MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Bagaimana cara Morphost mendeteksi Sality? (Rahasia Dibongkar!)

Posted by Morphic pada Februari 6, 2010


Bagaimana cara Morphost Antivirus mendeteksi sality?

Banyak orang bertanya-tanya, sebenarnya apa sih string yang cocok untuk deteksi file infeksi sality?
Wajar, banyak AV lokal yang mendeteksi virus hanya dengan cek string saja dan melupakan pendeteksian dengan PE.

Ada dua caranya memang untuk deteksi file infeksi sality. Cara pertama dengan string cara kedua dengan PE Header.

Nah untuk cara pertama kamu harus tahu dulu string apa yang cocok ya? Sebenarnya banyak string-nya. Gak hanya satu untuk deteksi satu full varian.

Sebagai bonus untuk membaca artikel ini saya bocorkan satu string untuk Sality varian AA (menurut Morphost dan menurut nama internasionalnya).
String itu adalah “Ü/6!”
Hati-hati! String itu string Ucase loh!
Kamu juga boleh pake “/6!” tanpa huruf “Ü”, kalo kamu pake 3 huruf ini maka lebih banyak file infeksi yang terdetek loh. Bener! tapi saya pernah ngalamin falsedetek satu kali…
Tapi kalo kamu pake ” Ü/6!” (pake huruf “Ü”, file infeksi sality yang terdetek hanya sedikit)

Tapi jangan salah loh, ada juga file infeksi sality-AA lainnya yang lolos deteksi string ini. Untuk itu kamu harus cari string lainnya.. Anggap string ini hanya bonus.

Lalu selain sality-AA, ada juga varian sality lain yang cukup membandel di Indonesia. Yaitu sality-AE. Ini varian terbaru dan masuk 20 besar malware kasus terbanyak di dunia.

Untuk Sality-AE ini kamu bisa pakai string “QÏËXR”. Yang ini juga, anggap saja bonus. Untuk string lainnya cari sendiri.

Lalu kita masuk ke cara kedua yaitu dengan PE Header.
Kamu bisa pakai tools apa saja deh. Cari aja di google source code untuk melihat PE Header suatu file. Banyak kok.
Nah, sebagai tutorial saya ambil contoh PE Header yang dibuat oleh Kira Yamato. Kamu bisa pakai source lainnya (gak harus source Kira Yamato kok).

Untuk deteksi sality kita hanya perlu melihat sectionnya saja.
Gambar di atas adalah hasil PE Header dari satu file. File yang bukan terinfeksi.
SEctionnya seperti berikut.
.text
.data
.rsrc

Ada tiga section disitu!
Sekarang kamu coba browse lalu cari file bersih lainnya!
Saya coba untuk mencari file lain dan hasilnya seperti berikut.
.text
.rdata
.reloc

Ingat nama-nama section bisa saja berbeda dan jumlah section pun bisa aja berbeda. Kadang ada hanya satu atau kadang ada file yang punya 10 section.

Baiklah, sebelum kita periksa file yang terinfeksi Sality, kita coba cari satu file normal lain. Dan hasil file yang saya browse adalah sebagai berikut.
.text
.rdata
.data
.rsrc

Oke. Coba browse salah satu file infeksi sality yang kamu punya! File yang saya punya hasilnya sbg berikut.
File Pertama Hasilnya:
UPX0
UPX1
.rsrc
.0UPX1

Ok. Sabar dulu! Kita coba cek file-file infeksi sality yang lain. Saya punya banyak soalnya. Kita coba cek 3 file virus lagi ya…
File yang Kedua hasilnya:
.text
.rdata
.data
.rsrc
.irdat

File yang Ketiga hasilnya:
UPX0
UPX1
.rsrc
.EUPX1

File yang Keempat hasilnya:
.text
.rdata
.data
.rsrc
.drdat

Sabar. Mungkin kamu bingung… Apa-apaain ini semua. Tenang. Nyantei aja dulu…

Begini,
Tadi di atas, kita sudah cek empat file infeksi sality. Yang perlu ditekankan disini adalah keempat file yang terakhir kita cek adalah file infeksi virus!
Kita coba cek file pertama dulu y.

Sebenarnya, File pertama kita di atas sebelum diinfeksi, sectionnya sebagai berikut:
UPX0
UPX1
.rsrc

Tapi setelah diinfeksi ternyata ada tuh, satu section muncul. SECTION PALING AKHIR!!!
Muncul section
.0UPX1

Logikanya mudah saja….
JIKA SECTION TERAKHIR MIRIP DENGAN SECTION NOMOR DUA, MAKA KEMUNGKINAN BESAR 75% FILE TERSEBUT TERINFEKSI VIRUS!

Coba analisis file pertama ini! Bandingkan Section terakhir dengan Section kedua
.0UPX1 (section terakhir) bandingkan dengan UPX1 (section nomor 2).
Mirip!!!

Oke, mungkin kamu masih bingung, coba kita analisis file Kedua yang hasilnya sbg berikut:
.text
.rdata
.data
.rsrc
.irdat

Bandingkan setion terakhir dengan section nomor 2.
.irdat (section terakhir) dengan .rdata (section nomor dua).

CATATAN:
Nama section tidak bisa lebih dari enam karakter! Itu sebabnya section terakhir file Kedua bukan “.irdata” melainkan “.irdat”

Bagaimana? Sampai disini sudah mengerti?
Oke, kita analisa lagi deh file Ketiga!

Hasil sectionnya sebagai berikut:
UPX0
UPX1
.rsrc
.EUPX1

Bandingkan section terakhir dengan section nomor dua.
Section terakhir (.EUPX1) mirip dengan section nomor 2 (UPX1)
Jawabannya: file ini 75% kemungkinan terinfeksi Sality!!!

Lalu 25% lagi?
Oke, sabar. Kita analisis dulu file Keempat ya!
Daftar sectionnya sbg berikut:
.text
.rdata
.data
.rsrc
.drdat

Silakan bandingkan.
Tentunya section terakhir (.drdat) mirip dengan section nomor 2 (.rdata)

Kuncinya begini!!!
Kalau section nomor dua adalah:
.data
Maka section terakhir pasti:
.*data
(tanda bintang “*” menandakan karakter bebas)
Misal: (.adata, .bdata, .xdata, .odata dan lain-lain)

Kalau section nomor dua adalah
.rdata
Maka section terakhir pasti:
.*rdat
(tanda bintang “*” menandakan karakter bebas. Ingat aturan tadi! Nama section tidak lebih dari 6 karakter)
Misal: (.irdata, .ordata, .srdata dan lain-lain)

Saya harap kamu mengerti.

Oke. Pertanyaannya sekarang, bagaimana menentukan 25% lagi? Dari tadi Cuma 75% terus..
Yap, 25% lagi untuk menentukan file yang kita cek apakah benar-benar terinfeksi sality.

Coba browse lagi salah satu file infeksi sality!

Analisis section terakhir lalu periksa Flags Section terakhir!
Kalau nilainya “E0000020” maka file tersebut 100% terinfeksi virus Sality!!!!

Trik ini sudah diterapkan di Morphost Antivirus. Dan saya menduga bahwa metode ini jugalah yang dipakai oleh antivirus-antivirus luar/asing (yang biasa kamu pakai itu).

Antivirus lokal sendiri masih banyak yang masih pakai teknik checksum. Memang teknik checksum tidaklah salah. Tapi sangatlah fatal kalo checksum file terinfeksi yang dimasukkan ke dalam database antivirus.
Ya kan? Setiap file terinfeksi virus pasti punya checksum yang berbeda tentunya.

Antivirus lokal yang pakai teknik ini pun masih sangatlah sedikit. Jadi tidak ada salahnya kalau kamu pakai Morphost Antivirus untuk melindungi komputer anda. He hehehee.

Smad*v, salah satu antivirus lokal yang berslogan “antivirus kebanggaan Indonesia” belum pakai teknik ini.
Jadi kalau kamu sudah bisa terapkan teknik ini pada antivirusmu, maka antivirusmu sudah selangkah lebih maju dibanding Smad*v.

Mudah-mudahan ilmu yang saya sampaikan ini berguna untukmu. Dan kembangkanlah. Karena dengan teknik-teknik semacam ini pula, Morphost mampu mendeteksi virus-virus internasional lainnya seperti Alman, Sohanad, Tenga atau Gaelicum, Parite, Pharaoh, Runonce atau chirB, Virut, Autoit.Var, Recycler.Var (next revision), dan Small (next revision). Saya rasa saat ini Morphost menjadi antivirus di Indonesia yang mendeteksi lebih banyak file infeksi virus internasional!
Dan mungkin Morphost akan mendeteksi kasus infeksi lebih banyak lagi di revisi berikutnya.

Jangan lupa, cantumkan nama “Morphic Karta” dan “Morphost” di your “About Me” yaaa….
Karena saya anggap itu sebagai tanda terima kasih dan saya juga akan doakan supaya Tuhan tetap membantu kalian untuk mengembangkan teknik ini.

Sekian,

By: Morphic Karta
Thanks to:
-semua anak-anak FK USU 2009
-semua pengunjung setia Morphostlab.

Add facebook saya: Morphic Karta
Dan Join di group: MorphostLab

116 Tanggapan to “Bagaimana cara Morphost mendeteksi Sality? (Rahasia Dibongkar!)”

  1. revi said

    I’m gone to say to my little brother, that he should also
    visit this weblog on regular basis to obtain updated from hottest reports.

  2. Jasman said

    keren…🙂
    makasih kunjungannya kemaren mas morphic.

    • Morphic said

      yap! sama-sama

      • Jasman said

        ohya mas Morphic..
        EPSection.name tu kan pake string * 8 jadi klw bikin perbandingan dgn string biasa gimana ya.

        ‘Misal EPSection.name yang didapat .TEXT
        if UCase(EPSection.name) = UCase(“.TEXT”) then
        msg “Valid”
        end if

        padahal stringnya udah sama, variabel udh saya ubah dari string, string * 8, byte, long masih gk bisa. saya juga udah coba conversi ke ascii. masih gak bisa. tetapi klw saya bantu dengan textbox baru bisa valid.

        text1.text = EPSection.name
        if UCase(text1.text) = UCase(“.TEXT”) then
        msg “Valid”
        end if

        solusinya gimana ya, saya gk pengen pake textbox.😀

  3. adeshinichi said

    Tengkyu phic atas sample sality yg “unik”…
    Tapi ada 2 file yg gag ke detek ama trik di atas y????
    cara deteknya gmna???

  4. Brain AV said

    kalo cari source kira yamato dimana..??? di google kq g ada..???

  5. cowobaex said

    udah udah,jgn pada btengkar,kalo mw tawuran d lapangan bola aja,sekalian tawuran ama suporter,xexe yg pnting gmn caranya qt memajukan anvir lokal biar kompi qt aman dr virus2 n ga usah pake anvir impor (^^,)v

  6. desperados said

    saya akui morphost emang keren… dan kmrin saya dwnload tutorial ini… dan coba buat pdeteksi.. sederhana utk sality AA yg q dwnload dr link morphost jga.. stelah stringnya q msukkan.. file sality-nya ka ke deteksi sama sekali yah… apa mgkin q formatnx salah… cz saat q buka file salty-nya dgn hex editor tyata ada tanbahan karakter jadi sperti ni.. kurang lebihnya (MÜ/6:) “nti detailnx q kirim blkgn yah… lupa q hehe…”

    ni tlong di cek yah..

    Private Function salityAA(alamat As String) As Boolean
    Dim exeText As String ‘seleksi apakah file executable

    If IsFileX(alamat) = False Then Exit Function
    If InStr(“EXE SCR COM PIF”, UCase(Right(alamat, 3))) > 0 Then
    exeText = isiHexFile ‘ isi Hex File yang tadi dah di Buka, diambil dari mod cheksum
    ‘string karakter khusus sality AA
    If InStr(exeText, “Ü/6!”) Then
    salityAA = True
    AddInfoVirToLv frAV.ListView1, “# Terinfeksi-Sality AA #”, alamat, FileLen(alamat), “# Suspeks-Sality-Variant #”
    Else
    salityAA = False
    salityAE alamat ‘ Next Level
    End If
    Else
    salityAA = False
    salityAE alamat ‘ Next Level
    End If
    End Function

