Apa yang baru dari codenesia??

Desain Web

Web codenesia.com menggunakan desain minimalis sehingga pengunjung lebih mudah bernavigasi.

Upload Source Code

Codenesia.com memungkinkan anda berbagi source code dengan mengupload di web codenesia.

Product

Codenesia memberikan product yang dapat didownload secara gratis, product tersebut diantaranya adalah CMC & RAX.

CN-Zine

Codenesia menerbitkan majalah bernama CN-ZINE. Majalah tersebut berisi artikel yang dikirim oleh member Codenesia.

Partner

Codenesia membuka partner dengan saling bertukar banner antar komunitas dengan tujuan memajukan IT Indonesia.

Kekuatan Deteksi AV lokal terhadap Win32/Sality (Vs AV asing)

Submitted by codenesia on Thu, 07/01/2010 - 10:14

Sebelumnya saya mohon izin sekaligus minta maaf jika artikel saya ini mungkin ada kata-kata yang kurang berkenan bagi semua pihak. Ini hanyalah sebuah analisa belaka sebagai bahan untuk memberikan informasi belaka kepada founder AV masing-masing yang mungkin sudah/belum menguji kekuatan deteksinya pada Win32/Sality (AVG). Pada artikel ini akan saya coba buat sevalid dan sefair mungkin tanpa berpihak di sisi manapun. Artikel saya kali ini hanya membahas tentang kekuatan deteksi Antivirus-Antivirus lokal yang saya ketahui punya klaim/dapat mendeteksi file-file yang terinfeksi oleh Win32/Sality (AVG). Antivirus-Antivirus lokal tersebut adalah

Ansav 2.0.50.0 (www.ansav.com)
Smadav Ref75 (www.smdav.net)
CMC PH#2 (www.cmc.codenesia.com)
PCMAV Sality Express (Tidak dikutkan karena produk turunan namun sudah terbukti 100%)
PCMAV (saya tidak punya versi terbarunya)
Lainya (mohon diinformasikan)

Sebagai penengah saya memakai Antivirus AVG 9.0 dalam mencocokan data Win32/Sality.

Sebelumnya perlu Diinformasikan ke-3 Antvirus lokal di atas punya standar nama yang berbeda-beda untuk virus Win32/Sality (AVG), Sality.D (Smadav), Sality.C (Ansav), dan Sality.A (CMC). Mungkin untuk nama kita tidak perlu membahasnya lebih jauh sekarang mari kita lihat hasil analisanya. Perbandingan hanya dilakukan pada detektornya saja, sesuai judul artikel sebagai bahan pencegahan infeksi komputer yang dilindungi antivirus masing-masing terhadap Sality.A sebelum berjalan.

Sebelumnya saya sudah menyiapkan file-file yang terinfeksi sality sebanyak 356 file. Mungkin 356 file tersebut ada beberapa file sama yang terinfeksi, namun saya cukup repot untuk memilahnya. Akan tetapi deteksi AVG menyatakan dari 356 file tersebut positif terjangkit Win32/Sality, berikut adalah screenshot file-nya.

Sebelumnya saya akan perika dari ke 356 file tersebut benar-benar terinfeksi dengan Win32/Sality menggunakan AVG free 9.0, berikut hasilnya.

Wus… gila AVG mampu mengenali ke 356 file tersebut dengan detector/signature Win32/Sality nya. OK, 3 Jempol kaki buat AVG (kaki kiri, kaki kanan, dan kaki tengah).

Sekarang kita akan coba lihat dengan AV lokal yang amapu mendeteksi Win32/Sality.A

Ansav 2.0.50.0 Beraksi

Hasil Scan Ansav 2.0.50.0 (Tanpa Filter)

Jumlah file yang discan 356 file

Variasi Virus

W32/Yanuar : 1 file
W32/Sality.C : 323 file
W32/Sality.1 : 22 file

Total keberhasilan : 356 (100%)

Smadav7.5 beraksi

Hasil Scan Smadav75 (Tanpa Filter)

Jumlah file yang discan 356 file

Variasi Virus

Sality.D : 49 file

Total Keberhasilan : 49 (13,8 %)

CMC PH#2.1 Beraksi

Hasil Scan CMC PH#2.1 (Tanpa Filter)

Jumlah file yang discan 356 file

Variasi Virus

Sality.A : 356 file

Total Keberhasilan : 356 (100 %)

Tabel Kumulatif Scan Terhadap

AV LOKAL	Prosentasi Keberhasilan	Detektor yang dipakai	Waktu	Hasil
ANSAV	100%	2 Jenis (1 dan C)	Cepat (4Detik)	Baik
SMADAV	13.8 %	1 Jenis (D)	Cepat (5Detik)	Baik
CMC	100%	1 Jenis (A)	Cepat (2detik)	Baik

Keterangan table :

Detektor yang dipakai : artinya berapa teknik yang dipakai untuk mendapatkan satu jenis sality (menutur AVG)

Waktu : Waktu untuk memindai 356 file dengan populasi 100% format PE pada kasus di atas.

Hasil : Semua Antivirus lokal yang sudah berusaha untuk membuat detector dan melindungi Masyarakat lokal dari serangan sality harus dikatakan baik.

Kesimpulan

Hasil analisa ini hanyalah mengacu pada AV asing yaitu AVG 9.0 free saja, kemungkinan hasil analisa berkata lain jika saya memakai AV asing lain sebagai acuan. Namun menurut AVG, seharusnya dari ke 356 file yang terinfeksi di atas harus digunakan 1 detektor untuk mendeteksinya karena file infektornya sejenis (1 varian). Untuk itu saya Cuma mau saran, bagi para pegulat AV lokal untuk terus meningkatkan kerjasama dalam membasmi virus, mengingat kemampuan deteksi AV asing bisa dikatakan hampir melebihi 90%.

Just Info:

Sepengetahun saya yang masih awam ini, dari berbagai virus asing type infector yang pernah saya analisa hanya Win32/Sality (AVG) lah yang paling mudah dibuatkan detektornya (selian itu Chirb@mm), karena virus sality tipe awal ini sangat mudah dianalisa, pada struktur Entri Point sality ini, satu OP code bisa terdiri dari deretan byte yang sama artinya sebagian byte relative dapat dimasukan sebagai signature sehingga akurasi deteksinya bisa mencapai 90% (tergantung data yang diolah dan dibandingkan).

Semoga bermanfaat bagi semua pihak..

CMIIW

Salam Maniz

Bidan Malware

Tags:

Anti Virus

Comments

Submitted by Cak man (not verified) on Thu, 17/06/2010 - 10:59.

#1

CMC PH#2 (www.cmc.codenesia.com) tidak bisa dibuka bozz saya mau coba tapi tidak bisa.

Sedangkan dikantor saya sudah 5 komputer yg kena virus ini. Sial dah.

masa harus satu-satu ngerjakannya.

tolong dikirim ke email saya donk jalan keluarnya gimana?

firman_dwiprasojo@yahoo.com

reply

Submitted by guest (not verified) on Wed, 20/01/2010 - 17:36.

#2

sdikit minta bocoran, string uniknya apa ya mas?hehe

reply

Submitted by codenesia on Wed, 20/01/2010 - 18:59.

#3

Member since:
24 February 2009

Last activity:
5 hours 54 min

Wahsality gak bisa pake string, klo km pke string ntar hasilnya kurang valid ketepatan deteksinya.....

reply

Submitted by revil on Wed, 20/01/2010 - 15:42.

#4

Member since:
12 August 2009

Last activity:
12 hours 26 min

wah.. 10 jempol buat cmc yng cuma 2 dtk,,
tapi harus hati2 mas n jangan lupa pke helm, bisa2 ntr di tilang..
hehehehe

—

visit my bad site @ http://revil-lab.co.nr

reply

Submitted by codenesia on Thu, 21/01/2010 - 06:37.

#5

Member since:
24 February 2009

Last activity:
5 hours 54 min

Ah 10 jempol kamu dari mana? kamu kan cuma punya 3 jempol,

reply

Submitted by satrya code (not verified) on Tue, 19/01/2010 - 12:22.

#6

hmmm,
salut deh 2detik ...
detektorny pasti sulit banget tu...

http://defacebook.us.to
http://4869.50webs.com/chat.html (menggila disini jg kita ntar mlm yak)

reply

Post new comment

Your name (required)

E-mail (required)

Homepage

Subject

Input format

Filtered HTML

Web page addresses and e-mail addresses turn into links automatically.
Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
Lines and paragraphs break automatically.

Full HTML

Web page addresses and e-mail addresses turn into links automatically.
Lines and paragraphs break automatically.

More information about formatting options

CAPTCHA

This question is for testing whether you are a human visitor and to prevent automated spam submissions.

          _                    
  _   _  | | __      __   __ _ 
 | | | | | | \ \ /\ / /  / _` |
 | |_| | | |  \ V  V /  | (_| |
  \__, | |_|   \_/\_/    \__, |
  |___/                  |___/

Enter the code above: *

Enter the code depicted in ASCII art style.