Darkside of Oktavianus

Making virus and all of them as our friends

VBSCRIPT VIRUS GENERATOR

Posted by oktavianus pada Mei 30, 2008

Apa yang menyebabkan virus berjenis VBScript ini kian diminati para pembuat virus? Apa saja yang dapat dilakukan oleh virus ini dan bagaimana cara membasminya? Ikuti bahasannya kali ini. Arief Prabowo

SEORANG pembuat virus dapat menciptakan virus jenis VB-Script hanya dengan bermodalkan Notepad. Bisa membuatnya dari nol ataupun memodifikasi dari virus yang sudah ada. Namun masih ada cara yang lebih mudah lagi, yakni menggunakan program virus generator. Jika dahulu, ada programer dari Argentina dengan nick name [K]alamar, pembuat VBSWG (VBS Worm Generator) yang sangat terkenal, kini ada pembuat virus lokal yang juga ingin mengikuti jejaknya dengan membuat Generator virus berjenis VBScript ini.


Vir.VBS Generator

Pembuat Virus Generator tersebut menamakannya sebagai Vir.VBS Generator, PCMAV mengenalnya sebagai Gen.VirVBS. Dibuat menggunakan Visual Basic. Ukuran dari program tersebut cukup kecil, sekitar 64.512 bytes dalam keadaan terkompresi menggunakan UPX. Generator ini mengklaim dirinya dapat menghasilkan virus yang memiliki beberapa kemampuan, mulai dari teknik stealth, encryption, time-bomb, hingga polymorphic.

Virus generator ini memiliki user interface yang terbilang simpel. Pengguna akan disuguhkan beberapa opsi atau pengaturan. Mulai dari pengaturan nama virus, nama file induk virus, lokasi penyebaran, penyamaran, dan juga pertahanan. Hanya cukup memilih opsi yang diinginkan dengan cara mencentangnya ([1]), lalu menekan tombol Create, tak lama kemudian virus baru akan tercipta. Ya, hanya semudah itu membuatnya.

Lokasi Penyebaran

Seperti yang tertulis pada program tersebut, ia memiliki beberapa lokasi penyebaran, di antaranya adalah Flash Disk, Drive, Folder Root, Folder II (Up), Folder III (Up), My Documents, Nethood, Windows, dan Recent Folder. Tapi tetap, ia memiliki file induk utama yang akan ia tempatkan pada direktori Application Data (X:\Documents and Settings\%username%\Application Data) dan Favorites (X:\Documents and Settings\ %username%\Favorites) dengan nama file yang telah diset oleh pembuatnya sebelumnya. Lalu membuat item Run baru di Registry HKCU\Software\Microsoft\Windows\Current Ver-sion\Run\%NamaFileInduk% agar dapat aktif otomatis pada saat kali pertama memulai Windows.

· Flash Disk. Ia akan membuat dua buah file, yakni autorun. Inf dan satu file induk yang namanya mengikuti apa yang telah diset sebelumnya oleh pembuatnya. Ini gunanya untuk menyebarkan diri saat user mengakses drive tersebut.

· Drive. Pada tubuh virus tersebut, ia memiliki procedure “SerangDrive(Lokasi)”, yakni sang virus akan mencoba menyerang beberapa drive mulai dari drive C hingga G. Jika drive tersebut terdapat di komputer Anda dan dapat ditulisi, ia akan membuat kopian atas dirinya pada drive tersebut.

· Folder Root, Folder II (Up), Folder III (Up). Maksudnya, virus ini akan meng-copy-kan dirinya ke root folder, subfolder satu tingkat di bawahnya, dan sub-folder dua tingkat di bawahnya.

· My Documents, Nethood, Windows. Virus ini memerintahkan untuk menyerang direktori My Documents, Nethood, dan Windows. Juga dengan menggunakan nama file yang telah diset sebelumnya.

· Recent Folder. Ini akan menyerang folder Recent atau folder yang berisi shortcut yang mengarah kepada dokumen yang terakhir dibuka. Yang dilakukan virus ini, ia akan membuat shortcut atas dirinya pada folder Recent, jadi saat Anda membuka menu Documents (Start > Documents) akan terdapat shortcut yang mengarah kepada file virus.

Duplikat File

Pembuat virus dapat menentukan extension file mana saja yang akan diserang, di antaranya doc, xls, ppt, rtf, rar, zip, mp3, pdf, jpg, gif, bmp, docx, xlsx, dan pptx. Apabila ditemukan file dengan extension yang dipilihnya itu, maka virus itu akan membuat duplikat dengan nama yang sama dengan file yang ditemukannya itu hanya saja ia memiliki extension .vbs. Dan file aslinya, akan diberi attribut hidden dan system sehingga tidak terlihat pada explorer.

Stealth

Ia pun dapat menyamarkan diri dengan menggunakan icon dari dokumen lain. Pada program Virus Generator ini terdapat opsi “Penyamaran icon VBS” dengan pilihan extension, antara lain doc, xls, ppt, rar, zip, rtf, mp3, jpg, gif, dan bmp.

Misalkan extension yang dipilih adalah doc, maka nantinya saat komputer terinfeksi oleh virus ini, icon dari setiap file .vbs akan berubah menjadi icon seperti dokumen Microsoft Word (doc). Cara yang dilakukannya tentu saja dengan bantuan Registry, yakni dengan mengambil nilai dari DefaultIcon untuk extension doc yang seterusnya ia pakai untuk DefaultIcon untuk extension vbs. Tidak hanya itu, ia juga mencontek Type Information dari extension doc, jadi pada Explorer, setiap file vbs, Type Information nya akan terbaca sebagaimana file doc, yakni Microsoft Word Document bukan lagi sebagai VBScript Script File. Apalagi untuk menambah penyamarannya ia pun membuat sebuah value baru lagi dengan nama NeverShowExt pada extension vbs. Ini membuat explorer tidak akan menampikan extension dari setiap file vbs. Tentu ini akan semakin mempersulit user dalam membedakan antara virus dan dokumen asli.

Restriction

Demi mempertahankan kelangsungan hidup virus hasil buatannya, Generator ini memiliki opsi untuk memblokir program atau fitur Windows yang dikehendaki, seperti Task Manager, Registry Editor, MsConfig, Command Prompt, dan Attrib. Jadi, misalkan user menjalankan program Task Manger (taskman.exe),

Windows malah akan menjalankan Notepad yang berisi bahasa binary yang merupakan isi dari file taskman.exe.

Selain itu, akses terhadap menu Find/Search dan Folder Options akan dihilangkan. Tapi sebelumnya, ia akan mengeset Folder Options untuk tidak menampilkan file dengan attribut hidden dan system, dan tidak menampilkan extension yang dikenal Windows. Dan terdapat pula opsi “Disable Merge Reg”, “Disable Install Inf”, dan “Disable Edit Vbs”. Maksudnya, user tidak akan bias melakukan Merge pada file Registry (.reg), tidak bisa melakukan Install pada file .inf, dan tidak bisa melakukan edit terhadap file.vbs. Karena bila user melakukannya, virus ini akan me-logoff komputer dengan memanggil file logoff.exe milik Windows.

Polymorphic
Pembuat generator ini lebih tepatnya menamakannya sebagai “Polimorfi g CRC”. Dari penulisannya saja sudah salah, tapi apakah rutinnya juga salah? Perlu diketahui sebelumnya, bahwa jika rutin virus ini dibuka, pada bagian atas source code atau tubuh virus akan terdapat string “Rem Sega3971486091”. Kata Sega di sini merupakan nama virus, dan ini akan tergantung pada apa nama virus yang dibuat saat itu, sementara angka numerik di belakangnya merupakan bilangan acak. Dan yang dilakukan virus ini untuk ber-polymorphic adalah dengan cara menggenerate ulang nilai random yang nantinya akan menggantikan nilai random yang sudah ada sebelumnya di awal badan virus itu.

Encryption
Untuk mempersulit pendeteksian, Vir.VBS Generator ini memiliki kemampuan untuk mengenkripsi virus buatannya. Untuk mendekripnya pun cukup menggunakan rutin decryptor yang ada pada tubuhnya. Enkripsi yang digunakan adalah sandi geser atau Caesar Cipher yang digunakannya ditambah dengan teknik reverse atau membalik kata/kalimatnya. Misalkan string “WScript.Shell” akan menjadi “mmfi T/uqjsdTX”.

Time-Bomb
Pembuatnya dapat mengeset tanggal dari bom waktu. Apabila tanggal sesuai, virus tersebut akan membuat item Run baru di Registry yang memanggil perintah logoff dan shutdown yang dijalankan saat memulai Windows. Jadi, user akan sulit untuk login pada tanggal tersebut. Selain itu, ia pun akan mencoba membaca folder Recent untuk menghapus file–file yang baru saja Anda buka. Jadi, berhati–hatilah.

Gunakan PCMAV!
Anda tidak perlu repot untuk membasmi Vir.VBS Generator atau bahkan virus hasil buatannya. Karena PCMAV yang telah disempurnakan ini, dapat mengenali sekaligus membasminya secara tuntas dan akurat.

11 Tanggapan to “VBSCRIPT VIRUS GENERATOR”

  1. arie said

    saya telah membaca dengan saksama tulisan anda,kalau bisa saya ingin meminta petunjuk dan cara pembuatan Virusnya dan cara penanggulangannya yang akurat.. maklumlah saya baru ingin memulai belajar. Harap bantuannya
    email: arietopenrank@gmail.com

  2. homi_suck said

    conflicker !!!!! pls help me ….minta pencerahan tentang virus ini bosssssssssssssssssssssssssss

  3. Bidak said

    Dimana mencari Generatornya?

  4. camp said

    bos di mana ya gua harus dapatin vir vbs generatornya…

  5. camp said

    susah banget ne bos cari nya…
    atau bisa kirim ngak ke imaell gua…
    thank ya bos..
    camp_luck@yahoo.com

  6. camp said

    bos gw dah dapat neh…
    oia bos gw numpang promosi yah..
    makasih bos…

    TEMAN2 MAU vir vbs generatornya NGAK..
    PASTI MAU DONG..
    KUNJINGI AJA EMAIL GUA..OK
    NE..

    CAMP_LUCK@YAHOO.COM

    NTAR GUA KIRIMIN DEH…
    OKE..

    SALAM MESRA GUA BUAT HACKER DI PADANG…
    MOGA BERJAYA SELALU…

  7. Hikmy said

    gimana cara menghapuz Aang.vbs yang sudah masuk di PC,,,
    di C-Windowns-system32-aang.vbs
    file itu ga bsia di delete,,,

  8. ambimax said

    Pembuat dan pembasmi Virus terus berlomba dan terus berkembang, jadi ga ada Virus yang hebat dan ga ada anti Virus yang sempurana, sebab membuat virus dan anti virus sama sama dibuat dengan bahasa pemprograman yang sama….. (thanks)

  9. roedhy Japankerz said

    bos kirimin Q juga donk Vir.VBS Generator nya,
    ni alamatnya

    roedhygolkil@yahoo.co.id

  10. kurosagi said

    cara bikin vbs otomatis jalan di flash disk gimana c??
    ga maksud jahat koq, cuma colongan dikit….

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: