M R – T I G E R V1.0 VBS C R Y P T 3 R Z

Posted: Februari 5, 2015 in Tip dan Trik
Tag:

Program cyber merupakan program yang digunakan untuk melakukan teknik obfuscation yang cukup kompleks. Mari pelajari bagaimana konsep obfuscation yang dilakukan program Crypter ini dengan kode sederhana sebagai berikut :

msgbox “anda terinfeksi virus Ebola”

Dengan menggunakan crypter Mr. Tiger, file VBS yang berisi satu baris ini dengan sebanyak 36 karakter ini menjadi 135 baris dan 834058 karakter. Dapat dikatakan jikabanyak sekali karakter yang ditambahkan pada file VBS yang di-obfuscation.
Jika dianalisa, 90% lebih karakter yang ditambahkan merupakan karakter acak yang berupa komentar atau karakter yang tidak akan dibaca saat file VBS dijalankan.

Karakter acak yang berjumlah acak ini bertujuan agar pengguna yang membuka file VBS dengan file teks editor hanya melihat kode acak sehingga kode asli program tidak dapat terbaca secara langsung.

Sekarang bagaimana dengan kode asli? Bagaimana program cyber ini menyembunyikan perintah msgbox dan string yang berisi pesan untuk ditampilakan oleh perintah msgbox?
Kode program sendiri sebenarnya hanya terdiri atas 44 baris dengan 2240 karakter.

Variabel DEV berisi kode progam asli dipecahkan per karakter dan dipisahkan oleh tanda ” &#” berdasarkan kode berikut:
Safa7_22 = SPLIT (DEV,”&#”
FOR I = 0 TO UBOUND ( safa7_22)-1
DZ = DZ & CHR (safa7-22(I))

Kini variabel DZ merupakan string yang berisi kode program asli namun string masih dalam keadaan terenkripsi.
Lanjut ke baris berikutnya, terdapat kode berikut:
CRYPT_v3 DZ, -1,KEY

Kode tersebut memanggil fungsi CRYPT_V3 untuk mendekrip variabel DZ dengan KEY sebagai passwordnya.
Fungsi CRYPT_V3 sendiri akan menghasilkan kode ascii. Jika dilihat lagi-lagi worm senang menggunakan kode ascii sebagai pengganti kode program berupa string.

Kembali melihat baris dibawah fungsi CRYPT_V3 yaitu terdapat kode unutk mengenumurasi nama proses wscript.exe maka kode program baru dieksekusi. Jika tidak ditemukan proses wscrypt.exe, teentu saja ada hal yang tidaak normal dan worm hanya akan berlanjut pada proses dekripsi serta tidak melanjutkan ke kode worm sehingga kode asli worm tidak ditangkap atau diemulasi oleh antivirus.

SUMBER

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s