  7. aldo said

    mas phic, saya orang baru yang baru mengenal morphost antivirus, setelah saya membaca artikel ini ternyata morphost memang layak untuk di pakai, karena sudah menerapkan prinsip dan cara kerja antivirus luar. dan saya tertarik mempelajari artikel ini tentang pe header, cuma saya search di google gak ada yang match sama keinginanku. mas morphic boleh minta source code pe header kira yamato gak? tolong respon ya, kirim jawabannya ke e-mailku atau balas post ini. sebelumnya terimakasih. sekali lagi thanks ya info nya…

    • Morphic said

      wah, maaf ya.
      sebenarnya ini masih pengembangan….
      kalau target kami sudah tercapai,
      kami kasih source Pe headernya.
      oke…

      kami skrg sedang menganalisa virus-virus internasional lainnya…
      beberapa hari lagi kami akan rilis Morphost Expert Plus…
      tunggu saja…

      • aldo said

        Maksud saya bukan source code yang sama hebatnya dengan source code yang di pakai morphost antivirus, tapi source code lainnya yang bisa di gunakan untuk melihat pe header suatu file, contohnya source kira yamato yang mas phic gunakan sebagai tutorial. Bisa gak? Sukses terus ya morphost antivirus.

        • Morphic said

          beberapa rekan saya mengatakan masih belum menemukan source yg tepat yang bisa digunakan sesuai tutorial di atas. (tapi saya yakin pasti ada yg share kesini….)

          sedangkan source code kira yamato itu source yg benar-benar lama banget dan belum ada yg ketemu ama sourcenya itu.

          nanti aku search lagi source kira yamato yg ada di kompku….
          kemarin aku dah pernah save tapi skrg dah gak tahu tersimpan kemana??

        • aldo said

          Gimana mas phic source kira yamato nya? Kan morphost expert sudah di rilis. Saya masih menunggu source nya. Tolong ya mas phic, saya juga mau mencoba tutorial dari mas phic, tapi saya tidak punya source yang bisa di gunakan. Sekali lagi tolong ya mas. Terima kasih.

        • Morphic said

          wah, sayang sekali, ldo…
          memang saya punya dulu…

          tapi saya lupa simpan di mana. (memang saya rasa masih ada di komputer rumah saya).
          terus saya juga jarang make komputer, lebih sering pake laptop.

          saya mungkin bisa kasih alternatif nih….
          http://virologi.info/virologist/modules/news/article.php?storyid=660
          coba liat disitu….

          penulis artikel itu punya tools untuk PE Viewer kok…
          cukup bagus dan bisa dijadikan alternatif…

  8. nursamsi said

    phic aku dah upload virus ternate.exe(itu yg saya baca di task manager). dah buat updatenya lom??soalnya dah aku coba pake buuuuanyak anti virus (setelah morphost nggak baca)tetep ja lom ada yg bsa mendeteksi.

  9. Shafry said

    oh ya bang aq lupa post virusq yang aneh itu

  10. shafry said

    revi slalu siap ol hehehe

  11. Adam said

    http://www.mediafire.com/adista

  12. Barudak Banten said

    Bang Morphic sebelumnya salam kenal dri sya “Barudak Banten” sya mau tanya neh maklum sy msh newbie, kl file yg sudah kena virus sality apa masih bisa di bersihkan / diperbaiki, mohon pencerahanya,
    Terima Kasih Banyak Sebelumnya..

    Sukses Selalu buat Morphostlab…🙂

  13. Harry said

    Bro tolongin gue dong kompi gue kedetec sama KIS
    oleh virus ” Trojan-Downloader.Win32.Agent.dcbu ”
    tapi walau udah dibersihin balik lagi2 tuh virus sialan ..
    TOLONG DONG PLEASE ????

  14. Celebes said

    wah article yang bagus dari mas morpic, cuman saya hanya ingin meluruskan sedikit bagian sini

    [Nama section tidak bisa lebih dari enam karakter! Itu sebabnya section terakhir file Kedua bukan “.irdata” melainkan “.irdat”]

    yang benarnya nama section maxnya adalah 8 byte (8 character).

    Sedikit tambahan dari saya untuk pendeteksian sality sendiri diusahakan pencariannya jangan menggunakan string melainkan array of byte. kalau tanya kenapa ? kembali lagi ke structure pe yang merupakan structure yang terbentuk dari byte. Untuk itu anda bisa melakukan pencarian menggunakan logika boyer moore untuk mempercepat dan apabila offset ditemukan maka validitasi berdasarkan letak byte itu menurut structure pe, ex : pe, lastsection.

    • Morphic said

      wew, ternyata 8 karaktre maksimal ya…

      ya, slama ini aku ngliat sampe 6 karakter…

      beberapa hari yg lalu aku dapat teknik baru deteksi virus internasional lebih banyak lagi…
      pake teknik VirtualAddress dan EntryPoint.

      thanks ya…

      • celebes said

        gini bro kalau mau deteksi virus harus kembali ke sifat dari virus itu sendiri. Nah misal begini :

        didengar2 virus ini nginfeksi file exe yang mana berupa PE file. So ntar dalam analysisnya berpatok ke structure pe yang diubah.

        example pada simple infecsi virus kerjanya begini :

        – add code to section
        – change charaktersistic section
        – change entrypoint to code
        – after code add jump back to old entrypoint

        bagaimana cara deteksinya ? cukup parsing PE file dan goto entrypoint and take signature.

        tapi kalau realtime virus gak sesimple itu karena banyaknya methode2 baru like poly,epo,metamorp serta teknik lain2nya.

        btw goodluck with antivirusnya😉

        • Morphic said

          thanks tambahannya…
          yg belum aku dalami itu tentang old entrypoint…
          klo yg lain masih stengah-stengah…

        • celebes said

          ooo begini bro… old entrypoint itu default entrypoint dari program sebelum terinfeksi.

          misal entrypointnya di ofset xxxx trus diubah ma virus jadi nnnn tentu saja setelah virusnya jalan pasti dia akan mengeksekusi file asli lagi, si virus tinggal ke xxx.

        • Morphic said

          o. klo itu aku da mulai ngerti dikit.

          aku juga pake trik itu untuk bedain file yg trinfksi dan tidak.. (mmang gak semua jenis infeksi).
          yg jelas trik ini aku terapkan di Morphost Expert 7.A

          thanks info tambahannya.
          berguna bgt buat anak-anak disini…

        • Revi said

          PHIC harus nya itu dirahsiakan nanti bakalan di tiru PHIC ama av yang lain bener kata yudha!

        • Morphic said

          gk apaapa itu…
          ini masih sality kok….

          kita masih punya pegangan…
          Morphost kita bisa deteksi Virut, Tenga, Sohanad, Parite, Pharaoh, Recycler.Variant dan 4 tipe infeksi umum virus.
          dan semuanya ini pake trik PE.

          saat ini masih morphost yg memegang sbg antivirus lokal terbanyak mendeteksi virus internasional…

        • Adam said

          Wahk mantab betul itu morphic,…..

        • Revi said

          PHIC trojan belum semuanya phic sality udah beres sekarang fokusin ke trojan!!!!!!!!

        • Morphic said

          aku butuh virus-virus
          -small
          -viking

          dimana nyarinya ya???

        • Santai ajah Phic aku nyari nya 2 virus itu doank udah jarang muncul sekarang yang muncul kebanyakan si brengsek sality ama conficker tapi aku usahain untuk nyari okey!!!

        • Morphic said

          thanks rev.

        • yudha said

          Yups..!! betul ini, aku dah buktikan… morphost paling banyak mendetksi virus2 diatas.

          terutama morphost itunya lho,… bisa mendeteksi file terinfeksi Runonce, dan setelah ku samakan dengan virustotal.com ternyata Sama..!

          mantap dehh…

        • Morphic said

          thanks, thanks banyak.

          kita bakal rilis morphost yg baru.

  15. BangTom said

    @hajarbro palsu yg tolol
    gk usah byk bacot.
    Kw cma pntar teori z. Dan sgt senang klo da org salah ucap.
    Priksa dlu otakmu

    @morphic
    phic, q mnta alamat IPny hajarbro.
    Ak pengen tw dia pake proxy gk.
    Ntar ak suruh tman2q nglacak idntitas dia.

    • Morphic said

      setlah kupikir-pikir ngapain aku capek-capek ngurusin “dia”

      yaudalah, bangtom.
      gk usah urusin dia…

      IP-nya kukirim lewat email aja ya…

  16. Silver FoX said

    Uda perna coba. Itu lbh mantap. Read, rename, delete file gk bisa. Pdhal isi filenya cuma :
    “caacaacaacaacaa” + Chr(0)
    Sptnya tabel FAT nya diubah.

