Rutin Serbu-1 (RS-1)

virus_komputer Tulisan ini dibuang sayang. Dokumentasi keisengan dahulu kala, sekitar 15 tahun lalu. Membuat virus komputer tentu bukanlah tindakan yang baik, apalagi membuat susah hidup orang lain. Saya pun mengecam mereka-mereka yang masih melakukannya hingga hari ini, dengan dampak kerusakan yang semakin besar. Bukankah era teknologi informasi sekarang sedemikian meriah, dengan kreativitas yang semakin berkembang dan menantang? Marilah kita semua membangun secara positif di era informasi ini, demi kemajuan kita bersama. Amin.


RUTIN SERBU-1 (RS-1), dibuat dengan TURBO PASCAL (Borland)

Membutuhkan:

  • Prosesor 8086+ (lingkungan asli DOS)
  • PC-DOS/MS-DOS 3.30+

Fisik Program:

  • Besar fisik +/ 3.5 KB
  • Menempati memory +/ 3.8 KB
  • Mencegat fungsi Int. 21h dan 2Fh

Karakteristik:

  • Anti Debugging  (Int 3, Breakpoint)
  • Anti SoftIce (Int 3, Back Door)
  • Anti Tracing (Int 1, Single Step)
  • Anti Cek Memory (MDSCAND, dkk)
  • Anti VSafe (Int 16h)
  • Anti SHIELD GATE MAV (Int 21h, Dup)
  • Anti Self Check CPAV  (Int 21h, Hdl)
  • Anti Intervensi Virus (Int 21h, tulis HDL)
  • Anti Jumper
  • Ada Enkrip
  • Optimasi Kode
  • Simulasi operasi file/direktory
  • Telusur vektor, cegat paling depan
  • Bisa menetap di UMB
  • Bisa menetap di memory tengah
  • Cek optimal konfigurasi Sistem Operasi, seperti: DOS di Konv, HMA, UMB, shell Command.COM, shell di Windows
  • Bisa bikin komputer bengong (hang)
  • (karang aja sendiri, pokoke supaya kelihatan cuanggih…)

 

Perhatian:

Program ini dibuat untuk kepentingan sendiri, tidak untuk konsumsi umum. Penulis TIDAK BERTANGGUNG JAWAB APAPUN terhadap perubahan / modifikasi program ini, atas kepentingan/tujuan apapun. Kerusakan atau apapun yang terjadi baik akibat program ini maupun akibat-akibat lainnya, jelas bukan tanggung jawab penulis. Baik buruknya segala hal tentang program ini juga jangan dikaitkan dengan penulis. Bila anda tidak setuju, boleh MEMBUANG PROGRAM ini. Jelas khan….

Listing program ini boleh dimiliki dalam rangka pengetahuan akan virus komputer, atau alasan-alasan lain yang positip dan tidak merugikan. Masing-masing individu hendaknya menjunjung tinggi moral dan etika yang luhur atas tujuan masing-masing.

Yap, lempar tangan sembunyi di batu….๐Ÿ™‚

Serangan:

Program ini menyerang file EXE, COM, GIF, JPG atau file-file yang dijalankan melalui Int 21h fungsi 4B00h dan 4B01h. Sangat aktif menular dalam setiap operasi file yang menggunakan handle yaitu buka file (3Dh), dan tutup file (3Eh). Karena langsung mengakses Sistem File Table (SFT) maka operasinya cukup solid dan sulit untuk dicegah. Segala cara yang mungkin untuk menularkan file (kayaknya) sudah digunakan secara optimal.

Siluman:

Untuk mengurangi kecurigaan konsumen bahwa sistemnya terinfeksi, perlu dirancang simulasi yang memadai. Pada virus ini banyak menggunakan teknik-teknik penyembunyian diri cukup canggih, yang hampir sulit ditemukan pada pemakaian yang umum. Seperti: Ukuran file, tanggal, dan isi file dibuat tidak berubah. Operasi pembandingan file tidak menunjukkan perubahan berarti. Hampir semua program anti virus tempelan (sejenis ‘Self Check’) terlewati dengan mudah. Terutama musuh kita, program antivirus lokal, tertipu dengan mulus.

Pengecekan vektor interupsi, penelurusan vektor, pencegatan vektor, dll juga terlewati dengan gembira, karena virus ini mengusahakan dirinya terletak paling depan dari vektor fungsi DOS (21h dan 2Fh), yaitu semungkin-mungkinnya selapis di atas kernel DOS. Pada operasi internal, virus juga memanggil langsung kernel DOS, tanpa melewati cegatan-cegatan yang biasanya dilakukan program-program tambahan DOS. Dengan begitu selain operasi virus (mungkin) berjalan lebih cepat, kerja virus jadi terkesan tersembunyi, tanpa dapat dilacak oleh program lain.

Khusus penelusuran vektor, virus ini menggunakan cara sederhana tapi ampuh untuk mengetahui apakah suatu interrupt (DOS) sedang ditelusuri, yaitu dengan pengecekan ‘flag’ Trap (operasi per langkah). Bila dideteksi hal tersebut, yang sudah pasti tidak terjadi pada kerja yang umum, maka penelusuran tersebut dibelokkan ke arah lain, dan fungsi DOS kembali secara segera (IRET). Dengan demikian program penelusur akan merasa pintar (padahal bodoh) bahwa tidak ada hal yang mencurigakan. Penelusuran ini juga digunakan oleh virus sendiri untuk mengecek apakah virus sudah berada di memory.

Pencegatan:

Virus ini bekerja dengan mencegat beberapa fungsi umum dari int 21h, yaitu:

Fn 11h, 12h, 4Eh, 4Fh:
Untuk memodifikasi besar file, sehingga besar file yang tertular seakan-akan tidak berubah. Fungsi 11h dan 12h walaupun fungsi lama,
disarankan untuk tidak lagi digunakan, namun ternyata masih digunakan oleh shell DOS COMMAND.COM, yaitu untuk instruksi DIR. Program aplikasi umumnya memakai fn 4Eh dan 4Fh.

Walaupun sedikit banyak mampu menipu mata manusia, namun tetap saja program dapat mengetahui perbedaan tersebut. Masalahnya sulit untuk menyimpan nilai-nilai awal yang telah diubah tanpa menimbulkan kecurigaan baik bila virus aktif maupun tidak. Virus ini menggunakan detik untuk mengecek apakah file telah terkena virus. Dengan mengecek detik tersebut, bisa diketahui apakah besar file perlu dikurangi atau tidak. Dan proses pemeriksaan maupun pengubahan nilai ini harus secara cepat, sama sekali tidak perlu buka/tutup file dahulu.

Pada Windows 3.1 modus Enchanced, entah kenapa, fungsi 4Eh dan 4Fh menghasilkan format yang aneh. Hal ini terjadi pada program File
Manager. Karena penulis tidak mempunyai debugger Windows yang memadai, kesalahan tersebut sulit untuk dianalisa. Namun hal ini tidak terjadi pada Windows modus standard. Akhirnya dengan sedikit trik, keanehan yang tidak berbahaya tersebut bisa diperkecil.

Fn 3Dh:
Fungsi ini secara luas digunakan untuk membuka sebuah file atau device. Fungsi ini pula yang dibebankan secara khusus untuk menularkan virus secara cepat, mengambil isi file yang normal, mendekrip, dan menyimpannya di memory. Pencegatan rutin ini cukup rumit, karena perlu mencegah pengolahan device atau sistem yang tidak kompatibel. Dan tambahan kerumitan lagi karena fungsi ini bekerja menurut handel file, karenanya perlu beberapa fungsi DOS yang tidak umum (sebagian Int 2Fh). Fungsi ini juga merupakan palang pintu untuk menentukan apakah suatu file perlu disimulasikan, sebagai kelanjutan operasi file lainnya, seperti: baca file, tulis file atau tutup file.

Proses penularan file sepenuhnya bekerja menurut handel file. Dengan cara ini maka suatu file .COM/.EXE sepenuhnya terlacak, bagaimanapun cara untuk mengaksesnya. Pengerjaan ini dilakukan langsung lewat SFT (Sistem File Table) sehingga bisa melakukan perubahan-perubahan secara langsung secara mudah. Ada kekurangan besar dengan cara ini, yaitu simulasi file tidak dilakukan bila suatu handel file tidak sesuai dengan handel DOS, terutama pada DOS yang ditumpangi oleh Jaringan (Network), seperti Novell. Tentu saja dengan segala cara ditempuh agar file .COM/.EXE harus tertular. Dan walaupun simulasi file tidak dilakukan, diharapkan tidak mengacaukan kerja operasi file yang sesungguhnya.

Fn 4Bh, sub fn 00 dan 01:
Secara umum digunakan untuk menjalankan suatu file (sub fn 01) atau mengambil file tanpa menjalankannya (sub fn 02). Sub fn 02 biasa
digunakan untuk operasi ‘debugging’. Fungsi ini sangat favorit dan berharga untuk operasi virus. Hampir semua virus file mencegat fungsi ini untuk melakukan operasinya. Bila suatu program akan dijalankan, maka suatu virus akan terlebih dulu mengecek file tersebut, dan bila belum tertular maka akan ditularkan terlebih dahulu sebelum dijalankan. Kebaikan fungsi ini adalah kompatibilitas yang tinggi pada sistem operasi berbasis DOS. Hanya program-program DOS yang dapat dijalankan lewat fungsi ini. Jadi virus tidak pusing-pusing melakukan pengecekan lain untuk memastikan apakah suatu file perlu ditular atau tidak. Hal ini jelas berbeda dengan pencegatan operasi file, seperti baca dan tulis.

Virus ini memecah metode penularan menurut 2 cara, lewat operasi handel file dan lewat operasi menjalankan/memuat file program. Pada cara lewat handel file cara penularan memakai fungsi-fungsi internal DOS, sedangkan bila lewat cara kedua (fn 4Bh ini) cara penularan memakai fungsi-fungsi file yang umum, sehingga diharapkan semua file teratasi. Penularan lewat cegatan ini juga mengabaikan ekstension file (.EXE/.COM), jadi bisa menulari file dengan ekstension tidak umum. Pada sistem yang tidak kompatibel penuh dengan MS-DOS, diharapkan lewat cegatan fungsi ini bisa melapis kekurangan tersebut.

Fn 3Fh:
Fungsi ini digunakan untuk membaca file atau device. Pencegatan fungsi ini sebagai kelanjutan dari operasi simulasi file. Bila akan dilakukan pembacaan file yang telah bervirus dan pada lokasi file yang telah dirubah (awal file) maka akan diberikan isi yang asli sebelum perubahan. Dengan begitu program pembaca file akan tertipu dengan senang hati. Juga bila akan membaca lokasi akhir file, karena SFT file telah dikutak-katik, maka file akan terpotong tepat seperti sebelum tertular. Hasilnya: isi maupun panjang file menurut handel tidak berubah sama sekali. Namun perlu diingat bahwa simulasi file dicadangkan hanya untuk pemakaian 8 handel, jadi bila dibuka handel lebih dari itu simulasi file tidak dilakukan, dan isi file akan terlihat apa adanya. Sebenarnya ini tidak masalah karena pemrograman yang baik hanya melibatkan sedikit handel untuk melakukan akses file, yaitu dengan membuka dan menutup file secara bergantian. Lagi pula masak ke-8-8-nya file bervirus semua, aneh apa edan. Pada ‘virus scanner’ malah biasanya cuman pake 1 handel saja.

Fn 40h:
Fungsi untuk menulis file. Fungsi ini dicegat untuk mengembalikan keutuhan suatu file yang telah tertular. Karena sebenarnya file bervirus isinya secara fisik jelas berbeda dengan sebelum tertular, maka bila dilakukan pengeditan isi file, maka isi file yang sebenarnya dikembalikan terlebih dahulu untuk tidak mengacaukan operasi file. Diberikan penanda bahwa file tersebut telah ditulis, jadi tidak perlu lagi pemboongan dilakukan. Termasuk pula besar file dikembalikan seperti semula. Tapi ingaaat, ini hanya sementara waktu. Bila handel tadi ditutup, maka dengan sangat bahagia penularan berlangsung kembali.

Ada hal unik tentang pencegatan fungsi ini, yaitu untuk mencegah penambahan suatu file yang telah bervirus. Jadi suatu file bisa diubah isinya tapi tidak bisa ditambah. Dengan begitu bila terjadi penambahan file secara illegal, yang biasanya dilakukan oleh virus lain, maka hal tersebut akan diabaikan (disalahkan) dan ditahan untuk tidak benar-benar dilakukan. Jadi, bila suatu file telah tertular virus ini maka diharapkan tidak akan tertular virus lain (ceritanya perang antar virus nih…). Namun untuk mencegah kemungkinan proses penambahan file memang dilakukan oleh operasi yang normal, dilakukan perkecualian terhadap file yang dibuat sesudah virus bersarang di memory. Diharapkan memang itu adalah operasi yang sah. Tentu saja pada komputer XT atau sejenis yang tidak memiliki penanggalan otomatis, operasi cegah tulis ini jebol terus.

Fn 3Eh:
Fungsi menutup file. Lewat fungsi ini juga dibebankan operasi untuk menularkan virus, yaitu yang berasal dari pembuatan file maupun
pengeditan file. Karena virus ini tidak mencegat langsung fungsi DOS untuk membuat file, maka virus hanya akan ditularkan ketika handel file tersebut ditutup. Sami mawon khaaannn…. Juga bila suatu file sudah diubah isinya, yang otomatis virus mengembalikan isi file tersebut ke keadaan semula, pada saat akan ditutup ini file tersebut akan tertular kembali. Pokoknya handel file apapun yang sah berupa EXE/COM diharap agar tertular. Itulah, ketika suatu program penghapus virus menyangka telah menghilangkan virus dari file, maka ketika file tersebut akan ditutup maka kembali tertular. Pusing-pusing deh….

Selain itu, cara-cara untuk memulihkan file juga sudah diusahakan untuk ditanggulangi di sini. Misalnya atribut file yang dipulihkan, yang dapat memulihkan operasi DIR direktory, pada saat ditutup ini akan dicek kembali dan akan dipulihkan bila diubah secara tidak sah. Juga bila suatu file yang entah kenapa, atau karena sistem DOS tidak kompatibel, bersifat mencurigakan, maka diupayakan agar bisa terpulihkan pada saat sistem sudah berjalan baik. Jadi bisa dibilang pencegatan fungsi ini merupakan upaya garda terakhir dalam pemrosesan file.

serbu-1

Anti Virus:

Dari uraian pencegatan di atas, jelas terlintas bahwa untuk membuat suatu pencegah terhadap virus ini adalah dengan melumpuhkan keaktifan virus di memory. Atau dengan kata lain harus dikembalikan terlebih dahulu fungsi-fungsi DOS yang asli sebelum dilakukan operasi pembersihan. Hal ini sudah terpikirkan. Dengan teknik anti telusur menegaskan, tidak segampang itu melumpuhkan virus. Juga sedikit pengacauan byte-byte penanda virus, agar anti-virus bisa sedikit ‘berpikir’. Termasuk pula terhadap trik pemulihan jalur fungsi (‘jumper’), yang membuat anti virus yang mencoba melewati fungsi-fungsi yang dicegat virus dipaksa berpikir minimal 2 kali. Tentu saja tidak hal yang tidak mungkin. Bila Eddy Tanzil saja bisa menembus tembok Cipinang, apalagi terhadap virus ini. Masih banyak jalan. Untuk ini saya menunggu perkembangan selanjutnya.

Rutin Pemulih:

Percayalah pada diri sendiri.๐Ÿ˜‰

Efek Samping:

Setiap tanggal tertentu, virus ini akan menghanguskan prosesor anda. Termasuk melelehkan hard disk anda maupun disket anda dalam jarak radius 10 meter. Bila anda biasa mendengarkan radio selagi mengulik komputer, sama seperti saya, maka virus ini akan membangkitkan gelombang elektromagnetik ultra tinggi yang dapat meledakkan radio tersebut atau minimal membuat kerusakan yang sangat parah. Termasuk pula bila dalam radius 10 meter terdapat peralatan elektronik, seperti TV, Laser Disk, Compact Disc, ataupun Solder, maka dengan frekuensi ultra tinggi tadi, bisa diibaratkan dengan cara kerja mikrowave, akan mengalami pengasapan lokal (siap-siap aja tusuk satenya).

Lalu:

Eh, gue tadi ngomong apa sih. Sorry, efek samping tadi memang benar-benar di ‘samping’, yang jelas saja boong dong. Gue ‘salut’ berat dengan anda yang percaya hal itu dapat terjadi.

Gila:

Ngomong-ngomong elu gila apa enggak sih????

Anti Debugging:

Suatu virus yang baik, paling tidak mempunyai suatu trik anti debugging. Termasuk virus yang ringan tangan ini. Belajar dari virus-virus lain dan iseng-iseng men-debug program saya mendapat cara-cara yang lumayan ampuh. Yang jelas kalo anda pake WS, telah saya coba dengan cukup seksama, ternyata virus ini mampu melewati debugger tersebut. Saya pikir kalo dari yang mudah tadi saja bisa apalagi yang sulit. Maka debugger sedikit baik sperti Turbo Debugger atau SoftIce, pasti juga bisa. Ingat prinsip ini: Mulailah dari yang mudah (maaf dengan Prof. Habibie).

Tampilan:

Oke lah dengan efek samping. Setiap tanggal 17 Agustus, anda tahu kan tanggal itu, maka virus ini sekedar mengingatkan anda bahwa ada yang perlu dilakukan sebagian orang pada tanggal tersebut, akan menampilkan bendera merah putih kecil pada pojok kanan atas monitor anda. Setidaknya anda belum lupa kalau bendera kita masih merah putih.

Waspada:

Ini masalah kompatibilitas. Beberapa program, yah mungkin beberapa ribu atau lebih, tidak jalan akibat virus ini. Saya telah sedapat mungkin berusaha memperbaiki hal ini. Tapi sesuai fenomena gunung es, hanya sedikit di puncak yang kelihatan, sedangkan teramat banyak di bawah yang belum terjangkau. Sekarang tinggal pilih: Virus atau Program Itu. Yang jelas virus ini tidak memberikan anda waktu berpikir banyak.

Catatan penting bahwa kerja suatu virus hampir dapat dipastikan membawa efek-efek tertentu. Mustahil bahwa ada suatu virus yang tidak berefek sama sekali terhadap sistem. Bagaimana mungkin? Mungkin yang perlu ditekankan adalah untuk mengurangi efek-efek tadi sekecil mungkin, yang dalam hal ini suatu virus dituntut untuk berpikir secerdas mungkin dan tahu sebanyak mungkin. Itulah, menurut saya, yang membuat pengerjaan virus menjadi tidak sederhana atau malah bisa dibilang cukup sulit. Kalo cuman bangga bisa mbengkakin file sih, tidak ada yang istimewa.

Bagaimana dengan Win95 ? Hmm, jalan tuh, maksudnya komputernya bisa jalan, coba aja digeret pake tali, pasti jalan.

Lain-lain:

Hmmm, apa yah yang kira-kira bisa saya bualkan di sini ???? Auk_ah_gelap! Maaf, tidak semua hal tentang virus RS-1 saya uraikan di sini. Karena satu sebab, yaitu maleessss, maka hal tersebut tetap menjadi suatu misteri.

NB:

Tulisan ini dibuat tanpa pikiran yang panjang-panjang, jadi maklum bila ada hal-hal yang tidak berkenan. Tapi saya yakin anda bisa memahami hal ini. Terlalu banyak hal-hal yang tidak berkenan yang kita alami. Auuww, gila gue ‘kali yah?

Wassalam,

Emhaka!
(suatu hari di tahun 1996)
HUAAAHHHH….. (gue ngantuk berat nih)

3 Komentar »

  1. Eh empu yg bikin virus 10-94 EMHAKA?

    Lagi liat2 program PASCAL saya jaman SMU (tahun 97), ada antivirus Emhaka yg saya bikin :p

    • Oguds said

      Nostalgila masa lalu, hehe. Itu 10-94 virus versi2 awal ya, gampang dibuat antivirusnya. Kalau yg serbu mungkin agak susah.

  2. Iya mpu masih gampang. Dulu waktu SMU itu saya baru belajar Pascal dan assembly (dua2nya otodidak), dan itu termasuk salah satu virus yg saya pelajari dulu.

RSS feed for comments on this post · TrackBack URI

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s