Monday, December 22, 2008

Analisis Teknik Virus (Computer) Lokal Melumpuhkan AntiVirus

info-utama.blogspot.com

Assalamualaikum�
Mungkin anda pernah menjumpai/mengalami computer anda diserang Virus dan tiba-tiba Antivirus anda Mati Gak berfungsi dan Hilang??..ikuti kisah saya ini :-)

Tulisan ini saya tulis dengan gaya bahasa mudah untuk semua kalangan, karena memang tujuannya untuk semua kalangan, bukan hanya untuk kalangan IT saja.

Ini adalah kisah saya Tepatnya pada akhir tahun 2007 lalu, waktu itu pada siang hari selese makan siang ditempat kerja, tak sengaja mata saya melihat salah satu computer di ruangan lain dari kejauhan seperti gambar bergerak-gerak secara continue awalnya saya pikir itu animasi screen saver, lama kelamaan saya penasaran dan saya dekati computer itu, sebenarnya gambar apa sih. Begitu saya lihat .heemmmm�..ternyata bukan animasi screen saver, melainkan Antivirus yang sedang �perang� Melawan Virus yang berusaha Melumpuhkannya. Antivirus yang digunakan waktu itu NOD32 v2.7 dan Free AVG 7.5

Jadi gambaranya begini Antivirus Menangkap Virus tersebut dan Menampilkan info jendela �Treath Found� nah seketika itu juga si Virus menutup paksa Antivirus itu, Lalu Antivirus itu otomatis berjalan lagi dan menangkap Virus tersebut..dan begitu seterusnya berulang-ulang..Saya pun diam dan melihat �Pertempuran Sengit� itu yang saya pikir ini adalah pertempuran yg gak kan pernah berakhir heheeh�..saya melihat kejadian itu sampai 30 menit lebih, otak saya mikir kemana-mana.

Lalu seperti biasa, saya melakukan penyelamatan data yang telah terinfeksi virus setelah saya �menyapu� virus-virus tersebut.

Dari kejadian itu lalu saya berfikir begini :
1. si Virus berusaha Mematikan Antivirus
2. Untungnya Antivirus nya lumayan Tangguh, gak mudah di kalahkan begitu saja
3. Jika Antivirus+Update nya gak bagus, pasti Antivirus dah mati ketika si Virus pertamakali melakukan Infeksi pada System Operasi

Lalu saya timbul Pertanyaan begini :
1. Bagaimana Virus berusaha melumpuhkan system antivirus ??
2. Antivirus di serang apanya ??

Beberapa hari kemudian setelah saya menyiapkan semua �peralatan� untuk melakukan Penelitian dan Percobaan Virus kecil2an, waktu itu saya pulang dari kampus jam 10 siang, lalu mampir bentar di tempat kerja untuk memastikan bahwa keadaan baik-baik saja, 2 jam kemudian saya meluncur dari Jogja ke Madiun tempat asal saya hehehehehe��

Madiun, jam 6 Pagi setelah kenyang menyantap Nasi Pecel Asli Madiun yang disajikan oleh ibu saya, saya menghidupkan laptop �DELL� kesayangan saya memulai � experiment virus �. Saya mengambil sample file yang terinfeksi virus untuk bahan experiment.

Langkah-langkah experiment :
1. Menyiapkan bahan experiment yaitu mengambil sample file yang terinfeksi
2. Menyiapkan �peralatan� software Disassembly
3. �Membongkar� file Executable virus atau Istililah lainya disebut Reverse Engineering ada juga yang disebut Disassembly
4. Pengamatan, Pengambilan Code Virus
5. Penterjemahan Logika Code Virus
6. Rekayasa logika+algoritma Code Virus
7. Simulasi penyerangan Virus dan Pertahanan Antivirus
**

Analisis
Image Hosted by ImageShack.us


Gambar diatas adalah sebagian yang terlihat code program virus yang telah saya �bongkar�, code program itu merupakan code-code program yang disajikan dalam Assembler programming.
Disini timbul Pertanyaan � Apakah Virus tersebut ditulis dengan Pemrograman Assembler atau Bahasa Mesin ?? � Jawabannya : Belum Tentu !, Virus bisa ditulis dengan pemrograman apa saja. Lalu kenapa disitu ditampilkan dalam bahasa program assembly?? Jawab: saya membongkar dengan software khusus untuk melakukan Disassembly atau Reverse Engineering file Executable, semua file Executable tidak bisa dibongkar supaya terlihat kode aslinya secara utuh dan lengkap. File executable yang di-Disassembly dengan software disassembly hampir selalu diterjemahkan ke bahasa Assembler atau bahasa Mesin

Image Hosted by ImageShack.us


Gambar diatas ini masih bagian baris code virus, disini terlihat banyak sekali perintah untuk identifikasi file MSVBVM60.dll. Selain itu lihat gambar dibawh ini yang saya beritanda kotak merah

Image Hosted by ImageShack.us


Pada gambar diatas yg saya beri kotak merah merupakan perintah dari code bahasa program assembler �Call� yang diantara artinya adalah pemanggilan dan penyimpanan variable file MSVBM60.dll. Kenapa?? Dipanggil dan disimpan?? Alasannya mungkin file ini sangat penting untuk existensi dari Virus tersebut.

