Virus Code W32.Generic

Warning!!! Articles Ini Hanya diperuntukkan untuk education dan pengetahuan saja. Dilarang keras mempergunakan articles ini untuk keperluan yang membahayakan dan merusak. Bila anda setuju silahkan teruskan tapi bila anda tidak setuju anda jangan meneruskan articles ini.

Saya menulis articles ini bukan bermaksud untuk mencemari computer-computer teman anda/ computer-computer anda dengan virus ini. saya hanya bermaksud untuk membedah bagaimana sih jeroannya virus itu?

Selama ini indonesia di gegerkan dengan ulah virus-virus local yang meresahkan, bahkan virus local tersebut bukan hanya menyerang penduduk Indonesian, tapi ternyata menyerang penduduk luar negeri juga bahkan ada yang nyampe ke eropa! Wah Hebaaat ya!

Tengok saja virus-virus local yang berjaya pada beberapa bulan yang lalau ; Brontok W32/VBWorm.NE , VBS/Hysra , rontok bro, cyrax, Dodol, flu burung, dll setidaknya virus-virus ini telah membuat beberapa orang resah karena ulahnya. Sebenarnya bagaimana sih wajah asli virus-virus tersebut?? Kenapa bisa sampe ngerusak computer-computer kita??

virus adalah program (software) yang merusak sistem computer yang ada. Jadi jelas yang namanya software/ program itu dibikinnya dari bahasa pemrograman!! Jadi secara langsung ataupun tidak langsung articles ini boleh dibilang belajar bahasa pemrograman juga ^_^.

Setelah saya amati, ternyata kebanyakan program-program virus ini di buat dengan menggunakan bahasa pemrograman Visual Basic. Termasuk juga brontox (yang sempat geger sampai ke negeri tetangga!) menurut kabar dari salah seorang pakar virus “anti hacker” bahwa brontox terbuat dari VB (Visual Basic).

Contoh virus yang disuguhkan kali ini adalah virus “Enarups Barracuda”. Virus ini memang tidak terkenal karena penyebarannya hanya memanfaatkan USB Flash/ Disket, CD dan Drive. Tapi untuk sekedar belajar virus hal ini sudah mencukupi. Virus ini dibuat pada sekitar bulan april 2007 dan sempat menyebar di beberapa tempat. Virus ini penah terdeteksi oleh anti virus McAfee dengan nama W32 Generic. Tapi setelah saya coba sampai saat ini ( november 2007) virus ini masih cukup aman dari antivirus AVG Update Terbaru dan Avigen. Tapi hati-hati dengan virus ini, virus ini sangat berbahaya bagi computer anda. file mp3, music, video, wav, mid, dan file audio lainnya akan hilang dimakannya. Virus ini hanya menyerang filetype audio dan video. Dan merasuki registy windows dengan menambahkan beberapa string pendukung virus tersebut.

Teknik Heuristik Pada Antivirus

Teknik heuristik merupakan teknik yang dipakai antivirus untuk mendeteksi keberadaan virus2 baru atau yang belum terdapat di signature antivirus tersebut. Bagaimana caranya? Tentunya setiap antivirus memiliki cara sendiri2. Kita ambil contoh antivirus (yang lokal2 aja ya..) Ansav +E Advanced 1.7.8 (ga tau klo ada versi barunya) , av ini mengusung “Advanced  Ansav  Heuristic  Engine”. Pada AAHE ini, Ansav akan mendeteksi suatu file sebagai ancaman dengan dengan membandingkan suatu signature dengan entrypoint/PE Header pada body file. Yah kurang lebih begitu. Sedangkan pada PCMAV rc23, heuristik andalannya yaitu dengan mengecek jika suatu file mempunyai signature suatu icon tertentu. Maksudnya jika kita membuat program yang mengandung icon folder (baik sebagai icon file atau resource) maka PCMAV akan menganggap file tersebut sebagai ancaman.Namun teknik-teknik heuristik tersebut dapat dilewati/ heuristic bypassing dengan mudah, misalnya pada Ansav, kita dapat memakai program packer2 yang tidak terdapat di “database” heuristiknya Ansav. Sedangkan pada PCMAV, ya.. paling gampang tinggal ga pake icon2 yang dianggap ancaman (icon folder, word dsb) atau mengubah struktur body icon memakai program hex editor (namun hati2 biar icon ga berubah gambar)Pada kesempatan ini saya akan membahas teknik heuristik untuk mendeteksi worm VBS. Ini karena penasaran sama PCMAV yang selau aja jitu menebak VBS worm. Ceritanya ketika teman saya minta bersihiin virus, truz ternyata terdeteksi sebagai worm oleh antivirus luar di pc saya, iseng pengen nyoba kehebatan antivirus saya tersebut, saya mencoba mengenkripsi worm tersebut, dimana tulisan “Scripting.FileSystemObject” saya enkripsi menjadi  Chr(83) + Chr(99) + Chr(114) + Chr(105) + Chr(112) + Chr(116) + Chr(105) + Chr(110) + Chr(103) + Chr(46) + Chr(70) + Chr(105) + Chr(108) + Chr(101) + Chr(83) + Chr(121) + Chr(115) + Chr(116) + Chr(101) + Chr(109) + Chr(79) + Chr(98) + Chr(106) + Chr(101) + Chr(99) + Chr(116) Tadaaa… ternyata antivirus saya tidak mampu mendeteksinya… Kemudian teringat PCMAV (soalnya pernah baca diweb resminya klo PCMAV punya heuristik canggih buat mendeteksi file VBS). Pas discan pake PCMAV ternyata terdeteksi. Ya udah saya enkripsi semua string. Ehhh ternyata masih terdeteksi… hebat2… ini antivirus punya paranoid heuristik Setelah saya teliti2 hampir seribu detik, ternyata heuristiknya PCMAV yaitu dengan mendeteksi beberapa tulisan yang tidak mungkin tidak dipakai oleh suatu worm, yaitu salah satunya kombinasi command “CreateObject” dan “wscript.scriptfullname”. Tulisan ini gimana ya enkripsinya?? soalnya tipe tulisan ini bukanlah string, melainkan command internal pada VBS. Klo di Delphi command2 mungkin bisa dienkripsi,itu mungkin juga cuma command2 yang memakai API misalnya “UrlDownloadToFile” dimana memanggil dari file urlmon.dll. Yah main2in memory (GetProcAddress).Tapi, saya ga akan membahas bagaimana caranya heuristic bypassing, malez bo klo banyak virus canggih, ntar klo ada cewek minta tolong saya bersiin pcnya dan saya ga bisa kan.. giiitu dech… Ok.. lanjut, kita kita akan bikin program dasar untuk mendeteksi worm VBS. Yang kita perlukan adalah VB6 dan :
Komponen dan nama

TextBox : Text1

CommandButton : Command1
CommandButton : Command2
CommonDialog : CommonDialog1Pada Command1 isikan :CommonDialog1.Filter = “VBS File (*.vbs)|*.VBS”
CommonDialog1.ShowOpen
If CommonDialog1.FileName = “” Then Exit Sub
Text1.Text = CommonDialog1.FileNamePada Command 2 isikan :Vbs_Checker Text1.TextKemudian buat fungsi sebagai berikut :
Public Function Vbs_Checker(ByVal target As String)If target = “” Then Exit Function
If Dir$(target) = “” Then Exit FunctionOn Error Resume NextOpen target For Input As #1
While EOF(1) = False
DoEventsLine Input #1, maltext
maltext = ” ” & maltext
maltext = LCase(maltext)If InStr(maltext, “createobject”) > 0 Then GoSub warning
If InStr(maltext, “regwrite”) > 0 Then GoSub warning
If InStr(maltext, “wscript.scriptfullname”) > 0 Then GoSub warning
If InStr(maltext, “ActiveDocument.Shapes.AddOLEObject”) > 0 Then GoSub warningWendExit Functionwarning:
MsgBox “Suspected command : ” & maltext, vbExclamation, “Warning”
Return
End Function
Seharusnya kode2 di atas self explained, tapi saya jelasin lagi deh buat pemula kaya saya. Inti dari program tersebut yaitu membaca file VBS yang kita pilih dan membandingkan isi file VBS dengan tulisan tertentu, misalnya “createobject”. Jika ketemu tulisan tersebut maka keluar peringatan.Sekali-lagi, kode2 di atas hanyalah konsep untuk mendeteksi worm VBS. Mungkin lebih baik dengan membandingkan lebih dari satu kata untuk mencegah indikasi false alarm.Demikianlah (kaya nutup pidato aja), mudah2an ada manfaatnya buat yang baca.
Trims.

Video tutorial belajar Delphi

Bagi yang ingin belajar pemrograman delphi, ada berbagai sarana untuk belajar. Lewat Buku, Internet, teman, Video, kursus dan sebagainya. Kalau buku, kita bisa mendapatkannya dengan mudah, tetapi kadang belajar lewat buku tidak mudah. Salah satu metode yang cukup efektif adalah melalui video. Karena kita tinggal melihat dan langsung praktek. Sebelumnya, bagi yang belum mempunyai compiler delphi, silahkan download Free Delphi compiler ( Turbo Delphi 2006 ), atau bisa juga Delphi 7 Personal atau Delphi 2005 personal. Ketiga versi itu bisa didapatkan secara gratis, dengan lisensi yang berbeda. Tentang Turbo Delphi ini silahkan lihat artikel disini.

Salah satu resources yang menyediakan tutorial video Delphi adalah http://delphi.wikia.com/wiki/Delphi_Videos. Daripada kita kerepotan mencari melalui search engine, maka disana sudah disediakan links maupun direct links berbagai tutorial. Hampir semuanya menggunakan Turbo Delphi. Tetapi harusnya kompatibel dengan Delphi 7 keatas. Alamat itu menyediakan koleksi [links] video tutorials dari berbagai sumber, yaitu :

• 3DBuzz Delphi Training Series
• 30 Camtasia Demos in 30 Days Series
• Two-minute tutorials, by : Nick Hodges
• CodeGearGuru tutorial movies
• Delphi Course by R I D D L E R S O F T
• Delphi-PRAXiS :: Videos
• Demo dan tutorial lainnya

Bagi anda yang bandwidthnya terbatas, mungkin akan lama untuk download tutorial-tutorial tersebut, karena besarnya rata-rata lebih dari 20 MB. belum lagi jumlahnya yang sangat banyak. Bagi yang berlokasi di Yogyakarta dan ingin memperoleh tutorial salah satu serinya ( 30 Camtasia Demos in 30 Days Series yang dibuat oleh Nick Hodges, Level: Beginner ) dapat langsung ketempat saya untuk mengcopy besarnya sekitar 750 MB ). Selengkapnya isinya sebagai berikut :

Title Description
#1 Intro to the IDE
#2 Hello World
#3 Basic Application Development
#4 Language Introduction
#5 More Lanugage Intro
#6 Basic String Manipulation
#7 Basic Datatypes
#8 Sets
#9 Arrays
#10 Records
#11 Basic Data
#12 Simple Class
#13 Procedure and Functions
#14 Units
#15 Inheritance
#16 Polymorphism
#17 Why OOP
#18 Properties
#19 Member Visibility
#20 Constructors and Destructors
#21 TurboPad: About Box
#22 TurboPad: File Open
#23 TurboPad: File Menu
#24 TurboPad: Saving
#25 TurboPad: Edit Menu
#26 TurboPad: Toolbar
#27 TurboPad: Word Wrap and Fonts
#28 Live Templates
#29 Refactorings
#30 Debugger

Sumber : http://ebsoft.web.id

var OutbrainPermaLink=”http://ebsoft.web.id/2007/09/08/video-tutorial-belajar-delphi/”; var OB_demoMode = false; if ( typeof(OB_Script)!=’undefined’ ) OutbrainStart(); else { var OB_Script = true; var str = “”; document.write(str); }

Membuat program dengan ukuran exe yang kecil

Artikel ini diperuntukkan bagi programmer delphi, minimal sudah pernah menggunakan program delphi. Tetapi tidak menutup kemungkinan bagi anda yang ingin belajar pemrograman delphi.

Jika kita membuat sebuah form kosong saja, maka akan dihasilkan file exe yang berukuran sekitar 290 KB dengan delphi 5, 360 KB dengan delphi 7 dan lebih besar lagi untuk delphi 2006. Walaupun kapasitas memory dan hardisk saat ini bisa dibilang lebih dari cukup, tetapi jika kita hanya ingin membuat program sederhana, ukuran seperti itu mungkin terlalu besar, belum lagi ditambah komponen lainnya dan harus di distribusikan melalui internet. Maka adakah solusinya agar aplikasi yang kita hasilkan memiliki ukuran yang kecil ?

jawabnya ada… sebenarnya bisa saja aplikasi tersebut di kompress dengan tools seperti UPX, yang bisa menjadikan aplikasi lebih kecil menjadi setengahnya atau lebih. Tetapi ada beberapa kelemahan menggunakan Exe compressor seperti UPX tersebut. Alternatif lainnya adalah langsung menggunakan fungsi-fungsi windows API (Application Programming Interface), file yang dihasilkan dijamin akan kecil. Tetapi dengan ini pemrograman jauh lebih sulit dan mungkin sangat menyita waktu hanya untuk membuat sebuah form kosong saja. Bagi programmer delphi ada komponen khusus yang sangat powerfull, supaya aplikasi yang dihasilkan berukuran kecil, cepat seperti menggunakan windows API secara langsung, bahkan mungkin lebih. Komponen ini namanya KOL ( Key Object Library ). Bagi yang belum pernah mendengar tentang KOL, bisa dilihat artikel tentang ini disini

Tertarik menggunakan komponen ini ?

Penggunaan komponen ini berbeda dengan komponen standard delphi lainnya. Setelah komponen ini diinstall ( sama seperti instalasi komponen lainnya ) maka untuk membuat sebuah program langkahnya sebagai berikut :

1. Buat project baru ( File > New > Application )
2. Save All Project ( File > Save All ) dan biarkan namanya unit1.pas dan Project1.dpr
3. Tempatkan komponen KOLProject ( dari tab KOL yang sudah diinstall) di Form1
4. Isi Property projectDest di komponen KOLProject1 tersebut dengan nama Project, misalnya Programku
5. Tempatkan sebuah komponen KOLForm di Form1
6. Gerakkan / geser salah satu komponen KOLProject atau KOLForm untuk menghasilkan kode tambahan di source codenya
7. Klik Save All, kemudian tutup semua project ( Close All )
8. Buka folder dimana file project ini disimpan, dan hapus semua file yang bernama Project1 (Project1.cfg, Project1.dof, Project1.dpr dan Project1.res)
9. Buka project Programku.dpr dan Compile atau Run
10. Jika langkah benar, akan dihasilkan file Programku.exe yang besarnya sekitar 22 KB

Program yang dihasilkan masih belum mempunyai icon, tetapi jangan khawatir, icon bisa ditambahkan nantinya. Ukuran 22 KB jauh lebih kecil dibandingkan dengan komponen standard yang mencapai 360 KB. Bahkan ukuran ini masih bisa diperkecil. Download komponen tambahan sysdcu yang sesuai dengan versi delphi yang digunakan, dan sertakan dalam Library path urutan pertama ( di menu Tools > Enviromment Options ). Kemudian Compile / Run lagi… maka aplikasi yang dihasilkan akan berukuran 13.5 KB …!!

var OutbrainPermaLink=”http://ebsoft.web.id/2007/07/20/membuat-program-dengan-ukuran-exe-yang-kecil/”; var OB_demoMode = false; if ( typeof(OB_Script)!=’undefined’ ) OutbrainStart(); else { var OB_Script = true; var str = “”; document.write(str); }

Membuat aplikasi Visual Basic kita terhindar dari Auto Kill VB

Hai… ketemu lagi dengan Tomero , udah lama aku nggak nongol. Maklum, lg banyak kesibukan nih. Hiks, sampai-sampai situs aja dicuekin.
Tapi, aku rindu bangat lho sama temen-temen hueheueheueheue… makanya aku buru-buru buat artikel walaupun sederhana yg penting bisa ktemu temen-temen. Cikuk..cikuk… ihi..ihi..ihik.. >(:o)

Oh iya, kembali jadi ngawur nih… kembali yah ke topik. Gini, semua orang apalagi yg udah kenyang yg namanya internet pasti deh dah kenal yg namanya “keylogger”. Bahkan, sudah banyak buku-buku tentang sekuriti komputer yg membahas tentang teknologi yg satu ini. Tapi jarang sekali ada yg mengulas bagaimana cara untuk mencegah agar orang yg menggunakan aplikasi yg kita buat terbebas dari ancaman mata-mata keylogger. Kebanyakan hanya mengulas bagaimana membersihkan software keylogger yg ada dikomputer, yang sudah tentu perlu meng-update layaknya anti-virus setiap kali ada keylogger baru. Belum lagi k’lo keyloggernya berbasis hardware, wah lain lagi deh ceritanya.

Semua keylogger baik yg dlm bentuk hardware, memiliki tujuan utama yg sama yaitu memantau semua data yg diketikkan oleh user. Jadi, semua data yg diinputkan/ketikkan ke suatu aplikasi akan dipantau dan disimpan untuk digunakan oleh pihak yang menanam keylogger tsb. Pada kesempatan ini, seperti yang aku katakan sebelumnya. Aku memberikan contoh bagaimana mengamankan user agar aman menggunakan aplikasi yg kita buat. Apalagi dalam hal sekuriti misalkan penginputan password. Untuk itu, jangan pernah berfikir aku akan membuat mesin scanning keylogger seperti layaknya anti-virus.

Contoh program dibuat disini adalah contoh sederhana. Aku menggunakan bahasa pemrograman Visual Basic. Yang mudah dimengerti namun, sangking mudahnya sampai saat ini nggak ada juga yang bisa buat aplikasi yang canggih lewat VB ini… hiks… Semua berkutat pada bahasa yg jauh lebih sulit, nyatanya outputnya jauh lebih bagus bila dibuat dng VB (karena mudah kali yah ). Bagi aku masalah mudah atau nggak tergantung keluarannya apa. Buat apa si marnok jauh-jauh belajar ke Amerika… eh, si otong lulusan dalam negeri jauh lebih pinter dari marnok…

Baiklah kita langsung ke pembuatannya yah…

1. Buka Designer Visual Basic kamu (aku pake v.6)

2. Tambahkan sebuah kontrol TextBox, lalu beri nilai properti “Name” menjadi “txtPassword”

3. Masuk ke jendela form code, isikan source code berikut:

‘<- START CODE ->’

‘*********************************************
‘CONTOH ANTI KEYLOGGER PADA VISUAL BASIC’
‘**********************************************

‘UNTUK PENJELASAN MENGENAI FUNGSI API, CARI AJA DIINTERNET
Private Declare Function VkKeyScan Lib “user32″ Alias “VkKeyScanA” (ByVal cChar As Byte) As Integer

Private Declare Sub keybd_event Lib “user32″ (ByVal bVk As Integer, ByVal bScan As Byte, ByVal dwFlags As Long, ByVal dwExtraInfo As Long)

‘Fungsi Untuk Menciptakan Nilai Random Dari Interval Tertentu….
Function RandomNumber(ByVal LowerBound As Single, ByVal UpperBound As Single) As Single
Randomize Timer
RandomNumber = (UpperBound – LowerBound) * Rnd + LowerBound
End Function

Private Sub txtPassword_Change()

TxtPassword.Locked = True ‘<== Sengaja Biar Nggak Banyak Makan Resource
Dim LoopC As Byte, i As Byte

LoopC = RandomNumber(3, 254) ‘Ciptakan Nilai Random Mulai 3 – 254

i = 0

‘Banyak Pengiriman Event Keyboard Random Setiap Kali Ketik…
Do While LoopC > i
‘Kirim Event Keyboard Secara Random Biar Mengacaukan Nilai Yang Ditangkap Keylogger
Call keybd_event(VkKeyScan(RandomNumber(32, 126)), 0, 0, 0)
i = i + 1
Loop

