MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Trik Scanning File Shortcut

Posted by Morphic pada Januari 18, 2010


Ini nih trik scanning file shortcut!

Sejauh ini masih belum banyak antivirus lokal yang bisa menscan file-file shortcut. Yang bisa hanya ada beberapa dan itu pun antivirus-antivirus lokal yang sudah senior.
Salah satu antivirus lokal yang bisa menscan file shortcut adalah Morphost.

Pertama kali Morphost bisa menscan file shortcut saat maraknya virus vinorika (atau biasa disebut virus Yuyun).

Nah, mudah-mudahan dengan trik ini antivirus buatanmu juga bisa menscan file shortcut!

Function DetectScript(alamat as string) as Boolean
Dim exten As String
Dim skrip As String
exten = UCase(Right(alamat, 3)) ‘untuk lihat ekstensi file

If exten = “LNK” Then

skrip = UCase(Fileteks(alamat))
If InStr(skrip, “WSCRIPT.EXE”) > 0 Then GoTo bawah ‘jika ada tulisan WSCRIPT.EXE maka itu virus!
If InStr(skrip, “.DLS”) > 0 Then GoTo bawah ‘jika ada tulisan .DLS maka itu virus!
If InStr(skrip, “RUNDLL32”) > 0 Then GoTo bawah ‘jika ada tulisan RUNDLL32 maka itu virus!

ElseIf exten = “COM” Then ‘ sekaligus aku kasih trik untuk deteksi EICAR
skrip = UCase(Fileteks(alamat))
If InStr(skrip, “EICAR”) > 0 Then
DetectScript = True
Namavirus = “EICAR VIRUS TEST”
End If
End If

Exit Function
bawah:
namavirus = “Fake Shortcut”
DetectScript = True
End function

‘Fungsi ini untuk membaca file teks
Function Fileteks(Where As String) As String
Dim BinTeks, Temp As String

Open Where For Input As #6
On Error Resume Next
Do While Not (EOF(6))
Input #6, Temp
BinTeks = BinTeks & Temp
Loop
Close #6
FileTeks = BinTeks

End Function

Anggap saja trik deteksi file EICAR di atas itu sebagai bonus. Hihihi…
Yah, biar AV-mu juga lolos test EICAR sama seperti Morphost dan antivirus lainnya.

Untuk virus vinorika, biasanya ada string “WSCRIPT.EXE” disetiap file shortcut yang dibuatnya.
Lalu untuk “.DLS” dan “RUNDLL32.EXE”, itu juga string yang menunjukkan bahwa si shortcut link dari suatu virus. Khusus kedua string ini saya dapatkan dari salah satu virus vbs yang baru.

Nah, kamu bisa tambahin sendiri string-string lainnya, supaya AV-mu bisa semakin ganas. Tapi awas FALSE ALARM!!!

Sekian,
By: Morphic Karta

Thanks to:
-semua pengunjung MorphostLab
-Mankbut
-A.M.Hirin
-Mas Aat Shadewa
-Shafry.  http://viruslab.tk

54 Tanggapan to “Trik Scanning File Shortcut”

  1. Andi said

    bang morpic bagaimana cara masukin heuristicnya ke av saya? disimpan dimana, trus itu alamatnya apa? sorry newbie banget bang

  2. desperados said

    thank’s ya phic tp q mw tanya..

    utk suspect harrypotter ini atau malshortcut string “wscript.pdb”
    itu termasuk jg ya… cz wktu q buka pake hxden da string itu…

    dan berhasil..

    namun di satu sisi… dlm eksekusi ni malcode… sempat da bug..
    “file not found” yg sebabkan AV q lgsg mati, tetapi malshortcutnya terhapus tuh…

    ni gmana… tlong di bantu dunk..

    • Morphic said

      kalo bisa jangan cuma satu string..
      minimal dua…

      dan jangan ambil string yang terpisah oleh spasi. oke.
      gimana coba jelasin lagi?
      AV mu mati karena malcode itu?

      • desperados said

        nampaknya….
        tapi AV ku jg udh berhasil… eksekusi tuh malcode phic..

        kok q mlah berpikir… apa saling serang yah…????
        ok.. thanks yah.. nti q bedah lagi utk q koreksi…

  3. desperados said

    keren nih.. bleh q ambil yah.. ntar nama u q cantumin kok… (n_n)

  4. bego said

    hey smua lam kenal,!!!!!!!!!!!!!!!!!!
    kakak2 semuana bantuin dong q yang masih newbie ni tentang heuristic icon compare engine, and cara membuat checksumna, soal q mau blajar nich???????????

    • Morphic said

      kita akan bantu kamu disini…

      kita semua disini sama-sama newbie dan sama-sama belajar…
      selalu akan kita buat pembahasan tentang antivirus dan proteksi pada virus…

  5. yudha said

    hadir… ada sample..

    http://www.mediafire.com/?zjyimzgjymi

  6. mankbut said

    itu dia pic yg aq cari .biar RTP lbh ringan. kalau buka folder gak lambat. lok foldernya isinya dkt ya biasa aja. lok buka folder yg da 1000 image harus nunggu sambil ngopi dulu. pas habis kopinya kebuka baru foldrnya. ni yg jadi mslh pic

    • Morphic said

      RTP di indonesia ‘biasanya’ cek file kalo lagi bka folder.
      dan kalo ketemu file yg ukurannya besar, pasti kita bisa nunggu lagi (biasany sempat tidur siang).
      buat aja filternya but.
      yah… kalo ketemu file > 10MB lewatin aja tuh file.

      yang jelas buat filter sebaik mungkin tapi gak meloloskan virus…

  7. mankbut said

    thanks infonya. cz aq baru belajar ni. sbenernya aq gk da jurusan ma virus. aq tu bisanya di photoshop. gara2 kompter sering eror kna virus.aq jd suka menelitinya. yah mumpung aq byk waktu luang jg. kerja jd tmbh semangat gk ngantuk2 lg. oh ya da yang punya source booter ym gak? dulu aq paling seneng maen boot.

  8. Muamarkudo said

    Like this.

    . . .eh, bang, sx2 prmosiin blog q jg si. .hehe,

    . . Eh y, surat lmrany aq krm bsk siang ke emailmu. .

    Thx b4. .

  9. mankbut said

    pic heuristic ma ceksum yg bgus tu apa ya.aq dwnload di source code.heuristicnya byk flse alrm. aq mo bikin av baru.tpi aq bingung mo pke ceksum apa.

    • Shafry said

      klo menurutq checksum ad yang CRC16, CRC32, Ma MD5 Klo g salh yang bagus adalah md5 n untuk heristicnya itu untuk baca string klo ga salah soalnya aq ga begitu memahami heuristic klo av si heuristic q pakai untuk baca string. ke2nya ada di avq checksum crc32 ma heuristicnya.

      sory ya bos morphic aq lancang ne jawab duluan
      hehehehehehe

      ga papa khan betul ga tuh

    • Morphic said

      ada banyak ceksum…
      misalnya crc32 ato md5.
      crc32 dan md5 dibagi dua lagi, crc32 file ato crc32 string (md5 juga… md5 file dan md5 string)
      md5 string dan crc32 string lebih efektif nangkap virus…..

      heuristik yg populer di indonesia itu icon compare.

  10. yudha said

    gak ngerti aku…. aku ngertinya Teknik membuat gambar Arsitektur..

    4shared lagi error…

  11. mankbut said

    di av aq lom mau ni.ntar aq coba lg mdh2an bisa.oh ya td aq sempat mampir ke blognya mas shafry.blognya keren. tadi aq jg sem4 dwnload virusnya.thank’s brow

  12. p0et said

    ampooeennn mas morphic.. makin keren aja

  13. Shafry said

    BOS EICARnya ud berhasil q detect tp viorikanya belum soalnya pada code “Open Where For Input As #6” salah katanya file not found gt bos. trus q bwat sendiri malah g bisa

  14. Shafry said

    bos di morphost tu heurnya ap aj se?

  15. mankbut said

    iya.aq jg ngilangin key reg automatic run on starup aq.biar gk kedetek virus lg oleh smadav.terpaksa nambhin ceckbox lg deh. ..buat ngaktifinnya. biar pengguna nyaman aja.

  16. mankbut said

    thank’s bos atas triknya. mau aq coba dlu. dulu aq pernah nyoba ngbil ceksumnya tpi malah false alrm. tpi aq buat antivirus cuma buat mengisi waktu luang aq. aq cuma ingin kalau antivirus aq bisa nolong orang lain walau gk byk.ya setidaknya nanti ada gunanya bg orang lain. oh ya morphos autodetect di baca virus ni ma smad behavior smadav . juga smp by suck91 trus berbagai program portable lainya. ini sangat tidak bgs bagi vendor av lokal dan software portable lain. aq dah krm email tapi gak da tanggapan dari teamnya.

  17. shafry said

    thanks bos aq cri ne scrip lama terxta ud nongol d sne

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: