Darkside of Oktavianus

Making virus and all of them as our friends

VIRUS TATI: CARA LAIN MEMBUAT VIRUS

Posted by oktavianus pada Februari 20, 2008

2192008103202am351.gif

Penyebaran virus kian hari makin menggila. Tidak mengherankan, karena banyak cara yang dilakukan untuk menciptakan virus. Tidak mesti jago-jago amat, hanya dengan sedikit usaha, virus bisa tercipta. Arief Prabowo

COBALAH LIHAT KONDISI SAAT INI, source code virus siap saji ataupun tutorial membuat virus pun bisa Anda dapatkan gratis dari Internet. Atau ingin lebih mudah lagi bisa menggunakan program Virus Generator yang bisa membuat virus dengan instan menggunakan template aksi-aksi virus yang sudah disediakan, bukannya tidak mungkin, kini orang awam dengan pengetahuan minim sekalipun bisa membuat virus dengan mudah. Tentu tidak heran kalau populasi virus kian hari kian meningkat.

Dan lagi jika Anda berjalan-jalan ke mall, cobalah Anda lihat, buku-buku yang mengajarkan cara membuat antivirus, sudah bertebaran di mana-mana. Namun perlu Anda perhatikan juga, karena biasanya selain mengajarkan cara membasmi virus, buku tersebut juga sekaligus mengajarkan Anda cara-cara membuat virus, ibarat pedang bermata dua.

AutoHotKey

Untuk berbuat kejahatan memang selalu ada jalan. Karena saat ini ditemukan virus lokal pertama yang dibuat menggunakan program AutoHotKey. Apakah itu AutoHotKey? Seperti yang dikutip dari situs aslinya (http://www.autohotkey.com), Auto-HotKey merupakan sebuah program automation, hotkeys, dan scripting yang dibuat menggunakan bahasa C++, ia bersifat open source dan diperuntukan bagi operating system berbasis Windows. Dengan menggunakan program ini kita dapat mengotomatisasi setiap perkerjaan yang sering kita lakukan sehari-hari. Berbagai hal dapat dilakukan dengan menggunakan program ini, mulai dari otomatisasi penekanan tombol keyboard, pergerakan atau penekanan tombol mouse, atau bahkan menggunakan script untuk memperintahkan AutoHot- Key mengerjakan suatu perintah. Saat membuat suatu project menggunakan AutoHotKey, file yang dihasilkan akan memiliki extension .ahk. Dan bersamaan dengan paket program AutoHotKey tersebut, tersedia juga program yang dinamakan Ahk2Exe yang dapat mengonversi . file project (.ahk) ke dalam executable. Artinya, script yang telah dibuat tadi nantinya bisa dijalankan secara langsung di computer manapun, tanpa harus terinstal program AutoHotKey.

Virus Hasil AutoHotKey

Semua kemudahan yang telah dipaparkan di atas sepertinya telah dimanfaatkan dan disalahgunakan oleh pembuat virus. Buktinya kini ada satu virus lokal yang menggunakan cara tersebut memanfaatkan program AutoHotKey. Dikenal dengan nama Virus Tati, begitulah PC Media Antivirus mengenalnya. Saat tulisan ini dibuat, belum banyak antivirus yang dapat mengenali virus ini. Dan satu pertanyaan yang membuat kami penasaran adalah, “Bagaimana virus ini bisa menyebar dengan cepat dan luas?”. Sebab perlu Anda ketahui, si Tati ini menempati urutan pertama virus yang banyak dikirimkan oleh pembaca selama satu bulan terakhir ini.

Membongkar si Tati

Virus yang ini icon-nya berpenampilan mirip dengan icon folder standar bawaan Windows ini, memiliki ukuran sebesar 202.263 bytes, dalam keadaan terkompresi menggunakan UPX. Memang, script yang telah dikonversi dari file.ahk ke .exe menggunakan program Ahk2Exe bawaan AutoHotKey, secara otomatis akan di-compress menggunakan UPX. Program ini pun memiliki . tur untuk memberikan password pada file executable yang maksudnya agar tidak bisa di-decompile kembali menjadi .ahk, sepertinya ini yang akan dilakukan oleh si pembuat virus Tati, karena tentunya dia tidak ingin virusnya dapat dengan mudah untuk dianalisis. Pada situsnya, ada sebuah program dengan nama Exe2Ahk. Dari namanya sudah bisa diterka, program ini untuk mendecompile file script AutoHotKey yang sudah menjadi executable (.exe) agar kembali menjadi script (.ahk). Setelah dicoba, ternyata benar, program ini meminta password dari executable virus tersebut. Namun dengan meng-crack-nya, kami dapat dengan mudah mengetahui password-nya dan script asli virus tersebut pun dapat terlihat. Dan, dengan hanya mempelajari script yang ada, sangat memudahkan bagi kami untuk mengetahui apa yang diperbuat oleh virus tersebut.

Tati di Memory

Pada saat kali pertama virus ini menginfeksi, ia akan membuat file induk pada direktori Windows dengan nama Tati.exe, selanjutnya ia akan langsung memanggil . le tersebut, sehingga di memory akan ada process virus dengan nama Tati.exe. Selain itu file Tati.exe akan ada juga pada direktori StartUp, default-nya biasanya terletak di C:\Documents and Settings\%username%\Start Menu\Programs\Startup, atau Anda dapat melihatnya juga pada StartUp di Start Menu. Untuk selanjutnya virus akan aktif otomatis saat memulai Windows.

Sedikit Modifikasi Registry

Tidak seperti virus lainnya yang senang sekali mengutak-atik registry dan atau memberikan restriction di segala penjuru Windows, virus ini cukup cuek karena ia hanya memodi. Kasi dua item registry yang menyangkut masalah Windows Explorer atau Folder Options, yakni mengisikan nilai 0 pada HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden agar Windows Explorer tidak menampilkan . le dengan attribut hidden dan system. Dan mengisikan nilai 1 pada HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Advanced\HideFile-Ext, yang maksudnya adalah memerintahkan Windows Explorer untuk menyembunyikan extension dari setiap file.

Memantau Harddisk

Seperti yang tertulis pada rutin CekHardDisk di script yang telah berhasil dibongkar, saat virus ini aktif di memory, timer yang ada pada virus ini akan memeriksa setiap . xed drive atau hard disk pada komputer terinfeksi dalam periode waktu 600.000 milliseconds atau sama dengan 10 menit. Rutin ini nantinya akan membuat tiga file pada drive tersebut dengan nama autorun.inf dengan attribut hidden dan system, tati.exe, dan tati.my.love.txt. File autorun.inf merupakan . le bantuan agar virus ini dapat aktif otomatis pada saat user mengakses drive tersebut. File tati. exe merupakan file induk virus. Dan terakhir file tati.my.love.txt merupakan file teks yang berisi pesan dari si pembuat virus.

Menjadi .SCR

Drive . ash disk juga tidak luput dari jangkauannya, dia akan membuat tiga file seperti di atas. Dan ia juga akan membuat file virus dengan nama yang menyerupai nama folder yang ada, dengan extension .scr atau dikenal dengan Screen Saver. Sebaiknya ubah View dari Windows Explorer Anda menjadi Details agar dapat dengan mudah membedakan Antara folder asli dan virus Tati. Cukup dengan melihat kolom Type, jika folder asli maka Type nya berupa File Folder. Dan lebih baik, Anda nonaktifkan opsi “Hide extensions for known file types” dan “Hide protected operating system files” pada Folder Options dengan menghapus centangannya (_).

Tuntaskan dengan PCMAV

Memang trik social engineering lama dengan menyerupai icon folder dan membuat tiruan dari nama–nama folder yang ada masih menjadi favorit para pembuat virus. Dan cukup aneh, karena virus Tati ini termasuk yang sangat sederhana dan jika dibandingkan dengan virus–virus lokal lainnya di luar sana, ia sangat kalem, tidak terlalu aneh–aneh, namun terbukti tingkat penyebarannya tinggi. Dan lagi, seperti yang telah dikatakan di awal, saat tulisan ini dibuat, dari sekian banyak hanya satu dua antivirus saja yang sudah mengenali virus ini, dan heuristic dari setiap antivirus tersebut pun tidak menunjukkan keanehan apa–apa. Jadi, ia makin leluasa menyebar ke mana–mana. Maka dari itu, hentikan penyebarannya dan gunakan PC Media Antivirus RC24 yang telah disempurnakan ini untuk dapat membasmi virus ini.

8 Tanggapan to “VIRUS TATI: CARA LAIN MEMBUAT VIRUS”

  1. heru panca anggara said

    wah……ternyata gampang buanget buat virus TATI ,,,,klo ingin bagi pengalamn tentang virus krimkan pengalaman anda ke e_mailQ

  2. Ikhwanus Shofa Arif said

    Hmmmmmmmmm….nGomong2 buat virus aQ jagonya. kalo ingin tau cara membuat virus yang elegant and styler dan tanpa sepengatahuan sang pencipta kirimkan e_mail anda ke e_mailQ dan tungggu aja virus akan menyebar ke computer anda….
    Hati-Hati PENIPUAN

  3. Ikhwanus Shofa Arif said

    Hmmmmmmmmm….nGomong2 buat virus aQ jagonya. kalo ingin tau cara membuat virus yang elegant and styler dan tanpa sepengatahuan sang pencipta kirimkan e_mail anda ke e_mailQ dan tungggu aja virus akan menyebar ke computer anda….

  4. yoshiemura said

    hi, aq kesel banget nich gara2 virus tati d mp3q kira2 sapa ya yang bikinnya klo bisa ketemu pukulin tuch orangnya

  5. aby said

    kalo kata gue virus tati tak sebanding dengan virus yang memiliki file gambar yang beritensi sebagai virus n virus to
    namanya deathjpg
    keren gak tuc……

  6. arfiyan said

    apa sih motivasi kalian me,buat virus??

  7. p14n said

    kenapa virus tati tidak berkembang lagi??

  8. Widhi said

    Hei, aku udah bisa ngwasain autohotkey script
    Namanya Silver Alien
    Dah tak upload di smadav.net
    Ya, nggak terlalu bahaja sih

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: