MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Teknik terbaru Deteksi Shortcut Virus (Missing-Target and No-Shortcut)

Posted by Morphic pada Mei 16, 2010


Perhatikan kotak merah di atas!!
Di atas ada nama malware “Missing-Target” dan “No-Shortcut”. Saya akan jelaskan keduanya ini dulu!

Missing-Target yang saya maksudkan disini adalah file shortcut yang sudah kehilangan target-nya atau file shortcut yang tidak memiliki file target.
Kasus yang terjadi:
– Shortcut virus tidak terhapus walaupun induk sudah terhapus. Dengan teknik ini shortcut ini akan terdeteksi sebab file target-nya sudah hilang.
Keuntungan teknik ini:
– Antivirus dapat mengecek file target secara langsung begitu file shortcutnya ditemukan.

No-Shortcut berarti file tersebut bukanlah shortcut sungguhan melainkan Cuma file tipuan. Sebab ekstensi “lnk” saja dapat menipu user maupun antivirus.
Kasus yang terjadi:
– Beberapa Worm dan virus suka membuat duplikasinya dengan ekstensi “.lnk”
– Beberapa worm dan virus sadar bahwa banyak antivirus lokal yang melewatkan scanning pada file “.lnk”
– Worm dan virus mengganti value command file “.lnk” menjadi value command application agar bisa dieksekusi
Keuntungan teknik ini:
– Antivirus anda dapat mengetahui / membedakan mana shortcut sungguhan dan mana yang palsu.

Berikut ini adalah source code teknik ini!

Function Tujuan(strPath As String) As String

On Error GoTo rusak
Dim wshShell As Object
Dim wshLink As Object
Set wshShell = CreateObject(“WScript.Shell”)
Set wshLink = wshShell.CreateShortcut(strPath)
Tujuan = wshLink.TargetPath
Set wshLink = Nothing
Set wshShell = Nothing
Exit Function
rusak:

End Function

Sub Scan(filename)
If right(filename, 3) = “lnk” then
If Tujuan(filename) = “” then
‘Berarti file ini adalah ‘NO-SHORTCUT’
Else
If dir(tujuan(filename)) = “” then
‘Berarti file ini adalah ‘MISSING-TARGET’
End if
End if
End sub

Catatan:
Khusus untuk code Missing-target anda bisa ganti dengan code lain. Sebab cara ini terkadang tdak terlalu baik untuk file hidden.
Saya sendiri pakai code Object(filesystemobject).FileExist untuk memeriksa ada tidaknya suatu file.
Dan anda juga perlu ingat satu hal!!! Bahwa tidak selamanya shortcut memiliki target file. Malah ada juga folder yang menjadi target dari suatu shortcut.

89 Tanggapan to “Teknik terbaru Deteksi Shortcut Virus (Missing-Target and No-Shortcut)”

  1. syaiful anwar said

    gan kompi ane kayaknya kena virus dech,kalo baru nyala muncul peringatan

    *LDCM Launcher.exeunable the locate component

    -this aplication has failed to start because WDCMI.DLL was not found.reinstalling the aplication this.

  2. Mau Tau Aja said

    Sob..gw bingung nih..komp gw kena virus..kena dari fd keknya..waktu mau copy game gitu..
    trus gw paksain…akhirnya bisa..tapi kena virus..nah besok nya waktu gw buka komp..waktu mau buka game..tulisannya “missing shortcut”
    nah bisa bantu gak sob cara atasinnya ?

  3. AnDrmD said

    shortcut serviks di dekstop bisa dihilangkan. saya pernah kena. dah pernah berkunjung ke webnya (pembuatnya mungkin) juga (virusnya diupload juga disana) weleh2…
    dulu sampe bingung, nyobanya pake DR.WEB antivirus untuk delete masternya, tapi shortcut di desktop gak bisa dihapus. saya cek2 ternyata ada diregistry.
    kalau masternya dah dihapus coba cari key dengan nama serviks valuenya …..-2222-3333-4444….
    mungkin developer morphost bisa mendownload virusnya biar nanti masuk dalam database

    maaf saya cuma coba bantu..

  4. koko said

    bro minta bantuan nie….?
    hd q kena virus nie…..semua folder jadi shortcut semua kecuali file rar..
    tapi laptop q dah kena juga tapi waktu q scan ama avg.avira.smadav gak kedetect tu..??
    tapi hd q scan kedetect virusnya new heur level 9…???
    gimana nie cara nanggulanginnya….???
    anti virus apa yang bisa delete tu virus…???

  5. Indra said

    Bos di desktopq juga ada icon komputer namanya serviks??

    Yg nanya sebelumnya dah solve blom?
    Thx

  6. PraskaOkey said

    Kompie saya kna Virus yg hanya dideteksi oleh Morphost Antivirus…
    Nongolnya di “C:\Documents and Settings\User\Start Menu\Programs\CyberLink PowerDVD\Uninstall PowerDVD.ink
    Namanya Uninstall PowerDVD.ink
    Itu selalu nongol setiap Restart Komputer..
    Gw bingung..
    Gw lihat target Shorcutnya di C:\WINDOWS\system32\RunDll32.exe C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup “C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe” -uninstall
    Anehhh………….
    Ada yg bsa ngasih solusi gak…

    • Morphic said

      kalo shortcut itu dihapus gimana??
      tetap muncul???

      kalo ak lihat di alamat targetnya memang agak mencurigakan….
      jarang sekali program harus dieksekusi melalui Rundll32…
      kan mereka bisa hidup sendiri…

      cukup mencurigakan…

      • PraskaOkey said

        Kalo Shorcutnya dihapus, maka ketika restart komputer akan muncul lagii…
        Itu seperti program yg hidup sendiri..

        Kalo Morphost SCAN, maka dikategorikan Virus bernama “Fake Shorcut”..

        • Morphic said

          hmm…

          berarti memang target file tsb mencurigakan ato risky file..

          dan yg jelas file tsb file yg rumit.

          gimana ya… ini kasus pertama.
          ak gak berani ambil resiko. Kalo kita sebut file target adalah virus, bisa berabe juga…

          to all:
          teman-teman morphostlab lain ada yg tahu???

    • Bian said

      itu jelas bukan virus.. tp false detect.😀

      file target adalah setup dari PowerDVD yg punya fungsi install, uninstall, dan repair.

  7. bingung said

    bos icon komputer pake nama serviks tu apa ya???virus bukan??

    bisa dihilangin gak???

    bantu yaa

  8. bingung said

    bos mau tanya ni…di desktop kok ada icon serviks??apaan tuh??
    bisa dihapus gak???

    bantu ya bos

  9. Shafry said

    http://www.4shared.com/file/BI-v3mNj/Ahmad_Checker.html

    ada yang mw coba ga. tu uda q revisi n q tambah dikit databasenya. klo ada yang beri saran ya gpp. n tambahan database juga gpp

  10. Desperados said

    ini link untuk menganalisa badan file, software ini cukup bagus dan dijabarkan dengan jelas.. nama softwarenya HxDen(Hex Editor and Disk Editor)

    udh ada menu:
    Checksum-Generator: Checksum-8, Checksum-16, Checksum-24, Checksum-32, CRC-16, CRC-16 CCITT, CRC-32, Custom CRC, SHA-1, SHA-256, SHA-384, SHA-512, MD-2, MD-4, MD5

    http://mh-nexus.de

  11. Desperados said

    sekedar saran phic….
    untuk source code pndeteksian malshortcut(harry potter) yg sdah kau tulis…

    =======================================================
    If exten = “LNK” Then
    skrip = UCase(Fileteks(alamat))
    If InStr(skrip, “WSCRIPT.EXE”) > 0 Then GoTo bawah
    If InStr(skrip, “.DLS”) > 0 Then GoTo bawah
    If InStr(skrip, “RUNDLL32″) > 0 Then GoTo bawah
    =======================================================

    utk fungsi tercadang(InStr) “RUNDLL32” itu terjadi false alarm… yaitu dengan menunjuk salah satu bawaan instalasi windows yaitu “Microsft Update.lnk” sebagai “suspected-harrypotter”

    ini ku lakukan saat kompi udh di install ulang dan mncoba mnjalankan AV buatanku yg cupu dgn mgambil teknikmu tetapi dengan metode yang berbeda

    dan hal ini dlm scanning q jga pake AV Lokal CMC PH3.5 dan AV Import AVAST Pro ver 5,
    dimana kedua AV tersebut tdak mdeteksi menu “Microsft Update.lnk” sebagai malware/malcode/malscript/malshortcut..

    namun setelah fungsi tercadang(InStr) “RUNDLL32” dibekukan tidak terjadi false alarm lagi.. yang serupa dgn kedua AV lainnya CMC PH3.5 dan AVAST Pro ver 5

    ini sekedar saran… agar kedepannya saudaraku morphost bisa lebih baik..

  12. Genzhock said

    Klo shorcut virusnya seperti Wmplayerc gmn tuh, apa ngk nimbulin false alarm ya, soalnya pathnya mengarah ke Rundll32.exe milik system..

    • Morphic said

      false alarm ada dua pengertian….
      1.false positif (file bersih dianggap virus)
      2.false negatif (file virus dianggap bersih)
      saya yakin kamu sudah tahu…

      kalo masalah wmplayerc, dengan code di atas bisa menimbulkan false negatif. artinya file shortcut wmplayerc yg seharusnya terdeteksi sebagai Missing-Target akhinya tidak terdeteksi sebab file c:\windows\system32\rundll32.exe memang sudah ada…

      hnya saja. kita bisa pakai code lain khusus untuk shortcut worm wmplayerc..
      thanks sob!!!

      sering2 brkunjung kemari ya!

    • Bobby315 said

      Wow spyware😀

      @morphic

      ada kejadian lucu nih tester yg saya tunjuk nanya “kok file hasil DL saya didetek virus?” dan tester yg lain “oh itu false alarm!” dan saya menjawab “Lah??? AV saya blm dimasukkin heur masih pake hash biasa buat sementara”.

      hahahaha :LOL:

  13. yudha said

    phic,Ada tambahan Sampel lagi di E-mail kw. check ya.

    Sampel 12 dan 13

  14. Joris said

    wah….2 x saran gw HILANG TANPA JEJAK….
    Knpa ne???
    Ada yg ngehapus????

  15. shell1024 said

    wah pak morphic. ajari analisa virus dunkz. q kurang paham ni.

  16. satryacode said

    nice post…

  17. Joris said

    Bro phic,yg kemaren FP morphost waktu scan file Bicropack…
    Ne nama malware menurut morphost : Malware.HDS-10
    Info : Terdeteksi dengan Metode Heuristic Level 3

    Sedikit Masukan :
    —————
    1. [BUG] Apabila Morphost mendeteksi file virus setelah scan, langsung saya klik tuntaskan (Tanpa saya ceklist),
    Morphost langsung menyatakan berhasil….Padahal apabila saya scan lagi masih ada filenya.
    Saran : Harusnya morphost memeriksa cekboxnya apabila belum terceklist, jangan lakukan pemberishan dulu.
    Ini screen shotnya :

    2. [BUG] Kesalahan deteksi RTP Morpshot pada shortcut Microsft Update.ink
    Ini screennya :

    3. [Tidak Terdeteksi] Heuristic Morphost tidak mendeteksi satu pun sampel virus dengan wujud icon pada windows.
    (Sampelnya saya setakan)

    4. [Tidak Terdeteksi] Saya lakukan klik kanan lalu Scan dengan Morphost lalu hasilnya hanya 2 file yg ditangkap dari 75 :

    Kemudian saya masuk k dalam folder itu, ternyata RTP morphost beda lagi jumlah virus yg tertangkap 39 file.
    Kesimpulan : Morphost Scanner dengan RTP beda pendeteksiannya

    Sampel2nya saya sertakan semua disini :
    http://www.mediafire.com/?zmjlm1gdrnz

  18. Sikatro said

    @biasaaja:
    weeehh ente main juga kesini! ajak-ajak juga ya si Dungu AKB!

  19. desperados said

    minta contoh link malcode/malware nya dung phic.. boleh kan…??
    sekalian minta tolong ditulisi contoh
    malcode/malware Missing-Target
    dan
    malcode/malware No-Shortcut

    gitu yah..
    thanks before it..

    • Morphic said

      sampelnya saya tidak punya. tapi saya yakin kasus ini sering terjadi…

      cukup kamu rename satu file apa saja menjadi ekstensi “lnk” (No-Shortcut)
      atau kamu delete salah satu file target di komputermu… (missing-target)

      thank you

  20. descrates said

    .lnk-.bat-.lnk-.bat .lnk-.bat-.lnk
    btw bgs idenya

  21. biasaaja said

    ni pasti gara2 fitur syahadatain

  22. faiz said

    weesss

    interface morphost makin MANTAP aja ya..
    warnanya jugak semakin menyejukkan..
    heheheh

    kapan ni rilisnya????

  23. Joris said

    Phic, ada sedikit masukan tuh di : https://morphians.wordpress.com/2010/05/09/worm-ahmad-rvr-gagal-eksploitasi-system/

    Thanks………

  24. shafry said

    nice info.
    ijin sedot

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: