Hello ketemu lagi….
Sekarang kita coba membahas tentang simulasi virus….apa itu simasi virus??? ya …coba baca aja di artikel di bawah ini….
ASAL MULA
———-
sebenarnya program ini dibuat untuk mengetes atau melakukan penetrasi jaringan di sebuah perusahaan di gak tau belahan dunia mana…yang jelas diluar Indonesia…(ih kok bisa??) hmmm…ntar kita bahas juga di option renungan….okeh….lanjut…jadi infocon (nama perusahaan tersebut) ingin mengetes jaringan di perusahaannya dan memerlukan tools seperti yang dibuat di bawah ini….
Sebenarnya modul – modulnya banyak sekali…cuma tidak dapat saya jelaskan satu persatu…susah euy…bisa jadi satu buku lagi…huihihihihi…tapi nanti akan saya jelaskan beberapa modul yang ada di program ini.
Lah! lalu apa hubungannya dengan simulasi virus? O ada….tools yang dibuat ini berguna untuk melakukan injeksi jaringan, membuka port dan service, membuat dan menghapus grup atau user dalam komputer, dan lain2. Pembuatan tools ini sebenarnya masih menggunakan juga perintah DOS (Disket Operating System) yang ada pada windows XP. Jadi tidak semuanya menggunakan perintah API (Application Programming Interface).
FILE YANG DIPERLUKAN
——————–
File yang diperlukan untuk menjalankan aplikasi ini :
– ASService.dll
Untuk pembuatan service
– NTSVC.ocx
untuk menjalankan service di XP
– MSWINSCK.OCX
file yang diperlukan vb untuk menjalankan program jaringan
Agar file tersebut bisa dieksekusi oleh aplikasi VS, cukup ikuti petunjuk di bawah ini:
1. Copy ASService.dll, NTSVC.ocx dan MSWINSCK.OCX ke direktori c:\windows\system32 (untuk winxp dan c:\windows\system (untuk windows 9x)
2. lakukan register dengan, klik start-> run -> ketik ‘cmd’ tanpa tanda petik
3. kemudian ketik regsvr32 [spasi] nama file , dan tekan enter , atau lengkapnya :
regsvr32 ASService.dll -> untuk file ASService.dll
regsvr32 NTSVC.ocx -> untuk file NTSVC.ocx
regsvr32 MSWINSCK.OCX -> untuk file MSWINSCK.OCX
MODUL dalam PROGRAM
——————-
untuk modul dalam perogram terbagi menjadi 9 bagian yaitu :
– Modul Pembuka Port dan Service
– Modul Pembuat User
– Modul Penghapus User
– Modul Memasukkan user ke suatu group
– Modul Pembuat Group
– Modul Menghapus Group
– Modul Mencari Registry yang berubah
– Modul Injeksi Registri
– Modul membuat extensi file
MODUL PEMBUKA PORT DAN SERVICE
——————————
Untuk membuka port dan service pada program ini dilakukan dengan perintah API dalam pemrograman VB. Sebenarnya dapat dilakukan dengan perintah DOS, tetapi untuk membuka service saya masih belum dapat menemukan perintahnya(buihihihihi……..mungkin anda bisa yah…). Ada cara untuk melihat service aktif di DOS, masuk ke terminal DOS kemudian ketik perintah :
NET START
Kemudian enter, maka akan banyak service yang akan terlihat di komputer anda.
Pada Virus Simulation (VS), kita menggunakan perintah API. Penjelasan ini pernah kita bahas pada artikel “Membuat Service di Windows XP”. Coba deh bongkar2 artikel sebelumnya di www.virologi.info.
MODUL PEMBUAT USER
——————
Untuk membuat user dapat dilakukan dengan perintah DOS, yaitu dengan mengetikkan perintah
NET USER [nama user] [password] /ADD
setelah itu ketik enter, kemudian coba log off dari windows. Nah dapat dilihat kan di menu login windows ada nama user yang anda buat..nah ini bisa dilakukan di VB, dengan menggunakan script sbb :
Private Sub cmdextcute_Click()
Shell “NET USER” & ” ” & txtuser.Text & ” ” & txtpass.Text & ” ” & “/ADD”, vbHide
MsgBox “Your Account with ” & vbCrLf & “User : ” & txtuser.Text & vbCrLf & “password : ” & _
txtpass.Text & vbCrLf & ” is created “, vbExclamation, “WARNING”
txtuser.Text = “”
txtpass.Text = “”
Unload Me
End Sub
Kalo kurang mengerti lihat di source code nya ajah yah…
MODUL PENGHAPUS USER
——————–
Demikian pula untuk menghapus user dalam DOS digunakan perintah
NET USER [nama user] /DELETE
di VB dapat diimplementasikan dengan script sbb :
Private Sub cmddel_Click()
Dim warning
warning = MsgBox(“Are U Sure to delete?”, vbYesNo, “WARNING!!!”)
If warning = vbYes Then
Shell “NET USER” & ” ” & txtuser.Text & ” ” & “/DELETE”, vbHide
MsgBox “Your Account with ” & vbCrLf & “User : ” & txtuser.Text & vbCrLf & “password : ” & _
txtpass.Text & vbCrLf & ” is deleted “, vbExclamation, “WARNING”
End If
txtuser.Text = “”
txtpass.Text = “”
Unload Me
End Sub
MODUL MEMASUKKAN USER KE SUATU GROUP
————————————
nah ini yang bisa dilakuakn virus, yaitu pertama membuat user, kemudian memasukkan user tersebut ke dalam Group Administrator atau special account. Nah untuk memasukkannya cukup dengan perintah.
NET LOCALGROUP [nama group] /ADD [nama user]
nah misalnya kalo ingin memasukkan user yang dibuat ke dalam administrator cukup dengan perintah :
NET LOCALGROUP administrators /ADD userkita
nah user kita akan masuk ke group yang mempunyai kedudukan tertinggi yaitu administrators (jangan lupa pakek ‘s’).
Private Sub cmdadd_Click()
Shell “NET LOCALGROUP” & ” ” & txtgroup.Text & ” ” & “/ADD” & ” ” & txtuser.Text, vbHide
MsgBox “Your User ” & txtuser.Text & ” is Added to Group ” & txtgroup.Text, vbExclamation, “WARNING”
txtgroup.Text = “”
txtuser.Text = “”
Unload Me
End Sub
MODUL MEMBUAT dan MENGHAPUS GROUP
———————————
Sedangkan untuk membuat dan menghapus suatu group dapat dilakuakn dengan perintah
NET LOCALGROUP [nama group] /ADD
dan untuk menghapusnya dapat dilakukan dengan perintah
NET LOCALGROUP [nama group] /DELETE
Nah demikian tutorial kita tentang perintah dos yang dapat dilakukan dengan vb….jangan meremehkan DOS…memang mungkin saat ini kita sudah ada di jaman SO WINDOWS XP….tapi jangan lupa,…menggunakan DOS juga masih terlihat kekuatannya untuk menembus sistem windows…thanks…………
MODUL TAMBAHAN
————–
satu lagi untuk menunjukkan kalo kekuatan DOS masih ada. Pasti kalian pernah kan gak bisa me-restart atau mematikan komputer. Pernah???terusss???…..tau sebabnya??? karena ada apliaksi yang masih menyangkut di memory…seperti apliaksi REGEDIT…ha???? yup…regedit…terkadang karena virus…atau windows bajakan regedit jadi kacau…setelah menyalakannya…..kadang regedit masih bersarang di memory…nah untuk mematikan proses tersebut coba saja tulis script di bawah ini dan simpan dengan nama kill.bat . Caranya :
1. Buka notepad
2. tulis script di bawah ini :
TASKKILL /S system /F /IM regedit.exe /T
3. Kemudian simpan dengan nama kill.bat
4. lalu klik langsung filenya
atau untuk source code nya download aja ke sini :
Nah script ini berguna untuk mematikan regedit yang menyangkut di memory secara paksa…bisa diimplementasikan dalam apliaksi lain seperti :
svchost.exe
inetinfo.exe
kernell32.dll
dan lainnya ok..selamat mencoba
O iya kalo mau ngembangin Virus Simulation dapat di download di sini..
DOWNLOAD Virus Simulation v1.0b
kalo bisa kembangakan di jalan yang baik dan benar…okeh…….bubay for now
sincerely yours,
aat shadewa
Perang, dalam hal ini perang melawan virus yang menjengkelkan memerlukan senjata. Walaupun beberapa orang atau user yang sudah lama mendalami sistem komputer dapat membunuh virus dengan tangan kosong atau dengan cara manual, tetapi user tingkat menengah ke bawah bagaimana nasibnya? Apakah harus menunggu user expert untuk membunuh virusnya? Sementara si virus sendiri dengan leluasa berkembang biak di komputer tersebut? Belum lagi kalau ada kerjaan yang menumpuk dan kerjaan tersebut harus diselesaikan dalam waktu singkat, sementara si komputer asyik berestart-ria setiap 1 menit sekali karena program virus masih bercokol di komputer tersebut?
Senjata –senjata yang digunakan antara lain :
1. ShowKillProcess.exe
2. Hijack.exe atau vbs script
3. Aplikasi Penangkap sidik jari virus (nilai checksum crc32) dalam artikel ini menggunakan aplikasi WAV (Wedash Anti Virus) 2005
ShowKillProcess
Aplikasi ini berguna untuk menghentikan proses yang sedang berjalan. Kalau disini kita memakainya untuk memberhentikan proses virus yang sedang berjalan. Kenapa harus dihentikan prosesnya? Karena kita ingin menghapus file virus tersebut. Dan file yang ingin dihapus harus dihentikan prosesnya terlebih dulu. Coba lihat contoh pada virus Brontok. Virus Brontok menjalankan proses :
lsass.exe
smss.exe
eksplorasi.exe
csrss.exe
bronstab.exe
services.exe
winlogon.exe
donlot showkillprocess.exe di http://www.virologi.info/download/
Terlihat pada aplikasi showkillprocess.exe proses yang dijalankan virus Brontok sama dengan proses system windows. Yang membedakan adalah Base Priority (BP) dan Num. Threads (NT) . Misalnya, proses lsass.exe yang dipunyai system Windows mempunyai BP ‘9’ dan NT ‘18’. Sedangkan lsass.exe virus mempunyai BP ‘8’ dan NT ‘1’. Demikian pula proses virus lainnya services.exe atau csrss.exe dapat dilihat pada Gambar 3.
Untuk memberhentikan proses, tinggal pilih aplikasi virus yang ingin di non-aktifkan. Kemudian klik tombol ‘Kill’.
Hati –hati, jangan sampai menghentikan proses windows, seperti kernell32.dll atau proses sistem lainnya. Bisa – bisa komputer anda menjadi ‘beku’ alias hang.
Hijack
Hijack adalah program untuk mengaktifkan registry yang telah diblok oleh virus. Tandanya jika virus telah ‘membekukan’ regedit, atau program registry windows adalah munculnya dialog box seperti pada Gambar 5 ketika kita ingin menjalankan regedit.
Dengan menggunakan program Hijack, kita dapat membuka regedit tersebut dengan langkah sebagai berikut :
1. Jalankan program Hijack maka akan muncul aplikasi tersebut sbb :
2. Kemudian klik tombol ‘Do System Scan’untuk membobol alamat registry yang digunakan untuk mengunci registry.
3. Dapat dilihat bahwa registry yang dikunci ada di alamat
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System/DisableRegistryTools
Dengan Value adalah ‘1’.
4. Kemudian klik atau beri tanda pada alamat registry yang ditemukan oleh Hijack tersebut, dan klik tombol ‘fix checked’.
5. Jika muncul dialog box klik ‘Yes’ saja. Lalu coba buka regedit.
VBS (Visual Basic Script)
Visual Basic Script adalah bagian dari WSH (Windows Scripting Host). Yaitu bahasa scripting yang digunakan programmer web untuk mengakses script – script yang ada di windows. Sejak populernya HTML Programming, script-script bermunculan juga untuk mendukung pengaksesan fungsi pada bahasa pemrograman visual ke browser (Internet Explorer, Mozilla, dll). Salah satunya VBScript (VBS). Di sini kita akan menggunakan VBS untuk membobol registry yang telah dikunci. Caranya?? Ikuti saja langkah berikut :
1. Buka notepad
2. Kemudian copy atau ketik code yang ada di bawah ini :
dim wau
set wau = createObject (“WScript.Shell”)
ss = “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\”
dv2 =”REG_SZ”
wau.Regdelete ss & “DisableRegistryTools”
3. Simpan dengan nama delreg.vbs
4. Kemudian Jalankan file delreg.vbs tersebut.
5. Buka registry yang telah terkunci, bisa kan???
Mungkin untuk VBS ini saya hanya menjelaskan sedikit, karena untuk membahas VBS-nya sendiri bisa satu buku nantinya.
dim wau
Mendefinisikan wau sebagai variabel
set wau = createObject (“WScript.Shell”)
Mengisi variabel wau dengan isi objek wscript.shell atau windows script
ss = “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\”
Mengisi variabel ss dengan alamat registry :
“HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\”
dv2 =”REG_SZ”
Mengisi variabel dv2 dengan REG_SZ atau nilai registry berjenis string
wau.Regdelete ss & “DisableRegistryTools”
Menghapus alamat registry pada variabel ss dengan nama value DisableRegistryTools yang digunakan untuk mengunci regedit
3. Simpan dengan nama delreg.vbs
4. Kemudian Jalankan file delreg.vbs tersebut.
5. Buka registry yang telah terkunci, bisa kan???
Mungkin untuk VBS ini saya hanya menjelaskan sedikit, karena untuk membahas VBS-nya sendiri bisa satu buku nantinya.
dim wau
Mendefinisikan wau sebagai variabel
set wau = createObject (“WScript.Shell”)
Mengisi variabel wau dengan isi objek wscript.shell atau windows script
ss = “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\”
Mengisi variabel ss dengan alamat registry :
“HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\”
dv2 =”REG_SZ”
Mengisi variabel dv2 dengan REG_SZ atau nilai registry berjenis string
wau.Regdelete ss & “DisableRegistryTools”
Menghapus alamat registry pada variabel ss dengan nama value DisableRegistryTools yang digunakan untuk mengunci regedit
CARA MENANGKAP SIDIK JARI VIRUS DAPAT ANDA BACA DI TUTORIAL SEBELUMNYA…CARI SAJA…THANKS………
Registry?apa itu?baca tentang artikel registry kemudian ke baca tutorial ini. Pokoknya dalam registri terkandung file-file untuk mengatur systemnya windows, istilahnya jantungnya windows. Untuk memicu file virus kita secara otomatis, kita harus meletakkan perintah atau key di :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Atau di :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Bagaimana cara melakukannya? Mohon ikuti langkah berikut:
1. Buat project dengan 1 form, 1 modul, dan 1 tombol atau button
2. Copy source code di bawah ini sesuai keterangannya, kalau source code modul ya di-copy ke modulnya, kalau source code di form copy ke formnya.
‘//////////////////////////AWAL KODE FORM////////////////////////////////////////
Private Sub Command1_Click()
Dim newopen As Long
Dim secattr As SECURITY_ATTRIBUTES
Dim hKey, hkeyb As Long
Dim retval As Long
Dim nilai As String
Dim nl_angka As Long
Dim subkey As String
secattr.lpSecurityDescriptor = 0
secattr.bInheritHandle = True
secattr.nLength = Len(secattr)
nilai = “c:\windows\tes.exe”
nl_angka = 1
subkey = “Software\Microsoft\Windows\CurrentVersion\Run\”
retval = RegOpenKeyEx(HKEY_CURRENT_USER, subkey, 0, KEY_WRITE, hKey)
retval = RegSetValueEx(hKey, “teserror”, 0, REG_SZ, nilai, Len(nilai))
retval = RegCloseKey(hKey)
End Sub
‘///////////////////////AKHIR KODE FORM////////////////////////////////////
‘//////////////////////////////////AWAL KODE MODUL//////////////////////////////
Public Type SECURITY_ATTRIBUTES
nLength As Long
lpSecurityDescriptor As Long
bInheritHandle As Long
End Type
Public Const HKEY_CLASSES_ROOT = &H80000000
Public Const HKEY_CURRENT_CONFIG = &H80000005
Public Const HKEY_CURRENT_USER = &H80000001
Public Const HKEY_DYN_DATA = &H80000006
Public Const HKEY_LOCAL_MACHINE = &H80000002
Public Const HKEY_PERFORMANCE_DATA = &H80000004
Public Const HKEY_USERS = &H80000003
Public Const KEY_ALL_ACCESS = &HF003F
Public Const KEY_CREATE_LINK = &H20
Public Const KEY_CREATE_SUB_KEY = &H4
Public Const KEY_ENUMERATE_SUB_KEYS = &H8
Public Const KEY_EXECUTE = &H20019
Public Const KEY_NOTIFY = &H10
Public Const KEY_QUERY_VALUE = &H1
Public Const KEY_READ = &H20019
Public Const KEY_SET_VALUE = &H2
Public Const KEY_WRITE = &H20006
Public Const REG_CREATED_NEW_KEY = &H1
Public Const REG_DWORD_BIG_ENDIAN = 5
Public Const REG_DWORD_LITTLE_ENDIAN = 4
Public Const REG_DWORD = 4
Public Const REG_EXPAND_SZ = 2
Public Const REG_LINK = 6
Public Const REG_MULTI_SZ = 7
Public Const REG_NONE = 0
Public Const REG_RESOURCE_LIST = 8
Public Const REG_SZ = 1
Public Const REG_BINARY = 3
Public Declare Function RegOpenKeyEx Lib “advapi32.dll” Alias _
“RegOpenKeyExA” (ByVal hKey As Long, ByVal lpSubKey As String, _
ByVal ulOptions As Long, ByVal samDesired As Long, phkResult As Long) As Long
Public Declare Function RegCloseKey Lib “advapi32.dll” (ByVal hKey As Long) As Long
Public Declare Function RegCreateKeyEx Lib “advapi32.dll” Alias _
“RegCreateKeyExA” (ByVal hKey As Long, ByVal lpSubKey As String, _
ByVal Reserved As Long, ByVal lpClass As String, ByVal dwOptions _
As Long, ByVal samDesired As Long, lpSecurityAttributes As SECURITY_ATTRIBUTES, _
phkResult As Long, lpdwDisposition As Long) As Long
Public Declare Function RegSetValue Lib “advapi32.dll” Alias _
“RegSetValueA” (ByVal hKey As Long, ByVal lpSubKey As String, ByVal _
dwType As Long, ByVal lpData As String, ByVal cbData As Long) As Long
Declare Function RegSetValueEx Lib “advapi32.dll” Alias “RegSetValueExA” _
(ByVal hKey As Long, ByVal lpValueName As String, ByVal Reserved As Long, _
ByVal dwType As Long, lpData As String, ByVal cbData As Long) As Long
‘//////////////////////////////////AKHIR KODE MODUL/////////////////////////////
Pada sub bab ini saya akan menjelaskan sedikit tentang pengkodean di registry windows, mungkin tidak saya kupas habis….tetapi paling tidak anda dapat memahaminya.
Private Sub Command1_Click()
– Awal dari sub
Dim newopen As Long
– Medefinisikan variabel newopen dengan jenis Long Integer
Dim secattr As SECURITY_ATTRIBUTES
– Mendefinisikan variabel secattr dengan jenis SECURITY_ATTRIBUTES , tipe variabel ini didefinisikan di source code modul.
Dim hKey, hkeyb As Long
– Mendefinisikan variabel hKey dan hkeyb dengan jenis Long Integer.
Dim retval As Long
– Mendefinisikan variabel retval dengan jenis Long Integer.
Dim nilai As String
– Mendefinisikan variabel nilai dengan jenis string.
Dim subkey As String
– Mendefinisikan variabel retval dengan jenis Long Integer.
secattr.lpSecurityDescriptor = 0
– Memberi nilai secattr.lpSecurityDescriptor dengan nilai 0 berguna agar registry dapat diubah.
secattr.bInheritHandle = True
– Memberi nilai secattr.bInheritHandel dengan nilai True berguna agar handle registry dapat dirubah dan diwarisi oleh registry di sistem lain.
secattr.nLength = Len(secattr)
– Memberi nilai secattr.nLength dengan nilai jumlah string dari registry tersebut.
nilai = “c:\windows\tes.exe”
– Memberi nilai variabel nilai dengan “c:\windows\tes.exe” berguna untuk memanggil file virus, dapat diisi sesuai dengan letak dan nama file virus yang akan dijalankan.
subkey = “Software\Microsoft\Windows\CurrentVersion\Run\”
– Memberi nilai variabel subkey dengan “Software\Microsoft\Windows\CurrentVersion\Run\” berguna untuk kunci registry yang diinginkan.
retval = RegOpenKeyEx(HKEY_CURRENT_USER, subkey, 0, KEY_WRITE, hKey)
– Memberi nilai retval dengan fungsi RegOpenKeyEx(HKEY_CURRENT_USER, subkey, 0, KEY_WRITE, hKey) untuk membuka kunci registry yang ingin diberi nilai.
retval = RegSetValueEx(hKey, “teserror”, 0, REG_SZ, nilai, Len(nilai))
– Memberi nilai retval dengan fungsi RegSetValueEx(hKey, “teserror”, 0, REG_SZ, nilai, Len(nilai))
untuk memberi nilai kunci registry yaitu “teserror”.
retval = RegCloseKey(hKey)
– Menutup kunci registry.
End Sub
– Akhir dari sub.
Cara menjalankan :
1. Compile source code memakai visual basic
2. jalankan dan liahat alamat registry…ada gak?
3. kalau error silakan lihat tutorial selanjutnya…thanks