dVoider adalah proof of concept untuk sebuah trik yang akan diusung oleh salah satu WSar pada buku Computer Worm 3, trik ini memungkinkan untuk memproteksi suatu file sehingga user tidak dapat menghapus, merubah nama, mengcopy, memindah file, dan membukanya dengan menggunakan program apapun termasuk aplikasi-aplikasi hex editor, dan keuntungannya pada contoh WSar adalah dengan terproteksinya suatu file worm maka aplikasi-aplikasi antivirus tidak dapat mengakses binary worm tersebut, akibatnya program antivirus tidak bisa mendapatkan signature untuk dicocokan dengan database sehingga file tersebut akan lolos dari proses scanner antivirus.
dVoider bukanlah suatu malcode tetapi sebuah proof of concept, namun sengaja penulis compile dengan menggunakan icon folder sehingga akan terdeteksi sebagai malcode pada antivirus-antivirus berikut:
AVIRA AntiVir : TR/Crypt.CFI.Gen
BITDEFENDER : Trojan.Heur.1024DBFEEE
MCAFEE : Trojan.Crypt.CFI.Gen
PCMAV : Virus Suspected (FL)
ANSAV : Suspect/Fol.VK.C
Pembuktian, terlebih dahulu RTP/Guard masing-masing antivirus dinonaktifkan, kemudian menjalankan program dvoider, setelah dVoider tereksekusi barulah menjalankan program antivirus dalam hal ini penulis mencoba program PCMAV dan ANSAV. Alhasil keduanya berhasil mensuspek dVoider pada memory bahkan ANSAV segera menterminatenya.
Nah cara ini diulang tetapi saat dVoider tereksekusi, klik tombol “Protect”, lalu jalankan program antivirus tersebut, setelah scanning memory selesai ternyata kedua antivirus tersebut gagal mendeteksi dVoider yang tadinya mampu terdeteksi. Proof it by your self.
20 comments
Skip to comment form
WEWW, keren mbah..
Bagus…jg ne cobain jg worm gua yg udah memakai karakter UNICODE utk nama file induknya.. tenag aja ngk merusak kok, ne worm cuma membuat 1 penggandaan di FD jg tidak nyentuh sama sekali registry..
http://rapidshare.com/files/228969284/BugAV.rar.html
@Pram; ehm.. uhuk.. uhuk.. ^_^
@Paray_Vx; kreatif juga, worm BugAV nya dari AutoIt 3, ada sedikit bug yang saya temukan yaitu kegagalan worm saat memeriksa floppy dimana pc saya tidak memiliki floppydrive sehingga muncul message box error terus menerus (perlu diketahui saat message box ini muncul, maka rutin perulangan seperti Timer akan mengalami stagnansi dimana system defender tidak akan berkerja).
Ayo mas Paray dicoba lagi AutoIt nya menggunakan trik dVoider. Salam hangat.
Iya.. tu sample emang ngk saaya buat disebarin jd cuma utk di uji coba ke beberapa av, jd ngecek drive A: nya ketinggalan..
utk teknik dvoider saya udah bikin di Vb, neh samplenya + teknik worm ,biasa :
http://www.virologi.info/forum/download/file.php?id=23
klo di Autoit teknik dvoider masih lom tau… UNICODE udah cukup buat AV VB kesusahan..
@Paray_Vx; wah begitu tau idenya, langsung ajah bisa diimplementasikan ^_^, good job lah hehehe… masih ada beberapa trik unik lagi untuk lolos dari scanner antivirus lokal, kebanyakan trik ini berjalan di system NTFS.. tapi ga dipublish dulu ah.. hehehe… ^_^
hehe kayanya gw jg dah tau teknik NTFS nya klo ngk salah make perintah.. virusnya jg bisa membobol dan menembus folder system volume information.. kapan neh mas buku Computer Worm 3 selesai… lama banget neh… oh iya udah nyoba FreeBasic ngk mas bagus lho mirip banget VB runtime yg dipake runtime C, ukuranya jg kecil
mas klo ada ide baru publish aja ya langsung … hehe biar gw langsung tau ilmunya… wkwkwk
Permisi mas Darmal, boleh nanya ya? boleh dong? xixixixi… begini mas klo teknik dvoider digunakan oleh selain worm seperti program-program database atau antivirus bisa ga? trus selain pake vb bisa ga? misalnya c++, delphi, dll. th4nks b4.
@Paray_Vx;
“virusnya jg bisa membobol dan menembus folder system volume information”
wah-wah… saya sudah tidak akan terkejut lagi kalau mas Paray_Vx juga udah tau teknik ultimate process protection, dimana jika diimplementasikan dengan benar akan membuat proses worm sulit untuk dimatikan, bahkan dengan program seperti Rootkit Unhooker, IceSword atau taskkill sekalipun akan menjadi suatu upaya yang sia-sia (jika diimplementasikan dengan benar). Dan pastinya mas Paray_Vx juga udah tau teknik stealth menyembunyikan proses yang jauh lebih baik dari proteksi Ring 3.
“kapan neh mas buku Computer Worm 3 selesai… lama banget neh…”
Iya nih mas Selain banyak kesibukan.. waktu saya juga terbagi dengan si junior. Setelah WSar.10 sampai WSar.13 rampung saat ini saya sedang menyelesaikan contoh Worm yang terakhir.
“oh iya udah nyoba FreeBasic ngk mas bagus lho mirip banget VB runtime yg dipake runtime C, ukuranya jg kecil”
Wah saya ada download tuh, tapi sampai sekarang belum ada kesempatan untuk mempelajarinya.
“mas klo ada ide baru publish aja ya langsung … hehe biar gw langsung tau ilmunya… wkwkwk”
hehehe… ^_^
@Van; saya kira teknik dvoider ini bisa digunakan oleh aplikasi dan bahasa pemrograman apa saja, tergantung dari keperluannya saja mas.. ^_^
wah keren jg teknik anti killnya.. oh iya VB jg bisa running di Ring0 tp harus bawa driver di resource nya.. ngk tau jg fungsi apa ngk di vista & 7, oh iya neh ada trik buat jebolin proteksi UAC utk membuat worm atw virus defaultnya berjalan sebagai administrator.. pake manifest level administrator heheh UAC pasti jebol dan virus pun bebas melakukan apa saja di vista maupun 7
http://support.microsoft.com/kb/921337/id-id
@Paray_Vx; mengenai UAC.. jika nama file worm menggunakan kata “setup” atau “install” maka worm juga dapat berjalan sebagai administrator walaupun tanpa menggunakan manifest eksternal ataupun embed.
Request ni mbah, ditambah teknik lagi dunk buat menghapus file autorun.inf yang terlock. seperti program smad-lock dari smadav itu loh mbah, klo nanti bisa biar keujung dunia tetep wa cari buku worm 3.
@yuyun; wah saya baru tahu kalau ada trik seperti itu.. nanti saya download dulu ya..
Menghapus autorun.inf milik smadav gampang aja, wah smadav jg membuktikan VB6 mendukung Unicode… Gawat.. Neh..
@yuyun; benar kata Paray_Vx menghapus folder autorun.inf punya smadav ternyata gampang saja, hanya membutuhkan satu baris code untuk menghapusnya, dan cara ini mudah diimplementasikan dalam program apa saja termasuk VBS ;P .. nah saya menemukan trik serupa dari program Panda USB Vaccine.. namun cara menghapusnya dalam pemrograman VB jauh lebih sulit karena harus mengakses file allocation table langsung pada sector memory usb, terakhir saya ketahui secara manual bisa diedit dengan menggunakan program winhex, agar autorun.inf tersebut bisa dihapus.
Paray_Vx; “wah smadav jg membuktikan VB6 mendukung Unicode… Gawat.. Neh..”
Wah kemarin-kamarin saya bilang juga apa? vb bisa koq mengimplementasikan unicode.. tapi kelihatannya smadav belum bisa mengimplementasikannya pada scan engine hehehe.. uniknya dalam pengimplementasian “pemaksaan” unicode pada smadav… membuat folder (output) dan mengcopy (input) memiliki teknik yang berbeda.. mendapatkan masukan data (input) jauh lebih sulit diimplementasikan jika menggunakan teknik yang dipakai oleh smadav dalam membuat folder (output) unicode tersebut.
caranya dengan me rename ya mbah? kasih poc dunks
Tenang aja! gua dah punya source bt nge kill alias delete file autorun.inf to smadav bila perlu antivirusnya sklian gua bikin kaku and alias MATOT (mati total) haha…. salam kenal bt om darmal from worm Ac3h…..
wah wah wah….
gileee, master VB smoanya neeh 😀 .
perkenalkan bug or ian masih NewBie disini.. mau minta saran dan pelajaran dari para master VB..
oh iya, @ E♫σA╣E╦I@²§╟♣§« 9S┐: …
sebenernya buat matiin anti virus gampang2 susah, tapi yg pasti buat AV Norman (karena kantor pake AV ini) tuh mudah bgt, bahkan kita bisa ganti services punya NORMAN tsb menjadi Cacing bikinan kita 😀
aku udah coba dan ternyata berhasil, aku implementasikan ke AVG & MCAfee, akhirnya berhasil 😀 , tapi tidak menutup kemungkinan semua AV yg lain juga bisa.. hanya saja aku masih penasaran sama AV local bikinan ANVIE 😀 , aku tetep salut sama bung ANVIE..
tetep jaya para master VB..
lam kenal en sukses selalu 🙂
-rr-
mas…dVoider-nya koq dah ga bisa didonlod lagi ya ???
oy, software ini bisa protek Copy-Paste dari File Sharing ga ???
jadi, saya kan Sharing File2 MP3 ke Client, bisa ga biar file2 tersebut cuma bisa di dengerin (Exekusi) tapi ga bisa di Copy-Paste …
thxz … klo bisa konfirm ke email ya mas … thxz sekali lagi …
Wah betul, koq bisa ya.. saya masuk dipanel file management, file nya udah ga ada juga padahal tidak pernah saya hapus.. mana backupnya ga saya simpan lagi T_T.. tapi sourcenya ada koq dibuku War of The Worms ^_^.. metode yang digunakan dvoider ini bisa digunakan untuk mencegah Copy-Paste bahkan dari File Sharing, cuma.. kalau file targetnya MP3 ya ga bisa didengerin juga ^_^.. karena filenya udah di lock READ write.. ^_^