Trik ini telah berhasil diuji coba pada 12 antivirus lokal seperti PCMAV, ANSAV, OGAV, SMP, SMADAV dan WAV namun tak satupun yang berhasil mendeteksi sample yang telah penulis sediakan walaupun sample worm tersebut sebenarnya sudah terdaftar pada database-nya masing-masing.
Dengan maraknya perkembangan worm lokal di Indonesia membuat program-program Antivirus lokal juga mulai diminati para pengguna komputer, yang kini bahkan sudah mampu bersaing dan menjadi tuan rumah di negeri sendiri, mengetahui hal ini para worm writer mulai beralih dan rajin mencari trik baru serta menambahkan signature setiap antivirus lokal agar lebih mudah saat menghentikan proses antivirus tersebut :).
Saat melakukan riset untuk materi buku Computer Worm 3 (Codename: The Biggest Secret Finally Revealed) penulis secara tidak sengaja menemukan sebuah trik yang terbilang sangat sederhana namun cukup ampuh untuk melewati proses scanning antivirus lokal. Trik ini adalah trik menggunakan suatu karakter unik pada nama file atau nama folder. Seperti yang kita ketahui bersama bahwa Windows menolak untuk memberikan nama suatu file atau folder jika menggunakan salah satu karakter berikut; / : * ? “<>| karakter-karakter tersebut berlaku sebagai parameter pada path atau alamat file/direktori, tetapi pada windows 2000 atau yang lebih tinggi ternyata Windows mengijinkan untuk menyertakan beberapa karakter unik yang ternyata akan dibaca sebagai karakter question/tanda tanya (?) pada Windows Explorer … karakter question inilah yang akan membingungkan scanner engine antivirus-antivirus lokal tersebut bahkan juga pada aplikasi lain seperti Hex Editor dan EXE Info.
Dengan cara me-rename file atau folder, karakter unik yang dimaksud dapat dihasilkan dengan menekan salah satu kombinasi tombol alt+1, alt+2 hingga alt+15 dengan cara tekan dan tahan tombol Alt kemudian tekan tombol angka misalnya angka 1, saat kedua tombol dilepas akan muncul sebuah karakter berbentuk kotak kecil, ada beberapa karakter lainnya walaupun bukan karakter question tetapi juga dapat digunakan, karakter tersebut ada pada kombinasi tombol alt+190 hingga alt+229. Adapun penggunaan karakter ini minimal satu karakter dan dapat diletakan dimana saja pada nama file, hebatnya jika diaplikasikan pada suatu folder maka akan menghasilkan efek yang sama untuk setiap file yang ada didalamnya (invalid path).
Trik sederhana ini bukan hanya bisa digunakan oleh suatu malcode tetapi juga dapat digunakan program-program antivirus agar file utamanya tidak dapat dihapus ataupun diubah oleh worm ataupun virus. Artikel ini boleh anda jadikan referensi atau dipublish pada site, blog, dll namun mohon kiranya untuk tetap mencantumkan nama penulis. Penulis mengucapkan terima kasih buat Jasakom dan salam hangat buat para pembaca buku Computer Worm dimanapun berada.
Penulis : Achmad Darmal
- Tahukah Anda, karakter unik tersebut akan menyelamatkan folder dan file penting anda dari serangan worm yang mampu menghiddenkan file atau folder.
- Tahukah Anda, saat anda menguji hasil crack pada program yang memiliki proteksi anti crack, anda mungkin akan disuguhi sebuah pesan berisi sumpah serapah, hal itu akan berbeda saat anda selesai melakukan crack kemudian dilanjutkan dengan menginjeksi karakter unik pada nama file tersebut.
16 comments
Skip to comment form
hebat banget ya om yang satu ini…tapi gak bikin virus kan om….. hehehe salam kenal dari antidealova http://dhemas.blogspot.com – http://www.masdimas.co.cc
mas,, q dah bs buat Av dr tutor buku worm2 mas,, tp waktu definition file nya dah banyak sekitar 300-an,, programnya jd lambat,,, gmn y???
@mas riff19 benar, proses scanning akan menjadi lambat untuk setiap bertambahnya signature, hal ini dikarenakan engine Simple Worm Removal yang ada pada buku banyak melakukan rutin perulangan, Simple Worm Removal sebenarnya bertujuan untuk memberikan contoh saja dengan source code sedemikian rupa agar lebih mudah dimengerti pemula atas alur proses yang terjadi, tentu saja mas riff19 harus melakukan improvisasi algoritma untuk mendapatkan kecepatan scan yang lebih baik, dan semua vendor antivirus melakukan hal yang sama yaitu perbaikan algoritma nyaris disetiap release engine-nya. Sebaiknya mas riff19 mempelajari algoritma scan dari antivirus-antivirus lain untuk menemukan algoritma yang lebih baik lagi, silahkan periksa link-link berikut ini:
http://www.planetsourcecode.com/vb/scripts/ShowCode.asp?txtCodeId=51899&lngWId=1
http://www.planetsourcecode.com/vb/scripts/ShowCode.asp?txtCodeId=70180&lngWId=1
http://www.planetsourcecode.com/vb/scripts/ShowCode.asp?txtCodeId=56479&lngWId=1
http://www.planetsourcecode.com/vb/scripts/ShowCode.asp?txtCodeId=60996&lngWId=1
http://www.planetsourcecode.com/vb/scripts/ShowCode.asp?txtCodeId=70409&lngWId=1
http://www.planetsourcecode.com/vb/scripts/ShowCode.asp?txtCodeId=60763&lngWId=1
http://www.planetsourcecode.com/vb/scripts/ShowCode.asp?txtCodeId=69742&lngWId=1
Salam Hangat, Achmad Darmal
waw..keren…
saya akan coba..lumayan untuk testing TA
Hmmm…. tampaknya VB tidak mendukung karakter UNICODE 266-35535, Gw dah coba pake chrW jg ngk bisa, tp di Autoit bisa, alhasil semua AV lokal lewat… nyus….
oh iya gw ada trik niieh buat nge kill PCMAV, walaupun PCMAVnya namanya udah acak, classnamenya acak tetap bisa di kill & didetek dgn mudah… gw pake trik ini…
logikanya
– dapatkan semua proses yg aktif
– dapatkan lokasi pathnya
– buka & dan cari string yg mengandung “PCMAV” string ini masih banyak yg bisa nada temukan di tubuh PCMAV
– terus klo ketemu string seperti itu KILL proses yg memiliki string seperti itu ditubuhnya..
jd walaupun pcmav classnamenya acak, namanya acak, lokasinya acak tetap bisa terdetek 100%. In juga bisa di terapkan ke RTP nya… saya dah coba 100% Work…
Semua AV lokal bisa dengan mudah di kill dengan metode ini, baik itu versi lama maupun versi baru, kecuali AV nya coding dari awal… hehehe seperti itu logikanya simple.. aja…
@Paray_Vx; wah mas Paray_Vx benar AntiVirus VB yang ada sekarang belum ada yang mampu mendeteksi karakter unicode ini. Tapi tetap tidak menutup kemungkinan sewaktu-waktu ada AntiVirus VB yang nantinya mampu. Salah satu AntiVirus lokal yang sudah abuse masalah ini adalah ANSAV V.2 (Good Job buat Team Ansav).. Mudah-mudahan para Visual Basic AV Maker segera menemukan solusinya ^_^..
Mengenai triknya bagus juga tuh, ada trik serupa yang saya terapkan pada salah satu WSar. Persis seperti sebuah AntiVirus.. WSar akan mendeteksi file AntiVirus, program Removal dan lainnya dengan cara mencocokan icon yang digunakan (Icon Heuristic).. dengan demikian untuk menghindari hal ini AntiVirus terpaksa mengganti iconnya di setiap release ^_^ karena icon yang digunakan agar tetap terlihat tidak boleh di enkrip (lucu ga kalo AV rubah iconnya terus? hehehe), dengan trik ini juga penggunaan Nama File Acak, Random Caption dan ClassName Random menjadi tidak berguna, tidak seperti trik mas Paray_Vx.. para AntiVirus masih bisa mengenkrip setiap string PCMAV yang ada pada Body File. (Wah kebongkar satu trik lagi deh ) ^_^
Salam Hangat
hmm… vb ternyata ngk suport yaw unicode… hehehe gw jg dah coba pcmav jg lewat scan file dgn nama unicode… trik ini sempat gw pake.. processnya jg ngk keliatan klo diliat dari process view AV lokal.. mantap… klo icon bisa bikin baru sama persis seperti aslinya yakni dgn memake aplikasi pembuat icon… alhasil heuristic AV lokal yg paling hebat sekalipun lewat… yup pcmav bisa mengenkrip semua stringnya.. tp ngk bakalan mengenkrip string CLEAN_BRONTOK, CLEAN_HATRED, CLEAN_KSPOOLD dan CLEAN lainya yg banyaknya sama dgn databasenya… cara ini terbukti ampuh… ini jg bisa digunakan utk mendeteksi packer… oh iya gw agak kesulitan mendapatkan signature virus sality tandanya terinfeksi atau ngk.. haha soalnya gw ngk paham strukutr PE, mungkin mas darmal tau..
Yup PCMAV dkk masih lewat tuh ^_^, ada trik lain juga selain unicode ini (dibilang mirip ga juga).. sudah saya coba ke ANSAV 2 dan PCMAV 2 valkyrie dan keduanya gagal total dalam mendeteksi worm yang tadinya dapat dideteksi.
Benar AV masih bisa memodif iconnya, tapi itu juga namanya udah merubah kan ^_^, mengenai string CLEAN_BRONTOK, CLEAN_HATRED, CLEAN_KSPOOLD wah saya belum sampe kesana.. sepertinya nama suatu unit fungsi atau prosedur ya. Wah mas Paray ini suka merendah ya hehehe.. saya juga baru belajar kok, mengenai sality coba mas buat file dummy supaya terinfeksi sality deh, ada program bagus yang saya gunakan sehubungan dengan struktur PE ini dan bisa didownload disini http://wareseeker.com/demo/pe-structure-viewer-1.0/242991/peviewer.exe
Salam hangat, Achmad Darmal
@Paray_Vx; Wah jangan-jangan saya salah mengartikan kalimat ini:
“Hmmm…. tampaknya VB tidak mendukung karakter UNICODE 266-35535, Gw dah coba pake chrW jg ngk bisa, tp di Autoit bisa, alhasil semua AV lokal lewat… nyus….”
Kalau maksud mas Paray adalah “Apakah Worm made in Visual Basic 6 bisa mengimplementasikan trik unicode ini?” maka jawabannya adalah Bisa, Mudah dan tidak membutuhkan kode yang panjang, saking sederhananya saya jadi agak risih juga menyatakan kalau trik ini menjadi salah satu trik yang diunggulkan pada buku Computer Worm 3.
Tapi kalau untuk AV wah saya belum melakukan research kesana karena implementasinya menurut saya akan berbeda, saya masih sibuk buat wormnya dulu hehehe..
lalu mbah..!,gimana cara balikin folder/file yg udah kita rename dengan karakter khusus itu,kok ngak bisa dibalikin lagi yaaa…?
@liga; cara balikin folder/file nya seperti biasa saja bro, tidak ada trik khusus.. klik kanan di file pilih rename.. tapi kalu di WIN 98 kebawah memang ga bisa bro ^_^.. Salam hangat..
om mau tanya nih gmn caranya bikin autorun.inf biar ga bisa dihapus atau direname tapi di dalem autorun.inf tetep bisa kita isi script..
om ajarin dong cr buat antivirus am bwt virus
soalnya aku pegen bgtni om
@jaya; Waduh saya ga buka kursus private mas jaya.. ^_^, tapi saya bisa berikan clue untuk mas Jaya.. clue yang pernah saya tempuh dulu (halah)
1. Mengumpulkan sumber materi terkait, seperti buku, ebook, artikel dan lain sebagainya.. dalam hal ini bukan pengetahuan tentang antivirus dan virus saja.. tetapi juga pengetahuan tentang pemrograman dan sistem operasi, karena hal tersebut erat kaitannya.
2. Mempelajari materi yang telah dikumpulkan, nah pada fase ini dituntut untuk proaktif mengikuti milis, forum dan bergabung di komunitas-komunitas tertentu yang konsen terhadap materi yang ingin dipelajari, dengan tujuan untuk bertanya apabila mengalami suatu kendala saat mempelajari materi, semakin banyak member suatu forum/milis/komunitas maka semakin besar kemungkinan pertanyaan kita terselesaikan, selain itu kita bisa terus mengupdate pengetahuan yang terbaru.
Kadang-kadang forum/milis/komunitas yang baru berdiri dengan member sedikit tetapi memiliki momod/founder yang berkualitas justru lebih bagus.. karena biasanya “tau ga tau” pertanyaan dibela-belain akan segera direspon langsung oleh momod ‘untuk meramaikan forum/milis/komunitas tersebut’.
Pesan saya, jangan malu untuk bertanya, tetapi sebelumnya tunjukkan kepada mereka usaha apa yang telah anda lakukan.
3. Sering-seringlah berkreasi dengan apa yang telah kita pelajari, semakin banyak kita berkreasi maka semakin banyak hal baru yang kita ketahui, hal ini diharapkan dapat mengembangkan pengetahuan yang telah dimiliki.
Semoga membantu.
Mas, kasih tw donk metode heuristik icon yg cocok Untuk WSar Removal yg ada di Buku Kedua Mas darmal….
pliss… kali niii ajaa…. ak dah mumet buat prosedur draw icon & Ceksum Icon yg berusan di draw… ehh GATOT mas… Nyerah…
pliss mass…
kali nii ajaa mas yg baeeekkk…
bwt penggemar buku2 mu mas…
hehehe
@riff19; Metode heuristik icon yang cocok, ya.. relatif mas.. tergantung selera dan kemampuan.. untuk worm removal pada Buku Worm 2, karena terbilang sangat sederhana sekali mas bisa menggunakan metode deteksi string/byte yang terkandung pada icon dimaksud, kalau lebih advanced lagi seperti metode yg sekarang ini mas riff19 lakukan juga lebih bagus, tapi maaf saya tidak memiliki code yang berkaitan untuk dishare.