Kali ini kita membahas ttg tata cara virus bacalid menginjeksi file
exe, tapi saya tidak akan menjelaskan dengan cara pemrogramannya… tapi
cara manualnya…jadi kalau ingin mempergunakan teknik ini gampang,
tinggal terjemahkan saja yang dijelaskan di sini dengan bahasa
pemrograman… kasarnya gini… saya menjelaskan dengan bahasa Indonesia dan
anda tinggal menerjemahkannya ke bahasa inggris alias bahasa
pemrograman…okeh…
Oke…untuk menginjeksi file exe, sebaiknya kita siapkan alat – alat dan bahan percobaannya, yaitu:
1. Tools ollydbg yang bias di donlot dari:
http://www.ollydbg.de/download.htm
2. File winmine.exe atau game dari windows yang menjinakkan ranjau – ranjau itu loh..tau kan… biasanya ada di direktori:
C:windowssystem32
Dengan nama file winmine.exe
Seperti biasa rokok, mp3 n cemilan…
Okay sekarang kita coba menginjek permainan tersebut, jika anda
berhasil menginjeksi file winmine.exe yang aslinya aplikasi tersebut
kalau di-klik 2 kali file-nya akan muncul seperti gambar berikut:
maka kalau anda berhasi l melakukan injeksi akan muncul aplikasi tiruan sbb:
Maksud dari gambar ini adalah, ketika user yang terinfeksi
komputernya menjalankan file virus, nah si virus itu akan menginjeksi
seluruh file exe ini dengan kode virusnya… berguna untuk menjalankan
program virus itu sendiri, jadi tidak perlu melakukan peng-copy-an file
virus ke folder lain tapi cukup menyusup ke program exe, sehingga ketika
file .exe yang asli dijalankan, otomatis virus tersebut juga akan
jalan… dan yang jelas lebih efektif, vx atau virus maker tidak perlu
melakukan penyembunyian folder atau file virus. Waduh…kok mengerikan
sekali???YUPS… seperti kata para ilmuwan maling yang sinting, otak
manusia selalu ber-evolusi dan selalu menemukan cara yang lebih baik
metode – metode menembus system… okay langsung aja caranya:
1. Setelah mendownload Ollydbg dari situs
www.ollydbg.de , extract file ollydbg tersebut, kemudian buka, maka akan muncul aplikasi seperti pada gambar di bawah ini:
2. Setelah itu klik di aplikasi ollydbg tersebut menu File -> Open , cari file winmine.exe yang ingin diinjeksi
3. Nah .. kalau udah kebukak…maka ollydbg akan menampilkan dalaman,
atau sourcecode winmine.exe dalam bahasa assembler tentunya seperti
gambar berikut:
4. Langkah selanjutnya adalah mencari CAVE… apa itu cave??? Umh… di
tiap aplikasi yang dibuat, pasti ada ruang kosong yang entah sengaja
disediakan atau memang tidak sengaja ada. CAVE adalah ruang kosong yang
mempunyai kode ‘DB 00’ atau berarti kosong, nah dari ruang kosong inilah
kita akan mencoba menginjeksi tanpa harus membuat aplikasi tersebut
rusak, sehingga ketika aplikasi asli dijalankan, script virus kita dapat
berjalan juga …, cave ini letaknya tidak tentu, bias diawal, di tengah
atau di akhir baris program, tapi biasanya ada di akhir program, coba
sekarang kita geser aplikasi tersebut ke baris paling bawah, maka ada
ruang cave-nya seperti pada gambar berikut:
5. Setelah ketemu cave-nya, letakkan kursor anda di bawah skrip ’ DB
00’ atau setelah cave pertama, seperti pada gambar, kemudian tekan
tombol keyboard ke bawah sebanyak 20 kali, fungsiny disini untuk memesan
alamat sebanyak 20 ruang (yang dipesan akan ditandai dengan blok atau
shading berwarna abu – abu):
6. Setelah itu tekan CTRL + E, maka akan muncul kotak sbb:
7. Isi kotak tersebut dengan kaliamat atau apa gitu, teserah aja,
kalau saya sih lebih suka kalimat TES AJA GITUH, setelah itu klik OK,
maka akan terlihat di sana skrip yang diedit akan berwarna merah. Jangan
panic, biarkan saja, kemudian tekan CTRL + A agar ollydbg bias
menganalisis skrip tersebut, jika benar, maka di badan program akan
ditampilkan tulisan yang anda tulis tadi.
8. Setelah itu arahkan kursor dibawah skrip yang diedit tadi, dan klik 2 kali, maka akan muncul kotak sbb:
9. Lalu ketik ‘PUSH 0’ (tanpa tanda petik, kemudian klik tombol Assemble
10. Lakukan seperti langkah di atas, Cuma bedanya kalimat yang diketik berbeda, yaitu:
PUSH ADDRESS
PUSH ADDRESS
PUSH 0
Call user32.MessageBoxA
CATATAN:Pada skrip PUSH ADDRESS tadi, kata ADDRESS-nya diganti alamat
yang anda tulis kalimat pertama tadi, alamatnya dilihat di sebelah
kiri, seperti yang ditunjukkan pada gambar:
11. Jika sudah tertulis semua seperti pada gambar di bawah ini:
tekan tombol bintang atau * pada keyboard, maka ollydbg akan
menunjukkan alamat origin atau alamat pertama kali program ini akan
dijalankan ketika dibuka, ditunjukkan pada blok atau shading berwarna
abu – abu :
Bisa dilihat alamat origin berada pada 01003E21 dengan script PUSH 70
12. Klik 2 kali pada alamat tersebut, kemudian ganti dengan script:
JMP ADDRESSPERTAMA
Dimana ADDRESSPERTAMA adalah alamat script PUSH 0 pertama terletak,
yaitu pada alamat 01004A64 , sehingga anda harus menuliskannya dengan:
JMP 01004A64
13. Selanjutnya perhatikan baris yang telah kita ubah (berwarna merah), dibawahnya ada script:
01003E26 90 NOP
Hapalkan atau catat di notepad alamat 01003E26, kemudian arahkan
kursor ke baris akhir kode injeksi, yaitu terletak pada bawahnya script
CALL user32.MessageBoxA
14. Klik 2 Kali pada alamat tersebut, kemudian tulis script:
JMP ADDRESSKEDUA
Dimana ADDRESSKEDUA adalah alamat yang anda hapalkan atau anda catat
di notepad tadi, yaitu 01003E26, sehingga anda harus menuliskannya sbb:
JMP 01003E26
15. Selesai sudah injeksi kode dengan manual, klik kanan mouse anda,
kemudian pilih Copy to executable -> All modifications , kemudian
klik copy all, maka akan muncul kotak baru, kemudian klik kanan dan klik
Save File, dan simpan dengan nama lain, misalnya winmineinjek.exe
16. Jalankan file winmineinjek.exe, apa yang
terjadi???WALAAAAAAAAAHHHHHHHHHHHH…. anda berhasil menginjeksi game
winmine mengubahnya menjadi tampilan message box atau kotak pesan, nah
itu baru menginjek dengan sekrip kotak pesan atau message box, gimana
kalau menginjeknya dengan mengaktifkan program (baca:virus) yang akan
kita but…hihihihihi
Nah teknik ini juga digunakan oleh virus BACALID, tapi tidak semua
file .exe bias terkena injek, karena programmer virus juga manusia maka
ada beberapa bug atau kesalahan dalam penginjeksian, sehingga tidak
semuanya dapat berjalan dengan baik…nah tugas anda untuk memodifikasi
teknik penyusupan ini…semoga bermanfaat dan digunakan di jalan yang
benar yah…