Seni Menghindari Pendeteksian Virus

Posted: Januari 30, 2015 in Tip dan Trik
Tag:

Salah satu yang unik dari worm VBS ini yaitu teknik penyembunyian kode untuk menghindari pendeteksian anti virus.
Tanpa pendeteksian variabel dan penggunaan string serta pemanggilan fungsi-fungsi lain kecuali “execute” dan “chr”, worm ini cukup minimalis dalam pemilihan pemanggilan kode dibandingkan teknik obfuscation worm lainnya.

Saat ini worm VBS tidak hanya bersifat worm yang hanya menyebar dan menyebar. Pencurian data merupakan kejahatan cyber yang menjadi ancaman serius untuk pengguna komputer.

Dengan melakukan koneksi ke imad1212.dnsd.info,worm ini dapat mengontrol komputer yang terinfeksi sehingga pencurian data dapat terjadi.
Ketika dijalankan, worm akan membuat file di folder startup sehingga worm dapat aktif disetiap komputer aktif.

C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\ofclzxidmo.vbs

Selain mengkopikan diri ke folder startup, ada registry yang dibuat untuk juga dapat aktif di setiap komputer aktif.

HKEY_LOCAL_MACHINE\Software\microsoft\Windows
CurrentVersion\run
ofclzxidmo=wsript.exe //B “c:\
Document and settings\Temp\ofclzxidmo.vbc””

Worm ini membuat penanda waktu pertama kali komputer terinfeksi di suatu registry.

HKEY_LOCAL_MACHINE\Software\ofclzxidmo
(Default) = false – 11/11/2014″

Penyebaran worm ini melalui media flasdisk dengan mengkopikan dirinya dengan nama file yang sama dengan nama file yang aktif disetiap startup komputer, yaitu ofclzxidmo.vbs dengan atribut hidden dan system.

Teknik Obfuscation
Bagaimana cara menghindari pendeteksian antivirus yang dilakukan oleh worm ini? Jawabnya yaitu teknik obfuscation atau teknik pengacakan untuk menghindari suatu malware terdeteksi oleh antivirus.

Berikut contoh kodenya:
Execute (((chr)) (51938787869-51938787765)

Perintah execute berfungsi untuk menjalankan kode VBS berupa objek ataupun variable. Sekarang, jika kita lihat apa yang dieksekusi dengan perintah execute?
Perintah chr merupakan fungsi untuk mengubah bilangan ascii menjadi char atau huruf. Bilangan yang diubah char yaitu 51938787869-51938787765 dimana sama denga 104. Cara mudah untuk mengetahui angka 104 dengan melihat table ascii yaitu mewakilkan huruf h.

Kenapa ada pengurangan untuk menghasilkan angka 104? ini adalah teknik pengacakan untuk menghasilkan suatu char untuk menjadi kesatuan objek yang dapat dieksekusi sehingga hal ini untuk mencegah teknologi pendeteksian antivirus.

Tidak hanya ada operasi pengurangan operasi aritmatika lain yang terdapat di teknik obfuscation pada worm ini yaitu operasi penambahan serta pembagian.

SUMBER

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s