Computer Worm 2 - Secret of Underground Coding
Computer Worm 2 - Secret of Underground Coding ©
Hak Cipta 2006 pada penulis
Hak Cipta dilindungi Undang-Undang. Dilarang memperbanyak atau memindahkan
sebagian atau seluruh isi buku ini dalam bentuk apapun, baik secara elektronis maupun
mekanis, termasuk memfotocopy, merekam atau dengan sistem penyimpanan lainnya,
tanpa izin tertulis dari Penulis dan Penerbit.I S B N 9 7 9 - 1 0 9 0 - 0 2 - 5 Cetakan pertama : Juli 2006
Publisher Address Jasakom PO BOX 6179 JKB
Web Site http://www.jasakom.com/penerbitan
Email [email protected] Ketentuan pidana pasal 72 UU No. 19 tahun 2002
1. Barang siapa dengan sengaja dan tanpa hak melakukan kegiatan sebagaimana dimaksud dalam pasal 2 ayat
(1) atau pasal 49 ayat (1) dan ayat (2) dipidana dengan pidana penjara paling singkat 1 (satu) bulan dan/atau
denda paling sedikit Rp. 1.000.000 (satu juta rupiah) atau pidana penjara paling lama 7 (tujuh) tahun dan/
atau denda paling banyak Rp. 5.000.000.000.00 (lima miliar rupiah).
2. Barang siapa dengan sengaja menyiarkan, memamerkan, mengedarkan, atau menjual kepada umum suatu
Ciptaan atau barang hasil pelanggaran Hak Cipta atau Hak Terkait sebagaimana dimaksud pada ayat (1), dipi-
dana dengan pidana penjara paling lama 5 (lima) tahun dan/atau denda paling banyak Rp. 500.000.000,00
(lima ratus juta rupiah)Computer Worm 2 Secret of Underground Coding
I S I C D P E N D U K U N G
Buku ini disertai dengan sebuah CD pendukung yang berisi film
tutorial sehingga pembaca bukan saja hanya membaca buku tetapi
juga bisa melihat langsung teknik pembuatan suatu worm komputer,
kemudian kumpulan source code / listing code yang digunakan pada
buku dan beberapa program pendukung sebagai berikut: DEMOWAREVM Ware
55.9 MB Virtual PC
17.1 MB DeepFreeze
2.06 MB ShadowUser
7.80 MB ASPack 297 KB UltraEdit
1.69 MB
FREEWARE A Squared HijackFree 497 KB CXUPX 419 KB Darmal’s Packer 730 KB DOS 7.10 765 KB DropFile Script Generator 21.5 KB HHD Hex Editor
2.07 MB Icon Sucker Std 658 KB KillBox 67,5 KB Petite 117 KB Process Explorer
1.24 MB Registrar Lite
2.28 MB Resource Hacker
1.32 MB UPX 1.25 163 KB UPX Mutanter
38.9 KB UPX Scrambler
17.5 KB UPX Windows GUI 199 KB
Computer Worm 2 - Secret of Undeground Coding : Uncensored
KATA PENGANTAR
Seiring dengan pesatnya kemajuan teknologi informasi khususnya di- bidang teknologi komputer dan jaringan, keamanan menjadi isu yang kerap kali dibahas, mulai dari ancaman langsung para cracker atau hacker jahat hingga ancaman yang dilakukan melalui suatu program yang disebut malcode (malicious code), suatu program atau script apapun yang bersifat merusak atau merugikan dapat dikategorikan sebagai malcode termasuk virus komputer, worm atau trojan horse. Maraknya penyebaran virus, worm atau trojan horse, ternyata semakin memberikan semangat bagi para pembuat worm lokal untuk terus berkarya. Di Indonesia sendiri worm lokal mulai menunjukan aktifitas yang cukup signifikan di awal era millenium, pada tahun 2003 peng- guna komputer di Indonesia disibukan oleh sebuah worm lokal yang diperkirakan berhasil menginfeksi ribuan komputer di Indonesia, worm ini kemudian oleh salah satu perusahaan antivirus terkenal diberi nama w32/pesin.worm.gen, bersamaan dengan munculnya varian-varian worm Pesin yang baru, ikut muncul sejumlah worm lokal lainnya se- perti diberitakan sebuah situs Indonesia yang konsen terhadap malcode, www.vaksin.com. Bahkan pada saat buku ini ditulis aktifitas worm di orm 2 - Secret of Underground Coding
Indonesia semakin meningkat, terbukti dari sejumlah forum, penulis menemukan beberapa posting yang menunjukan adanya gejala-gejala penyebaran worm lokal yang baru. Motif yang digunakan semakin be- ragam, mulai dari hanya sekedar "pamer", sampai dengan pengrusakan dan pencurian data. Media penyebaran pun semakin canggih mulai dari disket, USB flash disk sampai dengan jaringan termasuk internet. Namun satu hal yang pasti, penyebaran worm tersebut telah membawa dampak yang cukup besar bagi para pengguna komputer baik materiil maupun non materiil.
Computer W
Computer Worm 2 - Secret of Underground Coding : Uncensored Computer W
Melanjutkan buku Computer Worm Seri ke-1 yang banyak mengung- kap teknik-teknik rahasia pembuatan worm komputer, maka pada seri ke-2 ini akan diberikan trik-trik untuk memerangi worm tersebut dengan cara membuat suatu program removal (yang biasanya disebut dengan istilah antivirus), program removal ini akan membersihkan file launcher dan file infector dengan beberapa metode sekaligus yang umumnya digunakan oleh antivirus-antivirus profesional, juga diser- takan teknik menggunakan definition file untuk menampung data signature suatu program removal. Agar pembaca lebih yakin dan pasti orm 2 - Secret of Underground Coding adanya perbedaan worm komputer dan virus komputer, buku ini juga memuat teknik pembuatan virus komputer untuk dibandingkan.
Dalam kesempatan ini, penulis mengucapkan terima kasih kepada kedua orang tua penulis, seluruh dosen POLNES (Politeknik Negeri Samarinda) khususnya untuk Bapak Ruslan Ardi dan Bapak Arkas Viddy, kemudian salam penulis untuk alumni SMK Negeri 1 Tarakan angkatan 95 – 98, dan alumni POLNES angkatan 98 – 2001, salam juga untuk teman-teman di AMIK PPKIA Tarakan. Tidak lupa pula penulis mengucapkan terima kasih kepada penerbit Jasakom yang berkenan menerbitkan buku ini, special thank’s buat S’to yang sudah banyak membantu dalam proses pembentukan buku.
"Dengan mengetahui, mengerti dan menguasai teknik pembuatan suatu virus, worm atau malcode lainnya, sesungguhnya sudah tidak dibutuhkan tutorial lain untuk memeranginya."
Jasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored Daftar Isi
KATA PENGANTAR v
BAB 1 LAUNCHER FILE REMOVAL
1
1.1 WSAR.1 REMOVAL
12
1.1.1 ALGORITMA
12
1.1.2 PEMROGRAMAN
12
1.2 WSAR.2 REMOVAL
17
1.2.1 ALGORITMA
17
1.2.2 PEMROGRAMAN
18
1.3 WSAR.3 REMOVAL
21
1.3.1 ALGORITMA
21
1.3.2 PEMROGRAMAN
22
1.4 WSAR.4 REMOVAL
25
1.4.1 ALGORITMA
25
1.4.2 PEMROGRAMAN
25
1.5 WSAR.5 REMOVAL
29
1.5.1 ALGORITMA
29
1.5.2 PEMROGRAMAN
30
1.6 WSAR.6 REMOVAL
34
1.6.1 ALGORITMA
34 orm 2 - Secret of Underground Coding
1.6.2 PEMROGRAMAN
35
1.7 WSAR.7 REMOVAL
39
1.7.1 ALGORITMA
39
1.7.2 PEMROGRAMAN
39
1.8 WSAR.8 REMOVAL
44
1.8.1 ALGORITMA
44
1.8.2 PEMROGRAMAN
44 Computer W
Computer Worm 2 - Secret of Underground Coding : Uncensored Computer W
1.9 WSAR.9 REMOVAL
49
1.9.1 ALGORITMA
49
1.9.2 PEMROGRAMAN
49 BAB 2 INFECTOR FILE REMOVAL
57
2.1 FILE NAME SCANNING
65
2.1.1 ALGORITMA
65 orm 2 - Secret of Underground Coding
2.1.2 PEMROGRAMAN
65
2.1.3 SIGNATURE
72
2.2 STRING SCANNING
73
2.2.1 ALGORITMA
73
2.2.2 PEMROGRAMAN
73
2.2.3 SIGNATURE
78
2.3 CRC SCANNING
89
2.3.1 ALGORITMA
89
2.3.2 PEMROGRAMAN
89
2.3.3 SIGNATURE
95 BAB 3 DEFINITION FILE 103
3.1 ALGORITMA 106
3.2 PEMROGRAMAN 106
3.2.1 FORM1 112
3.2.2 FORM2 116
3.2.3 FORM3 128
BAB 4 PEMROGRAMAN VIRUS 143
4.1 MEMBUAT VIRUS 144
4.1.1 ALGORITMA 144
4.1.2 PEMROGRAMAN 144
4.2 MEMBUAT ANTI VIRUS 149
4.2.1 ALGORITMA 149
4.2.2 PEMROGRAMAN 150 Jasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored
5.1 PERINTAH BARIS 165
5.2 VERSI GUI 167
5.3 PROTEKSI 169
6.1 KEBUTUHAN SISTEM 172
6.2 INSTALASI 173
6.3 OPERASI DASAR WHT 176
6.3.1 MEMBUAT DISK INFECTOR 177
6.3.2 MEMBERIKAN IJIN PENGINFEKSIAN 178
6.3.3 MENYIMPAN FILE WORM SAMPLER 179
6.3.4 MENGEKSEKUSI WORM SAMPLER 179
6.3.5 MELUMPUHKAN WORM SAMPLER 179
6.3.6 MEMBERSIHKAN SISTEM 180
6.4 SECRET SAMPLER 180
6.5 DEINSTALASI 181
185 REFERENSI 194 orm 2 - Secret of Underground Coding Computer W
Computer Worm 2 - Secret of Undeground Coding : Uncensored
BAB 1 LAUNCHER FILE REMOVAL Bab 1. Laucher File Removal Kenapa bab ini ada? Selesai dengan pemrograman worm, maka selanjutnya penulis
akan memberikan trik untuk memusnahkan worm-worm tersebut. Untuk membuat suatu program removal sedikitnya kita harus membuat dua rutin utama yaitu rutin untuk mematahkan serangan file launcher, dan rutin untuk membasmi file infector.
Bab ini akan menjelaskan trik untuk memberantas file launcher dari WSar.1 hingga WSar.9, namun jika Anda sudah cukup memahami isi dari buku pertama, penulis kira seharusnya Anda sudah tidak akan terlalu mengalami kesulitan untuk membuat suatu program removal dari worm yang Anda buat sendiri. Siapa tau, Anda bahkan bisa mendirikan perusahaan Antivirus dan Antiworm lokal sendiri bukan ?
Computer Worm 2 - Secret of Underground Coding : Uncensored eiring dengan pesatnya perkembangan worm lokal di Indone- sia, beberapa programmer yang umumnya adalah mahasiswa
Bab 1. Laucher File Removal
ikut berpartisipasi memberantas perkembangan worm tersebut S dengan mengembangkan berbagai program removal. Walaupun pro- grammer-programmer ini kebanyakan bekerja secara sendiri-sendiri tetapi program removal yang dihasilkan cukup baik untuk memberan- tas worm lokal tersebut.
Selain itu banyak sekali program removal profesional yang beredar, yang biasanya kita sebut dengan istilah antivirus. Program removal profesional ini walaupun disebut sebagai antivirus tetapi umumnya adalah program removal untuk beberapa jenis malcode sekaligus, tidak hanya virus tetapi juga worm, trojan horse, spyware dan malicious tool lainnya. Program antivirus tersebut antara lain: 1. aVast! AntiVirus
2. AVG Anti-Virus
3. BitDefender Antivirus
4. F-Secure Anti-Virus
5. McAfee VirusScan (terbundel dengan aplikasi McAfee Internet Security)
6. Norman Virus Control
7. Norton AntiVirus
8. Panda Antivirus
9. Symantec AntiVirus
10. Trend Micro PC Cillin (terbundel dengan aplikasi Trend Micro Internet Security). Program removal adalah suatu program yang dirancang untuk mem- bersihkan suatu malcode tertentu dan umumnya juga mengembalikan perubahan yang disebabkan oleh malcode tersebut. Untuk mengetahui ada tidaknya worm komputer pada suatu system komputer adalah dengan menginstal program antivirus dan melaku- kan full scanning, namun untuk mengetahui keberadaan worm yang belum terdeteksi oleh program antivirus, maka cara yang termudah adalah mengamati gejala abnormal yang muncul saat mengoperasikan komputer.
Jasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored Gejala-gejala abnormal antara lain:
1. System komputer menjadi lambat, karena tingkat penggunaan pro- cessor dan memory yang besar. Biasanya system akan menampilkan sebuah kotak pesan "Not Enough Memory" atau "Low Memory", bahkan system bisa secara tiba-tiba crash/hang
2. Disk drive terakses secara berkala dalam waktu yang singkat, tanpa adanya instruksi oleh user
3. Konfigurasi berubah tanpa sepengetahuan user, seperti konfigurasi wallpaper, icon, format huruf, waktu, nama user dan konfigurasi lainnya
4. Pengaksesan ke aplikasi tertentu tidak bisa dilakukan, seperti aplikasi Registry Editor, System Configuration Utility, Windows
Bab 1. Laucher File Removal Task Manager, Display Properties dan lainnya
5. Kapasitas disket, harddisk atau media penyimpanan lainnya tiba- tiba bertambah atau berkurang tanpa sebab yang jelas. Hal ini biasanya selalu digunakan worm untuk membuat salinan dirinya ke disket. Anda cukup memasukan sebuah disket ke disk drive dan perhatikan perubahan kapasitas disket serta jumlah file yang ada
6. Prilaku yang tidak lazim pada system komputer, seperti hilang- nya pointer mouse, hilangnya tombol Startmenu, restart dengan sendirinya, atau memunculkan teks/gambar/suara aneh lainnya
7. System tiba-tiba mengeksekusi program tertentu, seperti aplikasi internet browser, aplikasi e-mail atau bahkan program uninstall untuk aplikasi tertentu
8. File tiba-tiba rusak atau hilang, seperti file dokumen Microsoft Word, file dokumen Microsoft Excel, file program Registry Editor dan lain-lain
9. Sistem operasi tidak dapat dioperasikan. Hal ini biasanya disebabkan karena terhapusnya sebagian file system, konfigurasi system yang salah, atau saat sistem operasi startup worm kemudian mematikan kembali sistem operasi tersebut.
Tahap pembersihan file launcher adalah tahap pembersihan yang dilakukan terhadap file utama worm serta file pembantu lain yang berada pada system dan memory komputer. Pembersihan terhadap file launcher ini harus dilakukan pertama kali, terlebih untuk file launcher yang sedang terproses, karena file ini umumnya menjaga agar worm tetap eksis pada suatu system komputer.
Computer Worm 2 - Secret of Underground Coding : Uncensored Untuk mengetahui letak file launcher ini, cara yang paling mudah dilakukan adalah memeriksa metode launcher yang umumnya digu-
Bab 1. Laucher File Removal
nakan worm agar tereksekusi setiap Windows startup, adapun metode launcher tersebut antara lain:
1. Konfigurasi Registry. Saat Windows startup system akan mengek- sekusi setiap program yang terdaftar pada key Run, RunOnce, RunOnceEx, RunServices dan RunServicesOnce. Key registry ini terdapat pada hive HKCU (hive key current user) dan HKLM (hive key local machine). Metode launcher ini paling banyak digunakan oleh worm lokal, sebagai contoh worm dasar yang menggunakan metode ini adalah WSar.2, WSar.5, WSar.7, WSar.8 dan WSar.9. Selain itu ada juga yang memanfaatkan ekstensi file tertentu (Shell Spawning) sebagai metode launcher, contohnya adalah WSar.6, metode ini juga me- manfaatkan konfigurasi registry
2. Konfigurasi file startup. Saat Windows startup system juga akan mengeksekusi file tertentu yang ada pada konfigurasi file seperti autoexec.bat, win.ini, system.ini dan wininit.ini, contohnya dapat Anda temukan pada WSar.3
3. Direktori StartUp. Lokasi default direktori StartUp berbeda-beda pada sistem operasi Windows, tetapi Anda bisa mendapatkan lokasi default direktori tersebut pada data registry: HKEY_CUR- RENT_USER\Software\Microsoft\Windows\CurrentVersion\Ex- plorer\User Shell Folders, dengan value "Startup", contohnya dapat Anda temukan pada WSar.1 dan WSar.4
4. Pemanfaatan aplikasi lain. Umumnya worm memanfaatkan aplikasi terjadwal seperti ScreenSaver dan Scheduled Task yang dapat men- jalankan file program, metode launcher ini paling sedikit digunakan oleh worm writer.
Untuk memeriksa setiap metode launcher tersebut Anda bisa secara manual membuka aplikasi Registry Editor, file startup, direktori StartUp dan aplikasi schedule, namun untuk lebih memudahkan dalam pemeriksaan, Anda bisa menggunakan aplikasi A Squared HijackFree yang cukup lengkap dalam mengumpulkan metode launcher ini.
Jasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored Selain itu software A Squared HijackFree ini juga mampu menampil- kan aplikasi yang sedang terproses.
Tampilan aplikasi A Squared Hijack- Free setelah ber- hasil dieksekusi:
Bab 1. Laucher File Removal Setelah mengetahui letak dari file
launcher worm, tugas selanjutnya adalah menghentikan proses dari file launcher tersebut jika ter- proses.
Untuk versi sistem operasi Win- dows 2000 atau versi yang lebih tinggi, hal ini dapat kita lakukan dengan mengeksekusi aplikasi Windows Task Manager dengan langkah-langkah sebagai berikut:
1. Tekan kombinasi tombol Ctrl
- Alt + Delete, atau kombinasi tombol Ctrl + Shift + Esc, atau klik kanan pada taskbar kemu- dian pilih opsi Task Manager.
Computer Worm 2 - Secret of Underground Coding : Uncensored
2. Klik Tab Processes, pastikan CheckBox Show processes from all users terseleksi dengan memberinya tanda checklist
Bab 1. Laucher File Removal
3. Klik kanan pada nama proses worm, kemudian pilih End Processes Tree.
Worm yang cerdik tidak akan membiarkan Anda mengakses aplikasi ini dengan mudah, untuk itu Anda dapat menggunakan aplikasi lain seperti aplikasi Process Explorer yang memiliki kesamaan fungsi.
Tampilan aplikasi Process Explorer setelah berhasil dieksekusi
Demikian pula dengan aplikasi Registry Editor, kebanyakan worm lokal memblokir aplikasi ini dengan memanipulasi suatu nilai registry yang tidak mengijinkan user menggunakan fasilitas ini, atau worm memblokir aplikasi tersebut dengan cara langsung menutup aplikasi atau men-disable jendela aplikasi tersebut. Untuk itu Anda dapat menggunakan aplikasi pengganti lain seperti aplikasi Registrar Lite yang tidak akan terpengaruh dengan manipulasi registry sehubungan dengan usaha pemblokiran tersebut.
Jasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored Tampilan aplikasi Registrar Lite setelah berhasil dieksekusi
Bab 1. Laucher File Removal Langkah terakhir adalah menghapus file launcher tersebut dan meng-
hapus konfigurasi worm sehubungan dengan metode launcher yang digunakan, baik pada konfigurasi registry, file startup atau yang lain- nya. Selanjutnya akan diberikan contoh pembersihan file launcher untuk Worm Dasar yang telah diotomasikan menjadi suatu program removal, namun sebelumnya berikut ini adalah project default WSar Removal yang akan digunakan untuk setiap contoh program removal: Buat sebuah project baru pada aplikasi Visual Basic. Atur Project Name menjadi 'SimpleWormRemover’, dan Application Title menjadi 'Simple Worm Remover’, Tambahkan 3 buah object Label, 1 buah object Check- Box, 2 buah object CommandButton dan 1 buah object Timer, kemudian atur properti untuk masing-masing object tersebut sebagai berikut:
Computer Worm 2 - Secret of Underground Coding : Uncensored Properti object Form1
Bab 1. Laucher File Removal Jenis Nilai Keterangan Name FrmRemoval Mengatur nama form dari menjadi FrmRemoval BackColor &H00E0E0E0& Mengatur warna latar belakang
menjadi abu-abu muda BorderStyle Fixed Single Mengatur jenis border form menjadi tetap (fixed) Caption Simple Worm Mengatur titel yang akan ditampil-
Remover kan pada form Height 2040 Mengatur tinggi form Icon (Icon) Pilih icon yang akan digunakan pada form, FrmRemoval menggunakan icon sun.ico MaxButton False Tidak menampilkan tombol maxi- mize MinButton False Tidak menampilkan tombol mini- mize StartUpPosition 2 - Center Screen Menempatkan jendela form ditengah layar pada saat load Width 6105 Mengatur lebar form
Properti object Label1
Jenis Nilai Keterangan
Name lblTitle1 Mengatur nama Label menjadi lblTitle1 Allignment 2 - Center Mengatur jenis perataan menjadi rata tengah BackStyle Transparent Mengatur jenis latar belakang menjadi transparan Caption WSar Launcher Mengatur caption Label1 menjadi
Removal WSar Launcher Removal Jasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored Font Font: MS San Serif Mengatur jenis huruf MS San Serif, Font Style: Bold model huruf tebal dan ukuran huruf 24
Size: 24 ForeColor &H00808080& Mengatur warna huruf menjadi abu-abu Height 615 Mengatur tinggi Label
Left 150 Mengatur jarak Label dari kiri Top 150 Mengatur jarak Label dari atas Width 5800 Mengatur lebar Label
Bab 1. Laucher File Removal Properti object Label2 Jenis Nilai Keterangan Name lblTitle2 Mengatur nama Label menjadi lblTitle2 Allignment 2 - Center Mengatur jenis perataan menjadi rata
tengah BackStyle Transparent Mengatur jenis latar belakang menjadi
transparan
Caption WSar Launcher Mengatur caption Label menjadi WSarRemoval Launcher Removal Font Font: MS San Serif Mengatur jenis huruf MS San Serif, Font Style: Bold model huruf tebal dan ukuran huruf 24 Size: 24
ForeColor &H00FFFFFF& Mengatur warna huruf menjadi putih Height 615 Mengatur tinggi Label Left 120 Mengatur jarak Label dari kiri Top 120 Mengatur jarak Label dari atas Width 5800 Mengatur lebar Label
Computer Worm 2 - Secret of Underground Coding : Uncensored Properti object Label3
Bab 1. Laucher File Removal Jenis Nilai Keterangan Name lblStatus Mengatur nama Label menjadi lblStatus BackColor &H00000000& Mengatur warna latar belakang menjadi
hitam
Caption Kosongkan caption dengan menghapus caption default Label3 ForeColor &H0000FFFF& Mengatur warna huruf menjadi kuningHeight 275 Mengatur tinggi Label Left 120 Mengatur jarak Label dari kiri Top 720 Mengatur jarak Label dari atas Width 5775 Mengatur lebar Label
Properti object Check1
Jenis Nilai Keterangan
Name chkShield Mengatur nama CheckBox menjadi chkShield BackColor &H00E0E0E0& Mengatur warna latar belakang menjadi abu-abu muda Caption Shield Mengatur caption CheckBox menjadi Shield Height 495 Mengatur tinggi CheckBox
Left 120 Mengatur jarak CheckBox dari kiri
Top 1080 Mengatur jarak CheckBox dari atas
Width 1695 Mengatur lebar CheckBoxProperti object Command1 Jenis Nilai Keterangan
Name cmdProcess Mengatur nama Command Button menjadi
cmdProcess
Caption Process Mengatur caption menjadi ProcessJasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored Height 375 Mengatur tinggi Command Button Left 4920 Mengatur jarak Command Button dari kiri Top 1080 Mengatur jarak Command Button dari atas Width 975 Mengatur lebar Command Button
Properti object Command2 Jenis Nilai Keterangan
Name cmdTray Mengatur nama Command Button menjadi cmdTray Caption Tray Mengatur caption Command Button menjadi Tray
Bab 1. Laucher File Removal Height 375 Mengatur tinggi Command Button Left 3945 Mengatur jarak Command Button dari kiri Top 1080 Mengatur jarak Command Button dari atas Width 975 Mengatur lebar Command Button Properti object Timer1 Jenis Nilai Keterangan Name tmrShield Mengatur nama Timer menjadi tmrShield Enable False Pastikan Timer tidak aktif saat form di-load Interval 500 Setiap instruksi pada procedure Timer akan
dieksekusi setiap 0.5 detik Berikut ini adalah tampilan default WSar Removal saat form di-load:
Computer Worm 2 - Secret of Underground Coding : Uncensored
1.1 WSAR.1 REMOVAL
Bab 1. Laucher File Removal Program removal ini berfungsi untuk membersihkan file launcher WSar.1 dari system komputer.
1.1.1 ALGORITMA
1. Melakukan pemeriksaan terhadap eksistensi WSar.1 pada direktori StartUp dengan nama file 'System File.exe’
2. Jika file launcher WSar.1 ditemukan, maka akan menghentikan
proses file launcher kemudian menghapus file tersebut
3. Program removal mampu melakukan pemeriksaan secara ber-
kesinambungan dan menampilkan icon pada system tray.
1.1.2 PEMROGRAMAN Tambahkan 2 buah Module kemudian atur properti untuk masing- masing module sebagai berikut: Properti Module1
Jenis Nilai Keterangan Name mdlWinExit Mengatur nama module menjadi mdlWinExit
Properti Module2 Jenis Nilai Keterangan
Name mdlTray Mengatur nama module menjadi mdlTray
Untuk module mdlWinExit Anda bisa menggunakan module yang sama pada WSar.6, untuk module mdlTray silahkan Anda ketik kode program berikut ini:Jasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored
Option Explicit On Declare Function SendMessage Lib "user32" Alias _ "SendMessageA" (ByVal hwnd As Long, ByVal wMsg As Long, _ ByVal wParam As Long, ByVal lParam As Any) As Long Const LB_SETHORIZONTALEXTENT = &H194 Type NOTIFYICONDATA cbSize As Long hwnd As Long UID As Long uFlags As Long uCallBackmessage As Long hIcon As Long szTip As String * 64 End Type Const NIM_ADD = &H0 Const NIM_MODIFY = &H1
Bab 1. Laucher File Removal Const NIM_DELETE = &H2 Const WM_MOUSEMOVE = &H200 Const NIF_MESSAGE = &H1 Const NIF_ICON = &H2 Const NIF_TIP = &H4 Const WM_LBUTTONDBLCLK = &H203 Const WM_LBUTTONDOWN = &H201 Const WM_LBUTTONUP = &H202 Const WM_RBUTTONDBLCLK = &H206 Const WM_RBUTTONDOWN = &H204 Const WM_RBUTTONUP = &H205 Declare Function Shell_NotifyIcon Lib "shell32" Alias _
"Shell_NotifyIconA" (ByVal dwMessage As Long, ByVal pnid As _ NOTIFYICONDATA) As Boolean Global nid As NOTIFYICONDATA Dim arrLongConversion(4) As Long Dim arrSplit64(63) As Byte Dim lngTrack As Long Const OFFSET_4 = 4294967296.0#, MAXINT_4 = 2147483647, _ S11 = 7, S12 = 12, S13 = 17, S14 = 22, S21 = 5, S22 = 9, _ S23 = 14, S24 = 20, S31 = 4, S32 = 11, S33 = 16, S34 = 23, _ S41 = 6, S42 = 10, S43 = 15, S44 = 21 Sub AddToTray(ByVal TrayIcon, ByVal TrayText As String, ByVal _ TrayForm As Form) nid.cbSize = Len(nid) nid.hwnd = TrayForm.hwnd nid.UID = vbNull nid.uFlags = NIF_ICON Or NIF_TIP Or NIF_MESSAGE nid.uCallBackmessage = WM_MOUSEMOVE nid.hIcon = TrayIcon nid.szTip = TrayText & vbNullChar Shell_NotifyIcon(NIM_ADD, nid) TrayForm.Hide() End Sub
Computer Worm 2 - Secret of Underground Coding : Uncensored
Sub ModifyTray(ByVal TrayIcon, ByVal TrayText As String, ByVal _ TrayForm As Form) nid.cbSize = Len(nid) nid.hwnd = TrayForm.hwnd
Bab 1. Laucher File Removal nid.UID = vbNull
nid.uFlags = NIF_ICON Or NIF_TIP Or NIF_MESSAGE nid.uCallBackmessage = WM_MOUSEMOVE nid.hIcon = TrayIcon nid.szTip = TrayText & vbNullChar Shell_NotifyIcon(NIM_MODIFY, nid) End Sub Function RespondToTray(ByVal x As Single) On Error Resume Next RespondToTray = 0 Dim msg As Long Dim sFilter As String If frmRemoval.ScaleMode <> 3 Then msg = x / _ Screen.TwipsPerPixelX Else : msg = x Select Case msg Case WM_RBUTTONUP RespondToTray = 1 Case WM_LBUTTONUP RespondToTray = 2 End Select End Function Sub ShowFormAgain(ByVal TrayForm As Form) TrayForm.Show() End Sub Sub RemoveFromTray() Shell_NotifyIcon(NIM_DELETE, nid) End Sub
Ketik kode program berikut ini pada object frmRemoval:
'WSar.1 Removal by Achmad Darmal 'Tarakan, Kalimantan Timur - Indonesia Option Explicit On Private Sub Form_Load() lblStatus.Caption = "WSar.1 Removal - Ready ..." End Sub Private Sub chkShield_Click() If chkShield.Value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If End Sub
Jasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored
Private Sub cmdProcess_Click() CheckWorm() End Sub Private Sub cmdTray_Click() If chkShield.Value <> Checked Then If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then chkShield.Value = Checked End If End If If chkShield.Value = Checked Then AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If End Sub Private Sub form_MouseMove(ByVal Button As Integer, ByVal _
Bab 1. Laucher File Removal Shift As Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then ShowFormAgain(Me) RemoveFromTray() End If End Sub Private Sub tmrShield_Timer() If lblStatus.ForeColor = &HFFFF& Then
lblStatus.ForeColor = &H0& Else lblStatus.ForeColor = &HFFFF& End If CheckWorm() End Sub Private Sub CheckWorm() If Len(Dir$("C:\WINDOWS\Start Menu\Programs\StartUp\Syst" & _ "em File.exe")) <> 0 Then RemoveWorm() Else If chkShield.Value <> Checked Then MsgBox("WSar.1 Not Found", vbExclamation) End If End If End Sub Private Sub RemoveWorm() On Error Resume Next WinExit("System File.exe") MsgBox("WSar.1 found! And will be removed", vbExclamation + _ vbSystemModal) Kill("C:\WINDOWS\Start Menu\Programs\StartUp\System File.exe") If Len(Dir$("C:\WINDOWS\Start Menu\Programs\StartUp\Syst" & _ "em File.exe")) <> 0 Then MsgBox("WSar.1 can not removed", vbCritical) chkShield.Value = Unchecked Else MsgBox("WSar.1 succesfully removed", vbExclamation) End If
Computer Worm 2 - Secret of Underground Coding : Uncensored Berikut penjelasan tentang kode program, dan untuk selanjutnya procedure yang telah dijelaskan tidak diberikan lagi, kecuali beberapa
Bab 1. Laucher File Removal bagian yang menurut penulis perlu untuk diulang kembali. Procedure Form_Load memiliki tugas sederhana, yaitu mengatur
caption pada lblStatus menjadi "WSar.1 Removal - Ready ..." Procedure chkShield_Click akan dijalankan saat user mengklik CheckBox chkShield pada form, kemudian jika CheckBox chkShield ter-check maka mengatur nilai properti Enabled pada tmrShield menjadi true, ni- lai properti Enabled pada cmdProcess menjadi false dan mengatur nilai caption lblStatus menjadi "Shield Enabled - Monitoring Worm Activity". Sebaliknya jika CheckBox chkShield tidak ter-check maka mengatur ni- lai properti Enabled pada tmrShield menjadi false, nilai ForeColor pada lblStatus menjadi &HFFFF& (warna kuning), nilai properti Enabled pada cmdProcess menjadi true dan mengatur nilai caption lblStatus menjadi "Shield Disabled - Waiting For Instruction". Procedure cmdProcess_Click akan dijalankan saat user mengklik tombol Process. Secara sederhana procedure ini hanya memanggil procedure CheckWorm. Tujuan penulis membuat procedure ini adalah agar mudah untuk dikembangkan lagi. Procedure cmdTray_Click akan dijalankan saat user mengklik tombol Tray, kemudian jika CheckBox chkShield tidak ter-check maka akan menampilkan suatu kotak pesan "Shield is disabled, enable it now?" dan jika user mengklik tombol Yes maka mengatur nilai chkShield menjadi ter-check. Jika nilai chkShield adalah ter-check maka procedure menggunakan function AddToTray untuk menyisipkan program pada system tray dengan menggunakan icon form aktif dan dengan ToolTipText "WSar Removal - Shield Enable", sebaliknya procedure menggunakan function AddToTray dengan menggunakan icon form aktif dan dengan ToolTipText "WSar Removal - Shield Disable". Procedure form_MouseMove adalah procedure pembantu yang ber- fungsi untuk merespon klik mouse pada icon program di system tray, procedure ini menggunakan function RespondToTray dari module mdlTray, jika function RespondToTray mengembalikan nilai kurang dari 3 maka form ditampilkan kembali dan kemudian menghilangkan icon program dari system tray.
Jasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored Procedure tmrShield_Timer aktif setiap 0.5 detik, jika nilai ForeColor pada Label lblStatus adalah &HFFFF& (warna kuning) maka mengatur ForeColor pada Label lblStatus menjadi &H0& (warna hitam), seba- liknya jika tidak maka mengatur ForeColor pada Label lblStatus menjadi &HFFFF&, instruksi ini akan melakukan pergantian warna pada teks setiap 0.5 detik, sehingga teks tersebut akan terlihat blinking (berkedip), procedure ini juga mengeksekusi procedure CheckWorm. Pada procedure CheckWorm, jika file 'C:\WINDOWS\Start Menu\ Programs\StartUp\System File.exe’ ditemukan maka memang- gil procedure RemoveWorm, jika tidak ditemukan maka jika nilai chkShield tidak ter-check procedure akan menampilkan kotak pesan "WSar.1 Not Found".
Bab 1. Laucher File Removal Procedure RemoveWorm akan menghentikan proses file 'System File.exe’
yang merupakan file launcher dari WSar.1 kemudian menampilkan kotak pesan "WSar.1 found! And will be removed", kemudian menghapus file 'C:\WINDOWS\Start Menu\Programs\StartUp\System File.exe’, kemudian kembali memeriksa file tersebut, jika ditemukan maka me- nampilkan kotak pesan "WSar.1 can not removed" dan mengatur nilai chk- Shield menjadi tidak ter-check. Sebaliknya jika tidak ditemukan maka procedure menampilkan kotak pesan "WSar.1 succesfully removed". Module mdlTray merupakan sekumpulan function API yang berfungsi untuk menempatkan program pada system tray dan beberapa function pendukung lainnya.
1.2 WSAR.2 REMOVAL
Program removal ini berfungsi untuk membersihkan file launcher WSar.2 dari system komputer.
1.2.1 ALGORITMA
1. Melakukan pemeriksaan terhadap eksistensi WSar.2 pada direktori System Windows dengan nama file 'winfake.exe’
Computer Worm 2 - Secret of Underground Coding : Uncensored
2. Jika file launcher WSar.2 ditemukan, maka menghentikan proses file launcher kemudian menghapus file tersebut.
Bab 1. Laucher File Removal
3. Mengembalikan dan menghapus nilai registry yang dimanipulasi WSar.2
4. Program removal mampu melakukan pemeriksaan secara ber- kesinambungan, dan menampilkan icon pada system tray.
1.2.2 PEMROGRAMAN
Tambahkan 2 buah Module kemudian atur properti untuk masing- masing module sebagai berikut: Properti Module1
Jenis Nilai Keterangan Name mdlWinExit Mengatur nama module menjadi mdlWinExit
Properti Module2 Jenis Nilai Keterangan
Name mdlTray Mengatur nama module menjadi mdlTray
Untuk module mdlWinExit Anda bisa menggunakan module yang sama pada WSar.6 dan module mdlTray dengan module yang sama pada WSar.1 Removal, kemudian ketik kode program berikut ini pada object frmRemoval.'WSar.2 Removal by Achmad Darmal 'Tarakan, Kalimantan Timur - Indonesia Option Explicit On Private Sub Form_Load() lblStatus.Caption = "WSar.2 Removal - Ready ..." End Sub Private Sub chkShield_Click() If chkShield.Value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else
Jasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored
tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If End Sub Private Sub cmdProcess_Click() CheckWorm() End Sub Private Sub cmdTray_Click() If chkShield.Value <> Checked Then If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then chkShield.Value = Checked End If End If
Bab 1. Laucher File Removal If chkShield.Value = Checked Then AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If End Sub Private Sub form_MouseMove(ByVal Button As Integer, ByVal Shift As _ Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then ShowFormAgain(Me) RemoveFromTray() End If End Sub Private Sub tmrShield_Timer() If lblStatus.ForeColor = &HFFFF& Then
lblStatus.ForeColor = &H0& Else lblStatus.ForeColor = &HFFFF& End If CheckWorm() End Sub Private Sub CheckWorm() On Error Resume Next Dim kiddie As Object Dim sysfolder As Object kiddie = CreateObject("scripting.filesystemobject") sysfolder = kiddie.GetSpecialFolder(1) If Len(Dir$(sysfolder & "\winfake.exe")) <> 0 Then RemoveWorm() Else If chkShield.Value <> Checked Then MsgBox("WSar.2 Not Found", vbExclamation) End If End If End Sub
Computer Worm 2 - Secret of Underground Coding : Uncensored
Private Sub RemoveWorm() On Error Resume Next Dim kiddie As Object
Bab 1. Laucher File Removal Dim sysfolder As Object
kiddie = CreateObject("scripting.filesystemobject") sysfolder = kiddie.GetSpecialFolder(1) WinExit("winfake.exe") MsgBox("WSar.2 found! And will be removed", vbExclamation + _ vbSystemModal) Kill(sysfolder & "\winfake.exe") If Len(Dir$(sysfolder & "\winfake.exe")) <> 0 Then MsgBox("WSar.2 can not removed", vbCritical) chkShield.Value = Unchecked Else ReConfig() MsgBox("WSar.2 succesfully removed", vbExclamation) End If End Sub Function RegStrDel(ByVal HiveAndKey As String) Dim newbie As Object newbie = CreateObject("Wscript.Shell") newbie.regdelete(HiveAndKey) End Function Function RegDword(ByVal HiveAndKey As String, ByVal Value As Integer) Dim newbie As Object newbie = CreateObject("Wscript.Shell") newbie.regwrite(HiveAndKey, Value, "REG_DWORD") End Function Private Sub ReConfig() On Error Resume Next RegDword("HKCU\Software\Microsoft\Windows\CurrentVersi" & _ "on\Policies\System\DisableRegistryTools", 0) RegStrDel("HKLM\Software\Microsoft\Windows\CurrentVersi" & _ "on\Run\windll") End Sub
Berikut penjelasan tentang kode program : Procedure Form_Load memiliki tugas sederhana, yaitu mengatur cap- tion pada lblStatus menjadi "WSar.2 Removal - Ready ..." Pada procedure CheckWorm, jika file 'winfake.exe’ ditemukan pada direktori System Windows maka memanggil procedure RemoveWorm, jika tidak ditemukan maka jika nilai chkShield tidak ter-check proce- dure akan menampilkan kotak pesan "WSar.2 Not Found".
Jasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored Procedure RemoveWorm akan menghentikan proses file 'winfake.exe’ yang merupakan file launcher dari WSar.2 kemudian menampilkan kotak pesan "WSar.2 found! And will be removed", kemudian menghapus file 'winfake.exe’ pada direktori System Windows. Setelah itu, kem- bali memeriksa file tersebut, jika ditemukan maka menampilkan kotak pesan "WSar.2 can not removed" dan mengatur nilai chkShield menjadi tidak ter-check, sebaliknya jika tidak ditemukan maka procedure me- nampilkan kotak pesan "WSar.2 succesfully removed". Function RegStrDel dan RegDword merupakan function yang meng- gunakan file scripting object, masing-masing berfungsi untuk mengha- pus key pada registry dan mengatur nilai dengan jenis DWORD pada registry.
Bab 1. Laucher File Removal Procedure ReConfig memanipulasi nilai registry dengan mengubah
nilai data 'DisableRegistryTools’ menjadi 0, dan menghapus nilai reg- istry "HKLM\Software\Microsoft\Wind ows\CurrentVersion\Run\ windll" yang mana nilai registry ini akan mengaktifkan worm setiap kali Windows startup.
1.3 WSAR.3 REMOVAL
Program removal ini berfungsi untuk membersihkan file launcher WSar.3 dari system komputer.
1.3.1 ALGORITMA
1. Melakukan pemeriksaan terhadap eksistensi WSar.3 pada direktori System Windows dengan nama file 'winword.exe’
2. Jika file launcher WSar.3 ditemukan, maka menghentikan proses file launcher kemudian menghapus file tersebut
3. Menghapus perubahan pada file 'win.ini’ yang dimanipulasi WSar.3
4. Program removal mampu melakukan pemeriksaan secara ber- kesinambungan dan menampilkan icon pada system tray.
Computer Worm 2 - Secret of Underground Coding : Uncensored
1.3.2 PEMROGRAMAN
Tambahkan 3 buah Module kemudian atur properti untuk masing-
Bab 1. Laucher File Removal
masing module sebagai berikut: Properti Module1 Jenis Nilai Keterangan
Name mdlWinExit Mengatur nama module menjadi mdlWinExit Properti Module2
Jenis Nilai Keterangan
Name mdlTray Mengatur nama module menjadi mdlTray
Properti Module3 Jenis Nilai Keterangan
Name mdlFileIni Mengatur nama module menjadi mdlFileIni Untuk module mdlWinExit, Anda bisa menggunakan module yang sama pada WSar.6, module mdlTray dengan module yang sama pada WSar.1 Removal dan module mdlFileIni dengan module yang sama pada WSar.3, kemudian ketik kode program berikut ini pada object frmRemoval.
'WSar.3 Removal by Achmad Darmal 'Tarakan, Kalimantan Timur - Indonesia Option Explicit On Private Sub Form_Load() lblStatus.Caption = "WSar.3 Removal - Ready ..." End Sub Private Sub chkShield_Click() If chkShield.Value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If End Sub
Jasakom
Computer Worm 2 - Secret of Undeground Coding : Uncensored
Private Sub cmdProcess_Click() CheckWorm() End Sub Private Sub cmdTray_Click() If chkShield.Value <> Checked Then If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then chkShield.Value = Checked End If End If If chkShield.Value = Checked Then AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If End Sub
Bab 1. Laucher File Removal Private Sub form_MouseMove(ByVal Button As Integer, ByVal Shift As Integer, _ ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then ShowFormAgain(Me) RemoveFromTray() End If End Sub Private Sub tmrShield_Timer() If lblStatus.ForeColor = &HFFFF& Then
lblStatus.ForeColor = &H0& Else lblStatus.ForeColor = &HFFFF& End If CheckWorm() End Sub Private Sub CheckWorm() On Error Resume Next Dim kiddie As Object Dim sysfolder As Object Dim MainFile As String kiddie = CreateObject("scripting.filesystemobject") sysfolder = kiddie.GetSpecialFolder(1) MainFile = sysfolder & "\" & "winword.exe" If Len(Dir$(MainFile, vbHidden + vbReadOnly + vbSystem)) <> 0 _ Then SetAttr(MainFile, vbNormal) RemoveWorm() Else If chkShield.Value <> Checked Then MsgBox("WSar.3 Not Found", vbExclamation) End If End If End Sub
Computer Worm 2 - Secret of Underground Coding : Uncensored
Private Sub RemoveWorm() Dim kiddie As Object Dim sysfolder As Object Dim MainFile As String
Bab 1. Laucher File Removal
kiddie = CreateObject("scripting.filesystemobject") sysfolder = kiddie.GetSpecialFolder(1) MainFile = sysfolder & "\" & "winword.exe" WinExit("winword.exe") MsgBox("WSar.3 found! And will be removed", vbExclamation + _ vbSystemModal) Kill(MainFile) If Len(Dir$(MainFile)) <> 0 Then MsgBox("WSar.3 can not removed", vbCritical) chkShield.Value = Unchecked Else ReConfig() MsgBox("WSar.3 succesfully removed", vbExclamation) End If End Sub Private Sub ReConfig() On Error Resume Next Dim kiddie As Object Dim winfolder As Object Dim MainFile As String kiddie = CreateObject("scripting.filesystemobject") winfolder = kiddie.GetSpecialFolder(0) writeini("WINDOWS", "Run", " ", winfolder & "\" & "win.ini") End Sub