Tuesday 19 October 2010

Virus ShortCut Exploit Anti-Kill, Bahaya Kah? (Perbaikan)


ShortCut Exploit adalah namanya. Kenapa demikian? Hal ini karena virus yang dibuat menggunakan Visual Basic ini mengadopsi teknik dari virus Stuxnet, yang tidak lain adalah virus dengan teknik baru dalam menginfeksi komputer. Virus yang dibahas kali ini bukan Stuxnet, ya walaupun Stuxnet juga merupakan virus ShortCut Exploit, tapi mungkin kalau masih ada jodoh dan kesempatan maka kita akan bertemu lagi dan membahas tentang virus Stuxnet.
        Pertengahan bulan September tahun 2010 (saat itu sudah lebaran atau masih puasa ya, lupa saya tepatnya tanggal berapa) adalah awal saya mendapatkan sampel virus ini yang tepatnya dari teman saya (Andri F.), saat itu dia menghubungi saya bahwa flashdisknya terserang virus (boleh dibilang virus baru, karena antivirus yang ada pada komputernya (laptop) tidak mendeteksi virus ini) dan meminta saya untuk membersihkannya, eits…, tapi bukan dibersihkan dengan sikat dan sabun lho!
Mendengar keluhannya tersebut (dalam hati saya ucap, “Wah, ada virus baru nih, lumayan buat tambahan koleksi saya”. Ckckck…) dengan senang hati saya bilang, “Datang saja ke rumah, nanti akan saya bersihkan!”, tak lama dia benar-benar datang. Sesampainya di rumah gubuk saya yang sekaligus ruang Lab. tempat saya bereksperimen (Ckckck…, ngawur nih saya), kami pun memulai aksi kami, saling ‘buka-bukaan’ (Hayooo…, apa coba? Jangan ngeres dulu!) laptop untuk mulai mengoperasikannya. Dengan sekilas penglihatan mata sang ‘Virus Hunter’ bakat alami saya (Jiah…, lebay om), saya vonis komputer teman saya itu telah terinfeksi virus dari flashdisk yang bervirus itu. Saking penasarannya saya sama virus baru yang ada pada flashdisknya, tanpa pikir panjang dan tanpa ancang-ancang (mangnya mau lari om?) langsung saya colokkan flashdisk itu pada port USB yang ada pada Karen (ya, ini lah om yang lebay, sampai-sampai laptop pun diberi nama).
Dengan semangatnya saya membuka isi yang ada pada flashdisk tersebut dengan harapan dapat menemukan sample virus baru untuk koleksi saya. Tanpa basa-basi, saya lihat isi flashdisknya dan jreng…, si Karen pun terinfeksi virus tersebut (aduh-aduh…, hati-hati dong om!). Tidaaakkkk…, ternyata virus yang satu ini hebat juga, dia dapat berjalan dengan lancar dan mulus seperti ular yang dilumuri sabun (wek? Gak nyambung om) pada Windows XP SP 2 saya (wek? Masih jaman ya XP SP 2, kenapa enggak Windows 7 aja nih?). No…! Saya tidak semudah itu mengikuti perkembangan jaman. Biarlah orang tua dan teman sebaya saya merokok, tapi tidak untuk saya! Seperti yang pernah saya bilang (lewat SMS) pada seorang nona manis, “Sekarang perubahan jaman telah menjadi patokan dari kehidupan remaja (bahkan mungkin orang dewasa juga)  yang hidup di jaman itu, maka tidak heran kalau banyak dari mereka memiliki kepribadian yang sama. Namun tidak untuk ku! Biarlah aku dibilang kuper atau jadul, ya ini lah aku, aku berbeda”! (wew, nona manis, gula X manis? ). Nah, dengan demikian saya sudah mendapatkan sample virus tersebut (dengan bangga si om tertawa), ha…, ha…, ha…, ha.…  (hayo tebak, si penulis udah om-om atau malah kakek-kakek?!)
        Waktu terus berjalan dan ternyata baterai punya teman saya mulai lemah sedangkan dia lupa membawa alat chargernya pula, ya mau tidak mau pembersihan virus yang sebelumnya telah tertanam pada komputernya ditunda besok, karena saya belum selesai menganalisa dan mendapatkan hasil laporan yang akurat terhadap virus yang baru menginfeksi Karen tadi.
        Baiklah, sambil saya menganalisa, tak lupa saya ajak Anda untuk memasuki dunia kami, dunia para Virus Analyzer. Jangan lupa pakai sabuk pengaman ya, kita akan meluncur dengan kecepatan tinggi!






Huft…, sampai juga. (wah cepat ya om, tetanggaan ya).  
Mari kita lihat gambar di bawah! (pakai kacamata ah biar jelas).


Komposisi virus
Pada gambar terlihat user (yakni saya sendiri) sedang membuka direktori F:\ yang tidak lain adalah direktori flashdisk saya. Disana terlihat (terdapat) tiga buah folder saya (tidak usah kita bahas), tapi yang utama adalah file virus, mari kita sebutkan namanya 1/1 (satu per satu maksudnya).
1)    autorun, dalam keadaan tersembunyi (attribute Hidden), yang tidak lain isi dari file yang memiliki nama lengkap autorun.inf ini adalah seperti gambar di atas, lihat tampilan Notepad (autorun – Notepad). Ya, file ini adalah file ‘wajib’ yang biasanya dibuat oleh virus yang memanfaatkan Autoplay dari user ‘awam’. Coba lihat lagi apa yang aneh dari flashdisk saya! Pasti bagi Anda yang ‘tidak awam’ atau bahkan ‘awam’ sekalipun akan melihat icon flashdisk saya bericon folder, tidak seperti biasanya bericon Drive. “Ah itu hal biasa, bisa diatur dengan TuneUp”, ujar para TuneUper. Tentu jika Anda adalah salah satu pengguna setia TuneUp (TuneUper dibilang si om) ‘hanya’ tau pada penggunaan fitur perubahan icon Drive atau folder saja, kecuali Anda adalah seorang Software Analyzer juga. Yoyoi, kunci utama kenapa flashdisk itu bericon folder adalah pada baris keempat dari isi file autorun:  iCOn=%SYstemROot%\SySTEm32\ShElL32.Dll,4. Nilai 4 adalah nilai dari icon folder standar Windows XP, tepatnya ‘icon untuk folder terbuka’, sedangkan icon standar flashdisk atau Drive adalah bernilai 7. (coba deh ganti sendiri, rasakan sensasinya).
2)    dibawah file autorun terdapat file ShortCut yang bernama “zfn” sampai “zut” (9 file, boleh dibilang poin 2 ini sebagai perwakilan untuk poin 3 sampai poin ke-10). Kalau lebih diperhatikan dengan pembesaran kacamata sebanyak 500 inc penebalan (wew, seberapa tebal tuh, ngaco ah, hitung sendiri. ), maka dapat disimpulkan file ShortCut Exploit ini hanya mengandung 3 karakter teks untuk penamaannya dan selalu diawali dengan huruf “z”. Seperti yang terlihat pada gambar, Target location dari file ini adalah Control Panel. Nama lengkap file ini adalah “zxx.lnk” (xx untuk 2 karakter teks acak), “lnk” lah ekstensinya bukan “ink”, “L” kecil bukan “i” besar. Kalau dilihat dengan teknik Cracker maka berhasil didapat nilai Hex yang isinya menuju ke Drive D, E, F, G, H, I, J, K, L, dan nilai utamanya adalah “zzz.dll” seperti yang terlihat pada gambar yang telah disetting sedemikian rupa supaya file Hidden (tersembunyi) dapat terlihat. (saya tidak mengajarin bagaimana cara mensetting seperti ini, capek euy ngetiknya. ). Lalu dari file Dynamic Link Library (dll) ini yang akan menjalankan file utama virus, yaitu file dengan nama “x.exe” (ups, filenya tidak terdapat pada gambar, nanti deh gambarnya menyusul belakangan ya. )
3)    file ShortCut selanjutnya adalah file ShortCut biasa (poin 11-16 dari gambar, dihitung mulai dari file autorun).  File ini akan menjalankan file dengan nama seperti nama file terbawah dari direktori flashdisk (lihat gambar), tepatnya dia akan menjalankan file Screen Saver seperti yang tertulis pada Target location atau Target saja (kiuuxо.scr), sayangnya pada gambar tidak terdapat contoh file Screen Saver ini (lagi-lagi. ), soalnya filenya saya potong-potong tadi, terus saya campurkan deh ke sayuran buat sarapan saya. (wah, khayalan tingkat tinggi nih, ngaco).
4)    zzz.dll inilah file sumber energi dari virus yang saya duga adalah virus ‘Proof of Concept’ dari salah seorang Malware Coder yang memang ahli dibidangnya. (wew, bahasa tingkat tingginya keluar. ). File yang dibuat menggunakan Power Basic ini memberi sumber energi yang cukup kuat untuk pengantinnya, yakni virus yang disandingkan dengannya. Kalau tidak percaya, coba saja untuk meng-Kill proses virus ini dengan Task Manager, pasti akan terjadi proses yang tidak wajar, yakni Hang, ya proses akan Hang boleh dibilang untuk beberapa waktu sampai ‘DrWatson’ (drwtsn32.exe) keluar dari prosesnya, boleh di kill dengan paksa deh proses ‘DrWatson’ ini. Untung saya tidak hanya sekali analisa saja terhadap virus ini (kalau nggak, bisa-bisa ni tulisan bakalan menyesatkan, bisa bahaya lho buat Anda. ), tenyata bukan hanya file zzz.dll saja yang membuat proses virus kebal, melainkan proses virus memang bisa kebal dengan sendirinya tanpa file zzz.dll, hebat-hebat…. Nice coding guys VM.
5)    kiuuxо.exe begitu nama lengkapnya. File ini akan dijalankan jika user awam tidak hati-hati dalam membrowse atau explore ke Drive dimana flashdisk berada. Namun walaupun hati-hati juga tetap makan hati, eh tetap kena virus maksudnya, ya ini lah kelebihan virus ‘tiruan Stuxnet’ ini karena menggunakan teknik Exploit dari bug Windows terhadap file ShortCut (.lnk). Selain dibuat menggunakan Visual Basic yang boleh dibilang “Bahasa Pemrograman yang Gak Ada Matinya”, yang unik dari virus ini yaitu virus ini mampu mengubah struktur tubuhnya, tepatnya pada bagian “File Version”, “Internal Name”, “Original File name”, “Product Name” dan “Product Version”. Mantra yang berbunyi: SHellexEcUtE=KIUUXo.exe dari file autorun adalah perintah utama dalam menjalankan virus ini. Sebenarnya nama “KIUUXo.exe” itu tidak sepenuhnya namanya, karena dia memiliki teknik untuk merubah-ubah namanya (random name / nama acak) pada setiap penginfeksian. Keberadaan induk virus tepatnya pada : C:\Documents and Settings\Administrator\kiuuxo.exe, ya, dia berada pada Direktory Administrator (kata/nama administrator tidak semua komputer sama, bisa saja nama user/Anda sendiri), bukan pada System32 yang biasanya digunakan virus sebagai tempat bersarangnya virus.


        ‘Menginfeksi’ RegEdit (Registry Editor) sudah bak menjadi kegiatan wajib dari virus, dia (virus) akan berjalan jika komputer dijanyalakan, jadi si pembuat virus tidak capek-capek kalau harus minjam komputer korban dulu biar virusnya jalan (mangnya ada ya teknik yang minjam gitu? Wkwkwk.…).
Nah sama halnya Anda (laki-laki) ‘nembak’ cewe, masa harus minta teman buat nembakkin? Kalau minta comblangin sih bisa aja, tapi masa minta tembakin coba, kan aneh, harus mandiri dong!

“Terus kalau virus ini memiliki teknik yang membuat prosesnya Anti-Kill, bagaimana dong cara membersihkannya dari komputer saya yang sudah terkena virus ini?” Nah, hampir saya lupa, untung Anda nanya! (wah, becanda lagi nih si om). Jreng…, jreng…, jreng.… Inilah yang ditunggu-tunggu, saatnya Anda menikmati SmadAV Revisi 8.3 (SmadAV 2010 Rev. 8.3, rilis pada 7 Oktober 2010), yang telah sedemikian rupa dirancang untuk menjadi the Killer Machine dalam memusnahkan virus yang mewabah disetiap bulannya (owh…, virus itu penyakit bulanan ya om?).
Silakan saja, jangan sungkan-sungkan mendownload SmadAV untuk menjadi pendamping hidup komputer Anda. Situs resmi yang dapat Anda tuju untuk mendownload SmadAV: http://smadav.net.

        Hah? Apa? Mentang-mentang Ryan Bekabe adalah ToS (Team of SmadAV) terus dengan semudah itu ngasih solusi pakai SmadAV biar virusnya hilang.  Oh jadi pembaca tidak (atau kurang) puas ya? Baik-baik, saya akan memberi tau beberapa teknik ‘rahasia’ saya dalam menjinakkan virus ini secara manual, yeah, memang kadang-kadang saya suka manual!
Mari kita buat sebuah catatan teks biasa. Eits, walaupun hanya catatan teks biasa tapi setelah diberi sedikit mantra nanti rasakan sendiri deh sensansinya.
Sebuah New Text Document telah tercipta, sekarang mari kita beri mantra ‘rahasia’nya ya. Secara tidak sengaja kita juga belajar perintah Command Prompt (CMD) nih, nih perintah (mantra)nya:

Dir F:\
Pause

Untuk penulisan mantra, F:\ itu adalah lokasi dimana flashdisk berada, jika diistilahkan dengan ilmu Matematika maka nilai F:\ itu adalah variable (faktor tak tetap/berubah-ubah), ya menyesuaikan lah. (jujur saya tidak pandai Matematika, kalau ada PR Matematika atau apalah yang hitung-menghitung jangan pernah bertanya pada saya ya!).

Penjelasan kode perintah:
Dir          = untuk mengecek sebuah direktori atau folder, diikuti lokasi direktori.
Pause = menghentikan sejenak perintah yang ada agar dapat terlihat laporan (output) dari perintah tadi


Pada gambar, terlihat ada dua file yang gambarnya buram (kurang jelas), file kiuuxo dan file x. Dapatkah Anda melihat dibawah file kiuuxo terdapat tulisan “Screen Saver”? File itulah yang disebut pada poin nomor 3 dari Komposisi virus. Sedangkan file dengan nama x itu adalah file yang disebut pada poin nomor 2 dari Komposisi virus.
Nah, jika sudah menulis mantra tadi, mari kita simpan file itu dengan ekstensi (3 karakter dari belakang setelah titik) “bat”. Kalau kurang mengerti, silakan lihat gambar!






Untuk contoh praktek, kita simpan filenya di Desktop (tampilan awal saat Windows dinyalakan) saja ya, untuk nama file kita beri nama “o.bat” ya! Jika sudah selesai tercipta file “o.bat”, maka jangan sungkan-sungkan, jalankan saja filenya!





Nah, terlihat layar hitam berisi baris tulisan berwarna putih, itulah jandela Command Prompt (perintah cepat), tapi sebenarnya bisa dirubah lho warna tulisan yang tadinya putih menjadi warna lain (oprek sendiri deh).
        Coba perhatikan jendela CMD (Command Prompt atau CoMmanD saja) yang berwarna hitam tadi, disana terlihat laporan bahwa pada flashdisk (F:\) berisi file ‘Autorun.inf’ (ukuran 88 bytes), folder (DIR atau directory) ‘Paket BAV’, ‘Lab. F?lder – BKB’, dan ‘F?lder’. Hmm…, ada yang canggung gak dari laporan itu (kalau dibandingkan antara jendela Explorer yang menunjukkan direktori F:\ dan laporan CMD)? Memang, CMD tidak bisa menulis laporan terhadap file yang memiliki atribut Hidden, ‘kiuuxo.scr dan x.exe’ (tapi gak tau deh apa ada parameter khusus yang bisa melakukan hal demikian), namun yang canggung sebenarnya yaitu pada folder yang memiliki nama ‘Lab. F?lder – BKB’, dan ‘F?lder’. Coba tanda Tanya (?) itu diganti dengan huruf “o” maka akan terbaca kan…?! Itu adalah karakter ‘siluman’, kalau Anda belum tau ‘mengapa itu bisa terjadi?’ maka Anda belum ‘cukup umur’, nanti saja deh saya jelaskan kalau ada kesempatan lagi.

        Duh, semakin lama saya menulis tulisan ini beserta penjelasannya yang boleh dibilang ‘mendetail’ maka semakin panjang juga deh rasanya tulisan ini, daripada membuat pembaca bosan dengan tulisan panjang, lebih baik saya percepat saja ya!

        Saya anggap Anda sudah bisa membuat file ‘o.bat’! Sekarang mari kita buat file ‘o.bat’ lanjutan. Mantranya (codenya) seperti ini:

Attrib -R -H -S /s /d F:\*
Pause

Tidak usah capek-capek membuat file baru, edit saja file ‘o.bat’ sebelumnya, klik kanan lalu pilih Edit. Hmm…, sepertinya saya sudah tidak asing lagi dengan huruf yang memiliki karakter min (-) itu, andai karakter min itu dihilangkan maka akan menjadi…, oh iya, itu mah singkatan dari nama panjang, saya.
Hehe…, itu hanya kebetulan itu tadi, ini penjelasannya. -R untuk membuat atribut (baik file atau folder) menjadi tidak Read-only, -H untuk membuat atribut menjadi tidak Hidden, -S untuk membuat atribut menjadi tidak System, /s /d dan * boleh dibilang adalah sepaket perintah yang tujuannya dapat menembus folder dari direktori disk (baik itu hardisk maupun flashdisk, MMC, dsb) hingga ke sum-sum (wew…) sehingga proses memunculkan kembali ‘semua’ file maupun folder yang tersembunyi baik karena ulah virus maupun oleh user itu sendiri dapat berjalan berjalan dengan sekali perintah dan ‘tanpa pandang bulu’ (ya kecuali proses virus masih berjalan dan menyembunyikannya lagi, cape deh). Eh ketinggalan, untuk F:\ adalah lokasi yang ingin ‘dinormalkan’, sesuai keperluan deh (antara A-Z).

Penjelasan kode perintah:
Attrib    = menampilkan atau merubah atribut dari file atau folder.


        Nah, sekarang kita ke sumber virus saja ya, memunculkan dan memanipulasi virus, mantranya:

Attrib -R -H -S C:\"Documents and Settings"\"Riyan H. Samosir"\*.exe
Ren C:\"Documents and Settings"\"Riyan H. Samosir"\*.exe *.bkb
Pause

Untuk perintah Attrib terhadap folder yang namanya memiliki karakter Space (baca = spasi; arti = ruang, jarak) maka diperlukan karakter tanda petik tepatnya ‘petik dua’ (") diawal dan diakhir nama folder. Pada contoh mantra, silakan ganti Riyan H. Samosir menjadi nama direktori komputer Anda yang terkena virus.
Pada baris mantra terdapat *.bkb yang maksudnya adalah merubah ekstensi virus menjadi .bkb (* adalah karakter wildcard atau sebut saja sembarang). Setelah restart komputer, virusnya gak berkutik.
Penjelasan kode perintah:
Ren        = atau Rename ini fungsinya untuk merubah nama (baik folder maupun file).
Agar Anda tidak pusing bertanya-tanya, “Duh, kira-kira apa sih nama direktori punya saya seperti yang dibilang om Ryan Bekabe ini?”, maka Anda dapat meihat contoh gambar!


Yoyoi, itu gambarnya, dan itulah lokasi dimana virus bersarang, ingat tidak sampai ke ‘My Documents’, seperti pada gambar yang bergaris.
Jadi, jika ekstensi virus dirubah dari ekstensi standar (.exe) menjadi ekstensi ‘rekayasa’ maka virus atau aplikasi itu tidak akan berjalan, hmmm…, sebenarnya bisa kok kalau Anda memang  berada pada level  expert (mahir), yaitu dengan memanipulasi nilai Registry. (VM a.k.a Virus Maker as know as Pembuat Virus biasanya tau nih).

Daripada langsung dihapus, mending dirubah saja nama atau ekstensinya virus itu, maka saya bisa mendapatkan sample virus tersebut!

Hehe…, saya memang selalu saja haus virus, ups…, kalau haus itu kan minum ya, ‘aneh’ dong saya.

        Apakah berbahaya virus ini? Sebenarnya virus ini tidak berbahaya, paling hanya menyebunyikan folder beserta file yang berhasil ‘ditangkapnya’ (sayangnya tidak berhasil menangkap karakter siluman, kakaknya ANSI/ASCII, Unicode. ), mungkin ini benar-benar hanya virus percobaan (Proof of Concept) dari teknik baru (biasanya kalau virus yang serius mah banyak memanipulasi registry dan sebagainya serta berulah tak karuan seperti puisi cinta bagi VM yang patah hati, atau mungkin kalau patah hati itu baiknya diobati dengan lagu-lagu cadas saja ya, ngerock gitu, metalllll, ckckck…), tapi gak tau deh kalau-kalau si VMnya meletakkan perintah Time Bomb pada virusnya.

        Nah, ini ada sedikit bonus Source Code VB dari saya. Kalau Anda berkenan dan mau mengembangkannya maka Anda akan mampu membuat antidote (baca = antidot; arti = penagkal, pencegah) dari virus ShortCut Exploit ini, dan tidak menutup kemungkinan kalau Anda memang serius mengembangkannya bisa saja Anda akan membuat antivirusnya.

Private Sub Form_Load()
Command2.Enabled = False
Command1.Caption = "Scan"
Command2.Caption = "Hapus"
Command3.Caption = "Normalkan file/folder"
Label1.Caption = "Lokasi disk"
Label2.Caption = "File virus + ukurannya"
Label3.Caption = "byte"
Text1.MaxLength = 1
Text1.Text = "F"
Text2.Text = "?"
End Sub

Private Sub Command1_Click()
If Dir(Text1.Text & ":\x.exe", vbReadOnly + vbHidden + vbSystem) <> "" Then
    Text2.Text = Text1.Text & ":\x.exe"
    Label3.Caption = FileLen(Text2.Text) & " bytes"
    Command2.Enabled = True
Else
    Command2.Enabled = False
    Label3.Caption = "byte"
    Text2.Text = "?"
End If
End Sub

Private Sub Command2_Click()
If MsgBox("Yakin ingin menghapus file [" & Text2.Text & "] ukuran " & Label3.Caption, vbQuestion + vbYesNo, "Hapus virus?") = vbYes Then
    SetAttr Text2.Text, vbNormal
    Kill (Text2.Text)
End If
End Sub

Private Sub Command3_Click()
Shell "attrib -R -H -S /s /d " & Mid(Text2.Text, 1, 3) & "*", vbNormalFocus
End Sub

Ada awal dan ada akhirnya, yang mungkin tak dapat terurai semua”, ujar the Rain (band kesukaan ku. ), maka tulisan ini saya akhiri sampai disini. Jangan sungkan-sungkan bertanya kalau ada yang tidak atau kurang paham, ya!
Mohon maaf atas segala kekurangannya!
Salam Bebas Virus,

Ryan Bekabe

2 comments:

Yukihiro said...

Mas salam kenal saya orang baru dalam AV developer hehe saya mau nanya mas punya ga sample virus yang sangat tidak berbahaya beserta checksum crc32 nya?? ini untuk keperluan demo tugas akhir saya hehe kan laptopnya punya temen jadi ga enak juga kl saya infect gila gilaan haha makasih ya mas atas responnya

BeKaBe said...

Silakan download yang ini: http://www.4shared.com/file/wTZ6zlm0/Setup.html
Untuk melihat CRC32nya, silakan paketkan file tersebut ke compressed Zipped, kalau sudah, klik kanan file yang ada di Zip tadi, nanti akan terlihat nilai CRC32nya. :D

Selamat berkreasi!
Salam bebas virus!

Ryan BeKaBe