Teknik terbaru Deteksi Shortcut Virus (Missing-Target and No-Shortcut)
Posted by Morphic pada Mei 16, 2010
Perhatikan kotak merah di atas!!
Di atas ada nama malware “Missing-Target” dan “No-Shortcut”. Saya akan jelaskan keduanya ini dulu!
Missing-Target yang saya maksudkan disini adalah file shortcut yang sudah kehilangan target-nya atau file shortcut yang tidak memiliki file target.
Kasus yang terjadi:
- Shortcut virus tidak terhapus walaupun induk sudah terhapus. Dengan teknik ini shortcut ini akan terdeteksi sebab file target-nya sudah hilang.
Keuntungan teknik ini:
- Antivirus dapat mengecek file target secara langsung begitu file shortcutnya ditemukan.
No-Shortcut berarti file tersebut bukanlah shortcut sungguhan melainkan Cuma file tipuan. Sebab ekstensi “lnk” saja dapat menipu user maupun antivirus.
Kasus yang terjadi:
- Beberapa Worm dan virus suka membuat duplikasinya dengan ekstensi “.lnk”
- Beberapa worm dan virus sadar bahwa banyak antivirus lokal yang melewatkan scanning pada file “.lnk”
- Worm dan virus mengganti value command file “.lnk” menjadi value command application agar bisa dieksekusi
Keuntungan teknik ini:
- Antivirus anda dapat mengetahui / membedakan mana shortcut sungguhan dan mana yang palsu.
Berikut ini adalah source code teknik ini!
Function Tujuan(strPath As String) As String
On Error GoTo rusak
Dim wshShell As Object
Dim wshLink As Object
Set wshShell = CreateObject(“WScript.Shell”)
Set wshLink = wshShell.CreateShortcut(strPath)
Tujuan = wshLink.TargetPath
Set wshLink = Nothing
Set wshShell = Nothing
Exit Function
rusak:
End Function
Sub Scan(filename)
If right(filename, 3) = “lnk” then
If Tujuan(filename) = “” then
‘Berarti file ini adalah ‘NO-SHORTCUT’
Else
If dir(tujuan(filename)) = “” then
‘Berarti file ini adalah ‘MISSING-TARGET’
End if
End if
End sub
Catatan:
Khusus untuk code Missing-target anda bisa ganti dengan code lain. Sebab cara ini terkadang tdak terlalu baik untuk file hidden.
Saya sendiri pakai code Object(filesystemobject).FileExist untuk memeriksa ada tidaknya suatu file.
Dan anda juga perlu ingat satu hal!!! Bahwa tidak selamanya shortcut memiliki target file. Malah ada juga folder yang menjadi target dari suatu shortcut.
syaiful anwar berkata
gan kompi ane kayaknya kena virus dech,kalo baru nyala muncul peringatan
*LDCM Launcher.exeunable the locate component
-this aplication has failed to start because WDCMI.DLL was not found.reinstalling the aplication this.
Mau Tau Aja berkata
Sob..gw bingung nih..komp gw kena virus..kena dari fd keknya..waktu mau copy game gitu..
trus gw paksain…akhirnya bisa..tapi kena virus..nah besok nya waktu gw buka komp..waktu mau buka game..tulisannya “missing shortcut”
nah bisa bantu gak sob cara atasinnya ?
AnDrmD berkata
shortcut serviks di dekstop bisa dihilangkan. saya pernah kena. dah pernah berkunjung ke webnya (pembuatnya mungkin) juga (virusnya diupload juga disana) weleh2…
dulu sampe bingung, nyobanya pake DR.WEB antivirus untuk delete masternya, tapi shortcut di desktop gak bisa dihapus. saya cek2 ternyata ada diregistry.
kalau masternya dah dihapus coba cari key dengan nama serviks valuenya …..-2222-3333-4444….
mungkin developer morphost bisa mendownload virusnya biar nanti masuk dalam database
maaf saya cuma coba bantu..
Morphic berkata
terima kasih gan.
kami coba usaha terus.
koko berkata
bro minta bantuan nie….?
hd q kena virus nie…..semua folder jadi shortcut semua kecuali file rar..
tapi laptop q dah kena juga tapi waktu q scan ama avg.avira.smadav gak kedetect tu..??
tapi hd q scan kedetect virusnya new heur level 9…???
gimana nie cara nanggulanginnya….???
anti virus apa yang bisa delete tu virus…???
Morphic berkata
kami boleh minta sampelnya???
shortcutnya…
darari berkata
pasti itu virus baru yg itu…. (Bahasa Itu)
Pake aja AV yg Update tanggal 26 july 2010…
Ato pke Morphost, SMADAV, CMC, Ato Brain AntiVirus….
Khusus Brain AntiVirus,, Bisa Di Download Di sini…
http://brainlabs.ucoz.com/Brain_AntiVirus_1.9-Beta-.exe
PISSSSSSSSSSSSSSS>………
Indra berkata
Bos di desktopq juga ada icon komputer namanya serviks??
Yg nanya sebelumnya dah solve blom?
Thx
Morphic berkata
apa kami boleh minta sampelnya?
kami belum dapat sampel tersebut.
PraskaOkey berkata
Kompie saya kna Virus yg hanya dideteksi oleh Morphost Antivirus…
Nongolnya di “C:\Documents and Settings\User\Start Menu\Programs\CyberLink PowerDVD\Uninstall PowerDVD.ink
Namanya Uninstall PowerDVD.ink
Itu selalu nongol setiap Restart Komputer..
Gw bingung..
Gw lihat target Shorcutnya di C:\WINDOWS\system32\RunDll32.exe C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup “C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe” -uninstall
Anehhh………….
Ada yg bsa ngasih solusi gak…
Morphic berkata
kalo shortcut itu dihapus gimana??
tetap muncul???
kalo ak lihat di alamat targetnya memang agak mencurigakan….
jarang sekali program harus dieksekusi melalui Rundll32…
kan mereka bisa hidup sendiri…
cukup mencurigakan…
PraskaOkey berkata
Kalo Shorcutnya dihapus, maka ketika restart komputer akan muncul lagii…
Itu seperti program yg hidup sendiri..
Kalo Morphost SCAN, maka dikategorikan Virus bernama “Fake Shorcut”..
Morphic berkata
hmm…
berarti memang target file tsb mencurigakan ato risky file..
dan yg jelas file tsb file yg rumit.
gimana ya… ini kasus pertama.
ak gak berani ambil resiko. Kalo kita sebut file target adalah virus, bisa berabe juga…
to all:
teman-teman morphostlab lain ada yg tahu???
Bian berkata
itu jelas bukan virus.. tp false detect.
file target adalah setup dari PowerDVD yg punya fungsi install, uninstall, dan repair.
Morphic berkata
terima kasih atas infonya.
bingung berkata
bos icon komputer pake nama serviks tu apa ya???virus bukan??
bisa dihilangin gak???
bantu yaa
Morphic berkata
iya. virus serviks namanya…
variannya ada banyak.
silakan coba morphost dengan database terbaru dulu…
bingung berkata
laptop gw kena bos……
morphose database terbaru????bisa minta link downloadnya gak??????
Morphic berkata
blum rilis mas.
dalam waktu beberapa hari ini lah mungkin…
yg jelas sebelum tanggal 10
bingung berkata
skarang udah rilis belum bos???????
apa link nya????
Morphic berkata
blum sob!
gak tahu kapaan rilis…
hehehe.. thank you!
bingung berkata
bos mau tanya ni…di desktop kok ada icon serviks??apaan tuh??
bisa dihapus gak???
bantu ya bos
Morphic berkata
bisa upload sampelnya???
Shafry berkata
http://www.4shared.com/file/BI-v3mNj/Ahmad_Checker.html
ada yang mw coba ga. tu uda q revisi n q tambah dikit databasenya. klo ada yang beri saran ya gpp. n tambahan database juga gpp
Bimo berkata
phic !
saya kena malware apaan nih selalu teredirect ke www3.iamwired.net/ ?
untuk samplenya belum ada… anehnya pas saya buka codenesia selalu redirect ke alamat itu…
udah di cek di hosts-nya aman-aman aja…
yudha berkata
@Bimo:
coba check pakai hijackthis.. nanti ketauan apa aja yg jalan.
biasanya sih ciri2 gitu spy tuh,,
Morphic berkata
aku klik codenesia.com malah gagal.
sepertinya masa domainnya habis.
Morphic berkata
download dulu..
Desperados berkata
ini link untuk menganalisa badan file, software ini cukup bagus dan dijabarkan dengan jelas.. nama softwarenya HxDen(Hex Editor and Disk Editor)
udh ada menu:
Checksum-Generator: Checksum-8, Checksum-16, Checksum-24, Checksum-32, CRC-16, CRC-16 CCITT, CRC-32, Custom CRC, SHA-1, SHA-256, SHA-384, SHA-512, MD-2, MD-4, MD5
http://mh-nexus.de
shafry berkata
mantap
Morphic berkata
keren sob!!!
Desperados berkata
itu software yang kupakai untuk analisa badan file malware/malcode keseluruhan…
n jga byak kok sohib yang pake itu… silakan dicoba ja phic….
Morphic berkata
bisa kasih link-nya???
saya biasanya pakai sandboxie..
Desperados berkata
nah itu udh.. q tampilkan kok…
Morphic berkata
oke. Sep!
Desperados berkata
sekedar saran phic….
untuk source code pndeteksian malshortcut(harry potter) yg sdah kau tulis…
=======================================================
If exten = “LNK” Then
skrip = UCase(Fileteks(alamat))
If InStr(skrip, “WSCRIPT.EXE”) > 0 Then GoTo bawah
If InStr(skrip, “.DLS”) > 0 Then GoTo bawah
If InStr(skrip, “RUNDLL32″) > 0 Then GoTo bawah
=======================================================
utk fungsi tercadang(InStr) “RUNDLL32″ itu terjadi false alarm… yaitu dengan menunjuk salah satu bawaan instalasi windows yaitu “Microsft Update.lnk” sebagai “suspected-harrypotter”
ini ku lakukan saat kompi udh di install ulang dan mncoba mnjalankan AV buatanku yg cupu dgn mgambil teknikmu tetapi dengan metode yang berbeda
dan hal ini dlm scanning q jga pake AV Lokal CMC PH3.5 dan AV Import AVAST Pro ver 5,
dimana kedua AV tersebut tdak mdeteksi menu “Microsft Update.lnk” sebagai malware/malcode/malscript/malshortcut..
namun setelah fungsi tercadang(InStr) “RUNDLL32″ dibekukan tidak terjadi false alarm lagi.. yang serupa dgn kedua AV lainnya CMC PH3.5 dan AVAST Pro ver 5
ini sekedar saran… agar kedepannya saudaraku morphost bisa lebih baik..
Morphic berkata
sya sudah sadar sob…
waktu saya ngepost tuh artikel memang blum sadar…
ok. thanks!!
Desperados berkata
sama-sama yang penting kita maju bersama…
dan ilmu kita harus bermanfaat untuk negeri kita tercinta Indonesia… (n_n)”
Morphic berkata
ya. sama-sama!!!!
Genzhock berkata
Klo shorcut virusnya seperti Wmplayerc gmn tuh, apa ngk nimbulin false alarm ya, soalnya pathnya mengarah ke Rundll32.exe milik system..
Morphic berkata
false alarm ada dua pengertian….
1.false positif (file bersih dianggap virus)
2.false negatif (file virus dianggap bersih)
saya yakin kamu sudah tahu…
kalo masalah wmplayerc, dengan code di atas bisa menimbulkan false negatif. artinya file shortcut wmplayerc yg seharusnya terdeteksi sebagai Missing-Target akhinya tidak terdeteksi sebab file c:\windows\system32\rundll32.exe memang sudah ada…
hnya saja. kita bisa pakai code lain khusus untuk shortcut worm wmplayerc..
thanks sob!!!
sering2 brkunjung kemari ya!
