Friday, 8 October 2010

Virus ShortCut Exploit Anti-Kill, Bahaya Kah? (SmadAV 8.3 - the Killer Machine)


ShortCut Exploit adalah namanya. Kenapa demikian? Hal ini karena virus yang dibuat menggunakan Visual Basic ini mengadopsi teknik dari virus Stuxnet, yang tidak lain adalah virus dengan teknik baru dalam menginfeksi komputer. Virus yang dibahas kali ini bukan Stuxnet, ya walaupun Stuxnet juga merupakan virus ShortCut Exploit, tapi mungkin kalau masih ada jodoh dan kesempatan maka kita akan bertemu lagi dan membahas tentang virus Stuxnet.
Pertengahan bulan September tahun 2010 (saat itu sudah lebaran atau masih puasa ya, lupa saya tepatnya tanggal berapa) adalah awal saya mendapatkan sampel virus ini yang tepatnya dari teman saya (Andri F.), saat itu dia menghubungi saya bahwa flashdisknya terserang virus (boleh dibilang virus baru, karena antivirus yang ada pada komputernya (laptop) tidak mendeteksi virus ini) dan meminta saya untuk membersihkannya, eits…, tapi bukan dibersihkan dengan sikat dan sabun lho!
Mendengar keluhannya tersebut (dalam hati saya ucap, “Wah, ada virus baru nih, lumayan buat tambahan koleksi saya”. Ckckck…) dengan senang hati saya bilang, “Datang saja ke rumah, nanti akan saya bersihkan!”, tak lama dia benar-benar datang. Sesampainya di rumah gubuk saya yang sekaligus ruang Lab. tempat saya bereksperimen (Ckckck…, ngawur nih saya), kami pun memulai aksi kami, saling ‘buka-bukaan’ (Hayooo…, apa coba? Jangan ngeres dulu!) laptop untuk mulai mengoperasikannya. Dengan sekilas penglihatan mata sang ‘Virus Hunter’ bakat alami saya (Jiah…, lebay om), saya vonis komputer teman saya itu telah terinfeksi virus dari flashdisk yang bervirus itu. Saking penasarannya saya sama virus baru yang ada pada flashdisknya, tanpa pikir panjang dan tanpa ancang-ancang (mangnya mau lari om?) langsung saya colokkan flashdisk itu pada port USB yang ada pada Karen (ya, ini lah om yang lebay, sampai-sampai laptop pun diberi nama).
Dengan semangatnya saya membuka isi yang ada pada flashdisk tersebut dengan harapan dapat menemukan sample virus baru untuk koleksi saya. Tanpa basa-basi, saya lihat isi flashdisknya dan jreng…, si Karen pun terinfeksi virus tersebut (aduh-aduh…, hati-hati dong om!). Tidaaakkkk…, ternyata virus yang satu ini hebat juga, dia dapat berjalan dengan lancar dan mulus seperti ular yang dilumuri sabun (wek? Gak nyambung om). Nah, dengan demikain saya sudah mendapatkan sample virus tersebut (dengan bangga si om tertawa), ha…, ha…, ha…, ha.…
Waktu terus berjalan dan ternyata baterai punya teman saya mulai lemah sedangkan dia lupa membawa alat chargernya pula, ya mau tidak mau pembersihan virus yang sebelumnya telah tertanam pada komputernya ditunda besok, karena saya belum selesai menganalisa dan mendapatkan hasil laporan yang akurat terhadap virus yang baru menginfeksi Karen tadi.

Baiklah, sambil saya menganalisa, tak lupa saya ajak Anda untuk memasuki dunia kami, dunia para Virus Analyzer. Jangan lupa pakai sabuk pengaman ya, kita akan meluncur dengan kecepatan tinggi!



Huft…, sampai juga. (wah sebentar ya om, tetanggaan ya).
Mari kita lihat gambar di bawah! (pakai kacamata ah biar jelas).



Pada gambar terlihat user (yakni saya sendiri) sedang membuka direktori F:\ yang tidak lain adalah direktori flashdisk saya. Disana terlihat (terdapat) tiga buah folder saya (tidak usah kita bahas), tapi yang utama adalah file virus, mari kita sebutkan namanya 1/1 (satu per satu maksudnya).
1) autorun, dalam keadaan tersembunyi (attribute Hidden), yang tidak lain isi dari file yang memiliki nama lengkap autorun.inf ini adalah seperti gambar di atas, lihat tampilan Notepad (autorun – Notepad). Ya, file ini adalah file ‘wajib’ yang biasanya dibuat oleh virus yang memanfaatkan Autoplay dari user ‘awam’. Coba lihat lagi apa yang aneh dari flashdisk saya! Pasti bagi Anda yang ‘tidak awam’ atau bahkan ‘awam’ sekalipun akan melihat icon flashdisk saya bericon folder, tidak seperti biasanya bericon Drive. “Ah itu hal biasa, bisa diatur dengan TuneUp”, ujar para TuneUper. Tentu jika Anda adalah salah satu pengguna setia TuneUp (TuneUper dibilang si om) ‘hanya’ tau pada penggunaan fitur perubahan icon Drive atau folder saja, kecuali Anda adalah seorang Software Analyzer juga. Yoyoi, kunci utama kenapa flashdisk itu bericon folder adalah pada baris keempat dari isi file autorun: iCOn=%SYstemROot%\SySTEm32\ShElL32.Dll,4. Nilai 4 adalah nilai dari icon folder standar Windows XP, tepatnya ‘icon untuk folder terbuka’, sedangkan icon standar flashdisk atau Drive adalah bernilai 7. (coba deh ganti sendiri, rasakan sensasinya).
2) dibawah file autorun terdapat file ShortCut yang bernama “zfn” sampai “zut” (9 file, boleh dibilang poin 2 ini sebagai perwakilan untuk poin 3 sampai poin ke-10). Kalau lebih diperhatikan dengan pembesaran kacamata sebanyak 500 inc penebalan (wew, seberapa tebal tuh, ngaco ah, hitung sendiri. ), maka dapat disimpulkan file ShortCur Exploit ini hanya mengandung 3 karakter teks untuk penamaannya dan selalu diawali dengan huruf “z”. Nama lengkap file ini adalah “zxx.lnk” (xx untuk 2 karakter teks acak), “lnk” lah ekstensinya bukan “ink”, “L” kecil bukan “i” besar. Kalau dilihat dengan teknik Cracker maka berhasil didapat nilai Hex yang isinya menuju ke Drive D, E, F, G, H, I, J, K, L, dan nilai utamanya adalah “zzz.dll” seperti yang terlihat pada gambar yang telah disetting sedemikian rupa supaya file Hidden (tersembunyi) dapat terlihat. (saya tidak mengajarin bagaimana cara mensetting seperti ini, capek euy ngetiknya).
3) File ShortCut selanjutnya adalah file ShortCut biasa (poin 11-16 dari gambar). File ini akan menjalankan file dengan nama seperti nama file terbawah dari direktori flashdisk (lihat gambar), tepatnya dia akan menjalankan file Screen Saver (kiuuxо.scr), sayangnya pada gambar tidak terdapat contoh file ini, saya potong-potong tadi, terus saya campurkan deh ke sayur buat sarapan saya. (wah, khayalan tingkat tinggi nih, ngaco).
4) zzz.dll inilah file sumber energi dari virus yang saya duga adalah virus ‘Proof of Concept’ dari salah seorang Malware Coder yang memang ahli dibidangnya. (wew, bahasa tingkat tingginya keluar. ). File yang dibuat menggunakan Power Basic ini memberi sumber energi yang cukup kuat untuk pengantinnya, yakni virus yang disandingkan dengannya. Kalau tidak percaya, coba saja untuk meng-Kill proses virus ini dengan Task Manager, pasti akan terjadi proses yang tidak wajar, yakni Hang, ya proses akan Hang boleh dibilang untuk beberapa waktu. (nice coding guys).
5) kiuuxо.exe begitu nama lengkapnya. File ini akan dijalankan jika user awam tidak hati-hati dalam membrowse Drive. Namun walaupun hati-hati juga tetap makan hati, eh tetap kena virus maksudnya, ya ini lah kelebihan virus ‘tiruan Stuxnet’ ini, selain dibuat menggunakan Visual Basic yang boleh dibilang “Bahasa Pemrograman yang Gak Ada Matinya”, yang unik dari virus ini yaitu virus ini mampu mengubah struktur tubuhnya, tepatnya pada bagian “File Version”, “Internal Name”, “Original File name”, “Product Name” dan “Product Version”. SHellexEcUtE=KIUUXo.exe dari file autorun adalah perintah utama dalam menjalankan virus ini. Sebenarnya nama “KIUUXo.exe” itu tidak sepenuhnya namanya, karena dia memiliki teknik untuk merubah-ubah namanya (random name) pada setiap penginfeksian. Keberadaan induk virus tepanya pada : C:\Documents and Settings\Administrator\kiuuxo.exe, ya, dia berada pada Direktory Administrator (kata/nama administrator tidak semua komputer sama, bisa saja nama user/Anda sendiri), bukan pada System32 yang biasanya digunakan virus sebagai tempat bersarang.



Terus kalau virus ini memiliki teknik yang membuat prosesnya Anti-Kill, bagaimana dong membersihkan ini dari komputer saya yang sudah terkena ini? Nah, hamir saya lupa, untung Anda nanya! (wah, becanda lagi nih si om). Jreng…, jreng…, jreng.… Inilah yang ditunggu-tunggu, saatnya Anda menikmati SmadAV Rev. 8.3, yang telah sedemikian rupa dirancang untuk menjadi the Killer Machine dalam memusnahkan virus yang mewabah disetiap bulannya (owh…, virus itu penyakit bulanan ya om?).
Silakan saja, jangan sungkan-sungkan mendownload SmadAV untuk menjadi pendamping hidup komputer Anda. Situs resmi yang dapat Anda tuju untuk mendownload SmadAV adalah: http://smadav.net. Huft…, capek. Cukup sekian saja ya. Saya mau kuliah. “Ada udang di balik batu, udah dulu”,ujar Kongpow Ciken.
Mohon maaf atas segala kekurangnnya!


Salam Bebas Virus,




Ryan BeKaBe


+ Fitur -> Mampu membunuh Proses Virus Exploit LNK yang dibuat menggunakan VB + Power Basic.

Link download sampel virus (2 sampel virus nih): http://www.ziddu.com/download/12072042/x.zip.html

Link download SmadAV the Killer Machine: http://smadav.net/smadav83.exe

1 comment:

Unknown said...

punya sampel data yg bersih dan yg terinfeksi virus?