  17. BangTom said

    saran phic.
    hapus aja semua koment si hajarbro ni..

    cuma ngotor-ngotori artikel kita.

    • Morphic said

      Gak usah lah..
      kemarin aku dah keluarin peraturan kalo semua orang berhak beri komentar di MorphostLab ini.

      kalo soal dia nyindir kita ato nyindir orang, itu terserah dia…
      ntar semua orang juga tahu kok siapa yg macam anak-anak.

  18. FoX said

    Phic, saya uda cba bwt cntoh progrm sdrhana utk proteksi autorun.
    http://www.megaupload.com/?d=S2TBUKNT
    Masukkan FD lalu jalankan prog nya. Sepintas mmg mirip SmadLock, tp teknik yg dipake gk 100% sama.

  19. ya sudah..sudah… tak usah kita meladeni si HajarXXX itu..

    cukup tahu lah tingkah lakunya orang itu… semua juga sudah tau..

    oke, mari Lanjutkan basmi virus lokal, ayo phic, satrya, muamarkudo, yudha, shafry…

    • Morphic said

      @Kepada seluruh pengunjung MorphostLab:
      tidak usah tertipu. Dia (Hajarbrx) itu bukan Hajarbro yg asli.
      Hajarbro yg satu ini adalah hajarbro gadungan.
      sungguh bodoh dia.
      email yg dipake dia email-nya mas Zai.
      Maksud dia begitu, supaya aku menduga kalo mas Zai lah Hajarbro.
      lagipula HajarBro yg asli bukan pendukung smadav.

      Banyak orang yang pake nick Hajarbro skrang ini.
      karena tanpa identitas yg jelas, makanya semua orang bisa bebas pake nick tsb.

      @Komentar terakhir untuk “Yang Terhormat HajarBro”:
      kalau mau mainin peran hajarbro, pelajari dulu watak n sifatnya.

      Dalam waktu dekat (kira-kira 5 atau satu minggu) kalau aku dah tahu identitasmu, aku bisa permalukan kw.
      Semakin sering kw comment kesini, kw semakin mudah masuk jebakan ku.

      • yudha said

        aku suka kata-katamu yg Terakhir itu phic… Tegas yoo

        btw, virus lagi sepi mih… belum nemu2 lagi. sekalinya nemu diupload ke shared, eh besoknya q check ternyata uda ga ada lagi…

      • HajarBro! said

        Asli kw anak medan yang paling TOLOL yang pernah ada, lebih TOLOL dari si zai! Kagak ada hubungannya gw asli apa kagak sama email yang tercantum di form, kecuali email form harus divalidasi. Gw mo pake email gus dur juga kagak ada yang larang. Dan karena kw TOLOL, maka kw berpikir gw mo nyamar jadi orang lain gitu? Wakakakakak.

        Kw memang bikin malu anak medan saja. Tapi daku akui, daku telah masuk jebakan kw, jadinya dalam tempo 1 minggu kw bisa tau daku yang memang jago ini dan kw daku jamin langsung minder melihat muka ku yang memang keren ini. Hahahahahahaha…hahahahahaha (asli geli gw sok pake logat medan, cemana nya)

  20. mankbut said

    kok jadi saling menghujat si? mending saling bantu. bagi2 ilmunya biar antivirus indonesia tambah maju. he.he.. terutama orang2 bodoh kayak saya masih perlu byk pengetahuan dari tmen dari para programer senior semua. damai itu menyenangkan

  21. noxy said

    eh, om morphic, bokeh minta source get PE HEadernya gak ? saya juga butuh nyari di PS code gak ada.

  22. Bobby315 said

    @ Bian

    sebelumnya saya udah coba motong seperti yg kamu blg pake hex editor tapi malah “This is not win32 valid ..bla..bla..” dan ada cara selain itu yaitu gunain disasm.h atau pake asm open file tapi susah😀. Saya juga lihat ada artikel yg membahas klo C# bisa melakukannya dgn memotong byte (blm saya coba).

    @HajarBro!

    Kata2 yg kamu lontarkan sepertinya gak mempan tuh?😛

    @Morphic

    tambahan phic, exe infection mengganti (gmn blgnya yah?) JMP asli ke yg berada diakhir exe dan setelah perintah infeksi selesai dilakukan dia akan JMP ke aslinya. Dgn memberi perintah NOP atau JMP ke asli (langsung gitu) file langsung normal tapi tetap dideteksi virus (capek de).

    Saya cek pake ollydbg jauh bgt loncatnya (perintahnya diakhir exe hahahaha) makanya file infeksi lama bgt eksekusinya (jika didobel klik).

    Trims.

  23. Morphic said

    @revil
    iy. Sama2.
    Sring2 dtg k morphostlab y.
    N jg upload virus.
    Soalny kta kurang stok utk database edisi maret.

  24. revil said

    wah, makasih bang morphic

  25. BangTom said

    Klo mnrt sya mrphost bnar2 mngalami prkmbangan yg sgt pesat.

    Brbda dgn smadav.
    Trus trang sja. Sy kcwa pd smadv yg cma bsa mmbohongi publik dgn kcpatan smadav pro(sbnarny sma sja dgn yg free).
    Smadv tu pmbohong bsar.

    Morphost tdk perlu ikut2 bwt versi morphost pro ya!
    Ok. Good job.

    • Morphic said

      thanks ya…

      tetap pakai Morphost ya…

    • HajarBro! said

      BangTom bego sih. Smadav itu antivirus paling canggih di Indonesia. Morphost mah kelas kacangan…ngga level….hahahahahahahahah!

      • muamarkudo said

        bro, gw ga tau jalan pikir lu.

        tapi, apapun itu, berkata-kata dg tidak sopan adalah sikap seorang PECUNDANG !

        • MOZZ said

          SMADAVER semuanya pecundang dapet dari donasi lagi hahahaha malu maluin ajah GRUP loe di pikiran publik smadav itu miskin makan nya minta donasi!!!! SCAN AJAH cepet huh tai itu Lihat morphost bisa dilihat AV yang miskin tapi punya harga diri Gak minta donasi dan tidak membedakan fitur apah itu yang pro apah itu yanggg FREE ANAK SMADAVER PECUNDANG !!! kayak SI HAJAEBROO Berani nya pake ID mas ZAI BAnci loe !!!!

        • Morphic said

          sudah-sudah….

  26. Morphic said

    @bian
    wah, tambahan yg bgus.

    @hajarbro
    gk usah pura2 pintar.

    Kw itu “anensefalus”!
    Kw cari tw apa artiny.
    Klo gk kw cari brarti kw memang anensefalus!

  27. HajarBro! said

    hahahahaha, ini lagi tambahan pembuat antivirus paling TOLOL di indonesia, menyaingi si zai.

    om morphic, sality itu metamorphic, harus diemulasi. walau benar teknik di atas bisa mendeteksi, tapi tidak akan akurat. cobain sality dah aktif di memory, ngga akan ada gunanya. dasar av kacangan…baru bisa gini aja udah serasa bill gates medan….hahahahaha

  28. Bian said

    phic, aku ada sedikit teknik buat repair sality (CMIIW)

    kalo aku liat2 .exe file yg udah di clean antivirus, badan virus itu (adanya diakhir .exe file) diganti karakter spasi ato dibuang sama sekali. kalo emg bisa pk cara ini jgn lupa ya dishare juga source code VB buat delete virusnya.😀

  29. yudha said

    halahhh… phic, koq di bocorin…

  30. Kentrung12 said

    Syg blm bs merepair file yg terinfeksi.

  31. Sigmaav said

    Oalah, gtu towh? PE di sigma malah jarang Q update databasenya + kurang q urusin..

    Besog cariin cara recovery file yg terinfect sality ea..Haha

  32. Satryacode said

    Waah…

    Alasan sama org tua mau ke warnet,

    Rupanya,
    Malming di warnet kw y phic..

    Ciee….:)

    • yudha said

      @satrya:
      harusnya kw temani juga morphic Sat…. he..he.. . kesepian dia

      @morphic:
      bingung kenapa phic koment di blogspot?? yaa… maklum lah blog q bukan blog IT…. lebih ke Arch ajah..

  33. shafry said

    Bagus

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: