Site icon Blog SIG dan Geografi

Infeksi file executable di windows

Halo semuanya 😀

Tidak seperti biasanya, kali ini ane mau nulis mengenai salah satu bahasan di bidang reversing yaitu malware analysis, tapi tentu saja hanya artikel nubie aja :malu: . artikel ini didasari kejengkelan penulis pada salah satu virus yang dinamakan Slugin.A yang kebetulan menginfeksi master Arcgis server 10 dan ERDAS 2011 ane :batabig

Dalam dunia virus maker terdapat beberapa metode untuk melakukan proses infeksi pada PC, salah satunya adalah melakukan proses infeksi pada file program (exe). oh yah sampai lupa, pada bahasan saya ini hanya saya fokuskan pada Windows, dan pada windows, ada 2 file program yang kita kenal yaitu COM dan EXE.

COM adalah file program lama dari generasi windows terdahulu, yang karena keterbatasannya segera digantikan dengan file EXE yang mempunyai fleksibilitas seperti pada kompleksitas kode di dalamnya.

Dalam proses infeksi file program ada beberapa metode yang digunakan, yaitu :

1. Teknik Spawning, ini adalah teknik sederhana dengan cara memberi nama virus sesuai dengan file program yang sering dijalankan oleh Windows, dengan memanipulasi registri, windows dibelokkan untuk menjalankan service yang terlihat seperti service normal windows, tetapi sebenarnya sedang menjalankan virus, ini sebenarnya tidak dikategorikan “menginfeksi” suatu file. tetapi dengan kemunculan system file NTFS ada metode baru dengan memanfaatkan file stream, pertama kali dilakukan oleh Win2K.Stream, virus dengan metode menginfeksi stream kode khususnya kode dari suatu file program.

2. Teknik Overwriting, teknik ini memanfaatkan teknik overwrite atau menumpuk sebagian kode dari suatu file program dengan kode peluncuran untuk virus itu, yaitu dengan membuka program seperti ketika kita mau melakukan editing isi badan program kemudian melakukan proses save dan mengoverwrite badan program, karena proses ini menghilangkan kode asli program, maka program menjadi error :cd

3. Teknik Prepending, teknik ini menyisipkan kode virus pada bagian awal sebelum kode dari program, teknik ini tidak akan merusak program, tetapi jika dilihat lebih seksama maka program akan terlihat beberapa bytes lebih besar ukurannya dari ukuran normalnya, ketika file terinfeksi dijalankan, windows pertama akan menjalankan virusnya kemudian biasanya setelah program virus tereksekusi, maka giliran program aslinya tereksekusi, contohnya adalah virus Nimda yang terkenal itu :matabelo:

4. Teknik Appending, ini adalah teknik yang digunakan Slugin.A untuk menginfeksi EXE, alih-alih menempatkan kode program di awal, dengan metode ini , program ditempatkan pada bagian akhir setelah listing program induk, kemudian virus memodifikasi bagian awal dari file induk untuk melakukan JUMP ke listing kode virus di bagian bawah tadi.

 

 

http://e-articles.info/e/a/title/Infecting-Executable-Files/

http://www.avira.com/pt-br/support-threats-description/tid/5186/tlang/pt-br

Exit mobile version
Skip to toolbar