Dibutuhkan anggota baru MorphostLab!

Tim MorphostLab

Ini bukan sayembara ato perlombaan apalagi seleksi. Artikel ini membicarakan tentang penerimaan anggota baru MorphostLab.

Jadi kini kami (Morphic & anggota MorphostLab lain) membuka pintu lebar-lebar bagi siapa saja yang mau bergabung dengan kelompok (atau sebut saja grup atau tim) MorphostLab.

Siapa saja boleh asal mau dan serius.

Di dalam tim MorphostLab ada 5 departemen atau grup, yaitu:
1.VirusAnalyst Group
2.VirusCaptor Group
3.A&D Group (Advertiser And Distributor Group)
4.Designer Group
5.Independent Group

Penjelasan masing-masing grup akan dijelaskan sebagai berikut

VIRUSANALYST GROUP
VirusAnalyst group adalah kelompok bagi mereka yang suka menganalisis virus. MorphostLab sangat membutuhkan mereka dalam analisa virus. Apalagi kalo ada virus yang lagi booming, maka mereka lah yang paling dibutuhkan. Hasil analisa diberikan kepada MorphostLab (kalau diminta).
Misalkan ada virus yang lagi booming nih. Namanya anggap saja virus “Booming”. Nah, MorphostLab akan meminta mereka untuk menganalisis virus “Booming” ini.

Untuk masuk grup ini tidak perlu pintar. Kalaupun hasil analisa salah kamu tidak akan dipecat kok! Dan kalaupun kamu lagi sibuk dan gak sempat menganalisa virus juga gak apa-apa, kami maklumi itu. He he he.
Bagi kamu yang pengen masuk grup ini tapi tidak ada skill menganalisa virus juga boleh.
Nantinya sesama anggota grup juga akan saling membantu.

Anggota group ini masih satu orang. Namanya SatryaCode. Sekaligus sebagai Boss of Group dari grup VirusAnalyst.

VIRUSCAPTOR GROUP
Yang ini malah gak kalah pentingnya! Kalau ini gak ada, Morphost Antivirus bakal ketinggalan dari virus-virus lokal.
Tugas grup ini adalah menangkapi/mencari virus-virus lokal dan menguploadnya ke 4shared kita. http://morphic.4shared.com
Orang-orang yang ada di grup ini biasanya haus akan virus, dan selalu pasti nyentuh virus tiap harinya. He he he.
Tugasnya gampang kan? Cukup cari virus dan upload ke 4shared kita.
Anggota grup ini masih 3 orang. Dan ketiganya akan diangkat menjadi Boss of Group. Mereka bertiga adalah Yudha (BoG 1), Nash (BoG2) dan Neo Bekabe (BoG3).

A&D GROUP
Untuk yang satu ini tugasnya adalah sebagai advertiser dan distributor. Anggotanya bertugas untuk mengiklankan Morphost. Arti Mengiklankan disini bukan untuk memasang iklan, tapi mempromosikannya ke orang-orang khususnya ke blog-blog atau web-web lain.
Jadi setiap kali singgah ke blog orang, tinggalkan link disana. Ato boleh juga kasih kata-kata manis untuk promosi. He he he..
Anggotanya juga bertugas untuk mendistribusikan Morphost ke orang-orang. Maksudnya disini adalah membagi-bagikan Morphost ke tetanggamu, saudaramu, teman sekelas, pacar, istri atau teman selingkuhan. Terserah deh…

Anggotanya juga baru satu. Namanya Axer (Boss of Group). Dan kalau bisa sih, anggotanya yang juga punya blog atau website. Tapi kalo gak punya pun gak apa-apa.

DESIGNER GROUP
Orang-orang kelompok ini kreatif. Tugasnya adalah menciptakan gambar-gambar Morphost seunik mungkin.
Dan kalau dibutuhkan designer group bertugas membuat icon ataupun logo Morphost ataupun skin.
Kalau bisa anggotanya diharapkan yang sudah punya pengalaman dalam mendesign.

Anggotanya baru satu. Namanya Adithya (Boss of Group).

INDEPENDENT GROUP
Group ini baru saja muncul. Aku membayangkan adanya sekelompok orang bebas di tim ini. He he he. Terserah apa yang mau kamu lakukan. Asal tidak menjelekkan nama baik tim dan Morphost Antivirus tentunya.
Kamu boleh juga sih gak begitu aktif di grup ini. Bagi kamu-kamu yang memang jarang online juga boleh masuk group ini.
Disini kamu bisa numpang nama. Karena semua grup yang ada di MorphostLab adalah sama.
Semua nama anggota bakal kutampilkan juga kok di Morphost antivirus.

Anggotanya baru satu dan menjabat sebagai boss of group. Namanya Kholis.

Setiap kelompok masih sedikit anggotanya, bukan karena tim MorphostLab tidak laku. Tapi karena semua anggotanya karena saya sendiri yang memilih dan menentukan.

Bagi siapa saja yang berminat bergabung,
Silakan kirim email ke saya dengan format:

Subject email: “Mendaftar (namaGroup)”

Isi email:
-nickname
-umur
-gender
-kampus atau sekolah
-blog atau website (kalau ada)
-web atau blog favorit
-software paling favorit
-software paling sering digunakan

Contohnya sebagai berikut:

Subject email: “Mendaftar Virusanalyst”
Isi email:
-Nickname : Tito
-umur : 17 tahun
-gender : laki-laki (boleh juga ditulis pria atau cowok yang penting jelas)
-sekolah : SMA N 1 Medan
-blog : http://tito.blog.com
-web : http://facebook.com
-software favorit: Morphost antivirus (misalnya)
-Software paling sering digunakan: Microsoft word.

Oke, kirim ke email saya:
Karta_morphic@yahoo.co.id

Thanks for all.
By:Morphic

Hate to:
-tukang contek waktu ujian.
-tukang serempet mobil waktu dijalan.
-orang-orang yg sok ganteng
-orang-orang yg omong kosong…

Analisis virus Jim

Nih ada analisis virus tentang virus Jim

VirusName : Jim [Morphost]
Size : 57344 bytes
MD5 : 462C454AAAC78CAB1C7EFD1F7357B105
Icon : aplikasi.

Virus ini hidup di dlm lingkungan folder yang berartribut recycle bin. Gak banyak yg diketahui dari virus Jim ini. Karena menurutku virus ini full of random!
Ini lokasi projek visual basic-nya:
D:\S1e8fbz9np.vbp

Bukan Cuma itu string yang random. Internal name juga random. “XhzuHOOmN8Nb” dan gak ketinggalan company-nya juga random. “IJfQq64Gs9s”
Emang full of random.

Virus ini menyebar ke:
-C:\Documents and Settings\[UserName]\f5u1k69a7.exe
(yang ini juga. Filenya juga random. Mungkin beda komputer beda juga file yang disebar.)
-C:\Windows\System32\NVUKZ.exe
-C:\jim\carry\jim.exe
-C:\jim\carry\desktop.ini

Kalo registry yang diedit, gak begitu ribet dan rumit. Sepertinya virus ini mengutamakan startup saat windows logon.

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{63MAD6M8-1MAD-81AD-JIM6-32OP5G1234521}\StubPath”, “c:\jim\carry\jIm.exe”

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}\StubPath “, “%System%\NVUKZ.exe”

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zvb0dl2X8tt”, “%System%\NVUKZ.exe”

“HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}\StubPath”, “%System%\NVUKZ.exe”

“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\9UmxQPSiTJMbA”, “%System%\NVUKZ.exe”

Semua registry diatas fungsinya agar virus Jim aktif saat windows logon.

By: Morphic
(FK USU 2009)

Manfaat Terinfeksi Alman

hoi! hoi!
apa kabar semua…

akhirnya bisa nulis lagi…
untuk tutorial kali ini singkat saja….

baru-baru ini aku baru sadar ada untungnya dari “infeksi alman”.
yah, kalo filemu terinfeksi alman sih bukan untung namanya…

Untung yang kumaksud adalah kalau ada virus yang tidak terdeteksi oleh AV, bila terinfeksi oleh Alman bakal terdetek.

aku rasa semua udah tahu itu…

begitu juga dengan Morphost, awalnya sih ada virus yang gak terdeteksi oleh MOrphost, tapi untungnya si virus yang lolos scanning itu udah terinfeksi oleh Alman. Gara-gara itulah si virus ketangkep dengan Nama “Terinfeksi Alman”

supaya gak sia-sia, bagi kalian yang udah baca artikel ini, aku bakal kasih kalian hadiah…
disetiap file yang terinfeksi oleh alman, bakal ada string yang mirip dengan kata “Aquna”
tapi bukan itu kata-nya. mirip dengan itu…

kapan-kapan aku update lagi deh artikel ini!

by:Morphic
http://www.morphostlab.co.nr

Conficker lagi…

waah,, lagi-lagi conficker…
sebenarnya aku bosan nulis artikel mengenai virus yang ini-ini terus….

ini adalah artikel yang sengaja kutulis untuk dimuat di koran, tapi gak jadi…
daripada di buang, mending di post di blog.

Siapa yang tidak kenal virus conficker? Virus ini begitu mendunia. Sejak akhir tahun lalu, conficker telah memakan banyak korban. Malah satu dari 16 PC di dunia sudah terinfeksi.
Inilah yang pertama kalinya Microsoft turun tangan setelah kasus virus Sasser tahun 2005 silam. Microsoft mengaku serangan conficker alias Downadup alias Kido lebih hebat dibandingkan Sasser dan virus-virus lainnya tahun 2003-2004. Dan mereka berjanji akan menghadiahkan uang sebesar US$250.000 (setara 3 Miliar Rupiah) pada siapa saja yang berhasil menangkap pembuatnya.
Tapi tampaknya si pelaku sama sekali tidak takut. Malah dia membuat varian yang dinamai Conficker B++. Dan varian yang satu ini mampu melakukan lebih banyak hal buruk dibanding seniornya.
Ternyata si pembuat cukup pintar. Dia sengaja memprogram seluruh virusnya untuk menjalankan instruksinya pada tanggal 1 April. Salah satu instruksinya adalah menggerakan semua virusnya untuk mengakses situs-situs tertentu (diantaranya situs-situs antivirus) agar terjadi crash. Dan masih banyak instruksi lainnya. Untungnya dua hari sebelum tanggal 1 April yang lalu dua orang peneliti dari HoneyNet Project menemukan jejak atau sidik jari dari si conficker yang tertinggal di komputer korban. Berkat jejak inilah mereka berhasil membuat program khusus untuk mendeteksi conficker.

Ciri-ciri Conficker
Seberapa kenalkah anda dengan conficker? Ya, mungkin beberapa dari anda mungkin sudah kenal betul atau bahkan komputer anda salah satu korbannya.
Tidak sulit untuk mengenali virus ini. Biasanya virus ini semakin jelas dikenali apabila memlalu flashdisk. Cukup perhatikan flashdisk anda. Umumnya flashdisk yang sudah dihinggapi virus ini akan bericon folder. Tapi bukan berarti setiap flashdisk yang bericon folder dipastikan terinfeksi conficker.
Virus conficker juga memiliki file pemicu yang dinamakan ”autorun.inf”. File ini biasanya ditemui di setiap drive tapi khusus untuk conficker file ini biasanya ditemukan di flashdisk korban. Dan umumnya ukuran file ”autorun.inf” milik Conficker ini diatas 50KB. Namun sampai sejauh ini, ukuran file yang saya lihat masih 55KB. Tidak lebih dan tidak kurang. Sedangkan untuk file induk Conficker selalu bernama file ”jwgkvsq.vmx” dan berekstensi ”.vmx”. Pada Windows umumnya ekstensi ini belum terdaftar sama sekali. Jadi apabila file ini dieksekusi yang muncul malah kotak dialog ”Open With”. File induk ini bisa dieksekusi apabila file ”autorun.inf”-nya dipicu. Dan untuk file induk ini selalu berukuran diatas 150 KB. Tapi umumnya ukurannya rata-rata 155-169 KB
Kedua file ini diset superhidden sehingga anda mungkin tidak bisa melihatnya. Tapi kalau komputer anda memang sudah diatur supaya bisa melihat file superhidden, kedua file ini pasti akan kelihatan.
File induk disimpan didalam folder ”RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665”.

Penanganan untuk Conficker.
Conficker bisa dicegah dan bisa juga diatasi. Tapi bagaimanapun mencegah lebih baik daripada mengobati. Mencegahnya sangatlah mudah. Gunakan saja antivirus local seperti Morphost, Ansav dan antivirus local lainnya. Sedangkan untuk memberantasnya silakan gunakan antivirus PCMAV khusus conficker.
Komputer yang sifatnya online memiliki resiko 50 kali lipat lebih parah dibanding komputer offline. Jadi apabila komputer online anda terkena conficker segera putuskan koneksi internet anda!

by:Morphic

Bisakah Blackberry diserang virus?

Ini adalah salah satu artikelku yang awalnya ingin ku kirim ke koran, tapi gak jadi…

Bisakah Blackberry diserang virus?

Anda pengguna Blackberry? Ya, saat ini anda boleh saja santai atau tidak perlu takut dengan yang namanya virus. Bisa dibilang virus untuk Blackberry masih jarang ditemukan malah bisa juga dibilang hamper tidak ada. Tapi bukan berarti Blackberry tidak bisa diserang virus. Blackberry bisa diserang virus. Para virusmaker local sepertinya masih lebih senang berkreasi membuat virus komputer disbanding virus hp, walaupun pengguna HP lebih banyak disbanding pengguna PC. Tapi suatu saat mereka akan beralih ke virus HP. Dan yang paling mereka incar adalah Blackberry.
Pernahkan anda membayangkan Blackberry anda diserang virus? Tentunya tidak pernah. Atau bahkan jangan-jangan anda menyangka Blackberry anda tidak mungkin diinfeksi virus. Eits, seperti yang saya katakana tadi Blackberry-lah yang justru paling diincar oleh virusmaker local nantinya.

Virus HP
Tentunya anda pernah mendengar virus-virus HP seperti CommWarior, lasco, Cabir, Mabir, Skulls, dan lainnya. Atau jangan-jangan salah satunya pernah menyerang HP lama anda? Ya, yang jelas anda juga harus perlu tahu mengenai virus HP.
Virus HP menyerang sistem operasi dan hanya bisa aktif di sistem operasi tertentu. Sebelumnya anda harus tahu membedakan sistem operasi komputer dengan HP. Komputer memiliki jenis sistem operasi yang bermacam-macam seperti Windows, Linux, Macintosh dan lain-lain. Begitu juga dengan HP. HP mempunyai sistem operasi seperti Symbian dan Windows mobile. Virus komuter tidak bisa menyerang semua komputer. Misalnya, virus Brontok yang menyerang OS Windows tidak bisa menyerang komputer yang bersistem operasi linux. Begitu juga dengan HP. Tapi awas jangan salah pengertian! Virus Brontok tidak bisa menyerang HP, karena Brontok tidak bisa aktif di sistem operasi Symbian. Tapi bukan berarti Brontok tidak bisa masuk ke HP anda. Brontok bisa masuk ke dalam media penyimpanan di HP anda (missal memory card) tapi tidak bisa menyerang HP anda. Si Brontok hanya berdiam sebagai file biasa saja. Kalaupun anda ingin mengeksekusi virus Brontok yang ada di HP anda tidak jadi masalah. Si Brontok tidak akan menyerang HP anda.

Bisakah Blackberry diserang virus?
Jawabannya bisa. Bagaimanapun selalu saja ada orang yang mampu menemukan celah kelemahannya. Tinggal tunggu waktu saja. Umumnya virus HP berekstensi ”.sis”. Dan ekstensi ini memang bisa dieksekusi di sistem operasi Symbian. Contoh-contoh virus Symbian ini seperti CommWarior.sis, Lasco.sis, Cabir.sis, dan lain-lain. Tapi ada hal lain yang menarik yang perlu anda ketahui. Setelah browsing di internet, saya menemukan dua file virus yang diduga bisa menyerang Blackberry anda. Kedua file itu saya temukan di salah satu blog lokal. Kedua file tersebut adalah ”D-v#1.sis” dan ”D-v#2.sis”. Belum diketahui apa nama virus itu dan apa efek yang diakibatkan virus itu, karena saya belum sempat mengeksekusi virus itu.
Pertanyaan penting mengenai kedua file virus itu adalah benarkah kedua file tersebut adalah virus Blackberry? Kesimpulan akhir yang perlu anda tarik adalah lindungi Blackberry anda!

by:Morphic

5 Fakta Virus Conficker

5 Fakta virus Conficker

Setelah aku teliti-teliti ada beberapa fakta pada virus conficker.

1. Conficker menulari flashdisk dengan 2 file dan 2 folder.
Kalau yang satu ini aku rasa semua udah pada tahu. Ada dua file dan ada dua folder. Kedua file yang dimaksud adalah autorun.inf dan jwgkvsq.vmx
Dan dua folder yang dimaksud adalah “RECYCLER” dan “S-5-3-42-2819952290-8240758988-879315005-3665” yang berada di dalam folder “Recycler”
Dan perlu ditekankan sekali lagi bahwa conficker berbeda dengan virus Recycler.

Kesamaan antara kedua virus ini adalah keduanya sama-sama membuat folder “Recycler”

2. Ukuran kedua file milik Conficker mudah ditebak!
Inti dari fakta kedua ini:
file autorun.inf milik Conicker selalu di atas 55KB. Dan umumnya berukuran 58Kb.
File jwgkvsq.vmx milik Conficker selalu di atas 150 KB.

Fakta kedua ini sebenarnya sudah aku bahas dulu. Baca lagi artikel yang berjudul “Trik cegah segala varian conficker”

Dengan adanya fakta kedua ini, banyak AV yang sudah bisa menghajar varian-varian conficker yang datangnya dari flashdisk.

Smad*V juga memanfaatkan peluang ini. Tentunya file jqgkvsq.vmx yang ada di flashdiskmu pasti terdetek. Tapi kalo file itu direname, pasti smad*v tidak mendeteknya sebagai virus. Sebenarnya begitu juga dengan Morphost.

3. Virus Conficker adalah virus yang lebih abstrak.
Semua sudah tahu kalo virus komputer adalah hal yang abstrak. Kalo conficker ini lebih dari abstrak.
Komputer yang sudah sempat terinfeksi, kalo discan pake AV lokal (termasuk morphost juga), pasti si conficker gak ketemu. Sementara kalo di flashdisk pasti terdetek.

4. Flashdisk yang terinfeksi mudah dibersihkan.
jangan anggap remeh fakta yang keempat ini. Biasanya kalo flashdisk kita bervirus, pastinya kita membersihkan flashdisk kita d komputer lain yang bersih.
Tapi khusus untuk conficker, flashdisk kita yang udah sempat kena inipun bisa dibersihkan di komputer yang memang sudah terinfeksi conficker.
Sederhananya flashdisk kita yang bervirus bisa dibersihkan secara langsung di komputer korban.
Cukup hapus kedua file conficker!
Untuk melihat bukti bisa cek di komputer yang bersih!

5. Conficker akan mati jika svchost.exe juga mati!
Ini adalah penelitian terakhir kami (MorphostLab). Setelah kami cek, ternyata svchost.exe punya peranan penting bagi conficker. Kesimpulan sederhananya conficker bergantung hidup pada svchost.exe

Kami pastikan bahwa conficker sendiri punya services di komputer korban. Namun tidak jelas services yang mana. (Mungkin beberapa dari pembaca ada yang sudah tahu services milik conficker).
Di SERVICES.MSC ada banyak services yang berstartup ”svchost.exe”.

Supaya lebih pasti kami merename langsung key regedit svchost.
HKLM\software\microsoft\windows NT\currentversion\svchost

Setelah komputer direstart, conficker akan mati.

Catatan:
Setelah komputer direstart akan ada dampak-dampakanya.
-startup makin lambat.
-tampilan welcome dan munculnya desktop sangat lambat sekali.
-tampilan XP akan berubah menjadi tampilan windows 98.
-pada task manager tidak ada process ”SVCHOST.exe”

By: Morphic
http://www.morphostlab.co.nr

thanks to:
-Aditia Perdana designer MorphostLab

Trik sederhana AutoMacros untuk virus Macro

Belakangan ini banyak sekali malcoder atau virus maker yang senang berkreasi dengan Visual basic. Alasan utamanya mungkin karena bahasa yang satu ini lebih manusiawi.

Dibanding dengan virus macro dan virus Script VBS, virus exe (anggap saja buatan visual basic) jauh lebih liar dan hebat. Kebanyakan orang beranggapan begitu.
Virus exe dianggap keren.
Virus macro dianggap kuno sedangkan
Virus vbs dianggap murahan atau rendahan.

Aku sendiri yakin kalo anggapan ini pun terus berlanjut sampe ke generasi-generasi VM berikutnya. He he he.

Terus terang saja, selain membuat virus dari VB6, aku juga tertarik ama virus macro. Dulu masih banyak celah-celah kelemahan Ms.Word yang bisa dimanfaatkan oleh MacroVM. Tetapi sekarang ini, celah-celah kelemahan yang dulu sudah gak ada lagi. Semuanya udah di-fix ama si Om Microsoft.

Om Microsoft dengan giat-giatnya memperbaiki software-nya, supaya virus pun gak berkutik lagi. Contohnya aja Microsoft word 2007.
File umum ms.word 2007 berekstensi “.docx” sedangkan,
File umum ms.word 2007 yang bermacro berekstensi “.docm”.

Jelas-jelas dipandang dari luar udah ketahuan mana file yang bermacro dan mana yang tidak. Ditambah lagi icon file “.docm” bergambar file doc dengan gambar “warning”. He he he. Ini jelas-jelas memperingatkan user akan ada bahaya di dalamnya.

Kebetulan tutorial kali ini membahas virus macro. Jadi aku akan bahas sedikit tentang AutoMacros.

AutoMacros ini berfungsi untuk melakukan tindakan secara otomatis tapi tergantung nama Macro sendiri.
Jumlah auto macros sendiri ada 5:

1. AutoExec : automacros ini akan aktif saat pertama kali global template di-load
2. AutoNew : automacros ini akan aktif setiap kali kamu membuat satu file baru
3. AutoOpen : automacros yg ini akan aktif tiap kali kamu membuka satu dokumen.
4. AutoClose : automacro ini akan aktif kalo kamu menutup dokumen
5. AutoExit : automacros yg ini akan aktif kalo global template ditutup.

Yang menjadi pertanyaan, bagaimana memanfaatkan semua automacro ini. Mungkin sebagian dari anda sudah tahu bagaimana menggunakannya, tapi sebagian lagi mungkin belum tahu. Mudah-mudahan tutorial ini berguna.

Ada dua cara bagaimana menggunakan automacros.
1. Membuat module baru
2. Membuat sub baru.

CARA PERTAMA: Membuat Module Baru

Untuk latihan Kita bekerja di “Normal”.
Silakan klik kanan Insert > Module

Setelah muncul module baru, beri nama module tersebut dengan salah satu AutoMacros. Terserah mau yang mana. Tapi untuk latihan kita coba dengan “AutoExec”.
Jadi sekarang beri nama module baru tadi dengan “AutoExec”

Setelah itu coba buka module tersebut. Akan ada field kosong. Disitu ketik
Sub Main()
Msgbox “kita berhasil”
End Sub

Sesudah kamu mengetik code di atas, coba tutup microsoft word kamu lalu hidupkan kembali. Aktifkan Ms.Word yang dari start menu. Gak perlu document-nya yang kamu hidupkan. Cukup software ms.wordnya aja. Mau 2003 atau 2007 terserah.

Ntar, bakal muncul msgbox yang isinya “Kita berhasil”

Coba bayangkan sendiri kalo code “Msgbox ‘kita berhasil’” itu diganti dengan source code virus macro? Wah, wah…
Mantap tuh!

CARA KEDUA: Membuat sub baru.
Untuk cara kedua ini kita latihan di normal juga. Tapi kali ini kita gak perlu membuat module baru. Di situ ada field “This document”. Ketik disitu:
Sub AutoExec()
Msgbox “kita berhasil”
End sub

Efeknya bakal sama dengan cara pertama. Cukup terapkan saja pada virus macro kamu.

Lalu ada pertanyaan yang muncul sekarang!
Apa bedanya AutoMacros ini dengan payload “Document_open” atau “Document_close” dan lain-lain yang biasa di pake ama virus?

Ada bedanya.
Kalo AutoMacros, bakal ngejalanin semua sourcecode kamu tanpa kompromi! Apa yang kamu tulis disitu bakal dijalanin langsung. Wah, mantap tuh!!!
Kalo payload “Document_open” misalnya, bakal ngejalanin sourcecode virus kalo security Ms.Word “LOW”. Gimana kalo security ms.Word kamu itu HIGH? Pasti virus kamu gak jalan.

Kalo kamu seorang MacroVM yang menggunakan payload “document_open”, kamu harus banyak-banyak berdoa supaya virus kamu itu menyebar luas. He he he…
Soalnya semua security ms.word udah di-set default pada kondisi HIGH.

Lalu muncul pertanyaan lagi! Kalo semua virus make AutoMacros gimana? Virus macro pasti masuk ke komputer kita kan? Bagaimana tuh?
Jawabannya: TEKAN “SHIFT” PADA KEYBOARD KALO MAU BUKA MS.WORD!

By:Morphic
(FK USU 2009)
http://www.morphostlab.co.nr

Special thanks to:
-SatryaPermana designer logo Morphost.
-Virologi.info
-www.codenesia.com
-www.virusanalyst.org
-anak-anak FK USU 2009
-seluruh pengunjung MorphostLab.

Deteksi Dini Doomsday 2012

Kalo bicara soal doomsday 2012 jadi teringat ramalan bangsa maya tentang kejadian 2012. He he he. Ntah betul ntah gak tuh…

Jadi kalo nama ini dikaitkan dengan virus, jadi teringat ama virus buatan Darmal. Wah, wah. Emang bikin kontroversial aja nih virus.

Sebelumnya aku sudah pernah nulis sedikit tentang virus ini dan sudah aku post di blog MorphostLab. Bagi yang belum baca silakan baca artikel yang judulnya “Apa yang aneh dari Doomsday 2012”

Teman sekampusku sendiri (beda fakultas), dengan semangatnya bersama denganku untuk membuat removal virus ini. Tapi menurutku sendiri hal ini tergolong sulit.

Dulunya ada satu kendala! Yaitu filename virus ini yang mengandung karakter unicode. Hampir 95% antivirus lokal yang eksis di Indonesia pasti meloloskan virus ini dari scanning. Begitu juga dengan Morphost. Aku akui sendiri. He he he…

Lagipula bukan hanya itu. Ada juga istilah critical process yg dipunyai ama si doomsday 2012 ini. Itu termasuk salah satu masalahnya loh.

Jadi dalam artikel ini akan aku jelasin bagaimana supaya antivirus kalian bisa mendeteksi virus ini dan tidak meloloskan virus ini dari scanning kalian. Malah gak Cuma virus ini, tapi semua virus yang juga pake teknik karakter unicode!

Ini trik yang sederhana.

Private Sub ScanFile(filename as string)
on error goto akhir
If filelen(filename) = 0 then
Resume next
End if
akhir:
if err.number = 52 then
If isunicode(filename) = true then
‘lakukan tindakanmu sendiri disini
End if
end if
End sub

Function isunicode(filename as string) as boolean
Unicopy filename, app.path & “\file”
If filelen(app.path & “\file”) > 0 then
‘Disini taruh code kalian untuk mengecek file App.Path & “\file”
‘kalau file tersebut adalah virus lakukan tindakan selanjutnya
‘jangan lupa, kalau itu memang virus ubah nilai isunicode menjadi TRUE
Isunicode = True ‘kalau memang virus…
End if
Kill app.path & “\file”
End function

Private sub DeleteIt(filename as string)
Unidel filename
End sub

Public Function UniDel(FileName As String)
On Error Resume Next
Shell (“CMD /C DEL /Q /F” & Chr(32) & Chr(34) & FileName & Chr(34)), vbHide
End Function
Function UniCopy(Source As String, Destination As String)
On Error Resume Next
Shell (“CMD /C COPY /B” & Chr(32) & Chr(34) & Source & Chr(34) & Chr(32) & Chr(34) & Destination & Chr(34)), vbHide
End Function

Code “DeleteIt” itu fungsinya untuk mendelete tipe-tipe file yang make trik karakter unicode. Sekitar 4 atau lima bulan yang lalu ada member di forum virologi yang membuat satu sampel virus BUGAV. Virus itu memakai teknik karakter unicode. Sampel itu sengaja dibuat untuk menguji AV-AV lokal yang terbuat dari VB6.

Dengan teknik yang sudah kutuliskan diatas, semua virus-virus tipe begituan sudah bisa ditangani.

Ini semudah membalikkan telapak tangan. Tapi jangan senang dulu. Code ini hanya untuk mendeteksi saja. Kalau sudah sempat kena virus doomsday, that’s not my problem.

Sekian tutorial ini, thanks!

By:Morphic
Karta_morphic@yahoo.co.id
http://www.morphostlab.co.nr

thanks to:
-anak-anak FK USU stambuk 2009
-Tim MorphostLab
-adik-adik smansa Medan.

Ilmu Compress untuk Virus Dan Antivirus

ini sebenarnya source code lama dan banyak yang belum memperhatikan source ini.
jadi daripada source ini mati, lebih baik di publish ulang aja.

source ini pertama kali dipublish oleh Rudin Harianto.

begini sourcenya:
Private Sub Decompress(FileName As String)
Dim Result As String
Dim Posisi As Double
Dim prevByte As Byte
Dim currByte As Byte
Dim AmbilBit As Byte
Dim andPrev, andCurr As Byte
Dim i, j As Double
Dim TempResult As Byte
Open FileName For Binary As #1
If Dir(Left(FileName, Len(FileName) – 3) + “tmp”) “” Then _
Kill Left(FileName, Len(FileName) – 3) + “tmp”
Open Left(FileName, Len(FileName) – 3) & “tmp” For Binary As #2
AmbilBit = 0
andPrev = &H1
andCurr = &HFC
For i = 1 To FileLen(FileName)
If AmbilBit = 0 Then
Get #1, i, currByte
currByte = currByte And &HFE
TempResult = currByte / 2
Else
Get #1, i – 1, prevByte
Get #1, i, currByte
prevByte = prevByte And andPrev
prevByte = prevByte * (2 ^ (8 – AmbilBit – 1))
currByte = currByte And andCurr
currByte = currByte / (2 ^ (AmbilBit + 1))
TempResult = prevByte Or currByte
End If
If AmbilBit = 7 Then
AmbilBit = 0
i = i – 1
andPrev = &H1
andCurr = &HFC
Else
AmbilBit = AmbilBit + 1
If AmbilBit > 1 Then
andPrev = andPrev + (2 ^ (AmbilBit – 1))
andCurr = &HFF – andPrev – (2 ^ AmbilBit)
End If
End If

TempResult = TempResult + &H20
Put #2, , TempResult
Next i
Close #1
Close #2

Open Left(FileName, Len(FileName) – 3) & “tmp” For Input As #3
Result = Input(FileLen(Left(FileName, _
Len(FileName) – 3) & “tmp”), #3)
Result = Replace(Result, Chr(&H7F), Chr(10), , , vbBinaryCompare)
Result = Replace(Result, Chr(&H80), Chr(13), , , vbBinaryCompare)
For i = 97 To 122
Result = Replace(Result, Chr(&H80 – 96 + i), _
Chr(i) + ” “, , , vbBinaryCompare)
Next i

Close #3

Kill Left(FileName, Len(FileName) – 3) & “tmp”
If Dir(Left(FileName, Len(FileName) – 3) + “txt”) “” Then _
Kill Left(FileName, Len(FileName) – 3) + “txt”

Open Left(FileName, Len(FileName) – 3) & “txt” For Binary As #4
Put #4, , Result
Close #4
End Sub

Private Sub Compress(FileName As String)
Dim i As Byte
Dim IsiText As String
Dim Posisi As Double
Dim String8 As String
Dim Temp1 As Byte
Dim Temp2 As Byte
Dim currTemp As Integer
Posisi = 1
Open FileName For Input As #1
IsiText = Input(FileLen(FileName), #1)
Close #1

If Dir(Left(FileName, Len(FileName) – 3) + “ZZZ”) “” Then _
Kill Left(FileName, Len(FileName) – 3) + “ZZZ”
Open Left(FileName, Len(FileName) – 3) + “ZZZ” For Binary As #2
IsiText = Replace(IsiText, Chr(10), Chr(&H7F), _
, , vbBinaryCompare)
IsiText = Replace(IsiText, Chr(13), Chr(&H80), _
, , vbBinaryCompare)

For i = 97 To 122
IsiText = Replace(IsiText, Chr(i) + ” “, _
Chr(&H80 – 96 + i), , , vbBinaryCompare)
Next i
Do While Posisi < Len(IsiText)
String8 = Mid(IsiText, Posisi,
Posisi = Posisi + 8
ReDim ByteTemp8(Len(String8) – 1) As Byte
ReDim ByteResult7(Round((Len(String8) * 7) / 8 + _
0.4) – 1) As Byte

For i = 1 To Len(String8)
ByteTemp8(i – 1) = (Asc(Mid(String8, i, 1)) – &H20)
Next i
currTemp = 128
Temp2 = 0

ByteResult7(0) = ByteTemp8(0) * 2
For i = 1 To UBound(ByteResult7)
ByteTemp8(i) = ByteTemp8(i) * 2
Temp2 = Temp2 + currTemp
currTemp = currTemp / 2
Temp1 = ByteTemp8(i) And Temp2
Temp1 = Temp1 / (2 ^ (8 – i))
ByteResult7(i – 1) = ByteResult7(i – 1) Or Temp1
ByteTemp8(i) = ByteTemp8(i) And (&HFF – Temp2)
ByteTemp8(i) = ByteTemp8(i) * (2 ^ i)
ByteResult7(i) = ByteTemp8(i)
Next i
If Len(String8) = 8 Then _
ByteResult7(6) = ByteResult7(6) Or ByteTemp8(7)
Put #2, , ByteResult7
Loop
Close #2
End Sub

Private Sub cmdCompress_Click()
Compress "c:\test.txt"
End Sub

Private Sub cmdDeCompress_Click()
Decompress "c:\test.txt"
End Sub

Source itu fungsinya untuk mengcompress sebuah file "text" dengan tingkat compress hingga 20%.
Ingat! File Exe tidak bisa dieksekusi setelah dicompress dengan teknik ini!

Trik ini hanya untuk memperkecil ukuran saja.
Fungsi untuk antivirus:
-berfungsi untuk mengkarantinakan virus!
-untuk encrypt database internal!

Fungsi untuk Virus:
-bisa anda pikirkan sendiri

dipublish ulang oleh :Morphic