Friday, 14 January 2011

Virus Surprise - AntiVirus Palsu yang Butuh Kasih Sayang





Virus Surprise - AntiVirus Palsu yang Butuh Kasih Sayang
Facebook, sebuah situs jejaring sosial (agar manusia saling terhubung)
yang terkenal. Siapa coba yang tidak mengenal Facebook atau panggilan
sayangnya FB ini?
Tentu rekan-rekan pembaca sekalian sudah pada punya akun di FB kan? *iya
om, saya punya 2; saya, saya lagi om, saya punya 3 akun FB; saya, saya, tanya
saya juga om, saya punya banyak akun FB , haha.... *
Pertama kali saya menemukan informasi virus yang nama filenya
"surprise.exe" ini dari Pesan/PM/Private Message yang dikirimkan ke akun FB
saya! (Wah, terima kasih banyak Pak dosen! Kalau bukan dari akun bapak itu,
saya gak akan tau info terbaru tentang virus yang satu ini. )
Saking penasarannya, waktu itu saya akses menggunakan HP, dengan
aplikasi yang bernama Opera Mini, saat berada pada blog penyedia virus, korsur
saya arahkan pada gambar lalu saya pencet nomer satu, terlihat bahwa gambar
pada blog/situs tadi menuju ke sebuah link dari file yang berekstensi ".exe" atau
executable (dapat dieksekusi).
Catatan: .exe atau dibaca DOTexe adalah ekstensi dari Sistem Operasi Windows
untuk sebuah program/aplikasi.
Begini nih, kan penasaran tuh saya sama virus itu, terus saya kunjungi
situs tersebut untuk mendownload virus tersebut, saat itu saya menggunakan
Mozilla FireFox untuk menjelajah internet dan masuk ke situs virus, tapi, tidak
bisa masuk-masuk, tidak tau juga kok tidak bisa masuk-masuk begitu.
Tapi, sebagai orang yang boleh dibilang sedikit melek teknologi
*cieee..., si om, pkai malu-malu mengakuinya* maka saya pun menggunakan
browser (program untuk menjelajah/melihat-lihat isi yang ada di internet) lain,
dan saya pun menggunakan Opera, kalau di HP (HandPhone) biasanya ada
Opera untuk HP namanya Opera Mini. Untuk browser lain, saya belum sempat
mencoba, maka silakan Anda coba sendiri saja ya untuk bereksperimen! Ingat!
Banyak jalan menuju Roma! Kalau tidak bisa pakai jalan yang pertama, maka
silakan gunakan jalan yang lain, jalan yang kedua, ketiga, dan seterusnya!
Jika virus sudah didownload (di
http://www.kanehybyjefyitedu.blogspot.com atau di http://facebook-surprisengs.
tk/surprise.exe) , eitttsss…, khusus untuk para rekan-rekan Malware
Analyzer (penganalisa MaliciousWare/perangkat/program jahat) atau untuk yang
berkepentingan saja lho ya, jangan didownload jika Anda takut atau tidak mau
berhubungan dengan virus!
Nah saya ulangi, jika virusnya
sudah didownload dengan ukuran file
sebesar 904 KB dan iconnya seperti icon
untuk gambar pada umumnya, berwarna
kuning (wah, jadi ingat virus masa lalu
deh, hayo apa? Haha…, namanya tidak
lain dan tidak bukan adalah jreng jreng
jreng…, Amburadul, yang sempat
menghebohkan dunia perkomputeran, pas
waktu itu saya masih duduk di kelas 3
SMA, yang sempat membuka program
kerja bernama Layanan Pembersih Virus
Flashdisk di kelas BeKaBe tercinta, widih…,
tak hanya satu dua orang disekolah saya
yang kena, tapi warnet-warnet memang
pada ketularan tu penyakit, eh tu virus
maksudnya, [hmm…, jadi kangen MAN
Model deh kalau udah ada kesebut kelas
BeKaBe. ], salut deh buat kakak
pembuat Amburadul. Hihihi…. )
Oh iya, ngomongin soal ukuran file, ukuran file virus yang satu ini boleh
dibilang cukup besar dari virus biasanya lho, hampir 1 MB coba. *Hah?
Memangnya kenapa om?* Bukan kenapa-kenapa sih, memang tidak ada
larangan/aturan dalam membuat virus, tapi jangan mentang-mentang demikian
terus tidak bisa mengontrol bagaimana membuat virus yang baik dan benar,
soalnya ‘virus yang efektif biasanya berukuran kecil, kalau bisa sekecil-kecilnya
tetapi mematikan’. Soalnya kalau terlalu besar, selain memakan ruang memori
yang besar juga akan, hmm…, apa ya? Pokoknya akan tidak nyaman saja, sama
halnya Anda memakai sepatu, tidak mau kan memakai sepatu yang ukurannya
lebih 10 inci misalnya dari sepatu yang biasa Anda pakai? *nah…, om ngajarin,
ngajarin tirk, eh trik maksudnya, trik membuat virus yang baik dan benar?!
Haha…, makasih om!* Oh, bukan begitu maksud saya. Saya hanya *[disela] *
*ah gak apa kok om, santai aja toh maksud om ‘hanya sekedar pengetahuan’,
iya kan? Hahaha...*.
Baiklah, sekarang saatnya menganalisa apa saja yang terjadi setelah virus
dijalankan. Ini poin-poinnya utamanya:
1. C:\Documents and Settings\Administrator\Local Settings\Temp dan
C:\Documents and Settings\All Users\Application Data\eMfHo04300
2. 4.JPG
3. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Once]
4. Menonaktifkan eksekusi jika user mau menjalankan program (Self
Protect)
1). C:\Documents and Settings\Administrator\Local Settings\Temp adalah
path atau direktori atau folder hasil ekstrakan dari dalam tubuh file induk.
Komponen yang diekstrak antara lain: 4.JPG, 22.exe, tE17B.tmp dan 111.exe.
Untuk file 4.JPG tidak lain adalah file JPG (file gambar) biasa. Untuk file
22.exe dan 111.exe merupakan file yang dibuat menggunakan Visual Basic.
Sedangkan tE17B.tmp adalah file dengan nama random yang besarnya 1.83 MB,
yang menjadi wallpaper/background (latar belakang) Desktop pada komputer
yang terinfeksi. Wah, hebat ya virus ini, padahal ukuran induk utama *wah
pemborosan kata om, kan yang namanya induk itu ya sudah menjadi yang
utama, karena tanpa induk takkan pernah ada keturunan* tidak sampai 1 MB,
tapi kok bisa ya mengeluarkan file yang lebih dari 1 MB?
Keren…. . Jadi ingin tau deh pakai Packer apa sih tu programmernya?!
. Oh iya, untuk Administrator itu ialah nama yang biasanya dibuat saat
menginstall Windows, untuk tepatnya dapat Anda pastikan pada ‘target folder
location’ dari nilai default folder ‘My Documents’. Sedangkan C:\Documents and
Settings\All Users\Application Data\eMfHo04300 adalah file Antivirus palsu ‘yang
butuh kasih sayang’ yang diekstrak setelah program virus dijalankan.
Untuk path eMfHo04300 yaitu bernilai random (acak/tak tentu). Saya
tidak tau juga nih dibuat menggunakan apa tu program, soalnya Karen (teman
kencan, my life time partner, nama komp o’om) tidak berhasil menemukan
KTPnya. Hihiii….
Tetapi tetap saja kasihan, kan maksud hati ingin jadi AntiVirus tetapi dia
menyebar menggunakan virus.
2). 4.JPG hanyalah file gambar biasa seperti yang telah dijelaskan pada
poin pertama. Hahaha…. Anda sih terlalu tegang sih membaca artikel ini, saya
isengin deh jadinya.
3). [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
RunOnce] ini adalah suatu ritual wajib dari virus, *hihiii…, ritual kata om. Ritual
meminta hujan dimusim kemarau ya om? Hihihiii....* agar virus bisa berjalan /
aktif otomatis saat komputer dinyalakan. Nilainya menuju kepada registry seperti
yang ada ada poin pertama yaitu pada C:\Documents and Settings\All
Users\Application Data\eMfHo04300\ eMfHo04300.exe
4). Nah, sebenarnya poin nomer empat inilah inti masalahnya. Sebagai
serangan, tentu ada juga yang namanya pertahanan. Ini kurang lebih seperti
pertempuran, ada serangan, ada pula pertahanan (wah, saya lupa kalimat ini
ada pada tulisan saya sebelumnya, tapi lupa pada tulisan yang berjudul apa ya?
Pokoknya ada deh di blog BeKaBe [http://bekabe.blogspot.com] ). Self
Protect (melindungi diri sendiri) adalah teknik wajib juga dari sebuah virus,
AntiVirus juga. Ada berbagai macam teknik yang bisa diterapkan untuk Self
Protect ini, kebanyakan sih dengan menyembunyikan keberadaan diri sendiri
(diri virus) dengan atribut hidden (tersembunyi), dan lain sebagainya. *ah om
nanggung-naggung, sekalian aja ajarin bikin virus om! Hee…. *).
Nah untuk virus kali ini menggunakan Processes Checker *ceker ayam aja
om. :p*, tau kan apa maksudnya? Tekniknya tidak lain adalah melakukan
pemeriksaan proses yang berjalan, sayangnya sang programmer virus ini masih
menggunakan Proof of Concept *widiiih…, ampun om. Bahasa tingkat tingginya
keluar nih. Ckckckckkk….* kayaknya. Soalnya masih bisa ditembus MANModAV
1.4 tuh. Hehe…. *cie…, si om promosi produknya neh. Bagus lah om, tetap
berkreasi! Pertahankan dan terus berkreasi hingga akhirnya ajal tiba
menjemput, hingga akhirnya tidak bisa lagi berkreasi. Saya setuju om dengan
kalimat BeKaBe yang berbunyi “Kembangkan dan aplikasikanlah imajinasi mu!
Janganlah kau biarkan layu! I believe you can do it!”. Ya, aku percaya aku
pun bisa, om. Makasih om! Hihihiii…!*. Proof of Concept adalah sebatas trik
(konsep/rencana) agar sebuah program virus itu kebal. Kalau virus ini benarbenar
serius terhadap teknik ini maka langsung bisa diterapkan menjadi
KilledProop atau tahan bunuh, kan kalau BulletProof artinya tahan peluru. Hihi….
*om bisa aja membuat bahasa sendiri, lucu….*. Nah mungkin juga sih ini adalah
bug yang berhasil saya temukan dari teknik Self Protect yang dibuat
programmer virus ini. Bug lagi, bug lagi…. *besok besok sedia semprotan
AntiSerangga aja om!*. Hei…, bug disini bukan serangga, tetapi kesalahan
dalam merakit script program.
Oke, akhirnya tiba pada lokasi harta karunnya! Virus ini akan membiarkan
proses explorer, Internet Explorer juga, soalnya kalau keduanya itu tidak bisa
berjalan prosesnya maka bagaimana virus mau menularkan bibit-bibit
penyakitnya? Virus tetapi tidak menyebar sama saja seperti makan satu panci
tetapi tidak kenyang. *ah om bisa saja membuat peribaratan. Sini kasih ke saya
saja pancinya, biar saya jadikan tambahan alat drum saya, secara saya kan
anak band gitu lho, ujar Agus Darlis*. Wkwkwkwk…. Kok nama adik ku Agus
Darlis dibuat juga sih? Siapa nih yang nulis? Hahahaha….
Oh iya, ngomongin masalah explorer yang tetap bisa berjalan, apa Anda
sudah dapat bayangan agar bagaimana caranya menjinakkan virus ini walau
tanpa masuk Safe Mode? Oke…, oke…, saya kasih tau cara/tips-triknya.
Hmmm…, sebelumnya pada blog BeKaBe (http://bekabe.blogspot.com)
tepatnya pada pada artikel yang berjudul “MANModAV 1.4”, nah kalau mau
langsung instant (segera/seketika) silakan download saja di:
http://www.ziddu.com/download/13337649/smss.exe.html, tetapi saya tidak tau
kapan itu link instant download MANModAV 1.4 akan habis masanya, so’ silakan
telusuri blog BeKaBe saja bila link tidak ditemukan lagi di internet.
Nah setelah MANModAV 1.4 berhasil terdownload, kan nama filenya
adalah smss.exe, nah itu lah salah satu rahasianya, terletak pada nama file.
Soalnya file MANModAV 1.4 tetap dapat menembus pertahanan virus walaupun
sebelumnya virus telah aktif terlebih dahulu dari MANModAV 1.4. Oh iya, tak
lupa program MANModAV ini masih banyak bug-nya, jadi harap maklum ya!
Sudah tau letak rahasia peta harta karunnya?
Nah, jadi begini ceritanya *hah, cerita lagi? Udah om, jangan cerita lagi!
Udah gak sabar nih. Katanya ini halaman ‘the last end’, ya selesaikan saja om!*,
iya deh tidak jadi bercerita. Nah, jadi begini rahasianya, virus Surprise (kejutan)
ini akan membiarkan user menjalankan program yang memiliki nama file sebagai
berikut (daftar nama file yang bisa dijalankan walau virus surprise sedang aktif):
winlogon.exe, iexplore.exe, explorer.exe, svchost.exe, smss.exe, csrss.exe,
lsass.exe, services.exe, spoolsv.exe, alg.exe, wscntfy.exe, wmiprvse.exe.
Sisanya silakan Anda tambahkan sendiri ya! Soalnya yasa, eh saya maksudnya,
saya tidak sempat menyantumkan nama file rundll32.exe pada daftar nama file
yang bisa dijalankan walau virus surprise sedang aktif. *nah, itu tadi disebut….
Ah om lucu…. Ngakak dulu ah…. Gkgkgkgkgk….*


Bukan saya lebih hebat, hanya saja saya tau lebih dulu!
Mungkin itu yang disebut upah dari usaha untuk mencari tau
selama ini dengan bereksperimen tak kenal waktu!
My instinct give me shine at my way....


Baiklah, sekian tutor (pelajaran) kita kali ini. Saya mau say hi kepada rekan rekan
(di Facebook) @ Pak Yan: Tanpa bapak maka saya tidak akan pernah tau tentang
keberadaan virus ini. Terima kasih Pak! @ Takeda: Thanks for the FireWall, Sir!
Nanti saya ikut ke perusahaan Anda ya?! Ya jadi ‘cleaning’ juga tak mengapa. . @
Smadav: Tanpa SmadAV, saya pun takkan pernah ada. . SmadAV memang AV
sekaligus tool mujarab dah untuk seorang Analyzer. . @ Ridzky: Makasih kk atas info
toolnya! Minta lah kaena! @ Bagas: Oke deh. Makasih ya Bagas. Selamat
bereksperimen juga ya! @ Leo: Nih bro rahasianya. Sssttt…, jangan bilang siapasiapa
ya! Ckkkkk…. @KejJu: Komen yang apa kek terserah lah! @ Bro Gugel,
Phamenthar, Shinichi Kudo, dan rekan-rekan yang lainnya yang tidak bisa saya sebutkan
satu persatu (maaf ya! Soalnya saya lupa bawa jadwal hadir/absent. Heee…): Terima
kasih atas partisipasinya! ^.^b
Mohon maaf atas segala kekurangannya atau kesalahan dalam pengetikan. (wek?
Kayak di undangan aja. ).
Akhir kata, salam bebas virus!
Assalamu’alaikum Warahmatullahi Wabarakatuh
Om santi santi santi om
Horas


Salam bebas virus
Ryan BeKaBe, @ Palangka Raya, 13-01-2011

----------------------------------------------------------
Untuk membaca file PDF lengkapnya silakan download di : http://www.ziddu.com/download/13387223/VirusSurprise-AntiVirusPalsuyangButuhKasihSayang.pdf.html 
atau di sini: http://bekabe.ucoz.com/Virus_Surprise-AntiVirus_Palsu_yang_Butuh_Kasih_Sa.pdf

3 comments:

agus darlis said...

wahhhhh aku kena juga pake bilang DRUM jg

Miawruu said...

kalo kena ni virus,, berefek gmn ke kompi nya yan??? apakah menuhin isi HDD aja, atau memakan file2 yg ada atau jadi suka restart atau gmn ???

bunuhnya bisa pake antivirus kyk smadav ga???

BeKaBe said...

@Agus: Ckkkkk.... :D

@Kak Mia: "kalo kena ni virus,, berefek gmn ke kompi nya yan???", ya seperti saya bilang ditulisan, kak.
"apakah menuhin isi HDD aja, atau memakan file2 yg ada atau jadi suka restart atau gmn ???", gak menuhin kok, gak memakan kok, gak restart kok.
"bunuhnya bisa pake antivirus kyk smadav ga???", bisa, asal direname nama filenya seperti yang saya tulis itu kak. :D
Selamat datang di dunia Virus! ;)