MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Source code detect Runonce

Posted by Morphic pada Januari 13, 2010


Tuntaskan Runonce!

Kelihatannya Runonce pengen mengikuti jejak sality, alman dan lain-lainnya, suka menginfeksi file-file “.exe”. Virus ini cukup terkenal sebenarnya dan hampir semua AV impor sudah bisa mendeteksi virus ini sekaligus file-file terinfeksinya. Namun sayang, tidak semua antivirus lokal bisa mendetek virus ini.

Runonce sendiri begitu dieksekusi akan menginfeksi hampir semua file “.exe” seberapa ia sanggup.
Lalu mendrop induknya ke folder “system32”. Kemudian yang paling menarik lagi si Runonce menyebarkan file-file email ke setiap folder.

Saya menguji 3 antivirus lokal. Salah satunya Morphost dan dua yang lain adalah antivirus lokal lain.
Salah satu antivirus lokalnya (sebut saja Antivirus A) bisa mendeteksi file-file terinfeksi Runonce dengan baik. Dan semua file yang terdeteksi diberinya nama “Suspected.Virut.” Sayangnya Antivirus A ini tidak mendeteksi file-file “email” yang dibuat oleh si Runonce.
Antivirus yang kedua (sebut saja antivirus B), malah sama sekali tidak mendeteksi file-file yang diinfeksi oleh Runonce begitu juga file-file email yang dibuat oleh virus runonce.
Antivirus yang ketiga (antivirus Morphost) bisa mendeteksi file-file email tersebut dengan baik. Untuk Morphost Accords, file-file yang terinfeksi memang masih belum terdetek namun untuk versi Morphost Expert file-file yang diinfeksi Runonce sudah bisa dideteksi.

Di tutorial kali ini saya akan berikan sedikit source khusus untuk mendeteksi Runonce ini. Begini code-nya.

Option Explicit
Dim NamaVirus as String

Function DetectRunonce(lpFileName as string) as boolean
Dim filedata as string
Dim Malscr as string
Dim IsExe as string
Open lpfilename For Binary As #1
filedata = Space$(2)
Get #1, , filedata
Close#1

If ucase(filedata) = “MZ” then
Isexe = “1”
Elseif ucase(filedata) = “HE” then
Isexe = “2”
End if

If isexe = 1 then
If FileLen(lpfilename) > 1750 Then
If WatchString(lpfilename, 1750, 100, “IMISSYOU”) Then
Detectrunonce = true
Namavirus = “Terinfeksi: Runonce”
End If
End If
Elseif isexe = 2 then
MalScr = UCase(FileTeks(filename))
If InStr(MalScr, “IMISSYOU”) > 0 Then
Detectrunonce=true
Namavirus= “Fake Email”
End If
End if

End function
Function FileTeks(Where As String) As String
Dim BinTeks, Temp As String

Open Where For Input As #6
On Error Resume Next
Do While Not (EOF(6))
Input #6, Temp
BinTeks = BinTeks & Temp
Loop
Close #6
FileTeks = BinTeks

End Function

Function WatchString(AlamaT As String, mulai As Long, banyaknya As Integer, apaygdicari As String) As Boolean
Dim bin() As Byte
Dim filedata As String
WatchString = False

Open AlamaT For Binary As #8
filedata = Space$(banyaknya)
Get #8, FileLen(AlamaT) – mulai, filedata
Close #8

If InStr(UCase(filedata), apaygdicari) > 0 Then WatchString = True
End Function

Itu dia source code bagaimana cara mendeteksi virus Runonce.

Sekian,

By: Morphic Karta
Thanks to:
-teman-teman seperjuangan di FK USU 2009

22 Tanggapan to “Source code detect Runonce”

  1. xeon123 said

    ini ngeberatin scanning Gax ?

  2. p0et said

    0.o

  3. Bobby315 said

    sekalian tanya phic, itu infeksi di byte brp? cuma tanya aja soalnya dirumah baru instal windows masih ngeri masukkin suspect buat diteliti (sekalian tes exe infection remover sourcenya Duke).😀

    Trims.

    • Morphic said

      oh, kalo si runonce sih masih mudah…. (gak sesulit sality dan lainnya)
      kira-kira 2KB terakhir disetiap file exe yang diinfeksi

      • Bobby315 said

        IMHO knp gak ditengah2 aja yah😀

        info lagi nih, cara gampang kenalin exe infection file exe terlihat seperti file extractor (archive) padahal bukan … coba deh phic gunain debugger kayak ollydbg, saya rada nyengir begitu tau hal ini.😀

        • Morphic said

          kalo aku untk membedain file aplikasi dan non aplikasi,
          aku make cara periksa valid atau tidaknya PE dari suatu file….
          dan ini juga ampuh, soalnya AV luar make trik ini juga.

  4. Neo BeKaBe said

    Kyaknya tu class deh, Fry.

  5. mankbut said

    sample virusnya ada gak phic? upload dunk.

  6. shafry said

    tu dmskan dlm checksum ato bwat class sndri

    • Morphic said

      boleh ke dlm class…

      dan lebih bagus ke module biasa aja….
      kalo di masukkan ke dalam classmodule kesannya terlalu mewah…

      ehehehehe

  7. satryacode said

    pendek rpny .
    tp seram …

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: