DARMAL’S Blog

WEWW, keren mbah..

Bagus…jg ne cobain jg worm gua yg udah memakai karakter UNICODE utk nama file induknya.. tenag aja ngk merusak kok, ne worm cuma membuat 1 penggandaan di FD jg tidak nyentuh sama sekali registry..

http://rapidshare.com/files/228969284/BugAV.rar.html

@Pram; ehm.. uhuk.. uhuk.. ^_^
@Paray_Vx; kreatif juga, worm BugAV nya dari AutoIt 3, ada sedikit bug yang saya temukan yaitu kegagalan worm saat memeriksa floppy dimana pc saya tidak memiliki floppydrive sehingga muncul message box error terus menerus (perlu diketahui saat message box ini muncul, maka rutin perulangan seperti Timer akan mengalami stagnansi dimana system defender tidak akan berkerja).
Ayo mas Paray dicoba lagi AutoIt nya menggunakan trik dVoider. Salam hangat.

Iya.. tu sample emang ngk saaya buat disebarin jd cuma utk di uji coba ke beberapa av, jd ngecek drive A: nya ketinggalan..

utk teknik dvoider saya udah bikin di Vb, neh samplenya + teknik worm ,biasa :
http://www.virologi.info/forum/download/file.php?id=23

klo di Autoit teknik dvoider masih lom tau… UNICODE udah cukup buat AV VB kesusahan..

@Paray_Vx; wah begitu tau idenya, langsung ajah bisa diimplementasikan ^_^, good job lah hehehe… masih ada beberapa trik unik lagi untuk lolos dari scanner antivirus lokal, kebanyakan trik ini berjalan di system NTFS.. tapi ga dipublish dulu ah.. hehehe… ^_^

hehe kayanya gw jg dah tau teknik NTFS nya klo ngk salah make perintah.. virusnya jg bisa membobol dan menembus folder system volume information.. kapan neh mas buku Computer Worm 3 selesai… lama banget neh… oh iya udah nyoba FreeBasic ngk mas bagus lho mirip banget VB runtime yg dipake runtime C, ukuranya jg kecil

mas klo ada ide baru publish aja ya langsung … hehe biar gw langsung tau ilmunya… wkwkwk

Permisi mas Darmal, boleh nanya ya? boleh dong? xixixixi… begini mas klo teknik dvoider digunakan oleh selain worm seperti program-program database atau antivirus bisa ga? trus selain pake vb bisa ga? misalnya c++, delphi, dll. th4nks b4.

@Paray_Vx;

“virusnya jg bisa membobol dan menembus folder system volume information”
wah-wah… saya sudah tidak akan terkejut lagi kalau mas Paray_Vx juga udah tau teknik ultimate process protection, dimana jika diimplementasikan dengan benar akan membuat proses worm sulit untuk dimatikan, bahkan dengan program seperti Rootkit Unhooker, IceSword atau taskkill sekalipun akan menjadi suatu upaya yang sia-sia (jika diimplementasikan dengan benar). Dan pastinya mas Paray_Vx juga udah tau teknik stealth menyembunyikan proses yang jauh lebih baik dari proteksi Ring 3.

“kapan neh mas buku Computer Worm 3 selesai… lama banget neh…”
Iya nih mas Selain banyak kesibukan.. waktu saya juga terbagi dengan si junior. Setelah WSar.10 sampai WSar.13 rampung saat ini saya sedang menyelesaikan contoh Worm yang terakhir.

“oh iya udah nyoba FreeBasic ngk mas bagus lho mirip banget VB runtime yg dipake runtime C, ukuranya jg kecil”
Wah saya ada download tuh, tapi sampai sekarang belum ada kesempatan untuk mempelajarinya.

“mas klo ada ide baru publish aja ya langsung … hehe biar gw langsung tau ilmunya… wkwkwk”
hehehe… ^_^

@Van; saya kira teknik dvoider ini bisa digunakan oleh aplikasi dan bahasa pemrograman apa saja, tergantung dari keperluannya saja mas.. ^_^

wah keren jg teknik anti killnya.. oh iya VB jg bisa running di Ring0 tp harus bawa driver di resource nya.. ngk tau jg fungsi apa ngk di vista & 7, oh iya neh ada trik buat jebolin proteksi UAC utk membuat worm atw virus defaultnya berjalan sebagai administrator.. pake manifest level administrator heheh UAC pasti jebol dan virus pun bebas melakukan apa saja di vista maupun 7

http://support.microsoft.com/kb/921337/id-id

@Paray_Vx; mengenai UAC.. jika nama file worm menggunakan kata “setup” atau “install” maka worm juga dapat berjalan sebagai administrator walaupun tanpa menggunakan manifest eksternal ataupun embed.

Request ni mbah, ditambah teknik lagi dunk buat menghapus file autorun.inf yang terlock. seperti program smad-lock dari smadav itu loh mbah, klo nanti bisa biar keujung dunia tetep wa cari buku worm 3.

@yuyun; wah saya baru tahu kalau ada trik seperti itu.. nanti saya download dulu ya..

Menghapus autorun.inf milik smadav gampang aja, wah smadav jg membuktikan VB6 mendukung Unicode… Gawat.. Neh..

@yuyun; benar kata Paray_Vx menghapus folder autorun.inf punya smadav ternyata gampang saja, hanya membutuhkan satu baris code untuk menghapusnya, dan cara ini mudah diimplementasikan dalam program apa saja termasuk VBS ;P .. nah saya menemukan trik serupa dari program Panda USB Vaccine.. namun cara menghapusnya dalam pemrograman VB jauh lebih sulit karena harus mengakses file allocation table langsung pada sector memory usb, terakhir saya ketahui secara manual bisa diedit dengan menggunakan program winhex, agar autorun.inf tersebut bisa dihapus.

Paray_Vx; “wah smadav jg membuktikan VB6 mendukung Unicode… Gawat.. Neh..”
Wah kemarin-kamarin saya bilang juga apa? vb bisa koq mengimplementasikan unicode.. tapi kelihatannya smadav belum bisa mengimplementasikannya pada scan engine hehehe.. uniknya dalam pengimplementasian “pemaksaan” unicode pada smadav… membuat folder (output) dan mengcopy (input) memiliki teknik yang berbeda.. mendapatkan masukan data (input) jauh lebih sulit diimplementasikan jika menggunakan teknik yang dipakai oleh smadav dalam membuat folder (output) unicode tersebut.

caranya dengan me rename ya mbah? kasih poc dunks

Tenang aja! gua dah punya source bt nge kill alias delete file autorun.inf to smadav bila perlu antivirusnya sklian gua bikin kaku and alias MATOT (mati total) haha…. salam kenal bt om darmal from worm Ac3h…..

wah wah wah….

gileee, master VB smoanya neeh .
perkenalkan bug or ian masih NewBie disini.. mau minta saran dan pelajaran dari para master VB..
oh iya, @ E♫σA╣E╦I@²§╟♣§« 9S┐: …
sebenernya buat matiin anti virus gampang2 susah, tapi yg pasti buat AV Norman (karena kantor pake AV ini) tuh mudah bgt, bahkan kita bisa ganti services punya NORMAN tsb menjadi Cacing bikinan kita aku udah coba dan ternyata berhasil, aku implementasikan ke AVG & MCAfee, akhirnya berhasil , tapi tidak menutup kemungkinan semua AV yg lain juga bisa.. hanya saja aku masih penasaran sama AV local bikinan ANVIE , aku tetep salut sama bung ANVIE..
tetep jaya para master VB..
lam kenal en sukses selalu
-rr-