Mpu Gondrong di Waru Doyong

Server Linux Hemat Listrik

oguds — Sun, 20 Nov 2011 16:44:11 +0000

Bagi penggemar Linux dan suka mengoprek OS tersebut, tantangan terkini boleh jadi menghidupkannya di perangkat embedded. Mengapa? Karena keterbatasan kadang malah mendorong munculnya kreativitas. Tidak sekedar masalah harga, tapi juga sumber daya. Coba misalkan server Linux hanya ditenagai baterai 12 volt, atau menarik daya 12 watt, tentu sangat menarik. Hemat listrik, hemat energi, dan juga hemat biaya.

Nah, bicara perangkat embedded yang terjangkau dan oprek-able, alternatif berikut bisa dicoba: TP-Link MR-3220. Perangkat ini hanya berharga Rp 245 ribu, berisi prosesor Atheros 400MHz, RAM 32MB, NVRAM 4MB, Wifi, dan LAN. Satu hal yang menarik di situ: USB port. Dengan adanya port ini, kita bisa mengakses banyak perangkat tambahan. Asalkan dayanya tidak terlalu membebani atau memakai catu daya sendiri. Apalagi sudah tersedia distribusi Linux versi OpenWrt yang siap pakai.

Di era sekarang, Internet adalah harga mati. Apa yang perlu ada di perangkat tersebut? Sudah tentu, modem GSM/CDMA. Demi menunjang tambahan aplikasi, kapasitas penyimpan juga harus ditambah. Dua perangkat ini juga murah, GSM modem ZTE MF 633 (dan slot MicroSD) Rp 190rb dan MicroSD Sandisk 4GB Rp 62rb. Dengan hanya sekitar Rp 500rb, kita sudah mendapatkan server Linux yang hemat energi dan hemat tempat pula.

OpenWrt sudah menggunakan filesystem yang overlay. Sehingga kapasitas NVRAM yang 4MB hanya sekedar menaruh kernel Linux dan modul/aplikasi pendukung, selanjutnya di-extroot sesuai kapasitas penyimpan tambahan. Tambahan MicroSD 4GB di atas, sangat memadai untuk meng-install banyak aplikasi. Apalagi OpenWrt juga mempunyai manajemen aplikasi dalam bentuk package, yang dilakukan dengan program opkg (seperti rpm di Redhat dkk).

So, tinggal lirik perangkat USB apalagi yang ingin ditanam di server Linux tersebut? Webcam, harddisk external, TV tuner, bluetooth, dst. Asalkan, ada tambahan adapter 5 volt sendiri bilamana tidak kuat diambil dari port USB. Barangkali, dulu yang hobi elektronik bisa disalurkan dengan menyambung-nyambung perangkat digital yang murah meriah. Selamat mengoprek ya.

Link Terkait:

http://www.tp-link.com/en/products/details/?model=TL-MR3220

http://www.kaskus.us/showthread.php?t=10124215

http://wiki.openwrt.org/toh/tp-link/tl-mr3420

http://www.viraindo.com/

http://www.rakitan.net/

SERUM VIRUS KUSUMAH

oguds — Sat, 20 Aug 2011 12:18:00 +0000

Pernah mendengar nama Kusumah? Teman anda barangkali. Atau tetangga anda. Bagaimana bila Kusumah ini menempel di file-file program kita? Tentu saja itu adalah sebuah virus. Baiklah, kali ini kita akan membahas virus Kusumah.

Virus ini jelas-jelas buatan hacker lokal, dan tampaknya ada 3 versi yang beredar luas. Sebenarnya virus ini tidak berbahaya, namun bagaimanapun tetap mengganggu, dan harus secepatnya dibasmi.

Karakteristik Virus

Kusumah.2588:

Menyerang file .COM, .EXE, dan Overlay.
Menambah besar file yang ditularinya sebesar 2588 byte.
Mencegat Vektor 08h yang digunakan sebagai penghitung cacahan waktu pada komputer. Bila hitungannya tercapai, maka virus ini akan menampilkan:

       ÉÍ< INGAT SHALAT.!! >Í»
     º     UNIVERSITAS     º
     º JEND. ACHMAD YANI º
     º ® E l e k t r o ¯ º
     ÇÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¶
     º (C) KUSUMAH SASMITA º
     ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ¼

Vektor 21h, inti dari fungsi DOS, dimanipulasi untuk beberapa fungsinya, yaitu:

4Eh (Find First Matching File), dimanfaatkan untuk menelusuri tiap-tiap direktori mencari program COMMAND.COM untuk diinfeksi
41h (Delete File), digunakan sama dengan fungsi 41h namun dengan trigger fungsi berbeda
3Dh (Open File Using Handle), digunakan untuk menulari suatu file/program ketika akan dibuka.
4B00h (Execute Program), digunakan untuk menginfeksi program ketika akan dijalankan.
43h (Get/Set File Atributes), dimanipulasi agar menyebarkan virus ketika suatu file diperiksa atau diganti atributnya.
56h (Rename File), dimanfaatkan untuk menyerang file/program yang diganti namanya.
0FFFEh, menghasilkan AX=4A4Bh (‘JK’) sebagai tanda virus telah aktif.
0FFFFh, menghasilkan AX=4B53h (‘KS’), tanda aktif.
2521h, 2513h (Set Interrupt Vector), bila terjadi penggantian vektor 21h atau 13h, maka virus selalu mengupayakan agar dirinya selalu aktif. Virus memang ini selalu mengupayakan vektor yang dicegatnya selalu pertama kali mengarah pada rutinnya.
36h (Get Disk Free Space), digunakan untuk mencari program COMMAND.COM ketika dilakukan pengecekan besar sisa disk yang tersedia. Fungsi ini sering digunakan oleh perintah internal DOS, yaitu DIR.

Ketika pertama kali diinstalasi virus ini akan berusaha mencari dan menginfeksi file COMMAND.COM, terutama di direktori C:\DOS.
Mengganti label pada disket menjadi ‘KUSUMAH S’.
Pada tiap hari Jum’at akan dibuat file SELAMAT.COM yang bila dijalankan akan menampilkan: ‘Create by: KUSUMAH SASMITA, UNJANI Bdg-Cmh …. Good Day !’

Kusumah.3016:

Sebagian besar sama dengan Kusumah.2588, namun dengan sedikit perbedaan di proses instalasi, tampilan, pencegatan fungsi, maupun struktur file yang diinfeksi. Beberapa perbedaan:

Menambah besar file program sebanyak 3016 byte.
Mencegat Int 21 fungsi 3Dh, 4B00h, 43h, 56h, 0FFFFh, 2521h, 2513h.
Secara tidak langsung mencegat Int 1Ch, sebagai pengganti Int 08h. Proses ini dilakukan lewat fasilitas alarm pada Int 1Ah.
Tampilan bila cacahan terpenuhi:

         ÉÍ< INGAT SHALAT.!! >Í»
         º     UNIVERSITAS     º
         º JEND. ACHMAD YANI º
         º Bandung Indonesia º
         ÇÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¶
         º By: KUSUMAH SASMITA º
         ÈÍÍÍÍÍ< W I N G >ÍÍÍÍÍ¼

Pada awal program .COM terdapat string kalimat:
            – U N J A N I –
                Ver. 2.00
             By: KUSUMAH S
                 Bandung
                 Indonesia
Pengecekan isi COMSPEC saat instalasi virus.

Kusumah.3967:

Pada virus ini mulai banyak dikembangkan trik-trik baru dalam kerja virus. Banyak perbedaan dari kedua versi sebelumnya, terutama dari makin banyaknya manipulasi fungsi yang dilakukan. Perbedaan itu antara lain:

Menambah besar file program sebesar 3967 byte.
Bisa dibilang semi ‘stealth’ hingga mampu menerobos sebagian program imunisasi. Namun tidak setiap operasi file diberikan fasilitas ini, dan tampaknya hanya untuk menghindari pengecekan sendiri pada sebuah program.
Mencegat vektor pada lapisan dalam, yaitu dengan jalan menelusuri vektor Int 21h, dan memodifikasi pada titik terakhir.
Mencegat Int 21h, fungsi 4Eh, 43h, 0FFFFh, 0FFFEh, ditambah:

2B01h (Set Date) DX=5351h (SQ), bila AL=00h berarti virus telah aktif di memori.
33h (Get Ctrl-Break Checking Flag), ini ada hubungannya dengan penelusuran vektor, yang mungkin untuk menandakan virus telah aktif.
6Ch (Extended Open/Create File), fungsi ini digunakan oleh perintah internal DOS ‘Copy’.
4Bh (Exec/Load Program), selain sub fungsi 00h (Exec) dicegat pula sub fungsi 01h/02h (Load) yang biasa digunakan program debugger. Virus memanipulasi fungsi ini sehingga program yang didebug seakan-akan tidak berubah.
3Bh (Change Current Dir), dimanfaatkan untuk menulari program COMMAND.COM bila ditemukan.
3Ch (Create File), 3Dh (Open File), 3Eh (Close File), 3Fh (Read File), 40h (Write To File), 42h (Move File Pointer), dimanipulasi untuk mendukung fasilitas ‘stealth’ terhadap operasi file yang sering digunakan dalam DOS.
17h (Rename File Using FCB), dimanfaatkan untuk menyerang file/program yang diganti namanya.
11h (Search First/FCB), 12h (Search Next/FCB), untuk menyembunyikan perubahan besar file. Biasa digunakan perintah internal DOS ‘Dir’.

Mulai menerapkan teknik enkripsi dan trik anti debugging yang mungkin dapat mempersulit mereka yang ingin membongkar virus ini.
Tampaknya tidak memiliki tampilan khusus, hanya kadang-kadang memberikan pesan “Moslem Power Never End.(P) KuSuMaH’s. ElEkTrO UnJaNi” bila virus gagal melakukan instalasi di memori.
Seperti umumnya virus file yang ‘stealth’, virus ini juga nampaknya mengecek dijalankannya program ‘CHKDSK’ agar tidak memberikan hasil yang keliru.
Program SELAMAT.COM bila dijalankan akan menampilkan: ‘(P) KuSuMaH S, Elektro UNJANI Bdg-Cmh’. Parameter waktu turut diperhatikan dalam pembuatan file SELAMAT.COM.
Pada awal badan virus di file program terdapat string ‘KuSuMaH’S UnJaNi, Bandung’.

Kusumah.3968:

Pada dasarnya sama dengan Kusumah.3967, hanya terdapat sedikit perbedaan. Walau begitu kedua virus ini saling tidak mengenal satu sama lain dengan baik, terbukti dengan saling bertumpuknya kedua virus bila diaktifkan secara berganti-ganti. Perbedaan utama:

Menambah besar file sebesar 3968 byte.
Tidak terdapat string pengenal pada awal badan virus.

Baik virus Kusumah.2588 maupun Kusumah.3016 terlihat banyak kemiripan dengan virus Keypressed. Sedangkan virus Kusumah.3967 dan Kusumah.3968 tampak banyak mengambil ide dari virus Die-hard (atau sebaliknya?). Keempat virus ini juga melakukan penyesuaian besar file asal hingga tepat per satuan paragraph (10h byte). Tampak jelas bahwa virus ini dibuat dari program berformat .COM, hal ini dapat dilihat dari pengaturan ofset program baik di file maupun di memori.

Program Serum Virus

Cara yang ampuh untuk membasmi virus ini yaitu dengan menggunakan program serum yang penulis sertakan. Program ANTIKSM.PAS dibuat dengan bahasa Pascal, dan dikompilasi dengan Turbo Pascal 6.0+. Sebaiknya Turbo Pascal 7.0 seperti yang penulis gunakan. Bila Anda menggunakan Borland Pascal 7.0, atur agar target kompiler ke modus real.

Secara garis besar program ini mempunyai dua prosedur untuk pembasmian virus Kusumah, yaitu:

PMem, mendeteksi keaktifan virus di memory. Virus Kusumah hanya dapat menyusup ke akhir memori konvensional (yang normal), dan bermasalah bila selain itu. Untuk melumpuhkannya cukup dengan mencari akhir dari memori 640K, dan melakukan pencarian terhadap identitas virus. Dilanjutkan dengan melakukan ‘patching’ terhadap rutin-rutin virus di memory, sehingga jalur-jalur sistem yang dicegat dapat dikembalikan ke kondisi asalnya. Bila proses pelumpuhan ini gagal, maka program akan langsung berhenti, untuk mencegah penyebaran virus lebih lanjut.
PDir, mendeteksi dan melenyapkan virus di file-file program pada direktori yang disebutkan lewat parameter. Pendeteksian meliputi seluruh program .EXE atau .COM. Bila diinginkan dapat dilakukan proses ‘scan’ pada seluruh file, mengingat banyak file-file program yang termuat sebagai overlay atau driver sistem dengan bermacam ekstensi. Bila file positif terkena virus, maka akan segera dibersihkan dan dikembalikan seperti semula. Perhatian khusus bila file terserang lebih dari satu virus. Apabila virus Kusumah tidak berada pada lapisan terluar, maka program tidak mendeteksi adanya virus pada file tersebut. Hal ini sulit dicari jalan keluarnya, kecuali virus-virus yang masuk setelah Kusumah dibersihkan terlebih dahulu.

Setelah listing program ANTIKSM.PAS tersedia, panggilah program Turbo Pascal dan buka listing tersebut. Bila dalam menu Compile tersedia pilihan Destination, pastikan untuk ditujukan ke Disk, agar terbentuk file ANTIKSM.EXE. Lalu lakukan proses Compile, Run, Make atau Build, sehingga tercipta file ANTIKSM.EXE yang siap untuk dijalankan.

Atau dapat pula Anda kompilasi langsung lewat program TPC.EXE, satu paket dengan Turbo Pascal, yaitu dengan mengetikkan:
C:\>TPC ANTIKSM
bila tidak ada kesalahan maka akan tercipta file ANTIKSM.EXE.

Pemakaian Serum

Untuk menjalankan program ANTIKSM, ketiklah di prompt DOS sebagai berikut:

C:\>ANTIKSM <[dir1] [dir2]…> [/S /A]

[dir1] [dir2]…, maksudnya adalah direktori yang dituju bisa lebih dari satu direktori. Contoh:
C:\>ANTIKSM C:\DOS D:\WINDOWS A:\

/S, maksudnya apabila terdapat sub direktori maka program akan masuk ke seluruh sub direktori yang ada.

/A, artinya program tidak hanya memeriksa file-file yang berektensi .EXE atau .COM, namun seluruh file.

Penulis telah melakukan uji coba pembersihan terhadap bermacam-macam file, dan hasilnya berjalan dengan baik. Kesalahan pembersihan telah diusahakan seminim mungkin. Pada pemulihan file akibat infeksi virus Kusumah.2588 atau Kusumah.3016, besar file asal mungkin tidak kembali seperti semula. Hal ini akibat proses teknis dari kerja virus, dan sulit dicari cara untuk mengatasinya. Namun secara umum ini tidak menimbulkan efek apa-apa.

Dalam prosesnya program ini tidak mengharapkan input dari pemakai, kecuali lewat parameter. Jadi bila suatu operasi tulis file gagal, karena disket diprotek misalnya, proses terus berjalan dengan memberikan pesan kesalahan secara umum. Proses dapat diulang kembali bila kesalahan telah diperbaiki. Hal ini untuk menyederhanakan pembuatan program, sebab bisa dibilang hanya sedikit kesalahan yang dapat terjadi.

Penutup

Di era globalisasi ini tampaknya teknologi pervirusan, khususnya virus lokal, akan terus berkembang. Apalagi didukung program-program bantu yang memadai dan makin canggih. Ditambah pula banjirnya informasi, tentang apapun, yang dapat membuat efek tersendiri.

Tentang virus Kusumah ini tampaknya masih terus dikembangkan oleh pembuatnya. Tampak dari banyak versi yang dibuat oleh orang yang sama, namun dengan struktur dan teknik yang berbeda. Begitulah virus komputer, tantangan dan godaan seperti tidak ada habis-habisnya. Setidaknya, minumlah segelas air putih dan tarik nafas dalam-dalam. Pikiran jernih, itulah yang kita perlukan.

Akhirnya penulis berharap semoga program ini bermanfaat bagi pembaca sekalian. Komentar, saran, kritik, atau apapun silakan layangkan ke Antivirus Media untuk ditanggapi seperlunya.

Daftar Pustaka

David Jurgens. HelpPC v2.10 (c)1991.
Ralf Brown. The MSDOS Interrupt List.
Ediman Lukito. Membongkar, Memberantas dan Mencegah Virus Komputer.

Listing Program

{***********************************************}
{ File:      ANTIKSM.PAS => ANTIKSM.EXE         }
{ Deskripsi: Anti Virus Kusumah                 }
{ Kompiler:  Turbo Pascal 6.0+, Borland, Inc    }
{ Utilitas:  Soft-ICE v2.64, Nu-Mega            }
{ Penulis:   M. Harjono                         }
{ Tanggal:   03 Juni 1997                       }
{ Dedikasi:  * Pembaca AntiVirus Media          }
{            * BL-TI-93                         }
{ (c)1997 Antivirus Media                       }
{***********************************************}
{$S-,R-,G+,I+,X+,Q-,A+,B-}
{$M 7505,0,0}
program Anti_Kusumah;

uses
  Dos;

type
  R_Exe = record
    MZ: word;
    _Mod: word;
    _Div: word;
    Rel: word;
    Hed: word;
    _M1,_M2: word;
    _SS,_SP: word;
    CkSum: word;
    _IP,_CS: word;
  end;
  R_Com = record
    Kod: byte;
    JMP: word;
  end;
  R_Id = array[1..6] of byte;
  R_PVir = function(Bs:word; var BufV,BufH): word;
  R_DVir = record
    Lf: integer;    {lok kode virus}
    La: integer;    {lok awal virus}
    Lh: integer;    {lok hdr asli}
    Id: R_Id;       {Id vir}
    Pr: R_PVir;     {rutin proses}
  end;
  R_MVir = record
    La: integer;    {lok awal mem vir}
    Lc: integer;    {lok awal modif}
    Kb: word;       {kode awal modif}
    Kj: word;       {kode modif}
    Id: R_Id;       {Id vir}
  end;
  Exe = ^R_Exe;
  Com = ^R_Com;
  P_W = ^word;
  P_L = ^longint;

var
  Lok_H: longint;

function MCBAkhir: word; assembler;
asm
{-- ambil MCB pertama --}
  mov ah,52h
  int 21h
  mov dx,es:[bx-2]
  cld
{-- ambil dan set UMB link --}
  mov ax,5802h
  int 21h
  jc @@U_1
  push ax
  mov ax,5803h
  xor bx,bx
  int 21h
  pop bx
  jnc @@1
@@U_1:
  mov bl,-1
{-- telusuri MCB --}
@@1:
  mov es,dx
  xor si,si
  SegES lodsb
  cmp al,5Ah
  jz @@2
  cmp al,4Dh
  jnz @@3
  lodsw
  SegES lodsw
  stc
  adc dx,ax
  jmp @@1
@@2:
  stc
  adc dx,es:[3]
@@3:
{-- kembalikan UMB link --}
  cmp bl,-1
  jz @@U_O_2
  mov ax,5803h
  mov bh,0
  int 21h
@@U_O_2:
  xchg dx,ax
end;

function SegIdMem(_Seg,Lok: word;var Id): word; assembler;
asm
  push ds
  lds si,Id
  mov es,_Seg
  xor di,di
  mov cx,$4000
  cld
@@1:
  mov al,ds:[si]
  repnz scasb
  jnz @@2
  push cx
  push si
  push di
  inc si
  mov cx,type R_Id-1
  repz cmpsb
  pop di
  pop si
  pop cx
  jnz @@1
  dec di
  mov ax,Lok
  neg ax
  sub di,ax
  jb @@2
  xchg di,ax
  mov cl,4
  shr ax,cl
  add ax,_Seg
  jmp @@3
@@2:
  xor ax,ax
@@3:
  pop ds
end;

function CekId(P1,P2: pointer): boolean; assembler;
asm
  push ds
  lds si,P1
  les di,P2
  mov cx,type R_Id
  cld
  repz cmpsb
  mov al,00
  jnz @@1
  mov al,01
@@1:
  pop ds
end;

{-- Bagian Pemulih di Memory --}
const
  PjDatM = 4;
  KusM : array[1..PjDatM] of R_MVir =
    ((La:-$8FA;Lc:$8CE;Kb:$DBE8;Kj:$72EB;Id  $75,$04,$B8,$4B,$4A,$CF)),
     (La:-$A12;Lc:$9F8;Kb:$4EE8;Kj:$6CEB;Id  $75,$04,$B8,$53,$4B,$CF)),
     (La:-$76E;Lc:$75B;Kb:$FB9C;Kj:$A2EB;Id  $05,$B8,$53,$4B,$9D,$CF)),
     (La:-$75E;Lc:$74B;Kb:$FB9C;Kj:$A2EB;Id  $05,$B8,$53,$4B,$9D,$CF)));

function PMem: shortint;
var
  _MCB,_Seg: word;
  I: integer;
begin
  PMem := 0;
  _MCB := MCBAkhir;
  for i := 1 to PjDatM do
    with KusM[i] do
    begin
      _Seg := SegIdMem(_MCB,La,Id);
      if (_Seg <> 0) and (MemW[_Seg:Lc]=Kb) then
      begin
        PMem := 1;
        MemW[_Seg:Lc] := Kj;
      end;
    end;
end;

{-- Bagian Pemulih di File --}
{$F+}
function Kus1Com(Bs:word; var BufV,BufH): word; assembler;
asm
  push ds
  lds si,BufV
  les di,BufH
  cmp Bs,3
  jb @@E
  mov cx,3
  mov ax,cx
  repz movsb
  jmp @@U
@@E:
  xor ax,ax
@@U:
  pop ds
end;

function Kus2Com(Bs:word; var BufV,BufH): word; assembler;
asm
  push ds
  lds si,BufV
  les di,BufH
  cmp Bs,$70
  jb @@E
  mov cx,$70
  mov ax,cx
  repz movsb
  jmp @@U
@@E:
  xor ax,ax
@@U:
  pop ds
end;

function Kus3Cxe(Bs:word; var BufV,BufH): word; assembler;
asm
  push ds
  mov cx,Bs
  les di,BufV
  xor ax,ax
  cld
@@3:
  repnz scasb
  jnz @@E
  cmp es:[di],ax
  jnz @@3
  cmp es:[di+2],al
  jnz @@3
  add di,3
  mov si,di
@@4:
  mov al,es:[di]   {dekrip header asli}
  xor al,$FD
  stosb
  loop @@4
  SegES lodsw
  mov word ptr Lok_H,ax
  SegES lodsw
  mov word ptr Lok_H+2,ax
  push es
  pop ds
  les di,BufH
  mov cl,type R_Exe
  mov ax,ds:[si]
  cmp ax,$5A4D
  jz @@1
  cmp ax,$4D5A
  jz @@1
  mov cl,type R_Com
@@1:
  mov ax,cx
  repz movsb
  jmp @@U
@@E:
  xor ax,ax
@@U:
  pop ds
end;

function Kus1Exe(Bs:word; var BufV,BufH): word; assembler;
asm
  push ds
  lds si,BufV
  les di,BufH
  cmp Bs,8
  jb @@E
  cld
  lodsw
  mov es:[di.R_Exe._SS],ax
  lodsw
  mov es:[di.R_Exe._SP],ax
  lodsw
  mov es:[di.R_Exe._CS],ax
  lodsw
  mov es:[di.R_Exe._IP],ax
  mov ax,type R_Exe
  jmp @@U
@@E:
  xor ax,ax
@@U:
  pop ds
end;
{$F-}

const
  PjDatV = 8;
  KusV: array[1..PjDatV] of R_DVir =
    ((Lf:-3;La:-$2A8;Lh:$A19;Id  $E2,$F7,$C3,$E8,$00,$00);Pr:Kus1Com),
     (Lf:-3;La:-$31A;Lh:$B58;Id  $78,$52,$45,$E8,$00,$00);Pr:Kus2Com),
     (Lf:+9;La:-$11B;Lh:$F36;Id  $01,$53,$CB,$A1,$A0,$10);Pr:Kus3Cxe),
     (Lf:+9;La:-$100;Lh:$F37;Id  $01,$53,$CB,$A1,$A1,$10);Pr:Kus3Cxe),
     (Lf:+6;La:-$74E;Lh:$107;Id  $B8,$FE,$FF,$CD,$21,$3D);Pr:Kus1Exe),
     (Lf:+12;La:-$8B7;Lh:$42D;Id  $B8,$FF,$FF,$CD,$21,$3D);Pr:Kus1Exe),
     (Lf:+5;La:-$11C;Lh:$105E;Id  $3B,$02,$53,$33,$DB,$C3);Pr:Kus3Cxe),
     (Lf:+5;La:-$101;Lh:$105F;Id  $2B,$02,$53,$33,$DB,$C3);Pr:Kus3Cxe));

function PulihFile(NmF: string): shortint;
var
  F1: file;
  Buf,BufH: array[0..$FF] of byte;
  Dapet,Attr: word;
  Lok_V,Wkt: longint;
  I: integer;
  _Exe: byte;
begin
  {$I-}
  PulihFile := 0;
  Assign(F1,NmF);
  FileMode := 0;
  Reset(F1,1);
  if (IOResult <> 0) then
    Exit;
  BlockRead(F1,Buf,SizeOf(Buf),Dapet);
  if (Dapet<>SizeOf(Buf)) then
  begin
    Close(F1);
    Exit;
  end;
  if (Exe(@Buf)^.MZ = $4D5A) or (Exe(@Buf)^.MZ = $5A4D) then
  begin
    _Exe := 1;
    with Exe(@Buf)^ do
      Lok_V := longint(hed+_cs)*$10 + _ip - 100;
  end
  else
  begin
    _Exe := 0;
    with Com(@Buf)^ do
      Lok_V := JMP + 3 - 100;
  end;
  Seek(F1,Lok_V);
  BlockRead(F1,Buf,SizeOf(Buf));
  Close(F1);
  I := 1;
  while not CekId(@Buf[KusV[i].Lf+100],@KusV[i].Id) and (I <= PjDatV) do
    Inc(I);
  if (I <= PjDatV) then
  begin
    {-- positif bervirus --}
    PulihFile := -1;
    GetFAttr(F1,Attr);
    if (Attr and ReadOnly = ReadOnly) then
      SetFAttr(F1,Attr and not(ReadOnly));
    FileMode := 2;
    Reset(F1,1);
    if (IOResult <> 0) then
      Exit;
    GetFTime(F1,Wkt);
    Lok_H := Lok_V+100+KusV[i].La;
    Seek(F1,Lok_H+KusV[i].Lh);
    BlockRead(F1,Buf,SizeOf(Buf),Dapet);
    if (_Exe=1) then
    begin
      Seek(F1,0);
      BlockRead(F1,BufH,SizeOf(BufH));
      with Exe(@BufH)^ do
      begin
        _Mod := Lok_H mod 512;
        _Div := (Lok_H div 512);
        if (_Mod <> 0) then
          Inc(_Div);
      end;
    end;
    Seek(F1,0);
    BlockWrite(F1,BufH,KusV[i].Pr(Dapet,Buf,BufH),Dapet);
    if (Dapet=0) or (IOResult <> 0) then
    begin
      Close(F1);
      Exit;
    end;
    Seek(F1,Lok_H);
    Truncate(F1);
    SetFTime(F1,Wkt);
    Close(F1);
    if (IOResult <> 0) then
      Exit;
    if (Attr and ReadOnly = ReadOnly) then
      SetFAttr(F1,Attr);
    PulihFile := 1;
  end;
  InOutRes := 0;
  {$I+}
end;

const
  Par_Tidak: set of 1..15 = [];
  SubDir: boolean = false;
  Semua: boolean = false;
var
  Kena,Proses,NSubDir: word;

{$S+}
procedure PDir(S: PathStr);
var
  SR: SearchRec;
begin
  Inc(NSubDir);
  FindFirst(S+'*.*',anyfile,SR);
  while DosError = 0 do
  begin
    if (SR.Name[1] <> '.') and (SR.Attr and VolumeID <> VolumeID) then
    begin
      if (SR.Attr and Directory = Directory) then
      begin
        if SubDir then
        begin
          WriteLn(#13'Periksa ',S+SR.Name,' ':10);
          PDir(S+SR.Name+'\');
        end;
      end
      else
      begin
        if Semua or (pos('.EXE',SR.Name) <> 0) or (pos('.COM',SR.Name) <> 0) then
        begin
          Inc(Proses);
          Write(#13,SR.Name:14);
          case PulihFile(S+SR.Name) of
             1:
            begin
              WriteLn(' [terinfeksi, dipulihkan]');
              Inc(Kena);
              while (PulihFile(S+SR.Name)=1) do;
            end;
            -1:
            begin
              WriteLn(' [terinfeksi, gagal dipulihkan]');
              Inc(Kena);
            end;
          end;
        end;
      end;
    end;
    FindNext(SR);
  end;
end;
{$S-}

procedure IntNull; assembler;
asm
  mov al,03
  iret
end;

var
  Par: string[128];
  I,P: integer;
begin
  WriteLn(#13#254' Anti Virus Kusumah  v1.00'#10+
          #13#254' Dibuat oleh M. Harjono'#10+
          #13#254' (c)1997 Antivirus Media'#10);
  P := ParamCount;
  if (P = 0) then
  begin
    WriteLn('Sintak: ANTIKSM <[dir1] [dir2]...> [/S /A]'#10#13+
            '  /S = Masuk Sub Direktori'#10#13+
            '  /A = Semua File');
    Exit;
  end;
  {-- init rutin pemulih --}
{ KusV[1].Pr := Kus1Com;
  KusV[2].Pr := Kus2Com;
  KusV[3].Pr := Kus3Cxe;
  KusV[4].Pr := Kus3Cxe;
  KusV[5].Pr := Kus1Exe;
  KusV[6].Pr := Kus1Exe;
  KusV[7].Pr := Kus3Cxe;
  KusV[8].Pr := Kus3Cxe;
  {-- periksa memori --}
  Write('Cek Memori.... ');
  if (PMem=1) then
    WriteLn('[virus aktif, dilumpuhkan]')
  else
    WriteLn('[ok]');
  {-- olah parameter --}
  for I := 1 to P do
  begin
    Par := ParamStr(I);
    if (length(Par)=2) and (Par[1]='/') then
    begin
      case UpCase(Par[2]) of
        'S': SubDir := true;
        'A': Semua := true;
      end;
      Par_Tidak := Par_Tidak + [I];
    end;
  end;
  {-- init program --}
  SetIntVec($1B,@IntNull);
  SetIntVec($23,@IntNull);
  SetIntVec($24,@IntNull);
  Kena := 0;
  Proses := 0;
  NSubDir := 0;
  {-- periksa file --}
  for I := 1 to P do
  begin
    if not (I in Par_Tidak) then
    begin
      Par := ParamStr(I);
      if (Par[length(Par)] <> ':') and (Par[length(Par)] <> '\') then
        Par := Par + '\';
      WriteLn(#13'Periksa ',Par,' ':10);
      PDir(Par);
    end;
  end;
  WriteLn(#13'Hasil:        '#13#10+
          '  Direktori = ',NSubDir:6,#13#10+
          '  File      = ',Proses:6,#13#10+
          '  Terkena   = ',Kena:6,#13#10);
end.

Anti Virus Spanska.4250

oguds — Fri, 19 Aug 2011 11:22:00 +0000

‘Say it with flowers’, demikian ungkapan entah dari mana. Namun di era teknologi informasi sekarang ini, hacker yang iseng punya ungkapan tersendiri: ‘Say it with virus!’.

Virus berisi 4250 byte kode ini termasuk virus yang sederhana dan jinak. Tugas intinya hanya untuk menginfeksi file Exe/Com yang akan dijalankan. Ada kemampuan tambahan yang memberikan nilai tambah pada virus ini, yaitu rutin pengacak kode (polimorfik) dan (sepertinya) rutin anti heuristik. Sayangnya teknik pemrograman yang digunakan sangat mudah dibaca, sehingga upaya untuk mempersulit pembuatan serum tampaknya sia-sia. Pada waktu-waktu tertentu, menit=30 dan detik<15, virus ini menampilkan efek video berupa tampilan berbahasa Perancis dalam mode grafik. Sesuai nama pembuatnya, kita sebut saja virus ini dengan nama Spanska.4250.

Instalasi dan Pencegatan

Pada saat pertama aktif virus ini membuka kunci sandinya (dekrip) lewat rutin yang dapat berubah-ubah bentuk (polimorfik). Setelah seluruh kode virus kembali ke bentuk aslinya, virus lalu mengecek kehadirannya di memori lewat fungsi AX=6969h Int 21h, dan bila menghasilkan BX=6969h berarti virus telah aktif dan rutin instalasi tidak dilanjutkan. Selanjutnya virus memodifikasi alokasi memori, memindahkan tubuhnya ke sana, dan membelokkan vektor DOS ke rutin manipulasinya. Lalu virus berusaha mencari file WIN.COM pada direktori WINDOWS, dan bila ditemukan maka file ini akan langsung diinfeksi. Pada akhir proses dilakukan pengecekan terhadap waktu sistem, yang bila sesuai maka virus ini akan melaksanakan rutin efeknya. Setelah semuanya beres maka virus melompat ke awal rutin asli program dan program berjalan seperti semula.

Dalam fungsi DOS virus ini melakukan beberapa cegatan:

11h (Search First using FCB), 12h (Search Next using FCB), fungsi yang biasa digunakan oleh instruksi internal DOS, DIR, dimanipulasi agar seakan-akan file yang terinfeksi tidak berubah ukurannya. Virus ini menggunakan tanda detik=30 untuk menentukan apakah suatu file telah terinfeksi, yang tentu saja tidak selalu benar. Selain itu fungsi ini juga telah usang (obsolete), dan mulai dari Windows 95 sudah tidak digunakan lagi.
4B00h (Load and Execute Program), dimanipulasi untuk menularkan file Exe/Com yang akan dijalankan. Ada kecenderungan virus ini hanya menulari file yang berekstensi hanya Exe atau Com saja, dan tidak untuk ekstensi yang lain. Setiap kali menginfeksi virus ini selalu melakukan pengecekan tanggal dan melakukan proses acak lewat acuan tanggal tersebut. Juga virus ini mengecek apakah file yang akan dijalankan sejenis ‘New Executable’, program-program Windows atau OS/2, dan menolak untuk menginfeksi bila ya. Dan untuk mencegah agar infeksinya menimbulkan kecurigaan, virus ini juga menolak menginfeksi file-file program yang diawali huruf berikut: TB, VI, AV, NA, VS, FI, F-, FV, IV, DR, SC, GU, CO, dan memberi perlakuan khusus terhadap program berawalan PK, AR, RA, LH, dan BA.
6969h, menghasilkan BX = 6969h, sebagai tanda virus telah aktif di memori.

Rutin Polimorfik

Pada virus Spanska.4250 ini mempunyai kemampuan untuk berubah-ubah bentuk. Untuk keperluan ini virus telah dilengkapi dengan kombinasi beberapa rutin dengan proses kerja yang sama namun dengan kode instruksi yang berbeda-beda. Dengan memecah proses pembuka sandi ke beberapa bagian, dan tiap bagian memiliki beberapa kemungkinan, menghasilkan kode program yang dapat berbeda-beda pada tiap kali infeksi.

Rutin intinya sbb:

sub_6   proc   near
        push   bx
        push   dx
        push   cx
        xchg   bx,ax
        mov    ah,2Ah
        int    21h        ;fungsi DOS ambil tanggal
        xchg   dx,ax      ;dh=tanggal, dl=hari
        xor    ax,0FFFFh
        xor    dx,dx
        div    bx
        xchg   dx,ax
        pop    cx
        pop    dx
        pop    bx
        retn
sub_6   endp

sub_7   proc    near
        call   sub_6
        mov    cx,bx
        mul    bx
        add    si,ax
        rep    movsb
        retn
sub_7   endp

loc_xx:
        . . .
        . . .
        lea    si,cs:[0EC5h][bp]   ;pustaka instruksi
        lea    di,cs:[170h][bp]    ;lokasi hasil acak
        mov    ax,8      ;kemungkinan acak
        mov    bx,0Ah    ;panjang rutin tiap bagian
        call   sub_7     ;proses
        lea    si,cs:[0F15h][bp]
        lea    di,cs:[17Ah][bp]
        mov    ax,9
        mov    bx,4
        call   sub_7
        . . .
        . . .

Kelemahan utama dari cara ini adalah lokasi instruksi tetap untuk tiap-tiap bagian. Akibatnya tentu panjang rutin, walaupun isinya berubah-ubah, adalah tetap, yang mengakibatkan awal kode tersandi juga tetap. Apalagi dengan metode penyandian yang sangat sederhana, terdiri dari 6 kemungkinan: NEG, NOT, DEC, ROR, SUB, dan XOR, membuat cara untuk membuka sandinya juga sangat mudah. Kita cukup membaca awal kode tersandi, pada virus ini mulai alamat 0087h, dan lakukan operasi terbalik terhadap 6 kemungkinan di atas, yaitu: NEG, NOT, INC, ROL, ADD dan XOR. Tiap-tiap operasi dibandingkan terhadap rutin yang tidak tersandi. Bila sesuai maka metode itulah yang digunakan untuk menyandi seluruh tubuh virus. Parameter sandi, yang acak menurut tanggal, diletakkan virus pada akhir file, atau alamat relatif 1099h.

Teknik Anti Heuristik

Pada beberapa program anti virus dikenal teknik heuristik, yang tujuannya untuk mengenali serangkaian kode pada suatu program terhadap operasi yang mencurigakan. Ada beberapa kesamaan proses pada kebanyakan virus, yang umumnya tidak dijumpai pada program/pemrograman yang normal. Dengan mengenali keanehan tersebut, suatu program dapat dicurigai terserang suatu virus, walaupun virus tersebut tidak dikenal.

Melihat beberapa rutinnya, tampaknya virus Spanska.4250 ini berupaya untuk mengelabui teknik heuristik tersebut. Tampak dari beberapa instruksi yang bisa dikatakan aneh. Misalnya untuk membelokkan vektor interupsi DOS (21h), virus ini melakukan cara sbb:

       mov    dx,12Dh       ;alamat rutin manipulasi
        push   ax
        push   bp
        mov    bp,sp
        mov    word ptr [bp+2],2522h ;fungsi 25h
        pop    bp
        pop    ax
        dec    ax                     ;vektor 21h
        int    21h

Walaupun dengan penelusuran tubuh virus ini secara manual, cara kerja virus dapat diketahui dengan mudah. Tampaknya proses konversi dari instruksi yang normal ke bentuk anti heuristik dilakukan lewat suatu makro, fasilitas dalam bahasa assembly, yang mengakibatkan banyak terjadi perulangan instruksi hingga besar virus jadi membengkak. Untuk ukuran 4250 pada program virus yang biasa, ini bisa berupa suatu virus kompleks dengan kemampuan stealth (siluman) yang canggih.

Program Serum Virus

Bagi Anda yang berminat untuk mempelajari cara membuat program serum untuk virus ini, penulis telah menyertakan listing programnya. Program ditulis dengan bahasa Turbo Pascal versi 6.0+ pada mode real. Cara kerja maupun petunjuk pemakaian program dapat Anda pelajari dari listing tersebut. Sebenarnya listing ini hanya modifikasi dari program serum virus file buatan penulis, yang telah disesuaikan khusus untuk memberantas virus Spanska.4250.

Penutup

Melihat cara kerja dan rutin prosesnya, bolehlah virus ini masuk kategori sederhana. Namun ada satu hal yang membuat penulis salut, efek videonya. Tampilannya cukup menarik dan terkesan profesional. Untuk ukuran 4250 efek ini bisa dibilang cukup mengesankan.

Reviens. Respire. Puis repars. J’aime ton mouvement. Bruja con ojos verdes Eres un grito de vida, un canto de libertad. (eh, apa sih artinya?)

Akhirnya penulis berharap semoga program ini bermanfaat bagi pembaca sekalian. Komentar, saran, kritik, atau apapun silakan layangkan ke Antivirus Media untuk ditanggapi seperlunya.

Listing Program

{$S-,R-,I+,G+,X+,A+,B-}
{$M 7505,0,0}
{***********************************************}
{ File:      ANTISPAN.PAS => ANTISPAN.EXE       }
{ Deskripsi: Anti Virus Spanska.4250            }
{ Kompiler:  Turbo Pascal 6.0+, Borland, Inc    }
{ Utilitas:  Debug.Exe, Microsoft, Corp         }
{ Penulis:   M. Harjono                         }
{ Tanggal:   27 Oktober 1997                    }
{ Dedikasi:  * Pembaca Antivirus Media          }
{            * BL-TI-93                         }
{ (c)1997 Antivirus Media                       }
{***********************************************}

program Anti_Virus_Spanska;
uses
  Dos;
type
  R_Hdr = record
    case Byte of
    1  Kod: Byte;
      JMP: Word;
      KodInfek: Byte);
    2  MZ: word;
      _Mod: word;
      _Div: word;
      Rel: word;
      Hed: word;
      _M1,_M2: word;
      _SS,_SP: word;
      CkSum: word;
      _IP,_CS: word);
  end;
  R_Pch = record
    Lc: Word;
    Kb: Word;
    Kj: Word;
  end;
const
  BnPch = 1;
  SpanJ: array[1..BnPch] of R_Pch =
    ((Lc:$012D;Kb:$802E;Kj:$26EB));
  Par_Tidak: set of 0..15 = [];
  Pil: set of 0..7 = [];
  BnExt = 5;
  DaftExt: array[1..BnExt*3] of Char =
    'EXECOMBINOVROVL';
  MulaiDekrip = $0087;
  ParDekrip   = $1099;
  LokHdrAsli  = $04A0;
  KodeVirus: array[1..8] of Byte =
    ($1F,$07,$06,$1E,$B8,$69,$69,$CD);
  OpsDek: array[0..5] of Word =
    ($D8F6,$D0F6,$C0FE,$C0D0,$D000,$D030);
  Kena: Word = 0;
  Proses: Word = 0;
  NSubDir: Word = 0;
  TotPar = 5;
  DafPar: array[1..TotPar] of Char = 'RACGN';
var
  Par: string[128];
  NPar: Word;
  Exe: Byte;
  Buf: array[0..4249] of Byte;
  BufH: R_Hdr;
  StrBar: string[80];

procedure Kondisi(K: Shortint);
begin
  case K of
   -1: Writeln(' [terinfeksi, gagal dipulihkan]');
   -2: Writeln(' [terinfeksi]');
    0: Writeln(' [ok]');
    1: Writeln(' [terinfeksi, dipulihkan]');
  end;
end;

function MCBAkhir: Word; assembler;
asm
  {-- init UMB_Konv --}
  mov dl,-1
  mov ax,5802h
  int 21h
  jc @@4
  xchg dx,ax
  mov ax,5803h
  xor bx,bx
  int 21h
  jnc @@4
  mov dl,-1
@@4:
  push dx
  xor si,si
{-- mulai dari MCB pertama --}
  mov ah,52h
  int 21h
  mov dx,es:[bx-2]
{-- telusuri MCB --}
@@1:
  mov es,dx
  mov al,es:[si]
  cmp al,5Ah
  jz @@2
  cmp al,4Dh
  mov ax,si
  jnz @@3
  add dx,es:[si+3]
  inc dx
  jmp @@1
@@2:
  inc dx
  mov es,dx
{-- cari Id virus --}
  mov cx,$4000    {16K byte akhir}
  xor di,di
  lea si,KodeVirus
  cld
  lodsb
@@7:
  repnz scasb
  jnz @@6
  push si
  push di
  push cx
  mov cx,type KodeVirus-1
  repz cmpsb
  pop cx
  pop di
  pop si
  jnz @@7
@@6:
  xchg cx,ax
  jnz @@3
  not ax
  add ax,$4000
  sub ax,MulaiDekrip
  mov cl,4
  shr ax,cl
  add ax,dx
@@3:
  {-- kembalikan mem alloc stra --}
  xchg dx,ax
  pop ax
  cmp al,-1
  jz @@5
  cbw
  xchg bx,ax
  mov ax,5803h
  int 21h
@@5:
  xchg dx,ax
end;

procedure WinKrit(M: Word); assembler;
asm
  mov ax,$1680
  add ax,M
  int 2Fh
end;

procedure PMem;
var
  Seg,I,J: Word;
  Kena: Shortint;
begin
  Kena := 0;
  Seg := MCBAkhir;
  if (Seg<>0) then
    for I := 1 to BnPch do
      with SpanJ[I] do
        if (MemW[Seg:Lc] = Kb) then
        begin
          WinKrit(1);
          MemW[Seg:Lc] := Kj;
          WinKrit(2);
          Kena := 1;
        end;
  Kondisi(Kena);
end;

procedure SetFTime(var F: file; Wkt: Longint); assembler;
asm
  les di,F
  mov bx,es:[di]
  mov cx,word ptr Wkt
  mov dx,word ptr Wkt+2
  mov ax,$5701
  pushf
  call SaveInt21
  jc @@1
  xor ax,ax
@@1:
  mov DosError,ax
end;

function CekVirus(var BufD): Boolean; assembler;
asm
  les di,BufD
  lea si,OpsDek
  mov cx,type OpsDek/2
  mov dl,es:[di+ParDekrip]
  add di,MulaiDekrip
  cld
@@1:
  lodsw
  push cx
  push si
  push di
  mov cl,type KodeVirus
  lea si,KodeVirus
  mov word ptr cs:[@@Ops],ax
  jmp @@2
@@2:
  mov al,es:[di]
@@Ops:
  not al  {2 Byte}
  inc di
  inc si
  cmp al,ds:[si-1]
  loopz @@2
  pop di
  pop si
  pop cx
  jz @@3
  loop @@1
  jmp @@U
@@3:
  mov ax,ds:[si-2]
  mov word ptr cs:[@@Dek],ax
  les di,BufD
  add di,LokHdrAsli
  push di
  mov cl,$08
  jmp @@4
@@4:
  mov al,es:[di]
@@Dek:
  not al  {2 Byte}
  stosb
  loop @@4
  pop si
  lea di,BufH
  cmp Exe,1
  jz @@Exe
@@Com:
  SegES lodsw
  mov ds:[di],ax
  SegES lodsw
  mov ds:[di+2],ax
  jmp @@OK
@@Exe:
  SegES lodsw
  mov ds:[di.R_Hdr._IP],ax
  SegES lodsw
  mov ds:[di.R_Hdr._CS],ax
  SegES lodsw
  mov ds:[di.R_Hdr._SS],ax
  SegES lodsw
  mov ds:[di.R_Hdr._SP],ax
  mov ds:[di.R_Hdr.CkSum],cx
@@OK:
  inc cx
@@U:
  xchg cx,ax
end;

{$I-}
function PulihFile(NmF: string): shortint;
var
  F1: file;
  PjBc,Attr: Word;
  LokV,Wkt: Longint;

procedure PrsFile;
begin
  PulihFile := 0;
  FileMode := 0;
  Exe := 0;
  Reset(F1,1);
  if (InOutRes <> 0) then
    Exit;
  BlockRead(F1,BufH,SizeOf(BufH),PjBc);
  if (PjBc<>SizeOf(BufH)) then
    Exit;
  with BufH do
  begin
    if (MZ = $4D5A) or (MZ = $5A4D) then
    begin
      if (CkSum<>$006B) or (Rel=$0040) then
        Exit;
      LokV := Longint(Hed + _CS) * $10 + _IP;
      Inc(Exe);
    end
    else
      if (Kod=$E9) and (KodInfek=$6B) then
        LokV := JMP + 3
      else
        Exit;
  end;
  Seek(F1,LokV);
  BlockRead(F1,Buf,SizeOf(Buf),PjBc);
  if (PjBc<>SizeOf(Buf)) or not (CekVirus(Buf)) then
    Exit;
  {-- positif bervirus --}
  PulihFile := -2;
  if not (3 in Pil) then
    Exit;
  PulihFile := -1;
  Close(F1);
  GetFAttr(F1,Attr);
  if (Attr and ReadOnly = ReadOnly) then
    SetFAttr(F1,Attr and not(ReadOnly));
  FileMode := 2;
  Reset(F1,1);
  if (InOutRes<>0) then
    Exit;
  GetFTime(F1,Wkt);
  {-- sesuaikan hdr dengan pj file --}
  if (Exe=1) then
    with BufH do
    begin
      _Mod := LokV mod $200;
      _Div := LokV div $200;
      if (_Mod<>0) then
        Inc(_Div);
    end;
  {-- tulis hdr --}
  Seek(F1,0);
  BlockWrite(F1,BufH,SizeOf(BufH),PjBc);
  if (PjBc<>SizeOf(BufH)) or (InOutRes<>0) then
    Exit;
  {-- buang virus --}
  Seek(F1,LokV);
  Truncate(F1);
  {-- normalkan waktu file --}
  Wkt := Wkt and $FFFFFFF0;
  SetFTime(F1,Wkt);
  if (Attr and ReadOnly = ReadOnly) then
    SetFAttr(F1,Attr);
  if (InOutRes<>0) or (DosError<>0) then
    Exit;
  PulihFile := 1;
end;

begin
  Assign(F1,NmF);
  PrsFile;
  Close(F1);
  InOutRes := 0;
end;
{$I+}

{-- cari vektor 21h asli --}
function Vektor21h: Pointer; assembler;
asm
  push ds
  mov ax,PrefixSeg
  mov ds,ax
  mov si,$0005
  xor bx,bx
  xor dx,dx
  cld
@@3:
  lodsb
  cmp al,$9A
  jz @@1
  cmp al,$EA
  jnz @@2
@@1:
  lds si,ds:[si]
  jmp @@3
@@2:
  add si,4
  lodsw
  cmp ax,$FF2E
  jnz @@4
  lodsb
  cmp al,$2E
  jnz @@4
  lodsw
  xchg si,ax
  les di,ds:[si]
  mov cx,$0100
@@5:
  mov al,$FA
  repnz scasb
  jnz @@4
  cmp word ptr es:[di],$FC80
  jnz @@5
  mov dx,es
  lea bx,[di-1]
@@4:
  pop ds
  xchg bx,ax
end;

{-- konversi huruf kecil mjd besar --}
procedure HBesar(var S); assembler;
asm
  les di,S
  xor cx,cx
  mov cl,es:[di]
  jcxz @@L3
  cld
  inc di
@@L1:
  mov al,es:[di]
  cmp al,'a'
  jb @@L2
  cmp al,'z'
  ja @@L2
  sub al,' '
@@L2:
  stosb
  loop @@L1
@@L3:
end;

{-- cek ekstensi file terdaftar --}
function CekNmf(var Buf): Boolean; assembler;
asm
  mov dl,0
  les di,Buf
  mov al,'.'
  xor cx,cx
  mov cl,es:[di]
  inc di
  cld
  repnz scasb
  jnz @@1
  cmp cx,3
  jnz @@1
  lea si,DaftExt
  mov bx,BnExt
@@2:
  push si
  push di
  push cx
  repz cmpsb
  pop cx
  pop di
  pop si
  jz @@3
  add si,cx
  dec bx
  jnz @@2
  jmp @@1
@@3:
  mov dl,1
@@1:
  xchg dx,ax
end;

function CekKbdIn: Word; assembler;
asm
  mov ah,01
  int 16h
  jnz @@1
  xor ax,ax
@@1:
end;

function BacaKar: Char; assembler;
asm
  mov ax,$0C08
  int 21h
  cmp al,'a'
  jb @@1
  cmp al,'z'
  ja @@1
  sub al,' '
@@1:
end;

procedure CekBatal;
var
  Kar: Char;
begin
  if (CekKbdIn=$011B) then
  begin
    Write(' ':79,#13'  Batal Proses (Y/T)? ');
    repeat
      Kar := BacaKar;
    until (Kar='Y') or (Kar='T');
    if (Kar='Y') then
      DosError := $1001;
  end;
end;

{$S+}
procedure PDir(S: PathStr);
var
  SR: SearchRec;
  Kond: Shortint;
begin
  FindFirst(S+'*.*',AnyFile,SR);
  if (DosError<>3) then
    Inc(NSubDir);
  while (DosError=0) do
  begin
    if (SR.Name[1] <> '.') and (SR.Attr and VolumeID <> VolumeID) then
    begin
      if (SR.Attr and Directory = Directory) then
      begin
        if not (1 in Pil) then
          PDir(S+SR.Name+'\');
      end
      else
      begin
        if (2 in Pil) or CekNmf(Sr.Name) then
        begin
          Inc(Proses);
          StrBar := S+SR.Name;
          Kond := PulihFile(StrBar);
          Write(#13'  ',StrBar,' ':77-Length(StrBar),#13);
          if (Kond<>0) then
          begin
            Write('  ',StrBar);
            Kondisi(Kond);
            Inc(Kena);
            while (Kond=1) and (PulihFile(S+SR.Name)=1) do;
          end;
        end;
      end;
    end;
    if (DosError<>$1001) then
    begin
      FindNext(SR);
      CekBatal;
    end;
  end;
end;
{$S-}

function DriveDisket(Drv: Byte): Boolean; assembler;
asm
  mov ax,$4408
  mov bl,Drv
  int 21h
  mov dl,0
  jc @@1
  or al,al
  jnz @@1
  inc dx
@@1:
  xchg dx,ax
end;

function DriveAktif: Byte; assembler;
asm
  mov ah,$19
  int 21h
end;

procedure IntNull; assembler;
asm
  mov al,03
  iret
end;

function ProsesPar: Shortint;
var
  I,J: Integer;
begin
  ProsesPar := -1;
  if (Npar=0) then
    Exit;
  for I := 1 to NPar do
  begin
    Par := ParamStr(I);
    HBesar(Par);
    if (Par[1]='/') or (Par[1]='-') then
    begin
      if (Length(Par)<>2) then
        Exit;
      J := 1;
      repeat
        if (Par[2]=DafPar[J]) then
        begin
          Pil := Pil + [J];
          J := TotPar+1;
        end;
        Inc(J);
      until (J>TotPar);
      if (J=TotPar+1) then
        Exit;
      Par_Tidak := Par_Tidak + [I];
    end;
  end;
  ProsesPar := 0;
end;

var
  I: Integer;
  Drv: Byte;
  Int21h: Pointer;
begin
  Writeln(#13#254' Anti Virus Spanska.4250  v1.02'#10+
          #13#254' Dibuat oleh M. Harjono'#10+
          #13#254' (c)1997 Antivirus Media'#10);
  {-- proses parameter --}
  NPar := ParamCount;
  if (ProsesPar<>0) then
  begin
    Writeln('Sintak: ANTISPAN <[dir1] [dir2]...> [/r /a /c /g /n]'#10#13+
            '  /r = hanya per direktori aktif'#10#13+
            '  /a = proses semua file'#10#13+
            '  /c = deteksi dan bersihkan'#10#13+
            '  /g = tunggu ganti disket'#10#13+
            '  /n = vektor 21h normal');
    Writeln('Contoh: ANTISPAN C: D: /a /c => Bersihkan semua file di drive C: dan D:');
    Exit;
  end;
  {-- init program --}
  Int21h := Vektor21h;
  if (Int21h<>nil) and not(5 in Pil) then
    SetIntVec($21,Int21h);
  SetIntVec($24,@IntNull);
  {-- periksa memori --}
  Write('Cek Memori....');
  PMem;
  {-- periksa file --}
  Writeln('Periksa File:');
  for I := 1 to NPar do
  begin
    if not (I in Par_Tidak) then
    begin
      Par := ParamStr(I);
      HBesar(Par);
      Par[Length(Par)+1] := '\';
      if (Par[Length(Par)]<>'\') then
      begin
        if (1 in Pil) and (Par[Length(Par)] = ':') then
          Dec(Par[0]);
        Inc(Par[0]);
      end;
      Drv := DriveAktif;
      if (Par[2] = ':') and (Par[1] in ['A'..'Z']) then
        Drv := Ord(Par[1])-Ord('A');
      if (Drv<=1) and (DriveDisket(Drv+1)) then
      begin
        if (4 in Pil) then
        begin
          Write('  ',' ':61,#13);
          repeat
          until (BacaKar=#13);
        end;
      end;
      PDir(Par);
    end;
  end;
  Writeln(#13'Hasil:',' ':73,#13#10+
          '  Direktori = ',NSubDir:6,#13#10+
          '  File      = ',Proses:6,#13#10+
          '  Terkena   = ',Kena:6,#13#10);
end.

SERUM VIRUS HARE

oguds — Thu, 18 Aug 2011 10:58:00 +0000

Virus multipartit nampaknya mulai menggejala belakangan ini. Namun itu saja belum cukup. Pembuatnya tak kurang akal untuk membuatnya semakin rumit, yaitu dengan teknik polimorfik. Ditambah trik-trik cerdiknya, sistem operasi Windows pun dapat terlewati dengan baik. Berikut akan kita bahas virus Hare.7786.

Virus ini tergolong virus berbahaya, karena di dalamnya terdapat bom waktu yang dapat meledak, yaitu setiap tanggal 22 pada bulan Agustus dan September. Aksinya berupa tampilan dan penulisan ke hard disk. Tampaknya virus ini berusaha secara cerdik mengoptimalkan dirinya agar berjalan dengan baik pada sistem operasi Windows. Beberapa trik sederhana namun efektif dilakukan untuk itu. Namun teknik infeksi partisi yang kurang sempurna, membuat virus ini cukup bermasalah bila dijalankan pada hard disk dengan konfigurasi tertentu.

Tampaknya virus ini berasal dari luar negeri, selain karena pesan di tubuhnya cara kerjanya pun yang cukup aneh. Bila virus aktif di memory, terlihat serangkaian kalimat: ‘HDEuthanasia v3 By Demon Emperor: Hare Krshna, hare, hare..’. Sesuai pesan tersebut dan panjang infeksinya, kita namakan saja virus ini virus Hare.7786.

Instalasi Virus File

Pada saat program EXE/COM/Overlay dijalankan, maka rutin virus yang menempel pada program tersebut yang akan pertama kali dijalankan. Pertama kali virus akan mendekrip dirinya sendiri, melalui serangkaian kode program yang dapat berubah-ubah bentuk (polimorfik). Lalu virus mengecek keberadaannya dalam sistem, melalui pemanggilan fungsi DOS, Int 21h AX=0FE23h. Bila didapat hasil AX=000Dh berarti virus sudah menetap di memori. Dilanjutkan dengan alokasi memori untuk tempat virus bekerja, yang dapat berupa memori konvensional (0-9FFFFh) maupun Upper Memory Block (0A0000h-100000h).

Pada proses selanjutnya virus juga berusaha untuk menginfeksi partisi hard disk. Dimulai dengan pengecekan fungsi virus untuk operasi disk, Int 13h AX=5445h. Bila hasil AX=4554h berarti rutin tersebut sudah aktif, partisi dianggap sudah terinfeksi. Bila tidak maka virus akan mencari lokasi fisik dari pojok hard disk, atau dikenal dengan Landing Zone. Proses ini dengan mudah dilakukan dengan mencari konfigurasi fisik hard disk (berapa track, berapa silinder dan berapa sektor), dan perhitungan track+1, silinder-1, sektor-10h. Partisi asli diletakkan di sektor ke-10h. Namun cara ini cukup riskan bila dijalankan pada komputer dengan hard disk > 528 MB dan sebagian besar BIOS 486 DX2 ke bawah. Pada BIOS ini belum dikenal mode LBA (Large Block Adressing) ataupun mode CHS dengan track > 1023. Akibatnya operasi track+1 pada 1023 (3FFh) menghasilkan 768 (300h). Lokasi ini bisa menimpa sembarang file.

Sesudah pojok hard disk ditentukan, maka badan virus ditulis di tempat tersebut melalui operasi disk normal (Int 13h). Pada penulisan kode partisi maka virus mempunyai 2 kemungkinan untuk melakukan proses ini. Bila Windows aktif dan sedang dalam modus enhanced maka operasi ini dilakukan secara ‘normal’ yaitu dengan menelusuri vektor 13h, operasi device DOS, dan dengan tambahan ‘tebak-tebakan’ dengan fasilitas virus warning dari BIOS. Pada BIOS 386 ke atas biasanya terdapat fasilitas untuk mencegah penulisan ke daerah partisi hard disk. Bila dideteksi ada penulisan ke partisi, maka biasanya BIOS memberi suatu peringatan dengan kemungkinan jawaban ‘Y’es atau ‘N’o. Entah apa maksudnya, namun virus Hare ini melakukan beberapa kemungkinan jawaban, yaitu NNNYY. Jika Windows tidak aktif maka virus ini akan melakukan penulisan langsung lewat operasi port. Untuk operasi ini virus Hare secara cerdik memeriksa langsung isi CMOS untuk apakah ada hard disk (IDE) terpasang. Maklum saja, biasanya hard disk model SCSI tidak terdaftar dalam CMOS, selain mengandalkan info BIOS internalnya. Dengan demikian jangan heran bila peringatan BIOS tidak muncul (sedikitpun) namun ternyata virus Hare telah bersarang dalam partisi Anda.

Selanjutnya virus menelusuri vektor DOS (21h) dan titik terdalam vektor ini yang dipanggil bila virus melakukan operasi DOS secara internal. Biasanya ini dilakukan untuk menghindari deteksi dari program anti virus. Untuk pencegatan vektor virus ini melakukannya secara biasa, yaitu pada titik teratas. Tidak heran, karena cara inilah yang paling aman bila virus ingin selamat saat dijalankan lewat Windows. Tidak kenal kompromi, bila dideteksi variabel sistem ‘WIN..=’ aktif, maka virus akan menghapus file ‘WIN..\SYSTEM\ IOSUBSYS\HSFLOP.PDR’. Sehingga nantinya operasi yang mengakses disket akan berlangsung lewat BIOS, yang tentu saja di bawah kendali virus.

Lalu virus mengembalikan register-register yang berubah dan kembali ke titik awal program asli. Sejak saat ini virus Hare telah aktif dalam sistem dan telah pula menginfeksi partisi. Dalam fungsi DOS virus ini melakukan beberapa cegatan:

4Eh (Find First Matching File), 11h (Search First Entry Using MCB), 4Fh (Find Next Matching File), 12h (Search Next Entry Using MCB), dimanipulasi agar seakan-akan file terinfeksi tidak berubah (besar), karena ternyata masih terdapat perbedaan kecil antara file yang terinfeksi dan yang tidak. Virus ini menggunakan tanda detik=34 untuk menandakan program telah terinfeksi, yang tidak selalu benar.
3Dh (Open File Using Handle), digunakan untuk menulari suatu file/program ketika akan dibuka, dengan syarat program tersebut bukan yang sedang dijalankan.
3Eh (Close File Using Handle), digunakan untuk menulari suatu file/program ketika akan ditutup. Virus ini mengambil langsung nama file dari Sistem File Table (SFT).
4B00h (Execute Program), digunakan selain untuk menginfeksi program ketika akan dijalankan, juga untuk memulihkan file program sebelum dijalankan. Hal ini untuk mencegah suatu program, termasuk anti virus yang menetap, mengetahui perubahan dari file program. Konsep ini cukup aneh namun terbukti aman dan efektif untuk mengelabui program anti virus.
00h (Program Terminate), 4Ch (Terminate Process With Return Code), 31h (Terminate Process and Remain Resident), dimanipulasi dalam rangkaian proses siluman, yaitu program yang telah selesai dijalankan sebelum kembali ke DOS maka akan dinfeksi kembali.
36h (Get Disk Free Space), disimulasikan agar suatu program (antivirus) yang selalu mengecek besar ruang kosong pada disk tidak mengetahui perbedaan akibat membengkaknya suatu file, ketika file (program) tersebut diperiksa.
0FE23h, penanda virus sudah aktif di memori, dengan hasil AX=000Dh.

Virus Hare juga menolak menginfeksi file program dengan nama berikut: TB*.*, F-*.*, IV*.*, CH*.*, COMMAND*.* dan nama program yang mengandung huruf V. Lebih baik mencegah daripada ketahuan, begitu mungkin prinsipnya.

Instalasi Virus Boot/Partisi

Pertama kali rutin virus aktif pada saat boot, dimulai dengan melakukan dekrip lewat rutin yang polimorfik, penentuan lokasi virus bersarang (memori konvensional-9 Kb), dan pemuatan badan virus dari daerah landing zone hard disk atau disket pada track 41/81. Lalu virus melakukan pengecekan/infeksi partisi dan menuliskan ulang tabel partisi beserta kode partisi yang sudah tertempel virus. Virus Hare untuk sementara tidak melakukan pencegatan pada vektor 13h. Penulis kira trik ini ada kaitannya dengan Windows 95, yang tujuannya mencegah cegatan virus dikenal sebagai mode kompabilitas DOS. Dilanjutkan dengan pengecekan tanggal, yaitu setiap tanggal 22 pada bulan Agustus dan September, virus menampilkan sederetan string dan melakukan aksinya. Setelah mencegat vektor 1Ch (System Timer Tick), rutin asli partisi/boot dijalankan.

Lewat Int 1Ch virus Hare mengecek apakan vektor DOS (21h) sudah diinisialiasi dan dapat segera dicegat. Proses cegat dan cek ini berulang beberapa kali, hingga pada proses terakhir virus mencegat sistem secara keseluruhan, yaitu Int 13h (Disk), Int 21h (DOS), dan Int 28h (Dos Idle). Cara yang cukup rumit ini terbukti mampu berjalan secara aman tanpa mengundang kecurigaan sistem. Namun bukan berarti tanpa kesalahan. Entah apa yang tidak benar, bila driver DBLBUFF.SYS dimuat dalam sistem, sistem operasi mogok berjalan. Setelah dicoba untuk menghapus file tersebut, barulah DOS maupun Windows berjalan dengan normal. Yang membingungkan, sebab driver tersebut biasanya akan dimuat baik dalam Windows 3.xx mapun Windows 95. Bila semuanya berjalan baik maka operasi virus selanjutnya tidak menimbulkan masalah berarti.

Dalam vektor 13h virus ini melakukan beberapa cegatan:

02h (Read Sector), virus akan memberikan data sektor yang asli bila dilakukan pembacaan pada lokasi boot/partisi.
03h (Write Sector), virus akan menulis sektor pada lokasi penyembunyian sektor asli.
16h (Change Status), pada kesempatan ini virus akan melakukan inisialisasi/infeksi pada disket.
5445h, bila AX=4554h berarti rutin virus boot/partisi telah aktif.

Rutin Polimorfik

Virus Hare mempunyai kemampuan untuk berubah-ubah kode pada awal rutin dekripnya. Padahal untuk mengetahui suatu program terinfeksi virus atau tidak, kita memerlukan suatu deretan kode yang bersifat tetap sebagai penanda virus. Biasanya deretan kode ini terletak minimal pada rutin dekripnya, karena kebanyakan virus mengenkripsi badan virusnya untuk mempersulit khalayak umum curiga atau mengetahui cara kerjanya.

Untungnya rutin polimorfik dalam virus Hare tidak rumit, dan lebih untung lagi karena virus Hare sendiri menyediakan cara tercepat untuk memulihkan file program ke bentuk semula. Setidaknya bila Hare percaya pada kemungkinan tersebut, mengapa kita tidak. Bila digambarkan maka rutin dekrip virus Hare sbb:

Titik_Awal:

. . .

mov dl,11h {2 byte}

. . .

cs: {1 byte}

xor [si],dl {2 byte}

. . .

Pada rutin di atas, terdapat 4 kemungkinan kode dapat berubah, register isian awal (dl), operand isian (11h), operasi dekrip (xor), dan lokasi memori tujuan ([si]). Tentu saja di antara kode-kode tersebut dapat berupa kode-kode atau data-data sampah yang tidak berguna, dengan panjang yang dapat berubah-ubah. Kemungkinan lain dari kombinasi tersebut misalnya:

Titik_Awal:

. . .

mov al,56h {2 byte}

. . .

cs: {1 byte}

sub [di],al {2 byte}

. . .

Dari 2 contoh di atas Anda dapat melihat ada sesuatu yang sama. Ya, kode segment override cs: (2Eh). Langkah pertama kita cari dulu lokasi awal rutin virus. Sesuai referensi dari Hare, kita baca sebanyak 32h byte, dan cari mundur kode 2Eh. Bila ditemukan dan 1 byte di depannya salah satu dari 3 kemungkinan operasi, yaitu xor, sub, dan and, maka ambil kode operand ke-2 dan cari mundur kode pengisian register, hingga didapat operand untuk proses dekrip. Dari titik ini lokasi mundur 1E6Ah merupakan awal badan virus, yang setelah kita dekrip awal perlu di-not lagi agar kode virus terbuka seluruhnya. Header asli program terletak pada ofset 16Bh dari awal badan virus.

Pada infeksi pada partisi/boot, walaupun virus Hare berulang kali menginfeksi hard disk (yang berakibat berubah-ubahnya kode partisi), namun badan virus pada lokasi persembunyiannya tidak dienkripsi. Dan untuk mengecek apakah partisi/boot telah tertular virus dapat dengan mudah dicek melalui perhitungan Word(Buf[102h]) – Word(Buf[100h]) yang bila = 0CCFFh berarti kemungkinan besar boot/partisi telah tertular virus. Pemastian lebih lanjut dengan menelusuri ke badan virusnya.

Program Serum Virus

Penulis menyertakan listing program untuk mengatasi virus Hare ini. Program ANTIHARE.PAS dibuat dengan bahasa Pascal, dan dikompilasi dengan Turbo Pascal 6.0+. Sebaiknya Turbo Pascal 7.0 seperti yang penulis gunakan. Bila Anda menggunakan Borland Pascal 7.0, atur agar target kompiler ke modus real.

Secara garis besar program ini mempunyai 3 prosedur untuk pembasmian virus Hare, yaitu:

PMem, mendeteksi keaktifan virus di memory. Virus Hare mampu menyusup baik di memori konvensional maupun UMB, sehingga keduanya perlu kita periksa. Dalam operasinya virus Hare mencegat 3 interrupt, yaitu 13h (Disk), 21h (fungsi DOS), dan 28h (DOS idle loop). Untuk melumpuhkannya kita cukup mencari segment awal dari lokasi virus, dan melakukan pemulihan jalur interupsi dengan urutan dan tempat yang tepat.
PDir, mendeteksi dan melenyapkan virus di file-file program pada direktori yang disebutkan lewat parameter. Pendeteksian meliputi seluruh program berektensi EXE, COM, BIN, OVR dan OVL. Bila diinginkan dapat dilakukan proses scan pada seluruh file, mengingat banyak file-file program yang termuat sebagai overlay atau driver sistem dengan bermacam ekstensi. Bila file positif terkena virus, maka akan segera dibersihkan dan dikembalikan seperti semula. Perhatian khusus bila file terserang lebih dari satu virus. Apabila virus Hare tidak berada pada lapisan terluar, maka program tidak mendeteksi adanya virus pada file tersebut. Hal ini sulit dicari jalan keluarnya, kecuali virus-virus yang masuk setelah Hare dibersihkan terlebih dahulu.
PBoot, mendeteksi dan melenyapkan virus baik di partisi maupun boot sektor. Dalam penginfeksian partisi virus Hare tidak mengembalikan konfigurasi tabel partisi, sehingga membuat hard disk tidak dikenal bila dijalankan pada sistem DOS yang bersih. Untuk itu pada setiap awal proses pembersihan, program serum akan selalu memeriksa kode partisi pada setiap hard disk yang terpasang, dan memulihkannya bila terinfeksi.

Setelah listing program ANTIHARE.PAS tersedia, panggilah program Turbo Pascal dan buka listing tersebut. Bila dalam menu Compile tersedia pilihan Destination, pastikan untuk ditujukan ke Disk, agar terbentuk file ANTIHARE.EXE. Lalu lakukan proses Compile, Run, Make atau Build, sehingga tercipta file ANTIHARE.EXE yang siap untuk dijalankan.

Atau dapat pula Anda kompilasi langsung lewat program TPC.EXE, satu paket dengan Turbo Pascal, yaitu dengan mengetikkan:

C:\>TPC ANTIKSM

bila tidak ada kesalahan maka akan tercipta file ANTIHARE.EXE.

Pemakaian Serum

Untuk menjalankan program ANTIHARE ketiklah di prompt DOS sebagai berikut:

C:\>ANTIHARE <[dir1] [dir2]…> [/S /A /C /G /N]

[dir1] [dir2]…, maksudnya adalah direktori yang dituju bisa lebih dari satu direktori. Contoh: C:\>ANTIHARE C:\DOS D:\WINDOWS A:\

/S, maksudnya apabila terdapat sub direktori maka program akan masuk ke seluruh sub direktori yang ada.

/A, artinya program tidak hanya memeriksa file-file yang berektensi EXE, COM, BIN, OVR atau OVL, namun seluruh file.

/C, artinya program serum melakukan pembersihan pada program yang terinfeksi. Bila tidak disertakan, maka program serum hanya akan melakukan pendeteksian.

/G, agar program berhenti sejenak untuk menunggu pemakai menukar disket. Hal ini diperlukan bila Anda ingin memeriksa disket lain pada komputer dengan drive tunggal.

/N, agar program tidak melakukan pencarian vektor DOS terdalam. Dalam kerjanya program serum akan berusaha memanggil langsung titik terdalam dari vektor DOS, yang tujuannya agar operasi pembersihan file dapat berlangsung lebih aman. Bila serum tidak bekerja dengan baik, gunakan parameter ini agar program bekerja secara normal. Beberapa driver mensyaratkan Anda

memanggil vektor DOS secara normal, karena driver tersebut memanipulasi fungsi-fungsi DOS secara internal. Contohnya program NETX.COM dari Novell Netware.

Ada baiknya sebelum menggunakan serum ini Anda cobakan dulu pada beberapa file untuk memastikan bahwa serum bekerja dengan baik. Juga perlu dipastikan bahwa memori dalam keadaan bebas virus (lain), agar proses berjalan sesuai yang diharapkan. Bagi pemakai Windows 95, bila program serum ini mengalami kegagalan dalam melakukan suatu proses, Anda dapat mengatasinya dengan shut down ke mode MS-DOS, dan lakukan pembersihan dari sana.

Dalam prosesnya program ini tidak mengharapkan input dari pemakai, kecuali lewat parameter. Jadi bila suatu operasi tulis file gagal, karena disket diprotek misalnya, proses terus berjalan dengan memberikan pesan kesalahan secara umum. Proses dapat diulang kembali bila kesalahan telah diperbaiki. Bila Anda ingin menghentikan proses di tengah jalan, lakukan dengan menekan Ctrl-C atau Ctrl-Break.

Penutup

Ada pepatah mengatakan, ‘Demi nila setitik rusak susu sebelanga’. Mungkin virus komputer dapat kita ibaratkan nila setitik tadi, sebab dari kehadirannya yang tak seberapa dapat merusakkan sistem komputer kita. Pemecahannya seringkali tidak semudah menginstall ulang seluruh program. Arti penting data turut menjadi pertimbangan. Tanpa pemusnahan secara tepat dan menyeluruh, jadilah nila setitik tadi sesuatu yang sangat menjengkelkan.

Akhirnya penulis berharap semoga program ini bermanfaat bagi pembaca sekalian. Komentar, saran, kritik, atau apapun silakan layangkan ke Antivirus Media untuk ditanggapi seperlunya.

Daftar Pustaka

David Jurgens. HelpPC v2.10 (c)1991.
Ralf Brown. The MSDOS Interrupt List.
PT Gramedia. 8088 Assembler.
AVP Virus Encyclopedia.

Demi Nila Setitik

Pada proses pembedahan virus ini, penulis mendapat beberapa ‘kejutan’ ringan. Pertama masalah bom waktu. Pada saat penelitian virus ini, penulis tentu saja tidak mengetahui efek apa yang akan dilakukan oleh virus ini. HUT kemerdekaan lewat 3 hari, mulailah penulis melakukan penelitian terhadap virus ini. Yah, cukup terkejut juga ketika mengetahui bahwa virus ini mempunyai ‘humor’ tidak lucu 2 hari lagi. Terpaksa tanggal sistem diamankan ‘demi kepentingan bersama’.

Tentang partisi hard disk ada kejutan lain. Kebetulan konfigurasi hard disk penulis menggunakan

LBA dengan 1022 silinder, 64 track, dan 63 sektor. Bayangkan bila silindernya 1023, terjadilah kondisi ‘tahu tapi tak tahu’. Tahu bahwa hard disk ditulis, tapi tidak tahu file apa yang bermasalah. Kondisi 4-T tadi tentu saja cukup riskan, mengingat komputer hanya akan bekerja dengan baik dalam kondisi ‘tahu sama tahu’.

Belum lagi kejutan bahwa virus mampu melakukan penulisan langsung ke hard disk. Selama ini penulis cukup percaya bahwa BIOS mampu mencegah penulisan illegal ke daerah partisi. Pada virus-virus partisi lama memang BIOS cukup berdaya untuk mengatasi hal tersebut. Dan kini, apakah fasilitas ‘Virus Warning’ tersebut masih ada ‘gunanya’?

Tentu saja penulis jadi makin penasaran dengan kejutan-kejutan lain dari virus ini. Trik-trik dan cara kerja virus penulis amati dengan seksama. Beberapa kelemahan dan keunggulan virus dianalisa dan dicatat sebagai bahan perbandingan dengan banyak virus yang lain. Hingga akhirnya terciptalah serum anti virus Hare ini. Minimal penulis mengetahui teknologi baru yang akan dikembangkan oleh pembuat virus.

Dan para pembuat virus mungkin akan berseru: ‘Tunggulah kejutan berikutnya’.

Listing Program


{$S-,R-,I+,G+,X+,A+,B-}
{$M 7505,0,0}
{***********************************************}
{ File:      ANTIHARE.PAS => ANTIHARE.EXE       }
{ Deskripsi: Anti Virus Hare.7786               }
{ Kompiler:  Turbo Pascal 6.0+, Borland, Inc    }
{ Utilitas:  Debug.Exe, Microsoft, Corp         }
{ Penulis:   M. Harjono                         }
{ Tanggal:   30 Agustus 1997                    }
{ Dedikasi:  * Pembaca Antivirus Media          }
{            * BL-TI-93                         }
{              (kapan skripsi diganti kliping?) }
{ (c)1997 Antivirus Media                       }
{***********************************************}

program Anti_Virus_Hare;
uses
  Dos;
type
  R_Exe = record
    MZ: Word;
    _Mod: Word;
    _Div: Word;
    Rel: Word;
    Hed: Word;
    _M1,_M2: Word;
    _SS,_SP: Word;
    CkSum: Word;
    _IP,_CS: Word;
  end;
  R_Com = record
    Kod: Byte;
    JMP: Word;
  end;
  R_PL = record
    Lo,Hi: Word;
  end;
  Com = ^R_Com;
  P_W = ^Word;
  R_Pch = record
    Lc: Word;
    Kb: Word;
    Kj: Word;
  end;
  R_Dat = record
    La: Word;
    Ld: Word;
    Id: array[1..8] of Byte;
  end;
const
  HareD: R_Dat =
    (La:$14;Ld:$16B;Id  $B8,$23,$FE,$CD,$21,$3D,$0D,$00));
  BnPch = 3;
  HareJ: array[1..BnPch] of R_Pch =
    ((Lc:$038E;Kb:$FC80;Kj:$45EB),
     (Lc:$17EF;Kb:$5350;Kj:$31EB),
     (Lc:$1B47;Kb:$FA81;Kj:$3FEB));
  HareMundur = $1E6A;
  Batal: Byte = 0;
  Par_Tidak: set of 0..15 = [];
  Pil: set of 0..7 = [];
  BnExt = 5;
  DaftExt: array[1..BnExt*3] of Char =
    'EXECOMBINOVROVL';
  DevBaca  = $02;
  DevTulis = $03;
var
  Kena,Proses,NSubDir: word;
  Buf: array[0..$1FF] of Byte;
  BnHd: Byte;
  Int13h: Pointer;

function CekIdVir(PjC: Word; var BufM): Shortint; assembler;
asm
  {-- cari awal virus --}
  les di,BufM
  lea si,HareD.Id
  mov cx,PjC
  cld
  lodsb
@@L1:
  repnz scasb
  jnz @@U1
  push si
  push di
  push cx
  mov cx,type HareD.Id-1
  repz cmpsb
  pop cx
  pop di
  pop si
  jnz @@L1
  xchg cx,ax
  mov cl,1
@@U1:
  xchg cx,ax
end;

function MCBAkhir(Pil: Byte): Word; assembler;
asm
  {-- init UMB_Konv --}
  mov dl,-1
  mov ax,5802h
  int 21h
  jc @@4
  xchg dx,ax
  mov ax,5803h
  xor bx,bx
  int 21h
  jnc @@4
  mov dl,-1
@@4:
  push dx
  xor si,si
  xor dx,dx
  cmp Pil,dl
  jz @@Konv
{-- mulai dari UMB --}
  int 12h
  mov cl,6
  shl ax,cl
  dec ax
  mov es,ax
  cmp word ptr es:[8],'CS'
  xchg dx,ax
  jnz @@3
  jmp @@1
{-- mulai dari MCB pertama --}
@@Konv:
  mov ah,52h
  int 21h
  mov dx,es:[bx-2]
{-- telusuri MCB --}
@@1:
  mov es,dx
  mov al,es:[si]
  cmp al,5Ah
  jz @@2
  cmp al,4Dh
  mov ax,si
  jnz @@3
  add dx,es:[si+3]
  inc dx
  jmp @@1
@@2:
  add dx,es:[si+3]
  inc dx
  mov es,dx
{-- cari Id virus --}
  mov ax,$4000    {16K byte akhir}
  push ax
  xor di,di
  push es
  push di
  call CekIdVir
  jnz @@3
  xchg cx,ax
  not ax
  add ax,$4000
  sub ax,HareD.La
  mov cl,4
  shr ax,cl
  add ax,dx
@@3:
  {-- kembalikan mem alloc stra --}
  xchg dx,ax
  pop ax
  cmp al,-1
  jz @@5
  cbw
  xchg bx,ax
  mov ax,5803h
  int 21h
@@5:
  xchg dx,ax
end;

procedure Kondisi(K: Shortint);
begin
  case K of
   -1: Writeln(' [terinfeksi, gagal dipulihkan]');
   -2: Writeln(' [terinfeksi]');
    0: Writeln(' [ok]');
    1: Writeln(' [terinfeksi, dipulihkan]');
  end;
end;

procedure WinKrit(M: Word); assembler;
asm
  mov ax,$1680
  add ax,M
  int 2Fh
end;

procedure PMem;
var
  Seg,I,J: Word;
  Kena: Shortint;
begin
  Kena := 0;
  for J := 0 to 1 do
  begin
    Seg := MCBAkhir(J);
    if (Seg<>0) then
      for I := 1 to BnPch do
        with HareJ[I] do
          if (MemW[Seg:Lc] = Kb) then
          begin
            WinKrit(1);
            MemW[Seg:Lc] := Kj;
            WinKrit(2);
            Kena := 1;
          end;
  end;
  Kondisi(Kena);
end;

function RqDev(Op,Dr:Byte; Hd,Tr,Sc:Word): Shortint; assembler;
asm
  lea bx,Buf
  push ds
  pop es
  mov dx,Hd
  xchg dh,dl
  mov dl,Dr
  mov cx,Tr
  xchg ch,cl
  ror cl,1
  ror cl,1
  mov di,Sc
  inc di
  and di,$3F
  or cx,di
  mov di,3
  cmp dl,$80
  jb @@3
  dec di
  dec di
@@3:
  push dx
  xor ax,ax
  pushf
  call Int13h
  pop dx
  mov ah,Op
  mov al,01
  pushf
  call Int13h
  jnc @@U
  dec di
  jnz @@3
  stc
@@U:
  mov al,0
  sbb al,0
end;

procedure PBoot(_Drv: Byte);
var
  _Hd,_Tr,_Sc: Word;
  Kena: Shortint;
begin
  Kena := 0;
  if (RqDev(DevBaca,_Drv,0,0,0) = 0) and
    (P_W(@Buf[$102])^-P_W(@Buf[$100])^ = $CCFF) then
  begin
    if (_Drv<$80) then
    begin
      _Hd := $01;
      _Sc := $00;
      _Tr := $51;
      if (Buf[$15]=$FD) then
        _Tr := $29;
    end
    else
    asm
      mov ah,$08
      mov dl,_Drv
      int 13h
      inc ch
      dec dh
      mov ax,cx
      and cl,$3F
      sub cl,$11
      mov ch,0
      mov _Sc,cx
      mov cl,6
      shr al,cl
      xchg ah,al
      mov _Tr,ax
      xchg dh,dl
      mov dh,0
      mov _Hd,dx
    end;
    if (RqDev(DevBaca,_Drv,_Hd,_Tr,_Sc)=0) and
      (CekIdVir($100,Buf)=1) then
    begin
      {-- ambil sektor asli dan kembalikan --}
      Kena := -1;
      if not(3 in Pil) then
        Kena := -2
      else
        if (3 in Pil) and (RqDev(DevBaca,_Drv,_Hd,_Tr,_Sc+$10) = 0) and
           (RqDev(DevTulis,_Drv,0,0,0) = 0) then
          Kena := 1;
    end;
  end;
  if (_Drv<$80) then
  begin
    if (Kena<>0) then
    begin
      Write('   Boot Sektor');
      Kondisi(Kena);
    end;
  end
  else
    Kondisi(Kena);
end;

function CekHare(PjC: Word; var Buf): Word; assembler;
asm
  les di,Buf
  std
  mov al,2Eh
  mov cx,PjC
  xor dx,dx
  jcxz @@1
  repnz scasb
  jnz @@1
  mov ax,es:[di+2]
  cmp al,30h    {xor}
  jz @@2
  cmp al,00h    {add}
  jz @@2
  cmp al,28h    {sub}
  jnz @@1
@@2:
  xchg ah,al
  test al,$C0   {cek mod=00}
  jnz @@1
  mov cl,3
  shr al,cl
  add al,$B0    {kode reg}
  mov cl,$32
  repnz scasb
  jnz @@1
  mov al,es:[di+2]
  xchg dx,ax
@@1:
  cld
  xchg dx,ax
end;

function Dekrip(Dek: Word; var BufH): Longint; assembler;
asm
  lea si,Buf
  mov cx,type Buf
  mov ax,Dek
  xchg ah,al
  add al,4
  mov word ptr cs:[@@2],ax
  cld
  jmp @@1
@@1:
  lodsb
@@2:
  xor al,$00    {-tetap-}
  not al
  mov ds:[si-1],al
  loop @@1
  {-- cari awal virus --}
  mov ax,type Buf
  push ax
  lea di,Buf
  push ds
  push di
  call CekIdVir
  jnz @@U
  not cx
  add cx,type Buf
  sub cx,HareD.La
  {-- pindahkan data prog ke bufh --}
  add di,HareD.Ld
  sub di,HareD.La
  lea si,[di-1]
  les di,BufH
  cmp byte ptr ds:[si+7*2],01  {EXE?}
  jz @@3
  lodsw
  stosw
  lodsb
  stosb
  mov ax,type R_Com
  jmp @@U
@@3:
  lodsw
  mov es:[di.R_Exe._IP],ax
  lodsw
  mov es:[di.R_Exe._CS],ax
  lodsw
  mov es:[di.R_Exe._SP],ax
  lodsw
  mov es:[di.R_Exe._SS],ax
  lodsw
  mov es:[di.R_Exe._Mod],ax
  lodsw
  mov es:[di.R_Exe._Div],ax
  mov ax,type R_Exe
@@U:
  mov dx,cx
end;

{$I-}
function PulihFile(NmF: string): shortint;
var
  F1: file;
  BufH: R_Exe;
  PjBc,Attr,Dek: Word;
  LokV,Wkt,LokD: Longint;

procedure PrsFile;
begin
  PulihFile := 0;
  FileMode := 0;
  Reset(F1,1);
  if (InOutRes <> 0) then
    Exit;
  BlockRead(F1,BufH,SizeOf(BufH),PjBc);
  if (PjBc<>SizeOf(BufH)) then
    Exit;
  if (BufH.MZ = $4D5A) or (BufH.MZ = $5A4D) then
  begin
    with BufH do
      LokV := Longint(hed+_cs)*$10 + _ip;
  end
  else
  begin
    with Com(@BufH)^ do
      if (Kod=$E9) then
        LokV := JMP + 3
      else
        Exit;
  end;
  Seek(F1,LokV);
  BlockRead(F1,Buf,$40,PjBc);
  Dek := CekHare(PjBc,Buf[PjBc-1]);
  if (Dek=0) then
    Exit;
  Seek(F1,LokV-HareMundur);
  BlockRead(F1,Buf,SizeOf(Buf),PjBc);
  LokD := Dekrip(Dek,BufH);
  if R_PL(LokD).Lo=0 then
    Exit;
  {-- positif bervirus --}
  PulihFile := -2;
  if not (3 in Pil) then
    Exit;
  PulihFile := -1;
  Close(F1);
  GetFAttr(F1,Attr);
  if (Attr and ReadOnly = ReadOnly) then
    SetFAttr(F1,Attr and not(ReadOnly));
  FileMode := 2;
  Reset(F1,1);
  if (InOutRes<>0) then
    Exit;
  GetFTime(F1,Wkt);
  Seek(F1,0);
  BlockWrite(F1,BufH,R_PL(LokD).Lo,PjBc);
  if (PjBc=0) or (InOutRes<>0) then
    Exit;
  Seek(F1,(LokV-HareMundur)-R_PL(LokD).Hi);
  Truncate(F1);
  if (InOutRes<>0) then
    Exit;
  Dec(Wkt);
  SetFTime(F1,Wkt);
  if (Attr and ReadOnly = ReadOnly) then
    SetFAttr(F1,Attr);
  PulihFile := 1;
end;

begin
  Assign(F1,NmF);
  PrsFile;
  Close(F1);
  InOutRes := 0;
end;
{$I+}

{-- cari vektor 21h asli --}
function Vektor21h: Pointer; assembler;
asm
  push ds
  mov ax,PrefixSeg
  mov ds,ax
  mov si,$0005
  xor bx,bx
  xor dx,dx
  cld
@@3:
  lodsb
  cmp al,$9A
  jz @@1
  cmp al,$EA
  jnz @@2
@@1:
  lds si,ds:[si]
  jmp @@3
@@2:
  add si,4
  lodsw
  cmp ax,$FF2E
  jnz @@4
  lodsb
  cmp al,$2E
  jnz @@4
  lodsw
  xchg si,ax
  les di,ds:[si]
  mov cx,$0100
@@5:
  mov al,$FA
  repnz scasb
  jnz @@4
  cmp word ptr es:[di],$FC80
  jnz @@5
  mov dx,es
  lea bx,[di-1]
@@4:
  pop ds
  xchg bx,ax
end;

{-- konversi huruf kecil mjd besar --}
procedure HBesar(var S); assembler;
asm
  les di,S
  xor cx,cx
  mov cl,es:[di]
  jcxz @@L3
  cld
  inc di
@@L1:
  mov al,es:[di]
  cmp al,'a'
  jb @@L2
  cmp al,'z'
  ja @@L2
  sub al,$20
@@L2:
  stosb
  loop @@L1
@@L3:
end;

{-- cek ekstensi file terdaftar --}
function CekNmf(var Buf): Boolean; assembler;
asm
  mov dl,0
  les di,Buf
  mov al,'.'
  xor cx,cx
  mov cl,es:[di]
  inc di
  cld
  repnz scasb
  jnz @@1
  cmp cx,3
  jnz @@1
  lea si,DaftExt
  mov bx,BnExt
@@2:
  push si
  push di
  push cx
  repz cmpsb
  pop cx
  pop di
  pop si
  jz @@3
  add si,cx
  dec bx
  jnz @@2
  jmp @@1
@@3:
  mov dl,1
@@1:
  xchg dx,ax
end;

{$S+}
procedure PDir(S: PathStr);
var
  SR: SearchRec;
  Kond: Shortint;
begin
  Inc(NSubDir);
  FindFirst(S+'*.*',AnyFile,SR);
  while (DosError=0) and (Batal=0) do
  begin
    if (SR.Name[1] <> '.') and (SR.Attr and VolumeID <> VolumeID) then
    begin
      if (SR.Attr and Directory = Directory) then
      begin
        if (1 in Pil) then
        begin
          WriteLn(#13'Periksa ',S+SR.Name,' ':10);
          PDir(S+SR.Name+'\');
        end;
      end
      else
      begin
        if (2 in Pil) or CekNmf(Sr.Name) then
        begin
          Inc(Proses);
          Write(#13,SR.Name:14);
          Kond := PulihFile(S+SR.Name);
          if (Kond<>0) then
          begin
            Kondisi(Kond);
            Inc(Kena);
            while (Kond=1) and (PulihFile(S+SR.Name)=1) do;
          end;
        end;
      end;
    end;
    FindNext(SR);
  end;
end;
{$S-}

function DriveDisket(Drv: Byte): Boolean; assembler;
asm
  mov ax,$4408
  mov bl,Drv
  int 21h
  mov dl,0
  jc @@1
  or al,al
  jnz @@1
  inc dx
@@1:
  xchg dx,ax
end;

function DriveAktif: Byte; assembler;
asm
  mov ah,$19
  int 21h
end;

procedure TungguEnter; assembler;
asm
@@1:
  mov ax,$0C08
  int 21h
  cmp al,13
  jnz @@1
end;

procedure IntNull; assembler;
asm
  mov al,03
  iret
end;

procedure CekBreak; assembler;
asm
  push ax
  push ds
  mov ax,Seg @Data
  mov ds,ax
  inc Batal
  pop ds
  pop ax
  iret
end;

const
  TotPar = 5;
  DafPar: array[1..TotPar] of Char = 'SACGN';
var
  Par: string[128];
  I,P,J: Byte;
  Drv: Byte;
  Int21h: Pointer;
begin
  WriteLn(#13#254' Anti Virus Hare  v1.01.001'#10+
          #13#254' Dibuat oleh M. Harjono'#10+
          #13#254' (c)1997 Antivirus Media'#10);
  P := ParamCount;
  if (P = 0) then
  begin
    Writeln('Sintak: ANTIHARE <[dir1] [dir2]...> [/s /a /c /g /n]'#10#13+
            '  /s = masuk sub direktori'#10#13+
            '  /a = proses semua file'#10#13+
            '  /c = deteksi dan bersihkan'#10#13+
            '  /g = tunggu ganti disket'#10#13+
            '  /n = vektor 21h normal');
    Exit;
  end;
  {-- olah parameter --}
  for I := 1 to P do
  begin
    Par := ParamStr(I);
    HBesar(Par);
    if (Length(Par)=2) and (Par[1]='/') then
    begin
      for J := 1 to TotPar do
        if (Par[2]=DafPar[J]) then
          Pil := Pil + [J];
      Par_Tidak := Par_Tidak + [I];
    end;
  end;
  {-- init program --}
  GetIntVec($13,Int13h);
  Int21h := Vektor21h;
  if (Int21h<>nil) and not(5 in Pil) then
    SetIntVec($21,Int21h);
  {---}
  SetIntVec($21,SaveInt21);
  {---}
  SetIntVec($23,@CekBreak);
  SetIntVec($24,@IntNull);
  Kena := 0;
  Proses := 0;
  NSubDir := 0;
  {-- periksa memori --}
  Write('Cek Memori....');
  PMem;
  {-- periksa partisi --}
  BnHd := Mem[$40:$75];
  if (BnHD<>0) then
  begin
    for I := 1 to BnHd do
    begin
      Write('Cek Partisi..',I-1);
      PBoot($7F+I);
    end;
  end;
  {-- periksa boot/file --}
  for I := 1 to P do
  begin
    if not (I in Par_Tidak) then
    begin
      Par := ParamStr(I);
      HBesar(Par);
      if (Par[length(Par)] <> ':') and (Par[length(Par)] <> '\') then
      begin
        Inc(Par[0]);
        Par[Length(Par)] := '\';
      end;
      Writeln(#13'Periksa ',Par,' ':10);
      Drv := DriveAktif;
      if (Par[2] = ':') and (Par[1] in ['A'..'Z']) then
        Drv := Ord(Par[1])-Ord('A');
      if (Drv<=1) and (DriveDisket(Drv+1)) then
      begin
        if (4 in Pil) then
        begin
          Write('  '#13);
          TungguEnter;
        end;
        PBoot(Drv);
      end;
      PDir(Par);
    end;
  end;
  Writeln(#13'Hasil:        '#13#10+
          '  Direktori = ',NSubDir:6,#13#10+
          '  File      = ',Proses:6,#13#10+
          '  Terkena   = ',Kena:6,#13#10);
end.

RUTIN SERBU-1 (RS-1)

oguds — Wed, 17 Aug 2011 14:08:00 +0000

Tulisan ini dibuang sayang. Dokumentasi keisengan dahulu kala, sekitar 15 tahun lalu. Membuat virus komputer tentu bukanlah tindakan yang baik, apalagi membuat susah hidup orang lain. Saya pun mengecam mereka-mereka yang masih melakukannya hingga hari ini, dengan dampak kerusakan yang semakin besar. Bukankah era teknologi informasi sekarang sedemikian meriah, dengan kreativitas yang semakin berkembang dan menantang? Marilah kita semua membangun secara positif di era informasi ini, demi kemajuan kita bersama. Amin.

RUTIN SERBU-1 (RS-1), dibuat dengan TURBO PASCAL (Borland)

Membutuhkan:

Prosesor 8086+ (lingkungan asli DOS)
PC-DOS/MS-DOS 3.30+

Fisik Program:

Besar fisik +/ 3.5 KB
Menempati memory +/ 3.8 KB
Mencegat fungsi Int. 21h dan 2Fh

Karakteristik:

Anti Debugging (Int 3, Breakpoint)
Anti SoftIce (Int 3, Back Door)
Anti Tracing (Int 1, Single Step)
Anti Cek Memory (MDSCAND, dkk)
Anti VSafe (Int 16h)
Anti SHIELD GATE MAV (Int 21h, Dup)
Anti Self Check CPAV (Int 21h, Hdl)
Anti Intervensi Virus (Int 21h, tulis HDL)
Anti Jumper
Ada Enkrip
Optimasi Kode
Simulasi operasi file/direktory
Telusur vektor, cegat paling depan
Bisa menetap di UMB
Bisa menetap di memory tengah
Cek optimal konfigurasi Sistem Operasi, seperti: DOS di Konv, HMA, UMB, shell Command.COM, shell di Windows
Bisa bikin komputer bengong (hang)
(karang aja sendiri, pokoke supaya kelihatan cuanggih…)

Perhatian:

Program ini dibuat untuk kepentingan sendiri, tidak untuk konsumsi umum. Penulis TIDAK BERTANGGUNG JAWAB APAPUN terhadap perubahan / modifikasi program ini, atas kepentingan/tujuan apapun. Kerusakan atau apapun yang terjadi baik akibat program ini maupun akibat-akibat lainnya, jelas bukan tanggung jawab penulis. Baik buruknya segala hal tentang program ini juga jangan dikaitkan dengan penulis. Bila anda tidak setuju, boleh MEMBUANG PROGRAM ini. Jelas khan….

Listing program ini boleh dimiliki dalam rangka pengetahuan akan virus komputer, atau alasan-alasan lain yang positip dan tidak merugikan. Masing-masing individu hendaknya menjunjung tinggi moral dan etika yang luhur atas tujuan masing-masing.

Yap, lempar tangan sembunyi di batu….

Serangan:

Program ini menyerang file EXE, COM, GIF, JPG atau file-file yang dijalankan melalui Int 21h fungsi 4B00h dan 4B01h. Sangat aktif menular dalam setiap operasi file yang menggunakan handle yaitu buka file (3Dh), dan tutup file (3Eh). Karena langsung mengakses Sistem File Table (SFT) maka operasinya cukup solid dan sulit untuk dicegah. Segala cara yang mungkin untuk menularkan file (kayaknya) sudah digunakan secara optimal.

Siluman:

Untuk mengurangi kecurigaan konsumen bahwa sistemnya terinfeksi, perlu dirancang simulasi yang memadai. Pada virus ini banyak menggunakan teknik-teknik penyembunyian diri cukup canggih, yang hampir sulit ditemukan pada pemakaian yang umum. Seperti: Ukuran file, tanggal, dan isi file dibuat tidak berubah. Operasi pembandingan file tidak menunjukkan perubahan berarti. Hampir semua program anti virus tempelan (sejenis ‘Self Check’) terlewati dengan mudah. Terutama musuh kita, program antivirus lokal, tertipu dengan mulus.

Pengecekan vektor interupsi, penelurusan vektor, pencegatan vektor, dll juga terlewati dengan gembira, karena virus ini mengusahakan dirinya terletak paling depan dari vektor fungsi DOS (21h dan 2Fh), yaitu semungkin-mungkinnya selapis di atas kernel DOS. Pada operasi internal, virus juga memanggil langsung kernel DOS, tanpa melewati cegatan-cegatan yang biasanya dilakukan program-program tambahan DOS. Dengan begitu selain operasi virus (mungkin) berjalan lebih cepat, kerja virus jadi terkesan tersembunyi, tanpa dapat dilacak oleh program lain.

Khusus penelusuran vektor, virus ini menggunakan cara sederhana tapi ampuh untuk mengetahui apakah suatu interrupt (DOS) sedang ditelusuri, yaitu dengan pengecekan ‘flag’ Trap (operasi per langkah). Bila dideteksi hal tersebut, yang sudah pasti tidak terjadi pada kerja yang umum, maka penelusuran tersebut dibelokkan ke arah lain, dan fungsi DOS kembali secara segera (IRET). Dengan demikian program penelusur akan merasa pintar (padahal bodoh) bahwa tidak ada hal yang mencurigakan. Penelusuran ini juga digunakan oleh virus sendiri untuk mengecek apakah virus sudah berada di memory.

Pencegatan:

Virus ini bekerja dengan mencegat beberapa fungsi umum dari int 21h, yaitu:

Fn 11h, 12h, 4Eh, 4Fh:
Untuk memodifikasi besar file, sehingga besar file yang tertular seakan-akan tidak berubah. Fungsi 11h dan 12h walaupun fungsi lama,
disarankan untuk tidak lagi digunakan, namun ternyata masih digunakan oleh shell DOS COMMAND.COM, yaitu untuk instruksi DIR. Program aplikasi umumnya memakai fn 4Eh dan 4Fh.

Walaupun sedikit banyak mampu menipu mata manusia, namun tetap saja program dapat mengetahui perbedaan tersebut. Masalahnya sulit untuk menyimpan nilai-nilai awal yang telah diubah tanpa menimbulkan kecurigaan baik bila virus aktif maupun tidak. Virus ini menggunakan detik untuk mengecek apakah file telah terkena virus. Dengan mengecek detik tersebut, bisa diketahui apakah besar file perlu dikurangi atau tidak. Dan proses pemeriksaan maupun pengubahan nilai ini harus secara cepat, sama sekali tidak perlu buka/tutup file dahulu.

Pada Windows 3.1 modus Enchanced, entah kenapa, fungsi 4Eh dan 4Fh menghasilkan format yang aneh. Hal ini terjadi pada program File
Manager. Karena penulis tidak mempunyai debugger Windows yang memadai, kesalahan tersebut sulit untuk dianalisa. Namun hal ini tidak terjadi pada Windows modus standard. Akhirnya dengan sedikit trik, keanehan yang tidak berbahaya tersebut bisa diperkecil.

Fn 3Dh:
Fungsi ini secara luas digunakan untuk membuka sebuah file atau device. Fungsi ini pula yang dibebankan secara khusus untuk menularkan virus secara cepat, mengambil isi file yang normal, mendekrip, dan menyimpannya di memory. Pencegatan rutin ini cukup rumit, karena perlu mencegah pengolahan device atau sistem yang tidak kompatibel. Dan tambahan kerumitan lagi karena fungsi ini bekerja menurut handel file, karenanya perlu beberapa fungsi DOS yang tidak umum (sebagian Int 2Fh). Fungsi ini juga merupakan palang pintu untuk menentukan apakah suatu file perlu disimulasikan, sebagai kelanjutan operasi file lainnya, seperti: baca file, tulis file atau tutup file.

Proses penularan file sepenuhnya bekerja menurut handel file. Dengan cara ini maka suatu file .COM/.EXE sepenuhnya terlacak, bagaimanapun cara untuk mengaksesnya. Pengerjaan ini dilakukan langsung lewat SFT (Sistem File Table) sehingga bisa melakukan perubahan-perubahan secara langsung secara mudah. Ada kekurangan besar dengan cara ini, yaitu simulasi file tidak dilakukan bila suatu handel file tidak sesuai dengan handel DOS, terutama pada DOS yang ditumpangi oleh Jaringan (Network), seperti Novell. Tentu saja dengan segala cara ditempuh agar file .COM/.EXE harus tertular. Dan walaupun simulasi file tidak dilakukan, diharapkan tidak mengacaukan kerja operasi file yang sesungguhnya.

Fn 4Bh, sub fn 00 dan 01:
Secara umum digunakan untuk menjalankan suatu file (sub fn 01) atau mengambil file tanpa menjalankannya (sub fn 02). Sub fn 02 biasa
digunakan untuk operasi ‘debugging’. Fungsi ini sangat favorit dan berharga untuk operasi virus. Hampir semua virus file mencegat fungsi ini untuk melakukan operasinya. Bila suatu program akan dijalankan, maka suatu virus akan terlebih dulu mengecek file tersebut, dan bila belum tertular maka akan ditularkan terlebih dahulu sebelum dijalankan. Kebaikan fungsi ini adalah kompatibilitas yang tinggi pada sistem operasi berbasis DOS. Hanya program-program DOS yang dapat dijalankan lewat fungsi ini. Jadi virus tidak pusing-pusing melakukan pengecekan lain untuk memastikan apakah suatu file perlu ditular atau tidak. Hal ini jelas berbeda dengan pencegatan operasi file, seperti baca dan tulis.

Virus ini memecah metode penularan menurut 2 cara, lewat operasi handel file dan lewat operasi menjalankan/memuat file program. Pada cara lewat handel file cara penularan memakai fungsi-fungsi internal DOS, sedangkan bila lewat cara kedua (fn 4Bh ini) cara penularan memakai fungsi-fungsi file yang umum, sehingga diharapkan semua file teratasi. Penularan lewat cegatan ini juga mengabaikan ekstension file (.EXE/.COM), jadi bisa menulari file dengan ekstension tidak umum. Pada sistem yang tidak kompatibel penuh dengan MS-DOS, diharapkan lewat cegatan fungsi ini bisa melapis kekurangan tersebut.

Fn 3Fh:
Fungsi ini digunakan untuk membaca file atau device. Pencegatan fungsi ini sebagai kelanjutan dari operasi simulasi file. Bila akan dilakukan pembacaan file yang telah bervirus dan pada lokasi file yang telah dirubah (awal file) maka akan diberikan isi yang asli sebelum perubahan. Dengan begitu program pembaca file akan tertipu dengan senang hati. Juga bila akan membaca lokasi akhir file, karena SFT file telah dikutak-katik, maka file akan terpotong tepat seperti sebelum tertular. Hasilnya: isi maupun panjang file menurut handel tidak berubah sama sekali. Namun perlu diingat bahwa simulasi file dicadangkan hanya untuk pemakaian 8 handel, jadi bila dibuka handel lebih dari itu simulasi file tidak dilakukan, dan isi file akan terlihat apa adanya. Sebenarnya ini tidak masalah karena pemrograman yang baik hanya melibatkan sedikit handel untuk melakukan akses file, yaitu dengan membuka dan menutup file secara bergantian. Lagi pula masak ke-8-8-nya file bervirus semua, aneh apa edan. Pada ‘virus scanner’ malah biasanya cuman pake 1 handel saja.

Fn 40h:
Fungsi untuk menulis file. Fungsi ini dicegat untuk mengembalikan keutuhan suatu file yang telah tertular. Karena sebenarnya file bervirus isinya secara fisik jelas berbeda dengan sebelum tertular, maka bila dilakukan pengeditan isi file, maka isi file yang sebenarnya dikembalikan terlebih dahulu untuk tidak mengacaukan operasi file. Diberikan penanda bahwa file tersebut telah ditulis, jadi tidak perlu lagi pemboongan dilakukan. Termasuk pula besar file dikembalikan seperti semula. Tapi ingaaat, ini hanya sementara waktu. Bila handel tadi ditutup, maka dengan sangat bahagia penularan berlangsung kembali.

Ada hal unik tentang pencegatan fungsi ini, yaitu untuk mencegah penambahan suatu file yang telah bervirus. Jadi suatu file bisa diubah isinya tapi tidak bisa ditambah. Dengan begitu bila terjadi penambahan file secara illegal, yang biasanya dilakukan oleh virus lain, maka hal tersebut akan diabaikan (disalahkan) dan ditahan untuk tidak benar-benar dilakukan. Jadi, bila suatu file telah tertular virus ini maka diharapkan tidak akan tertular virus lain (ceritanya perang antar virus nih…). Namun untuk mencegah kemungkinan proses penambahan file memang dilakukan oleh operasi yang normal, dilakukan perkecualian terhadap file yang dibuat sesudah virus bersarang di memory. Diharapkan memang itu adalah operasi yang sah. Tentu saja pada komputer XT atau sejenis yang tidak memiliki penanggalan otomatis, operasi cegah tulis ini jebol terus.

Fn 3Eh:
Fungsi menutup file. Lewat fungsi ini juga dibebankan operasi untuk menularkan virus, yaitu yang berasal dari pembuatan file maupun
pengeditan file. Karena virus ini tidak mencegat langsung fungsi DOS untuk membuat file, maka virus hanya akan ditularkan ketika handel file tersebut ditutup. Sami mawon khaaannn…. Juga bila suatu file sudah diubah isinya, yang otomatis virus mengembalikan isi file tersebut ke keadaan semula, pada saat akan ditutup ini file tersebut akan tertular kembali. Pokoknya handel file apapun yang sah berupa EXE/COM diharap agar tertular. Itulah, ketika suatu program penghapus virus menyangka telah menghilangkan virus dari file, maka ketika file tersebut akan ditutup maka kembali tertular. Pusing-pusing deh….

Selain itu, cara-cara untuk memulihkan file juga sudah diusahakan untuk ditanggulangi di sini. Misalnya atribut file yang dipulihkan, yang dapat memulihkan operasi DIR direktory, pada saat ditutup ini akan dicek kembali dan akan dipulihkan bila diubah secara tidak sah. Juga bila suatu file yang entah kenapa, atau karena sistem DOS tidak kompatibel, bersifat mencurigakan, maka diupayakan agar bisa terpulihkan pada saat sistem sudah berjalan baik. Jadi bisa dibilang pencegatan fungsi ini merupakan upaya garda terakhir dalam pemrosesan file.

Anti Virus:

Dari uraian pencegatan di atas, jelas terlintas bahwa untuk membuat suatu pencegah terhadap virus ini adalah dengan melumpuhkan keaktifan virus di memory. Atau dengan kata lain harus dikembalikan terlebih dahulu fungsi-fungsi DOS yang asli sebelum dilakukan operasi pembersihan. Hal ini sudah terpikirkan. Dengan teknik anti telusur menegaskan, tidak segampang itu melumpuhkan virus. Juga sedikit pengacauan byte-byte penanda virus, agar anti-virus bisa sedikit ‘berpikir’. Termasuk pula terhadap trik pemulihan jalur fungsi (‘jumper’), yang membuat anti virus yang mencoba melewati fungsi-fungsi yang dicegat virus dipaksa berpikir minimal 2 kali. Tentu saja tidak hal yang tidak mungkin. Bila Eddy Tanzil saja bisa menembus tembok Cipinang, apalagi terhadap virus ini. Masih banyak jalan. Untuk ini saya menunggu perkembangan selanjutnya.

Rutin Pemulih:

Percayalah pada diri sendiri.

Efek Samping:

Setiap tanggal tertentu, virus ini akan menghanguskan prosesor anda. Termasuk melelehkan hard disk anda maupun disket anda dalam jarak radius 10 meter. Bila anda biasa mendengarkan radio selagi mengulik komputer, sama seperti saya, maka virus ini akan membangkitkan gelombang elektromagnetik ultra tinggi yang dapat meledakkan radio tersebut atau minimal membuat kerusakan yang sangat parah. Termasuk pula bila dalam radius 10 meter terdapat peralatan elektronik, seperti TV, Laser Disk, Compact Disc, ataupun Solder, maka dengan frekuensi ultra tinggi tadi, bisa diibaratkan dengan cara kerja mikrowave, akan mengalami pengasapan lokal (siap-siap aja tusuk satenya).

Lalu:

Eh, gue tadi ngomong apa sih. Sorry, efek samping tadi memang benar-benar di ‘samping’, yang jelas saja boong dong. Gue ‘salut’ berat dengan anda yang percaya hal itu dapat terjadi.

Gila:

Ngomong-ngomong elu gila apa enggak sih????

Anti Debugging:

Suatu virus yang baik, paling tidak mempunyai suatu trik anti debugging. Termasuk virus yang ringan tangan ini. Belajar dari virus-virus lain dan iseng-iseng men-debug program saya mendapat cara-cara yang lumayan ampuh. Yang jelas kalo anda pake WS, telah saya coba dengan cukup seksama, ternyata virus ini mampu melewati debugger tersebut. Saya pikir kalo dari yang mudah tadi saja bisa apalagi yang sulit. Maka debugger sedikit baik sperti Turbo Debugger atau SoftIce, pasti juga bisa. Ingat prinsip ini: Mulailah dari yang mudah (maaf dengan Prof. Habibie).

Tampilan:

Oke lah dengan efek samping. Setiap tanggal 17 Agustus, anda tahu kan tanggal itu, maka virus ini sekedar mengingatkan anda bahwa ada yang perlu dilakukan sebagian orang pada tanggal tersebut, akan menampilkan bendera merah putih kecil pada pojok kanan atas monitor anda. Setidaknya anda belum lupa kalau bendera kita masih merah putih.

Waspada:

Ini masalah kompatibilitas. Beberapa program, yah mungkin beberapa ribu atau lebih, tidak jalan akibat virus ini. Saya telah sedapat mungkin berusaha memperbaiki hal ini. Tapi sesuai fenomena gunung es, hanya sedikit di puncak yang kelihatan, sedangkan teramat banyak di bawah yang belum terjangkau. Sekarang tinggal pilih: Virus atau Program Itu. Yang jelas virus ini tidak memberikan anda waktu berpikir banyak.

Catatan penting bahwa kerja suatu virus hampir dapat dipastikan membawa efek-efek tertentu. Mustahil bahwa ada suatu virus yang tidak berefek sama sekali terhadap sistem. Bagaimana mungkin? Mungkin yang perlu ditekankan adalah untuk mengurangi efek-efek tadi sekecil mungkin, yang dalam hal ini suatu virus dituntut untuk berpikir secerdas mungkin dan tahu sebanyak mungkin. Itulah, menurut saya, yang membuat pengerjaan virus menjadi tidak sederhana atau malah bisa dibilang cukup sulit. Kalo cuman bangga bisa mbengkakin file sih, tidak ada yang istimewa.

Bagaimana dengan Win95 ? Hmm, jalan tuh, maksudnya komputernya bisa jalan, coba aja digeret pake tali, pasti jalan.

Lain-lain:

Hmmm, apa yah yang kira-kira bisa saya bualkan di sini ???? Auk_ah_gelap! Maaf, tidak semua hal tentang virus RS-1 saya uraikan di sini. Karena satu sebab, yaitu maleessss, maka hal tersebut tetap menjadi suatu misteri.

NB:

Tulisan ini dibuat tanpa pikiran yang panjang-panjang, jadi maklum bila ada hal-hal yang tidak berkenan. Tapi saya yakin anda bisa memahami hal ini. Terlalu banyak hal-hal yang tidak berkenan yang kita alami. Auuww, gila gue ‘kali yah?

Wassalam,

Emhaka!
(suatu hari di tahun 1996)
HUAAAHHHH….. (gue ngantuk berat nih)

Mencoba AXIS

oguds — Sun, 29 Aug 2010 20:57:00 +0000

Internet murah sedang menjadi tren. Baik operator GSM dan CDMA sama-sama banting harga. Kisarannya antara Rp 25 ribu/bulan untuk GSM dan Rp 45 ribu/bulan untuk CDMA. Kali ini dicoba salah satu operator GSM, yaitu Axis.

Kartu perdana AXIS tergolong murah, Rp 3000 untuk pulsa 3000. Di KRL sering pula dijual dengan harga Rp 1000, biasanya dengan pulsa yang lebih sedikit (mungkin edisi murah khusus KRL). Harga untuk layanan Internet bermacam-macam, dari harian, mingguan, hingga bulanan. Boleh dibilang harganya sangat murah, dan sudah termasuk PPN pula.

Berhubung percobaan ini untuk melihat kinerjanya dalam menyedot data, dipilihkan paket tanpa batas untuk harian, dengan harga Rp 15 ribu. Maksimal bandwidth adalah 384 Kbps. Kebetulan modem GSM yang digunakan mempunyai kecepatan maksimal yang sama. Bila digunakan di handphone, sinyal yang didapat termasuk layanan Edge (2.5G), dengan kisaran maksimal bandwidth sekitar 400 Kbps.

Faktor Antena

Percobaan kali ini juga dalam rangka berburu sinyal, yaitu mencari operator GSM dengan kualitas sinyal memadai. Antena yang digunakan cukup mendukung, yaitu antena Yagi (mirip-mirip antena TV), hanya terpasang secara vertikal. Dari antena ke modem memakai kabel coaxial 75 ohm (seperti kabel antena TV, dengan alasan ekonomis), dan menggunakan sistem induksi untuk sampai ke modem. Induksi dilakukan dengan lilitan kawat / kotak kumparan terhadap antena modem (yang penguatannya hanya sekitar 3 db).

Konon antena Yagi tersebut diklaim pembuatnya memiliki penguatan (gain) hingga 35 db. Memang cukup terbukti, meskipun hanya dengan induksi tapi mampu mendongkrak sinyal hingga 2x lebih besar. Lebih ideal lagi bila langsung disambung dengan pigtail ke modem, sayangnya harga pigtail sendiri relatif mahal. Lagipula, impedansi keduanya tidak cocok, sehingga bisa menimbulkan rasio SWR tinggi yang berakibat pancaran tidak efisien dan berbalik menjadi panas ke modemnya.

Antena Yagi memiliki arah tertentu (directed), persis seperti antena TV, sehingga pengaturan posisi menjadi cukup penting. Meskipun sulit juga menentukan arah yang benar, karena kecepatan modem bisa naik turun tergantung dari banyak faktor. Misalnya beban jaringan yang tinggi, atau backbone dari ISP yang sudah jenuh. Melihat dari besarnya sinyal pun kurang mendukung, karena semuanya terlihat dalam kondisi excelent. Ini salah satu indikator semu dalam komunikasi dua arah, penerimaan mungkin kuat karena daya dari BTS besar, tapi pengiriman cenderung lemah karena daya terbatas dari modem. Alhasil, sambil mengunduh data, arah antena diputar-putar yang sekiranya paling optimal. Tanda dari arah yang tidak tepat adalah hasil download yang terputus-putus, kadang cepat sekali, kadang lambat sekali, atau malah mangkrak.

Pegel Linux

Lingkungan uji coba menggunakan sistem operasi Linux, karena lebih luwes untuk memantau jaringan. Tentu saja akses ke situ via telnet, karena ogah betul menggunakan GUI di Linux (hehe). Linux yang digunakan adalah Fedora Core 8, dengan modem GSM berjenis PCMCIA yang diakses via PCI card. Kebetulan drivernya sudah built-in. Setting ifcfg, wvdial, dan pppd cukup sederhana. Beberapa program downloader dicoba, seperti wget, axel, aria2, dan prozilla.

Sekedar catatan, utility lain yang berguna untuk server berbasis koneksi ppp adalah dnsmasq dan vnstat. Program dnsmasq bisa digunakan sebagai dns server / forwarder, dhcp server, dan tftp server. Ini sangat berguna untuk jaringan kecil atau menengah, tanpa memasang banyak program atau setting. Sedangkan vnstat berguna untuk mencatat besarnya data yang digunakan untuk koneksi ppp, misalnya mencegah agar kuota tidak terlampaui.

Telaah Hasil Percobaan

Salah satu situs yang terkenal sangat cepat adalah kernel.org yang menyimpan source dari kernel Linux. Dicoba untuk mengunduh file yang cukup besar, yaitu linux-2.6.35.3.tar.bz2 yang berukuran 69 MByte. Dengan wget (pilihan debug) bisa terlihat bahwa AXIS menggunakan squid sebagai server proxy. Hal ini cukup bisa dikritisi, apakah merupakan langkah yang tepat, mengingat skalabilitas squid cukup terbatas. Bagi keperluan ISP yang sangat besar, server proxy yang tidak dibuat dengan skalabilitas memadai, hasilnya malah kontraproduktif. Bila obyek yang dicache terlalu banyak, akibatnya persentase cache-miss sedemikian besar, menjadikan proxy penyebab kelambatan.

Koneksi via proxy adalah state-full + buffered, dan memakan sumber daya memory maupun disk yang sangat besar. Proxy berlaku sebagai man-in the-middle. Apalagi, saat ini kondisinya lebih banyak data streaming, misalnya video, yang tidak tercache. Termasuk pula file-file berukuran sangat besar. Selain itu salah satu kendala squid sebagai produk open source, adalah minimnya kontributor yang berdedikasi, sehingga hasilnya adalah produk yang dikerjakan manakala suka atau lowong.

Hasil yang perlu dikritisi adalah buruknya manajemen bandwidth di sini. Entah ini suatu kesengajaan atau kesalahan, satu koneksi bisa memakan bandwidth yang sangat besar, tapi koneksi lain menjadi macet atau gagal. Misalnya dari mengunduh file di atas, bisa tercapai rata-rata 42 KByte/s, tetapi program lain tidak bisa mengakses situs berbeda. Bagi program seperti browser yang multi threaded / multi connection / multi tab, hasilnya akan tersendat-sendat.

File lain yang diunduh adalah Fedora LiveCD dengan ukuran 700 MByte dari situsnya. Kali ini digunakan axel dengan multiple connection. Kecepatan pun cukup relatif. Misalnya entah karena apa stabil di kisaran 7 KByte/s hingga beberapa waktu, dan naik secara bertahap menjadi full 42 KByte/s dalam waktu lama. Boleh jadi ini akibat kondisi jaringan yang sedang penuh, sehingga koneksi data di-downgrade menjadi kecil, sampai saluran kosong kembali. Sebab lain, akibat buffer di proxy, yang mirip ember diisi hingga taraf tertentu, sebelum disembur secara cepat ke client. Sebab lain lagi, memang manajemen bandwidth di proxy seperti itu.

Hal lain adalah terlihatnya backbone (tulang punggung) jaringan AXIS ke jaringan internasional maupun dalam negeri cukup terbatas. Akibatnya, ada situs-situs tertentu yang terbuka cukup cepat, tapi ada situs lain yang terbuka dengan luar biasa lambat. Sehingga percuma lah koneksi ke server proxy terbilang cepat, tapi kucuran data ke ember berpipa kecil. Pengguna tentu berharap koneksi yang stabil ke segala penjuru, bukan hanya cepat ke situs-situs tertentu.

Akhir kata, tampaknya Axis harus membenahi lebih lanjut pengaturan bandwidthnya dengan lebih baik, termasuk menambah kucuran data yang lebih besar ke berbagai jaringan. Harga Internet yang murah, bukan berarti kualitasnya murahan toh? Sementara ini, operator lain tampaknya lebih menjanjikan. Tentu hasil ini belum tentu sama bila dilakukan oleh pihak lain. Bila ada telaah teknis yang salah, CMIIW.

ISP Sudah Diminta Sensor Konten Porno

oguds — Wed, 25 Aug 2010 05:49:00 +0000

Ketika pengesaham UU ITE tahun 2008, yang dihebohkan juga dengan munculnya video Fitna, pemblokiran Internet menjadi topik diskusi panjang. Sebagian pihak mendukung, sebagian lain alergi. Kini topik ini mengemuka kembali di Internet, seiring surat edaran Menkominfo yang meminta ISP menutup konten porno.

sN> ISP blokir port port tertentu, misalnya: 135,139,445,1433,1434

Menurut saya tidak perlu, cukup port-port yang diketahui merupakan tujuan http/https (termasuk proxy), seperti 80, 443, 8080, dst. ISP juga tidak harus memasang proxy, tapi dari mengecek misalnya 1024 byte pertama setiap koneksi, yang merupakan header http. Dari situ terlihat host tujuan dan file yang ingin diambil.

Tidak mungkin memblok 100%, bahkan 70%, tapi hanya mengurangi akses atau kenyamanan, seperti kata Menkominfo supaya gak ‘ngablak’. Jalur-jalur ‘tikus’ tentu tetap terbuka, misalnya proxy tidak umum, VPN, tunneling, dst, tapi butuh usaha lebih. Saya mencoba mengakses Proxy / VPN gratisan hasilnya lambat sekali. Orang yang berniat mengakses pornografi pasti tujuannya mencari kesenangan, dengan mengurangi atau mengganggu kenyamanan tersebut, kemungkinan besar niatnya akan batal.

Masalah berikutnya, database situs-situs yang perlu diblok. Pertama butuh database yang sangat cepat, mungkin bisa embedded DB (yang diupdate secara berkala). Tidak perlu berukuran besar, cukup situs porno yang sangat populer (ini bisa dievaluasi melalui log). Tingkah laku pengakses pasti ada polanya, seperti kita yang seringkali memulai dari Google. Kombinasi secara teknis dan psikologis, mudah-mudahan hasilnya cukup efektif tanpa memberatkan atau mengganggu trafik secara keseluruhan.

w> Setelah saya cek software yang digunakan KOMINFO ternyata Squidguard walau dinamakan trustpositif. Ini lumayan berbahaya

Saya kebetulan tidak lihat acara di MetroTV, tapi sepakat bahwa Squidguard atau sejenisnya akan membebani ISP. Buat skala kecil seperti warnet, kantor, kampus, dst, mungkin ok, tapi skala besar seperti ISP tentu tidak layak. Apalagi bila ada sejenis regular expression, pasti makin pelan saja.

Seperti saya pernah singgung, yang pas itu (semi) state-less proxy, dalam arti cukup menangkap 1 KB pertama per paket HTTP. Asumsinya ini berisi header. Lepas 1 KB pertama, setiap paket dilepas saja. Squid jelas-jelas state-full proxy (via TCP), akan makan memory, disk, dst. Implementasinya seperti L7 filter, hanya digabung dengan DB.

Database sendiri jelas harus (embedded) in-memory DB (semuanya ada di memory), di-update atau batch report secara berkala (misal 1x sehari). Batasan host yang diblokir juga ada, misalnya 1 juta host paling populer. Intinya supaya jalannya data sesedikit mungkin terganggu.

Blokir lewat DNS seperti Nawala bisa juga, tapi hanya sebagai komplemen, karena cara ini cukup mudah diakali (misalnya membuat DNS sendiri atau memasukkan di /etc/hosts). Sabili sendiri cara blokirnya seperti apa ya? Negara seperti China juga ada yang tahu cara blokirnya?

Namun semuanya kembali ke ISP, konfigurasi mesin yang digunakan seperti apa, dan bisa dimodifikasi seperti apa. Barangkali bila Kominfo bisa memberi dana riset untuk filtering ini akan sangat membantu (jangan cuma bisa menekan doank). Pastinya semua butuh waktu tidak sebentar.

YH> Coba anda baca uu tel 36 1999 pasal 21 dan 22.

Saya ikut nimbrung ya, meski bukan pakar hukum. Di Pasal 22 itu tertulis begini: "Pasal 22 Setiap orang dilarang melakukan perbuatan tanpa hak, tidak sah, atau memanipulasi …". Pasal itu cukup luwes untuk memberi kewenangan kepada mereka, hemat saya, di bidang kerjanya masing-masing. Di ranah Internet ya ISP yang punya hak, termasuk memanipulasi data untuk kepentingan teknis dengan prosedur yang sah. Apalagi Pasal 21 sudah memberikan dasar kewajiban pula bagi ISP.

Realitasnya, mana bisa penyelenggara komunikasi tidak memanipulasi data? Manipulasi data sendiri mau diartikan apa? Data Internet, dari hulu hingga hilir tentu ada proses manipulasi secara berjenjang. Misalnya dikompres, dichecksum, dipecah, dirouting, difilter, dst. Lha bukankah sangat umum ISP memfilter spam? Bila tidak difilter, itu ISP-nya malah sontoloyo.

Prisipnya menurut saya, dalam hak itu harus jelas bagaimana prosedurnya dan siapa yang bertanggungjawab. Jadi manipulasi akan legal bila pelaksanaannya juga jelas dan legal. Pegawai bank tentu secara legal bisa memeriksa rekening tertentu, lha wong ada akses koq, tapi tidak bisa menyelewengkan atau menangkap orang. Admin LAN juga bisa memfilter proxy, memeriksa akses, tapi tidak punya wewenang memecat orang. Itu urusan personalia dan para bos.

Saya jadi ingat diskusi di TV, tentang konflik dengan Malaysia, yaitu Permadi dari PDIP bilang, kewenangan bertindak di lapangan adalah otoritas komandan kapal. Akibat kebanyakan mikir, Indonesia malah dinilai loyo, mlempem, tidak tegas, dst. Padahal coba komandan kapal menembak bila diperlukan, sesuai prosedur, hasilnya akan lain. Lha si Malingsia saja berani menangkap pegawai DKP koq, dengan tembakan peringatan segala, tidak pakai pikir-pikir panjang. Atasannya tinggal bilang tidak tahu atau itu sesuai prosedur. Kebanyakan mikir malah jadi telat mikir, alias telmi.

a> ada lho orang yang menuntut karena legitimate mail kena blok (false positive). tapi memang di indonesia belum sampai serinci itu.

Saya perjelas lagi, kemarin kecepatan ngetik, filter spam yang saya maksud lebih kepada filtering SMTP. Dulu sekali saya bisa menggunakan SMTP non ISP, tapi sejak bertahun-tahun lampau ini tinggal kenangan. Dari semua yang saya coba, semua ISP memblok SMTP di luar miliknya. Asumsinya, dengan mewajibkan SMTP hanya via ISP, ada filter-filter tertentu di situ, entah itu filter spam, virus, trojan, dst. Bila ada yang menuntut, wajar saja, tinggal dijawab toh. Masalah teknis sudah pasti banyak kendala-kendala, hanya tinggal diperbaiki.

Yang mau saya sampaikan, bahwa (boleh jadi) semua ISP melakukan penyadapan (bila filtering SMTP dimaksud dimaknai begitu). Bila SMTP dianggap boleh, kenapa HTTP malah dilarang? Kita tentu tahu, flooding SMTP (seperti spam dari trojan) bisa sangat fatal, macet jaringan. Flooding situs porno juga begitu, malah merusak otak. Saya hanya melihat keengganan ISP hanya soal teknis, bukan hukum.

Namun saya sepakat bila regulator dan pihak-pihak terkait mencari solusi teknis yang efektif. Termasuk menghindari resiko false positif dari situs yang diblok. Pada intinya saya setuju bahwa Internet jangan terlalu ngablak lah, seperti kata Menkominfo. Dibatasi sewajarnya.

a> kalau mail, katakanlah spam, bisa nyelonong tanpa diminta.

Konteks yang saya tulis sejak awal, saya punya SMTP di luar ISP, dan ingin mengirim email via SMTP tersebut. Arus SMTP difilter ISP dari luar atau dari dalam. Jadi saya meminta untuk mengirim tapi ditolak, tidak ada bedanya dengan meminta lewat HTTP.

Jadi nuansanya tetap, saya hanya ingin menunjukkan ISP sudah melakukan praktek-praktek filtering sejak lama, dan tidak perlu menjadi polemik seperti filtering HTTP. Saya juga tidak bisa memilih opsi difilter atau tidak. Tidak hanya itu, ada juga ISP yang memfilter DNS atau HTTP (in).

Sehingga buat mereka yang menolak pemblokiran situs porno dengan dalih dasar hukumnya, praktek-praktek ISP di atas juga perlu dipermasalahkan agar konsisten. Kalau saya boleh nitip, permasalahkan pula kuota bandwidth. Ini sama halnya menyadap dan memanipulasi data sehingga berjalan lebih lambat. Jadi saya bisa berinternet 25 ribu/bulan dengan kecepatan full speed 7.2Mbps sebulan penuh. Ini pasti aspirasi rakyat, aspirasi kita semua.

YH> Tanpa melihat isi datanya, header itu bisa dibaca, dan bisa diblokir. Itu kasus yang blokir smtp yang mpu maksudkan.

Me-review lagi soal filtering ini, blokir SMTP itu hasil dari filtering (SMTP non ISP akan diblokir / direject / RST flag). Sifatnya wajib. Kasus lain soal antispam, itu pasti ‘penyadapan’ total.

Btw, di dunia packet switching, batas antara header dan isi itu semu belaka. Di lapis terbawah, misalnya ethernet, dia menganggap tcp/ip adalah isi. Di tcp/ip, http itu semua isi. Di http, html itu semua isi, dst. Bertumpuk-tumpuk. Jadi mana yang mau dianggap header dan isi?

Terkait isu mandatory dan sanksi, saya lihat masing-masing pihak punya pendapat. Saya mencermati keengganan ISP lebih pada soal teknis dan bisnis (mudah-mudahan tidak diartikan ISP menjadikan pornografi sebagai penggemuk bandwidth). Di sisi lain, Menkominfo dengan dasar UU ‘mewajibkan’ sensor konten porno. Jalan tengahnya, bilapun ada sanksi ini bisa dilimpahkan ke pengadilan, sehingga lebih netral.

YH> Saran saya, mpu belajar 7 osi layer dan tcp/ip layer

Setiap layer itu punya header dan data, yang sebenarnya menjadi satu kesatuan. Bila argumen anda penyadapan berarti membaca isi, sekarang di level mana definisi isi itu? Contoh, di OSI layer 2 (misal ethernet), setiap frame terdiri dari header dan data, hanya headernya dibuang ketika diserahkan ke layer 3 (misal tcp/ip). Bila definisi isi dimulai dari layer 2, maka membaca header tcp/ip adalah suatu bentuk penyadapan.

Seperti pernah disampaikan, filtering HTTP itu semata-mata membaca header, bukan isi. Di UU sendiri tidak dijelaskan layer mana batas definisi ‘penyadapan’ (lha teknis sekali donk). Lagipula, konsep tcp/ip dan OSI layer itu sebenarnya berbeda, hanya orang kerap membandingkan keduanya. Coba baca-baca lagi referensi, atau ini: http://en.wikipedia.org/wiki/OSI_seven-layer_model.

YH> Mhn maaf, saya kurang sependapat. Filtering http itu sama saja filtering "data" langsung.

Memperjelas saja, dari awal saya tidak sepakat dengan definisi penyadapan hanya melihat dari header vs isi, karena ini sifatnya teknis, rawan perubahan dan pemaknaan (seperti diskusi kita). Bahasa hukum harusnya lebih high level, misalnya ada tambahan, "penyadapan adalah, bla, bla, bla, … dengan tujuan menyimpang di luar operasional pihak penyelenggara …". Nah, ISP tinggal mendefinisikan operasional itu seperti apa, termasuk pula melihat rekomendasi dari surat edaran Menteri.

Online Trading

oguds — Sat, 17 Jul 2010 17:30:00 +0000

Menghasilkan uang dari Internet sudah sering kita dengar. Beberapa terasa mungkin, tapi ragu akan hasilnya. Bagaimana bila dicoba cara ini: online trading di bursa saham.

Gemar menjelajah Internet tanpa tujuan? Tak ada salahnya bila menyalurkan hobi ini menjadi uang, yaitu menjadi investor pasar modal. Mencermati perkembangan ekonomi dunia, sambil menggali informasi saham-saham yang berpotensi naik. Internet ibarat lautan informasi, perlu jaring dan keahlian yang tepat untuk dapat menjala ikan. Di sinilah seni dan tantangannya, menyusun sendiri portofolio saham yang paling optimal.

Pasca resesi keuangan global, pemulihan ekonomi terjadi di banyak negara. Kekhawatiran eforia sesaat industri pasar modal ternyata tidak terbukti. Meskipun bergerak fluktuatif, bursa saham dunia tetap dalam tren positif atau bullish. Bila tak ada aral melintang, indeks di Bursa Efek Indonesia segera menyentuh all time high dan terus menaik. Melihat kinerja ekonomi Indonesia yang baik, pasar domestik yang sangat besar, peluang sukses di pasar modal terbuka lebar.

Kian maraknya aktivitas Internet, memunculkan potensi besar pengguna online trading (OLT) di bursa saham Indonesia. Saat ini tercatat sekitar 300 ribu investor, atau 0,1 % dari jumlah penduduk. Jauh tertinggal dibanding negara tetangga Malaysia yang mencapai 14 %. Internetworldstats mencatat 30 juta pengguna Internet asal Indonesia pada tahun 2009. Target otoritas bursa meraih 1 % penduduk atau 2 juta orang seharusnya bukan hal sulit. Kapasitas sistem bursa terbaru, JATS Next-G, telah sanggup menangani hingga satu juta transaksi per hari.

Perusahaan sekuritas tampak sudah bersiap-siap menyambut era OLT ini. Selain PC, perangkat bergerak seperti PDA dan Ponsel juga dirambah. Transaksi lebih cepat, praktis, dan di mana saja. Demam Facebook salah satunya didukung layanan pada perangkat mobile. Ketertarikan masal pada OLT pada ujungnya akan menaikkan partisipasi investor lokal dan menambah kemandirian bursa. Saat ini 65 % kapitalisasi bursa masih dikuasai investor luar. Akibatnya, resesi ekonomi di negara lain dapat menyebabkan pelarian dana dan goncangan di bursa lokal.

Investasi dalam bentuk saham memang kurang populer di masyarakat. Pandangan yang umum adalah potensi merugi. Bursa saham terkenal rawan dari unsur-unsur spekulatif. Namun usaha apapun saat ini tak jauh berbeda. Bertani misalnya, mulai dari bibit, pupuk, cuaca, hingga harga beras bisa berubah sewaktu-waktu. Hal ini perlu disikapi secara bijak, yaitu berinvestasi secara rasional dalam jangka waktu terukur. Jual beli saham bukanlah permainan tebak-tebakan yang mengarah pada perjudian. Harapan memperoleh keuntungan besar dalam waktu singkat justru melahirkan banyak kekecewaan.

Persepsi negatif lain adalah prinsip bursa saham dengan ‘zero sum game’, atau keuntungan satu pihak berasal dari kerugian pihak lain. Memang dalam jangka pendek tak bisa dipungkiri, tapi dalam jangka panjang ternyata tidak. Kapitalisasi bursa dapat bertambah dari banyak sumber. Misalnya masuknya investor baru, bertambahnya emiten, pembagian deviden, penerbitan saham, dan aksi korporasi lain. Selama jumlah manusia dan usaha bertumbuh, pada akhirnya semua pihak akan mendapat keuntungan.

Keterampilan berburu dan mengolah informasi merupakan bekal berharga meraih sukses. Berita dan rumor terkait emiten, seperti besarnya laba atau aksi korporasi, membuat sentimen terhadap pergerakan harga saham. Beragam cara bisa ditempuh, dengan mengunjungi situs-situs berita, blog-blog saham, berlangganan RSS feed, bergabung dengan mailing list, hingga jejaring sosial seperti Facebook atau Twitter. Pesan-pesan seperti “buy ADRO, sell PTBA”, “break peak KIJA, SMRA”, “hold BUMI”, bertebaran di seantero Twitter. Bila tertarik, tak ada salahnya menjadi follower.

Namun perlu diingat, dalam bisnis apapun tidak semua orang bisa menjadi pemenang. Bisa untung, bisa rugi, atau hanya impas. Mulailah dari yang kecil, menggali ilmu sebanyak-banyaknya. Luangkan waktu secukupnya, jangan sampai investasi malah menganggu pekerjaan. Bila hari ini rugi, berharap esok lebih baik. Bila besok belum baik, mudah-mudahan lusa. Ikan sepat di danau Toba, semoga bermanfaat dan selamat mencoba.

* Dimuat di PC Media Edisi 06/2010

Petani 13 Trilyun

oguds — Fri, 16 Jul 2010 17:18:00 +0000

Apa jadinya bila rekening bank kita tiba-tiba saldonya berkurang 75 juta? Sebaliknya, bagaimana bila bertambah 13 trilyun?

Seorang petani di Parepare bingung, rekeningnya mendadak bertambah. Bukan lagi sekedar jutaan, tapi trilyunan. Bila DPR sampai perlu membentuk Pansus untuk mengusut aliran dana 6,7 trilyun, petani tersebut memperoleh hampir dua kalinya, yaitu 13 trilyun. Bila disusun dalam pecahan 100 ribuan, ukurannya setara 36 ribu rim HVS Folio. Perlu ribuan truk untuk membawanya pulang.

Kasus ini memang berita selintas saja, tapi menarik dicermati. Kesalahan manusia tentu wajar terjadi. Seperti pengakuan pihak bank, terjadi kesalahan input. Mungkin saja petugasnya teledor hingga mengetik angka nol tujuh kali lebih banyak. Barangkali pula keyboard-nya lengket, ditekan tidak kembali, sehingga nolnya seperti kereta api. Meskipun terdengar konyol, tapi bukan hal mustahil. Asal jangan sampai akibat kesalahan sistem. Ini gawat, karena dampaknya sistemik.

Ingat sistemik, tentu ingat keriuhan lain di Senayan. Asal muasalnya, Menteri Keuangan tertipu. Dana bailout Century membengkak, nolnya bertambah satu, menjadi 6,7 trilyun. Meski hanya 1/2 dari rekening petani tadi, tapi cukup membuat DPR geram hingga membentuk Pansus. Di sini lawannya politisi, pengucur dana perlu berkelit seribu jurus. Alasan petugas teledor atau keyboard lengket pasti menjadi bahan tertawaan. Siapa korbannya belum diketahui, yang pasti bukan kerbau hitam.

Tak lama berganti tahun, muncul kehebohan baru. Dana nasabah bank di sejumlah tempat tiba-tiba raib. Kali ini yang lengket adalah kartu ATM, tergesek skimmer, digandakan oleh sindikat pembobol ATM. Publik layak khawatir, mengingat ATM adalah fasilitas bank yang sering digunakan. Untungnya antisipasi cepat dari pihak perbankan dan kepolisian dapat meredam kepanikan publik.

Kartu ATM berbasis magnetik tergolong teknologi jaman dulu alias jadul. Sudah saatnya diganti menjadi berbasis chip atau smartcard. Keengganan migrasi dengan alasan biaya tinggi rasanya terlalu mengada-ada. Teknologi smartcard telah lama bersama kita, tertanam di berbagai perangkat seperti telepon seluler. Pihak perbankan bisa belajar ke operator GSM atau CDMA, bagaimana membuat kartu chip berharga murah. Kartu perdana Rp 7.000, berisi pulsa 5.000. Mendekati expired, harganya bisa lebih turun lagi. Sering pula kartu dibuang setelah pulsa habis.

Berkembangnya kejahatan dan problematika di bidang perbankan menuntut peran besar ahli forensik digital. Industri perbankan sangat lekat dengan penggunaan teknologi informasi. Mal praktek yang terjadi pada akhirnya berhadapan dengan hukum, perlu analisa dan pembuktian akurat dari jejak-jejak digital yang ada. Perangkat hukum mutakhir sudah dimiliki dengan terbitnya UU ITE, meskipun perlu penjabaran lebih lanjut dalam bentuk peraturan di tingkat bawah.

Korban penggelapan transaksi perbankan sudah banyak berjatuhan sejak lama, tetapi cukup mengejutkan bila akumulasinya mencapai ratusan orang dalam waktu singkat. Dalam kasus pembobolan ATM, pihak bank cukup kooperatif dengan menanggung kerugian di pihak nasabah. Kepercayaan nasabah memang harus benar-benar dijaga. Praktek bank yang buruk akan mudah menyebar menjadi kampanye negatif. Di era maraknya komunikasi sosial via Internet, kepakan sayap kupu-kupu cepat menjelma menjadi badai topan.

Kasus salah debit 13 trilyun yang menimpa petani di atas terjadi pada November 2008. Bulan yang sama ketika Bank Century kalah kliring, disusul rapat KSSK dan keputusan bailout yang menghebohkan. Bersamaan pula dengan merebaknya kepanikan global di sektor finansial, bursa saham ambruk di mana-mana. Adakah benang merah di sini? Penggemar teori konspirasi pasti setuju, tidak ada peristiwa yang kebetulan. Semuanya serba terencana dan saling terkait. Konspirasi yang baik adalah konspirasi yang tak pernah bisa dibuktikan.

Kesalahan bank ternyata berlanjut. "Saya takut minus Rp 9 triliun itu dibeban ke saya," kata petani itu. Rupanya kali ini tabungannya didebet Rp 22 triliun. Kesannya main-main, serasa uang sekedar angka tanpa makna. Pada akhirnya kasus ini memang telah selesai. Tampaknya pihak bank perlu memberi penjelasan secara transparan, disertai hasil forensik digital. Publik layak tahu, agar kepercayaan tetap terjaga. Jangan tunggu kepakan kecil berubah menjadi badai sistemik.

* Dimuat di PC Media Edisi 04/2010

Demo Kaos Merah

oguds — Mon, 03 May 2010 17:04:00 +0000

Memasuki bulan Mei, apakah optimisme Bursa Efek Indonesia masih berlanjut? Sentimen mulai bergerak negatif. Krisis Yunani dan mata uang Euro merembet ke berbagai penjuru dunia. Tampaknya perlu dilakukan pembersihan total.

Bila per hari ini IHSG ditarik ke atas, barangkali sekedar menjejak 3000, lalu meluncur ke bawah. Saham-saham lapis kedua mulai bertumbangan. GJTL pun ganti nama, jadi Gajah Tinggal. Padahal kinerja dan PER-nya masih sangat oke. CPIN si produsen ayam pun tak ketinggalan, mulai ambrol. Meskipun kinerja, PER, dan pembagian deviden sangat menjanjikan.

Sell in May, Go Away?

Bila dianalisis, selama 10 tahun terakhir IHSG di bulan Mei: naik 6x, turun 4x. Namun malah terlihat ada pola di situ, kecuali tahun 2008 yang puncak krisis, yaitu tahun genap turun, tahun ganjil naik. Jadi siklus normalnya di tahun 2010 ini adalah turun.

Barangkali pesan moral dari istilah di atas, yaitu potensi keuntungan di Mei yang tipis, atau volatilitas meningkat. Mungkin saja IHSG akhirnya ditutup naik 0,00001%, lalu meluncur lagi ke bawah. Pengalaman sih, analisis momentum sering gagalnya, alias resiko meningkat. Meninggalkan bursa toh bagian dari strategi juga. Biarlah saham-saham rest in peace.

Krisis Yunani: "Hoppers and Ants"

Analoginya menarik, sayang kesimpulannya tidak pas. Meskipun Yunani punya mata uang sendiri, tapi uang tidak bisa dicetak seenak udelnya, atau devaluasi. Ingat Zimbabwe yang inflasinya menyundul langit? Tetap saja bantuan dari negara-negara sekitar atau regional dibutuhkan.

Solusi mudahnya bisa saja Yunani di-kick dari Eurozone, tapi problem di suatu negara akan cepat menjalar ke negara lain. Jadi Euro-nya sendiri tidak masalah, hanya saat ini sedang jadi incaran spekulan-spekulan valas dan para bandar pasar modal, seperti biasanya.

Kasus Yunani = Depresi Besar ?

Krisis separah apapun tidak akan mengulangi resesi 1929. Mengapa? Karena kekayaan dunia sekarang tidak sebanding dengan saat itu. Contoh terdekat, krismon di Indonesia tahun 1997. Itu sebenarnya cukup parah, tapi kehidupan rakyat relatif normal. Adakah pembaca di sini yang sengsara 1/2 mati akibat krismon 1997 atau 2008?

Barangkali jawaban bursa-bursa yang nyem-plunge belakangan ini, ya sampai kapan spekulan-spekulan valas dan saham berhenti mengobrak-abrik? Pasar sudah tidak rasional. Kalau saham-saham pada dijual, lalu duitnya itu lari ke mana? Misalnya bursa Jerman, di-cash-in ke Euro, padahal Euro lagi jatuh. Ya malah rugi bukan?

Investor asing di BEI juga sama, saham sedang turun ditukar rupiah, pas mau ditukar ke dollar makin amblas lagi, rugi 2x bukan? Boleh jadi saat ini sedang menginap di sekuritas, menunggu momentum baik untuk kembali.

Sri Mulyani Mundur

Di era informasi ini tidak perlu memusuhi media. Bagi media yang penting adalah akurasi dan berimbang (cover both side), sehingga orang-orang seperti Wimar bisa bicara kritis. Media alternatif toh banyak, seperti website, milis, blog, dan sebagainya, bisa pula beropini di situ.

Ketika pemilu kemarin, saya banyak menyimak di blog ini, contoh yang aktual misalnya tentang World Bank: http://nusantaranews.wordpress.com/2009/06/26/sejarah-bumn-imf-word-bank-dan-privatisasi-di-indonesia-1/

Bagi saya, SMI hanya agen-agen kapitalis, sehingga ketika BD menariknya ya tidak ada yang istimewa. Seringkali kita butuh pencerahan, makanya saya suka gaya pengamat ekonomi seperti Ichsanuddin Noorsy. Meskipun terlihat nyeleneh, tapi apa yang disampaikan cukup masuk akal.

IHSG 5000

Satu-satunya cara untuk menaikkan IHSG atau saham-saham, adalah dengan mengundang uang datang. Kapitalisasi bisa naik lewat deviden, investor, modal masuk, emiten baru, dan seterusnya. Cara yang cukup aman sebenarnya menambah emiten sebanyak-banyaknya. Sekarang baru 250-an saham, coba ditambah secara agresif menjadi 1000-an, perusahaan-perusahaan besar, pasti indeks segera terbang ke 5000.

Bila investor makin banyak, modal makin besar, tapi komposisi saham begitu-begitu saja, ini mengerikan. PER makin tinggi, makin rawan fluktuasi. Investor hanya dijanjikan deviden semu, tak masuk akal. Menunggu profit masuk butuh waktu lama, apalagi dari perusahaan-perusahaan yang pelit.

Hal ini bisa dimulai dari Kementerian Keuangan, misalnya membuat insentif pajak. Bila pelepasan saham 30% dapat potongan pajak 10%, tentu berbondong-bondong perusahaan IPO di BEI. Sekarang baru berlaku potongan 5% untuk IPO 40%. Pemberian deviden juga perlu diatur, minimal 30% dari laba. Investor tertarik BUMN karena devidennya jelas, sehingga investor nyaman, dan emiten pun bekerja dengan tenang.