menghapus file msvbvm60.dll tapi tetap dengan mudah dapat mengubah nama atau memindah ke folder lain, hal ini akan menggagalkan proses aplikasi Visual Basic tersebut pada eksekusi berikutnya. Untuk mencegah user menghapus atau memindah file msvbvm60.dll ini pada Windows 2000 ataupun XP maka file tersebut harus berada pada kondisi terbuka, lalu bagaimana cara membuka file yang notabene bukan dokumen tersebut? Penulis mengutip sedikit teknik pada buku Computer Worm 1 yaitu membuka atau membaca file msvbvm60.dll tersebut sebagai file binary ataupun text, perhatikan 2 contoh code Visual Basic berikut ini.

1. Open c:\windows\system32\msvbvm60.dll For Binary Access Read As #1
2. Open c:\windows\system32\msvbvm60.dll For Input As #1

Selama code tersebut tidak menutupnya dengan statement Close #1 maka file msvbvm60.dll tersebut tidak akan dapat dihapus, diubah nama ataupun dipindah tempatkan, namun jika user tetap nekat untuk mencoba mengubah nama ataupun memindah file msvbvm60.dll melalui Windows Explorer maka sistem akan segera menampilkan kotak pesan sebagai berikut.

2. MSVBVM60.DLL EVERYWHERE
Proteksi secara langsung sudah dilakukan, lalu bagaimana jika user mencoba untuk menghapus file msvbvm60.dll tersebut pada saat worm sedang tidak aktif, misalnya saja user menggunakan multi OS ataupun boot dengan disk operating system (DOS) sehingga file launcher suatu worm tidak dapat tereksekusi pada environment tersebut? Pada saat suatu file aplikasi Visual Basic tereksekusi maka secara default aplikasi tersebut akan mencari dan me-load file msvbvm60.dll, nah file msvbvm60.dll secara default ada pada direktori %windir%\system untuk sistem operasi Windows 98 dan ME, kemudian pada direktori %windir%\system32 untuk Windows 2000 dan XP, tapi tahukah anda jika pertama kali aplikasi tersebut sebenarnya mencari file msvbvm60.dll bukan pada direktori default melainkan pada direktori yang sama dengan file aplikasi tersebut?! Ya Penulis tahu saat ini Anda berfikir untuk membuat backup file msvbvm60.dll disetiap direktori yang memuat aplikasi tersebut bukan? :).

Aplikasi Visual Basic juga akan mencari pada direktori %windir%\system dan lokasi direktori yang terdaftar pada path Windows. Adapun untuk melihat lokasi yang ada pada path Windows, dapat menggunakan perintah PATH seperti yang akan Penulis contohkan pada command prompt berikut ini:

Terlihat path-path yang terdaftar dipisahkan dengan tanda “;”. Dengan melihat path diatas dapat disimpulkan bahwa lokasi pencarian akan berada pada path berikut ini:

1. Path direktori yang sama dengan file aplikasi VB tersebut
2. Direktori C:\WINDOWS\system
3. Direktori C:\WINDOWS\system32
4. Direktori C:\WINDOWS
5. Direktori C:\WINDOWS\System32\Wbem
Kita juga bisa menambahkan path tertentu yang kita inginkan, pada Windows 98 dan ME pengaturan ini berada pada file autoexec.bat yang secara default berada pada root direktori C: namun worm-worm yang Penulis temukan sepertinya lebih suka mengoverwrite file tersebut ketimbang menambah atau mengeditnya, berikut baris yang ditambahkan atau dimanipulasi:

SET PATH=C:\WINDOWS;C:\WINDOWS\COMMAND;C:\WINDOWS\WSAR

Pada contoh diatas Penulis menambahkan sebuah path baru yaitu direktori %windir%\WSAR. Untuk Windows 2000 dan XP pengaturannya berada pada registry dengan key sebagai berikut:

Key	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
Value	Path
Type	REG_EXPAND_SZ
Data	%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem; %SystemRoot%\WSar; C:\Documents and Settings\All Users\Desktop

Pada contoh diatas Penulis kembali menambahkan sebuah path baru yaitu direktori %windir%\WSar dan C:\Documents and Settings\All Users\Desktop.

3. MSVBVM60.DLL??? GAK BUTUH LA YAU
Proteksi secara langsung sudah dilakukan, file msvbvm60.dll pun sudah ada dimana-mana, tapi begitu mengetahui aplikasi tetap berjalan sementara file msvbvm60.dll pada direktori default sudah berhasil dihapus membuat user penganalisa menjadi bertanya-tanya, tak lama kemudian user ini melihat fenomena yang sangat aneh bin ajaib, file msvbvm60.dll bertebaran dimana-mana dengan menyandang attribut super hidden :). Hilang sudah sabar dihati, user ini pun kemudian mengeluarkan senjata andalannya program KillVB yang dapat didownload gratis pada url http://www.compactbyte.com, program yang mampu melumpuhkan proses semua worm lokal maupun non lokal yang dibuat dengan bahasa pemrograman Visual Basic tanpa terkecuali sehingga worm Brontok varian terakhir dan mutakhirpun tidak akan berkutik, program KillVB ini pun semula memang dirancang khusus untuk memerangi worm Brontok.
Agar mudah dihapus user ini kemudian mengatur attribut file msvbvm60.dll menjadi normal kembali dengan menggunakan perintah command prompt berikut ini:

Kemudian menggunakan fasilitas Find atau Search untuk mendapatkan semua file msvbvm60.dll untuk kemudian menghapusnya, atau bisa dengan perintah command prompt berikut ini:

Dengan berakhirnya proses suatu worm maka system defender yang digunakan pun juga berakhir, dengan demikian user bisa menggunakan aplikasi apa saja untuk memperbaiki konfigurasi yang telah dimanipulasi suatu worm.

Akhirnya Penulis kembali melakukan serangkaian percobaan, Penulis membuat sebuah aplikasi sederhana dengan menggunakan Visual Basic, kemudian menghapus file msvbvm60.dll pada direktorinya, saat aplikasi tersebut dieksekusi yang terjadi adalah Windows memberikan pesan sebagai berikut:

Pesan tersebut memberikan informasi bahwa file msvbvm60.dll tidak berhasil ditemukan, tiba-tiba saja terbesit sebuah ide untuk melihat body program tersebut pada aplikasi hex editor, gambarannya akan terlihat sebagai berikut:

Penulis menemukan strings MSVBVM60.DLL pada body program tersebut, iseng-iseng Penulis kemudian menggantinya menjadi BLAHBLAH.TXT, saat dieksekusi tampil lagi sebuah pesan dengan isi yang sedikit berbeda, perhatikan gambar berikut ini:

Hei… untuk apa program ini mencari file BLAHBLAH.TXT ??? :), seperti yang baru saja Anda duga Penulis kemudian membuat salinan file msvbvm60.dll baru yang sebelumnya terhapus dan mengubah nama file tersebut menjadi blahblah.txt, alhasil era baru pembuatan aplikasi visual basic pun dimulai, program tersebut berjalan dengan baik tanpa menggunakan file yang bernama msvbvm60.dll lagi tetapi kini menggunakan runtime blahblah.txt, siapa mengira file dengan ekstensi txt ternyata adalah file runtime Microsoft Visual Basic Virtual Machine, adapun ekstensi yang digunakan tidak terbatas pada ekstensi yang telah terasosiasi saja. Dengan mengacu file runtime yang tidak mengandung string “msvbvm” pada nama filenya tentu saja worm tersebut kini akan meloloskan diri dengan sangat mudah dari program KillVB.

Suatu worm dapat mengaplikasikan teknik ini dengan algoritma sebagai berikut; saat file infector worm tereksekusi, worm kemudian membuat salinan sebagai file launchernya pada suatu direktori tertentu, kemudian mengedit file tersebut dan mengubah string MSVBVM60.DLL menjadi nama acak lainnya, setelah itu worm kemudian membuat salinan file msvbvm60.dll pada direktori yang terdaftar pada path Windows dan segera mengubah nama file tersebut dengan nama acak yang digunakan sebelumnya, adapun file infectornya nanti tetap akan menggunakan string MSVBVM60.DLL ini.

Beberapa exe compressor, mengenkripsi string msvbvm60.dll ini sehingga tidak dapat diubah secara langsung, adapun salah satu program compressor yang tetap membiarkan string ini eksis pada body program adalah UPX (the ultimate packer for executables).

4. YANG PAKE VB MINGGIR!!
Setelah mampu berjalan tanpa menggunakan file yang bernama msvbvm60.dll, worm yang lupa daratan ini pun kini ikut-ikutan worm lain dengan mencegah eksekusi aplikasi atau worm yang dibuat dengan menggunakan bahasa Visual Basic 6.0, namun untuk menghindari penggunaan cara lamerz yang akan menimbulkan kecurigaan maka worm ini tidak akan menghapus file msvbvm60.dll tetapi memanipulasi body file tersebut, untuk manipulasi ini pun harus berhati-hati, jangan sampai saat mengeksekusi program user kemudian melihat pesan sebagai berikut:

