MorphostLab!

Thanks karena kamu sudah mengunjungi MorphostLab.
Berikut ini adalah artikel-artikel kami.

Kalian boleh mengcopy-paste seluruh artikel di bawah ini ke blog/atau web kalian tanpa mengubah isinya….

Hellspawn is coming back! 7 November 2009
Analisis NadiaSaphira A dan NadiaSaphira B 5 November 2009
Amburadul Varian Baru atau Bukan? 5 November 2009
Analisis Virus Jim 29 Oktober 2009
Bisakah blackberry diserang virus? 22 Oktober 2009
Conficker lagi… 22 Oktober 2009
5 Fakta virus Conficker 22 Oktober 2009
Trik Sederhana AutoMacros untuk Virus Macro 20 Oktober 2009
Deteksi Dini Doomsday 2012 18 Oktober 2009
Ilmu Compress untuk Virus dan Antivirus 4 Oktober 2009
Kompilasi kedua Morphost Antivirus lebih baik 27 September 2009
Ilmu Encrypt untuk Newbie 25 September 2009
Virus Sabotage Pemblokir Antivirus Lokal 23 September 2009
Alphablend 22 September 2009
Morphost Dikompil ulang! 5 September 2009
Download Morphost Antivirus (Morphost Accords) 31 Agustus 2009
Morphost Antivirus Versi 6 diluncurkan! 31 Agustus 2009
Tiga langkah matikan deepfreeze 30 Agustus 2009
Tutorial Membuat Virus Vinorika Tiruan 23 Agustus 2009
Source Code Virus Vinorika 22 Agustus 2009
Checksum Icon Virus 6 Agustus 2009
Pencarian File Tercepat! 6 Agustus 2009
Teknik unkill virus Babon 4 Agustus 2009
Pemanfaatan “Send To” pada Virus dan AV 1 Agustus 2009
ActiveControl FolderTreeView dari Printer Canon 31 Juli 2009
Mempercepat eksekusi virus 28 Juli 2009
Kesilapan Programmer Newbie di Visual Basic 28 Juli 2009
Trik Ganti Caption Software orang lain 26 Juli 2009
Gudang Checksum. Saatnya AVmaker muda bangkit!!! 24 Juli 2009
Analisa Win32.Trojan-Gen by:SatryaCode 20 Juli 2009
Buat Shortcut? Alternatif menuju virus dan antivirus! 16 Juli 2009
Trik Cegah Segala Variant Conficker! 14 Juli 2009
Virus NadiaSaphira atau Virus BuluBebek? 13 Juli 2009
Apa yang aneh dari Doomsday 2012? 2 Juni 2009
Tutorial Virus Macro (2) 15 Mei 2009
Pemrograman Virus Batch untuk Pemula (2) 14 Mei 2009
Teknik DeepScan Morphost Accords 11 Mei 2009
Trik Icon-Phic ditemukan! Loloskan virus dari heuristik Icon Antivirus! 11 Mei 2009
Pemrograman Virus Batch untuk Pemula 8 Mei 2009
Analisis Sampel Virus BugAV 6 Mei 2009
Tuntaskan sality!!! 4 Mei 2009
Checksum Conficker 30 April 2009
Script Cabe Rawit yang bikin Jahil 29 April 2009
Worm Conficker Tertangkap!!! 27 April 2009
Rancangan Perencanaan Morphost Antivirus versi enam 26 April 2009
Matikan Process Deep Freeze 6 5 Maret 2009
Parameter Command Untuk Antivirus 26 Februari 2009
Bahas Tuntas X-Fly.Worm 21 Februari 2009
Code Untuk Mengetik Sendiri 14 Februari 2009
Camfrog. Virus Atau Bukan? 8 Februari 2009
Aku Benci Sality 18 Januari 2009
Teknik Scanning Tanpa Morphost 10 Januari 2009
Fitur Baru Morphost Green 5 Januari 2009
Morphost Green Siap Gempur Virus Lokal 3 Januari 2009
Encrypt Databasemu! 28 Desember 2008
Teknik FastScanning Morphost 6 Desember 2008
Teknik CatchFDVirus Morphost Ditemukan! 29 Nopember 2008
Hajar X-Fly.Worm dengan Morphost Antivirus 14 Nopember 2008
Analisa Maxtrox.Worm 11 Nopember 2008
Repair Your DocFile 2 Nopember 2008
Analisa Susanti.Worm 24 Oktober 2008
Teknik Mutasi Virus 14 Oktober 2008
Hadapi Virus Baru dengan Morphost Baru 5 Oktober 2008
Morphost Versi Revision Siap Launching 29 September 2008
Analisa Global.Worm 29 September 2008
Analisa Word.Worm Alias W32.Worm 16 September 2008
Tutorial Membuat Virus Macro 11 September 2008
Tidak Bisa Menginstall karena Virus? 3 September 2008
Analisa Rieysha-Local.Worm 28 Agustus 2008
Analisa Amburadul.Worm 8 Agustus 2008
Analisa Rieysha-Desa.Worm 23 Agustus 2008
Analisa Nita.Worm 6 Agustus 2008
Morphost AV 2 August 2008 Version is coming 3 Agustus 2008
About Morphost Antivirus Versi 2 Agustus 2008 23 Juni 2008
Habisi Aksika 20 Juni 2008
Tutorial Encrypted VBS 18 Juni 2008
Download Morphost New Generation Antivirus 7 Mei 2008
Hajar Coolface Pake Morphost 7 Mei 2008
Morphost si Antivirus Baru Indonesia 1 April 2008

Artikel MorphostLab lainnya yang tidak terikat:
Dibutuhkan anggota baru MorphostLab 31 Oktober 2009
Manfaat Terinfeksi Alman 25 Oktober 2009

Hellspawn is coming back!

Pernah mendengar nama Hellspawn? Ato pernah mendengar karyanya?
Virus Moonlight!

Ya. Hellspawn dulu pernah membuat Moonlight.

Dan sepertinya dia mencoba virus yang baru lagi nih! Begini analisanya.

Virusname : Hellspawn [Morphost]
Size : 57,378 bytes
Icon : folder

Virus ini suka dengan filename yang random.
Kebetulan kali ini saya tidak menyertakan hasil regedit-nya karena alasan tidak sempat.
Tapi untuk penyebaran filenya bakal saya tulis di artikel ini.

Virus ini menyebar/membuat file ke:
-berduplikat sesuai nama folder yang ada (di flashdisk)
-C:\windows\u8GoTyspawn.cmd (yang ini pasti random!)
-C:\windows\u8GoTy\service.exe (nama foldernya random!)
-C:\windows\u8GoTy\winlogon.exe (nama foldernya random!)
-C:\windows\system32\zsi2rc8a.exe (nama filenya random!)
-C:\windows\system32\dRn3N2S43.exe (nama filenya random!)
-C:\windows\system32\2si2rc8\smss.exe (nama foldernya random!)
-C:\windows\system32\2si2rc8\lsass.exe (nama foldernya random!)
-Pada folder startup startmenu ada nama file “msdos.cmd”
-Pada My documents ada file html dengan nama file “about.html”

Sekali lagi maaf, karena dalam artikel kali ini tidak ada hasil analisis regedit yang dirusak. Tapi kamu bisa pakai Morphost untuk memperbaiki regedit-regedit umum yang dirusak.

CARA PENCEGAHAN
-hati-hati membuka folder yang ada di flashdiskmu. Karena semua folder yang ada di flashdiskmu disembunyikan dan semua virusnya bakal memanfaatkan kelalaianmu. Virusnya berduplikat sesuai nama-nama folder yang ada di flashdiskmu.
-Scan flashdiskmu dengan Morphost atau antivirus lain.
-Pakai mesin tik untuk mengurangi penyebaran virus ini.

CARA PEMBERSIHAN / PENGOBATAN
-Scan komputermu dengan Morphost antivirus. Pakai database terbaru.

By:Morphic

thanks to:
-Muamar Kudo
-Adnan S4dly
-Xhadow

Analisis NadiaSaphira A dan NadiaSaphira B

NadiaSaphira-A versus NadiaSaphira-B

Kali ini tutorialnya membahas kedua varian virus NadiaSaphira.
Menurut kami ada dua varian NadiaSaphira yaitu varian A dan varian B.

NadiaSaphira-A
Size : 53,256 bytes
NadiaSaphira-B
Size : 69,936 bytes

Jika dieksekusi kedua file sama-sama membuat file:
-C:\windows\taskmgr.exe
-C:\Windows\system32\misconfig.exe
-C:\windows\system32\MS586.sys

Dan jika file taskmgr.exe dihidupkan (misalnya taskmgr.exe) maka akan muncul lagi file-file baru:
-C:\windows\taskmgr.ini
-C:\windows\nadiasaphira.ini
-C:\windows\autorun.inf
-C:\windows\system32\.exe
-C:\windows\system32\allsys.exe
-C:\windows\system32\attrib.exe
-C:\windows\wtoolsb.exe
-C:\windows\misconfig.ini
-membuat file virus di folder Startup dengan filename “lan.exe”

Selain itu semua, virus ini juga berduplikat sesuai nama-nama folder yang ada di komputermu (selain drive C). Semua folder di Flashdisk juga. Folder asli disembunyikan.

Dengan software GreenRegistry, kelihatan registry-registry yang ditongkrongin ama si Nadia.

Dengan perincian sebagai berikut:

Kedua varian sama-sama menyerang registry yang sama.

Selain ukuran yang berbeda, ada perbedaan lainnya lagi…
Perbedaan PERTAMA
-setiap kali dieksekusi, NadiaSaphira B selalu memeriksa folder tiruannya. Apabila ada maka folder tersebut disembunyikan, jika tidak ada folder tersebut akan “DIBUAT” dan disembunyikan.
-sedangkan NadiaSaphira A jika dieksekusi hanya menyembunyikan folder yang ditirunya tanpa memperdulikan ada tidaknya folder itu.

Perbedaan KEDUA
-Nadiasaphira A setiap saat memeriksa dan mempertahankan keberadaan file “C:\windows\system32\wtoolsb.exe”
-sedangkan NadiaSaphira B memeriksa dan mempertahankan keberadaan file “C:\windows\system32\wtoolsb.exe” dan “C:\windows\system32\allsys.exe”

Perbedaan KETIGA
-File “C:\windows\system32\.exe” milik Naphira A berukuran 0 KB, dan berartribut normal.
-sedangkan file “C:\windows\system32\.exe” milik Naphira B berukuran 17 KB dan berartribut superhidden.

Perbedaan KEEMPAT
-Naphira A tidak membuat file “C:\windows\system32\system”
-sedangkan Naphira B membuat file “C:\windows\system32\system” yang berartribut super hidden.
(CATATAN: file “C:\windows\system32\system” memiliki checksum yang sama dengan “C:\windows\system32\.exe” pada Naphira B)

Perbedaan KELIMA
-Naphira A tidak membuat folder “DLLCACHE” pada direktori “C:\windows\system32”
-sedangkan Naphira B membuat folder “DLLCACHE” yang isinya file “.exe” dan “system”. Keduanya berukuran 17KB dan berbeda checksum.

Ya, kira-kira itulah yang bisa saya tangkap saat analisis.

Sebenarnya mungkin saja si VM punya lebih banyak varian (Nadiasaphira) Naphira ini. Atau mungkin saja si VM tertawa-tawa habis membaca tutorial ini.
Kedua varian diatas bukanlah varian A dan varian B yang sesungguhnya. Di antivirus lain mungkin saja varian A disebut varian B atau sebaliknya.
Kami menentukan kedua varian ini berdasarkan tanggal masuk dan skill virus masing-masing. Masih ada sih, varian lain selain kedua varian ini. Tapi semuanya masih punya kemiripan dengan kedua varian ini.
Itu alasan kenapa kami menentukan kedua varian ini sebagai varian besar A dan B.

PENCEGAHAN:
Pencegahan terhadap virus ini bisa dilakukan beberapa cara:
-berhati-hati membuka flashdisk karena si virus membuat file autorun.inf pada flashdisk.
-pastikan kamu membuka folder yang benar.
Ingat! Virus Naphira ini berduplikat dengan nama folder tiruan. Lihat semua folder yang ada di flashdisk kamu. Kalau semua ukurannya sama berarti itu virus Naphira. Umumnya ukuran Naphira ini ada yang 53KB atau 69KB.

-Scan flashdisk anda dengan Morphost. Gunakan database Morphost yang paling baru.

PENGOBATAN:
-Gunakanlah Morphost Antivirus. Pakai database Morphost 7 atau database yang lebih baru lagi…

Sekian analisis NadiaSaphira

Analyzed by: Morphic
-Nadiasaphira VM (sori, aku bikin julukan baru untuk virus ini. “Naphira”) he he he…
-seluruh mahasiswa FK USU 2009

Amburadul varian Baru atau bukan?

Ini Amburadul varian baru atau bukan?

Beberapa hari yang lalu, saya dapat sampel baru. Saya lupa siapa yang memberi link download virus ini.

Tapi yang jelas virus ini sebenarnya sudah bisa dideteksi dengan antivirus Morphost. (gunakan database Morphost terbaru). Diberi nama Autoit. Dan memang saya tidak yakin. Antivirus tetangga menyebutnya “JavaUnicode”.

Setelah dipikir-pikir emang bisa juga sih. Karena hampir semua filenya berfilename unicode.

Tapi kebetulan hasil analisa virus ini belum dipost di MorphostLab, jadi kali ini gak salah untuk ngepost artikel ini.

He he he

NamaVirus : Masih belum jelas

Ukuran : 287,566 bytes

Virusnya menyebar ke:

-C:\Document And settngs\[User]\Application Data\Java\ߙJviewʚ.exe

-C:\Document And Settings\[User]\Application Data\Java\ϝshimgvwʅ.exe

-C:\Document And settings\[User]\application Data\Java\desktop.ini

- C:\Document and settings\[User]\Local Settings\Application Data\Microsoft\CD Burning\Autorun.inf

- C:\ Document and settings\[User]\Local Settings\Application Data\Microsoft\CD Burning\Recycler\… (Di dalam folder recycler masih ada dua file lagi. Saya menduga kedua file ini adalah file virus dan desktop.ini. saya tidak sempat membuka folder ini.)

Saat membuka virus ini, yang muncul malah:

Registry yang dirusak seperti yang digambarkan dibawah ini:

Dengan perincian sebagai berikut:

Sementara process yang hidup di kompiku ada 2:
-ߙJviewʚ.exe
-ϝshimgvwʅ.exe

-

sekian analisis tentang virus ini:

By:Morphic

http://www.morphostlab.co.nr

special thanks to:

-Adnan s4dly (viruscaptor kami)
-Xhadow (Designer kami)
-adie (A&D kami)
-Yudha (Viruscaptor kami)
-Neo Bekabe (VirusCaptor kami)
-Nash (Viruscaptor kami)

(setiap kali dapat virus upload yaa..)

Dibutuhkan anggota baru MorphostLab!

Tim MorphostLab

Ini bukan sayembara ato perlombaan apalagi seleksi. Artikel ini membicarakan tentang penerimaan anggota baru MorphostLab.

Jadi kini kami (Morphic & anggota MorphostLab lain) membuka pintu lebar-lebar bagi siapa saja yang mau bergabung dengan kelompok (atau sebut saja grup atau tim) MorphostLab.

Siapa saja boleh asal mau dan serius.

Di dalam tim MorphostLab ada 5 departemen atau grup, yaitu:
1.VirusAnalyst Group
2.VirusCaptor Group
3.A&D Group (Advertiser And Distributor Group)
4.Designer Group
5.Independent Group

Penjelasan masing-masing grup akan dijelaskan sebagai berikut

VIRUSANALYST GROUP
VirusAnalyst group adalah kelompok bagi mereka yang suka menganalisis virus. MorphostLab sangat membutuhkan mereka dalam analisa virus. Apalagi kalo ada virus yang lagi booming, maka mereka lah yang paling dibutuhkan. Hasil analisa diberikan kepada MorphostLab (kalau diminta).
Misalkan ada virus yang lagi booming nih. Namanya anggap saja virus “Booming”. Nah, MorphostLab akan meminta mereka untuk menganalisis virus “Booming” ini.

Untuk masuk grup ini tidak perlu pintar. Kalaupun hasil analisa salah kamu tidak akan dipecat kok! Dan kalaupun kamu lagi sibuk dan gak sempat menganalisa virus juga gak apa-apa, kami maklumi itu. He he he.
Bagi kamu yang pengen masuk grup ini tapi tidak ada skill menganalisa virus juga boleh.
Nantinya sesama anggota grup juga akan saling membantu.

Anggota group ini masih satu orang. Namanya SatryaCode. Sekaligus sebagai Boss of Group dari grup VirusAnalyst.

VIRUSCAPTOR GROUP
Yang ini malah gak kalah pentingnya! Kalau ini gak ada, Morphost Antivirus bakal ketinggalan dari virus-virus lokal.
Tugas grup ini adalah menangkapi/mencari virus-virus lokal dan menguploadnya ke 4shared kita. http://morphic.4shared.com
Orang-orang yang ada di grup ini biasanya haus akan virus, dan selalu pasti nyentuh virus tiap harinya. He he he.
Tugasnya gampang kan? Cukup cari virus dan upload ke 4shared kita.
Anggota grup ini masih 3 orang. Dan ketiganya akan diangkat menjadi Boss of Group. Mereka bertiga adalah Yudha (BoG 1), Nash (BoG2) dan Neo Bekabe (BoG3).

A&D GROUP
Untuk yang satu ini tugasnya adalah sebagai advertiser dan distributor. Anggotanya bertugas untuk mengiklankan Morphost. Arti Mengiklankan disini bukan untuk memasang iklan, tapi mempromosikannya ke orang-orang khususnya ke blog-blog atau web-web lain.
Jadi setiap kali singgah ke blog orang, tinggalkan link disana. Ato boleh juga kasih kata-kata manis untuk promosi. He he he..
Anggotanya juga bertugas untuk mendistribusikan Morphost ke orang-orang. Maksudnya disini adalah membagi-bagikan Morphost ke tetanggamu, saudaramu, teman sekelas, pacar, istri atau teman selingkuhan. Terserah deh…

Anggotanya juga baru satu. Namanya Axer (Boss of Group). Dan kalau bisa sih, anggotanya yang juga punya blog atau website. Tapi kalo gak punya pun gak apa-apa.

DESIGNER GROUP
Orang-orang kelompok ini kreatif. Tugasnya adalah menciptakan gambar-gambar Morphost seunik mungkin.
Dan kalau dibutuhkan designer group bertugas membuat icon ataupun logo Morphost ataupun skin.
Kalau bisa anggotanya diharapkan yang sudah punya pengalaman dalam mendesign.

Anggotanya baru satu. Namanya Adithya (Boss of Group).

INDEPENDENT GROUP
Group ini baru saja muncul. Aku membayangkan adanya sekelompok orang bebas di tim ini. He he he. Terserah apa yang mau kamu lakukan. Asal tidak menjelekkan nama baik tim dan Morphost Antivirus tentunya.
Kamu boleh juga sih gak begitu aktif di grup ini. Bagi kamu-kamu yang memang jarang online juga boleh masuk group ini.
Disini kamu bisa numpang nama. Karena semua grup yang ada di MorphostLab adalah sama.
Semua nama anggota bakal kutampilkan juga kok di Morphost antivirus.

Anggotanya baru satu dan menjabat sebagai boss of group. Namanya Kholis.

Setiap kelompok masih sedikit anggotanya, bukan karena tim MorphostLab tidak laku. Tapi karena semua anggotanya karena saya sendiri yang memilih dan menentukan.

Bagi siapa saja yang berminat bergabung,
Silakan kirim email ke saya dengan format:

Subject email: “Mendaftar (namaGroup)”

Isi email:
-nickname
-umur
-gender
-kampus atau sekolah
-blog atau website (kalau ada)
-web atau blog favorit
-software paling favorit
-software paling sering digunakan

Contohnya sebagai berikut:

Subject email: “Mendaftar Virusanalyst”
Isi email:
-Nickname : Tito
-umur : 17 tahun
-gender : laki-laki (boleh juga ditulis pria atau cowok yang penting jelas)
-sekolah : SMA N 1 Medan
-blog : http://tito.blog.com
-web : http://facebook.com
-software favorit: Morphost antivirus (misalnya)
-Software paling sering digunakan: Microsoft word.

Oke, kirim ke email saya:
Karta_morphic@yahoo.co.id

Thanks for all.
By:Morphic

Hate to:
-tukang contek waktu ujian.
-tukang serempet mobil waktu dijalan.
-orang-orang yg sok ganteng
-orang-orang yg omong kosong…

Analisis virus Jim

Nih ada analisis virus tentang virus Jim

VirusName : Jim [Morphost]
Size : 57344 bytes
MD5 : 462C454AAAC78CAB1C7EFD1F7357B105
Icon : aplikasi.

Virus ini hidup di dlm lingkungan folder yang berartribut recycle bin. Gak banyak yg diketahui dari virus Jim ini. Karena menurutku virus ini full of random!
Ini lokasi projek visual basic-nya:
D:\S1e8fbz9np.vbp

Bukan Cuma itu string yang random. Internal name juga random. “XhzuHOOmN8Nb” dan gak ketinggalan company-nya juga random. “IJfQq64Gs9s”
Emang full of random.

Virus ini menyebar ke:
-C:\Documents and Settings\[UserName]\f5u1k69a7.exe
(yang ini juga. Filenya juga random. Mungkin beda komputer beda juga file yang disebar.)
-C:\Windows\System32\NVUKZ.exe
-C:\jim\carry\jim.exe
-C:\jim\carry\desktop.ini

Kalo registry yang diedit, gak begitu ribet dan rumit. Sepertinya virus ini mengutamakan startup saat windows logon.

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{63MAD6M8-1MAD-81AD-JIM6-32OP5G1234521}\StubPath”, “c:\jim\carry\jIm.exe”

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}\StubPath “, “%System%\NVUKZ.exe”

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zvb0dl2X8tt”, “%System%\NVUKZ.exe”

“HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}\StubPath”, “%System%\NVUKZ.exe”

“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\9UmxQPSiTJMbA”, “%System%\NVUKZ.exe”

Semua registry diatas fungsinya agar virus Jim aktif saat windows logon.

By: Morphic
(FK USU 2009)

Manfaat Terinfeksi Alman

hoi! hoi!
apa kabar semua…

akhirnya bisa nulis lagi…
untuk tutorial kali ini singkat saja….

baru-baru ini aku baru sadar ada untungnya dari “infeksi alman”.
yah, kalo filemu terinfeksi alman sih bukan untung namanya…

Untung yang kumaksud adalah kalau ada virus yang tidak terdeteksi oleh AV, bila terinfeksi oleh Alman bakal terdetek.

aku rasa semua udah tahu itu…

begitu juga dengan Morphost, awalnya sih ada virus yang gak terdeteksi oleh MOrphost, tapi untungnya si virus yang lolos scanning itu udah terinfeksi oleh Alman. Gara-gara itulah si virus ketangkep dengan Nama “Terinfeksi Alman”

supaya gak sia-sia, bagi kalian yang udah baca artikel ini, aku bakal kasih kalian hadiah…
disetiap file yang terinfeksi oleh alman, bakal ada string yang mirip dengan kata “Aquna”
tapi bukan itu kata-nya. mirip dengan itu…

kapan-kapan aku update lagi deh artikel ini!

by:Morphic
http://www.morphostlab.co.nr

Conficker lagi…

waah,, lagi-lagi conficker…
sebenarnya aku bosan nulis artikel mengenai virus yang ini-ini terus….

ini adalah artikel yang sengaja kutulis untuk dimuat di koran, tapi gak jadi…
daripada di buang, mending di post di blog.

Siapa yang tidak kenal virus conficker? Virus ini begitu mendunia. Sejak akhir tahun lalu, conficker telah memakan banyak korban. Malah satu dari 16 PC di dunia sudah terinfeksi.
Inilah yang pertama kalinya Microsoft turun tangan setelah kasus virus Sasser tahun 2005 silam. Microsoft mengaku serangan conficker alias Downadup alias Kido lebih hebat dibandingkan Sasser dan virus-virus lainnya tahun 2003-2004. Dan mereka berjanji akan menghadiahkan uang sebesar US$250.000 (setara 3 Miliar Rupiah) pada siapa saja yang berhasil menangkap pembuatnya.
Tapi tampaknya si pelaku sama sekali tidak takut. Malah dia membuat varian yang dinamai Conficker B++. Dan varian yang satu ini mampu melakukan lebih banyak hal buruk dibanding seniornya.
Ternyata si pembuat cukup pintar. Dia sengaja memprogram seluruh virusnya untuk menjalankan instruksinya pada tanggal 1 April. Salah satu instruksinya adalah menggerakan semua virusnya untuk mengakses situs-situs tertentu (diantaranya situs-situs antivirus) agar terjadi crash. Dan masih banyak instruksi lainnya. Untungnya dua hari sebelum tanggal 1 April yang lalu dua orang peneliti dari HoneyNet Project menemukan jejak atau sidik jari dari si conficker yang tertinggal di komputer korban. Berkat jejak inilah mereka berhasil membuat program khusus untuk mendeteksi conficker.

Ciri-ciri Conficker
Seberapa kenalkah anda dengan conficker? Ya, mungkin beberapa dari anda mungkin sudah kenal betul atau bahkan komputer anda salah satu korbannya.
Tidak sulit untuk mengenali virus ini. Biasanya virus ini semakin jelas dikenali apabila memlalu flashdisk. Cukup perhatikan flashdisk anda. Umumnya flashdisk yang sudah dihinggapi virus ini akan bericon folder. Tapi bukan berarti setiap flashdisk yang bericon folder dipastikan terinfeksi conficker.
Virus conficker juga memiliki file pemicu yang dinamakan ”autorun.inf”. File ini biasanya ditemui di setiap drive tapi khusus untuk conficker file ini biasanya ditemukan di flashdisk korban. Dan umumnya ukuran file ”autorun.inf” milik Conficker ini diatas 50KB. Namun sampai sejauh ini, ukuran file yang saya lihat masih 55KB. Tidak lebih dan tidak kurang. Sedangkan untuk file induk Conficker selalu bernama file ”jwgkvsq.vmx” dan berekstensi ”.vmx”. Pada Windows umumnya ekstensi ini belum terdaftar sama sekali. Jadi apabila file ini dieksekusi yang muncul malah kotak dialog ”Open With”. File induk ini bisa dieksekusi apabila file ”autorun.inf”-nya dipicu. Dan untuk file induk ini selalu berukuran diatas 150 KB. Tapi umumnya ukurannya rata-rata 155-169 KB
Kedua file ini diset superhidden sehingga anda mungkin tidak bisa melihatnya. Tapi kalau komputer anda memang sudah diatur supaya bisa melihat file superhidden, kedua file ini pasti akan kelihatan.
File induk disimpan didalam folder ”RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665”.

Penanganan untuk Conficker.
Conficker bisa dicegah dan bisa juga diatasi. Tapi bagaimanapun mencegah lebih baik daripada mengobati. Mencegahnya sangatlah mudah. Gunakan saja antivirus local seperti Morphost, Ansav dan antivirus local lainnya. Sedangkan untuk memberantasnya silakan gunakan antivirus PCMAV khusus conficker.
Komputer yang sifatnya online memiliki resiko 50 kali lipat lebih parah dibanding komputer offline. Jadi apabila komputer online anda terkena conficker segera putuskan koneksi internet anda!

by:Morphic

Bisakah Blackberry diserang virus?

Ini adalah salah satu artikelku yang awalnya ingin ku kirim ke koran, tapi gak jadi…

Bisakah Blackberry diserang virus?

Anda pengguna Blackberry? Ya, saat ini anda boleh saja santai atau tidak perlu takut dengan yang namanya virus. Bisa dibilang virus untuk Blackberry masih jarang ditemukan malah bisa juga dibilang hamper tidak ada. Tapi bukan berarti Blackberry tidak bisa diserang virus. Blackberry bisa diserang virus. Para virusmaker local sepertinya masih lebih senang berkreasi membuat virus komputer disbanding virus hp, walaupun pengguna HP lebih banyak disbanding pengguna PC. Tapi suatu saat mereka akan beralih ke virus HP. Dan yang paling mereka incar adalah Blackberry.
Pernahkan anda membayangkan Blackberry anda diserang virus? Tentunya tidak pernah. Atau bahkan jangan-jangan anda menyangka Blackberry anda tidak mungkin diinfeksi virus. Eits, seperti yang saya katakana tadi Blackberry-lah yang justru paling diincar oleh virusmaker local nantinya.

Virus HP
Tentunya anda pernah mendengar virus-virus HP seperti CommWarior, lasco, Cabir, Mabir, Skulls, dan lainnya. Atau jangan-jangan salah satunya pernah menyerang HP lama anda? Ya, yang jelas anda juga harus perlu tahu mengenai virus HP.
Virus HP menyerang sistem operasi dan hanya bisa aktif di sistem operasi tertentu. Sebelumnya anda harus tahu membedakan sistem operasi komputer dengan HP. Komputer memiliki jenis sistem operasi yang bermacam-macam seperti Windows, Linux, Macintosh dan lain-lain. Begitu juga dengan HP. HP mempunyai sistem operasi seperti Symbian dan Windows mobile. Virus komuter tidak bisa menyerang semua komputer. Misalnya, virus Brontok yang menyerang OS Windows tidak bisa menyerang komputer yang bersistem operasi linux. Begitu juga dengan HP. Tapi awas jangan salah pengertian! Virus Brontok tidak bisa menyerang HP, karena Brontok tidak bisa aktif di sistem operasi Symbian. Tapi bukan berarti Brontok tidak bisa masuk ke HP anda. Brontok bisa masuk ke dalam media penyimpanan di HP anda (missal memory card) tapi tidak bisa menyerang HP anda. Si Brontok hanya berdiam sebagai file biasa saja. Kalaupun anda ingin mengeksekusi virus Brontok yang ada di HP anda tidak jadi masalah. Si Brontok tidak akan menyerang HP anda.

Bisakah Blackberry diserang virus?
Jawabannya bisa. Bagaimanapun selalu saja ada orang yang mampu menemukan celah kelemahannya. Tinggal tunggu waktu saja. Umumnya virus HP berekstensi ”.sis”. Dan ekstensi ini memang bisa dieksekusi di sistem operasi Symbian. Contoh-contoh virus Symbian ini seperti CommWarior.sis, Lasco.sis, Cabir.sis, dan lain-lain. Tapi ada hal lain yang menarik yang perlu anda ketahui. Setelah browsing di internet, saya menemukan dua file virus yang diduga bisa menyerang Blackberry anda. Kedua file itu saya temukan di salah satu blog lokal. Kedua file tersebut adalah ”D-v#1.sis” dan ”D-v#2.sis”. Belum diketahui apa nama virus itu dan apa efek yang diakibatkan virus itu, karena saya belum sempat mengeksekusi virus itu.
Pertanyaan penting mengenai kedua file virus itu adalah benarkah kedua file tersebut adalah virus Blackberry? Kesimpulan akhir yang perlu anda tarik adalah lindungi Blackberry anda!

by:Morphic

5 Fakta Virus Conficker

5 Fakta virus Conficker

Setelah aku teliti-teliti ada beberapa fakta pada virus conficker.

1. Conficker menulari flashdisk dengan 2 file dan 2 folder.
Kalau yang satu ini aku rasa semua udah pada tahu. Ada dua file dan ada dua folder. Kedua file yang dimaksud adalah autorun.inf dan jwgkvsq.vmx
Dan dua folder yang dimaksud adalah “RECYCLER” dan “S-5-3-42-2819952290-8240758988-879315005-3665” yang berada di dalam folder “Recycler”
Dan perlu ditekankan sekali lagi bahwa conficker berbeda dengan virus Recycler.

Kesamaan antara kedua virus ini adalah keduanya sama-sama membuat folder “Recycler”

2. Ukuran kedua file milik Conficker mudah ditebak!
Inti dari fakta kedua ini:
file autorun.inf milik Conicker selalu di atas 55KB. Dan umumnya berukuran 58Kb.
File jwgkvsq.vmx milik Conficker selalu di atas 150 KB.

Fakta kedua ini sebenarnya sudah aku bahas dulu. Baca lagi artikel yang berjudul “Trik cegah segala varian conficker”

Dengan adanya fakta kedua ini, banyak AV yang sudah bisa menghajar varian-varian conficker yang datangnya dari flashdisk.

Smad*V juga memanfaatkan peluang ini. Tentunya file jqgkvsq.vmx yang ada di flashdiskmu pasti terdetek. Tapi kalo file itu direname, pasti smad*v tidak mendeteknya sebagai virus. Sebenarnya begitu juga dengan Morphost.

3. Virus Conficker adalah virus yang lebih abstrak.
Semua sudah tahu kalo virus komputer adalah hal yang abstrak. Kalo conficker ini lebih dari abstrak.
Komputer yang sudah sempat terinfeksi, kalo discan pake AV lokal (termasuk morphost juga), pasti si conficker gak ketemu. Sementara kalo di flashdisk pasti terdetek.

4. Flashdisk yang terinfeksi mudah dibersihkan.
jangan anggap remeh fakta yang keempat ini. Biasanya kalo flashdisk kita bervirus, pastinya kita membersihkan flashdisk kita d komputer lain yang bersih.
Tapi khusus untuk conficker, flashdisk kita yang udah sempat kena inipun bisa dibersihkan di komputer yang memang sudah terinfeksi conficker.
Sederhananya flashdisk kita yang bervirus bisa dibersihkan secara langsung di komputer korban.
Cukup hapus kedua file conficker!
Untuk melihat bukti bisa cek di komputer yang bersih!

5. Conficker akan mati jika svchost.exe juga mati!
Ini adalah penelitian terakhir kami (MorphostLab). Setelah kami cek, ternyata svchost.exe punya peranan penting bagi conficker. Kesimpulan sederhananya conficker bergantung hidup pada svchost.exe

Kami pastikan bahwa conficker sendiri punya services di komputer korban. Namun tidak jelas services yang mana. (Mungkin beberapa dari pembaca ada yang sudah tahu services milik conficker).
Di SERVICES.MSC ada banyak services yang berstartup ”svchost.exe”.

Supaya lebih pasti kami merename langsung key regedit svchost.
HKLM\software\microsoft\windows NT\currentversion\svchost

Setelah komputer direstart, conficker akan mati.

Catatan:
Setelah komputer direstart akan ada dampak-dampakanya.
-startup makin lambat.
-tampilan welcome dan munculnya desktop sangat lambat sekali.
-tampilan XP akan berubah menjadi tampilan windows 98.
-pada task manager tidak ada process ”SVCHOST.exe”

By: Morphic
http://www.morphostlab.co.nr

thanks to:
-Aditia Perdana designer MorphostLab

Trik sederhana AutoMacros untuk virus Macro

Belakangan ini banyak sekali malcoder atau virus maker yang senang berkreasi dengan Visual basic. Alasan utamanya mungkin karena bahasa yang satu ini lebih manusiawi.

Dibanding dengan virus macro dan virus Script VBS, virus exe (anggap saja buatan visual basic) jauh lebih liar dan hebat. Kebanyakan orang beranggapan begitu.
Virus exe dianggap keren.
Virus macro dianggap kuno sedangkan
Virus vbs dianggap murahan atau rendahan.

Aku sendiri yakin kalo anggapan ini pun terus berlanjut sampe ke generasi-generasi VM berikutnya. He he he.

Terus terang saja, selain membuat virus dari VB6, aku juga tertarik ama virus macro. Dulu masih banyak celah-celah kelemahan Ms.Word yang bisa dimanfaatkan oleh MacroVM. Tetapi sekarang ini, celah-celah kelemahan yang dulu sudah gak ada lagi. Semuanya udah di-fix ama si Om Microsoft.

Om Microsoft dengan giat-giatnya memperbaiki software-nya, supaya virus pun gak berkutik lagi. Contohnya aja Microsoft word 2007.
File umum ms.word 2007 berekstensi “.docx” sedangkan,
File umum ms.word 2007 yang bermacro berekstensi “.docm”.

Jelas-jelas dipandang dari luar udah ketahuan mana file yang bermacro dan mana yang tidak. Ditambah lagi icon file “.docm” bergambar file doc dengan gambar “warning”. He he he. Ini jelas-jelas memperingatkan user akan ada bahaya di dalamnya.

Kebetulan tutorial kali ini membahas virus macro. Jadi aku akan bahas sedikit tentang AutoMacros.

AutoMacros ini berfungsi untuk melakukan tindakan secara otomatis tapi tergantung nama Macro sendiri.
Jumlah auto macros sendiri ada 5:

1. AutoExec : automacros ini akan aktif saat pertama kali global template di-load
2. AutoNew : automacros ini akan aktif setiap kali kamu membuat satu file baru
3. AutoOpen : automacros yg ini akan aktif tiap kali kamu membuka satu dokumen.
4. AutoClose : automacro ini akan aktif kalo kamu menutup dokumen
5. AutoExit : automacros yg ini akan aktif kalo global template ditutup.

Yang menjadi pertanyaan, bagaimana memanfaatkan semua automacro ini. Mungkin sebagian dari anda sudah tahu bagaimana menggunakannya, tapi sebagian lagi mungkin belum tahu. Mudah-mudahan tutorial ini berguna.

Ada dua cara bagaimana menggunakan automacros.
1. Membuat module baru
2. Membuat sub baru.

CARA PERTAMA: Membuat Module Baru

Untuk latihan Kita bekerja di “Normal”.
Silakan klik kanan Insert > Module

Setelah muncul module baru, beri nama module tersebut dengan salah satu AutoMacros. Terserah mau yang mana. Tapi untuk latihan kita coba dengan “AutoExec”.
Jadi sekarang beri nama module baru tadi dengan “AutoExec”

Setelah itu coba buka module tersebut. Akan ada field kosong. Disitu ketik
Sub Main()
Msgbox “kita berhasil”
End Sub

Sesudah kamu mengetik code di atas, coba tutup microsoft word kamu lalu hidupkan kembali. Aktifkan Ms.Word yang dari start menu. Gak perlu document-nya yang kamu hidupkan. Cukup software ms.wordnya aja. Mau 2003 atau 2007 terserah.

Ntar, bakal muncul msgbox yang isinya “Kita berhasil”

Coba bayangkan sendiri kalo code “Msgbox ‘kita berhasil’” itu diganti dengan source code virus macro? Wah, wah…
Mantap tuh!

CARA KEDUA: Membuat sub baru.
Untuk cara kedua ini kita latihan di normal juga. Tapi kali ini kita gak perlu membuat module baru. Di situ ada field “This document”. Ketik disitu:
Sub AutoExec()
Msgbox “kita berhasil”
End sub

Efeknya bakal sama dengan cara pertama. Cukup terapkan saja pada virus macro kamu.

Lalu ada pertanyaan yang muncul sekarang!
Apa bedanya AutoMacros ini dengan payload “Document_open” atau “Document_close” dan lain-lain yang biasa di pake ama virus?

Ada bedanya.
Kalo AutoMacros, bakal ngejalanin semua sourcecode kamu tanpa kompromi! Apa yang kamu tulis disitu bakal dijalanin langsung. Wah, mantap tuh!!!
Kalo payload “Document_open” misalnya, bakal ngejalanin sourcecode virus kalo security Ms.Word “LOW”. Gimana kalo security ms.Word kamu itu HIGH? Pasti virus kamu gak jalan.

Kalo kamu seorang MacroVM yang menggunakan payload “document_open”, kamu harus banyak-banyak berdoa supaya virus kamu itu menyebar luas. He he he…
Soalnya semua security ms.word udah di-set default pada kondisi HIGH.

Lalu muncul pertanyaan lagi! Kalo semua virus make AutoMacros gimana? Virus macro pasti masuk ke komputer kita kan? Bagaimana tuh?
Jawabannya: TEKAN “SHIFT” PADA KEYBOARD KALO MAU BUKA MS.WORD!

By:Morphic
(FK USU 2009)
http://www.morphostlab.co.nr

Special thanks to:
-SatryaPermana designer logo Morphost.
-Virologi.info
-www.codenesia.com
-www.virusanalyst.org
-anak-anak FK USU 2009
-seluruh pengunjung MorphostLab.