Bobby315 berkata
Wow spyware
@morphic
ada kejadian lucu nih tester yg saya tunjuk nanya “kok file hasil DL saya didetek virus?” dan tester yg lain “oh itu false alarm!” dan saya menjawab “Lah??? AV saya blm dimasukkin heur masih pake hash biasa buat sementara”.
hahahaha :LOL:
shafry berkata
lah kok bisa????
Morphic berkata
hahaha…
yudha berkata
phic,Ada tambahan Sampel lagi di E-mail kw. check ya.
Sampel 12 dan 13
Morphic berkata
sep sob!
Joris berkata
wah….2 x saran gw HILANG TANPA JEJAK….
Knpa ne???
Ada yg ngehapus????
MuamarKudo berkata
saran yang mana bro? share disini aja…
shafry berkata
wihhhh
bang kudo udah nongol
Morphic berkata
hoho.
iya si kudo sering main dia ke sini..
MuamarKudo berkata
#shafry : iya shaf, hehe, sebenernya dari kemaren aku juga selalu maen kesini, tapi lagi jadi pasif nih..
#sam : ada bonus nih buat kaw, liat catatan fb ku ya! selamat dinikmati ya..:P
Morphic berkata
iya.
lebih enak main di sini dari pada facebook ya… hehehe.
notes yg mana tuh sob???
shafry berkata
ya gp lah. walau dulu pasif sekarang aktif kan
Morphic berkata
ntar kami cek lagi…
Bobby315 berkata
saya kira cuma proses di task manager aja yg bisa ngilang … eh komen juga yah ^^
Satryacode berkata
Hehehehe..
Mas bob, ada blogny gk?
Atau web ?
Mw donk berbagi ilmu debug ny..
Oia,
Ni blog jelek ku,
hxxp://www.safe-computing.co.cc
shafry berkata
q juga minta dunk. klik namaq 3 kli akan muncul webq.
Bobby315 berkata
nah tuh kan nama saya dah ijo ^^
klo masalah debug saya gak terlalu dalem, cuma sekedar liat string dari suatu program, routine, memeriksa apakah program yg saya dev berjalan dengan semestinya, plus beri sepotong routine mencurigakan ke komunitas bahwa bermasalah apa nggak. gituuu.
nah blog saya blm sempet update krn rumah lagi direnovasi (sering pindah tempat buat jalanin kompie).
BangTom berkata
mas bobby315 sering-sering main ke sini ya…
kita juga butuh mas buat belajar soalnya…
kalo di VB6 gimana cara ngilangin process???
Morphic berkata
btul. btul. btul..
Bobby315 berkata
wah klo vb saya ga tau tuh, terakhir saya liat cara kayak gitu cuma bisa pake c++, c, malah mungkin bisa juga pake delphi (mesti cari sourcenya klo delphi).
lagipula saya gak bisa delphi apalagi vb, susah & ribet pake deklarasi, klo c/c++ tinggal include.
shafry berkata
heheheheh
ya pasti lah
Morphic berkata
wah, saya malah gak bisa C!!!
shafry berkata
hahahah. bang klo saya yang apal di bahasa C++ ya ne code
#include
void main()
{
cout << "I Learn C++ With Turbo\n\n";
cout << "WKWKWKWKWKWKWKWK"
}
tu aja hanya code tuk cetak aja
CMIIW
Morphic berkata
wah, kalo yg ini tanya langsung ama mas bobby315
hha…
shell1024 berkata
wah pak morphic. ajari analisa virus dunkz. q kurang paham ni.
BangTom berkata
sini biar aku yg ajarin… hehhe.ee.
satryacode berkata
nice post…
Joris berkata
Bro phic,yg kemaren FP morphost waktu scan file Bicropack…
Ne nama malware menurut morphost : Malware.HDS-10
Info : Terdeteksi dengan Metode Heuristic Level 3
Sedikit Masukan :
—————
1. [BUG] Apabila Morphost mendeteksi file virus setelah scan, langsung saya klik tuntaskan (Tanpa saya ceklist),
Morphost langsung menyatakan berhasil….Padahal apabila saya scan lagi masih ada filenya.
Saran : Harusnya morphost memeriksa cekboxnya apabila belum terceklist, jangan lakukan pemberishan dulu.
Ini screen shotnya :
http://i44.tinypic.com/fwiop2.jpg
2. [BUG] Kesalahan deteksi RTP Morpshot pada shortcut Microsft Update.ink
Ini screennya :
http://i39.tinypic.com/118nbch.jpg
3. [Tidak Terdeteksi] Heuristic Morphost tidak mendeteksi satu pun sampel virus dengan wujud icon pada windows.
(Sampelnya saya setakan)
http://i40.tinypic.com/2nrkoqs.jpg
4. [Tidak Terdeteksi] Saya lakukan klik kanan lalu Scan dengan Morphost lalu hasilnya hanya 2 file yg ditangkap dari 75 :
http://i42.tinypic.com/116jsba.jpg
Kemudian saya masuk k dalam folder itu, ternyata RTP morphost beda lagi jumlah virus yg tertangkap 39 file.
Kesimpulan : Morphost Scanner dengan RTP beda pendeteksiannya
http://i41.tinypic.com/2w65rvc.jpg
Sampel2nya saya sertakan semua disini :
http://www.mediafire.com/?zmjlm1gdrnz
Morphic berkata
1. oke… tapi yg jelas tidak ada yg dihapus kan… untuk berikutnya bakal di improve
saya unduh sampelnya ya…
Sikatro berkata
@Joris:
scanner dan rtp memang belum 100% sama.coba anda lihat di readme morphost pada bagian :kekurangan morphost antivirus”
itu sampel dari forum smadav kan?
Morphic berkata
yap!
Sikatro berkata
@biasaaja:
weeehh ente main juga kesini! ajak-ajak juga ya si Dungu AKB!
desperados berkata
minta contoh link malcode/malware nya dung phic.. boleh kan…??
sekalian minta tolong ditulisi contoh
malcode/malware Missing-Target
dan
malcode/malware No-Shortcut
gitu yah..
thanks before it..
Morphic berkata
sampelnya saya tidak punya. tapi saya yakin kasus ini sering terjadi…
cukup kamu rename satu file apa saja menjadi ekstensi “lnk” (No-Shortcut)
atau kamu delete salah satu file target di komputermu… (missing-target)
thank you
descrates berkata
.lnk-.bat-.lnk-.bat .lnk-.bat-.lnk
btw bgs idenya
Morphic berkata
sama-sama.
biasaaja berkata
ni pasti gara2 fitur syahadatain
faiz berkata
weesss
interface morphost makin MANTAP aja ya..
warnanya jugak semakin menyejukkan..
heheheh
kapan ni rilisnya????
Sikatro berkata
denger” mo ganti theme n interface ya pic? q dapet info dari teman salah 1 team morphost
Morphic berkata
kita usahakan sebaiknya.
Joris berkata
Phic, ada sedikit masukan tuh di : http://morphians.wordpress.com/2010/05/09/worm-ahmad-rvr-gagal-eksploitasi-system/
Thanks………
shafry berkata
yang mana ??
n dari siapa???
Joris berkata
Hmmm..koq bisa ga ada yg …:D
Postingan gw, ntar gw post lagi deh….
Sikatro berkata
weww!!ada salah satu team smadav.nah gitu dong saling berkunjung dan bertegur sapa
salam kenal dari Sikatro. peace!
Joris berkata
Salam knl juga sob…..:D
Kan biar AV indo kita tambah maju…..:D
Morphic berkata
sama-sama sob
shafry berkata
nice info.
ijin sedot
Morphic berkata
silakan soB