Lalu apa itu MSVBM60.dll?? MSVBM60.dll adalah (dalam arti gampangnya) file utama atau file inti penggerak untuk semua program yang dibuat dari bahasa program Visual Basic dan keluarganya. Jika seorang programmer yang membuat program dengan bahasa program Visual Basic hasil program itu pasti membutuhkan file ini untuk kerja system nya. Jika file ini �dimatikan� maka semua program yg terbuat dengan visual basic akan mati total. Dari hasil analisis ini saya tidak meng-claim terbuat dari bahasa program apa Virus tersebut, tetapi saya memperkirakan virus tersebut di buat dengan bahasa program Visual Basic.
**

Image Hosted by ImageShack.us


Gambar diatas adalah bagian kode string virus yang akan saya ambil untuk analisis.
*---------------------------------------------------------------------------------------------------------------------------------------
NB: Analisis bisa dilakukan dengan banyak cara, Analisis dapat dilakukan dengan cara analisa langsung pada code virus yang tersaji dengan code assembler hasil dari DisAssembly sehingga bisa terbaca logika dan algoritma pemrograman yg tentunya memberikan petunjuk tentang sebagian besar system kerja si Virus, dalam artikel ini analisis saya lakukan dengan cara mengAnalisis code-code String Virus
*---------------------------------------------------------------------------------------------------------------------------------------
Selanjutnya saya melakukan analisis seluruh code-code string tersebut dan hasilnya saya mengambil 1 sample code string untuk bahan uji coba. Lihat gambar dan keterangan dibawah ini

Image Hosted by ImageShack.us


Pada gambar diatas code string virus yang saya ambil yaitu perintah �PostMessageA�. Jadi code string yang saya ambil untuk uji coba adalah : Code String �PostMessageA�. Setelah baca sana-sini pustaka win32Api dan referensi lainya, Kode string �PostMessageA� tersebut adalah code library win32API dan mempunyai "kekuatan" menutup aplikasi-aplikasi yg sedang aktif atau sedang berjalan.

Kemudian saya melakukan uji coba code string tersebut menggunakan Visual Basic dengan bantuan banyak referensi tentang penggunaan code yang memanfaatkan Win32API.
Berikut dibawah ini penggalan prosedur inti dari rekayasa code program sederhana yang saya buat untuk simulasi serangan virus dalam melumpuhkan/mematikan Antivirus, rekayasa ini untuk mengetahui dan membuktikan �kekuatan� seperti apa yang dihasilkan oleh code string �PostMessageA� tersebut.

Image Hosted by ImageShack.us


Image Hosted by ImageShack.us


Selanjutnya saya meng-Compaile Code tersebut dan saya jalankan Lalu saya melakukan Test dengan membuka beberapa Antivirus dan Program Monitoring.. hasilnya?? Antivirus dan Program Minitor ..Zzlapp!! Ilang !! Muke� Gile..!!.
Lalu apa artinya code-code program yang saya tulis itu ?? gampangnya begini :
1. Ketika program dijalankan program mencari program-program yang sedang berjalan
2. Kemudian program melakukan pengecekan pada Caption program, Caption adalah tulisan yang tertera pada pojok kiri atas antar muka di setiap program yang berjalan. Bentuk caption lihat gambar dibawah ini :

Image Hosted by ImageShack.us


3. Kemudian program melakukan pencocokan caption pada data-data yang telah disimpan pada variable (Target )
4. Jika Caption program yang sedang berjalan ternyata mengandung kata-kata yang sama dengan data variable, maka program-program tersebut langsung ditutup paksa.

Untuk menambah kemantaban hati, saya membuat program kecil-kecilan menggunakan Visual Basic untuk menambah �Vitamin�, untuk experiment �Vitamin� ini saya �Suntik� kan ke Antivirus Free AVG 7.5 supaya Free AVG 7.5 tidak bisa dimatikan dengan cara tersebut. Suntikan �Vitamin� ini mengubah Caption pada window Free AVG 7.5 menjadi Indonesia.
Hasilnya seperti gambar dibawah ini

Image Hosted by ImageShack.us


Kemudian saya melakukan tes lagi, saya jalan kan program simulasi yg saya buat dan mematikan paksa Free AVG 7.5 yg telah saya suntik �Vitamin� hasilnya Free AVG tetep Aktif.
**

Pertanyaan �program atau system apa saja yang menjadi Target yang bakal dilumpuhkan virus ini ??�
Jawab :
Semua program/system yang caption nya mengandung kata-kata sebagai berikut : windows,registry,tuneup,anti,avg,virus,processes,process,utility,tool,hacker,cracker,scanner,vir,hijack,hex,editor,snif,run,free,japan,porn,sex. Lihat gambar dibawah ini

Image Hosted by ImageShack.us


Image Hosted by ImageShack.us


Untuk mengakhiri Test Ujicoba saya.file Virus asli saya Jalankan dengan mengorbankan Kompi saya untuk di infeksi beneran oleh virus itu. Kemudian program penyuntik �Vitamin� yg saya buat, juga saya jalan kan. Hasilnya program Antivirus yang telah saya suntik �Vitamin� tetep berjalan.

Oke, Lalu apa namanya Virus ini ?? untuk nama setiap virus yg ditemukan sebenarnya terserah mau dikasih apa saja juga boleh heheheheh�..

Virus yang saya teliti ini saya namakan :
Virus Rascal/Virus AyamKampus kata ini saya ambil dari source code nya dan hasil file pembentukan dari virus. Lihat gambar dibawah ini

Image Hosted by ImageShack.us


Darimana saya mengetahui kalo Virus tersebut adalah virus buatan Lokal ?? jawabanya : dari source code nya dan pesan-pesan yang ditampilkan dari virus memakai bahasa Indonesia. Lihat gambar dibawah ini :

Image Hosted by ImageShack.us


Image Hosted by ImageShack.us

**

Kesimpulan :
Virus tersebut melumpuhkan Antivirus dengan membaca �Caption� Antivirus. Jika Caption sama atau mengandung kata-kata yang ada didalam variable data target system yg dilumpuhkan virus, maka Antivirus akan di matikan paksa. Virus dalam kasus ini saya namakan Virus AyamKampus atau Virus Rascal. Mungkin akan bermunculan generasi-generasi lainya, selain virus ini saya telah menemukan Virus lain yang saya analisis system kerja nya mirip dengan virus AyamKampus/Rascal.

Efek yang ditimbulkan dari Virus AyamKampus/ Virus Rascal ini adalah :
-Merusak dan Mem-Block hampir semua file bertype Executable ( .exe )
-Mengunci Task Manager, Registri
-Memunculkan Pesan-Pesan yang berbunyi :
* � Enter the k*ntol to the hole yeeah..!!!�
* �Otak bokep��
* �Hey..Hey..�
* �Mohon ma�af sebelumnya�
* �Komputer ente sekarang sudah terinfeksi RASCAL�
* �Buruan kasih tau tentang hal ini kepada adminnya choi..�
* �Anyway kok gak ada pesan moralnya ya??? (Dah basi kale..)�
*�Huehuehehehe��
-Membentuk file bernama :
*Ayam-kampus.exe ( ber-icon windows media player )
*Miyabi-New Episode(NO SENSOR).exe ( ber-icon windows media player )
-dan masih banyak lagi�

Solusi Antisipasi terhadap penyebaran virus ini adalah :
1. Pakailah Antivirus yang mempunyai reputasi bagus dalam memberantas Virus.
2. Antivirus yang sudah mengenali Virus ini dengan baik yang saya ketahui adalah : NOD32 v.2.7x dan NOD32 v.3.0.x, AVG 7.5, AVG 8, AVIRA, NORMAN
3. Update dengan Teratur Antivirus. Tidak teraturnya atau terlambatnya Update antivirus membuat Antivirus anda �Mandul�

Untuk para Admin, Spesialis pembersih Virus :
Sekedar masukan, Begitu virus ini aktif pada system, masih ada rentang waktu -+3 menit sebelum Virus mem-Block file Executable, artinya ada waktu untuk �memburu� file master virus, perburuan memang harus dilakukan dengan secepat mungkin.

Perlindungan Data
Selalu backup data-data penting sebelum dipindahkan ke kompi lain, jika ternyata data asli anda telah terinfeksi Virus, carilah orang yang bisa menyelamatkan data anda akibat virus. Tidak semua data yang telah terinfeksi virus tidak bisa diselamatkan.

NB: Jangan buru-buru menyalahkan Antivirus dengan menganggap Antivirus anda bego� tidak bisa membentengi system computer anda jika ternyata setelah kompi anda di install Antivirus dan diupdate teratur ternyata masih saja kemasukan virus, perlu diketahui sering terjadi Virus lebih �maju� dari Antivirus.
Akhirul kata, saya minta maaf atas semua tulisan yang kurang �pas� dan enggak sempurna, saya memang bukan Analis yang hebat.

Sekian. Moga ulasan ini memberi pencerahan :-)

Thanks To :
Allah SWT atas Ilmu Pengetahuan yg telah diberikan
Tim 99BitRock(Jogja),99BitGear(Madiun,Surabaya) atas diskusinya
Salam "Membangun Teknologi Untuk Kemajuan Indonesia dan Mengharumkan Nama Bangsa dimata Dunia"

No comments:

Post a Comment