MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Trik Cegah Segala Variant Conficker!

Posted by Morphic pada Juli 14, 2009


Ini hanyalah trik…
dan aku yakin banyak comment masuk yang mengomentari artikel ini…

yah maklum lah… ini adalah trik yang termasuk kontroversial..
Ini Cuma buat mencegah virus Conficker yang masuk lewat flashdisk cuy. Dan dijamin ”hampir” (kira-kira 99% lah) semua varian Conficker akan diblok. Sekali lagi ingat! Ini Cuma untuk conficker yang masuk lewat flashdisk…

Sebelumnya perlu kamu tahu kalo sekarang sudah banyak sekali jenis conficker yang saya dapatkan. Dan sudah aku koleksi di rumah….
Gak tahu lah ntah itu benar conficker atau bukan. Kemungkinan besar banyak orang sekarang ini sok-sok buat virus dengan nama yang sama dengan Conficker.
Filenamenya ”jwgkvsq.vmx” cuy!!!

Oke kita anggap saja itu semua memang benar Virus Conficker…

Sebelum masuk ke inti artikel ini, ada yang mau kusampein. Sekitar beberapa hari yang lalu, setelah googling berjam-jam aku dapat code seperti berikut.

Conficker.A
Code:
alert tcp any any -> $HOME_NET 445 (msg:
“conficker.a shellcode”; content: “|e8 ff ff ff ff c1|^|8d|N|10
80|1|c4|Af|81|9EPu|f5 ae c6 9d a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c
cc|IrX|c4 c4 c4|,|ed c4 c4 c4 94|& $HOME_NET 445 (msg: “conficker.b shellcode”;
content: “|e8 ff ff ff ff c2|_|8d|O|10 80|1|c4|Af|81|9MSu|f5|8|ae c6 9d
a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c cc|Ise|c4 c4 c4|,|ed c4 c4 c4
94|&<O8|92|\;|d3|WG|02 c3|,|dc c4 c4 c4 f7 16 96 96|O|08 a2 03
c5 bc ea 95|\;|b3 c0 96 96 95 92 96|\;|f3|\;|24 |i|95 92|QO|8f f8|O|88
cf bc c7 0f f7|2I|d0|w|c7 95 e4|O|d6 c7 17 cb c4 04 cb|{|04 05 04 c3 f6
c6 86|D|fe c4 b1|1|ff 01 b0 c2 82 ff b5 dc b6 1f|O|95 e0 c7 17 cb|s|d0
b6|O|85 d8 c7 07|O|c0|T|c7 07 9a 9d 07 a4|fN|b2 e2|Dh|0c b1 b6 a8 a9 ab
aa c4|]|e7 99 1d ac b0 b0 b4 fe eb eb|"; sid: 2000002; rev: 1;)

Katanya sih itu jejak dari si Conficker. Gak tahu betul atau gak. Periksa sendiri aja ya..
Sebagian code diatas itu dalam bentuk Hexa.

Oke langsung ke inti.
Biasanya kalo conficker nginfeksi flashdisk, si Conficker bikin file berikut:
-File autorun
– jwgkvsq.vmx
-Folder RECYCLER
-folder S-5-3-42-2819952290-8240758988-879315005-3665
(Besok-besok kalian periksa aja ya…)

Tiga hal yang perlu diperhatikan dari ciri-ciri Conficker.
-induk-nya (yang ada di flashdisk) selalu berfilename ”jwgkvsq.vmx”
-ukuran induknya selalu diatas 150 KB
-ukuran file autorun.inf selalu diatas 55 KB

Yeah, aku yakin sebenarnya sudah banyak yang sadar akan 3 hal itu. Tapi yang jelas trik ini ampuh untuk varian-varian conficker loh.

Atau lebih gampangnya saja aku akan tuliskan code-nya yah…

Public Function IsConficker(namafile as string) as Boolean
Dim namaAja() as String
namaAja() = split(namafile, “\”)
Select case Lcase(namaAja(Ubound(namaAja)))
Case “jwgkvsq.vmx”
If filelen(namafile) > 153600 then IsConficker = True
Case “autorun.inf”
If filelen(namafile) > 56320 then IsConficker = True
Case else
Exit function
End select
End Function

Trik ini belum ku implementasikan pada Morphost. Yah karena udah terlalu banyak heuristic-heuristik aneh yang kutambah, masa yang ini juga kupake. He he he .Tapi liat nantilah.

Kalo kalian rasa code ini ampuh, silakan tambahkan code ini pada antivirus kalian. Bisa aja berkat code ini antivirus kalian bisa selangkah lebih maju daripada morphost antivirus.

Tapi code ini juga gak luput dari False Alarm. Dan biasanya setelah membaca artikel ini ada orang yang pengen bikin virus-virus palsu yang make ciri-ciri conficker di atas. Tujuan mereka hanya untuk membuktikan kalo code ini mengakibatkan false alarm. Yaahh.. biarkan saja lah mereka.

By: Morphic
Thanks to
-MorphostLab
-all readers

Kami atas nama MorphostLab menyatakan bahwa kami sangat membutuhkan kiriman virus anda sekalian…
Terima kasih…

5 Tanggapan to “Trik Cegah Segala Variant Conficker!”

  1. desperados said

    klo sperti ini bisa kan…

    Public Function conficker(alamat As String) As Boolean
    Dim conf As String
    conf = DapatNamaFile(alamat)
    If FileLen(alamat) > 159744 And UCase(conf) = “JWGKVSQ.VMX” Then
    conficker = True
    Call AddInfoVirToLv(frAV.ListView1, “# Terinfeksi-Conficker #”, alamat, FileLen(alamat), “# Suspeks-Conficker-Variant #”)
    Else
    conficker = False
    End If
    End Function

  2. jerzz said

    visit my blog again
    http://jerzz.wordpress.com/

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: