Ads

trik cegah segala variant conficker ...

Ini hanyalah trik�

ini adalah trik yang termasuk kontroversial.. Ngakak
Ini Cuma buat mencegah virus Conficker yang masuk lewat flashdisk cuy. Dan dijamin �hampir� (kira-kira 99% lah) semua varian Conficker akan diblok. Sekali lagi ingat! Ini Cuma untuk conficker yang masuk lewat flashdisk�

Sebelumnya perlu kamu tahu kalo sekarang sudah banyak sekali jenis conficker yang saya dapatkan. Dan sudah aku koleksi di rumah�.
Gak tahu lah ntah itu benar conficker atau bukan. Kemungkinan besar banyak orang sekarang ini sok-sok buat virus dengan nama yang sama dengan Conficker.
Filenamenya �jwgkvsq.vmx� cuy!!!

Oke kita anggap saja itu semua memang benar Virus Conficker�

Sebelum masuk ke inti artikel ini, ada yang mau kusampein. Sekitar beberapa hari yang lalu, setelah googling berjam-jam aku dapat code seperti berikut.

Conficker.A
Code:

Quote:alert tcp any any -> $HOME_NET 445 (msg:
�conficker.a shellcode�; content: �|e8 ff ff ff ff c1|^|8d|N|10
80|1|c4|Af|81|9EPu|f5 ae c6 9d a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c
cc|IrX|c4 c4 c4|,|ed c4 c4 c4 94|& $HOME_NET 445 (msg: �conficker.b shellcode�;
content: �|e8 ff ff ff ff c2|_|8d|O|10 80|1|c4|Af|81|9MSu|f5|8|ae c6 9d
a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c cc|Ise|c4 c4 c4|,|ed c4 c4 c4
94|&
c5 bc ea 95|\;|b3 c0 96 96 95 92 96|\;|f3|\;|24 |i|95 92|QO|8f f8|O|88
cf bc c7 0f f7|2I|d0|w|c7 95 e4|O|d6 c7 17 cb c4 04 cb|{|04 05 04 c3 f6
c6 86|D|fe c4 b1|1|ff 01 b0 c2 82 ff b5 dc b6 1f|O|95 e0 c7 17 cb|s|d0
b6|O|85 d8 c7 07|O|c0|T|c7 07 9a 9d 07 a4|fN|b2 e2|Dh|0c b1 b6 a8 a9 ab
aa c4|]|e7 99 1d ac b0 b0 b4 fe eb eb|"; sid: 2000002; rev: 1;)

Katanya sih itu jejak dari si Conficker. Gak tahu betul atau gak. Periksa sendiri aja ya..
Sebagian code diatas itu dalam bentuk Hexa.

Oke langsung ke inti.
Biasanya kalo conficker nginfeksi flashdisk, si Conficker bikin file berikut:
Quote:-File autorun
- jwgkvsq.vmx
-Folder RECYCLER
-folder S-5-3-42-2819952290-8240758988-879315005-3665
(Besok-besok kalian periksa aja ya�)

Tiga hal yang perlu diperhatikan dari ciri-ciri Conficker.
Quote:-induk-nya (yang ada di flashdisk) selalu berfilename �jwgkvsq.vmx�
-ukuran induknya selalu diatas 150 KB
-ukuran file autorun.inf selalu diatas 55 KB

Yeah, aku yakin sebenarnya sudah banyak yang sadar akan 3 hal itu. Tapi yang jelas trik ini ampuh untuk varian-varian conficker loh.

Atau lebih gampangnya saja aku akan tuliskan code-nya yah�

Quote:Public Function IsConficker(namafile as string) as Boolean
Dim namaAja() as String
namaAja() = split(namafile, �\�)
Select case Lcase(namaAja(Ubound(namaAja)))
Case �jwgkvsq.vmx�
If filelen(namafile) > 153600 then IsConficker = True
Case �autorun.inf�
If filelen(namafile) > 56320 then IsConficker = True
Case else
Exit function
End select
End Function

Trik ini belum ku implementasikan pada HN-AV. Yah karena udah terlalu banyak heuristic-heuristic aneh yang kutambah, masa yang ini juga kupake. He he he .Tapi liat nantilah.

Kalo kalian rasa code ini ampuh, silakan tambahkan code ini pada antivirus kalian. Bisa aja berkat code ini antivirus kalian bisa selangkah lebih maju daripada HN antivirus.

Tapi code ini juga gak luput dari False Alarm. Dan biasanya setelah membaca artikel ini ada orang yang pengen bikin virus-virus palsu yang make ciri-ciri conficker di atas. Tujuan mereka hanya untuk membuktikan kalo code ini mengakibatkan false alarm. Yaahh.. biarkan saja lah mereka.good luck...

SHARE

Author

hai saya farland.seseorang yg sedang memahami dan menikmati dunia blog... I'am Blogger and Javascript Programmer.

  • Image
  • Image
  • Image
  • Image
  • Image
    Blogger Comment
    Facebook Comment

0 comments:

Post a Comment

komentar anda sangat penting utk kemajuan blog ini.trimakasih utk kunjungannya...