Source code detect Runonce

Submitted by Kholis on Sun, 17/01/2010 - 08:58

Kelihatannya Runonce pengen mengikuti jejak sality, alman dan lain-lainnya, suka menginfeksi file-file “.exe”. Virus ini cukup terkenal sebenarnya dan hampir semua AV impor sudah bisa mendeteksi virus ini sekaligus file-file terinfeksinya. Namun sayang, tidak semua antivirus lokal bisa mendetek virus ini.

 

Runonce sendiri begitu dieksekusi akan menginfeksi hampir semua file “.exe” seberapa ia sanggup.
Lalu mendrop induknya ke folder “system32”. Kemudian yang paling menarik lagi si Runonce menyebarkan file-file email ke setiap folder.

Saya menguji 3 antivirus lokal. Salah satunya Morphost dan dua yang lain adalah antivirus lokal lain.
Salah satu antivirus lokalnya (sebut saja Antivirus A) bisa mendeteksi file-file terinfeksi Runonce dengan baik. Dan semua file yang terdeteksi diberinya nama “Suspected.Virut.” Sayangnya Antivirus A ini tidak mendeteksi file-file “email” yang dibuat oleh si Runonce.
Antivirus yang kedua (sebut saja antivirus B), malah sama sekali tidak mendeteksi file-file yang diinfeksi oleh Runonce begitu juga file-file email yang dibuat oleh virus runonce.
Antivirus yang ketiga (antivirus Morphost) bisa mendeteksi file-file email tersebut dengan baik. Untuk Morphost Accords, file-file yang terinfeksi memang masih belum terdetek namun untuk versi Morphost Expert file-file yang diinfeksi Runonce sudah bisa dideteksi.

Di tutorial kali ini saya akan berikan sedikit source khusus untuk mendeteksi Runonce ini. Begini code-nya.

Option Explicit
Dim NamaVirus as String

Function DetectRunonce(lpFileName as string) as boolean
Dim filedata as string
Dim Malscr as string
Dim IsExe as string
Open lpfilename For Binary As #1
filedata = Space$(2)
Get #1, , filedata
Close#1

If ucase(filedata) = “MZ” then
Isexe = “1”
Elseif ucase(filedata) = “HE” then
Isexe = “2”
End if

If isexe = 1 then
If FileLen(lpfilename) > 1750 Then
If WatchString(lpfilename, 1750, 100, “IMISSYOU”) Then
Detectrunonce = true
Namavirus = “Terinfeksi: Runonce”
End If
End If
Elseif isexe = 2 then
MalScr = UCase(FileTeks(filename))
If InStr(MalScr, “IMISSYOU”) > 0 Then
Detectrunonce=true
Namavirus= “Fake Email”
End If
End if

End function
Function FileTeks(Where As String) As String
Dim BinTeks, Temp As String

Open Where For Input As #6
On Error Resume Next
Do While Not (EOF(6))
Input #6, Temp
BinTeks = BinTeks & Temp
Loop
Close #6
FileTeks = BinTeks

End Function

Function WatchString(AlamaT As String, mulai As Long, banyaknya As Integer, apaygdicari As String) As Boolean
Dim bin() As Byte
Dim filedata As String
WatchString = False

Open AlamaT For Binary As #8
filedata = Space$(banyaknya)
Get #8, FileLen(AlamaT) – mulai, filedata
Close #8

If InStr(UCase(filedata), apaygdicari) > 0 Then WatchString = True
End Function

Itu dia source code bagaimana cara mendeteksi virus Runonce.

Sekian,

By: Morphic Karta
Thanks to:
-teman-teman seperjuangan di FK USU 2009

Tags:

Comments

Submitted by Danang (not verified) on Fri, 25/06/2010 - 13:39.
#1
Danang's picture

apakah morphost bisa merepair file yg sudah terinfect?atau langsung di delete?
thx atas infonya..

Submitted by codenesia on Fri, 25/06/2010 - 19:27.
#2
codenesia's picture
Member since:
24 February 2009
Last activity:
6 hours 3 min

untuk smnatra yang bisa ampe heal dan bunuh runouce untuk AV lokal, bisa pakai CMC

Submitted by codenesia on Fri, 25/06/2010 - 19:17.
#3
codenesia's picture
Member since:
24 February 2009
Last activity:
6 hours 3 min

untuk smnatra yang bisa ampe heal dan bunuh runouce untuk AV lokal, bisa pakai CMC

Submitted by Kholis Virologist (not verified) on Sat, 23/01/2010 - 07:24.
#4
Kholis Virologist's picture

hehehehehehehehe
akhirnya di posting juga nie artikel

Submitted by Morphic on Mon, 18/01/2010 - 10:24.
#5
Morphic's picture
Member since:
1 May 2009
Last activity:
1 day 14 hours

makan apa sih mas hirin ini....
mantap banget.

iya memang, AV A itu ansxv.
dan AV B itu sebenarnya smxdxv.

dan memang Runonce yang saya maksudkan disini adalah ChirB (menurut CMC)
sengaja saya tidak membedakan filenya berdasar extensi karena dulu aku gk suka kalo ada file ".exe" yang direname jadi ".txt" atau extensi apalah oleh user (sengaja untuk menguji antivirus)

dan sebenarnya Morphost sendiri membedakan filenya bukan berdasarkan source diatas tapi berdasarkan valid tidaknya PE Header suatu file.

kalo soal false detek sebelumnya belum terpikirkan oleh saya.
Sejauh ini saya masih belum bisa detek Tanatos.
tapi yang sudah saya bisa detek: sality, alman, runonce dan phraoh. tapi tidak sesistematis source mas hirin.
karena aku sendiri gk ahli dibidang ini...
hehehehe

Submitted by codenesia on Mon, 18/01/2010 - 11:22.
#6
codenesia's picture
Member since:
24 February 2009
Last activity:
6 hours 3 min

Ha..ha...sebenarnya aku juga tahu phic. AV B nya,cuman data di atas kurang... ;))

sality, alman, runonce dan phraoh

Wah yang "phraoh" minta samplenya donk, pa itu virus?. INgat lho phic header PE itu di bagi lagi dari DOS (Tahap 1) dan File Header (Tahap 2), nah klo memang validasi kmu juga mempertimbangkan pada file Header, artinya sudah bagus... siganture PE headernya nya PE00, klo mau dalam bentuk byte "00004550", keduanya sama hanya saja untuk optimalisasi usahakan pemakaian fungsi-fungsi yang lebih dekat dengan mesin. tentu saja byte lebih dekat dari pada string

Submitted by codenesia on Sun, 17/01/2010 - 19:20.
#7
codenesia's picture
Member since:
24 February 2009
Last activity:
6 hours 3 min
Klo memang Runouce yang di maksd disini adalah Chirb@mm (CMC) Menurut Saya Antivirus A di atas yang dimksd ANXXX, hi9x Klo AV B, bisa banyak spekulasinya. Sebenarnya AV A hanya memakai heuristic, dalam mendeteksi runouce dengan membandingkan kesamaan file terinfeksi dengan jenis infeksi virut (false heur) dan tidak semua file terinfeksi oleh runouce terdeteksi dengan heur tsb. Sangat wajar, AV A tidak bsia mendeteksi keberadaan dalam file *.eml, karena AV melakukan deteksi dengan cara sistematis.. sehingga file ronuoce yang masuk dalam sebuah *.eml sudah tidak terindikasi sebuah file PE, untuk itu memang harus dibuatkan ektsraktor dan akan memakan waktu mgkin itu yang jadi pertimbangan AV A. AV B (kira-kira AV ap yah?) sapa yang bisa tebak? SC di atas, lumayan bagus.. namun sayangnya mudah false detek..karena suatu file dibedakan bukan dari ektensi namun format yang membedakanya. Pemakaian Instr harus di posiskan pada address yang tepat untuk (setidaknya) meminimalisir kesalahan. Iklan dikit... :) Mau Tahu cara mendeteksi virus ini, sality.A, tanatos.m, dan lainya dengan meteode semi sitematis dan satu arah... Tunggu buku Codenesia slanjutnya... ;D

Post new comment

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
   __                    _ 
  / _| __   __   ___    (_)
 | |_  \ \ / /  / _ \   | |
 |  _|  \ V /  |  __/   | |
 |_|     \_/    \___|  _/ |
                      |__/
Enter the code depicted in ASCII art style.