Terkadang kita dibuat kelabakan karena virus menyembunyikan folder option kita, jangan khawatir, ada program dan sourcecode-nya kok. Just check it out ...
Sebenarnya program ini ada di buku pertama virologi, yaitu ”Seni Programming Virus Menggunakan Visual Basic”, tapi apa salahnya dibahas lagi. Program ini terbagi 2 yaitu form dan module. Fornya sendiri berguna untuk desain aplikasi, biar kelihatan di layar komputer, jadi tidak dianggap virus, sedangkan modulnya untuk meng-injeksi registry yang dimanipulasi oleh virus. Coba lihat baris – baris pada modulnya :
Public Sub CreateIntegerKey(Folder As String, Value As Integer)
Dim b As Object
On Error Resume Next
Set b = CreateObject("wscript.shell")
b.RegWrite Folder, Value, "REG_DWORD"
End Sub
Kode ini berguna untuk menginjeksi registry, dan pemanggilannya ada di form-nya, coba lihat di baris:
Private Sub Command7_Click()
CreateIntegerKey "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt", 0
CreateIntegerKey "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", 1
End Sub
Nah tombol command7 berfungsi untuk mengembalikan fungsi Folder Options pada windows yang telah dimanipulasi virus lewat registry..
Anda bisa mendonlot nya di:
Program dan source Pengembali Folder Options
Semoga bermanfaat,
ANALISIS VIRUS JOKER
Hello, kali ini saya menemukan sebuah virus yang aneh + unik. Sederhana tetapi cukup bisa membuat bulu kuduk berdiri (bagi pengguna komputer yang awam dan penakut). Bagaimana tidak komputer kita diancam oleh “seseorang” yang mengaku dirinya sebagai THE JOKER. Bersamaan dengan Joker saya juga mendapat virus Pendekar Blank 2. Tapi saya lebih memilih untuk menganalisis Joker terlebih dahulu. Soalnya asyik nih….
VIRUS “THE JOKER”
Size = 60Kb
Icon = Seperti program Installer
CRC32 = 69B40418
MD5 = 34FC52D152F08EDBFE811C494B605B1A
RIPEMD-160 = 009CCA95993F90C10EB73F7805608BA7BF58B8C1
Jika kita bongkar dengan BinText atau semacamnya akan terlihat bahwa virus ini di-compress dengan UPX dan nickname pembuatnya bernama N16HT.M4R3 (Night.Mare)
Seperti yang sudah dikatakan virus ini sederhana. Virus ini menyebar ke Removable Disk dengan teknik Autorun. Yaitu membuat Autorun.inf dan menyalinkan dirinya dengan nama : harvey.exe. Isi Autorun.inf tersebut adalah :
[autorun]
shellexecute=harvey.exe
Rupanya pembuat virus Joker tahu kalau sekarang ini sedang marak-maranya menghidari infeksi virus dengan men-disable Autorun. Maka dari itu Joker juga membuat file virus lain dengan nama : Luna Maya.exe beserta file readme.txt yang isinya :
Tolong nitip bentar file saya ya...
Pokoknya filenya gak penting
Nanti saya ambil, awas kalau filenya dibuka...
Cukup membuat penasaran bukan? Begitu dibuka maka Joker akan meneror komputer kita layaknya “Gotham City” dalam film Batman.
Joker akan membuat 3 file induk, yaitu :
~ %Systemdir%\Fun.exe (Contoh : “C:\Windows\System32\Fun.exe”)
~ %Systemdir%\Alfred.exe
~ %Windowsdir%\kjoker.exe (Contoh : “ C:\Windows\kjoker.exe”)
Untuk membuat file virus aktif saat startup Joker akan memanipulasi Registry di alamat :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Dengan value bernama Fun House yang isinya lokasi file induk Fun.exe
Selain itu Joker juga akan memanipulasi registry di alamat :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Value yang dimanipulasi adalah String bernama Shell yang value data-nya diganti menjadi : explorer.exe, %Windowsdir%\kjoker.exe. Contoh : explorer.exe, C:\Windows\kjoker.exe
Juga di alamat :
HKLM\SYSTEM\ControlSet001\Control\SafeBoot
Value AlternateShell yang isinya lokasi file induk kjoker.exe
Dengan begitu selain virus aktif saat startup maka virus juga akan aktif pada modus Safe Mode dan Safe Mode With Command Prompt.
Sudah-sudah tinggalkan dulu masalah manipulasi registry. Sekarang coba kita lihat “mimpi buruk” yang akan diciptakan oleh THE JOKER. Coba kita buka file document atau game Hearts, Freecell, dan Solitaire. Apa yang terjadi?
Captionnya akan berubah menjadi JOKER FUN CARD HOUSE. Kemudian beberapa detik setelahnya berubah lagi menjadi I’M JOKER, CHANGE YOUR COMPUTER TIME TO 12:12:12 NOW!
Lalu apa yang terjadi jika jam diubah menjadi 12:12:12 (sebenarnya saya ubah ke detik 10 biar pas munculnya)? Ternyata muncul pesan seperti yang sudah saya katakan, cukup membuat bulu kuduk berdiri (bagi user yang awam dan penakut). Seperti gambar dibawah ini.
Baiklah, THE JOKER sudah mengancam akan mengoprek sistem komputer kita. Apa yang dilakukannya? Coba intip drive-drive kita. Label Drive C:\, D:\, dan E:\ akan berubah menjadi JOKER FUN HOUSE.
Dari segi pertahanan virus ini memang cukup hebat + jahil. Namanya juga Joker. Selain memblokir menu Run via registry, Joker juga akan memblokir beberapa window dan program. Jahil apanya? Coba saja deh kalau komputer Anda terinfeksi virus Joker, buka folder System atau System32, MSCONFIG, dan Regedit. Astala Vista, window akan ditutup dan keluar pesan seperti ini :
Beberapa detik kemudian komputer akan di-restart olehnya.
Selain utility yang disebutkan Joker juga akan menutup program PCMAV-CLN.exe (nama default program antivirus portable Indonesia yang populer) dan saya kaget ketika pesan yang muncul adalah :
Cukup hebat juga. Selain PCMAV-CLN.exe, PCMAV.exe dan PCMAV-RTP.exe juga diblokir via registry di Image File Execution. Untuk mencegahnya cukup dengan me-rename-nya.
Setelah dianalisis lebih lanjut Joker juga akan menutup semua window yang caption-nya mengandung kata : process, proses, kill, sysinternals, hijack, av, vir, anti, hex, detect, clean, removal, remover, dan tool-kit.
Tidak menutup kemungkinan kata-kata lain juga ikut diblokir. Saya males meriksa satu-satu :)
Oh, iya khusus untuk caption process, Joker juga akan mengeluarkan pesan Catch me if you can kemudian komputer di-restart.
Baiklah kembali ke masalah manipulasi registry. Registry yang dimanipulasi tidak mudah diperbaiki. Oh, iya sebelumnya saya ingin kasih tahu Joker memakai teknik Watcher Method dimana 3 file induk tadi saling memantau proses-nya. Jika salah satu tidak ditemukan maka yang lain akan mengeksekusinya kembali.
Walaupun begitu virus ini juga cukup “baik” dimana Folder Options tidak diblokir. Tetapi rasanya percuma saja. Karena jika opsi HIDE OPERATING SYSTEM FILES (RECOMMENDED) di-non aktifkan maka Joker akan mengaktifkannya kembali.
Sama dengan registry yang dimanipulasi. Jika valuenya dihapus atau dirubah maka Joker akan membuatnya kembali atau memperbaikinya.
Aduh, yang ini sampai lupa. Joker juga akan memanipulasi alamat registry lain untuk :
~ Mengubah Internet Explorer Title menjadi : Joker Fun Browser
~ Menukar fungsi mouse (klik kanan <> Klik Kiri)
~ Memblokir file induk virus Pendekar Blank (sisi baiknya Joker?!)
Karena dibuat dengan bahasa Visual Basic 6.0 maka Joker akan membuat cadangan msvbvm60.dll di %Windowsdir%. Lalu di-set attribute-nya menjadi Hidden + System.
PENANGGULANGAN VIRUS JOKER :
Karena Joker tidak memblokir Task Manager maka kita bisa menggunakannya untuk memantau proses file induk Joker. Proses yang dimiliki Joker : Fun.exe, Alfred.exe, dan kjoker.exe. Tapi, Joker memakai teknik Watcher Method yang akan memantau proses satu sama lain. Apa yang kita butuhkan?
Tool seperti Show Kill Process, ProceXP, A-Squared Hijackfree, dan lain-lain juga tidak bisa karena program tersebut meng-kill proses satu persatu. Lagipula program juga akan ditutup oleh Joker sebelum Anda sempat menggunakannya.
Kalau begitu kita butuh tool yang mempunyai kemampuan Multi-Killer. Salah satu tool Multi-Process Killer favorit saya adalah CurrProcess namun karena caption-nya mengandung kata “process” maka Joker akan menutupnya. Kalau Viremoval CRC32 1.03 yang mempunyai fitur Multi-Killer? Juga tak bisa karena window caption-nya mengandung kata “Vir” (juga akan ditutup).
Untuk itu silahkan download software PROXESS yang saya rancang dengan Visual Basic 6.0 di ……….. Bagaimana menggunakannya? Cukup klik 2 kali proses-proses program yang mempunyai lokasi-lokasi file induk virus. Untuk Joker adalah lokasi Fun.exe, Alfred.exe, dan kjoker.exe. Lihat di penjelasan saya pertama-tama.
Setelah itu klik Stop. Kemudian Refresh. Cek apakah masih ada proses dari ketiga file induk Joker. Jika sudah hilang berarti kita bisa mengakses Registry dengan aman. Tunggu saya lihat Joker membuat value DisableRegistryTools di HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Sysem. Tapi, oh.. ternyata gak ada efeknya. Ya bagus lah. Sekarang coba ke alamat Registry ini :
-------
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Value Shell isinya diubah menjadi explorer.exe
HKLM\SYSTEM\ControlSet001\Control\SafeBoot
Value AlternateShell isinya diubah menjadi cmd.exe
HKCU\Software\Microsoft\Internet Explorer\Main
Value Window Title isinya diubah menjadi Internet Explorer
-------
Setelah itu hapus value Registry di alamat :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
HKCU\Control Panel\Mouse\SwapMouseButtons
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Fun House
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe\Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe\Debugger
-------
Lalu terserah Anda apakah file induk virus Pendekar Blank ingin tetap diblokir atau tidak. (Blokir aja bleh… biar agak membantu). Tapi jika Anda memaksa untuk tidak memblokirnya maka hapus value Registry di alamat :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Hole.zip\Debugger", "TRAP
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Unoccupied.reg\Debugger", "TRAP
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zero.txt\Debugger", "TRAP
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Blank.doc\Debugger", "TRAP
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Empty.jpg\Debugger", "TRAP
-------
Baiklah setealah itu ganti Label Drive C:\, D:\, dan E:\ (Jika ada) sesuai yang Anda inginkan. Satu lagi, non-aktifkan opsi HIDE OPERATING SYSTEM FILES (RECOMMENDED) dan aktifkan opsi SHOW HIDDEN FILES AND FOLDERS di Folder Options. Kemudian hapus file induk Joker di :
~ %Systemdir%\Fun.exe (Contoh : “C:\Windows\System32\Fun.exe”)
~ %Systemdir%\Alfred.exe
~ %Windowsdir%\kjoker.exe (Contoh : “ C:\Windows\kjoker.exe”)
Semoga bermanfaat!
virus VB tanpa msvbvm
Critanya gini kemarin si saber ke rumahku.. wah tumben nich ni anak ke rumah hehe.. gak taunya dateng tu Cuma mau minta tools buat nge-kill beberapa proses secara bersamaan. Katanya sich Notebook Ce-nya kena virus.. namanya buat calon istri, apapun dilakukan dong. Tanpa pikir panjang aku langsung kasih tools nya (yg kebetulan dulu pernah buat).. gak lama kemudian dia pun langsung pergi, katanya udah ditunggu ce-nya.. Anak muda jaman sekarang emang…. Hehehehe….
Setelah dia pulang aku malah teringat suatu trik… hohoho…
Konsep
Virus yang menggunakan teknik file ganda, intinya proses yg berjalan gak Cuma satu, dan beberapa virus itu saling mengawasi. Klo yg satu di kill maka proses yg lain akan meng-execute lagi proses yg di-kill tadi.. biasanya agar mudah mengawasi paling tidak dibuat 3 proses atau lebih...
Crack this algorithm
Beberapa Proses itu emang saling mengecek, tapi pasti dalam melakukan pengecekan memerlukan waktu. Walaupun waktu yg diperlukan Cuma seper-sekian detik.. ide awalnya adalah kita harus bisa menge-kill semua proses tersebut dengan waktu yg lebih cepat daripadi proses tsb dalam melakukan pengecekan .. lha caranya ??? tenang-tenang..
Seperti janji, kita tidak pake tools apapun kecuali notepad..
1.Buka notepad…
2.Udah ketik seperti berikut
1.Itu misalnya klo proses yang ingin di-kill adalah calc.exe , notepad.exe, notepad++.exe .. misalkan anda ingin menambah proses lain yang akan di-kill (termasuk virus.. hohoho..) tinggal menambahkan dibaris terahkir dengan syntax
Taskkill /f /im [nama proses]
Ex: taskkill /f /im winamp.exe , dll
2.setelah itu save file tadi dengan extensi .bat, misal dengan nama kill.bat
3.untuk mengetes saja coba jalan dulu, notepad, dan calculator..
4.klo sudah klik 2 kali file kill.bat yg sudah kita buat tadi...
OK, apa yg terjadi? Ternyata notepad dan calculatornya mati secara bersamaan.. ok semoga bermanfaat.. seperti biasa aku tunggu saran, kritik, cacian dan makian di saifulanwar87@yahoo.co.id .. Akhir kata sory klo ada salah2 kata.. bye
Tutorial mengusir virus dari komputer
stelah mengambil raport saya yang tertunda selama 2 hari akhirnya hari ini baru bisa saya ambil karena satu dan lain hal yang mengganggu. nah artikel ini di tunjukan kepada orang-orang yang komputernya masih memiliki virus baik yang lokal maupun yang Veteran. oh iya artikel ini saya ambil dari blog mas Maztikno dengan beberapa perbaikan oleh saya sendiri
Trik mengusir virus dari Komputer
Virus akan selalu menjadi momok selama kita masih punya komputer. Jadikejadian ini pasti akan sering kita jumpai di sekitar kita. Menyambung dari tulisan ku yang terdahulu “Virus Lokal yang Nakal“. Setiap keluar virus jenis baru dengan karakteristik virus sedikit berbeda, pada awalnya pasti membikin heboh dan sempat gempar. lari kesana-sini untuk mencari penangkal virus tersebut.
Membersihkan virus dapat beresiko terhadap sistem operasi komputer kita bahkan sampai harus menginstal ulang komputer kita segala. Cara-cara menghilangkan virus dari komputer kita kadang berbeda antara satu virus dengan virus yang lainnya. Namun berikut ini akan saya berikan cara-cara membersihkan virus secara umum.
Prosedur membersihkan virus
· Pastikan anda sudah memiliki backup data (walau terinfeksi virus) ini untuk menjaga-jaga bila proses pembersihan virus anda malah data anda ikut terhapus/ hilang. Dan pastikan anda sudah mempunyai emergency boot disk sistem anda.
· Cari tahu virus apa yang menyerang komputer anda.
1. Instal program anti virus jika di komputer anda belum terinstal antivirus. Cari antivirus yang menurut ada bagus dan manjur untuk jenis virus yang telah menyerang. (alangkah baiknya cari tau dan baca-baca tentang virus dan antivirusnya)
2. Pastikan virus definition yang paling Up date. Cari di internet dari webs site pembuat anti virus tersebut.
3. Usahakan setingan antivirus dalam mode hanya mendeteksi saja. Lebih baik jangan langsung menghapus file yang terinfeksi virus, kadang kala ada file system yang terinfeksi, dan file ini digunakan oleh OS untuk berjalan. Kalau file ini terhapus atau ter karantina bisa menyebakan sistem kacau atau malah tak jalan.
4. Scan virus tapi jangan menghapus nya terlebih dahulu. Catatan: beberapa virus bisa menghentikan program anti virus yang sedang berjalan di komputer. Untuk kasus ini bisa diakali dengan men-scan komputer tersebut lewat jaringan, dengan cara share drive yang akan di scan. Cara yang terakhir adalah dengan melepas harddisk dan di pasang di komputer yang akan digunakan untuk men-scan-nya.
· Pelajari virus yang menjangkiti komputer anda dan cara menghapus-nya. Banyak web site yang menyediakan informasi ini. Seperti Symantec security response site contoh yang menyediakan informasi tentang virus dan cara membersihkan suatu virus tertentu.
· Hilangkan virus
1. Beberapa virus memiliki tool removal tersendiri untuk membersihkan-nya. Jika virus tersebut memiliki tool removal tersendiri download dan gunakan tool tersebut.
2. Jika tidak terdapat tool removal, pelajari dan lakukan cara pembersihan secara manual sesuai instruksi untuk jenis virus tersebut. Kamu mungkin harus menghapus secara manual file virus dan mengedit registry tertentu. Petunjuk penghapusan yang didapat dari sumber terpercaya akan menuntun kamu untuk melakukan step demi step untuk pembersihan virus tersebut.
3. Jika ada petunjuk untuk menggunakan scanning dari program antivirus untuk membersihkan virus tertentu, kemudian lakukan dengan men-scan dengan konfigurasi untuk menghapus (delete atau karantina) virus tersebut.
Tak pernah mencoba maka tak akan pernah mengalami kegagalan, kegagalan awal dari keberhasilan. Betul gak
Tidak ada komentar:
Posting Komentar