Pesan tersebut akan menimbulkan pertanyaan oleh user, “Ada apa dengan msvbvm60.dll?”, adapun salah satu manipulasi yang Penulis kira aman adalah sebagai berikut:

Mengganti string “@..@.reloc” yang memiliki nilai hex [40 00 00 40 2E 72 65 6C 6F 63] menjadi nilai hex [00 00 00 00 00 00 00 00 00 00], adapun pesan yang akan tampil saat suatu program Visual Basic 6.0 dieksekusi adalah sebagai berikut:

Melihat kotak pesan yang tampil, kini pertanyaan user yang akan timbul adalah “Ada apa dengan program Project1.exe?”. ”Mene ke tehe …:)” Nah.. hari gini masih menggunakan cara lamerz yang sudah terlalu kuno untuk melumpuhkan VB?. “Actually… it’s not about the language, but the trick!”

—- Jika Anda ingin menyadur semua atau sebagian ide atau isi, menjadikan referensi atau mempublish artikel ini pada site, blog atau media apapun maka dengan senang hati Penulis persilahkan, namun mohon kiranya untuk tetap menyebutkan nama Penulis, terima kasih. —-

============ EOF ============

Penulis : Achmad Darmal
Tarakan, Kalimantan Timur – Indonesia
www.friendster.com/darmal | achmad_darmal@yahoo.com.sg | www.darmal.net

SUMBER
Dari sebuah naskah yang belum rampung, yang Penulis sebut dengan codename:
COMPUTER WORM 3 -The Biggest Secret Finally Revealed

Intip naskah : Naskah ini akan lebih mengedepankan sisi gelap worm writer, mengusung teknik-teknik berbahaya yang dianggap tabu untuk diketahui. Pernahkah anda menemukan suatu VB worm yang prosesnya sama sekali tidak bisa dihentikan oleh engine antivirus atau program removal buatan lokal seperti: KillVB (dalam hal ini worm tetap menggunakan vb-runtime bernama msvbvm60.dll), The Killer Machine, AVIGen Anti Virus, CompactbyteAV, SmadAV, Ansav, Ognizer AntiVirus, GAV, Anti IndoVir  bahkan PCMAV sekalipun? Penulis sangat yakin Anda belum pernah. Nah salah satu lanjutan WSar alias worm dasar yang sangat sederhana pada naskah buku ini akan memaksa program-program antivirus dan program removal tersebut bukan hanya mengupdate signature-nya tetapi juga merombak ulang core engine-nya. “That’s a knowledge isn’t it?”

REFERENSI
Buku Computer Worm 1 – Secret Of Underground Coding | www.jasakom.com/penerbitan

TERIMA KASIH
Semua pembaca buku Computer Worm dimanapun berada, Penulis juga mohon maaf yang sebesar-besarnya jika email yang Anda kirimkan ternyata terlewatkan atau sangat terlambat dibalas oleh Penulis (begitu banyaknya mail yang masuk, maka penulis nantinya akan membuat sebuah rule bagi pengirim mail). Terima kasih juga buat pengirim mail yang mengirimkan kritik/saran, laporan bug dan terlebih lagi juga yang sudah menyempatkan diri untuk mencarikan solusinya, terakhir penulis ucapkan terimakasih untuk Jasakom yang sudah berkenan mempublish artikel ini.

GREETS
Teman-teman di Kampus Biru AMIK PPKIA Tarakanita Rahmawati Tarakan, teman-teman di Friendster..”wah udah lama banget gak nyentuh internet nih”.

JUST FOR YOU
Special Thanks buat pembaca yang sudah meresensikan, merekomendasikan atau memperkenalkan buku Computer Worm melalui site-site, blog, yahoo group ataupun forum-forum. Beberapa yang Penulis temukan saat surfing dengan Google! adalah sebagai berikut :

• t4rum4 : http://www.seniman.web.id/diskusi/viewtopic.php?p=1378&sid=662e0a69cd3d5a4c40db107caa458ef9
• gnoubdils : http://www.kaskus.us/showthread.php?t=516539
• Fariskhi Vidyan : http://farislab.webs.io
• xela-chan : http://xela.blog.m3-access.com/archives/200702.html
• donatbollonk & black star : http://www.kaskus.us/showthread.php?t=403290
• Saptadi Handoko : http://www.friendster.com/32099769
• Miaw Cool : http://www.friendster.com/10028287
• Ahmad Ido : http://ahmadidomurtado.blogspot.com
• Max keZee : www.friendster.com/darmal
• farieh : http://myquran.org/forum/index.php?topic=3942.300
• I Made Nudi : http://www.friendster.com/37472145
• ORB UNION : http://www.friendster.com/28106952

Achmad Darmal