DoEvents ‘Kasih kesempatan program lain bekerja
TxtPassword.Locked = False
End Sub

‘<- END CODE ->’

Jalankan… kamu akan melihat tampilannya sbb:

Gbr. 1. Aplikasi Anti Pemantauan Keylogger

Silahkan melakukan percobaan dng keylogger. Oh, iya aku mendownload dari salah satu situs contoh keylogger sederhana yang bisa kamu download juga bersama-sama semua yang menyangkut artikel ini. Contoh output yg dihasilkan adalah

Gbr. 2. Aplikasi Keylogger dengan hasil pantauannya.

Dari sini kamu dapat melihat, pada aplikasi buatan kita (gbr. 1) aku menginput hanya 3 karakter saja. Namun, anehnya si keylogger (gbr. 2) memberi hasil pantauan yg lebih dar 3 karakter. Nah, aku rasa kamu sudah ngerti kali algoritma dari source code diatas. Yup!! Tepat sekali, sebenarnya bukan si keyloggernya yg salah tapi memang kita sengaja mengakali agar keylogger menangkap event keyboard yg sebenarnya tidak kita buat tapi dilakukan oleh program dan event keyboard ini tidak dikeluarkan pada posisi blink text melainkan di memory yang akan dimanfaatkan program yang menggunakannya dalam kasus ini keylogger tsb, artinya dia terjebak!!!…. hmmm bingung yah…

Begini, misalkan passwordku adalah “IDA”, dan akan kuisi ke form input aplikasi (gbr. 1). Pertama-tama saat aku menekan huruf “I” pada keyboard. keylogger akan menerima output huruf yang kita ketik ditambah huruf ketikan yg dikirim oleh program yg kita buat dng bentuk dan jumlah yg acak (random). Begitu pula saat aku ketik huruf berikutnya yaitu “D”, dan seterusnya. Lihat rumus berikut :

Output Keylogger = (Satu Karakter yg diketik) + (Karakter yang diciptakan program aplikasi secara acak X Nilai Acak)

X = Dikali / Sebanyak

Kalo dah begini… Pastinya, si penanam keylogger akan kebingungan melihat hasil pantauan yg diberikan keylogger. huehueheueheue.. biar kapok tuh para orang iseng yg memanfaatkan keylogger tuk curi-curi hak orang…. wueeekkk…

Akhir kata mungkin artikel ini belum cukup juga menjelaskan tentang keamanan yg menyangkut keylogger ini. Yah, saran aku sih belajar-belajarlah. Soalnya k’lo cuma dibaca doang, trus nggak dikembangin wah… sama aja aku ngasih biji tapi kamu letakin di tanah yg kering. Percuma khan… Aku pengen temen-temen pada jago-jago semua. Walaupun nih artikel terlalu kekanak-kanakan.. hiks…

Penutup, aku mo bilang makasih nih untuk semua yg ngedukung aku yaitu :

Buat Ibuku yang kucinta, salam sayang Ibu
Kakak… Tunggul Joh Genesis Tampubolon, sukses buat kerjaannya.
Adikku Torkis A. T, Torang B. T., Tumpal C. T., Timbul D. T., dan Trendy H. T salam hanagat dari sini buat Medan .
Temen2 di Medan anak2 SMU Markus, Bandku, temen2 rumah & tetangga salam damai…

Temen di internet antara lain:
Bang DoS [ZoelSepur] pendiri Indohacking, dan rekan-rekannya TH1, pendekar, rockemon dll.
Anggota 1r15… An|Vie, Djum_Put_Cok, NemesisByte dan lainnya.
Temen di xcode ^family_code^, dan rekan lainnya yang nicknya rada-rada susah diungkapkan.. sorri.. piece ajah..
Buat siapa aja deh, salam kenal ajah dan salam damai oke…

Salam Damai Sejahtera… Tomero,

>(:-\)=<~-<|:

meyer_webmail@yahoo.com (lagi maen skateboard… ihik..ihik…ihik.. cihuiii)

Note: silahkan download file pendukung artikel, klik [ Disini