MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Checksum Icon Virus

Posted by Morphic pada Agustus 6, 2009


Ternyata gak Cuma file punya checksum, icon juga punya…
Ya ini lah teknik yang dipake para AVmaker yang menggunakan heuristic icon compare pada antivirus mereka. Mereka menyimpan checksum-checksum icon virus supaya bisa mendeteksi virus-virus baru…

Sebelumnya, aku salut sama mas hirin yang udah bikin artikel tentang heuristik icon secara jelas(baca di virologi). Aku rasa artikelnyalah yang membahas heuristik icon paling jelas dari semua artikel… (ini menurutku loh)

Cara kerjanya cukup simple…
Kita membuat satu control picturebox pada form kita lalu meload icon setiap file yang akan discan. Lalu picturebox tadi akan menyimpan icon tadi ke suatu file lalu antivirus kita memeriksa / menghitung checksumnya…

Oke. Artikel kali ini gak membahas bagaimana membuat heuristik icon. Karena kalian bisa baca sendiri artikelnya mas A.M.Hirin.

Kali ini aku Cuma mau berbagi-bagi checksum virus yang make teknik A.M.Hirin. Bagi siapa saja yang menerapkan trik A.M.hirin pda antivirusnya, ini aku kasih beberapa checksumnya…

Checksum ini Cuma untuk picturebox yang ukuran width&height-nya 255 x 255. Ingat beda ukuran pasti beda dong checksumnya…
14F53AF= “New Virus [A]”
1258BDF = “New Virus [B]”
14F8EB5 = “New Virus [C]”
1F747A7 = “New Virus [D]”
12E1789 = “New Virus [E]”
17165A8 = “New Virus [F]”
168CF61 = “New Virus [G]”
10CBC97 = “New Virus [H]”
14FDCF5 = “New Virus [I]”
131D25F = “New Virus [J]”
167F336 = “New Virus [K]”
1515CF2 = “New Virus [L]”
1195897 = “New Virus [M]”
16E8893 = “New Virus [N]”
15E500E = “New Virus [O]”
1786696 = “New Virus [P]”
139C256 = “New Virus [Q]”
16B6EBD = “New Virus [R]”
1445FCA = “New Virus [S]”
15024D7 = “New Virus [T]”
:
Kita sebut saja ”NewVirus[]” oke.
Sebenarnya mash banyak lagi, tapi Cuma inilah checksumnya paling sering mendetek virus!

Sekian tutorial dari MorphostLab

Thanks to:
-A.M.Hirin
-Satryacode
-Aat Shadewa
-Virspector
-Runion

20 Tanggapan to “Checksum Icon Virus”

  1. riff said

    gan… mintak projek vb6 heuristik icon yg di Virologi gan…
    virologi mah udah gag bs dibuka kyknya gan… upload donk gan… paling cm bbrpa kb gan… tlg gan…

  2. agus said

    toooollllooooonnnnggg aku terkena virus reader_S

  3. Ivan Jaya said

    Pertanyaan saya (newbie) sedikit berkaitan dengan topik:

    Bagaimana checksum diperoleh dari suatu file? (yang saya tau kita menggunakan software atau pemrograman seperti PHP).

    Apakah file tersebut diubah dulu bentuknya ke bentuk biner? Kalau Ya, bagaimana proses pengubahan file (dengan ekstensi yang bermacam-macam exe, zip, rar,dll) ke bentuk biner?

    Mohon bantuannya, karena saya sedang belajar kriptografi. Terimakasih.

    • Morphic said

      checksum sendiri ada banyak macamnya..
      contohnya md5. Ada jenis md5 sum ato biasa disebut md5 file, terus ada juga md5 string.
      begitu juga dengan crc32.

      nah, untuk checksum icon (executable khususnya) biasanya triknya mirip md5/crc32 string.
      hanya mengambil beberapa string/byte dalam file target.
      Dan ini sangat menguntungkan karena, checksum file yg satu bisa sama dengan file lain hasil mutasi induk.

      trik logikanya begini:
      diambil beberapa byte/string dalam file lalu lakukan kalkulasi biner, kemudian hasilnya diubah dalam bentuk hexa.
      Hasil (bentuk hexa) ini lah yg disebut checksum.

      CMIIW (correct me if i wrong)

      thanks.

  4. Morphic said

    trik ini ampuh…

    morphost sudah pake teknik ini sudah lama, dan memang udah terbukti keampuhannya dalam mendeteksi virus….

  5. sigmaav said

    Wah bagus juga tuh, eh mao tanya, lox mau cari checksum dari icon itu harus diextract dulu jadi file ato langsung diextract di memory..?

  6. ghoend said

    mas anjing di search windows q hilang kenapa ya ???

    • Morphic said

      oooo,,,
      bisa juga sih hilang…

      itu bukan karena virus…
      tapi karena kelalaian.

      kalo si anjing di klik kanan lalu pilih “turn off the animated character” pasti si anjing hilang….

      kalo mau munculin lagi…
      pilih “Change preference”
      lalu pilih “with animated screen character”

      pasti sianjing muncul lagi tuh.

  7. poet said

    rajin2 aja bikin ceksum buat tiap file icon. kalo pake ceksum icon, kita ga bsa sembarangan ngasi nama worm. soalnya 1 icon bisa di pake oleh lebih dari 3 worm. lu bsa nebak sendri kelanjutannya. .

    salam.

    p0et

  8. maxx said

    masa’ nggak ada namanya ntu virus, klo ketemu virus, berarti “new virus” semua dong?
    Boleh bagi checksumnya nggak?

    • Morphic said

      tu checksum icon jadi gak perlu nama virus.
      virus apa aja yang pake icon “sensitif” bakal ditangkap (kira-kira begitulah ilustrasinya)

      checksum iconnya yah diatas itu…
      silakan ambil.

  9. poet said

    wehehehe. . . saya kagak iktan dah. .

  10. virusanalyst said

    + ollydbg juga sejujurnya…..

    Hehehe

  11. virusanalyst said

    Checksumny,
    Persis dgn yg kuliat wktu di reversi wkt itu….

    Berarti keren jga toolny …..

    Lama-lama lo bongkar semua fitur Morphost AV, hahaha…….
    ^nice^

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: