Selasa, 09 November 2010

Masih Ada Aja Jenis Worm Kayak Gini Di Warnet

Ceritanya gw lagi maen di warnet langganan gw. Tapi ada yang aneh dengan Box Komputer yang gw pake coz Deep Freeze si beruang putih Notification Area-nya ada tanda silang merah yang berarti tuh Dip Pris gak berfungsi (ato sengaja gak difungsikan??? siapa yang tau). Yach paling cuma facebook gw aja yang kena kalo nih Box udah dipasangin sama KeyLogger, lanjut browsing n liat liat pesbuk aja deh sekalian donlot komik naruto..

Nah, pas udah selesai n gw mau akses flesdis pake laptop di rumah rupanya ada yang aneh dengan isi flesdis gw, rupanya ada worm (dan gw gak sadar kalo semua folder gw di hidden sama nih worm, syukur ketauan, kalo sampe lolos n masuk ke laptop bisa sedikit repot deh gw).

Ngebersihinnya sih gampang kalo masih di flesdis, cukup dengan search terus delete aja n yang terakhir tinggal dibalikin lagi yang udah di hidden dengan "Attrib -s -h", tapi gw teringat dengan Skripsi gw yang berjudul "Aplikasi Pendeteksi Worm Menggunakan Metode Checksum MD5 Dan Heuristik Icon Code", terus gw berpikir untuk ngeblog aja sekalian. Dan jadilah cerita tentang cerita aneh ini.. Hehehehee... Itung itung nginget nginget Skripsi dulu..

Oke deh, gw mulai..

Waktu pertama gw tau ada Worm langsung aja gw capture isi flesdis gw, ya seperti gambar di bawah ini


Sebenernya gambar diatas gak ada yang aneh kalo kita gak teliti, tapi coba perhatiin deh dengan letak folder foldernya (folder itu yang warna kuning... hehehe), kalo semua file normal pasti posisi folder ada dibarisan paling atas, tapi.. di flesdis gw kok ada folder yang ke bawah bawah letaknya terus letaknya gak beraturan pula.. Cara paling mudah ya kita liat Detail dari semua file sama foldernya, caranya klik Views lalu pilih Details seperti gambar di bawah


Hasilnya seperti gambar di bawah ini, nah kan foldernya ada yang tipe Applications


Untuk lebih jelas gw sortir tipe filenya dengan mengklik Type seperti gambar di bawah


Dan hasilnya.. Waw... Beneran deh ada Worm-nya, coba deh perhatiin tipe filenya (lihat gambar di bawah ini), mana ada icon folder tapi tipenya Application dengan size yang sama terus date modification-nya juga sama.


Langsung deh gw kompile file file mentah Skripsi gw menjadi senjata worm yang kacangan (walau yang ini masih ada kekurangannya coz yang bener bener jadi udah ilang), dan hasilnya "Worm Detection" yang dapat Anda Anda dan Anda pelototin seperti gambar di bawah ini yang gw buat dari bahasa pemrograman Visual Basic 6.0 yang handle error-nya (menurut gw) cukup baik untuk aplikasi portable. Silakan donlot aplikasinya di http://www.4shared.com/file/TBPgcSB6/AplikasiWormDetection.html


Tanpa basa basi langsung gw jalanin nih aplikasi terus gw pilih menu Signature, lalu pilih Worm Signature, terus klik tombol Add, terus pilih lokasi (disini gw pilih flesdis gw karena lokasi Worm ada di flesdis), pilih dulu menu Views lalu Details sebelum meng-klik tombol Open agar lebih jelas yang mana Worm-nya. Seperti gambar di bawah ini


Halah, rupanya nama Worm-nya cuma "???" alias tanda tanya doank (gak kreatip nih VM-nya.. Hehehehehe). Oke deh, untuk lebih banyak Signature-nya silakan pilih Icon Signature dan ikutin kayak pilihan Worm Signature di atas. Gw lebih suka pake Icon Signature. Kenapa? Karena Icon Signature lebih cepet terus kalaupun ada perubahan versi dari Worm-nya tetapi Worm ini masih menggunakan icon yang sama maka akan terdeteksi dengan Icon Signature ini, begitu juga dengan perubahan struktur Worm-nya karena struktur Icon-nya tidak akan berubah. Penambahan Worm Signature dan Icon Signature bisa di liat seperti 2 gambar di bawah



Oke, setelah ditambahin database-nya sekarang lanjut Scan, gw pilih Quick Scan aja karena gw sudah tau target Worm-nya. Pilih Menu Scan lalu Klik Quick Scan terus Pilih Browse, setelah keluar pilihan Methods pilih aja MD5 Checksum sama Icon Code Heuristic terus klik Next maka akan tampil menu Browse lalu pilih lokasi dan klik Ok. Kalo lokasi sudah selesai ya tinggal Klik tombol Scan yang ada di sebelah kiri, lalu proses Scan di mulai, tunggu aja sampe Finish.



Wow, ada 26 Worm yang masuk ke flesdis gw. Pilih Check All setelah itu bisa pilih Delete Atao Quarantine.


AKhirnya flesdis gw bersih lagi, foldernya juga sudah balik lagi seperti semula karena aplikasi ini mengembalikan semua yang di Hidden sama Worm-nya. Gw liat Details-nya juga semua sudah normal



Note :

Donlot aplikasinya di http://www.4shared.com/file/TBPgcSB6/AplikasiWormDetection.html


Aplikasi ini masih jauh dari sempurna, tetapi handle error-nya sudah lumayan baik dari yang sebelumnya, silakan diperbaiki atao diutak atik lagi dengan mendonlot source code-nya.

Referensi :

Planet Source Code
Hirin

Reactions: